給与計算や年末調整、従業員の入退社手続きでは、マイナンバー(個人番号)を記載した書類を扱う場面が避けられません。社会保険労務士や税理士といった士業の先生に、これらの書類をまとめて提供することもあるでしょう。マイナンバーは「特定個人情報」として、通常の個人情報よりも慎重な取り扱いが求められています。
ところが実務では、こうした重要な書類を「パスワード付きZIPにしてメールに添付する」やり方で送ってしまいがちです。長年の習慣で当たり前になっていますが、この方法には見過ごせないリスクがあります。宛先を1文字打ち間違えただけで、他人のマイナンバーが無関係な相手に届いてしまうことも起こり得ます。
この記事では、マイナンバーを含むファイルを社外へ渡すときに何へ気をつければよいのか、どんな渡し方なら安全に近づけるのかを、専門用語をかみ砕きながら整理します。
この記事でわかること
- マイナンバー(特定個人情報)をメール添付・PPAPで送るときのリスク
- 安全な渡し方に求められる4つの要件
- 「うっかり送信」を減らす、個人情報の自動検知という考え方
マイナンバーを扱うのはどんな場面か
マイナンバーが登場する業務は、思っている以上に日常的です。代表的なのは次のような場面です。
- 年末調整で、従業員や扶養家族の番号を集めて処理する
- 入社・退社にともなう社会保険や雇用保険の手続き
- 給与支払報告書や法定調書など、行政へ提出する書類の作成
- これらの業務を、社労士・税理士などの士業事務所に委託・提供する
特に見落としやすいのが、最後の「外部への提供」です。委託先とのやり取りは社内より件数が多くなりがちで、そのぶん送り方が雑になりやすい場面でもあります。マイナンバー法では、特定個人情報を扱う事業者に対して、漏えいや紛失を防ぐための安全管理措置を講じることが求められています。どう渡すかは、その一部として避けて通れないテーマです(個人情報の考え方の基本もあわせて押さえておくとよいでしょう)。
メール添付・PPAPで送るリスク
もっとも身近な「メール添付」、なかでもPPAP(パスワード付きZIP+別送パスワード)には、マイナンバーのような重要情報を扱ううえで弱点があります。
- 誤送信のリスク:宛先の打ち間違いや、オートコンプリートによる別人選択で、まったく違う相手に届いてしまう。しかも一度送ると取り消せません。
- パスワードの同送:ZIPのパスワードを同じメール経路で送ると、メールを盗み見られた時点で暗号化の意味がなくなります。「鍵のかかった箱」と「その鍵」を同じ封筒で送るようなものです。
- 検査のすり抜け:暗号化ZIPは受信側のウイルスチェックをすり抜けやすく、近年は受け取りを断る企業も増えています。
- 記録が残らない:誰がいつダウンロードしたのか、後から確認できません。万一のとき、経緯を説明できない状態は避けたいところです。
つまり、いつもの送り方をそのまま続けることが、そのままリスクになってしまうのです。
安全な渡し方に必要な4つの要件
では、マイナンバーを含むファイルを渡すとき、どんな条件を満たせばよいのでしょうか。次の4点を軸にすると、方法を選ぶときの判断がぶれません。
| 要件 | なぜ必要か |
|---|---|
| 宛先メールの確認ができる | 送り先が正しい相手かを、ひと手間かけて確かめられる |
| 有効期限・ダウンロード回数の制限 | 送りっぱなしを防ぎ、放置されたリンクを残さない |
| やり取りの記録が残る | 誰がいつ受け取ったかを後から確認・説明できる |
| データの置き場所が明確 | どこの国・誰の管理下に預けるかを把握できる(データ主権) |
特に、メール添付では実現しにくいのが「宛先メールの確認」と「記録」です。届いた本人だけが受け取れる仕組みや、ダウンロードの履歴が残る仕組みを取り入れるだけで、安全性は大きく変わります。
「見落とし」を減らす個人情報の自動検知
もうひとつ、人の注意力だけに頼らない工夫があります。それが、ファイルをアップロードする段階で中身を機械的にチェックし、マイナンバーや電話番号、メールアドレス、クレジットカード番号などが含まれていないかを自動で検知する仕組みです。
「このファイルにはマイナンバーが入っています」と送信前に気づければ、うっかり公開リンクで共有してしまう、といった事故を未然に防げます。ここでいう検知は、辞書・パターン・統計にもとづく機械的なチェックであり、番号の並びや形式から見つけ出す仕組みです。人の目視だけに頼るより、見落としを確実に減らせるのが利点です。
中身を外部AIに読ませない、という設計
個人情報の検知と聞くと「AIに読ませているのでは」と不安になる方もいるかもしれません。ここは大事なポイントです。特定個人情報を、便利さと引き換えに海外のクラウドや外部の生成AIへ渡してしまっては、本末転倒です。
安心して使えるかどうかは、「チェックのために中身をどこへ送っているか」で見分けられます。中身を外部のAIサービスに送らず、機械的なパターン照合だけで検知する設計であれば、機密情報が手元の管理下から出ていく心配がありません。渡し方を見直すときは、データがどこで処理・保管されるかまで確認しておきましょう。
ForceDriveでの実現
ForceDriveは、こうした安全な渡し方をブラウザだけで実現する、法人向けのセキュアファイル送受信サービスです。ファイルをアップロードするとURLが発行され、送信者はいつも使っているメールから、自分の言葉を添えて手動で送れます。相手は会員登録なしでブラウザから受け取れます。
受け渡しはワンタイムコード・パスワード・公開リンクの3方式から選べます。ワンタイムコードは、宛先メールに届く6桁のコードを入力してもらうことで、その宛先メールにアクセスできることを確認したうえで渡す仕組みです(用語集)。有効期限やダウンロード回数の制限、期限切れでの自動削除にも対応し、誰がいつ受け取ったかは改竄検知できる監査ログに残ります。
アップロード時には、マイナンバーや電話番号などの個人情報を機械的に検知して警告し(会社ごとにON/OFF可)、全ファイルをウイルスチェックしたうえで、PPAP形式のファイルは自動でブロックします。これらのチェックにあたって、ファイルの中身を外部の生成AIに送ることはありません。国内・自社データセンターで運用しているため、預けたデータがどこで管理されるかも明確です。
まとめ
マイナンバーを含むファイルの受け渡しは、「いつものメール添付」から一歩踏み出すだけで、安全性を大きく高められます。宛先メールの確認、期限・回数の制限、やり取りの記録、そしてデータの置き場所——この4点を満たす方法を選び、加えて個人情報の自動検知で見落としを減らせば、日々の業務のなかで無理なく続けられます。
自社の運用に合う渡し方を具体的に相談したい場合は、お問い合わせからお気軽にご連絡ください。