中小企業のIT経営・デジタル化・DXを推進

COMPASSONLINE

DX時代の経営に役立つ情報を提供します。
冊子・IT経営マガジン「COMPASS」&中小企業のIT活用事例に基づく各種サービス

いよいよ実行段階!マイナンバー制度とセキュリティ対策

マイナンバー交付図式

2015年 春号 2015.05.13


本誌で継続して紹介しているマイナンバー制度。政府によるテレビCMも放映され、2015年10月から個人に12桁の番号が通知されることは認知され始めている。

マイナンバー制度の情報提供を積極的に行っているオービックビジネスコンサルタント(OBC)マーケティング推進室室長の西英伸氏は、企業の反応を次のように話す。

オービックビジネスコンサルタント 営業推進本部 マーケティング推進室室長 西英伸氏

オービックビジネスコンサルタント 営業推進本部 マーケティング推進室室長 西英伸氏

「セミナーにはたくさんのお客様がご参加くださり高い関心をいただいています。4月以降は具体的な対応方法を実演してお見せする予定です」

いよいよ具体的に動く時期にきたのだ。企業がすべきことをあらためて整理しておこう。

2016年1月からマイナンバー制度 スタート

2016年1月から、税と社会保障に関わる書類などに従業員のマイナンバーを記載することになる。

「源泉徴収票は2017年1月からですので1年間は余裕があります。ただ、2016年1月1日以降に退職する社員がいれば対応業務は始まります」

マイナンバー制度への正しい情報提供に向け、日本商工会議所や各地の商工会議所と連携してセミナーを開催しているJIPDEC電子情報利活用研究部部長の坂下哲也氏は、対象業務についてこのように説明する。
ただ、帳票の提出は最終形であり、この前に、従業員のマイナンバー収集などの業務が発生する。マイナンバーは特定個人情報の指定を受けており、目的外の利用を禁止し、意図的に情報を漏えいさせた場合の罰則規定もある。

マイナンバーを取り扱う担当者と責任者を決め、適切な取り扱いへの安全管理措置が求められる。この体制づくりが対応の肝である。
「JIPDECでは、最低限の対応として、マイナンバーを保管する管理区域を定めること、マイナンバーを扱う作業区域(取扱区域)の間仕切りや金庫への保管、機器等の盗難防止策を整えるようお話ししています」と坂下氏は指摘する。

企業の対応ポイントは本人確認と安全管理措置

煩雑な収集管理、セキュリティをどうする?

取り扱うマイナンバーの量が一定を超えると、収集や本人確認、保管、廃棄などにはITシステムの活用と高いセキュリティ体制が不可欠となる。従業員への周知徹底も必要であり、少々、負担感を覚える。

マイナンバー制度への対応とセキュリティ対策

OBCの西氏は「できるだけ投資はしたくない、既存のシステムを変えたくないという意見も耳にします。企業の実態に即した多様な収集方法への対応、セキュアな保管方法などをITサービスでサポートして企業の利便性を高め、社会貢献していきたい」と話す。

中小企業支援に取り組むIT企業からは、マイナンバー制度への対応を円滑に行うための各種サービスが展開されはじめている。
NEC、NTT東日本からは、従業員への情報提供・啓発を支援するマイナンバー制度学習用のeラーニングサービス(インターネットを経由してパソコン等で学習する)が提供される(次ページおよびP28︱29参照)。両社は、マイナンバー情報の漏えいを防ぐセキュリティ対策についてもカバーしており、必要なサービスを選ぶことが可能だ。

また、OBCでは、セキュリティを保ったクラウド上にマイナンバー情報を保管する「OMSS+マイナンバー収集・保管サービス」を提供。OBC以外の給与ソフトを使っている場合でも帳票への出力連携ができる予定だという。(→詳細記事

こうしたサービスもうまく取り入れ、2015年10月の番号通知までに、体制を整えておきたい。

適切な安全管理措置が企業を守るPマークやISMSの取得も有効

電子情報利活用研究部 部長 坂下哲也氏JIPDEC(一般財団法人日本情報経済社会推進協会)
電子情報利活用研究部 部長 坂下哲也氏

これまで、皆様は信用力で事業を展開してこられたと思いますが、マイナンバー制度への対応は機密性の高い業務となり、信頼性の構築が必要です。「信用から信頼へのステップアップ」が求められていると言えます。
具体的には、下記の6つを計画的に実施してください。

  1. 関連業務の洗い出し
  2. 取り扱い担当者の決定
  3. 必要なITシステム等の改修
  4. 従業員および扶養家族のマイナンバー提供を受ける
  5. マイナンバー取り扱いのための安全管理措置
  6. 従業員に対する周知・教育

本人確認と情報の安全管理措置、いわば手順とルール作りは、企業の信頼性を担保するためにも大切です。万が一事故が起きた場合でも、担当者や企業はすべきことを行っていたと明らかにし、あくまでも悪意ある個人が起こした事故であると言えるくらいの状況にしておきたいものです。

たとえば退職者の番号を廃棄する際、書類をそのままゴミとして捨てるのは漏えいの可能性があり、適切な措置とは言えないでしょう。

安全管理措置への対応としては、プライバシーマークや、特定個人情報を取り扱う部署を新設しISMS(情報セキュリテイマネジメントシステム)を取得することも有効です。(談)