リスク管理Naviリスクマネジメントのワンストップ情報サイト

コラム

マイナンバー制度への対応、そろそろ考えませんか

2015年06月22日

コンサルタント

市川 順之

恐らくこれを読まれている方は、既にご存じかとは思いますが、ごく簡単にマイナンバーのおさらいをしておきましょう。マイナンバーは国民ひとり1人がもつ個人番号です。税務や社会保険業務において、関係機関が持つ複数の個人情報の照合を行う際に用いられます。ちなみに、この番号は法人に対しても割り振られ、これは法人番号と呼びます。
マイナンバー導入のメリットは以下であるといわれています。

  • 国民の利便性の向上
  • 行政の効率化
  • 公平・公正な社会の実現
また、この制度は以下のスケジュールで進められる予定です。
平成27年10月~  国民へマイナンバーの通知
平成28年1月~  社会保障、税、災害対策の手続きでマイナンバーが必要に
 個人番号カードの交付開始
平成29年1月~  個人がマイポータルの利用を開始できるようになる予定
詳細は『政府広報オンライン』などで詳しく書かれていますので、そちらをご覧ください

マイナンバーの一般企業への影響とは

さて、このマイナンバー制度が始まると企業はどのようにマイナンバーを利用するのでしょうか? 前段のスケジュールで紹介しましたように、平成28年1月からは税、社会保障関連の行政手続きにマイナンバーが必要になります。

具体的には
  • 源泉徴収票
  • 支払調書
  • 健康保険
  • 厚生年金
  • 雇用保険の被保険者資格取得届

など、これら帳票を作成する際に、企業は従業員やその家族のマイナンバーが求められます。したがって、企業は従業員全員のマイナンバーを入手せねばなりません。退職していても健康保険を継続している場合や年金関連で記載が必要な場合には、退職者のマイナンバーも集めなければなりません。

企業としての早急に打つべき対策としては大きく三つ

マイナンバーを利用するために行わなければならないこと、考えなければならないことは以下の3つです。
  1. マイナンバー取得の業務フローの整備
  2. 各種帳票のフォーマット変更、DBのメンテナンス
  3. マイナンバーを適切に管理するためのセキュリティ対策
具体的に解説しますと

1.マイナンバー取得の業務フローの整備

企業として、どのように従業員からマイナンバーを取得するのか、方法は二つあります。
 ・従業員からマイナンバーを教えてもらう(本人確認が必要)
 ・委任状を書いてもらい取得する(本人確認は不要)
上記2点を踏まえ、取得と管理・廃棄までの業務フローを整備する必要があります。先述しましたように、場合によっては、退職者のマイナンバーも集めなければなりません。また、利用しなくなったマイナンバーは廃棄が必要です、いつの段階で廃棄を行うかも 業務フローとして把握しておかなければなりません。これらを考えるとマイナンバーの対応にはかなりの工数がかかりそうな事が想定できます。

2.各種帳票のフォーマット変更、DBのメンテナンス

企業が従業員のマイナンバーを利用する書類に関しては全て帳票の変更や、データベースの改修が必要になります。特にデータベースの改修については、利用しなくなったマイナンバーをデータベースから削除する必要があり、必要な要件を把握していないと、再改修、といったことになりかねません。
これらの処理をどのシステムで対応しているか、改修についてかかるどれくらいの期間がかかるのか、コストはどれだけなのか、などについて把握し、予算計画を立てておかないと、大変なことになります。

3.マイナンバーを適切に管理するためのセキュリティ対策

一番面倒なのがセキュリティ対策です。マイナンバーを利用できる要員を特定し、 漏えい事故などのインシデントが発生しないように管理しなければなりません。 取扱のルール策定(組織的対策、人的対策)、物理対策、技術対策を考える必要があります。
具体的には、
  • マイナンバー取扱者の限定
  • マイナンバー取得ルール、利用ルール、保管ルール、廃棄ルールの策定
  • マイナンバーのトレーサビリティの仕組みの導入
  • マイナンバーの漏えい対策
など、多くの対策が必要となります。

さらに、考えておいたほうが良いことは、マイナンバー制度において、今後予定されている制度改正への対応準備です。まだもう少し先の話になりますが、マイナンバーの金融、医療分野への利用拡充など既に改正案が出されています、これらについても影響範囲と対応方法を確認、準備しておく必要があります。

ISO27001やプライバシーマーク取得企業における対応は

ISO27001やプライバシーマークを認証取得されている企業においても、現管理策の見直しが必要となります。これは厳密には、マイナンバー制度導入を睨んで平成25年度に公布された「番号法」の影響です。「番号法」では、マイナンバー及び特定個人情報(マイナンバーをその内容に含む個人情報)の取り扱いについて新たに規定しています。

具体的には、以下ポイントで現状の管理策の見直しを行う必要があると思われます。
  1. 基本方針へ特定個人情報への対応を追記
  2. 取扱規程への特定個人情報の取得から廃棄の取り扱い対応の追記
  3. 組織体制への特定個人情報の取扱責任者、担当者等の管理体制の追記
  4. 教育への特定個人情報関連の教育の追記
  5. 物理的な特定個人情報を扱う端末の管理項目追加
  6. アクセス認証、暗号化等の特定個人情報への技術対策の追加
  7. 同じシステムを利用している系列会社間で特定個人情報が閲覧できないように対策を追加
なお、日本情報経済社会推進協会(JIPDEC)から「プライバシーマーク制度における番号法および特定個人情報ガイドラインへの対応について(よくある質問と回答)」が公開されていますので、そちらも合わせてご参照ください。

最後に

ほとんどの企業がそろそろ対応しようかな?という雰囲気がありますが、 まだまだ様子見をされている企業もかなり見受けられます。

『まだまだ対応準備しなくても大丈夫、滑り込みで何とかなる』とか考えていませんか? 人事部門や経理部門、IT部門に任せっきりになっていると、どこかに抜け漏れがあるかもしれませんよ?

今一度、自社の影響範囲や対応状況をご確認することをお勧めいたします。

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム