マイナンバー対応、企業の実務上のポイントとは？：いまがギリギリのタイミング、と日立コンサルティング

早くから自治体向け、そして民間企業におけるマイナンバー制度対応を支援してきた日立コンサルティングに、企業実務のレベルで今、これから、どんな作業が必要かを尋ねてみた。

[高橋睦美，＠IT]

　「規模の大きな企業に関しては昨年から、マイナンバー制度対応に関連して声がかかっている。『具体的な提案がほしい』というところから『まず何をしたらいいか分からない』というところまで温度感はバラバラだが、2015年に入ってからは話が進んでいる。心配なのは、声すらかからない企業、具体的には中小規模の企業での対応だ」――日立コンサルティングのシニアマネージャー、山口信弥氏は、企業のマイナンバー対応状況についてこのようにコメントする。

　日立コンサルティングではマイナンバー制度の実施をにらみ、自治体でのマイナンバー対応支援に加え、民間企業に向けて「番号制度導入支援コンサルテーション」などの形で、早くから対応を支援してきた。その経験を踏まえ、タイムリミットが迫る中、企業で取り組みが必要な事柄をあらためて確認してもらった。

まずはスコープを定め、業務フローの書き出しを

　山口氏によると、まず重要なのはマイナンバー対応が必要な「スコープ」を定めることだという。どの業務でどのようにマイナンバーが関わってくるかが明らかになれば、どのような安全管理措置をとればいいのかも自ずと見えてくる。

日立コンサルティングのシニアマネージャーとして、自治体、そして企業のマイナンバー制度対応の支援に携わってきた山口信弥氏

　ただ、それが意外と面倒だ。民間企業においてマイナンバー対応が必要となる部分は、まずは人事・給与システムや経理システムだが、ここではさまざまな種類の帳票を取り扱っている。時には、積み重ねると1cmほどの厚みにもになるというドキュメントの中から、関連するものを洗い出していく必要があるそうだが、「中には、こまごまと拾いきれないものもたくさんある」という。

　加えて、源泉徴収票をはじめとする法定調書の作成一つとっても、グループ全体の人事業務をまとめて行う別会社に委託している場合もあれば、地方拠点や各支社単位で実施しているケースもある。「システム面と業務面、両方で、各拠点でやっていくのか、中央で一元的に管理するのか、大まかな方向性を定めることが重要だ」と山口氏は述べた。

　同氏のオススメは、安全管理措置を考慮して、情報を中央（本社）で一元管理すること。「分散していると、どうしても安全管理措置のレベルが均一にならない恐れがある。中央に情報を置いておいて、必要な場合にのみ見にいく仕組みがいいのではないか」。こうした方針が定まってから初めて、人事システムなど具体的にシステムにどのような回収を加えていくべきか、という話になる。

　実務上大きなポイントとなる、マイナンバー収集の際の「本人確認」も同様だ。「まずスコープごとに、業務フローを書いてみることをお勧めしたい。そうすることで、本人確認の際にはコピーをとるべきか否か、ガイドラインに違反しないプロセスは何かなど、いろいろ細かなことも分かってくる」（山口氏）。

　その上で、外部事業者も含め、「誰の番号をいつ、どう集めるか、きちんと計画を立てておかなければならない」と山口氏は述べた。

　例えば、相手によって法定調書を出すタイミングが異なることもあるし、退職予定者についても時期によってはマイナンバーの記載が不要な場合と必要になる場合が分かれてくる。「情報をいつ、どのように集めるか、時期をにらみながら検討する必要がある。マイナンバーを載せずに発行した法定調書が、突っ返される恐れもある」

番号制度導入後、企業に求められる役割（日立コンサルティングの資料より）

「廃棄」のプロセスも視野に入れた安全管理措置を

　マイナンバーはもともと、税、社会保障、災害対策という3つの分野を対象に、行政事務の効率化を目的に日本に住民票を持つあらゆる人々に割り当てられるものだ。将来的には他の行政サービスでの活用、さらには民間利用についても検討することとなっているが、当初は目的外利用は御法度。従って、目的外利用をシステム的に防ぐ安全管理措置が求められることになる。

　安全管理措置については「ガイドライン」に明示はされているが、山口氏によると「どこまでガチガチにやればいいのか」で悩む担当者が多いという。

　具体的な対策としては「アクセス制御」と「ログ」ということになるだろう。業務担当者のみが番号データにアクセスできるよう、どのようにアクセス制御を施すかを検討し、実装しなくてはならない。ただ、「おそらく普通の企業であれば、個人情報保護法への対応の中で実施しているはず」とも言う。

　マイナンバー制度で、これまでの個人情報保護と特に異なるポイントとしては、「廃棄」というプロセスが明示されていることが挙げられるという。「使わなくなってから所定の年限が過ぎたら、マイナンバーの情報は廃棄しなければならない。それだけでなく、廃棄したときのログを管理しておくことも求められる」（山口氏）。

　悩ましいのは、例えば既存のデータベースにマイナンバー用の列を追加したとして、廃棄の際にその列だけを消すような仕組みがシステム上実装されていないケースが少なくないことだ。今までの「とりあえず貯めておく」というアプローチとは異なる仕組みが必要になるかもしれない。

　また、これもこれまでの個人情報保護やセキュリティ対策の延長線上ではあるが、「情報が漏れないように対策するのと同時に、漏れたときにどう対応するかも重要だ。その意味で、ログを収集しておくのは牽制として有効だろう」と山口氏は述べている。

迷ったときにはガイドライン、コールセンターも助けに

　先にも述べた通り、大手企業と中小企業とで対応の進み具合には差が見られる。一方で、5000件を目安にしていた「個人情報取扱事業者」とは異なり、マイナンバーを含む「特定個人情報」を扱う事業者には、規模を問わず等しく安全管理措置が求められる。

　これから取り組むという企業に対し、山口氏は

1. スコープの整理
2. 業務のあり方の見直し
3. 具体的な対応計画の立案

というステップで進めるべきと述べた。ただ、今から取り組み始めても、マイナンバー制度開始に間に合うかどうかは正直ギリギリのタイミングだという。

　「Webにはガイドラインや付随する解説など、意外と多くの情報が提供されている。まずはこれらを参照してほしい。ただ、具体的に『こうしなさい』と書いてあるわけではないので、迷うこともあるだろう。そんなときは悩んでいても分からないので、コールセンターや委員会に問い合わせてみるのがいいのでは」（山口氏）。