お役立ちコラム

マイナンバー制度:概要を理解した後に抑えておきたい3つのポイント

2015年10月には個人に対してマイナンバーの配布が始まります。
企業側が対応すべき事項は多岐に渡り、マイナンバー関連のセミナーはどれも満杯といった状況が続いているようです。そうした中、「制度の概要は理解したが、何から始めたら良いかわからない」という声を聴くことが多くなりました。
そこで、本稿では『とにかく抑えておくべき3つのポイント』を端的に解説したいと思います。

抑えておくべき3つのポイント

  1. 「マイナンバーの取得」
  2. 「マイナンバーの利用・提供」
  3. 「マイナンバーの保管場所」

のことを指します。

図版

それぞれ順に見ていくことにしましょう。

[ポイント1:マイナンバーの取得]

企業が従業員のマイナンバーを取得する際には免許証やパスポートなどによる本人確認を行います。
ここで注意すべきなのは「配当を支払う株主」や「報酬を支払う講演依頼者やアルバイト」といった社員以外についても、支払調書などに記載するマイナンバーを同様の流れで取得する必要があるという点です。
とはいえ、本人確認の書類を持参してもらうわけにもいきませんから、免許証やパスポートをスキャンした画像と共にメール等でマイナンバーを通知してもらうという流れが現実的です。
そうなると、「メールのなりすましや傍受の危険性」といったリスクや「株主の個人PCがマルウェア感染していたことが原因でマイナンバーが漏洩した場合も自社の責任となるのか?」といった疑問が生じます。
政府から提示されているガイドラインではこうした細かい部分について企業がどこまで責任を負うべきか?は明記されていません。「メールでの通知を受けたら、すぐに電話で確認する」「専用の通知サイトを設け、書留で通信サイトのID/パスワードを通知する」など、自社として本人確認の安全性をどこまで高めるのか?を具体的に検討しておくことが大切です。

[ポイント2:マイナンバーの利用・提供]

ここでの「利用・提供」とは人事/総務を担当する社員が帳票類にマイナンバーを記載し、然るべき行政機関に提出する作業を指します。
マイナンバーは氏名や住所といった従来の個人情報よりも厳密な管理/保護が要求され、法律で定められた以外の用途での利用・提供に対しては罰金や懲役を伴う罰則が設けられています。
そのため、「人事担当者であれば、誰でもマイナンバーを参照できる」という状況は好ましくありません。
自社の場合にマイナンバーの利用・提供に該当する業務には何があるのか?を洗い出した上で、それを担う社員を誰にするのか?を明確にしておく必要があります。
また、もしマイナンバーの漏洩が起きてしまった場合には「外部からの攻撃によるもの」なのか「社員の故意によるもの」なのかによって企業が果たすべき責任も大きく変わってきます。
それを立証できるようにマイナンバーの利用・提供に関する操作(ファイルの読み書きやシステムへのアクセス)をログとして記録しておくことが重要となります。

[ポイント3:マイナンバーの保管場所]

システム面での取り組みを大きく左右するのがマイナンバーを保管する場所の選択です。大きく分けて、以下の3つのパターンがあります。

パターンA:クラウドサービス:

マイナンバーを専用のクラウドサービスに保管し、帳票類を出力する際には既存の人事システムなどの社員情報とその都度結合させる方法。

パターンB:業務システム(人事システム等):

既存の業務システムにマイナンバーを管理/保管する機能を付加する(バージョンアップ)する方法。

パターンC:データファイル(エクセル等)(非推奨):

マイナンバーをその他の社員情報と共にファイルに記載する方法。

 

パターンAはマイナンバーが社内に存在しないので、物理的なセキュリティ確保の負担が軽減されるというメリットがあります。
また、ポイント1のマイナンバーの取得における専用の通知サイトとして利用できるケースもあります。ただし、マイナンバー関連業務を外部に委託する場合は委託元が委託先を監督する責任があります。「クラウドなので、任せきりで大丈夫」とはならない点に注意しておきましょう。
また、人事システムなどを既に導入している場合には帳票出力のためのデータ連携を行う必要があり、その分の費用負担を考慮しておく必要があります。

 

パターンBは既に人事システムなどを導入している企業にとっては最も現実的な選択肢といえます。
ただし、ポイント2のマイナンバーの利用・提供でも触れたように「ただ単にマイナンバー用の項目が追加されている」だけでは十分ではありません。
既存のシステムをバージョンアップした場合、「マイナンバーを管理する専用のアクセス権設定が可能か?」「操作ログはきめ細かく取得できるか?」などを確認しておきましょう。
また、パターンBの場合にはポイント1のマイナンバーの取得に必要な対処(各所のPCから人事システムにマイナンバーを格納するまでの間のセキュリティ確保)を忘れてしまいがちなので、その点にも注意が必要です。

 

パターンCは企業としてはできるだけ避けるべき選択肢といえます。
従業員が少ない企業では人事システムなどを導入せず、社員名簿をエクセルなどで管理しているケースも多々あるかと思います。ですが、データファイルの状態ではポイント1やポイント2で述べたセキュリティ対策を講じることが非常に難しくなってきます。
社員だけでなく、社員以外も含めたマイナンバーの一覧をデータファイルとしてPCに入れておくという状態は非常に危険と言わざるをえません。小規模な企業にとっては少なからぬ負担ですが、パターンAやパターンBを選んだ方が安全といえます。

 

マイナンバー制度への対応では「抜け穴がないこと」が重要です。
上記の3つのポイントを検討した後は然るべき専門家(会計事務所やIT企業など)に相談し、さらに着実な対応を進めていくことをお勧めします。

 

・本コラムに記載された内容は各専門家の意見であり、東京商工会議所の意見を代表するものではありません。
・本コラムに掲載された内容は、執筆者より投稿された内容をそのまま掲載しており、個人の主観的な評価、時間の経過による変化、伝聞が含まれることから、東京商工会議所はその内容の完全性、正確性、安全性等いかなる保証も行いません。

執筆者

iwakami岩上 由高(いわかみ ゆたか)

株式会社ノークリサーチ シニアアナリスト

早稲田大学大学院理工学研究科数理科学専攻卒業後、ジャストシステム、ソニーグローバルソリューションズ、ベンチャー企業数社にて、ユーザ企業に対するIT活用提案の経験を積む。ノークリサーチではこうした経験を活かしたリサーチ /コンサル /講演 /執筆活動などを担当。
著書に「クラウド大全」(共著)(日経BP社)などがある。

http://www.facebook.com/yutaka.iwakami
http://twitter.com/Yuhtan

 

お役立ちコラムの
トップへ

ページの先頭へ