マイナンバー(情報システム部門)/キーマンズネット

IT・IT製品TOP > マイナンバー総合TOP > マイナンバー(情報システム部門)

対応方法を"3×3のマトリックス"で整理!情報システム部門のための「マイナンバー対応」の手引き
「収集」「保管」「利用」を"適切"に行う。基本はこれだけ!

社会的基盤としての社会保障・税番号制度の導入にともない、国民1人ひとりにマイナンバーと呼ばれる12桁の個人番号が割り当てられ、来年1月から社会保障・税・災害対策の行政手続きで運用が開始される。それにともない、民間企業においても税や社会保険の手続きで、従業員などのマイナンバーを取扱うことになることは多くの方がご存じだろう。具体的には、法定調書提出の際に個人番号/法人番号を記載する必要が生じるわけだが、そのために何を準備すべきなのかと困惑している企業も少なくないようだ。

マイナンバーは特定個人情報として適正に取扱うことが求められる。内閣府外局が公開している事業者向け 「特定個人情報の適正な取扱いに関するガイドライン」 では、特定個人情報等の保護のために必要な安全管理措置について示しており、具体的な手法としては、「取得する段階」「利用を行う段階」「保存する段階」「提供を行う段階」「削除・廃棄を行う段階」について、4つの安全管理措置(組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置)を織り込むことが重要だとしている。

大まかに言えば、マイナンバー制度開始で企業に新たに求められるのは、基本的にはマイナンバーの「収集」「保管」「利用」という3つのフローを業務に組み込むことと捉えていいのではないだろうか。たったこれだけと言えばこれだけだが、「具体的に何をすべきか」「どのレベルまでシステム整備しなければならないのか」は企業によって大きく異なる。その点こそが話を難しくしていると言える。

ここではマイナンバー対応に苦慮している企業に対して、「収集」「保管」「利用」という3つのフローと、それらに紐づくタスク(「関係者への周知徹底と教育」「関連業務/システムの洗い出しと対応検討」「システム/設備の導入もしくは改修」)の3つのマトリックスで、対応方法を整理していく。"9つの象限"でタスクに落とし込んでいくことで、具体的に「自社がなすべきこと、そして、その中で情シスがなすべきこと」も見えてくるかもしれない。
関係者への周知徹底と教育 関連業務/システムの洗い出しと対応検討 システム/設備の導入もしくは改修
収集 1-T 1-U 1-V
保管 2-T 2-U 2-V
利用 3-T 3-U 3-V
総務・経理・人事部門の役割は? 士業に聞いた対応ステップを確認!
マイナンバートップへ
このページの先頭へ

マイナンバーをいかに"適切"に「収集」するか

〜開始当初は大量の収集が発生することに留意し、適切な方法を選択

マイナンバーの収集にあたっては、まず、「誰から」「どのような方法で」「誰が」番号の提供を受けるかということを押さえておく必要がある。その際、給与支払い対象の従業員だけではなく、「社員以外の個人への支払い調書にも個人番号記載が求められる」ことにも注意しなければならない。また、実際の収集作業においては、厳格な本人確認も求められる。もちろん、この部分は必ずしもシステム利用が必要なわけではなく、書類ベースの手作業でも可能だが、特に開始当初に関しては、短期間で従業員数+扶養家族数の個人番号を収集しなければならないため、場合によっては、何らかのシステムやサービスなどの利用で効率化を図ることも検討すべきだろう。

1-T

収集における「関係者への周知徹底と教育」

収集に先立って対象者への利用目的などの提示を行っておく

マイナンバーという新たな情報を「適切に収集」するためには、収集を行う側への周知徹底はもちろんのこと、マイナンバー収集対象者(つまり、全従業員など)に対しても、収集に先立って「マイナンバーに関する教育・研修」「収集までのスケジュールの提示(収集開始時期などの確定)」などを実施しておく必要がある。特に「利用目的の確定・提示」は必ず行わなければならない。その際、税・健康保険・雇用保険など複数の利用目的を伝える必要があるのだが、各々を個別に行うのではなく一度にまとめて提示しても問題はない。具体的な手段としては、就業規則への明記のほか社内ポータルに利用目的を掲示してもいいし、各社員への電子メールなどで行ってもかまわない。

1-U

収集における「関連業務/システムの洗い出しと対応検討」

誰が、誰から、マイナンバーを収集する必要があるのか

マイナンバーの収集と聞いて、多くの人がまず想定するのは「従業員からの収集」だろう。この部分は人事、もしくは総務や経理が収集を行うケースが一般的となる。ただ、決してそれだけではないという点には注意が必要だ。つまり、従業員以外の個人への支払調書にも個人番号記載が求められる。例えば、総務は株主、法務は顧問弁護士、財務は税理士、広報や営業企画などはクリエイターや販促スタッフといった個人の報酬にかかわる支払調書が発生している相手をすべて洗い出す必要があるわけだ。この際、様々な担当者が収集作業を担う可能性も生じるが、ガイドラインでは「単に個人番号が記載された書類等を受け取り、支払調書作成事務に従事する者に受け渡す立場の者は、独自に個人番号を保管する必要がないため、個人番号の確認等の必要な事務を行った後はできるだけ速やかにその書類を受け渡すこととし、自分の手元に個人番号を残してはならない」としている。

1-V

収集における「システム/設備の導入もしくは改修」

どのような方法でマイナンバーを収集するか

個人番号を収集する際、企業側は従業員がその番号を所有する本人であることを確認しなければならない。「個人番号カード」そのものを提示してもらえば番号確認と身元確認が一度に行えるわけだが、これは各世帯に郵送される通知カードとは異なり、行政機関で2016年1月以降に交付してもらうものなので全員が所有しているとは限らないのだ。個人番号カード以外には、「各世帯に郵送される通知カード(もしくは個人番号が記載されている住民票の写しなど)」を用いる手段があるが、その場合には「本人確認書類(運転免許証やパスポートなど)」も併せて提示してもらう必要がある。基本的な手段は対面(もしくは郵送)となるが、「電磁的方法による提供」も認められており、書類をスキャンした上で、そのファイルを電子書名つき電子メールへ添付、あるいはクラウドサービスを介した受け渡しなども選択肢となる。もちろん、その際には不必要なマイナンバーを残さない仕組みの検討や、クライアントPCのセキュリティ対策の徹底なども必要となってくる。

関連情報

関連記事

関連セミナー

総務・経理・人事部門の役割は? 士業に聞いた対応ステップを確認!
マイナンバートップへ

このページの先頭へ

マイナンバーをいかに"適切"に「保管」するか

〜厳密な管理はもちろん、「厳密な廃棄」も含めた仕組みを整備

マイナンバーは特定個人情報として適正に保管することが求められている。その具体的な手立てとしては、個人情報保護法への対応と通じる部分も少なくないが、個人情報保護法よりも更に厳しい保護措置が求められるので、対策の見直しが不可欠だ。アクセス制御、アクセス者の識別と認証、外部からの不正アクセスや情報漏洩などの防止といった「技術的安全管理措置」に加えて、特定個人情報を取扱う区域の管理、機器及び記録メディアの盗難防止といった「物理的安全管理措置」もガイドラインに示されている。また、社員の退職などで不要となったマイナンバー及びマイナンバー記載書類(ファイル)は迅速・確実に廃棄しなければならない。

2-T

保管における「関係者への周知徹底と教育」

「廃棄」を含めたルール化を行った上で安全管理措置の策定を

特定個人情報の取扱いに関する基本方針及び取扱規程等を策定する際には、「廃棄」の段階も含めた取扱規程を定めなければならないという点に留意すべきだ。取得したマイナンバーは、「個人番号関係事務を行う必要がある場合に限って、保管し続けることができる」とされており、退職した社員など、個人番号関係事務を処理する必要がなくなった場合には、所管法令で定めた保存期間を経過した時点で、その番号は速やかに廃棄または削除しなければならない。具体的には、「システムで保存しているマイナンバーの削除」「マイナンバーが記載された書類等の廃棄もしくはマイナンバー部分のマスキング」といった対応が求められ、また、マイナンバーを削除する際には、「削除した」という記録も保存しておく必要がある。

2-U

保管における「関連業務/システムの洗い出しと対応検討」

個人番号をセキュアに保管し、適切な目的のみに利用できる体制を整備

「特定個人情報の適正な取扱いに関するガイドライン」では、取扱い全般にわたって講ずるべき安全管理措置として、「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つを例示しているが、特に「保管」の際には、以下が参考になるだろう。

組織的安全管理措置:
組織体制の整備/取扱規程などにもとづく運用/取扱状況を確認する手段の整備/情報漏洩などの事案に対応する体制の整備/取扱状況の把握及び安全管理措置の見直し

人的安全管理措置:
事務取扱担当者の監督/事務取扱担当者の教育

物理的安全管理措置:
特定個人情報などを取り扱う区域の管理/機器及び電子媒体などの盗難などの防止/電子媒体などを持ち出す場合の漏洩などの防止/個人番号の削除・機器及び電子媒体等の廃棄

技術的安全管理措置:
アクセス制御/アクセス者の識別と認証/外部からの不正アクセスなどの防止/情報漏洩などの防止

ガイドラインではそれぞれ具体的な手法の例示に加え、中小規模事業者における対応方法も記載されている。また、個人番号関係事務の全部または一部を外部に委託することも可能で、その場合には自らが果たすべき安全管理措置と同等の措置が講じられるように、委託先を監督する義務を負うことが前提となる。

2-V

保管における「システム/設備の導入もしくは改修」

保管に加え、"取扱う"作業場所にもセキュリティ対策が必要

ガイドラインで示されている「物理的安全管理措置」にもとづくと、個人番号の保管、そして、それを取扱う作業(給与事務、年末調整、採用など)を行う場所については、物理的にセキュアな環境で、物理的に別業務と混在しないようにしなければならない。また、適切な利用目的以外に使われないように、「誰が」「いつ」「何のために」個人番号にアクセスしたかを把握する仕組みも必要だ。小規模であれば、保管も作業も1台の独立した機器で完結させた上で、その機器のセキュリティ対策や盗難防止を厳密に行うことも考えられる。それ以上の規模になると番号管理サーバが保管されたシステム管理設備、そして番号を利用して作業を行う事務運用設備を独立して確保した上で、各々に物理的安全管理措置に対応した設備を準備することも検討しなければならない。

関連情報

関連記事

関連セミナー

総務・経理・人事部門の役割は? 士業に聞いた対応ステップを確認!
マイナンバートップへ

このページの先頭へ

マイナンバーをいかに"適切"に「利用」するか

〜主体となるのは、やはり人事・経理システムのマイナンバー対応

マイナンバーの利用は、前述のとおり「社会保障・税に関する手続き書類に従業員などのマイナンバーを記載して提出」することが基本となる。そのためシステム面では、やはり人事・給与・会計など関連基幹システムの対応が主体となるだろう。そのほかの注意点としては、本来の利用目的以外にマイナンバーを利用・提供してはならないということが挙げられる。例えば、マイナンバー対応を機に社員のIDとして利用するといった使い方は、仮に本人の同意を得ていたとしても不可とされている。

3-T

利用における「関係者への周知徹底と教育」

第一の"当事者"となる人事・経理担当者は
特に入念な理解と準備が必要

個人番号を取扱う際には、既存の事務業務とは全く異なる作業が多く発生するので、マイナンバー制度導入の新運用に則したマニュアルの整備や、マイナンバー制度への円滑な対応に向けた準備を行うことが必須となる。また、個人番号が付加される特定個人情報に関しては、前述のように"取扱い"の際の制限もこれまでの個人情報より格段に厳しくなるため、関連する社内規程の見直しも必要だ。業務でマイナンバーを扱う各担当者においては、一般の従業員に対する啓蒙以上により深いレベルでマイナンバー制度の内容や特定個人情報の取扱いにおける制限事項などを周知徹底しておく必要があるため、EIP、eラーニングなどのITによる整備も有効だろう。

2-U

利用における「関連業務/システムの洗い出しと対応検討」

人事・給与、そして会計まで…
マイナンバーの記載が必要な書類は?

企業では、各種法定調書や被保険者資格取得届などにマイナンバーを記載し、行政機関などに提出することになる。「税関係」では源泉徴収票、給与支払報告書など、「健康保険・厚生年金関係」では健康保険被保険者資格取得/喪失届など、「雇用保険系」では雇用保険被保険者資格取得/喪失届などが挙げられ、人事・給料・会計システムなどでマイナンバー対応のためのシステム開発・改修が必要だ。また、前述のとおり、個人番号関係事務は外部委託することも可能だが、例えば「収集」「保管」は自社で行い、「利用」だけを任せるという場合には、ファイルの暗号化などをはじめ、委託先とのセキュアなデータ連携手段の確保が必要となるだろう。

2-V

利用における「システム/設備の導入もしくは改修」

パッケージはバージョンアップで対応、
自社開発の場合は今からでは無理?

この部分では、なすべきことは比較的シンプルと言える。人事・給与・会計システムなどでパッケージ製品を利用している場合には、バージョンアップで対応かどうかをチェックすればいい。また、自社構築などでシステム改修での対応が必要な場合は、改修スケジュールなどについて早期に具体的対応の検討が必要だが、まだ着手しておらず、準備のための時間が足りないという場合には、人事・給与システムを自社開発している企業向けにマイナンバーの申請、管理、申告業務をアドオンで提供するソリューションなどの利用も検討すべきだろう。

関連記事

総務・経理・人事部門の役割は? 士業に聞いた対応ステップを確認!
マイナンバートップへ
取材協力:株式会社野村総合研究所


このページの先頭へ

ページトップへ