改修せずに対応可能、マイナンバー支援サービスのススメ：IT導入完全ガイド（5/5 ページ）

パッケージ改修か支援サービス利用か

　マイナンバー制度への対応については、既存の環境によって対応方法が分かれるところだ。例えば、既に人事給与パッケージを導入しているところでは、恐らくパッケージ改修で対応することだろう。逆にグループ企業全体での統制を重視する企業では、マイナンバー支援サービスなど外部のサービスを利用して、グループ一括で環境作りを行うところもあるはずだ。それぞれの環境でコストと納期を勘案しながら最適な環境を選んでほしい。

　ただ注意しておきたいのは、現状は「税と社会保障と災害」にのみ活用されるマイナンバーも、これから他の用途にも応用されることが既に検討されている。カルテなど医療分野の情報を一元的に管理する個人番号を導入する方針が厚生労働省から明らかにされており、マイナンバー連動が具体的に議論されている。

　企業システムにおいても、人事給与以外の仕組みにマイナンバーが影響する恐れもあるため、マイナンバーは個別の管理をする方が将来に拡張しやすい面もある。また人事給与パッケージ内でマイナンバーを管理すると、その仕組み全体を特定個人情報として取り扱う必要があり、強固なセキュリティ対応の範囲が人事給与全体に及ぶことになる。対応範囲を最小限にするのであれば、外部サービスを利用するのは有効な策の1つとなるだろう。

セキュリティレベルの違いに注意

　マイナンバー制度への対応要件内で、セキュリティに対する具体的な施策は「暗号化」「ファイアウォール」などの要件のみで、どこまでやるべきなのかの具体的な要件は明確に決まっていない。だからこそ、セキュリティレベルは自社の中でしっかり検討していく必要がある。今回紹介したマイナンバー支援サービスでも、それぞれセキュリティ対応が行われているが、実は注意したいのがセキュリティの粒度が違うということだ。

　例えば、契約しているアルバイトからのマイナンバー取得を容易にするため、Webサイトから収集できるインタフェースを提供しているサービスは多い。しかし、Webサイトは公開されている情報で、何か新たな脆弱（ぜいじゃく）性の発見で内部のDBへのアクセスが可能になってしまう可能性は否定できない。

　そこで、外部から内部に入るメソッドを一切用意せず、内部から外部へのアクセスのみが許可されているような仕組み作りを行っているベンダーもある。また、アルバイトが登録したWebサーバ上のデータは数分おきに内部から情報が取得され、そのタイミングでデータが消去されるなど、情報漏えい対策を万全に行っていたりもする。

　前述した通り、暗号化した上で保管しているマイナンバーを利用する際に、印刷するジョブとともに復号処理を行い、メモリ上だけに展開して平文情報をどこにも残さないといった徹底したセキュリティ対策を実装しているサービスもある。

　実際にマイナンバーが保管されているサーバへの物理的なアクセスについても、特別な専用スペースを設けて2人以上が同時に入出しないと作業できないよう事業者自ら運用体制を強化したり、メンテナンスを含めた作業中の模様を全て録画することで抑止力を高めたりなど、物理的なセキュリティ対策にもサービスによって違いが出てくる。サービスにおけるセキュリティ実装はそれぞれその粒度が異なっている点をしっかり確認しておきたい。

ライセンスに含まれる範囲に差あり

　マイナンバー支援サービスでは、初期費用や月額費用、そして利用IDごとに発生する従量課金など、さまざまな形態でライセンス体系が決められている。特に料金部分で異なってくるのは、IDカウントの考え方だ。従業員とその家族を1つのIDとしてカウントするのか、扶養家族に含まれている人数それぞれにIDが個別に必要になるのかなど、考え方はサービスによって異なる。

　また、マイナンバー制度では個人ごとに免許証などの本人確認書類の証憑が必要になるが、その証憑を保管するストレージ容量に制限があるのか、管理者となる人の人数やクライアント証明書の利用可能数など、料金に含まれる範囲が実際には細かく異なってくる。このあたりはしっかり確認しておきたい。

　サービスによっては、利用ID数が限定された小規模事業者向けのパッケージなども用意されており、手ごろなサービス料金で利用できるものもある。

対応する帳票の種類も確認したい

　マイナンバー支援サービスでは、申告時にデータをサービス事業者にアップロードし、例えば源泉徴収票や雇用保険被保険者資格届などサービス側が用意している帳票にマイナンバーをひも付けて出力してくれるものが多い。そうなると、サービス側が用意している帳票の種類が自社が必要としているものがきちんとそろっているかは確認しておきたいところだ。

　現時点では全ての帳票が用意できているところは少ないと思われるが、自社に必要な帳票をあらためて確認し、その帳票がサービスとして用意されているかどうかは事前にチェックしておこう。同時に、帳票がない場合の対応方法についてもきちんと確認しておこう。