改修せずに対応可能、マイナンバー支援サービスのススメ：IT導入完全ガイド（2/5 ページ）

[酒井洋和，てんとまる社]

企業に求められるマイナンバー対策とは？

　このマイナンバー制度の運用開始にあたっては、マイナンバーのライフサイクル管理を企業が行っていく必要がある。

　大前提として、企業が自治体に提出する書類、具体的には源泉徴収票など税に関する書類や健康保険など社会保障に関する書類などにマイナンバーの記載が義務付けられるため、従業員や支払が発生する個人事業主などからマイナンバーを事前に取得しておき、秘匿性が高い情報であるが故に厳重な保管を行う。

　そして、申告のタイミングで各種書類にマイナンバーを記載し、自治体に提出することになる。また、従業員が退職するなどマイナンバーがその企業にとって不要になった場合でも、7年間厳重に保管した上で復元不可能な形で破棄することも要件の1つに数えられている。

　このような管理を実現するためには、既存業務を見直しながら、各種帳票を出力するためのシステム、具体的には人事給与パッケージなどの改修が必要だ。もちろん、社内の個人情報管理規定などの変更など管理体制の見直しや、従業員に対する周知・徹底も企業が実施すべき対応になってくる。

表1 法人に必要な対応（出典：富士通マーケティング）

　実際の対策と想定されるスケジュールは図1の通りだ。記事掲載時点（2015年7月末）を見れば明らかなように、既に改修作業などが行われているべきタイミングになっている。2016年1月から対応可能な環境にするためには、マイナンバーが通知される2015年10月（通知が始まるのが10月からなので、ある程度の従業員に届く11月ぐらい）から収集できる環境は整えておきたいところだ。

図1 マイナンバー制度対応スケジュール（出典：富士通マーケティング）

　また、個人番号や特定個人情報の漏えいや毀損（きそん）の防止に向けて、マイナンバーでは安全管理措置と呼ばれるものが義務付けられる。個人情報保護法の際のフレームワークと同様の措置で、具体的には基本方針や取扱規定などを明確に定めた上で、組織的および人的、物理的、技術的な安全管理措置を講じていくことが必要だ。

　組織的な安全管理措置とは、誰が責任を持って安全管理体制を構築していくのかという組織体制の整備を定めて、それを規定に落していくものだ。人的な安全管理措置は、従業員や委託先の人材に対してマイナンバーに関する情報やそのリスクを啓発する活動が中心となる。

　物理的な安全管理措置とは、例えば立ち入り禁止区域を設けるなど物理的に持ち出せないような盗難防止策を講じるものだ。そして最後に、ファイアウォールや暗号化など技術的な対策によってアクセス制御や不正アクセスの防止策を実施する技術的な安全管理措置だ。これら安全管理措置を施していくことが企業に求められる。

　ちなみに、企業においてマイナンバーを主管する部署だが、実は企業によってその状況はまちまちのようだ。従業員のマイナンバー管理については人事部での取り扱いが多いが、例えばセミナーの講師やデザイナー、現場で働くパートやアルバイトなど、契約している人材の管理はそもそも総務や各現場の管理者が行っていたりする。しかも、今回はシステム対応が求められるため、システム改修には情報システム部門の協力が欠かせない。実際には人事部門と情報システム部門の綱引きが続いている企業もあるなど、マイナンバー対応に向けた組織体制作りに時間を要するケースが少なくない。

コラム：日本年金機構の情報漏えいによる影響

　2015年6月に公開された、サイバー攻撃による日本年金機構の情報漏えい事件。最終的には101万4653人もの年金情報が漏えいした形となったが、この事件の影響からか、マイナンバー対応でもセキュリティに関する要望がベンダーサイドには多く寄せられている。事件以前は、導入済みの人事給与パッケージの簡単な改編で対応するという話もあったようだが、この事件をきっかけにより強固なセキュリティ対策が求められるようになってきている。事件が呼び水となり、セキュリティの重要性があらためて問われているのだ。