マイナンバー制度に対応、ERPで実現する内部統制：IT導入完全ガイド（4/4 ページ）

[西山 毅，レッドオウル]

　マイナンバー制度施行を契機に、今まで自社開発の基幹業務システムを利用していたユーザー企業が、まずはERPの人事管理モジュールとマイナンバーの収集、サービスをセットで導入検討するケースも多いという。この視点からERP製品の選定ポイントを見ていこう。

自社のマイナンバー管理のポリシーは明確か

　ERP導入以前に、そもそも自社がマイナンバーをどう管理していくかというポリシーを明確にしておかなければならない。それがなければ、どんな形でマイナンバーを管理し、そこにERPをどのように絡めていくのかという具体的なオペレーション方法も決められない。

　マイナンバー制度のガイドラインでは、利用規約を作ることが定められている。実際にはどこまで各論ベースに落としたルール作りをするかがポイントとなる。

　例えば、第三者に業務委託するケースで、何らかの業務処理上、マイナンバー付きの個人データをPCにダウンロードするという操作が発生したとき、そのデータが漏えいしないようにするために、どんなセキュリティ対策を施すべきか。ウイルス対策ソフトの導入は当然として、社外へのPCの持ち出しを禁止するのか、あるいはそれが業務効率を落とすことになるのなら、盗難や紛失時のPCの安全対策をどうするかといったところまで考えておく必要がある。

　ただし、こうした細かいポイントまでユーザー企業自身で掘り起こしていくことは難しいかもしれない。その場合には、外部の監査法人あるいはSIerなどにも相談しながら、マイナンバーの管理ポリシーを決めていくことが望ましい。

しっかりした利用制限と今後の利用範囲の拡大に対応できるか

　特定個人情報であるマイナンバーは、高い機密性が求められる非常にデリケートなデータだ。それをERPという統制の効いた環境内で一元的に扱うというメリットを得るためには、前章で紹介したアクセス認証やアクセス権限管理、アクセスログ管理などの利用制限を支援する機能が提供されているかどうかをチェックすべきだ。

　また2016年1月からマイナンバー利用の対象となるのは、税と社会保障の分野だが、将来的には銀行口座などへの利活用も見据えられている。今後の利用範囲の拡大の際に、追加のカスタマイズやオプションに多額のコストをかけてチューニングしなければならないようなERPでは使い物にならない。ベンダーのロードマップや保守料金内でどこまでの改修に対応しているのかなどを事前に十分にチェックする必要がある。

マイナンバー管理用のシステムとのデータ連携が容易か

　基本的にマイナンバーの収集や保管はERPの対象外だ。一部ERPの中にマイナンバー管理用の仕組みを持たせる製品もあるが、それでも他のモジュールからは独立したものとなる。そのため実際にマイナンバーを利用する際には、ERPとマイナンバー管理用のシステムとのデータ連携が、安全かつ容易にできるかどうかが重要なポイントとなる。

　そこでマイナンバーの収集から管理までのサービスも提供するERPベンダーでは、自社システムから接続するためのオープンなWebAPI（9種類）を提供する。「登録」「取得」「変更」「削除」といった4種は想像しやすいが、そもそも収集のワークフローを踏まえる必要もある。例えば、利用者が「仮」状態でマイナンバーを登録できるようにしておき、これを「確定」状態に切り替えるためのAPIなどだ。数は多くないが柔軟な運用を実現できるだろう。

マイナンバー管理用のシステムとのデータ連携のためのWeb API一覧（ワークスアプリケーションズ）

• MKS（ワークスアプリケーションズが提供するマイナンバー管理のためのプラットフォーム）に個人番号を登録
• MKSから個人番号を取得
• MKSに登録済みの個人番号を更新
• MKSに登録済みの個人番号を削除
• MKSに登録された未確定の個人番号を確定済みの個人番号に切替
• MKSに登録された確定済みの個人番号に対応する未確定の個人番号を登録
• MKSに登録された個人番号のチェック用IDを更新
• 個人番号の収集状況を取得
• MKSへの接続を確認