Profession Journalに連載されました拙稿『J-SOXの経験に学ぶマイナンバー制度対応のイロハ』が、2月19日と20日の2日間限定で”無料公開”されます。
政府やマスメディアによるマイナンバーの広報活動も始まったこと、また、本制度の情報浸透度はある程度進行したことから、4月9日より1ヶ月間、”無料公開”されることになりました(4月9日追記)。
マイナンバー制度対応の初期段階において、他に情報収集した資料と合わせて読んでいただけると効果的です。
以下で記載したURLをクリックするとProfession Journalの該当記事へジャンプします(ログイン用のIDとパスワードは不要です)。
こんな疑問をスッキリ
マイナンバー制度の本質は何か?
マイナンバー制度について、「ニュース記事でよく耳にすることはあるけれど、うちの会社ではどのような対応が必要になりそうかイマイチわからない」という方。まずはその本質をしっかりとおさえましょう。
マイナンバー制度は、個人番号を含む特定個人情報について適正に取り扱うことを求めたもので、事業者はその具体的な方策について検討し、経営管理のしくみとして実践するものです。最近ではマイナンバーを取り上げる記事やセミナーが急増していて、中には、制度開始までの時間がなく早急な対応が必要であると危機感を煽られたり、安全管理措置を確保するための有効な手法があるという具合に”答え”としてのソリューションを提示されたりすることがあると聞きます。
でも、マイナンバー制度対応の本質が『コンプライアンスを目的とした内部統制』であると気付けば、落ち着いて対応できる人も多いと思います。金商法の内部統制(いわゆるJ-SOX)に馴染みのある方であれば、マイナンバー制度を内部統制のフレームワークに当てはめて考えてみるとスッキリします。
【第1回】マイナンバー制度はコンプライアンスに焦点をあてた内部統制の構築
ガイドラインが頭に入らない・・・
マイナンバー制度の本質が内部統制であると何となくわかったら、次にガイドラインを読んでマイナンバー制度の詳細を理解します。でも、「ガイドライン、読んでみたけれど頭に入らない・・・」という方。ガイドラインを読むにあたって、マイナンバーで対応が必要なプロセスとその関連を地図に描いてから読んでみてください。
ガイドラインの記述が、どこのプロセスの話をしているのか、特定のプロセスかそれとも全体の話をしているのかといった具合に、ガイドラインの内容をスッキリと整理することができます。
マイナンバー制度は、新しいしくみをゼロから構築するのではなく、従来から社内に存在する業務プロセスに個人番号関連の事務を付加することによって構築するものです。しかも、負荷される業務プロセスは5つに集約されるとしたら・・・少し安心しませんか。
どういう順番で構築すれば良いの?
ガイドラインがプロセスマップの絵と関連付けて読めるようになったら、制度対応に向けたロードマップを作成します。でも、「具体的な構築手順がイメージできない・・・」という方。ここでもマイナンバー制度の本質が、内部統制の構築であることを思い出すと、スッキリと整理することができます。
(意外かもしれませんが)コツはいきなり具体的な安全管理措置を検討しないこと。理由は、安全管理措置には特定個人情報等の漏洩リスクなど、リスクの識別と分析・評価が含まれるからです。
内部統制の構築に携わったことのある方であれば、業務処理統制では「プロセスの無いところにリスクは存在しない」という原則を思い出すはず。つまり、安全管理措置で検討すべきリスクは、マイナンバー制度で対応が要請される個人番号関連の事務を付加した業務プロセス(To-Be)が前提になります。
このTo-Beの業務プロセスの設計と安全管理措置を切り分けることによって、リスクを漏れなく拾い、かつ、過度な制度対応を避けることが可能となります。
もし、マイナンバー制度対応は、「まず具体的な安全管理措置を検討しなければならない」というアプローチをとるのであれば、それは基本方針や取扱規定等の策定は雛型ありきの制度設計になります。しかし、特定個人情報保護委員会では、取扱規定等の統一的なモデルを提示する予定はないと明言しています。このことは、裏を返せば、マイナンバー制度は内部統制構築と同じ性質を持つ、と言っていることに他ならないのです。
【第3回】安全管理措置は企業ごとの状況に応じたリスクを認識して構築する
Profession Journal『J-SOXの経験に学ぶマイナンバー制度対応のイロハ』
【第1回】マイナンバー制度はコンプライアンスに焦点をあてた内部統制の構築
【第2回】プロセスで理解するマイナンバー制度の保護措置
【第3回】安全管理措置は企業ごとの状況に応じたリスクを認識して構築する
