プロセスで理解するマイナンバー制度と企業への影響

昨年成立したマイナンバー法(「行政手続における特定の個人を識別するための番号の利用等に関する法律」、または単に「番号法」ともいいます)に関連して、先月、特定個人情報保護委員会から「特定個人情報の適正な取扱いに関するガイドライン(事業者編)(案)」が公表されました(現在パブリックコメントを募集中→12月11日確定版公表済み)。当該委員会から公表されている各種ガイドラインや、その他関係法令・FAQと合わせて、マイナンバー制度導入の導入に向けた環境整備は着実に進んでいます。

*特定個人情報保護委員会は、マイナンバー制度の安心・安全を守るため、2014年1月1日に発足した組織です。行政機関や民間企業などが特定個人情報の適正な取扱いを確保するための具体的な指針として、ガイドラインや解説などを公表しています。

*2014年12月11日に公表された確定版のガイドラインを受けて、以下のエントリー内では用語等の一部訂正を実施しました(12月19日)

その一方で、ノークリサーチが先月実施した中堅・中小企業におけるマイナンバー制度への取り組み実態に関する調査によれば、年商5~50億円の企業において「内容を理解しており、自社で対応すべき事項も全て把握している」と回答した企業はわずか18%でした。

このギャップは中堅・中小企業におけるマイナンバー制度への認知や理解度は非常に低く、早急な啓蒙活動が必要であることを表しています。

マイナンバー制度の企業への影響

このマイナンバー制度の導入は、企業に対して全社的に情報管理意識を高める対応を求めているところが一番重要です。特定の部門だけでなく、全社的な啓蒙活動や情報システムの対応、追加的な内部統制の構築、特定個人情報等の取扱状況に関するモニタリングなど、その準備・対応は多岐にわたります。

したがって、マイナンバー制度の導入・構築に必要となる準備・対応期間を過小評価せずに計画的に対応しなければいけません。

なぜ、今、マイナンバー制度の影響を評価する必要があるのか

法律に基づく個人番号・法人番号の通知が平成27年10月から開始されます。あと1年もあると捉えるか、もう1年しかないと捉えるかは主観的なものですが、今、マイナンバー制度の影響を評価しなければいけない理由は次の3つにあると考えます。

マイナンバー制度で生じる義務の理解

企業が、特定個人情報の適正な取扱いを確保するためには、経営者自らが特定個人情報に対する保護措置の重要性について十分な認識を持って適切な経営管理を行う必要があります。そのために、関係法令やガイドラインなどに従って、特定個人情報の適正な取扱いを確保するための具体的な方策について検討しなければなりません。

特定個人情報の適正な取扱いに関するガイドライン(事業者編)案[以下、ガイドライン(事業者編)という]では、全体60ページぐらいのボリュームですが、その中に「しなければならない」及び「してはならない」と記述している箇所が単純検索で約50か所存在します。これらの事項は従わなかった場合、法令違反と判断される可能性もありますので、一通りのチェックが求められます。

すべての企業が対応する必要がある

過去にも、「個人情報保護法」や「金融商品取引法における内部統制評価報告制度(いわゆるJ-SOX)」のように、企業活動や関連する情報システムに大きな影響を与える類似した制度の導入は存在しました。

しかし、「個人情報保護法」は一定数以上の個人情報を取り扱う事業者にのみ、個人情報の安全管理義務を課していましたし、「金融商品取引法における内部統制評価報告制度(いわゆるJ-SOX)」は基本的に上場企業が対象となる制度でした。

これに対して、「マイナンバー制度」は扱う個人情報の数や上場/非上場などの適用範囲の限定はなく、従業員に給与を払ったり、委託先となる個人に報酬を支払うといった行為を行う全ての企業が対象となります。そのため、上記2つの制度と比較した場合、影響の及ぶ企業数は非常に多いということが特徴です。

システムベンダー任せはNG

適切な情報管理体制を求められると「現行の情報システムを改修しなければ」とか、「うちはパッケージソフトウェアを利用しているから、ベンダーで対応してくれるはず」と考えがちです。もちろん、システム対応も重要ですが、ガイドライン(事業者編)で例示されている安全管理措置は、システム対応以外の項目も含まれています。

少なくとも「システムベンダーが何とかしてくれるから、もう少し対応は後でいいか」という先延ばしは避けるべきでしょう。

ガイドライン(事業者編)からみるマイナンバー制度への対応

ガイドライン(事業者編)では、安全管理措置の具体的な内容として、「(別添)特定個人情報に関する安全管理措置(事業者編)」が添付されています。現時点では、公開草案ですので、まだ修正が入る可能性もありますが、このままとすれば、(特に中堅・中小の)事業者に求められる保護措置はかなり厳しいものとなります。

まだ、最終的なガイドラインの内容が確定する前の段階ですので、今回はガイドライン(事業者編)を読む際のマップとして安全管理措置の各管理段階(プロセス)に着目した図表をご紹介したいと思います。これによって、頭の中に全体を鳥瞰するイメージができますので、ガイドラインを読む際に、どこのプロセスの話をしているのか、または特定プロセスではなく全般的な取扱いルールの話をしているのか、整理が容易になります。

運用プロセスの確立

ガイドライン(事業者編)によれば、特定個人情報等の適正な取扱いの確保について組織として取り組むため
に、基本方針を策定し、特定個人情報等の取扱いを定める取扱規程等を策定しなければなりません。取扱規程等には、個人番号を取り扱う事務の範囲・特定個人情報等の範囲・事務取扱担当者の3つを明確にしたうえで事務手続の流れを整理して落とし込みます。

そして、取扱規程等では、5つの管理段階(取得、保管、利用、提供、削除・廃棄)ごとに取扱方法、責任者・事務取扱担当者及びその任務等について定めることが例示されています。この管理段階は管理プロセスを表すものとも考えられます。したがって、字句を並べるよりも、それらの関係性を捉え、かつ特定個人情報ファイルという情報の固まりや関連する外部エンティティとの関係も含め図表化する方が記憶に残ります。

管理プロセスとして、取得、保管、利用、提供、削除・廃棄などの関係性を図表にすると例えば次のように表現することができます。

管理プロセス

ガイドライン(事業者)別添資料をもとに筆者にて作成

シンプルな図表ですが、ガイドライン(事業者編)を読み込むにあたって、また、企業が自社の特定個人情報等の取扱いを定める取扱規程を策定するにあたって、このような図表イメージをフレームワークとして頭に描いておくと整理しやすいと思います。

源泉徴収票等を作成する事務の例

ガイドライン(事業者編)にも例示としてあがっている「源泉徴収票等を作成する事務」の場合、次のような事務フローに即して手続を定めます。

  1. 従業員等から提出された書類等を取りまとめる方法
  2. 取りまとめた書類等の源泉徴収票等の作成部署への移動方法
  3. 情報システムへの個人番号を含むデータ入力方法
  4. 源泉徴収票等の作成方法
  5. 源泉徴収票等の行政機関等への提出方法
  6. 源泉徴収票等の本人への交付方法
  7. 源泉徴収票等の控え、従業員等から提出された書類及び情報システムで取り扱うファイル等の保管保存方法(下図表内は読み替えのこと)
  8. 法定保存期間を経過した源泉徴収票等の控え等の廃棄・削除方法

これらを上のプロセスに着目したフレームワーク上にマッピングしてみましょう。

源泉徴収票事務

取扱管理規程は特定個人情報の種類、事業拠点などを意識して作成しますが、このような全体像があると重複や漏れを防ぐこともできます。

取扱規程等に織り込む安全管理措置

さて、ガイドライン(事業者)のパブリックコメントの締め切りは11月9日です。現在の公開草案またはいずれ公表される確定版を読み込むときに、上の図表を参考にどの管理プロセスレベルで(または、全体レベルで)どのような安全管理措置をとることがガイドラインで示されているかチェックをしてみてください。

公開草案のガイドライン(事業者編)の別添資料では、取扱規程等として具体的に定める事項について、次の4つの観点で分類した安全管理措置を織り込むことが重要であるとしています。以下ではその項目を整理しておきます。

C.組織的安全管理措置 a.組織体制の整備、b.取扱規程等に基づく運用、c.取扱状況を確認する手段の整備、d.情報漏えい等事案に対応する体制の整備、e.取扱状況の把握及び安全管理措置の見直し
D.人的安全管理措置 a.事務取扱担当者の監督、b.事務取扱担当者の教育
E.物理的安全管理措置 a.特定個人情報等を取り扱う区域の管理、b.機器及び電子媒体等の盗難等の防止、c.電子媒体等を持ち出す場合の漏えい等の防止、d.個人番号の削除、機器及び電子媒体等の廃棄
F.技術的安全管理措置 a.アクセス制御、b.アクセス者の識別と認証、c.外部からの不正アクセス等の防止、d.情報漏えい等の防止

ガイドライン(事業者)別添資料をもとに筆者にて作成

ガイドライン(事業者編)がこのまま確定するとしたら、(特に中堅・中小の)事業者に求められる保護措置はかなり厳しいものになるとしたのは、例えば、「削除・廃棄」プロセスに特有な次の例示項目です。中小規模事業者における対応方法も記載していますが、かなりアバウトです。

C.組織的安全管理措置-システムログまたは利用実績の記録

  • 特定個人情報ファイルの削除・廃棄記録
  • 削除・廃棄を委託した場合、これを証明する記録等

中小規模事業者における対応方法・・・特定個人情報等の取扱状況の分かる記録を保存する。

E.物理的安全管理措置

  • 特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。
  • 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。
  • 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する。
  • 特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
  • 個人番号が記載された書類等については、保存期間経過後における廃棄を前提とした保管手続を定める

中小規模事業者における対応方法・・・特定個人情報等を削除・廃棄したことを確認する。

ガイドライン(事業者)別添資料より抜粋・引用

まとめ

マイナンバー制度の導入まであと1年余りです。まずは手近にできるところから着手しましょう。マイナンバー制度がどのようなものか、というところから学習したい場合は、内閣府のサイトが便利です。「マイナちゃんのマイナンバー解説」「よくある質問(FAQ)」など入りやすいと思います。

内閣官房-社会保障・税番号制度トップページ

また、マイナンバー制度の企業対応についてより実務的な対応を知りたいという場合は、導入を支援している様々な法人がサイト上で解説記事を書いていますし、セミナーも多く開催されています。

ちなみに紙媒体ですが、所属する法人メンバーが執筆しているこちらの雑誌では、制度概要の解説から対応のためのロードマップなど実践的な解説がコンパクトに解説されていますのでおススメです。

マイナンバー法への実務対応 岡田健司 仰星監査法人 公認会計士 旬刊経理情報11月1日号(1395号)

さらに、私の知り合いの村上秀次さん(公認会計士・税理士)がマイナンバーのセミナー講師をすると聞きました。会場は大阪です。経理部門災害対策セミナーやクラウドERPに関する執筆などもされている方で、マイナンバーについても他法人のセミナーとは少し違った観点でお話が聴けるかもしれません。

マイナンバー制度をきっかけに情報セキュリティを見直す! 講師:村上秀次 主催:JBCC株式会社