マイナンバー制度が導入されることにより、企業で扱う情報の量や範囲も変わってくるために、社内情報システムも新たに構築し直し、最適化しなければなりません。そのためには、いつまでにどのような対応をすれば良いのでしょうか?
企業のマイナンバーの取り扱いとは?
マイナンバー制度が始まると、企業は税金や社会保険の手続きにおいて、従業員などからマイナンバーを本人確認を行った上で収集し、書類などに記載しなければなりません。マイナンバーの収集対象者は、役員、パート、アルバイトを含む従業員だけではありません。その扶養家族、さらには、講師の謝礼や原稿料、不動産使用料、配当などの支払い先なども含まれます。 また、法律で定められた目的以外には利用できないため、その収集から保管・利用・破棄に至るまで、個人情報保護法以上に厳格な管理が義務づけられます。
2016年末までに情報システムを最適化する必要がある!
「マイナンバーを収集したら、すぐさま管理する責任が生じますから、安全管理措置も講じられていなければならない。ただ、システムの構築が間に合わないのであれば、当初は紙ベースで管理して金庫に入れておく、という方法でもやむを得ないでしょう。ただし、2016年末近くには源泉徴収票作成がありますから、それまでにプライオリティを決めてシステムの改修・構築を進めていく必要があります」
マイナンバー制度を誤解すると、システム対応をやり直す事態も!
事業者向けガイドラインでは、「ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する」と例示している。つまり、番号関係事務実施者だけが特定個人情報にアクセスできる。行政機関向けガイドラインに補足する詳しい説明がある。それによると、システム管理者であっても、「特定個人情報ファイルの内容を知らなくてもよいのであれば、特定個人情報ファイルへ直接アクセスできないようにアクセス制御をする」。この考え方は、「行政機関だけでなく事業者でも全く同じ」(特定個人情報保護委員会)という。
実際、日本オラクルなどITベンダーの中には、DB管理者とセキュリティ管理者の権限を分けて、「DB管理者でも特定個人情報にアクセスできない」という機能を打ち出す動きもある。誤解を基にシステム対応を進めて、やり直す事態に陥らないように、情報収集は不可欠だ。
対応が必要な情報システムは意外と多い!
民間企業でも、ほとんどがマイナンバー制度に対応する必要があります。マイナンバー制度の運用が始まると、企業は、官公庁や自治体に提出する書面にマイナンバーを記載することが必要になります。そのため、業務プロセスや情報システムの改修が必要となります。また、個人番号や法人番号を管理する仕組みと安全管理措置が必要となります。
マイナンバー制度対応に向けた事前準備を今すぐ進めることをお勧めします。
対応すべきシステム①社会保険や税の法定帳票の様式変更
「社会保険や税の法定帳票の様式変更」は、各種の法定帳票や連携データにマイナンバーの項目が追加されるという変更です。これについては、パッケージソフトを利用している場合、あまり心配する必要はありません。事前にこれらに関する機能改善(バージョンアップ)が行われますので、それを適用することで対応が可能でしょう。ただし、例えば健保組合とのデータ連携など自社独自のプログラムを追加している場合、個別に改修が必要になりますので注意が必要ですね。
一方でパッケージソフトを利用せず、自社用にスクラッチ開発しているのであれば、今回のマイナンバーにおけるインパクトは非常に大きいものになります。社会保険や税に関連する法定帳票のほとんどにマイナンバー変わることが予想されるため、早めの検討が必須です。
対応すべきシステム②情報の安全管理への対策
情報の安全管理への対策」ですが、これが要注意です。今のところあまり意識されていない企業が多いように感じますが、特に拠点や担当者が多い企業では影響が大きいですので、なるべく早く検討しておくべきでしょう。
マイナンバーは非常にプライバシー制の高い特定個人情報です。そのため、取り扱いについては法的な厳しい縛りが規定されています。そして、その対策の肝になるのは人事給与システムです。まだ運用ルールとして明らかになっていない点が多いものの、この準備次第で企業のマイナンバー対応がスムーズにできるかどうかが決まってくると思います。
システムの最適化だけではなく、安全管理措置も必須!
「たとえば、マイナンバーにアクセスできるシステムは、すべて特定個人情報を扱うシステムと見なされ、安全管理措置を講じる対象となります。同様に、特定個人情報を見ることができる人は、すべて個人番号関係事務者とみなされます。このように特定のシステムや人に絞るには、データベースの権限管理・アクセス制御が不可欠です」また番号法では、個人番号を暗号化したとしても、それは一定の法則に従って変換したものとされ、引き続き個人番号として取り扱われる。
「『暗号化すれば番号法の適用は受けない。だから安全管理しなくていい』というロジックは成り立ちません」
大きなところでは「①社会保険や税の法定帳票の様式変更」「②情報の安全管理への対策」の2つですね。
できる限り早めに把握し、行政の事務管理ルールと合わせて自社の業務手順に落とし込んで行く必要があります。
また、業務効率化のためにシステム対応の検討が必要になるものも別途でる可能性もあるので、
自社にてどんな対応が必要であるかを今一度確認することも大切でしょう。