マイナンバー制度に、企業主はどんな不安を抱いているか？

企業では、税や社会保障の手続きの関係から、従業員やアルバイトのマイナンバーを収集、管理する必要がある。マイナンバーとそれにひも付く情報は、「特定個人情報」と定められている。取扱い責任者の教育、監督をはじめ番号の使用履歴を記録するなどの対策が求められる。もし特定個人情報の不正な流出や漏えいがあった場合には、企業や管理責任者に最高で罰金200万円以下、懲役4年以下の刑が科せられることになる。
東京葛飾区にある従業員15人、プラスチック製品の設計、製造を手掛ける中小企業の社長も、「どう対応すべきか、不安がいっぱいある」と、頭を抱える。同社ではこれまで書類で社会保障関係の情報を管理してきた。それが新たな法律では取扱い責任者以外の人物が覗き見できないよう間仕切りの設置や施錠ができる保管場所が求められる。

実は知られていないが、制度開始に伴って企業にも負担が発生し、1社当たりの負担額は約109万円と推測される。また、従業員数増加でその負担は増加し、1000人以上の企業では約581万円の負担が想定されている。

　内閣官房によると、民間企業は各種法定調書や被保険者資格取扱届に個人番号を記載して行政機関に提出しなければならないなど、これまでなかったような義務が発生する。帝国データバンクが行った企業のマイナンバー制度への対応についての調査結果によると、内容を知っている企業は約4割すぎず、コスト負担額は1社あたり109万円にも上ると推計されることがわかった。

　この調査は、今年4月時点で全国2万3211社を対象に行われたもので、1万720社から有効回答が得られた。

　2016年からマイナンバー制度がスタートするものの、「制度対応中・完了」という企業は約2割にとどまっているということも明らかになった。「予定はあるが何もしていない」が62.8％と圧倒的に多く、その他は「予定なし」5.8％、「分からない」13.2％となっている。

　具体的な対応としては、給与システムの更新、社会保障関係書類の更新、取扱規定の策定、従業員の家族やマイナンバー把握に始まり、従業員への周知、さらには、セキュリティ面の強化まで意外に幅が広いようだ。そして、肝心の費用だが、各企業が想定している平均として
109万円となった。

従業員の源泉徴収票や雇用保険の加入手続きなどの書類にマイナンバーの記載が必要になり、情報の管理が求められる。県内企業の９０％以上を占める中小企業にとっては事務作業や経費負担の増加が悩みの種だ。
　従業員６０人ほどを抱える大分市の衛生器材卸売会社の経理部長は「番号の保管や管理担当者の選任などの取り扱い規定を年内までに固めたい。罰則もある番号の管理が一番の心配だ」と話す。
　不安要因への“自衛策”を取る事業者も。同市のエネルギー関連会社では、従業員約５０人分のマイナンバーに関わる書類をパソコン上ではなく紙で作成する。「書類は金庫に保管する。サイバー攻撃やパソコンのソフトウエア変更に掛ける費用が省ける」という。

デジタルアーツが8月28～30日に実施した「マイナンバーのセキュリティに関する実態調査」の結果によると、アンケートに回答した912社のうち、69％が2015年12月末までにセキュリティ対策を終えるとした。

また、半数以上が制度概要などを理解していると答えたものの、セキュリティに関わる特定個人情報保護委員会のガイドラインの内容やマイナンバーの漏えいに伴う罰則規定、委託先管理責任などを理解しているとの回答は4割前後にとどまっている。

　マイナンバーのセキュリティ対策は、50.7％の企業が総務部門で担当しており、人事部門（15.4％）や経理部門（7.5％）が続く。通常のセキュリティ対策を担うIT部門がマイナンバーのセキュリティ対策を担当しているというのは4.3％、情報セキュリティ部門が担当しているケースも6.7％だった。

マイナンバーのセキュリティリスクでは、62.0％が「自社の従業員の人為的ミスによる情報流出」を挙げ、「外部からのサイバー攻撃による情報搾取」（43.8％）、「自社の従業員による情報の持ち出し」（32.1％）が続いた。

マイナンバー管理における具体的なセキュリティ対策の上位は、「人事給与システムの導入・改修」（48.5％）、「情報セキュリティ教育」（34.4％）、「セキュリティに関するルールの策定」（34.2％）、「クラウドサービスの導入」（27.2％）。一方でシステム的な対策は「ウイルス対策ソフトの導入」（20.8％）、「不正侵入検知・防御システムの導入」（11.6％）など下位に並んでいる。

調査結果についてデジタルアーツは、「人為的ミスや情報の持ち出しは、業務システムの改修や教育、ルール作成だけでは防ぎ切れない」と指摘。情報漏えいを懸念しながら、システム的な対策を講じる意識は低く、「アンマッチが浮き彫りになった」とみる。

　10月にはマイナンバーの通知が始まるため、制度開始までの3カ月間に企業ではセキュリティ対策を急ぐ必要がある。同社では「情報セキュリティ部門とも連携して、具体的なシステム面でのセキュリティ対策を検討することが望まれる」としている。

質疑応答

（問）マイナンバー制度と年金流出の問題について、２点お伺いします。
　昨日は、年金番号のデータベースと、それからマイナンバーのデータベース、別々だとお答えいただきましたが、そもそもの原因が職員の初歩的なミスであったり、それから対応が遅れていたりという問題が指摘されています。
　まず今回の年金の番号流出問題について、どうお考えになるのか、問題がどこにあるのかということをお伺いしたいというのが１点。
　もう１点は、国のＩＴ利活用ということを成長戦略に掲げようとされていますが、国民が医療情報など、マイナンバーでいろいろな情報を扱うことに対して不安に感じております。このＩＴ利活用の成長戦略というのを見直すことはあり得るのか、あるいは新たに何か対策をとられるのか。お考えをお聞かせください。
（答）マイナンバーの導入スケジュールを変更する予定はありません。今回の事件は、業務情報のデータベースのデータが、職員のパソコンを通じ流出したということで、本来、そうであるならば、職員のパソコンにそのデータベースからのデータが移されていくということは、あり得ない話だと思います。これはしっかり調査して、どうしてそういうことが起きたのかということを検証してまいります。
　それからマイナンバーは、宛名のデータベースというのは、いわゆる業務情報のデータベースとは別な管理をされています。その間にファイアウォールがあります。そして、マイナンバーにアクセスできる職員は、極めて限定されています。みんながアクセスできるというわけではありません。
　システムとしてのファイアウォール、それからアクセスする人間の制限、更には今回の事件を通じて不用にデータベースから自身のパソコンにデータが取り込まれるということがなぜ起きたのか、そこのところはしっかり検証して、そういうことがないようにしていきたいと思います。
　また、業務情報のネットを通じての連携というのは、暗号化して行われるわけでありますし、その暗号化とマイナンバーは別物でありますから、それらに乗っかっていくということはありませんから、そこでも、他の箇所から別の箇所のマイナンバーにアクセスすることはできないということは申し上げておきます。