マイナンバーへ向けて企業が「まずやるべきこと」
1. はじめに
マイナンバーの政府広報が始まり、「そろそろマイナンバーに向けて準備をしないと」
という方が増えてきました。
私も商工会議所や法人会などでマイナンバーに関する講演をさせて頂く機会が増え、
色々な方からご相談を受けます。
マイナンバーの概要につきまして、今回は「まずなにをすればいいの?」という疑問にお答えしたいと思います。
2.マイナンバーの専門家とは?
マイナンバーを取り扱うにあたり、職業として携わる専門家は、主に社会保険労務士と税理士です。これにパソコンやネットワークの専門家が加わってマイナンバーの専門家集団と考える事ができるでしょう。
しかし、そもそも社会保険労務士は労働法や社会保障関係法規の専門家、税理士は税法の専門家です。マイナンバーのことを規定している法律である番号法を、専門に取り扱う「専門家」は存在しません。
それぞれの専門分野に付随して、番号法を掘り下げて、実務的なアドバイスができるに過ぎないのです。パソコンやネットワークの専門家に相談していたら、セキュリティーの費用だけで相当かかってしまった。こんなご相談も受けます。
マイナンバーに関しては、税理士、社会保険労務士にご相談頂き、どの程度のセキュリティーへの投資が必要かを客観的に議論する必要があります。
必要最低限の投資で十分に対策をとることができます。
3.まずやるべき事
まず、経営者はマイナンバーに関して危機意識を持たなければ始まりません。
経営者が危機意識を持つことが全ての出発点です。それを前提に「まずやるべき事」を考えていきたいと思います。
(1)業務の中から特定個人情報にかかわる業務を洗い出します。
例えば雇用保険・厚生年金保険・健康保険の□関係の届出、労災の給付請求といった事務です。
給与計算事務については、「扶養控除申告書」や「源泉徴収票」を取り扱う業務には特定個人情報や個人番号が含まれますが、月々の給与計算では特定個人情報を取り扱わないといったケースも多いでしょう。
このように、業務の中から「特定個人情報に関わる業務」をまず洗い出します。
(2)特定個人情報に関わる社員を洗い出します。
給与計算ソフトの社員マスターの入力をする社員は特定個人情報を扱う担当者となり、月々の勤怠データを給与計算ソフトに入力する社員は扱わない担当者となる可能性があります。社内のだれが特定個人情報に関わるのかを明らかにします。
(3)特定個人情報を扱うフロー表を考えます。
社員から提出してもらった書類に個人番号が記載されている場合は特定個人情報となりますから、これをどのように収集して、誰が管理するのか、誰がデータ入力し、帳票類を出力して役所に提出するのか、を確認します。
(4)特定個人情報の管理と廃棄。
特定個人情報は、法律上保存年数が決まっている書類がほとんどです。これをどのように管理するのか、廃棄する期日管理を誰が行うのか、を決めていきます。
(5)作業場所等の検討。
特定個人情報を取り扱う場合には、他の社員からその書類やパソコンの画面などが見える場所で作業をすることができません。
パーテーションで作業場所を区切ったり、別室で作業したりすることが求められます。
何処で、どの作業を行うのかを決めなければなりません。
(6)セキュリティーレベルの検討。
以上の検討を踏まえた上で、どのようなセキュリティーが必要かを検討しなければなりません。ログ管理ソフトやファイアウォールなどを購入したり、給与計算ソフトのバージョンアップや買い替えなどの検討です。
パーテーションについても色々と検討して、物理的な空間の整備も検討しなければなりません。
(7)委託先の検討。
特定個人情報が含まれている業務を外部に委託している場合(税理士や社会保険労務士、クラウドサービスを提供している会社、機密書類やパソコンの廃棄を行っている会社等)には、その委託先が適正に特定個人情報を扱えるのかを検討する必要があります。
4.組織の検討
「まずやるべき事」で検討したことを運用するために、責任者と担当者を決め、責任の空白がないように組織を整備しなければなりません。
また、情報漏洩が発生した場合の連絡など、初動を適切に行って二次被害を防止しなければなりません。緊急時の組織の運用体制も予め考えておく必要があるのです。
5.工程表の作成
「まずやるべき事」をお話ししましたが、これを工程表に落とし込み「誰が」「いつまでにやる」ことを決め、予算額を検討する必要があります。今年の10月には個人番号の通知が始まり、来年の1月から運用が始まります。
短期間の中でやるべき対策をとらなければなりませんから、工程表と責任者と期限を決める必要があります。
6.取扱規程の作成
取扱規程の作成や特定個人情報を取り扱う業務の流れなどは、上記の検討の中で明らかとなり、それを文書化したり、フロー表を作ることで対応できると考えられます。
7.教育
特定個人情報を取り扱う社員に対してしっかりと教育を行う必要があります。
収集から保管・廃棄までのルールについて確認し、徹底する必要があるからです。
これは顧問の社会保険労務士や税理士に依頼するのもいいでしょう。漏洩しないためのルールと意識を高めていく必要があります。
8.チェック体制の整備
定期的に適正な特定個人情報の取り扱いがされているのかをチェックする必要があります。
「把握」「評価」「見直し」「改善」の活動を、どのように行っていくのかを決めなくてはなりません。
9.まとめ
色々とお話をしましたが、本質的な目的は「情報漏洩の防止」です。
「どうしたら確実に特定個人情報のやりとりができるのか」がポイントです。
このポイントを押さえた上で、社内の業務を棚卸しして、対策を立てていくことが求められています。作業量は多いのですが、やるべき事は明確です。危機意識を持って対策を進めていきましょう。
「初出:週刊帝国ニュース東京多摩版 知っておきたい人事の知識 第65回 2015.5.26号」