マイナンバー制度の導入は、社内の業務にどのような影響を与えるのでしょうか？

マイナンバー導入前においては、業務プロセス設計の目標は「業務の効率化」にありました。すなわち、総務、人事、経理、情報システムなどの各部門が情報を柔軟かつスピーディーに交換・共有できるよう環境を構築し、シームレスな連携と効率向上を図ることが企業経営において最も重要な課題でした。もちろんセキュリティ対策の実現も軽視されていたわけではありませんが、比重はやはり効率化であったと言えるでしょう。

しかし、マイナンバー導入後は効率最大化の観点ばかりでなく、情報セキュリティの観点からも業務プロセスを改めて再構築し、効率化とセキュリティ対策の新たなバランスを取り直すことが求められています。効率化とセキュリティ対策は、いずれかを優先するというものではなく、同時に考えていくべき課題となります。

マイナンバー制度（社会保障・税番号制度）とは？

具体的な対応としては、

1. マイナンバーを直接取り扱うことのできる担当者を限定することや、また相互牽制の仕組みが働くよう、組織的、人的な安全管理措置を講ずること
2. 取得、保管、利用、提供など各段階での取扱履歴がしっかりと記録されるよう技術的な対策を講ずること
3. 廃棄が確実に行われたことが第三者にも容易に示せるようなルールを策定すること
4. 一つ一つのルールの実効性を高めるため、明文化された規定を策定すること

などが求められています。

各部門間の責任分担、部門内の業務手順や担当者ごとの権限など、従来よりもきめの細かいルール作りと実践が必要となったことがご理解いただけると思います。

では、マイナンバー対応のプロセスを8つのステップに分けて、具体的に詳しく見ていくことにしましょう。これから始める対応をどのような手順で進めれば良いか、あるいは進行中の対応に漏れや矛盾がないか、チェックしながらお読みください。

ステップ1　マイナンバー推進組織を立ち上げる

対応の最初に行うことは、経営者トップが会社としての基本方針を提示し、宣言することです。マイナンバーは従業員全員に関わる制度であり、対応を推し進めるには全社的な協力が必要となります。マイナンバーの取扱い担当者だけではなく、すべての従業員がマイナンバー対応の重要性を認識し協力してくれるよう、経営者自らがリーダーシップを発揮し呼びかける必要があります。

次に、総務（企画・法務）、人事（人事・給与）、経理、情報システムなどの関係部門が、マイナンバー制度を正しく理解できるよう努めます。具体的には、制度の趣旨、準拠すべき法律、マイナンバーの運用の流れ、安全管理措置の内容について正確な情報、知識を得るようにします。必要に応じて、社会保険労務士、税理士、ITコーディネータなど外部専門家にアドバイスを仰ぐことも有効です。マイナンバー制度の正しい理解は、後に続く「対象業務の特定」や「業務取扱手順の策定」のステップを適切に進めるためにも不可欠です。

最後に、対応を完了するまでの期限、費用などを計画に盛り込んだ導入プロジェクト計画を策定します。マイナンバー制度はすでにスタートしていますので、優先度の高いものから速やかに対応を進められるよう、進捗状況をしっかりモニタリングしましょう。

ステップ2　マイナンバー対象業務を特定する

推進組織と計画が整ったら、いよいよルール策定の作業に入ります。

ステップ2では、まずマイナンバー導入による影響範囲を確認し、フローの変更が必要な業務を特定していきます。マイナンバーは法律に認められた分野（社会保障や税金関係など）以外の利用が認められていません。従って、これら社会保障や税金などについて現在社内で行っている業務を漏れなく洗い出します。社労士、税理士などに業務を委託している場合も、リストアップしておきましょう。

対象業務の洗い出しが終わったら、漏えいにつながるようなリスクがないかを仔細に検討し、

• 各業務の取扱部門と責任者／担当者の明確化
• マイナンバーに関連する書類・帳票の特定
• 関連システムとデータファイルの管理方法の策定
• マイナンバー対象業務のフロー作成

など具体的な対応策を練っていきます。

ステップ3　業務取扱手順を作成する

対象業務を特定、リスクの洗い出し、対応策の検討に続き、これらを正しい業務手順を取扱手順として明文化します。

さらに整備した業務取扱手順が情報システムの仕様・取扱手順と整合性があるかについてもチェックします。

新たに必要となる書式があれば、これらを作成したり、帳票を入出力する情報システムに対応が必要な場合は、その仕様についてもこの段階で検討しておきます。

ステップ4　安全管理規定の作成

対応の4番目は、安全管理規定の作成です。安全管理規定とは、4つの安全管理措置（組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置）を実現するための具体的な対応策を明確化するための文書です。ガイドラインに沿ってリスク評価を行い、対応策を決定するとともに、責任者・取扱担当者を明確に示すことが必要です。

安全管理規定は、前項の業務取扱規定と密接に関連するため、両者を一つの規定として文書化しても良いでしょう。

以上のステップが第一の対応、すなわち「適切な取扱いルールを策定すること」の具体的内容となります。次のステップから「ルールを実践できるような環境を準備すること」に入っていきます。

ステップ5　マイナンバーにかかる情報システムの整備

マイナンバーの運用にITを利用する場合には、十分な検討を重ねる必要があります。

まず方式（パッケージ、クラウド、アウトソーシングなど）を検討します。自社開発システムを利用する場合には、要件を整理し、外部設計、内部設計、開発、テスト、運用試験、マニュアルの整備などを計画的に進めます。パッケージを利用する場合にも、同様に要件を明確にし、最適な製品を導入します。事前のテストやマニュアルが重要であることは自社開発システムと同様です。また保守・支援体制についても十分に確認しておくようにしましょう。

ステップ6　マイナンバー委託先契約の見直し

マイナンバー運用を外部に委託する場合は、委託先、再委託先に各種安全措置を遵守させることが必要です。委託先がガイドラインに沿った対応準備を行っているか、その実態を各種文書によって確認します。併せて、委託先管理規定の文書化や契約の見直し・締結を行います。

ステップ7　関係者教育を実施する

規定類は策定するだけでなく、従業員にその内容を十分に理解し確実に遵守してもらうことが必要です。そのために社内研修会等を実施し、マイナンバーの取扱いについて十分な知識を普及させるようにします。さらに、マイナンバー取扱担当者に対しては業務取扱手順、安全管理規定についても十分な説明を行い、業務効率を落とすことなく、安全なマイナンバー運用を心がけるよう教育や研修を行います。

教育や研修は一方的な指導に終わらせず、かんたんなテストを実施して理解度の確認を行ったり、また誓約書などを通じて意識づけを図ったりして、いっそう効果を高める工夫を重ねるようにしましょう。

ステップ8　運用前の点検と内部監査を実施する

安全管理措置の実効性を高めるためには、自己点検／内部監査／外部監査など牽制体制の構築と実施方法を明確化しておくことが必要です。監査規程などを策定している場合には、マイナンバーに関する項目を追加し、監査の実施・報告が継続的・確実に行われるよう明文化しておくと良いでしょう。

外部委託先に対しても、同様に定期的な監督・監査が必要です。内部監査と同じく、委託先においても上記のような体制が構築され必要な監査が実施されているか、適時監査を行っていきましょう。

マイナンバーへの対応には、会社を挙げて計画的に取り組むことが必要であることをご理解いただけたでしょうか？マイナンバー対応とは、ルールの策定とその実践環境を整えることであり、効率とセキュリティの新たなバランスを模索することが求められていること、このことを改めてご確認ください。

マイナンバーは、企業が慎重に取り扱うべき情報資産のひとつに過ぎません。マイナンバーと同様に重要であり、その漏洩や紛失が企業経営に重要な影響を与えるような情報資産は、実は他にもたくさんあります。マイナンバー対応を推進するにあたっては、マイナンバー制度の導入だけを目的とするのではなく、情報資産一般の効率的で安全な運用へと視野を広げていくきっかけと捉えるのが建設的です。

マイナンバー時代を迎え、AssetView は、企業内のハードウェア、ソフトウェア、データなど、情報資産を可視化し、安全かつ効率的に管理するための情報資産管理ツールとして、有用性がいっそう高まっています。ルールは策定するだけでなく、全社的に実践していくことが必要ですが、AssetView を導入・活用することで従業員の日常的な負担を増やすことなく、法律やガイドラインの求める安全管理措置をルール化し、三つの側面（入口、内部、出口）から対策を実践できるようになります。

第一に、入口対策として外部からのさまざまな脅威から情報資産を守ります。ウイルス対策、Webフィルタリング、デバイス制御、不正PC遮断などの機能を利用することによって、外部からの情報漏洩リスクを低減します。

第二に、内部対策を行い、セキュリティを高めます。セキュリティ対策は単独では無力であり、各種資産を複合的に実施することではじめて効果が期待できることはよく知られたところです。AssetView は、PC操作ログ管理、個人情報検索、電子メール監視、画面操作録画、資産の可視化、ファイル配布、パッチ適用などの豊富な機能を活用でき、各種対策を同時に実施することで安全性を高めます。またPC操作ログ、ID監査、アクセス権管理、ファイル制御・暗号化などの機能により各種安全管理措置に対応できます。

第三に、出口対策です。ファイル暗号化やデバイス制御の機能により、情報漏洩につながりやすいファイルや機器の利用を制限し、セキュリティ対策を行います。

マイナンバー対応を推進するためには、多種多様な施策を講ずる必要がありますが、一つ一つをバラバラのツールで実現しようとすると、システムが複雑化し、導入コストや管理コストも膨らんでしまいます。増え続ける情報資産を脅威／リスクから守るためには、使いやすく、管理しやすいツールを選択し、着実に使いこなしていくことが肝要です。AssetView はその第一の候補となるでしょう。