いよいよ始まったマイナンバー制度。あなたの会社の運用体制は大丈夫?
いよいよ2016年1月から、マイナンバーの実運用が始まりました。これから対応を始める、といったネット通販企業も多いのではないでしょうか? 経営者もスタッフも、マイナンバー制度の理解を深めることをお勧めします。
現時点において、企業では税と労働保険の手続きでマイナンバーの取り扱いが必要となります。具体的には新入社員がいる場合や退職者が発生した場合、あるいは、介護や育児などで労働保険関連の手続きが発生する場合です。企業は、マイナンバーを扱う回数の多寡とは別に、2016年からは神経を使う事務作業が発生することになりますのでご注意を。今回はその運用に関連し、注意しなければならない重要なことをお伝えします。
マイナンバー作業を行うデスクや場所を「取扱区域」として定義しなければならない
まず、マイナンバー作業を実施する事務所内の物理的なエリアのお話。マイナンバーを扱う作業において、たとえば、
- マイナンバーをシステムなどから検索する時
- 行政向け書類にマイナンバーを転記する時
- 社員や個人事業主から収集したマイナンバー記載書類をハンドリングする時
などが想定されますが、そのようなマイナンバー作業を行う時には、あらかじめ定めた事務所内の特定エリアで作業をしなければなりません。そのエリアのことを「取扱区域」といい、「特定個人情報等を取扱う事務を実施する区域である」と定義します。
「取扱区域」には間仕切りをしなければならない!?
「取扱区域」については、ガイドラインの「物理的安全管理措置」という項の中で記述されています。
取扱区域に関する物理的安全管理措置としては、壁または間仕切り等の設置および座席配置の工夫等が考えられる。
といった安全管理措置が推奨されています。要は、壁、間仕切り、あるいは、ついたてなどで明確にわかるようにした方が望ましいというものです。壁や間仕切りは義務ではないのですが、大がかりでなくても、何かしら周りの人にも分かるように明示的な工夫をした方が良いでしょう。
少なくともマイナンバー担当者以外のスタッフの往来が少ない場所を「取扱区域」と指定すべきで、後から覗き込みされる可能性が低くなるような座席配置に工夫することが必要になります。この「取扱区域」に関する明確化と安全管理措置については、中小規模の事業者においても同等の対応が必要になっています。
「マイナンバー作業中」を周囲に意識させよう!!
これまで、私はいくつかのコールセンター、BPOの事務所を見ていますが、個人情報を取り扱う事務作業をしている時は、「ただ今、危険作業中」という円筒形や三角柱の卓上POPのようなものを立てている光景を見てきました。これは、「今は個人情報を取り扱っているので、話しかけたり、近寄ったりしないで下さい」という意味のものです。
機械やコンピュータはテストをしっかりと実施していれば、間違いを起こしませんが、人はちょっとした雑音や気の緩みでミスを犯してしまいます。
マイナンバーは、一般の社員はあまり見るべきではない危険物ですので、「取扱区域」を定めた上で、マイナンバー作業をしている時は他者を近づけない安全管理措置は、必要になってくるでしょう。
最も重要なことは記録(作業履歴)を残すこと
マイナンバーの運用で、もう1つ重要な対策があります。それは運用の記録(作業履歴)です。この運用の記録は、日々の作業で企業として最も影響のある制度対応になるような気がします。
ガイドラインでは、以下のように具体的な事例が列挙されています。
- ① 特定個人情報ファイルの利用・出力状況の記録
- ② 書類・媒体等の持ち出しの記録
- ③ 特定個人情報ファイルの削除・廃棄の記録
- ④ 削除・廃棄を委託した場合、これを証明する記録等
- ⑤ 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
もちろん企業ごとに規程を定める際、どのタイミングでどんな内容の記録が必要なのかを議論し、マイナンバーの運用管理に十分留意した上、記録を残していくべきです。
業務改善の出発点としてマイナンバー対応を受け止めよう
これらの記録を取りながらの運用を考える場合「そもそもこの目的は何か」という点を理解しておく必要があります。
記録を取ること自体、取扱者のマイナンバーに対する危険物としての意識が高まり、漏えい事故の防止につながります。一方、万が一漏えい事故が発生した場合、早く原因箇所を突き止めて事故の拡大を防いだり、再発防止の対策につなげたりする点に狙いがあるのではないでしょうか。
「ルールだからしなければならない」という受け身的な観点で考えるのではなく、業務上のどのポイントで記録を取ればリスクを回避でき、作業効率の観点でも問題なく業務遂行ができるのか検討すべき案件でしょう。
受け身で対応すると結局、事故は起こりやすくなります。リスク対策に積極的に取り組むことで、その結果、リスク低減につながるはずです。
厄介な爆弾を背負ったと被害妄想のスパイラルに陥ることではなく、むしろ、業務プロセス改善の良い機会を与えてくれた、といった発想の転換が必要です。そういう前向きの取り組みは、リスク低減だけでなく、業務プロセスの効率向上、そして、取引先からの信頼の維持向上にもつながるはずです。
記録するのはシステムログだけではない!
ガイドラインの具体事例を見ればわかるように、「情報システムを使用する場合」と、システムを明記しているのは⑤のみ。つまり、システムとは関係なく、人がメインで行う作業においても運用の記録を付けなければならない点が、この制度の特徴です。
⑤の「アクセスログ等」については、技術的安全管理措置の項でもアクセス制御やログ分析など、同等の記載があり、システム利用の場合、これらの対策は義務であると認識すべき内容です。
システムの場合は一度プログラム化しておけば、あとは自動で記録してくれるので、最初の開発の仕様作成でちゃんと押さえておけば良いわけです。
しかし、人の作業となると毎回、忘れずに漏れなく記録をしなければならないので大変です。そのためのマニュアルの整備と業務フローの構築がより一層、重要になります。
マイナンバーを削除した場合は記録、これは必須です
具体的に見てみましょう。
③番の「削除・廃棄の記録」は、ガイドラインの別項「物理的安全管理措置」でも明記されており、とても重要な安全管理措置です。
マイナンバーをシステムのデータベースから削除した場合はログとして自動的(システム的)に記録する仕組みが必要です。
一方、紙のファイルを削除した場合でも、
- 誰のマイナンバーを
- いつ
- どのようにして(シュレッダーなど)
- 誰が
といったことを削除したか記録する必要があります。この記録は担当者がやらなければならない作業であり、とても面倒です。
しかし、この記録を付けることで、それ以降、万が一にもマイナンバーの漏えいがあったとしても、自分たちの責任ではないことを証明できる訳です。なので、記録を付けることを徹底しなければなりません。
④の委託のケースについて、考えてみましょう。
「委託して丸投げしていれば、安心」という考えはNGですよ、と前回の寄稿でもお伝えしました。
「こと、削除・廃棄」については、しっかりとした決まりがあります。委託契約にも明記し、削除・廃棄の記録を残してもらうことが必要になります。その上、定期的に報告を受け、「監督義務」の下でチェックをするという内容がこれに当たります。
書類を社外に提出する時に記録、これで企業としての責務を全うします
企業の実運用として、最も面倒に感じるのは①と②でしょう。
典型的なのが②ですが、書類などを持ち出すたびに記録をするという内容です。
まず、持ち出すというのは、どこから出た場合に「持ち出し」に当たるのか、定義しなければなりません。一番厳格に定義するならば、「取扱区域」から書類を持ち出すケースです。しかし、そのたびに記録をするのは、あまりにも面倒。廊下に持ち出しただけで記録を残さなければなりません。
私は、社外に持ち出すケースで良いと思っています。ですから、マイナンバーを記載した書類を税務署に提出した場合、「誰が」「誰のマイナンバーを」「いつ」「どのような手段で」持ち出したかを記録を残すということです。
面倒に感じるかもしれませんが、この記録をこまめに取ることで、何か疑いがかけられた時には証拠となり、防衛につながるので、徹底すべきでしょう。インタセクト・コミュニケーションズでも作業履歴を自動で残せる業務フローを提供しています。自動的に作業履歴を残せる業務フローがあれば、作業量の低減と確実な記録の管理が実現できます。
ちなみに、以下のような入社プロセスでは、いくつかの記録のポイントが想定されます。新入社員のマイナンバー取得や保管、持出しを、いつ、どのように授受したか記録を取ることは重要です。これにより、企業としてマイナンバー管理の責務をちゃんと全うしていることの証明になります。
「ネット通販のための5分でわかるマイナンバー対策」は全6回の連載コラムです。各バックナンバーはこちら。
- 1回目:5分でわかるマイナンバー制度の概要
- 2回目:企業が気を付ける注意点
- 3回目:マイナンバーの罰則規定、業務委託
- 4回目:事務所の取扱区域とマイナンバー運用の記録
- 5回目:管理・運用で失敗しないために押さえておくべきポイント
- 6回目:マイナンバー対策は業務の改善&効率化するチャンス