管理部門の業務ソリューション S-PAYCIAL エスペイシャル

昨年の8月に、このコラムでマイナンバーに関する記事を掲載し、結構反響をいただきました。最近はマイナンバーの話題がさらに多くなりましたね。私も某雑誌の記事を執筆させていただいたり、社内教育の講師をさせていただいたりと、マイナンバーに関するお仕事も少しずつ対応させていただいています。

さて、12月中旬に内閣府の特定個人情報保護委員会から特定個人情報保護に関するガイドラインの正式版が公開されました。
また、1月末には国税庁から本人確認に関する告示が発表されています。これらにより、実務面での具体的な対応が徐々に見えてきた状況です。特に従業員が多い企業や全国に多数の店舗がある企業などは、事務作業面、安全管理面で大きな影響があります。
十分に準備をしておく必要があるでしょう。

今回は、マイナンバー法の細かい内容の解説ではなく、「業務システムにおけるマイナンバーのチェックポイント」をお伝えしたいと思います。特に安全管理面についての内容です。自社の人事給与システムがこれらのポイントに対してどのような対応ができるか、早めの情報収集をしておきましょう。

【安全管理面】
①取扱い担当者のみが参照できるアクセス制御が可能か？
マイナンバーは税と社会保険業務に限った利用となります。それらの業務に関係の無いシステム利用者は、マイナンバーを参照できないように制御をかける必要があるでしょう。大企業であれば人事システムの利用範囲は様々です。
例えば、マイナンバー業務に携わらない管理職が人事システムから部下の情報閲覧を行う場合など、当然ながら番号が見えないようにシステム的な制御が必要です。

②アクセスログ（登録、更新、削除、照会、外部データ出力など）が取れるか？
特定個人情報の取扱規定に基づく運用が適切になされているかをチェックするためにも、誰がいつマイナンバーにアクセスしたか、
その記録をシステムのアクセスログとして残すべきでしょう。更新や削除のログだけではなく、照会、外部データ出力などの記録も
残すことがポイントです。

③法定保存期限を過ぎた情報を抽出し、適切に削除できるか？
不要になったマイナンバーは速やかに破棄する必要があります。ただし、各法定帳票には法定保存期限（例えば所得税関係は７年）がありますので、それまでは削除できません。期限を過ぎた段階で削除が求められるのです。システム管理しているものに関しては、保存期限が過ぎたデータを抽出し、削除できる仕組みが求められるでしょう。
ちなみに、速やかに削除とはどのぐらいか？という質問を受けることがありますが、例えば年度末にその年に期限を過ぎたものを一括で破棄するという程度の運用であれば許容されるようです。

④削除の記録をどのように保管できるか？
法定保存期限を過ぎたデータを破棄した場合、破棄した事実を記録しておくことが求められます。アクセスログの話と近いですが、
取扱い規定に基づいた記録が必要ですので、どのようにシステム的な対応ができるのかチェックしておくべきでしょう。
ちなみに、破棄の記録の中にはマイナンバーが記載されていてはいけません（当たり前ですが・・）。

⑤バックアップデータについても同等の安全管理措置が取られているか？
業務システムであれば定期的にバックアップを取得しているでしょう。そのバックアップデータに特定個人情報が含まれているのであれば、同様の安全管理が必要です。
データベースのエクスポートファイルでバイナリ形式になっており、パスワード等が無いと復元できないような形式であれば良いですが、CSVデータなどのテキストデータになっているような場合はその保管方法には注意が必要です。

以上が安全管理面に対するチェックポイントになります。
システムに関するポイントをいくつか挙げましたが、各企業によりその利用方法、運用方法は様々です。当然ながら、システム対応だけではなく業務運用全体として検討することが必要となります。

今回は安全管理面でのチェックポイントでしたが、業務運用面（本人確認等）についてのチェックポイントもいくつかあります。
それらについては、また別の回でお伝えできればと思います。