マイナンバー制度への対応は、人事・総務部門の方だけが主導するものと考えられていることが多いのですが、そうではありません。マイナンバーが含まれるデータへのアクセス権の設定やアクセスログのチェックは、マイナンバーを利用する部門の担当者ではなく、情報システム部門の方が担われることが多いと思われます。

多くの企業や組織で、総務や人事部門の方の中から「マイナンバーの特命係長」を人選し対応されていますが、その方が自組織におけるすべての実務を把握されているわけではありません。総務や人事の方は社内の業務に関してはスペシャリストですが、社外との接点が少ないことも多く、その部分の対応が漏れてしまいがちです。そのため、多くの部署を巻き込んで全社的な取り組みを実施していく必要があります。一般的な実務の進め方としては、まず、各部署からメンバーを選出してプロジェクトチームを作ります。対策には費用がかかりますので、しかるべき役員の方に管理責任者となっていただき、その下にマネジメントを担当されるプロジェクトリーダーがいて、さらに各部門の担当者がいるというような体制が想定されます。また、マイナンバーのガイドラインには、「特定個人情報の取扱状況について、定期的な自己点検や内部監査部門等による監査を実施できるような仕組みを整える」と記載されていますので、安全管理措置には内部監査部門も関係します。監査については、何を監査しなければならないのかを精査することに加え、監査しやすいように情報を出力できる機能を備えたシステム構築も必要になるかもしれません。図4

図4プロジェクトチームの設置例

プロジェクトチームにおける情報システム部門の役割は、マイナンバーを利用する部署のコアメンバーのニーズを把握するだけではなく、その部署の担当者が業務をしやすいようにシステムを構築することもあるのではないでしょうか。情報システム部門の方には、人事・総務部門からの依頼を待っているのではなく、積極的にかかわっていただきたいと思います。

「マイナンバー制度への対応は人事・総務部門に任せておけばいい」という考え方では、不適切にマイナンバーを取り扱ってしまうリスクを生み出しかねません。図5に記載しているように、マイナンバーの収集対象となる個人は自組織の従業員だけでなく、各部署がかかわっている外部の方を含め、広範に及びますので、人事や総務部門だけの問題ではないということを強調したいです。

本インタビューを受けている2015年6月末時点で私どものセミナーを受講されるのは、マイナンバー対応に着手されていない企業・組織のご担当者も多く、「どこまでやればよいのか、わからないので教えてほしい」という質問が圧倒的に多い状況です。しかし、正直なところ明確な答えはありません。ガイドラインにも書かれているのですが、基本的には個々の企業・組織で対応の方法を判断することが求められています。「最低限これだけのことをやっていれば大丈夫」という対策が具体的に示されていれば悩むことはないのでしょうが、それがないことで対応に苦慮されているように感じています。

マイナンバー制度は、今後も活用範囲が広がっていきます。初期段階でルールを決めていたとしても、制度の改定に伴って企業・組織のルールの改定も必要になります。2016年1月にマイナンバー制度がスタートすればプロジェクトチームを解散していいわけではなく、中長期的に対策を進めていかなければいけないものだと認識いただきたいと思います。