マイナンバー対策を考える上での重要なポイントは、「マイナンバーは人に使われるためにある」ということです。プライバシー情報だから公開なんてもってのほかであるという意見が出たとしても、集める必要が義務付けられることになります。しかし、マイナンバーはマイナンバー法によって利用範囲は限定されるということです。
マイナンバーを適正に扱うには、そもそもマイナンバーがどのような箇所で使われるのか、あるいはやり取りが発生するかを明らかにする必要があります。この作業を業務のプロセス化と業務の見える化といいます。以前、『特定個人情報の適正な取扱いに関するガイドライン』について触れましたが、このガイドラインは業務プロセスを明らかにするものではありません。特定個人情報の適正な取扱いに関するガイドライン』はプロセスに含まれる一定の手順について具体的な取扱方法を述べています。どちらかといえばJIS Q 27001:2014 6.1.2及び6.1.3です。明らかにしたいのはJIS Q 27001:2014 4.3に言う「情報セキュリティマネジメントシステムの適用の範囲です」
今まで情報セキュリティマネジメントシステムや個人情報保護マネジメントシステムに無縁であった企業の場合、社会保険事務と源泉所得事務についてマイナンバー対策と称される『特定個人情報の適正な取扱いに関するガイドライン』に準拠することを考慮し、それ以外についてはなにもしないということが一番合理的です。
仮に零細企業が『特定個人情報の適正な取扱いに関するガイドライン』に準拠させようとすることを考える場合、情報に接する人は事務を担当するお母さん以外はマイナンバーを接することをしないとすれば対策となります。高度な情報セキュリティマネジメントシステムを運用する企業の場合は取り立ててマイナンバー対策を講じる必要はないと考えています。なぜならば、利用しつつ防御するということが情報セキュリティマネジメントシステムの基本的な考え方ですし、情報セキュリティマネジメントシステムを運用することは相応の努力をする企業であることを説明することができます。
零細企業が大手企業並みの情報セキュリティマネジメントシステムを運用すると、本業が何なのかわからなくなる程度に手続を複雑にする方が多いので注意してください。あくまで、マイナンバー対策はマイナンバーを利用しつつ漏洩を防止するものです。社内規程や運用証拠と何でもかんでも文書化と称してマニュアルを作成することを推奨する方がいらっしゃいますが、ちゃんと運用していることを明らかにする「文書化」が必要なのであって、マニュアルを要求するものではありません。またICT投資だけでこの問題が解決するものではありません。
マイナンバー対策を考えるにあたり業務プロセスを設定するのは至難の業だそうです。これは「内部統制(J-SOX)」対策でプロセスの明示化を行ったときにあずさ監査法人の某公認会計士に言われたことで、これを簡単にやる人間はそう滅多にいないらしい。ただ、私が行ったプロセス化はソフトウエアを設計する際に発生する情報は何かという単位でプロセス化を行っていました。私は大プロセスでは部門間のデータインタフェースを必要とするもの、小プロセスは担当者間のデータインタフェースを必要とする単位でフローチャートを組みました。このために必要となるスキルは実はSEのスキルだったりします。
