これからはじめる「マイナンバー対策のキホン」5つのポイント：特集 情シスが率先して実施する「企業のマイナンバー対応」（3/4 ページ）

[岡崎勝己，ITmedia]

IT部門の役割は、3分野のシステム側の対応と“＋α”

　2016年1月より、前述した3分野に該当する帳票類、例えば「源泉徴収」「支払調書」、「厚生年金」「雇用保険」などの法定調書へマイナンバーおよび法人番号を記載して行政機関（税務署や市町村、あるいは年金事務所や健康保険組合）へ提出する。言い換えると、企業はこの作業が義務付けられるということになる。

企業は、税や社会保障の手続きの帳票に従業員などのマイナンバーを記載し、行政期間などに提出することになる（出典：事業者向けマイナンバー広報資料 平成27年5月版）

　ここを理解すると、IT部門が行うべきこともおぼろげにも見えてくる。その対応をするため、業務関連システム（主に経理や人事）や制度対応社への内ポリシー（セキュリティ対策など）の改修が情シス部門の基本的な役割となる。

　改めて、この対応で何をすべきか。具体的な5つのポイントを紹介する。

ポイント1　マイナンバー対応のために、IT部門にはどのような役割が求められているのか

A　主に行うべきは、システム改修や導入と、それに付随するマニュアルや取り扱いポリシーの策定となる。加えて、限られた期限までの完了に向け、業務部門（まずはマイナンバーに関連する業務担う経理、人事などの総務部門）からの“知恵袋”となる役割も担うべきと考える。

　マイナンバー対応では、マイナンバーを扱う企業内のあらゆるシステム（人事給与や税・会計など）の改修と、マイナンバーを取得し、管理し、適切に利用するためのシステムの整備をIT部門は責任を負うことになる。

　マイナンバーを取り扱う部門は、主に人事や経理を主とした総務部門、また、個人（例えばフリーランスや地主など）の取引先が多い場合には営業部門などが多部門との調整作業を行う必要がある。

　実施にあたっては、以降の解決策で述べるように、かなり煩雑な手順を踏む必要もある。そこでIT部門には、外部組織などの協力も仰ぎつつ対応のための知識をより早期に習得するとともに、システム整備で培ってきた知識（システムや業務フローなど）も動員し、調整を円滑に進めることが求められている。システム改修の「旗振り役」になるのが理想だ。

　一方で、部署をまたいだ作業は決定までに時間を要するかもしれない。そこで、システム改修をより早期に完了するうえでは、経営層もプロジェクトに加わってもらい、トップダウンでの意思決定を可能にする、事前の根回しも肝要と言える。

　その道のりは平たんではない。ざっと挙げるだけでも、業務への影響調査や対応方針の検討と対応作業が必須であり、それらを2016年1月までを目標に完了させる必要がある。残された期間を考慮すれば、まずは対応への着手が急務なことがお分かりいただけるだろう。

ポイント2　期日までに対応できなかったらどうなるのか。罰則を受けるのか

A　“努力義務”を達成できない場合の罰則は、現時点では不明瞭だが……

　企業は、行政機関などがマイナンバーを“利用”するうえで補助的にマイナンバーを取り扱う「個人番号関係事務実施者」と位置付けられ、マイナンバー法ではその6条で「施策に協力するよう努めるものとする」という、いわば努力義務が課せられている。

　企業と言っても大小ある。例えば金融機関である銀行は顧客数が膨大であることから、普通預金について3年の猶予期限が設けられている。ただ、一般企業について猶予の記載がない（2015年5月時点）。

　努力義務がどれほど企業を縛るか、正確な把握は今のところ難しい。

　例えば、従業員がマイナンバーの提示を拒み、法定調書に記載できないとどうなるか。書類の提出先の機関から指示を仰ぐことになるが、この場合、ペナルティを受ける可能性は低いとされている。もちろん接続を拒めた住基ネットと違い、意図的に組織としてマイナンバーを記載しないのならば、マイナンバー法以外の法律によって何らかの罰を受ける可能性はある。ただ、その罰の重さは今のところ不透明である。

　ともあれ、準備に向けたガイドラインは示されているものの、運用におけるズバリ具体的な指針が示されていないのが、2015年5月時点でのマイナンバー対応が混乱している一側面でもある。

　実行すべきことも多岐に渡る。業務運用関係では、他部門と連携しての業務プロセス設計やシステム改修にともなうガイドラインやマニュアル策定のほか、システム関係では、仕様変更やシステム改修、システムテストなどに責任を負う必要もあるだろう。もっとも、企業ごとに業務フローが異なる点は悩ましいところである。

ポイント3　情シス担当者は、とりあえず何から手を付けるべき？

A　関係部署と連携し、業務見直しを急ぐべし

　マイナンバーは2015年10月から通知が始まる。企業は2016年1月の制度を円滑に進められるよう、「従業員（など）のマイナンバーを収集する作業」をこの時期よりはじめられる（前準備が認められた）。

　まずはマイナンバーの収集と管理のため、業務とシステムの見直しを進めることがIT部門として優先すべきこととなる。

　その手順は基本的に以下のようになる。

1. マイナンバー制度の理解
2. 個人番号を取り扱う事務の洗い出し
3. 制度対応のために見直しが必要な事務の明確化と新たな運用ルールの策定
4. システム改修
5. マニュアルの策定などを通じた新たなルールの周知徹底

　ここで多くの企業が課題にしているのが、業務の進め方はやはり企業によって千差万別なことだ。やることリストや業務フローなど対応の“手本”はあるが、まったく対応せずに済ませる──ことは基本的にはできない。自社で必要なことの棚卸し、改修、認知活動など、その作業は時間的にも、作業量的にもなかなかの困難が予想される。

　ただ1つ、少なくとも「マイナンバーガイドライン（事業者編）」を「個人情報保護ガイドライン」とともに理解するよう努めてほしい。特定個人情報保護委員会のWebサイトに各種ガイドラインやその読み方（入門編）が事業者や段階別にまとめられている。自社の各システムが満たさなければならない機能の要件は、ここで理解できる。

　例えば「人事・給与システム」は、社員データベースに自身や扶養家族のマイナンバー項目を追加するよう確認し、必要に応じて改修する。源泉徴収や特別徴収、社会保険料支払いなど各種帳票管理システムにもマイナンバー枠を追加する。法定調書作成のために支払先のマイナンバーや法人番号の管理項目や追加を、出力する帳票には自社の法人番号を記載するための改修などがある（こちらは、ベンダー側のアップデートのみで対応できることも多い）。

制度開始後、法定調書には「支払者の法人番号ないし個人番号」「支払いを受ける者の個人番号ないし法人番号」を記載する必要が生じる（出典：事業者向けマイナンバー広報資料 平成27年5月版）

　マイナンバーを含む特定個人情報は、明確に使用範囲が定められている。特定個人情報に関わる「安全管理処置の実施」も企業の義務となる。例えばマイナンバーを取り扱う者以外のアクセスを明確に制限するため、人事データベースを資格や研修の管理など多目的に利用していた際には、社員番号と対応テーブルを個別に用意するといった工夫も求められる。

　マイナンバー対応はいずれの企業にとっても初めてのこと。マイナンバー法の読み方により、異なる解釈ができる部分こそ多少あるが、施行が決まった以上、何もしないでよい──ことにはならない。