すぐできるマイナンバー対策 「セキュアMyNUMBER」を“今川義元”タイプのボクが試してみた：IT侍が行く

マイナンバー制度の開始がもう数カ月先に迫るが、「対応未着手」な中堅中小企業が想像以上に多い。「まず」何からやればいいか分からない……。そんな企業はどう対策すればいいか。従業員規模約300人の企業に向く方法はこれだ。

[PR／ITmedia]

PR

　「これからはクラウドだよ、鈴木くん」。

　ボクは迷えるひとり情シス。従業員数約300人、創業者の社長を中心に関東近県に本社と飲食店舗を兼ねた地域拠点をいくつか構える会社に務めている。ここ数年のある食べ物ブームにうまく乗って会社はそこそこ順調だが、会社の便利屋として悩みは尽きない。特に最近世間を賑わせている“あのこと”は、分かっちゃいるけれど、でもどうすれば……なのだ。

　「どこでも、スマホでもメールをチェックできれば効率が上がるだろう。俺も楽だし、TCOも削減できる。うんうん」。最近、自称IT通の社長の鶴の一声でメールシステムをクラウド型に変えたところ。自社はクラウドにもある程度の理解はある。

　「しかしなぁ鈴木くん。マイナンバー制度はくせ者だよ。住基ネットのように省庁や自治体と個人にだけ関係するのかと思っていたら、消費税還付案に活用されるほど重要なものになりそうだし、そもそも従業員などの番号管理を会社の業務としてしっかりと対応しなければならない。しかも2016年1月にもう始まるのだ。うちはもう準備しているのか？　キミがやるんだろ」

　ええ？　ええ、はぁ……。

　「はぁ、じゃないよ。この調査結果を見ろ。2015年6月時点で、対応が必要なことを知らない情シス担当がまだ2割もいるっていうじゃないか。マイナンバー制度は法として罰則規定がある。“特定個人情報”を守る対策が会社として必要で、影響を受ける業務範囲も広い。もし漏えいさせてしまったら、会社の信用はその瞬間にガラリと崩れる。つまり、経営に関わるリスクやインパクトが大きいのだよ」

情報システム担当者に「あなたの会社もマイナンバー制度対応の必要があることをご存じか」と聞いた調査結果（出典：スターティア「中堅中小企業におけるマイナンバー制度への意識調査」調査期間：2015年6月1日〜6月3日 より）（画像クリックで調査結果PDFを表示）

　「でもな、この調査からこう考えることもできる。約7割の中堅中小企業が“対応まだ”だ。そこに早く気が付けてよかったよ。まだ間に合うのだ。そうだろう？　鈴木くん。まさに“マイナンバー戦国時代”なのだよ。なんとか確実に頼むよ」

　あ、はい……

意識調査 第2弾によると、（職務は異なるので比較はできないが）6月時点で“対応まだ”だった企業も8月に入り、本腰を入れて対応しはじめているようだ（出典：スターティア「中堅中小企業におけるマイナンバー制度への意識調査 第2弾」 調査期間：2015年8月6日〜8月11日より）

---

　（戦国時代って……。ま、ググってみます）「マイナンバー戦国時代」っと。お、マイナンバー専用サイトがあるようで。ほう、「マイナンバー診断」が簡単にできると。悩んでいるボクにちょうどよさそうです。

試してみよう！「マイナンバー診断」（クリックで診断ページへアクセスします）

　なになに。「ウイルス対策ソフトを導入している」「ファイアウォールを導入している」はマルと。あれ、「マイナンバーの担当を決めている」「マイナンバー収集の目的を、従業員にしっかりと伝えている」「マイナンバー対策におけるマニュアルを作成している」……ほとんどチェックできないぞ。へぇ、「細かく裁断できるシュレッダーを使用している」「オフィスへの入退室管理をしている」なども必要なのか。

　そんなボクのマイナンバー診断の結果は……。

ボ、ボクは……

（キリッ）「今川義元」であったッ。「昨日なし明日またしらぬ人はただ今日のうちこそ命なりけれ」ッッ！

解説しよう。今川義元タイプとは「マイナンバー対策が必要になり、社内のリソースを有効に活用し、除々に進めているあなた」のこと。あなた自身をはじめ優秀な方が社内にいるので、マイナンバー対策は着実にを進めてはいるようです。しかし、現場での経験が少ないためどこが足りていないかが不明確なのかもしれません

　自社のような今川義元タイプに向くのは、2015年9月上旬に始まった「セキュア MyNUMBER」というサービスのようだ。何ができるか、どう対応できるか、このサービスを展開する企業に頼みこみ、お試し体験してみた。

使う側／管理する側の両面で「セキュアMyNUMBER」を試してみた

　セキュア MyNUMBERは、中堅中小企業の多くが課題としているマイナンバーの収集と保管に特化したクラウド型のサービスだ。

• 扶養家族を含めた全従業員からの「収集」
• 特定個人情報の安全な「保管」
• 税務・社会保障帳票記載のための「利用と提供」
• 保管期間を過ぎたあとの「削除」

　の企業のマイナンバー管理における一連の行程に対応し、技術的・物理的安全管理措置の多くをこのサービスで対応できるという。

セキュアMyNUMBER

「セキュア MyNUMBER」でできること

• PCやスマートフォン操作にて、従業員などから容易にマイナンバー情報を収集できるツールを用意する
• 取得したデータを国内データセンターの安全なクラウド環境で、安全に保管する仕組みを整えている
• 閲覧権限設定など、安全管理措置を踏まえた運用管理機能をきちんと備えている
• これらをまとめて提供し、100ユーザーあたり3万円／月（税別）からの月額課金制で使える

スターティア クラウドストレージ部マネージャーの中島聡さん

　「大きなポイントは、今ある業務システムはそのままに、マイナンバー管理のための機能を“アドオンする”感覚で、100ユーザーあたり月額3万円（初期費用：8万円）から導入できることですね。御社は社員とパートタイマーやアルバイトを含めて300人規模の従業員がいて、いくつか拠点もあります。おそらく、“大量に収集するマイナンバー初期業務と管理”をどうするか。ここが最初の壁になるはずです。ここを中心に、以下の便利機能を備えています」（スターティア クラウドストレージ部マネージャーの中島聡さん）

セキュアMyNUMBERが備える便利機能

（1）「従業員」目線で見ると……登録はスマホでもOK、2〜3分で完了するシンプルな使い勝手

従業員は自分宛ての案内メールに記載されたURLより「専用の登録ページ」へアクセスする。マイナンバー通知カードなどを見ながら個人番号を入力→続いてマイナンバー通知カードと身分証明書（運転免許証など）の本人確認書類（の画像）を添付して登録すれば完了だ。スマホならば書類をカメラで撮り、登録ページよりアップロードするだけ。作業時間は1人あたり2、3分で済んだ

「誤登録の自動チェック機能」がある。ケタ数などの間違った番号はエラーが通知されるので誤登録を防止できる

　マイナンバーを収集すべき対象として最も数が多いのは従業員（とその扶養家族）だ。「マイナンバー収集」の実務では、在席する従業員とその扶養家族全員のマイナンバーを集め、その番号が本当に本人のものかを確かめる「本人確認」の作業を行う。

　セキュアMyNUMBERは、この収集作業を「従業員自身が登録できる」よう、スマートフォンやPCで簡単に実施できる仕組みを用意したのがポイントだ。従業員向けの登録ページは、できるだけシンプルに分かりやすく、でも間違いがないよう入力していけるユーザーインタフェースになっている。簡単画面でスマホでもOKとなれば、従業員だけでなく（スマホを使えるほどのリテラシーのある）個人事業主の番号収集用ツールとしても使えそうだ。

スマホで登録できる機能を用意するのが◎。最初の壁となる従業員からの収集はかなり楽になりそう

（2）「管理側」目線で見ると……一連の管理をセキュアな環境で／漏えいリスクと初期投資額を極力抑えられる

　管理側目線では、情報を安全なクラウド環境へ保管する仕組みによる「収集機能」を持ち、かつ「自社で保管する漏えいのリスク」と「制度対応のための投資額」を極力抑えられることがメリットと感じた。

　情報はクラウドストレージへ暗号化して保管され、通信もSSL暗号化して行われる。適切なセキュリティ体制の下で、特定のPCの管理画面からのみ「参照」できるイメージだ。ここは、リスク低減のために「自社で極力持ちたくない」と考える企業全般に有効と思う。

「セキュアMyNUNBER」の管理画面

　収集までのフローは、

1. 自社で使っている人事給与ソフトウェアなどから、情報を「CSVでインポート」する
2. 登録情報をもとに、従業員へ番号登録の案内メールを送る
3. 従業員から登録を待つ

　となる。

　もちろん、従業員に作業を委ねれば「あとでいいや」と遅延するのは予測できる。この進ちょく管理は、管理画面の“登録済み”、“（案内メール）未読”、“（メールは）既読”と表れるステータスで把握して行える。並べ替えて“登録まだ”の人へ再度メールでその場催促したり、集まりが悪い部署や拠点の責任者に早期登録を促すように通知するといった管理も難しくはなさそうだ。

「管理画面」より、収集、保管、利用、削除のマイナンバー実務における各種運用をひとまとめにできる。ちなみに扶養者分の情報保存は世帯主のIDに含まれる

　その後の確実な管理のため、

• アクセスログはかなり細かくシステム上で記録する
• 税務や労務の書類に個人番号を記すのに必要な場合に、自社で使う人事給与ソフトウェアなどへインポートするための「CSV出力」が可能
• 結婚した／子どもが生まれたなど、従業員登録情報が変わったならば、「再度、番号登録依頼を出す」、あるいは「管理者が手動で変更する」などが可能
• 退職したなど「税務や労務の書類に個人番号を記すのに必要な、税務・労務の法令の書類保存期間」が過ぎたら、削除する

　などの機能も備えている。

　例えば、管理画面へのアクセスをグローバルIPで制限をかけるといった“集めたデータへのアクセスする制限設定”もガイドラインが定める安全管理措置に沿って用意してある。特定区域に置いたマイナンバー取扱専用端末でしか閲覧できないようにする設定も可能だ。

　もう1つは、ガイドラインで重要視される“操作ログ”だろう。ログはかなり細かくシステム上で記録される。誰が、いつからいつまで、どこから、どんな情報へ、何をしたといった内容だ。内部統制対策として、自社のポリシーに沿った対策もきちんと行えることが分かった。

　収集作業を「会社で、まとめて収集する機会を用意する」場合にも有効だと感じた。本社勤務の従業員には、健康診断のような方法で収集の日時を決めて集まってもらい、管理側で用意したPCで作業してもらう方法も考察している。セキュアMyNUMBERの簡単収集ツールを使えば、その場で安全、確実にデータ化できる。対面収集の方法の課題である、データ化作業担当者の負担や一次保管する際の漏えいリスクを低減できるわけだ。この方法は、これから入る新入社員の番号収集にも応用できる。

　既存の人事給与システムと連携するための仕組み（CSV出力）も備えつつ、価格は従業員数100人の場合で月額3万円（税抜）から（初期費用8万円）。扶養者分の情報保存は世帯主のIDに含まれることを勘案し、従業員1人あたりの運用費は月額200円ほど（100人の従業員の半数が既婚とした場合）で済む計算だ。

　最後に、サーバや各種装置、ソフトウェア・サービスを別途導入したり、社内にセキュアな専用区画を整備したりといった大がかりな設備投資なしに、月額課金制で必要なものだけを“即”導入できること。ここはクラウドサービスならではの最大のメリットだ。

セキュリティについて

セキュアMyNUNBERは、「安全なクラウドストレージに保管」するセキュアSAMBAの技術を用いる。自社で極力データを持たずに“参照する”方法で、コストや漏えいリスクの懸念を低減できるようにした

　セキュアMyNUNBERで取得するデータは、1100社以上の導入実績があり、7年以上のサービス展開によって培ったスターティアの法人向けクラウドストレージサービス「セキュアSAMBA」のクラウド技術とノウハウを活用して保管する。

　なお、セキュアSAMBAは、安全性に高い評価があるAmazon Web Servicesの国内にあるデータセンターで運用されている。保存された各データは暗号化され、データ通信はSSL（暗号化）通信によって保護される。さらにマイナンバー情報は、あらかじめ指定したグローバルIPアドレス以外からは閲覧できない設定が行えるなど、多重のセキュリティで保護するほか、マイナンバー情報を誰が閲覧、編集したかなどの履歴も取れることで、情報漏えいの抑止効果と万が一の情報漏えい事故の発生時にも直ちに追跡が行える。

---

　社員だけなら、郵送や対面などの方法でも集められるかもしれない。しかし、入れ替わりが頻繁にあるアルバイトの個人番号も扱い、しかもそれが月に何度もあると想像すると、力業ではちょっと無理だ。

　セキュアMyNUMBERは、高い安全対策を取ったクラウド環境へ保管する仕組みによって「収集のための作業を従業員にしてもらい、管理側の業務負荷を軽減できる」こと、そして「マイナンバーを“できるだけ自社で持たずに済む”」ことが高いポイントになる。

　マイナンバー制度は2016年1月開始。対策はそろそろ“待ったなし”と言われ、早期の対策準備が望まれるが、まだ間に合う。システムを入れる前に必要な「マイナンバー取扱管理者の選定」と「会社として、どのようにマイナンバーを取り扱うのかの指針」の早期策定をまずは済ませつつ、自社に合った方法で無理なく確実に対応できる手段の考察まで行けば、対策はググッと前進するはずだ。