マイナンバー制度の開始がもう数カ月先に迫るが、「対応未着手」な中堅中小企業が想像以上に多い。「まず」何からやればいいか分からない……。そんな企業はどう対策すればいいか。従業員規模約300人の企業に向く方法はこれだ。
「これからはクラウドだよ、鈴木くん」。
ボクは迷えるひとり情シス。従業員数約300人、創業者の社長を中心に関東近県に本社と飲食店舗を兼ねた地域拠点をいくつか構える会社に務めている。ここ数年のある食べ物ブームにうまく乗って会社はそこそこ順調だが、会社の便利屋として悩みは尽きない。特に最近世間を賑わせている“あのこと”は、分かっちゃいるけれど、でもどうすれば……なのだ。
「どこでも、スマホでもメールをチェックできれば効率が上がるだろう。俺も楽だし、TCOも削減できる。うんうん」。最近、自称IT通の社長の鶴の一声でメールシステムをクラウド型に変えたところ。自社はクラウドにもある程度の理解はある。
「しかしなぁ鈴木くん。マイナンバー制度はくせ者だよ。住基ネットのように省庁や自治体と個人にだけ関係するのかと思っていたら、消費税還付案に活用されるほど重要なものになりそうだし、そもそも従業員などの番号管理を会社の業務としてしっかりと対応しなければならない。しかも2016年1月にもう始まるのだ。うちはもう準備しているのか? キミがやるんだろ」
ええ? ええ、はぁ……。
「はぁ、じゃないよ。この調査結果を見ろ。2015年6月時点で、対応が必要なことを知らない情シス担当がまだ2割もいるっていうじゃないか。マイナンバー制度は法として罰則規定がある。“特定個人情報”を守る対策が会社として必要で、影響を受ける業務範囲も広い。もし漏えいさせてしまったら、会社の信用はその瞬間にガラリと崩れる。つまり、経営に関わるリスクやインパクトが大きいのだよ」
「でもな、この調査からこう考えることもできる。約7割の中堅中小企業が“対応まだ”だ。そこに早く気が付けてよかったよ。まだ間に合うのだ。そうだろう? 鈴木くん。まさに“マイナンバー戦国時代”なのだよ。なんとか確実に頼むよ」
あ、はい……
(戦国時代って……。ま、ググってみます)「マイナンバー戦国時代」っと。お、マイナンバー専用サイトがあるようで。ほう、「マイナンバー診断」が簡単にできると。悩んでいるボクにちょうどよさそうです。
なになに。「ウイルス対策ソフトを導入している」「ファイアウォールを導入している」はマルと。あれ、「マイナンバーの担当を決めている」「マイナンバー収集の目的を、従業員にしっかりと伝えている」「マイナンバー対策におけるマニュアルを作成している」……ほとんどチェックできないぞ。へぇ、「細かく裁断できるシュレッダーを使用している」「オフィスへの入退室管理をしている」なども必要なのか。
そんなボクのマイナンバー診断の結果は……。
自社のような今川義元タイプに向くのは、2015年9月上旬に始まった「セキュア MyNUMBER」というサービスのようだ。何ができるか、どう対応できるか、このサービスを展開する企業に頼みこみ、お試し体験してみた。
セキュア MyNUMBERは、中堅中小企業の多くが課題としているマイナンバーの収集と保管に特化したクラウド型のサービスだ。
の企業のマイナンバー管理における一連の行程に対応し、技術的・物理的安全管理措置の多くをこのサービスで対応できるという。
「大きなポイントは、今ある業務システムはそのままに、マイナンバー管理のための機能を“アドオンする”感覚で、100ユーザーあたり月額3万円(初期費用:8万円)から導入できることですね。御社は社員とパートタイマーやアルバイトを含めて300人規模の従業員がいて、いくつか拠点もあります。おそらく、“大量に収集するマイナンバー初期業務と管理”をどうするか。ここが最初の壁になるはずです。ここを中心に、以下の便利機能を備えています」(スターティア クラウドストレージ部マネージャーの中島聡さん)
マイナンバーを収集すべき対象として最も数が多いのは従業員(とその扶養家族)だ。「マイナンバー収集」の実務では、在席する従業員とその扶養家族全員のマイナンバーを集め、その番号が本当に本人のものかを確かめる「本人確認」の作業を行う。
セキュアMyNUMBERは、この収集作業を「従業員自身が登録できる」よう、スマートフォンやPCで簡単に実施できる仕組みを用意したのがポイントだ。従業員向けの登録ページは、できるだけシンプルに分かりやすく、でも間違いがないよう入力していけるユーザーインタフェースになっている。簡単画面でスマホでもOKとなれば、従業員だけでなく(スマホを使えるほどのリテラシーのある)個人事業主の番号収集用ツールとしても使えそうだ。
管理側目線では、情報を安全なクラウド環境へ保管する仕組みによる「収集機能」を持ち、かつ「自社で保管する漏えいのリスク」と「制度対応のための投資額」を極力抑えられることがメリットと感じた。
情報はクラウドストレージへ暗号化して保管され、通信もSSL暗号化して行われる。適切なセキュリティ体制の下で、特定のPCの管理画面からのみ「参照」できるイメージだ。ここは、リスク低減のために「自社で極力持ちたくない」と考える企業全般に有効と思う。
収集までのフローは、
となる。
もちろん、従業員に作業を委ねれば「あとでいいや」と遅延するのは予測できる。この進ちょく管理は、管理画面の“登録済み”、“(案内メール)未読”、“(メールは)既読”と表れるステータスで把握して行える。並べ替えて“登録まだ”の人へ再度メールでその場催促したり、集まりが悪い部署や拠点の責任者に早期登録を促すように通知するといった管理も難しくはなさそうだ。
その後の確実な管理のため、
などの機能も備えている。
例えば、管理画面へのアクセスをグローバルIPで制限をかけるといった“集めたデータへのアクセスする制限設定”もガイドラインが定める安全管理措置に沿って用意してある。特定区域に置いたマイナンバー取扱専用端末でしか閲覧できないようにする設定も可能だ。
もう1つは、ガイドラインで重要視される“操作ログ”だろう。ログはかなり細かくシステム上で記録される。誰が、いつからいつまで、どこから、どんな情報へ、何をしたといった内容だ。内部統制対策として、自社のポリシーに沿った対策もきちんと行えることが分かった。
収集作業を「会社で、まとめて収集する機会を用意する」場合にも有効だと感じた。本社勤務の従業員には、健康診断のような方法で収集の日時を決めて集まってもらい、管理側で用意したPCで作業してもらう方法も考察している。セキュアMyNUMBERの簡単収集ツールを使えば、その場で安全、確実にデータ化できる。対面収集の方法の課題である、データ化作業担当者の負担や一次保管する際の漏えいリスクを低減できるわけだ。この方法は、これから入る新入社員の番号収集にも応用できる。
既存の人事給与システムと連携するための仕組み(CSV出力)も備えつつ、価格は従業員数100人の場合で月額3万円(税抜)から(初期費用8万円)。扶養者分の情報保存は世帯主のIDに含まれることを勘案し、従業員1人あたりの運用費は月額200円ほど(100人の従業員の半数が既婚とした場合)で済む計算だ。
最後に、サーバや各種装置、ソフトウェア・サービスを別途導入したり、社内にセキュアな専用区画を整備したりといった大がかりな設備投資なしに、月額課金制で必要なものだけを“即”導入できること。ここはクラウドサービスならではの最大のメリットだ。
セキュアMyNUNBERで取得するデータは、1100社以上の導入実績があり、7年以上のサービス展開によって培ったスターティアの法人向けクラウドストレージサービス「セキュアSAMBA」のクラウド技術とノウハウを活用して保管する。
なお、セキュアSAMBAは、安全性に高い評価があるAmazon Web Servicesの国内にあるデータセンターで運用されている。保存された各データは暗号化され、データ通信はSSL(暗号化)通信によって保護される。さらにマイナンバー情報は、あらかじめ指定したグローバルIPアドレス以外からは閲覧できない設定が行えるなど、多重のセキュリティで保護するほか、マイナンバー情報を誰が閲覧、編集したかなどの履歴も取れることで、情報漏えいの抑止効果と万が一の情報漏えい事故の発生時にも直ちに追跡が行える。
社員だけなら、郵送や対面などの方法でも集められるかもしれない。しかし、入れ替わりが頻繁にあるアルバイトの個人番号も扱い、しかもそれが月に何度もあると想像すると、力業ではちょっと無理だ。
セキュアMyNUMBERは、高い安全対策を取ったクラウド環境へ保管する仕組みによって「収集のための作業を従業員にしてもらい、管理側の業務負荷を軽減できる」こと、そして「マイナンバーを“できるだけ自社で持たずに済む”」ことが高いポイントになる。
マイナンバー制度は2016年1月開始。対策はそろそろ“待ったなし”と言われ、早期の対策準備が望まれるが、まだ間に合う。システムを入れる前に必要な「マイナンバー取扱管理者の選定」と「会社として、どのようにマイナンバーを取り扱うのかの指針」の早期策定をまずは済ませつつ、自社に合った方法で無理なく確実に対応できる手段の考察まで行けば、対策はググッと前進するはずだ。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:スターティア株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2015年9月30日