不安だらけのマイナンバー 委託予定の事業者が作るべきものは“コレ”:第16回 伊藤塾長の「実践マイナンバー 早わかり3分講座(緊急編)」
この連載について
※本連載は、今回からITmedia エンタープライズから「ITmedia ビジネスオンライン」に引っ越ししました。過去の記事はバックナンバーからご覧頂けます。
本連載『実践マイナンバー 早わかり3分講座』は、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。
塾長:伊藤健二(パイプドビッツ総合研究所 政策創造塾塾長)
パイプドビッツ総合研究所 政策創造塾 塾長/明治学院大学 学長特別補佐(戦略担当)。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。
進行と解説:大橋恵子(パイプドビッツ 経営ソリューション事業部長)
法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。
大橋 いよいよマイナンバー制度の運用が始まりましたが、委託予定の事業者の方はマイナンバー制度に対して準備中の方も多いと思います。
そこで、今回は第14回の続きとして、委託する際の選定に絞って、みていきます。
伊藤 第14回でも触れていますが、まずはガイドラインに記載されている4点の選定時の確認事項をおさらいしましょう。下記の確認事項の中で、セミナーなどで質問の多い項目はありますか?
<委託先選定時の確認事項>
- 委託先の設備
- 技術水準
- 従業者に対する監督・教育の状況
- その他委託先の経営環境等
大橋 一番多いのは「委託先の設備」でしょうか。
特に、どうやって確認すべきなのか? という手法に関する質問は多いですね。
また、システムを導入する事業者の方では、開発会社が委託先になるのか? といった質問をいただくこともあります。
伊藤 では、まず委託先の設備の確認方法をみていきましょう。
マイナンバーに限らず、一定の業務を委託する場合などに利用される「チェックシート」というものがあります。
委託する企業が、委託先企業に求めるセキュリティ水準などを確認するために、企業ごとに作成するものになりますが、これをマイナンバーのガイドラインに照らして作成して、委託先の設備の確認に使用しているようです。
大橋 一般的に質問される項目を踏まえ、マイナンバーのチェックシート書式のサンプル画像を用意してみました。マイナンバーに関しては、4つの安全管理措置(組織的・人的・物理的・技術的)に即した形で、各設問を作成する企業が多いです。
伊藤 チェックシートを利用して委託先を選定すると、同じ指標で安全管理措置に対する対応やセキュリティ対策を確認できるのが良いですね。
大橋 大手企業になると、10社以上の候補からチェックシートを使って最終選考に残す企業を2〜3社に絞り、業務上の詳細をヒアリングしながら委託先を選定することが多いようです。
伊藤 大橋さんも実際の現場でチェックシートの対応やヒアリング対応をすることもあると思いますが、どんな項目をヒアリングされましたか?
大橋 クラウドサービスで提供していますので、一番多いのは、チェックシートからだけでは見えにくいサーバ周りですね。
ヒアリングの際は、実際に業務を行う人事部の方に加え、情報システム部の方が一緒にヒアリングをすることが多いのです。
情報システムの担当者からは、サーバ管理者がサーバにアクセスする際の社内手続きやアラート機能の有無、その他にどのような権限者が社内にいるのか? といった部分を重点的にヒアリングされることが多いでしょうか。
伊藤 なるほど。チェックシートだけで全てを網羅するのは難しいですからね。
また、チェックシートは委託先の選定に活用されますが、委託後も定期的にチェックシートを使って対応状況を確認できますので、作成していない事業者さんは、ぜひこの機会に作成してください。
もちろん、その後の業務委託契約書についても忘れずに締結してくださいね。
大橋 それでは、「特定個人情報をシステム上で取り扱う場合、当該システムの保守を行う開発会社が委託先になるのか?」という点もみていきたいと思います。
伊藤 確認してみたところ、特定個人情報保護委員会のWebサイト上のQ&Aにも掲載されていました。
保守業務の一環として、「個人番号を含む電子データの取扱いの有無」によって、委託先となるか否かが分かれるということなので、実際は依頼する業務範囲とアクセス制御の有無による対応を変えなくてはいけないということになりますね。
| Q3-14 | |
|---|---|
| 質問 | 特定個人情報を取り扱う情報システムの保守の全部又は一部に外部の事業者を活用している場合、番号法上の委託に該当しますか。 |
| 回答 | 当該保守サービスを提供する事業者がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には、個人番号関係事務又は個人番号利用事務の一部の委託に該当します。一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人番号関係事務又は個人番号利用事務の委託に該当しません。 |
大橋 伊藤塾長、ありがとうございました。次回からは、実際に始まった運用について実例を交えながら紹介していきたいと思います。
<Information>マイナンバーセミナーのご案内
パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。
詳細やお申込は<こちら>から。
関連記事
特集:間に合わせる、その後も見据える「マイナンバー緊急対策 実践指南」
2016年1月に利用が始まる「マイナンバー(個人番号)制度」。すべての企業は、このマイナンバーに社として対応する必要が迫られています。「マイナンバーとは何か?」の基本解説とともに、企業のIT担当リーダーが抱える課題に特化し、実対策と実導入・導入に向けた具体策をまとめていきます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
注目記事ランキング
FeedBack
ITmediaはアイティメディア株式会社の登録商標です。