マイナンバー対応「“持たず”にBPOで」続々 日立がワンストップ型サービス（2/2 ページ）

[岩城俊介，ITmedia]

日立グループの運用ノウハウを使う「マイナンバー業務全般のBPOサービス」

日立製作所 情報・通信システム社官公ソリューション第三本部長の藤澤健氏

　日立製作所と日立システムズは7月6日、事業者のマイナンバー制度対応に必要な業務をワンストップで提供する「マイナンバー対応BPOサービス」を発表。2015年7月7日より販売をはじめる。

　日立と日立システムズは「対応は必要なのは認識したが、広範囲すぎてどこから何をすればよいか分からない」そんな事業者の事情を受け、今回のサービスを「制度対応に必要な業務をワンストップで代行するサービス」に仕立てた。

　「民間事業者は今後永続的に、従業員などのマイナンバーの適切な取扱への対応が求められる。これは、事業者の立場では（社員数30万人超の）日立グループも同じ。グループで得られたノウハウをサービスへ生かす。最新動向に対応し、信頼性の高さを訴求するサービスとして提供するのが狙い。6月30日に閣議決定された“世界最先端IT国家創造宣言”（ITを活用した公共サービスがワンストップで受けられる社会）」（日立製作所 官公ソリューション第三本部長の藤澤健氏）

　日立は公共分野での対応実績やノウハウを基にしたIDデータ管理と帳票出力を行う「マイナンバー管理システム」を開発。日立システムズがこのシステムを中核に、同社のセキュアで堅牢なデータセンター（独立区画のマイナンバー管理センター）やコンタクトセンター、セキュリティオペレーションセンター、プリントセンターなどと組み合わせ、企業の現行の業務やシステムを大きく変えず、マイナンバー対応を「おまかせ」できるBPO（Business Process Outsourcing：業務の外部委託）のサービスとして展開する。

事業者が「マイナンバー対応業務」で実施すること

　マイナンバー対応BPOサービスは「持たずに済む」「新たに発生するマイナンバー業務にリソースを割くことなく、現行の業務やシステムを大きく変えずに管理・運用できる」ことをポイントに据える。マイナンバー収集や登録から廃棄までの管理、法定調書への印刷代行、問い合せも請け負うヘルプデスクまで代行する。

　基本はインターネットで通信しないクローズドな座組みでリスクを軽減する。最初の壁となる（従業員や扶養家族などの）マイナンバーの初期収集は、作業効率化と誤記入を防ぐ工夫と信書でやりとりする「マイナンバー収集キット」で行い、同社のBPOセンターに設置した機密性の高い専用の独立区画へ、OCRでの自動入力と目視確認を併用してシステムに登録する。

　番号の管理はインターネットと直接接続しない場所へ設置した「マイナンバー管理システム」により、第三者が利用できない手法で暗号化したIDデータとして保存する。マイナンバーを記載する必要がある帳票の印刷代行や封入封緘作業も代行することで、企業はリスクのあるマイナンバーを含めた特定個人情報を「持たずに管理する」ことが可能になる。

マイナンバー対応BPOサービスのイメージ図

日立システムズ クラウドサービス拡販本部長の中田龍二氏

　なお、マイナンバー業務をアウトソースするにしても、企業にはその事業者が的確かつ安全に取り扱っているかを監督する義務も課される。同サービスは、作業者の挙動をセキュリティオペレーションセンターでログを監視し、外部犯行はもちろん、内部犯行での情報漏えいを防ぐ体制を確保する。かつ企業の監督義務や監査リポート提出需要に応える、“特定個人情報保護評価書（全項目評価書）”に沿った監査レポート／評価書も出してくれる。

　提供開始時期は2015年10月1日。価格は原則として個別見積もり。参考価格は従業員数5000人規模の企業の場合で、初期費約600万円、年間約400万円から。今回のBPOサービスにおいて、日立システムズは2018年度末までに累計65億円、日立グループ連結で2018年度までに数百億円の売上を見込む。

　「BPOサービスは増えてきたが、他社との差は“日立グループの対応ノウハウを提供できること”と“収集段階でネットを使わず、郵送でやる確実性に絞り込んでいる”こと。これらの体制をこれから自社で整えるには、おそらくもう時間が足りない。日立システムズは中堅中小規模の企業に多く顧客がいる。これまでの引き合いは大規模から中堅規模だったが、7月に入り中小企業からの需要が急増している。迅速さを望みつつ、本業にこそ注力すべき──と考える前向きな企業には、現行業務やシステムを大きく変えることなく、まったく新しい業務や制度対応の部分を解決してしまうワンストップサービス／アウトソースの形で対応することを勧めたい。本サービスを利用することで、マイナンバー管理や運用業務にリソースを割くことなく、本来の業務に専念していただけるようになる。日立グループの安心、確実さの提供がこのサービスの大きなメリット」（日立システムズ クラウド事業推進統括本部クラウドサービス拡販本部長の中田龍二氏）

事業者はマイナンバーの管理、運用体制、設備を最小化するかたちでマイナンバー制度に対応できる

マイナンバー制度とは

　マイナンバー制度は、2013年5月24日に成立した「マイナンバー法（行政手続における特定の個人を識別するための番号の利用等に関する法律）」によって、複数の機関に存在する個人の情報が「同一の人の情報である」ことの確認を行うための基盤である。2016年1月に開始する。

　国民一人ひとりに固有の12ケタの番号の「マイナンバー」を割り当て、それに基づき国民の生活や収入など各自の事情に応じた行政サービスの迅速化を図る目的で導入される。主に（当初は）、社会保障制度（年金、医療、介護、福祉、労働保険）、税制（国税、地方税）、災害対策に関する分野に使われる。2015年10月5日よりマイナンバーが付番された通知カードが国民一人ひとりに届き、個々の申請手続きによって個人番号カードが交付される。

　利用機関は行政機関や自治体などだが、社会保障や税に関する帳票や届出への記載に必要な従業員のマイナンバー収集や以後の管理は個々の民間企業、ないしその委託先が担う。例えば、税分野では、税務当局へ申告する各企業が番号の収集と管理を行い、給与所得の源泉徴収票などさまざまな帳票へ記載する対応が必要となる。基本的には、すべての民間企業や団体が当てはまるものとなる。

　マイナンバーを含めた個人情報は「特定個人情報」と定義され、取り扱いが厳格に規定される。これまでの個人情報保護法では対象外（5000件以下）の事業者であっても、それを1件でも取り扱うならばマイナンバー法における「個人番号関係事務実施者」となり、規制の対象になる。罰則も個人情報保護法より種類が多く、法定刑も重くなっている。一例として、正当な理由なく業務で取り扱う特定個人情報を提供した場合「4年以下の懲役または200万円以下の罰金」が科せられることがある。

　マイナンバーの取り扱いにおいて民間企業は「必要な範囲を超えて扱わない」「情報漏えいしないよう安全に管理する」「取り扱う従業者を教育、監督する」「委託先を監督する」などの義務や責務を負う。具体的にはマイナンバー制度の開始までに、マイナンバーの収集において厳格な本人確認を行うシステム、情報漏えい防止のための安全管理処置を講じること、そのための社内ITシステム改修やポリシーの制定、改訂を行っていく必要がある。データ保護の方法については、例えば「データの暗号化」や「パスワード保護」、そして「暗号鍵やパスワードの適切な管理」を行うようガイドラインで示されている。

　マイナンバー関連業務をアウトソースするにも、その委託先（その委託先の委託先も含めて）が適切かつ安全に管理、運用しているかを自社が監督する義務がある。漏えい事故が発生すれば、自社も罰則の対象になる。アウトソーシングサービスの選定も、マイナンバー法施行に対応した安全、確実な対応と対策手段を設けている事業者かを見極める必要がある。

• 特集：企業のための「マイナンバー対応」対策指南