2015年2月25日再掲:

今年に入って一般的なマイナンバーの実務対応セミナーはどこも満席が続出している。会社の友人に教えてもらった最近の内閣府のアンケートでは、マイナンバー制度の内容まで知っていたという人は28.3%に留まるという結果が出ている。

個人が手書きで対応するなら、全く問題ないが、税金関係や社会保障関係の処理をシステム化している企業では、システム改変等が必要となる。

日本では数年前からプログラマー不足が恒常化しており、一時はやった中国などでのオフショア開発も最近は下火で、多くのシステム開発会社では需要はあるが、人手不足で対応できないという状態が続いている。

2015年2月23日に発表された帝国データバンクの「人手不足に対する企業の動向調査」でも、従業員が最も不足しているのは「情報サービス」で、「不足」と回答した割合が59.3%となり、業種別に見て最も高かったという結果を公表している。

帝国データバンクでは、”「人材不足が深刻化しており、IT エンジニアが確保できない」(ソフト受託開発、東京都)や「人材不足で仕事を断っている」(ソフト受託開発、京都府)など、年度末の需要期に加えて、マイナンバー制度の導入や金融機関のシステム投資拡大などもあり人手不足が高水準で続いている。”という解説も付けくわえている。

日本の全法人約400万社が、2016年1月からマイナンバーの利用が義務付けられているので、マイナンバー対応のシステム改変だけでも、大変なシステム開発ラッシュとなることが見込まれる。

システム改変を伴うマイナンバー対応準備は前広に実施する必要があるので、「マイナンバー制度と企業の実務対応」のあらすじを再掲する。


2015年1月12日追記:

この本の著者の榎並さんが、2014年11月10日に開催された経団連の「マイナンバー実務対応シンポジウム」で講演しているので、紹介しておく。配布資料はここをクリックしてダウンロードして頂きたい。

シンポジウム全体の議事要旨と配布資料も公開されている。

この配布資料と榎並さんの講演要旨を読めば、実務対応で何をやらなければならないかよくわかると思う。

詳しくは本を読むとして、とりあえずは配布資料を参照してほしい。


2014年12月29日初掲:



2015年10月に全国民に対して配布されるマイナンバー制度の企業対応をまとめた本。

著者の榎並利博さんは富士通総研の主席研究員で、このブログで紹介した「マイナンバーがやってくる」も共著者として出版しているマイナンバーのオーソリティだ。



マイナンバーについては、内閣官房の社会保障・税番号制度のウェブサイトに掲載されているマイナンバー制度概要資料が参考になる。他にも「マイナンバー制度で企業実務はこう変わる」などの企業向け解説書もある。



読み比べてみたが、榎並さんの本の方が、分かりやすく、いろいろな情報満載で、実用的だと思う。

この本の「序章」を読めば、大体やるべきことがわかる

この本の最大の利点は「序章」(4ページ〜16ページ)を読めば、やるべきことが大体わかる点だ。実務書として大変よくできていると思う。

「序章」は次のような節にわかれている。

チェックポイント 1.マイナンバー対応の組織体制

民間企業は基本的には、「個人番号関係事務実施者」(単にマイナンバーを行政機関に提供するなど、補助的に扱う人)となるが、企業年金と健康保険組合に限っては、行政機関と同じ「個人番号利用事務実施者」(マイナンバーを業務利用する人)となる場合がある。

「個人番号利用事務実施者」となると、マイナンバー導入のためのシステム改変前に、「特定個人情報保護評価」(Privacy Impact Assessment=リスク分析)を実施する必要があり、また国の「情報提供ネットワークシステム」に接続するので、それなりの情報セキュリティが必要だ。違反した場合には罰則が科せられる。

「マイナンバー法」は「個人情報保護法」(一般法)に対して、特別法という位置づけとなるので、マイナンバーの取扱いに限っては、「個人情報保護法」の要求事項に加えて、「マイナンバー法」の要求事項も満たさなければならない。

民間企業でマイナンバーを取扱うのは、次のような部署だ。

scanner1













出典:本書5ページ

民間企業は現在は従業員の住んでいる自治体ごとに仕分けて、源泉徴収票と給与支払調書を郵送している。これが大変な手間だった。

マイナンバーを導入することによって、今後はオンラインでeLTAX(”エルタックス”=地方税ポータル)にデータを送れば、マイナンバーを利用して、eLTAXが、税務署やそれぞれの自治体に必要なデータを振り分けて送信することになり、民間企業の手間は軽減される。

一方、マイナンバーの取扱いで最も注意すべき点は、現状では税金、社会保険、健康保険(+激甚災害対応)以外の目的でマイナンバーを利用することは法律で禁止されていることだ。

たとえば、社員番号としてマイナンバーを利用することなどは、法律上禁止されている。だから、マイナンバーと他の個人情報を一緒に記載したエクセルシートなどを作成することは、上記の目的に限られる。

罰則も個人情報保護法に比べて、各段に厳しくなり、保護法では、主管官庁の改善命令等に従わない場合のみ、罰則が適用されたのが、今度は不正提供や不正取得、漏えいに直接罰が設けられるようになった。不正手段でカードを取得することだけでも最高6か月以下の懲役刑が課せられる。

図1




















出典:内閣官房 社会保障・税番号制度 ホームページの「番号制度の概要」資料


チェックポイント 2. すべての民間企業が対応しなければならないこと

「個人情報保護法」は5,000件以上の個人情報を取扱っている法人・個人が対象だが、マイナンバーには5,000件という制限はなく、すべての民間企業が対象となる。日本には約400万社の企業があるといわれている。そのすべてが2016年1月からマイナンバーに対応する必要がある。

すべての民間企業は、マイナンバーを安全に管理するために規則を制定したり、教育研修を行ったり、取扱う従業者に対して適切な監督を行うことが求められている。また、国や自治体が行うマイナンバー関係の施策に協力する義務もある。

といっても特に難しいことではない。2016年1月からの社会保険(厚生年金、介護保険等)、健康保険、税金の手続きの際に、個人から取得した本人及び必要に応じて被扶養者のマイナンバーと、国税庁より配布される法人番号の両方を記載するだけのことだ。

たとえば従業員、株主、講演講師、不動産賃貸人などからマイナンバーを集め、税務署への支払調書に記載することになる。

これが手書きで届出書に記入するなら話は簡単だが、多くの企業が給与計算とか税金の支払い、社会保険の手続きをシステム化しているので、2016年1月の運用開始前に、マイナンバーと企業番号の両方を組み入れるためにシステムを改変しなければならない。

これが「マイナンバー特需」といわれる、システム開発ラッシュだ。

システム的に対応できない企業は、社労士とか公認会計士などの外部の委託先に頼むことになる。

筆者はプライバシーマーク審査員として、システム開発会社を数多く訪問してきたが、日本のシステム開発会社はどこも人手不足で、今でさえ受注したくとも、人手が足りないので、受注できない状況だ。

みずほ銀行のシステム入れ替え特需(3,000億円といわれている)に加え、「マイナンバー特需」が出てくると、システム開発会社の能力を上回るシステム開発需要が発生することが予想されている。

一時、はやっていたような中国でのオフショア開発とかも、最近はほとんど話を聞かない。オフショア開発を続けている会社もあると思うが、とても日本の特需に対応できるような規模ではない。

多くの企業でのシステム開発の遅れが、筆者が最も懸念している点だ。


チェックポイント 3. 金融業界における特別な対応

金融業界では、毎年税務署に膨大な支払調書を提出している。たとえば、投資信託、先物取引、株式の特定口座、生命保険支払、年金型の生命保険等の支払調書などだ。これらの支払調書のすべてにマイナンバーを記載する必要がある。

また、マイナンバーのもう一つの利用目的として、激甚災害被災者救援がある。激甚災害で通帳やカードをなくした人にもマイナンバーの通知で、金銭の払い出しが可能となるのだ。


チェックポイント 4. マイナンバー関連業務の受託

マイナンバー関連業務の取扱いを再委託する場合には、委託元の承諾を得る必要がある。


チェックポイント 5. 民間企業がマイナンバーを業務利用する場合

民間企業でも「個人番号利用事務実施者」となる例外的な場合がある。

それは、確定給付あるいは確定拠出年金制度がある事業主が、従業者の企業年金の管理にマイナンバーを使う場合だ。

この場合、「情報照会者」として国の「情報提供ネットワーク」(2017年1月運用開始)に接続して、年金の給付状況などを照会することができる。


チェックポイント 6. 健康保険組合は個人番号利用事務実施者となる

大企業の健康保険組合や国民健康保険組合は、保険給付や保険料徴収にマイナンバーを利用するので、「情報提供ネットワーク」に接続する必要がある。

さらに、情報照会者から依頼があった場合、医療保険給付関係情報を提供しなければならない立場となるので、中間サーバを設置して、被保険者や被扶養者の医療保険情報を「情報提供ネットワーク」に提供する必要がある。

中間サーバが必要な理由は、マイナンバーの安全対策として、各機関が保存する個人情報とマイナンバーは直接結びつけず、マイナンバーを翻訳する符号を保存するという複雑な仕組みになっているからだ。

行政機関と同等の作業となるので、単一企業組合などの場合を除いて、特定個人情報保護評価も必要となってくる。

民間企業でのマイナンバー取扱いで、最もややこしいのはこの健康保険組合での取扱いだ。


チェックポイント 7. 情報提供ネットワークシステムへの接続

情報提供ネットワークシステムへ接続するためには、インターフェースシステム、中間サーバ、住基連携用サーバが必要となってくる。

住基連携用サーバが必要な理由は、上記のようにマイナンバーと個人情報を結びつける符号を住基ネットから取得するためだ。

住基連携用サーバで住基ネットから住民票コードを割り出し、それを情報提供ネットワークに送信して、住民票コードに対応する符号を生成してもらい、中間サーバ経由で符号を受領するという手順となる。


チェックポイント 8. 特定個人情報保護評価の実施

確定拠出・給付年金制度を持っている企業、単一組合を除く健康保険組合で情報提供ネットワークに接続する場合は、接続する業務について特定個人情報ファイル(マイナンバーを含む個人情報)が取扱われる前に、プライバシーに与える影響評価(PIA=Privacy Impact Assessment)を行う必要がある。

これが特定個人情報保護評価だ。プライバシーマーク認定企業では、社内に保有する個人情報を台帳等で特定して、次に取扱いのライフサイクル等に沿ってリスク分析をする。これと基本的には同じ作業となる。

この特定個人情報保護評価は、取扱う個人情報の件数、事故の有無、取扱者の人数により閾(しきい)値が設けられている。それが次の図だ。

閾値判断





















出典:特定個人情報保護委員会 特定個人情報保護評価指針の解説(平成26年11月11日)第5.

つまり、「基礎項目評価書」は1,000人未満の小規模機関を除いて、全部が必須。

1万人までの小規模は基礎項目評価書のみ、1万人~10万人、10万人〜30万人は、取扱者数や事故の発生によって、重点項目評価表または全項目評価表、30万人以上は全項目評価表という振り分けとなる。

作成した基礎項目評価書と重点項目評価表は、特定個人情報保護委員会に提出され、公表される

また全項目評価表は、特定個人情報保護委員会で内容審査及び承認を受けて公表される。

評価は年1回以上見直す必要があり、評価作業を実施する組織体制も確立しておく必要がある。


チェックポイント 9. マイナンバー対応のスケジュール

マイナンバー対応スケジュールは次のようになる。

scanner2


























出典: 本書16ページ

前述のように日本全体でプログラマーが不足している。マイナンバー運用開始まで、あと1年あるともいえるし、あと1年しかないともいえる。

情報提供ネットワークに接続するのであれば、システムの要件定義段階までに特定個人情報保護評価も実施する必要がある。

早めに準備を開始しておくことが肝要だと思う。


その他の特記事項:

この本は上記のような実務的な対応のポイントを紹介しているとともに、マイナンバー制度そのものについても、様々な情報を掲載しており、参考になる。特記事項として箇条書きでいくつか紹介しておく。

★マイナンバーはもともと民主党のマニフェストで提案されていた
2009年の選挙の際の民主党のマニフェストで提案されていた。民主党政権時代に、法案が国会に提出されたが、審議未了で廃案となった。

2012年末に政権交代し、自民党はむしろマイナンバーの民間利用の検討準備期間を、当初案の5年から3年に早め、安倍政権下で2013年5月にマイナンバー法が成立した。

特定個人情報保護委員会の権限強化も、自民党案で織り込まれた。2015年には「個人情報保護法」自体が改正され、「特定個人情報保護委員会」が、諸外国の「個人情報コミッショナー」と同等の「個人情報保護委員会」に改組される見込みである。

★ノルウェーでは個人の氏名、住所、生年、年収、資産、税額までインターネットで公開されている。
これは驚きだ。北欧諸国はスウェーデンが1972年に世界で初めて個人情報保護法を制定していることでもわかるとおり、個人情報保護には世界で最も進んでいる地域とみなされている。

日本人から見れば、こういった情報を公開することは、プライバシーの侵害になるということで、大騒ぎになると思うが、ノルウェーではこういった情報はプライバシーとは考えられていないのだと。

インターネットで"Skattelister"で検索すると、ノルウェー語のページが出てくる。意味が良くわからないが、どうやら"Skatte=tax"、"Inntekt=income"、"formue=fortune=asset"のようだ。

トップページではノルウェーの高額取得者のリストや国民の年収分布グラフなどが公開されている。

日本ではプライバシーと個人情報の区別があいまいだが、ノルウェーでは資産や年収はプライバシーとはみなされていないのだろう。

★スウェーデンでは国税庁傘下のSPAR(住民情報登録機関)が住民情報を提供する名簿ビジネスを有料でやっている。ダイレクトメールを受け取りたくない住民はオプトアウト(受け取り拒否)できる仕組みだ。

日本のように名簿屋を悪者として敵視するのも、行き過ぎではないかという気がする。スパムメールは確かに迷惑だが、ダイレクトメールであれば、オプトアウトで受け取り拒否すれば、それで済むのではないかと思う。

★預金口座へのマイナンバー適用
マイナンバー法でも、投資信託、先物取引、株式の特定口座、生命保険支払、年金課型の生命保険等の支払調書にはマイナンバーの記載が求められている。最近の新聞記事で、2018年1月からは任意で、預金口座にもマイナンバーの記載を求めると報道されていた。

預金金利支払では税金を源泉徴収されており、時間の問題で、預金口座にもマイナンバー記載が求められるだろう。当然の流れだと思う。

★医療・介護分野へのマイナンバー導入
厚生労働省は医療分野を囲い込むために、日本医師会を巻き込んで自前の「医療ID」制度をつくりたいのだろうが、榎並さんは、マイナンバーによる医療分野の情報連携によるイノベーションの可能性と在宅医療・介護分野へのマイナンバーの活用のメリットを説いている。

マイナンバーの医療分野への活用というよりは、マイナンバーを本人確認の手段として使うという目的であり、方向性としては、正しいと思う。

「医療ID」などの独自の個人認証制度をつくるのは、政府として莫大な二重投資となり、マイナンバーが全国民に普及して、だんだんに民間利用なども進んでいけば、「医療ID」は、いずれ立ち消えとなるのではないかと思う。

★韓国の現金領収証制度
韓国では消費活性化と所得捕捉のために、1999年からクレジットカード利用促進策を実施し、2005年から現金の流れも捕捉するために、現金領収証制度を導入した。

現金で店で買い物する際に、住民登録番号と携帯電話の番号を店に提示すると、店側がクレジットカードのネットワークを利用して、オーソリ(支払確約)を受けて「現金領収証」を発行する。

消費者には、現金領収証は所得控除や福引に使えるというメリットがある。

マイナンバー制度への企業の対応についても、それに関連する話題についても、大変参考になる実用的な本である。


参考になれば次クリックお願いします。