IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

技術者のためのほにゃららら

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker  Kubernetes 

第24回 業務システムのマイナンバー対応チェックポイント (吉政忠志) 2015年5月

 改めまして、このコラムを担当する吉政創成の吉政でございます。CTC教育サービスのマーケティング支援を行っているご縁から、この「技術者のほにゃららら」というコラムを月刊連載しています。「ほにゃららら」というのは40歳前後以上の方でないとぴんと来ないかもしれません。「XXXXX」や「なんとか」のような意味です。ちょっと大きな会社の役員をしていたこともあり、技術者の面接で経験したことや、XMLやLinux、Ruby、Ruby on Rails、PHPの認定試験を運営支援する中で感じたことなど、技術者の方々に役に立つような内容を中心に書いていきます。第24回は「業務システムのマイナンバー対応チェックポイント」というタイトルで書いてみます。

 私がマーケティング支援をしている鈴与シンワートの人事・給与アウトソーシングサービス「S-PAYCIAL」でよいコラムがありましたので、許可を得て全文掲載いたします。

 そのコラムの執筆者は社会保険労務士であり、情報処理技術者(ITストラテジスト、プロジェクトマネージャ、アプリケー ションエンジニア)でもある野田宏明先生です。社会労務保健士と技術者の立場の両方でマイナンバーについて書かれています。今年の10月より施行になるマイナンバー制度ですので、今年から来年にかけてかなりのシステム改変があるはずです。技術者の方々も関係がある方は是非、ご参考ください。

業務システムのマイナンバー対応チェックポイント

 昨年の8月に、このコラムでマイナンバーに関する記事を掲載し、結構反響をいただきました。最近はマイナンバーの話題がさらに多くなりましたね。私も某雑誌の記事を執筆させていただいたり、社内教育の講師をさせていただいたりと、マイナンバーに関するお仕事も少しずつ対応させていただいています。

 さて、12月中旬に内閣府の特定個人情報保護委員会から特定個人情報保護に関するガイドラインの正式版が公開されました。また、1月末には国税庁から本人確認に関する告示が発表されています。これらにより、実務面での具体的な対応が徐々に見えてきた状況です。特に従業員が多い企業や全国に多数の店舗がある企業などは、事務作業面、安全管理面で大きな影響があります。十分に準備をしておく必要があるでしょう。

 今回は、マイナンバー法の細かい内容の解説ではなく、「業務システムにおけるマイナンバーのチェックポイント」をお伝えしたいと思います。特に安全管理面についての内容です。自社の人事給与システムがこれらのポイントに対してどのような対応ができるか、早めの情報収集をしておきましょう。

【安全管理面】

①取扱い担当者のみが参照できるアクセス制御が可能か?

 マイナンバーは税と社会保険業務に限った利用となります。それらの業務に関係の無いシステム利用者は、マイナンバーを参照できないように制御をかける必要があるでしょう。大企業であれば人事システムの利用範囲は様々です。例えば、マイナンバー業務に携わらない管理職が人事システムから部下の情報閲覧を行う場合など、当然ながら番号が見えないようにシステム的な制御が必要です。

②アクセスログ(登録、更新、削除、照会、外部データ出力など)が取れるか?

 特定個人情報の取扱規定に基づく運用が適切になされているかをチェックするためにも、誰がいつマイナンバーにアクセスしたか、その記録をシステムのアクセスログとして残すべきでしょう。更新や削除のログだけではなく、照会、外部データ出力などの記録も残すことがポイントです。

③法定保存期限を過ぎた情報を抽出し、適切に削除できるか?

 不要になったマイナンバーは速やかに破棄する必要があります。ただし、各法定帳票には法定保存期限(例えば所得税関係は7年)がありますので、それまでは削除できません。期限を過ぎた段階で削除が求められるのです。システム管理しているものに関しては、保存期限が過ぎたデータを抽出し、削除できる仕組みが求められるでしょう。 ちなみに、速やかに削除とはどのぐらいか?という質問を受けることがありますが、例えば年度末にその年に期限を過ぎたものを一括で破棄するという程度の運用であれば許容されるようです。

④削除の記録をどのように保管できるか?

 法定保存期限を過ぎたデータを破棄した場合、破棄した事実を記録しておくことが求められます。アクセスログの話と近いですが、取扱い規定に基づいた記録が必要ですので、どのようにシステム的な対応ができるのかチェックしておくべきでしょう。
 ちなみに、破棄の記録の中にはマイナンバーが記載されていてはいけません(当たり前ですが・・)。

⑤バックアップデータについても同等の安全管理措置が取られているか?

 業務システムであれば定期的にバックアップを取得しているでしょう。そのバックアップデータに特定個人情報が含まれているのであれば、同様の安全管理が必要です。 データベースのエクスポートファイルでバイナリ形式になっており、パスワード等が無いと復元できないような形式であれば良いですが、CSVデータなどのテキストデータになっているような場合はその保管方法には注意が必要です。

 以上が安全管理面に対するチェックポイントになります。システムに関するポイントをいくつか挙げましたが、各企業によりその利用方法、運用方法は様々です。当然ながら、システム対応だけではなく業務運用全体として検討することが必要となります。今回は安全管理面でのチェックポイントでしたが、業務運用面(本人確認等)についてのチェックポイントもいくつかあります。それらについては、また別の回でお伝えできればと思います。

<執筆者情報>
fig01
野田宏明 氏
社会保険労務士。
情報処理技術者(ITストラテジスト、プロジェクトマネージャ、アプリケー ションエンジニア)。
メーカー系IT企業にて人事業務のシステムコンサルタントに従事。大規模から 中小規模まで多くの企業に対し、人事業務における業務コンサルティングからシ ステムの導入・運用保守まで一貫した対応を多数実施する。その後、社会保険労務士として現職に至る。労務相談や教育講師の他、電子申請、給与計算などの領域にてITを活用した効率化をご提案する社会保険労務士 として活躍中。

 


 

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker  Kubernetes