マイナンバーの送付開始がせまるなか、マイナンバー制度に対応し、大手ITベンダーから給与などのパッケージソフトにいたるまで、様々なシステムが発表されています。中小企業で従来から給与システムを利用している場合、多くは同じベンダーの給与システムのマイナンバー対応のバージョンアップを待ち、その内容に応じてマイナンバーを管理するように予定されているのではないかと思われます。はたしてその対応で、安全なマイナンバー対策ができるのか、マイナンバー対策を契機にIT活用を見直す視点で、マイナンバー管理のシステムを見ていきましょう。
給与系のパッケージソフトのマイナンバー対策システム
パソコンにインストールして使用するタイプの給与ソフトのマイナンバー対策からみていきましょう。
このタイプでは、給与データなどもパソコン本体に登録されます(または所内LANシステムを構築している場合はサーバーに登録されます)。これらのソフトウェアのマイナンバー対応では、以下のような対応が標準的なレベルとなっています。
・従業員情報とは別にマイナンバー専用のデータベースが用意される
・マイナンバーの登録・編集権限などを設定したID・パスワードで担当者以外がマイナンバーへアクセスできないようにコントロールする
・登録・編集権限が設定された担当者が従業員および扶養親族のマイナンバーを入力・登録する
・登録されたマイナンバーはデータベース上で暗号化され管理される
・源泉徴収票など個人番号欄が設けられた帳票を印刷するさいに、指定により必要な箇所にマイナンバーをセットして印刷できる
・登録されたマイナンバーの登録・編集・削除、利用などの履歴が閲覧できる
安全管理措置の視点でこれらの機能をみていくと、権限設定したID・パスワードによるアクセスコントロールやマイナンバーデータの暗号化などは技術的安全管理措置に該当する機能となります。また、履歴を残し閲覧できる機能は組織的安全管理措置に該当する機能となります。
また、マイナンバーの収集・本人確認から保管、利用・提出というプロセスで上記の機能を整理してみましょう。
・マイナンバーの収集
マイナンバーの収集はシステム外の作業となり、通知カードなど書面を登録・編集権限が設定された担当者が収集し、その担当者がマイナンバーを入力・登録するフローが一般的です。なお、複数の拠点をもつ企業を考慮して、支店でExcelなどに入力されたマイナンバーを取り込む機能がサポートされているものもあります。
・収集時の本人確認
マイナンバー収集時の本人確認は、ほとんどのシステムでシステム外の作業として担当者が対応することになっています。
・マイナンバーの保管
入力・登録されたマイナンバーは、事業所内のパソコンまたはサーバーに保管されます。そのため、パソコンまたはサーバーに保管されたマイナンバーを守るために、ガイドラインにそった物理的安全管理措置、技術的安全管理措置を講じる必要があります。
・マイナンバーの利用
マイナンバーの記載が必要な書類(源泉徴収票など)を作成する業務を権限がない人は行えないようにするか、または権限のない人がそれらの業務を行う場合はマイナンバーを表示されないように制御されます。
・マイナンバーの提出
源泉徴収票を提出する際に紙に必要なマイナンバーも印刷して書面で税務署などに提出することしかできないソフトがある一方で、電子申告・申請まで対応しているソフトもありますので、提出時の漏えいリスクを軽減するためにも、電子申告・申請まで対応しているソフトを利用したいものです。
クラウドで提供される給与ソフトのマイナンバー対策
クラウドで提供される給与ソフトの場合、前項で見たパソコンにインストールして使用するタイプの給与ソフトの標準的な対応は満たした上で、収集・本人確認や保管の機能に大きな差異がでてきます。
・マイナンバーの収集
クラウドの場合、マイナンバー専用のデータベースが用意されることはパッケージソフトと同様ですが、クラウド上で一元管理されることから、アクセスが許される人は、インターネットさえつながれば、どこからでも入力できることになります。
また、入力機能に対応するデバイスもパソコンだけではなくスマートフォンやタプレットにも対応していますので、これらの特徴を活かして、従業員が本人および扶養親族のマイナンバーを入力できる仕組みを提供できます。担当者の負担を軽減できますし、本人確認書類の受け渡しなども不要になりますので、漏えいリスクも軽減できます。また、複数の拠点がある場合にも、支店からでも直接クラウド上のマイナンバー専用のデータベースへ直接入力ができ本社と共有できますので、拠点間でのExcelなどに入力されたマイナンバーデータの受け渡しも不要となります。
・収集時の本人確認
従業員が本人および扶養親族のマイナンバーを入力する際、担当者が本人確認資料(通知カード+運転免許証など)の提示をもとめ確認すれば良いわけですが、入力されたマイナンバーの正確さを担保するために、本人確認資料(通知カード+運転免許証など)を画像データとして取り込む機能をもつものもあります。この機能を活かせば、従業員が自宅でスマートフォンなどから入力し、その後担当者がPC上で本人確認を行うこともできます。収集から実際の利用まで時間がある場合、利用・提出時に再度番号確認を行うことも容易にできますので、できればこうした機能を利用したいものです。
・マイナンバーの保管
入力・登録されたマイナンバーは、クラウド上のマイナンバー専用のデータベースに暗号化されて保管されます。基本的には、事業所内のパソコンやサーバーには、マイナンバーが登録されることはありませんので、事業所内のパソコンやサーバーからマイナンバーが漏えいするリスクは限りなくゼロになります。また、ガイドラインが求める物理的安全管理措置も最低限の対応を行えば良いことになります。ただし、源泉徴収票などマイナンバーを記載する帳票を作成する作業時などに、一時的にでもパソコン内にマイナンバーが残るような機能がある場合は、そこにリスクが存在することになりますので、この点は要チェックのポイントとなります。
今回は、事業所内のパソコンなどで管理するオンプレミス(自社運用)のシステムとクラウドで提供されるシステムの比較を見てみました。次回以降は、収集、利用・提出、保管・廃棄といったマイナンバー取り扱いの各プロセスで、オンプレミスvsクラウドの機能の違いが業務運用にどのような影響を与えていくのか、詳しくみていきます。
著者略歴
・中尾 健一(なかおけんいち)
![]()
アカウンティング・サース・ジャパン株式会社 取締役
1982年、日本デジタル研究所 (JDL) 入社。30年以上にわたって日本の会計事務所のコンピュータ化をソフトウェアの観点から支えてきた。2009年、税理士向けクラウド税務・会計・給与システム「A-SaaS(エーサース)」を企画・開発・運営するアカウンティング・サース・ジャパンに創業メンバーとして参画、取締役に就任。マイナンバーエバンジェリストとして、マイナンバー制度が中小企業に与える影響を解説する。
