< 本書の内容 >
はじめに
本書は「やる順!マイナンバー対応ガイド」シリーズの第2弾【 対応実務編 】です。
第1弾[【 準備・体制整備編 】](http://www.amazon.co.jp/dp/B00ZROUFUO)では、おもにマイナンバー対応を効率的にすすめるための準備や取組体制の整備といった内容について説明しました。
本書では、いよいよマイナンバー対応を実際にすすめるにあたって、「やること」を「やる順」に説明します。
最初に、本書の基本的な考え方について確認していただきましょう。次の2つの資料をみてください。
1. [特定個人情報の適正な取扱いに関するガイドライン](http://www.ppc.go.jp/files/pdf/261211guideline2.pdf)
2. [マイナンバー導入チェックリスト](http://www.cas.go.jp/jp/seisaku/bangoseido/download/checklist.pdf)
1のガイドラインは、全部で57ページあります。あまりにも多岐にわたる対応を求めていて「ここまでやらないといけないのか!?」とウンザリするようなレベルの内容です。
一方、2の「チェックリスト」は、たったの1ページです。あまりにも簡単すぎて「ほんとうにコレだけでいいのか!?」と不安を感じるレベルかもしれません。
一方は「ガイドライン」で一方は「チェックリスト」という違いがあるとはいえ、2つの資料で示された内容は、ギャップが大きすぎるのです。いろいろな資料を参考にして、企業の「身の丈にあった」対応を求めているのだと考えられますが、どうしたらいいのか途方にくれる担当者の声をよく聞きます。
そこで本書【 対応実務編 】では、会社の「身の丈にあった」対応を進めていくための方法を提案したいと思います。
具体的にみていきましょう。
マイナンバー対応にあたって、会社に求められていることは3つありました。
第一に、社会保障や税の法律で定められた書類に、マイナンバーを記載することです。
第二に、マイナンバーの取扱(取得、利用・提供、保管・廃棄)について定められた、法律の規定を守ることです。
第三に、取り扱うマイナンバーを含む個人情報(特定個人情報といいます)について、漏えい、滅失又は毀損を防止するための措置(安全管理措置)を行うことです。
第1の「マイナンバー記載義務」と第2の「取扱ルールの遵守」については、原則、大企業と中小企業とで差が設けられているわけではありません。たとえば、「大企業は行政書類にマイナンバーを書かなければならないが、中小企業は書かなくていい」とか、「大企業は本人確認をしなくてはならないが、中小企業は本人確認をしなくても良い」というわけではありません。すべての企業に対応が求められているのです。
問題は第3「安全管理措置」です。この部分については、それぞれの会社の規模や業務内容等によって、様々な対応が考えられます。
つまり、マイナンバー導入にあたって「会社の身の丈にあった対応をする」とは、「安全管理措置について、会社に応じた適切な対策を講じる」ということなのです。
「安全管理措置について適切な対策を講じる」ためには、考え方がとても重要です。
その第一歩となるのが「安全を脅かす者はだれか」を明確にすることです。敵を明らかにしないまま、適切な対策を講じることはできません(課題を端的に示すため、不穏当な表現であることをお許しください)。
情報の安全を脅かすものを「外部的要因」と「内部的要因」に分けて集計したら、どのような割合になるのか、ご存じでしょうか?
内部的要因が90%近いという統計があります。([2013年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~ (セキュリティ被害調査ワーキンググループ](http://www.jnsa.org/result/incident/)「3.2 原因」の円グラフで、内部的要因と考えられるものを足しあわせると、87.8%になります)
この統計に基づくならば、安全管理措置の敵(漏えい、滅失又は毀損の要因)の約9割は内部にいることになるのです。
「うちの従業員にかぎって、そんな悪い奴はいない!」というのは、まったく当てはまりません。「内部的要因」の中には、悪意をもってワザと「漏えい、滅失又は毀損」をおこなったものばかりではありません。うっかりミスや気づかずにおこなったもの(本人に悪意がないもの)が多く含まれています。
結果として、盗難やサイバー攻撃などの「外部的要因」による対策だけでなく、「内部的要因」に対して十分な対策が必要になるということです。ここで、筆者は「従業員を敵視せよ」と書きたいわけではありません。会社の従業員等は、情報を守る「盾」であると同時に、漏えい等の「穴」でもあるということを十分に認識した上で、対策を立てる必要があるということを伝えたいのです。「漏えい、滅失又は毀損の要因の9割は内部」という認識がないまま安全管理措置をおこなっても、的外れな対応になるでしょう。
以上のことを踏まえて検討すると、マイナンバーは法律で厳格な利用制限がかけられており、一般的には行政手続きを行う部署(総務や経理や人事など)しか取り扱わない情報ですので、利用する部署・対象者をできるかぎり小さく絞って、必要な分だけに限定することが、適切な安全確保につながり、しかも効率がよい(対応のための負担が少ない)と考えられます。
そこで本書では、マイナンバー対応をすすめるにあたって、「利用・提供(マイナンバーを記載した手続き書類を、行政に提出する場面)」からスタートして、必要最小限の取扱に絞りながら検討していくというプロセスを推奨します。
「会社の身の丈にあったマイナンバー対応策はなにか?」という問いに対して、個別に「適切な答え」を示すことはできませんが、中小企業が対応策を考える上での「適切なプロセス」を提案することは可能だと考えています。
以上が、本書の基本的な考え方です。
プロセスとは、つまり「やる順」のことです。本書【 対応実務編 】は、一般的な中小企業が、「身の丈にあった」マイナンバー対応実務を進めるためのガイドとして、適切な「やる順」を提案する本です。
yarujyun mainanba taiou gaido taioujitsumuhen: jikan to ryoryoku wo mudanishinaitameni mainanba taiougaido (jinnji romu turn out magazine) (Japanese Edition)
Sobre
Baixar eBook Link atualizado em 2017Talvez você seja redirecionado para outro site