J-SOXの経験に学ぶ
マイナンバー制度対応のイロハ
【第1回】
「マイナンバー制度はコンプライアンスに焦点をあてた内部統制の構築」
公認会計士 金子 彰良
マイナンバー制度対応の本質は内部統制の構築である。つまり、安全管理措置の検討手順は、内部統制のフレームワークを用いると理解しやすい。したがって、基本方針と取扱規程等が「存在し、かつ機能している」状態が目標になる。
(なお、文中の意見に関する部分は、筆者の個人的な見解であることをお断りしておく。)
◆はじめに
マイナンバー制度(社会保障・税番号制度)が開始される2016年1月まで残り1年を切った。行政機関等では情報の照合や転記作業における業務の効率化、国民にとっては本人確認の添付書類が少なくなるなど利便性の向上が期待されている。しかし、その一方で、事業者(企業)にとってマイナンバー制度への対応負荷が心配されている。
このような中、個人番号を取り扱う事業者が特定個人情報の適正な取扱いを確保するために、特定個人情報保護委員会は、昨年12月11日付で、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を公表した。
本連載では、事業者が特定個人情報の適正な取扱いを確保するためには、経営者をはじめ事業者の各構成員自らが、特定個人情報に対する保護措置の重要性を認識しなければならないとの観点にたち、自社の経営管理のしくみとして主体的に社内体制を構築するための視点を提供することを目的としている。
◆マイナンバー制度対応の本質
▷マイナンバー制度対応の本質は内部統制の構築である
マイナンバー制度への対応において特徴的なのは、特定個人情報について個人情報保護法よりも厳格な各種保護措置を設けていることであろう。
番号法で規定する保護措置は、大きく次の3つに大別される。
- 特定個人情報の利用制限
- 特定個人情報の安全管理措置等
- 特定個人情報の提供制限等
ガイドラインでは上記3つの保護措置について、各論として第4章で個別に記載しているほか、安全管理措置の具体的な内容については、「(別添)特定個人情報に関する安全管理措置(事業者編)」(以下「別添資料」という)を提供している。
事業者は、番号法をはじめとする関連法令・ガイドラインに従って制度対応を進めなければならないが、その作業の本質はコンプライアンス(法令遵守)を目的とした内部統制の構築作業と言える。つまり、マイナンバー制度に適切に対応するためには、特定個人情報の適正な取扱いを確保するための具体的な方策について検討し、経営管理のしくみとして実践するとともに、継続して点検・見直しを図らなければならない。
内部統制と言えば、金融商品取引法の内部統制の評価報告制度(一般に、「J-SOX制度」と呼ばれるもの)を経験した上場会社等やそのグループ会社にとっては馴染みがあると思われる。
マイナンバー制度は、個人番号を取り扱うすべての事業者に適用されるため、必ずしもすべての事業者がJ-SOX制度の経験を活かせるわけではないが、大事なのは制度対応に向けた視点を持つことである。
そこで、最初に安全管理措置の構築手順の概要を解説しながら、マイナンバー制度と内部統制のフレームワークとの関係をおさえてみたい。
- 内部統制の目的
- 事業単位と活動
- 基本的要素
(注) 本稿で用いる内部統制の用語は、特に断りのない限り、金融商品取引法の内部統制の評価報告制度におけるものを使用している。
▷安全管理措置の検討手順は内部統制のフレームワークを用いると理解しやすい
経営管理のしくみとして実践する際、一番難しいのが安全管理措置の検討である。
マイナンバー制度は、新しい法制度の要請に基づく対応であるため、「安全管理措置の構築」と聞くと、全く新しいしくみを導入しなければならないと思うかもしれない。
しかし、別添資料を読むと、新たに付加された個人番号関連の事務をどのように既存業務に取り込むかがポイントであること、また、その検討は「内部統制の構築」と多くの共通点があることに気づく。
ガイドラインの別添資料では、安全管理措置について5つの検討手順が記載されているが、それに作業順序を考慮して図示すると以下のようになる(図表1-1)。
図表1-1 安全管理措置の検討手順
※画像をクリックすると、別ページでPDFファイルが開きます。
(別添)特定個人情報に関する安全管理措置(事業者編)1.安全管理措置の検討手順より作成
〇検討手順A~C:番号法を適用する対象を明確にする
最初に、番号法を遵守するという目的に関連して、その対象を明確にしなければならない。これは図表1-1で示した安全管理措置の検討手順、「A.個人番号を取り扱う事務の範囲」と「B.特定個人情報等の範囲の明確化」に該当する。
また、目的・対象(事務の範囲・情報等)が決まると、関連して影響を及ぼす組織が明確になるが、これは同じく図表1-1の「C.事務取扱担当者の明確化」に該当する。制度上、本人から個人番号の提供を受ける際、番号法で認められた方法によって本人確認等を行う必要があるが、事業者によっては本社だけでなく、複数の事業拠点で本人確認業務を実施する可能性がある。
これら個人番号の事務範囲や特定個人情報等の範囲、事務取扱担当者の明確化は、内部統制のフレームワークでいうところの統制対象としての「事業単位と活動」にあたる。
安全管理措置の検討手順では、これらを踏まえ、「D.基本方針の策定」と「E.取扱規程等の策定」を行う。
〇検討手順D:基本方針を策定する
「D.基本方針の策定」は、特定個人情報等の適正な取扱いの確保について組織として取り組むために策定するものである。事業者としては、既存の個人情報保護方針を改正する、又は新しく策定しなければならない。
基本方針は取扱規程等と合わせて、従業者の意識や行動を規定し、特定個人情報に対する保護措置の重要性の認識に影響を与える点で、内部統制のフレームワークでいうところの「基本的要素(統制環境)」にあたる。
〇検討手順E:取扱規程等を策定する
「E.取扱規程等の策定」は、特定個人情報等の取扱事務の流れを整理して、管理段階(取得、利用、保存、提供、削除・廃棄)ごとに、取扱方法、責任者・事務取扱担当者及びその任務等について定める。事業者としては、既存の個人情報の保護に係る取扱規程等に特定個人情報の取扱いを追記する、又は新しく策定しなければならない。
取扱規程等で規定する各項目は、内部統制のフレームワークでいうところの各基本的要素にあたる。
例えば、次のような項目を規定する(カッコ内は主に関連する基本的要素を表す)。
- 事務における責任者の設置及び責任(統制環境)
- 事務取扱担当者の教育(統制環境)
- 個人番号入手時の本人確認の実施手続(リスクの評価と対応、統制手続)
- 個人番号の受渡しと情報システムへの記録(情報と伝達、ITへの対応)
- 特定個人情報等の取扱状況の把握(モニタリング、ITへの対応) など
上記は一部の例示であるが、ガイドライン別添資料において、取扱規程等に織り込むべき安全管理措置の具体的な内容として、「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つが明示されている(図表1-2)。
図表1-2 取扱規程等に織り込むべき安全管理措置※画像をクリックすると、別ページでPDFファイルが開きます。
(別添)特定個人情報に関する安全管理措置(事業者編)2.講ずべき安全管理措置の内容より作成
▷基本方針と取扱規程等が「存在し、かつ機能している」状態が目標
以上のように、番号法等への遵守目的とガイドライン別添資料における「安全管理措置の検討手順」のA~Eの各ステップは、内部統制のフレームワークに対応することがわかる(図表1-3)。
図表1-3 マイナンバー制度対応と内部統制フレームワーク※画像をクリックすると、別ページでPDFファイルが開きます。
マイナンバー制度への対応を内部統制の構築作業であると考えれば、経営管理のしくみとして当該内部統制が有効に機能していることをもって、制度対応できたと言える。すなわち、内部統制の基本的要素に相当する「基本方針」「取扱規程等」が、番号法の遵守という目的を達成するために、「存在し、かつ機能している」状態が目標になる。
では、「存在し、かつ機能している」とはどのような状態を指すのであろうか。
* * *
次回は、マイナンバー制度対応に伴い個人番号関連の事務が付加される5つの業務プロセスをおさえ、ガイドラインで記載されている各種保護措置をプロセスに位置づけてみたい。
(了)
