J-SOXの経験に学ぶ
マイナンバー制度対応のイロハ
【第1回】
「マイナンバー制度はコンプライアンスに焦点をあてた内部統制の構築」
公認会計士 金子 彰良
マイナンバー制度対応の本質は内部統制の構築である。つまり、安全管理措置の検討手順は、内部統制のフレームワークを用いると理解しやすい。したがって、基本方針と取扱規程等が「存在し、かつ機能している」状態が目標になる。
(なお、文中の意見に関する部分は、筆者の個人的な見解であることをお断りしておく。)
◆はじめに
マイナンバー制度(社会保障・税番号制度)が開始される2016年1月まで残り1年を切った。行政機関等では情報の照合や転記作業における業務の効率化、国民にとっては本人確認の添付書類が少なくなるなど利便性の向上が期待されている。しかし、その一方で、事業者(企業)にとってマイナンバー制度への対応負荷が心配されている。
このような中、個人番号を取り扱う事業者が特定個人情報の適正な取扱いを確保するために、特定個人情報保護委員会は、昨年12月11日付で、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を公表した。
本連載では、事業者が特定個人情報の適正な取扱いを確保するためには、経営者をはじめ事業者の各構成員自らが、特定個人情報に対する保護措置の重要性を認識しなければならないとの観点にたち、自社の経営管理のしくみとして主体的に社内体制を構築するための視点を提供することを目的としている。
◆マイナンバー制度対応の本質
▷マイナンバー制度対応の本質は内部統制の構築である
マイナンバー制度への対応において特徴的なのは、特定個人情報について個人情報保護法よりも厳格な各種保護措置を設けていることであろう。
番号法で規定する保護措置は、大きく次の3つに大別される。
- 特定個人情報の利用制限
- 特定個人情報の安全管理措置等
- 特定個人情報の提供制限等
ガイドラインでは上記3つの保護措置について、各論として第4章で個別に記載しているほか、安全管理措置の具体的な内容については、「(別添)特定個人情報に関する安全管理措置(事業者編)」(以下「別添資料」という)を提供している。
事業者は、番号法をはじめとする関連法令・ガイドラインに従って制度対応を進めなければならないが、その作業の本質はコンプライアンス(法令遵守)を目的とした内部統制の構築作業と言える。つまり、マイナンバー制度に適切に対応するためには、特定個人情報の適正な取扱いを確保するための具体的な方策について検討し、経営管理のしくみとして実践するとともに、継続して点検・見直しを図らなければならない。
内部統制と言えば、金融商品取引法の内部統制の評価報告制度(一般に、「J-SOX制度」と呼ばれるもの)を経験した上場会社等やそのグループ会社にとっては馴染みがあると思われる。
マイナンバー制度は、個人番号を取り扱うすべての事業者に適用されるため、必ずしもすべての事業者がJ-SOX制度の経験を活かせるわけではないが、大事なのは制度対応に向けた視点を持つことである。
そこで、最初に安全管理措置の構築手順の概要を解説しながら、マイナンバー制度と内部統制のフレームワークとの関係をおさえてみたい。
- 内部統制の目的
- 事業単位と活動
- 基本的要素
(注) 本稿で用いる内部統制の用語は、特に断りのない限り、金融商品取引法の内部統制の評価報告制度におけるものを使用している。
▷安全管理措置の検討手順は内部統制のフレームワークを用いると理解しやすい
経営管理のしくみとして実践する際、一番難しいのが安全管理措置の検討である。
この記事全文をご覧いただくには、プロフェッションネットワークの会員(プレミアム
会員又は一般会員)としてのログインが必要です。
通常、Profession Journalはプレミアム会員専用の閲覧サービスですので、プレミアム
会員のご登録をおすすめします。
プレミアム会員の方は下記ボタンからログインしてください。
プレミアム会員のご登録がお済みでない方は、下記ボタンから「プレミアム会員」を選択の上、お手続きください。
