J-SOXの経験に学ぶ
マイナンバー制度対応のイロハ
【第2回】
「プロセスで理解するマイナンバー制度の保護措置」
公認会計士 金子 彰良
マイナンバー制度対応のための業務構築は、個人番号関連の事務が付加される5つの業務に焦点をあてる。そして、この5つの業務をプロセスマップで表現し、頭の中にマイナンバー制度を鳥瞰するための地図をつくる。ガイドラインにおける保護措置は、プロセスマップに位置づけると理解しやすい。
(なお、文中の意見に関する部分は、筆者の個人的な見解であることをお断りしておく。)
◆はじめに
第1回では、マイナンバー制度への対応は、コンプライアンスに焦点をあてた内部統制の構築作業であると述べた。そのため、内部統制が「存在し、かつ機能している」状態を作らなければならない。
一見すると経営管理のしくみをゼロから構築するイメージがあるが、実は、マイナンバー制度への対応は、従来から企業に存在する業務プロセスに個人番号関連の事務を付加することによって構築する。すなわち、マイナンバー制度への対応にあたって業務プロセスを全く新規に構築する必要はない。
また、関連事務が付加される業務プロセスの数は、その性質から5つに集約される。したがって、これら付加される関連事務を具体的にどのように既存業務に取り込むかを検討すればよい。
第2回では、マイナンバー制度対応に伴い関連事務が付加される5つの業務プロセスとガイドラインにおける保護措置を整理する。これによって、全体を鳥瞰する眼を持つとともに、具体的な安全管理措置を検討する準備としたい。
◆マイナンバー制度で関連事務が付加される業務を鳥瞰する(プロセスマップ)
▷マイナンバー制度対応のための業務構築は、5つの業務に焦点をあてる
新しく公表される法令やその取り組みに当たっての指針を示すガイドラインなどは、その性質から文字による情報が多い。
また、条文は必ずしも業務の順序と同じではなく、また体系立てて説明される形になっていないため、これらは読み込まないと全体が頭に入らない。
番号法に基づくガイドラインも同じである。
このようなとき、ガイドラインを読むために全体を鳥瞰した絵があると理解しやすくなる。
〇5つの管理段階=関連事務が新たに付加される業務プロセスとは
ガイドラインの「(別添)特定個人情報に関する安全管理措置(事業者編)」(以下「別添資料」という)では、事務の流れを整理し、特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならないとしている。
その上で、手法の例示として、次の5つの管理段階ごとに特定個人情報等の具体的な取扱いを定めることが記載されている。
この記事全文をご覧いただくには、プロフェッションネットワークの会員(プレミアム
会員又は一般会員)としてのログインが必要です。
通常、Profession Journalはプレミアム会員専用の閲覧サービスですので、プレミアム
会員のご登録をおすすめします。
プレミアム会員の方は下記ボタンからログインしてください。
プレミアム会員のご登録がお済みでない方は、下記ボタンから「プレミアム会員」を選択の上、お手続きください。