マイナンバー時代!どうなる？どうする？個人情報セキュリティ対策も [ ITレポート ]

株式会社MM総研代表取締役所長 / 日本個人情報管理協会（JAPiCO）理事長
中島洋氏

1973年東京大学大学院修了。日本経済新聞社産業部記者（途中日経マグロウヒル社に出向して、『日経コンピュータ』『日経パソコン』の創刊を担当）、日経新聞編集委員、慶応大学教授（SFC）、日経BP社編集委員などを経て2013年4月、日本個人情報管理協会理事長に就任。現在、MM総研代表取締役所長、全国ソフトウェア協同組合連合会会長、国際大学（グローコム）教授などを兼務。

マイナンバー制には3つの領域があります。1つはマイナンバーというみなさんに付けられる番号のことで、行政、つまり税務署や社会保障関連の機関が作業を効率化するために使われます。

2つめはマイナンバーカード（個人番号カード）です。マイナンバーカードはマイナンバーとはリンクしていますが、機能としては別物です。カードにはICが付いていて、その空き領域を他にもいろいろ使えるようにしていますが、マイナンバーとは使用する領域が異なり、手続きをしなければ使えないので、番号は漏れないようになっています。

3つめはマイナンバー・ポータル、最近ではマイナポータルと略されているものです。インターネットにアクセスして使える本人専用のポータルサイトで、誰が何の目的でマイナンバーを取得したかが見えるようになっています。もし不審な使われ方をすれば、ここからクレームや取り消しが要求できます。

現在のマイナンバーを取り巻く議論では3つの領域が混同されていて、おそらく政府、政治家の中でも頭が混乱している状況ではないかと思われます。今進んでいるのはマイナンバーに関するものであり、マイナンバーカードは来年以降、マイナポータルはさらに2年以上先の話になります。

韓国の役所体質を変えた個人番号カードの導入

マイナンバーを使う目的の1つは電子行政、電子社会のインフラを作ることです。日本の電子行政はとても遅れていましたが、マイナンバーを作ると決まったら世界の中で情報化のランクが40～50番目だったのが10数番目まで急に上がりました。

世界では、エストニア、オーストリア、韓国では完全な個人番号制度が導入されています。エストニアでは親が子どもに名前を付ける前に遺伝子情報が解析されて国家に登録される仕組みになっています。韓国ではマイナンバーカードのような個人番号カードが国民に発行され、例えば、街角にある端末で大学の卒業証明書を簡単に取得できるようになっています。また、行政手続きが進まなければ督促できる仕組みまであり、こうして、賄賂を払わなければ作業が前へ進まない過去の役所体質を一変させたとされています。

2番目の目的は企業経営の質を向上することです。社内でマイナンバーの管理体勢を作る際に、情報の流れを掌握する必要があります。この課程で、企業の中のPDCAサイクルがうまく機能し、結果的に経営の品質の向上につながります。

3番目は社会改革です。公平、公正社会の実現と財務省は言っていますが、はっきり言えば税負担の公平化です。新聞用語で言うと脱税を防止することです。

消えない年金のためにつくられたマイナンバー法

消えない年金問題もマイナンバーを使う目的の一つにあります。

以前、企業が給料天引きで集めて国に収めているはずの年金が、調べてみると支払われてなかったところがたくさん見つかったという問題がありました。マイナンバーなら個人で、転職や引越しをしても年金を支払い続けているかが確認できます。

また、社会福祉の受給を請求する場合、本人に受給資格があるかを調べるのが簡単になります。さらには、企業の税や年金に関する作業が軽減され、個人の確定申告も、自宅から申請できるようになります。

ただし、これらは将来の可能性です。現在はその前段階のマイナンバーの発行についても、通知カードを拒否する人がいて大変な状態になっています。

厳格なルールが設けられ罰則も厳しくなった

マイナンバー制の導入で企業負担は一時的に増大しますが、将来は簡素化できます。企業から不正流出があるのではないかという声もありますが、番号が漏れても、それを悪用することは困難です。

例えば、厚生労働省の職員が、財務省が持っている個人情報を使う場合、情報提供ネットワークサービスというセンターで、取り扱い資格を証明しなければなりません。その際発行される、1回限りのパスワードで、個人情報を使用します。このように、厳格なルールが作られているのです。また、個人情報保護法よりも罰則が厳しくなっています。

ガイドラインに基づく規則の周知徹底が必須に

企業は源泉徴収書を届ける時に必ずマイナンバーが必要になります。一時的に雇うアルバイトや講演料、株の配当などにも必要で、さらに安全に保管し、利用しなければなりません。

一方で、個人情報保護法では可能だったグループや子会社での情報共有も違法になりますし、不要な情報はすべて廃棄するなど、保管管理に対しては、安全管理措置を講じなければなりません。マイナンバーの取り扱いは事業のどの範囲に及ぶのか、規則、ルールを作り、従業員にわかるよう説明することも求められています。

安全管理措置の具体的策定は、組織的措置、人的措置、物理的措置、技術的措置の4つがあります。それぞれ規定があり、詳しくはマイナンバーガイドラインに細く説明されています。

面倒な対応は全て外部委託するのも一つの手段

安全管理措置については、基本方針の策定、取扱規程の策定、組織的体勢の整備をはじめ、どう扱うか、書類の流れをどう処理するかをきちんと決めておく必要があります。人的安全管理措置では、取り扱う人を決めたらその人達の教育監督をやることが決められていて、その規定を作るだけでも大変です。

こうした面倒を解決するためのウルトラCが外部委託です。お金はかかりますが、社会保険労務士、税理士が有力な委託受託先になるでしょう。あるいは、サービスを請け負う会社が登場しはじめているので、信頼できるところを選んで任せることができます。

また、委託先には監督義務が派生し、再委託先まで管理する必要があります。最終責任は発注元にあり、再委託先から情報が漏れた場合は発注元に責任が生じますので、その点は気をつけなければなりません。

技術的な対策や方法はいろいろ登場している

セキュリティを守る方法としては、インターネットにつながない、パソコンを使わないという極端な方法も考えられますが、技術的な方法としてはこのイベントにも参加しているTCSI社の「PASERI」（マイナンバー対応版）があります。USBを挿すとパソコンがネットから遮断され、作業後のファイルは分割処理をして保管されるので「情報流出」の危険がなくなります。現在使用中のパソコンで、USBを抜くと情報はパソコンから探せなくなり、挿すと再び現れますので、専用パソコン無しで作業ができるようになります。

こうした技術やサービスは他にもいろいろあり、このイベントで紹介されています。

ここまで見てきましたが、マイナンバーの導入には様々な準備や対応が必要です。公平、公正な社会の実現のために所得が全て管理されるような社会でいいのかという意見もありますが、マイナンバー制による恩恵のほうが多い。変化はストレスですが数年で慣れるものです。できれば、順調に動き出して欲しいと思っています。