本連載では、“IT担当者”が担うべき仕事を基礎的な内容から分かりやすく解説していきます。少人数でIT機器・サービス全般を見ていたり、情報システム部門と他部門を兼務していたり、ITインフラを構築あるいは運用するノウハウを十分お持ちでない方の参考として、また、「自分は運用に必要な知識は一通り持っている」という方の“仕事内容のおさらい”として使っていただければと思います。
マイナンバーの収集や保管をするにあたり、組織、人、物理、技術の観点での安全管理措置が義務づけられています。その中で、今回は組織と人について整理してみましょう。
マイナンバーの担当者への教育が重要
まず、組織面の対応に関しては、社内規約と体制を決めることになります。規約については、ガイドライン(「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」)の必要な部分を、既存業務との関係を明確にして、自社の規約に作りなおすイメージです。ガイドラインには、100名以下の企業についての簡易な対応方法の例も示されていますので、該当する企業は参考になるでしょう。
体制については、最低限、責任者と業務担当部署及び担当者を明確化しておきましょう。中小企業などでマイナンバー関連業務を少数の担当者に任せる場合、担当者が異動や退職した場合の引き継ぎについても考慮しておく必要があるでしょう。
また、ガイドラインに盛り込まれている「組織的安全管理措置」では、上記のような体制整備に加えて、規約どおりに運用されているかトレースできるように、取扱い状況の記録を取ることが定められています。このための運用手順や記録方法を具体的に決めておくことも必要です。
ガイドラインにある「人的安全管理措置」としては、マイナンバー業務担当者だけでなく、一般社員も含めた、規約の周知や社内教育が必要です。こうした教育の担当者も、体制に含めておく必要があります。
総じて、組織と人の観点では、マイナンバー担当者の役割と配置がポイントになります。
マイナンバー関連業務の内容のイメージをつかむ場合や現行の体制で管理できるか見直す機会として、システムインテグレーターなどが開催するセミナーに参加して情報収集をするのもよいでしょう。昨年(2015年)8月から「マイナンバー実務検定」という試験制度も始まっています。担当者が、ガイドラインの概要を把握しているか確認する手段のとして、活用するのもよいと思います。
必要な人員が不足している場合は、アウトソーシングサービスを使うという選択肢もあります。ただし、アウトソーシングサービスを使うにしても、マイナンバーの取り扱い方針や規約は企業側で決めた上で、どの部分を業務委託するのか、明確化することが必要です。