マイナンバー制度の運用開始まで4カ月を切った。しかし中堅や小規模の企業では、同制度に対する対応の遅れが特に指摘されている。2015年4月にNTT東日本が調査した「マイナンバーに関する企業の意識調査」によると、社員数20人未満の企業の75.4%が、「マイナンバー制度への準備を何も進めていない」と回答した。「中堅・小規模企業等のIT経営を支える人材の育成」を目的とするITコーディネータ協会は、こうした状況をどう見ているのか。また今後、どのような支援策を打ち出すのか。同協会会長の播磨崇氏と、税理士でITコーディネータの資格を持つ菅沼俊広氏に聞いた。
マイナンバー制度の運用開始は2016年1月ですが、住民へのマイナンバーの通知は、10月から始まります。中堅・小規模企業のマイナンバー制度への理解と対応は、どのくらい進んでいるのでしょうか。
播磨氏 「マイナンバー制度自体がわからない」というよりも、「マイナンバー制度は理解したが、具体的にどこまで対応すればよいのかわからない」という企業が大半でしょう。マイナンバー制度(法)は個人情報保護法の特別法です。2014年12月、特定個人情報保護委員会は「特定個人情報の適正な取扱いに関するガイドライン(以下、ガイドライン)」を公開しました。しかし、その記述は複雑で、「具体的に何をすればよいのか」「マイナンバーをどのよう取り扱うべきか」が明確に示されていません。ガイドラインに「○○することが望ましい」としか書かれていない状況で、多くの企業は「自社の場合には、どの程度の対策を講じればよいのか」に悩んでいます。
菅沼氏 中小・小規模企業だから理解が進んでいないということはありませんが、同じ規模の企業でも、理解と準備に差があるというのが現場の実感です。また、「理解していても対応するためにはコストがかかり、予算はない。だから、結果的に何もしていない」という企業も少なくありません。
播磨氏 もう1つ中堅・小規模企業が不安に感じているのは、罰則規定です。現在の個人情報保護法は、「過去6カ月間、継続して5000件以上の個人情報を扱った事業者」が対象なので、多くの中小・小規模企業は同法の適用対象外です。しかし、マイナンバー制度では、特定個人情報の管理義務はすべての事業者が対象となり、違反した場合は最高で4年以下の懲役、もしくは200万円以下の罰金、またはその両方が課せられる可能性があります。
菅沼氏 例えば、ガイドラインには、「情報漏洩対策を行わず、事業所内からの特定個人情報の持出しは禁止」とありますから、情報漏洩対策を行わないでUSBメモリーなどの持ち運び可能な記憶メディアに特定個人情報をコピーして持ち出すことは禁止です。
しかし、現実問題として、同ガイドラインを厳密に順守すると、実務が回りません。ガイドラインの順守は必要ですが、運用方法を工夫し、自社の業務に適応した形で、マイナンバー制度に対応することが大切です。
