リスクアドバイザリー

マイナンバー制度 民間企業の実務への影響と対応 <改訂版> 
第5回:マイナンバー制度への対応 <監査の実施>

2016.11.07

企業をとりまく環境が様々に変化していく中で、マイナンバーを適切に管理し続けるためには、継続的に見直しを行ない、改善を図っていかなければなりません。マイナンバー制度に関するコラムの第5回では、企業が継続的な改善を図る上で重要となるマイナンバーの取扱に関する監査について説明します。

5-1. 監査の必要性

マイナンバー制度への対応については、施行までの限られた期間の中で対応を進めてきたことに加え、制度開始以降も関連法の改正やマイナンバー記載書類の変更等があり、担当者の理解不足や不十分な対応を原因とした様々なインシデントの発生が懸念されています。実際に個人情報保護委員会が公表した「平成28年度上半期における個人情報保護委員会の活動実績について」においても、マイナンバー漏えい事案等の報告件数は、わずか半年で、49機関66件(民間事業者は17機関26件(うち「重大な事態」に該当:2件))となっています。

〔図表5-1〕 マイナンバーに関するインシデントの事例

(下の図をクリックすると拡大します)

マイナンバー制度の開始当初においていかに実効性の高い管理体制を構築したとしても時間の経過とともに従業員の意識は低下し、各種変化への対応にも不備が生じる等、その有効性は必ず低下していきます。マイナンバーの管理体制を維持・向上させ、インシデントの発生を防止するためには、有効性の低下を早期に発見するための「監査」が特に重要となります。

「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(平成26年特定個人情報保護委員会告示第5号、以下「ガイドライン」)においても、組織的な安全管理措置にて「取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む」ことが必須事項として求められており、その手法の例示として内部監査や外部監査等が挙げられています。

5-2. 監査の視点

マイナンバー対応に限らず、各種の法規制への対応における監査では、以下のように法規制への準拠および規程等の遵守の2つの視点から監査を行なう必要があります。法規制への準拠については、法規制が頻繁に変更されるものではないため、まずは施行時点にて準拠性の確認をした上で、以降は変更があった箇所を中心に確認を行なっていくこととなります。一方で、規程等の遵守については、マイナンバーの日々の取扱状況についての確認であり、その取扱に不備があった場合には法令違反やマイナンバーの漏えいにつながりかねないため、定期的な監査によりチェックしていく必要があります。

〔図表5-2〕 法規制対応の監査の視点

(下の図をクリックすると拡大します)

5-3. 監査の実施項目

マイナンバーの取扱に関する監査の実施項目は、ガイドラインにて求められている事項を整理すると、①取得時の取扱(本人確認および利用目的の通知)、②組織的安全管理措置、③人的安全管理措置、④物理的安全管理措置、⑤技術的安全管理措置、⑥委託先の監督に分類されます。それぞれの監査では、ガイドラインで求められている事項が自社の実情に合わせて作成された規程類にもとづき適切に整備・運用されているかを確認します。各分類における監査のポイントは以下の通りです。

〔図表5-3〕 マイナンバー監査のチェックポイントの例

(下の図をクリックすると拡大します)

5-4. 外部専門家の活用

マイナンバーの漏えいリスクは、監査の対象となる他のビジネスリスクと比較しても企業にとって非常に影響度の高いリスクであるため、監査要員や専門性の不足を補うために外部の専門家を活用するケースも見られます。外部の専門家を活用するメリットとしては以下のものが挙げられます。

  • 独立性の確保
    自社と関係のない外部の第三者が監査を行うことにより、十分な独立性が確保され、監査の信頼性が向上します。
  • コストの削減
    監査要員として新たな従業員を雇用する必要がなく、監査技術・手法を開発する時間が省略できる等、監査コストの削減につなげることが可能となります。
  • 適切な管理策の導入
    外部の専門家の豊富な経験や他社事例等の知見にもとづき、自社の実情にあわせた適切な管理策を講じることが可能となります。

マイナンバーの取扱における安全管理措置については、ガイドラインで事例等が明示されているケースもありますが、全てが詳細に記載されているわけではありません。取り扱うマイナンバーの内容や業務プロセス、企業の文化、業界をとりまく環境等によって管理策の選択肢は様々です。個別の管理策については唯一無二の正解があるわけではなく企業の経営判断に委ねられていますが、どこまで対応すればよいかわからないと悩む企業は少なくありません。これは監査においても同様であり、どこまで指摘すればよいかわからないといった場合には、豊富な経験や他社事例をもつ外部の専門家の意見を参考にすることが効果的な監査の実現に結びつきます。


情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?