2015年11月22日

Q&A共通番号 ここが問題 マイナンバーはプラスにもマイナスにもなる



この本の著者の黒田さんが、先日テレビでそもそも総研という「マイナンバーにあたる制度は海外ではうまくいっているのだろうか?」という番組に出ていたので読んでみた。

テレビ番組では、マイナンバーのような国民共通番号制度は、OECD先進国では例外なく取り入れられていると政府は説明するが、実際にはイギリスは国民ID制度はやめている、ドイツは憲法違反の疑いがあるので共通番号はない、フランス、イタリアもない。米国とカナダは社会保障番号はあるが任意加入で、日本のような強制ではないと説明していた。

そもそも総研















番組の最後では、大臣が番組に出てきて釈明しろというような口調だった。

一方、政府広報資料の各国比較は次の通りだ。上記のテレビの表と全然違うことがわかると思う。たしかに、ドイツだけは番号の用途を税務に限定しているが、その他の国ではすべて社会保険と税務や年金、医療などの共通番号が導入されている。

summary_zentai 20



















出典:内閣官房マイナンバー広報資料

また、テレビでは、米国、カナダは「任意」で日本のように「強制」ではないと言っていた。

しかし、米国に住んだ経験のある人はみんな知っていると思うが、この番号がないと社会保障が受けられず、銀行口座も開けないので、米国及びカナダの国民ほぼすべてが取得しているのが現実だ。

かなりミスリーディングな番組だったが、その番組で、マイナンバー反対論を展開していたのがこの本の著者の黒田充さんだ。

黒田さんは大阪市立大学工学部を卒業後、松原市役所に17年間勤めた後、立命館大学の大学院で学び、現在は自治体情報政策研究所の代表となっている。自治体情報政策研究所は黒田さんが設立したもので、所員は他にはいないという。

黒田さんはマイナンバー制度導入中止を現在も呼びかけている。

自治体情報政策研究所サイト自治体情報政策研究所ブログでマイナンバー制度の問題点を呼びかけ、この本に収録されているマイナンバーに関するQ&Aもサイトで一部公開している。

この本の結論として、黒田さんは次の様に最後に書いている。

「高齢化が急速に進む日本において、いま必要とされているのは、国が国民等に共通番号を付け、個々の国民等への社会保障を直接管理し、そのための個人情報を中央集権的にコントロールするようなシステム なのでしょうか。

住民としての国民等にとってより身近な市町村が、 住民の困りごとを具体的に把握しながら必要な社会保障を提供してい く、そのために必要な個人情報は個々の市町村が責任を持って管理する、国は市町村の必要に応じて制度を整え、財源を保障するといった 地方自治に則したシステムではないでしょうか。

こうしたシステムの方が、個人が本当に必要とする社会保障サービ スをよりきめ細かく、かつ的確に提供できるという意味での効率性の点でも、社会保障にまつわるセンシテイブな個人情報が大規模に流出するなどの危険性を避ける点でも、有効ではないでしょうか。」

この本を読んで考えさせられたのは、国と地方自治体のあり方だ。

マイナンバーは国が国民の個人情報を管理することを可能とする。まずは税務(つまり収入)と社会保障(年金、雇用保険、健康保険)だが、今後は銀行口座などの金融資産(とりあえずは任意)、株式資産(配当の源泉徴収のため)とどんどん広がっていく。

健康保険証としても利用可能となり、公務員の共通身分証明書としての利用も可能となる。

民間利用としては、スマホに載せられるようにするとか、クレジットカード機能を持たせるとか、デビットカード、ポイントカード、診察券等の機能を載せるという話もある。

スマホに載せることや、戸籍やパスポート、海外在留の邦人の選挙制度で利用しようという案もある。

siryou6





















出典:首相官邸第9回 マイナンバー等分科会議事録

国と地方自治体との二重行政の問題点は、今回のマイナンバー通知カードの配布を見れば明らかだ。

実は筆者の番号通知カードはまだ手元に届いていない。筆者の住む東京都町田市では、11月18日に郵便局差出完了となっているが、簡易書留はまだ届いていない。

もし国が直接国民に配布することにしていたら、こんなことにはなっていないはずだ。

米国では、社会保険は社保庁(Social Security Administration)、税金は歳入庁=IRS(Internal Revenue Service)が直接国民と対応する。

かつてはこのブログで以前紹介したような案内が国民に直接届いていた(現在は郵便は廃止し、ウェブサイトで自分で見に行く形に変更されている)。

地方自治体はセールスタックス(消費税)やスクールタックス(固定資産税)などの市町村税等については、国民に対応するが、所得税や社会保険は連邦政府のファンクションだから、国の機関が直接対応するのだ。

この本の黒田さんの説明では、政府は個人の情報は住民基本台帳で持っているが、世帯の情報は持っていない。地方自治体が世帯情報を持っているので、今回のマイナンバーも地方自治体が世帯単位で通知カードを送付しているのだ。

マイナンバーがあれば国と地方とは同じネットワークを共有することとなり、当然、世帯情報も共有することができるはずだ。

もしマイナンバーを活用することにより、国と地方の二重行政を一本化できたら、地方公共団体の職員は何十万人も削減できるかもしれない。そのことを黒田さんは最も恐れているのだろう。

マイナンバー制度にはもちろんマイナス面もある。マイナス面にも気づきながらも、適正な運用を進めることが重要だと思う。

その意味では、黒田さんのブログは気付きの機会を与えてくれ、役立つ。

マイナンバー制度は、国による国民のフロー(収入)とストック(金融資産、株などの有価証券、不動産)管理を可能とするので、その意味では国による管理強化となる。

一方、全く話題にならないが、やりようによっては国と地方自治体の二重行政が抜本的に簡素化できる可能性も秘めている。

プラスにもマイナスにもなるツールだ。

そんなことを考えさせられる本である。


参考になれば投票ボタンをクリック願いたい。




  
Posted by yaori at 03:48Comments(0)TrackBack(0)

2015年10月15日

マイナンバー いまさら聞けないという人に

マイナンバーの配布が始まりました。来週あたりから皆さんのご家庭にもマイナンバーの通知カードが世帯分まとめて簡易書留で届くはずです。

さっそく事故が起こっています。茨城県取手市がマイナンバーを間違って記載した住民票を配布していたことがわかりました。

マイナンバー漏えい





















来年1月から住民票にも希望すればマイナンバーを表示できるようになりますが、取手市はミスで、すべての住民票にマイナンバーが表示されるように設定していたようです。

マイナンバーはたぶん今年の流行語大賞の上位に食い込むのは間違いなく、インターネットやメールマガジンでもマイナンバー関連サービスの広告が目立つようになりました。

マイナンバーの問題は、制度がスタートするというのに国民の理解度が進まない点です。それに付け込んで、マイナンバー詐欺という新しい手口も登場しています。

マイナンバー詐欺





















そんななかで、私が尊敬する弁護士で桐蔭法科大学院の法科大学院長でもある蒲俊郎先生が、ご自身のヨミウリオンラインの「おとなの法律事件簿」のなかで、わかりやすくマイナンバーを取り上げています

大変タイムリーな読み物で、さっそくページビュー上位に登場しているそうです。マイナンバーへの実務対応について「いまさら聞けない」と不安がある方には、是非一読をおすすめします。

おとなの法律事件簿





















蒲先生はヨミウリオンラインの人気コーナーのバックナンバーをまとめて、「おとなのIT法律事件簿」という本も出版されています。



どれも興味深い記事ばかりです。

ヨミウリオンラインの前回のコラムは「改正派遣法成立 派遣労働者にとって有利?不利?」という大変興味深い読み物でした。

改正派遣法





















マイナンバーや改正派遣法について簡単に知りたいという方。蒲先生のヨミウリオンラインのコラムがおすすめです。


参考になれば投票ボタンをクリック願いたい。






  
Posted by yaori at 23:43Comments(0)TrackBack(0)

2015年03月24日

【再掲】マイナンバー制度と企業の実務対応

2015年3月24日追記:

政府がマイナンバーの理解度テストをインターネットで公開している。

全部で10問あり、参考になるので、ここをクリックして一度試してほしい。

ちなみに、同じサイト(Yahoo!の特別ページ)で上戸彩さんのCMと、上戸彩さんのメッセージを公開しているので、こちらも紹介しておく。


2015年3月9日追記:

政府が上戸彩さんを使って、マイナンバーの宣伝を始めた。どうってことないCMだが、まずはマイナンバーという名前の周知を狙っている様だ。




2015年2月25日再掲:

今年に入って一般的なマイナンバーの実務対応セミナーはどこも満席が続出している。会社の友人に教えてもらった最近の内閣府のアンケートでは、マイナンバー制度の内容まで知っていたという人は28.3%に留まるという結果が出ている。

個人が手書きで対応するなら、全く問題ないが、税金関係や社会保障関係の処理をシステム化している企業では、システム改変等が必要となる。

日本では数年前からプログラマー不足が恒常化しており、一時はやった中国などでのオフショア開発も最近は下火で、多くのシステム開発会社では需要はあるが、人手不足で対応できないという状態が続いている。

2015年2月23日に発表された帝国データバンクの「人手不足に対する企業の動向調査」でも、従業員が最も不足しているのは「情報サービス」で、「不足」と回答した割合が59.3%となり、業種別に見て最も高かったという結果を公表している。

帝国データバンクでは、”「人材不足が深刻化しており、IT エンジニアが確保できない」(ソフト受託開発、東京都)や「人材不足で仕事を断っている」(ソフト受託開発、京都府)など、年度末の需要期に加えて、マイナンバー制度の導入や金融機関のシステム投資拡大などもあり人手不足が高水準で続いている。”という解説も付けくわえている。

日本の全法人約400万社が、2016年1月からマイナンバーの利用が義務付けられているので、マイナンバー対応のシステム改変だけでも、大変なシステム開発ラッシュとなることが見込まれる。

システム改変を伴うマイナンバー対応準備は前広に実施する必要があるので、「マイナンバー制度と企業の実務対応」のあらすじを再掲する。


2015年1月12日追記:

この本の著者の榎並さんが、2014年11月10日に開催された経団連の「マイナンバー実務対応シンポジウム」で講演しているので、紹介しておく。配布資料はここをクリックしてダウンロードして頂きたい。

シンポジウム全体の議事要旨と配布資料も公開されている。

この配布資料と榎並さんの講演要旨を読めば、実務対応で何をやらなければならないかよくわかると思う。

詳しくは本を読むとして、とりあえずは配布資料を参照してほしい。


2014年12月29日初掲:



2015年10月に全国民に対して配布されるマイナンバー制度の企業対応をまとめた本。

著者の榎並利博さんは富士通総研の主席研究員で、このブログで紹介した「マイナンバーがやってくる」も共著者として出版しているマイナンバーのオーソリティだ。



マイナンバーについては、内閣官房の社会保障・税番号制度のウェブサイトに掲載されているマイナンバー制度概要資料が参考になる。他にも「マイナンバー制度で企業実務はこう変わる」などの企業向け解説書もある。



読み比べてみたが、榎並さんの本の方が、分かりやすく、いろいろな情報満載で、実用的だと思う。

この本の「序章」を読めば、大体やるべきことがわかる

この本の最大の利点は「序章」(4ページ〜16ページ)を読めば、やるべきことが大体わかる点だ。実務書として大変よくできていると思う。

「序章」は次のような節にわかれている。

チェックポイント 1.マイナンバー対応の組織体制

民間企業は基本的には、「個人番号関係事務実施者」(単にマイナンバーを行政機関に提供するなど、補助的に扱う人)となるが、企業年金と健康保険組合に限っては、行政機関と同じ「個人番号利用事務実施者」(マイナンバーを業務利用する人)となる場合がある。

「個人番号利用事務実施者」となると、マイナンバー導入のためのシステム改変前に、「特定個人情報保護評価」(Privacy Impact Assessment=リスク分析)を実施する必要があり、また国の「情報提供ネットワークシステム」に接続するので、それなりの情報セキュリティが必要だ。違反した場合には罰則が科せられる。

「マイナンバー法」は「個人情報保護法」(一般法)に対して、特別法という位置づけとなるので、マイナンバーの取扱いに限っては、「個人情報保護法」の要求事項に加えて、「マイナンバー法」の要求事項も満たさなければならない。

民間企業でマイナンバーを取扱うのは、次のような部署だ。

scanner1













出典:本書5ページ

民間企業は現在は従業員の住んでいる自治体ごとに仕分けて、源泉徴収票と給与支払調書を郵送している。これが大変な手間だった。

マイナンバーを導入することによって、今後はオンラインでeLTAX(”エルタックス”=地方税ポータル)にデータを送れば、マイナンバーを利用して、eLTAXが、税務署やそれぞれの自治体に必要なデータを振り分けて送信することになり、民間企業の手間は軽減される。

一方、マイナンバーの取扱いで最も注意すべき点は、現状では税金、社会保険、健康保険(+激甚災害対応)以外の目的でマイナンバーを利用することは法律で禁止されていることだ。

たとえば、社員番号としてマイナンバーを利用することなどは、法律上禁止されている。だから、マイナンバーと他の個人情報を一緒に記載したエクセルシートなどを作成することは、上記の目的に限られる。

罰則も個人情報保護法に比べて、各段に厳しくなり、保護法では、主管官庁の改善命令等に従わない場合のみ、罰則が適用されたのが、今度は不正提供や不正取得、漏えいに直接罰が設けられるようになった。不正手段でカードを取得することだけでも最高6か月以下の懲役刑が課せられる。

図1




















出典:内閣官房 社会保障・税番号制度 ホームページの「番号制度の概要」資料


チェックポイント 2. すべての民間企業が対応しなければならないこと

「個人情報保護法」は5,000件以上の個人情報を取扱っている法人・個人が対象だが、マイナンバーには5,000件という制限はなく、すべての民間企業が対象となる。日本には約400万社の企業があるといわれている。そのすべてが2016年1月からマイナンバーに対応する必要がある。

すべての民間企業は、マイナンバーを安全に管理するために規則を制定したり、教育研修を行ったり、取扱う従業者に対して適切な監督を行うことが求められている。また、国や自治体が行うマイナンバー関係の施策に協力する義務もある。

といっても特に難しいことではない。2016年1月からの社会保険(厚生年金、介護保険等)、健康保険、税金の手続きの際に、個人から取得した本人及び必要に応じて被扶養者のマイナンバーと、国税庁より配布される法人番号の両方を記載するだけのことだ。

たとえば従業員、株主、講演講師、不動産賃貸人などからマイナンバーを集め、税務署への支払調書に記載することになる。

これが手書きで届出書に記入するなら話は簡単だが、多くの企業が給与計算とか税金の支払い、社会保険の手続きをシステム化しているので、2016年1月の運用開始前に、マイナンバーと企業番号の両方を組み入れるためにシステムを改変しなければならない。

これが「マイナンバー特需」といわれる、システム開発ラッシュだ。

システム的に対応できない企業は、社労士とか公認会計士などの外部の委託先に頼むことになる。

筆者はプライバシーマーク審査員として、システム開発会社を数多く訪問してきたが、日本のシステム開発会社はどこも人手不足で、今でさえ受注したくとも、人手が足りないので、受注できない状況だ。

みずほ銀行のシステム入れ替え特需(3,000億円といわれている)に加え、「マイナンバー特需」が出てくると、システム開発会社の能力を上回るシステム開発需要が発生することが予想されている。

一時、はやっていたような中国でのオフショア開発とかも、最近はほとんど話を聞かない。オフショア開発を続けている会社もあると思うが、とても日本の特需に対応できるような規模ではない。

多くの企業でのシステム開発の遅れが、筆者が最も懸念している点だ。


チェックポイント 3. 金融業界における特別な対応

金融業界では、毎年税務署に膨大な支払調書を提出している。たとえば、投資信託、先物取引、株式の特定口座、生命保険支払、年金型の生命保険等の支払調書などだ。これらの支払調書のすべてにマイナンバーを記載する必要がある。

また、マイナンバーのもう一つの利用目的として、激甚災害被災者救援がある。激甚災害で通帳やカードをなくした人にもマイナンバーの通知で、金銭の払い出しが可能となるのだ。


チェックポイント 4. マイナンバー関連業務の受託

マイナンバー関連業務の取扱いを再委託する場合には、委託元の承諾を得る必要がある。


チェックポイント 5. 民間企業がマイナンバーを業務利用する場合

民間企業でも「個人番号利用事務実施者」となる例外的な場合がある。

それは、確定給付あるいは確定拠出年金制度がある事業主が、従業者の企業年金の管理にマイナンバーを使う場合だ。

この場合、「情報照会者」として国の「情報提供ネットワーク」(2017年1月運用開始)に接続して、年金の給付状況などを照会することができる。


チェックポイント 6. 健康保険組合は個人番号利用事務実施者となる

大企業の健康保険組合や国民健康保険組合は、保険給付や保険料徴収にマイナンバーを利用するので、「情報提供ネットワーク」に接続する必要がある。

さらに、情報照会者から依頼があった場合、医療保険給付関係情報を提供しなければならない立場となるので、中間サーバを設置して、被保険者や被扶養者の医療保険情報を「情報提供ネットワーク」に提供する必要がある。

中間サーバが必要な理由は、マイナンバーの安全対策として、各機関が保存する個人情報とマイナンバーは直接結びつけず、マイナンバーを翻訳する符号を保存するという複雑な仕組みになっているからだ。

行政機関と同等の作業となるので、単一企業組合などの場合を除いて、特定個人情報保護評価も必要となってくる。

民間企業でのマイナンバー取扱いで、最もややこしいのはこの健康保険組合での取扱いだ。


チェックポイント 7. 情報提供ネットワークシステムへの接続

情報提供ネットワークシステムへ接続するためには、インターフェースシステム、中間サーバ、住基連携用サーバが必要となってくる。

住基連携用サーバが必要な理由は、上記のようにマイナンバーと個人情報を結びつける符号を住基ネットから取得するためだ。

住基連携用サーバで住基ネットから住民票コードを割り出し、それを情報提供ネットワークに送信して、住民票コードに対応する符号を生成してもらい、中間サーバ経由で符号を受領するという手順となる。


チェックポイント 8. 特定個人情報保護評価の実施

確定拠出・給付年金制度を持っている企業、単一組合を除く健康保険組合で情報提供ネットワークに接続する場合は、接続する業務について特定個人情報ファイル(マイナンバーを含む個人情報)が取扱われる前に、プライバシーに与える影響評価(PIA=Privacy Impact Assessment)を行う必要がある。

これが特定個人情報保護評価だ。プライバシーマーク認定企業では、社内に保有する個人情報を台帳等で特定して、次に取扱いのライフサイクル等に沿ってリスク分析をする。これと基本的には同じ作業となる。

この特定個人情報保護評価は、取扱う個人情報の件数、事故の有無、取扱者の人数により閾(しきい)値が設けられている。それが次の図だ。

閾値判断





















出典:特定個人情報保護委員会 特定個人情報保護評価指針の解説(平成26年11月11日)第5.

つまり、「基礎項目評価書」は1,000人未満の小規模機関を除いて、全部が必須。

1万人までの小規模は基礎項目評価書のみ、1万人~10万人、10万人〜30万人は、取扱者数や事故の発生によって、重点項目評価表または全項目評価表、30万人以上は全項目評価表という振り分けとなる。

作成した基礎項目評価書と重点項目評価表は、特定個人情報保護委員会に提出され、公表される

また全項目評価表は、特定個人情報保護委員会で内容審査及び承認を受けて公表される。

評価は年1回以上見直す必要があり、評価作業を実施する組織体制も確立しておく必要がある。


チェックポイント 9. マイナンバー対応のスケジュール

マイナンバー対応スケジュールは次のようになる。

scanner2


























出典: 本書16ページ

前述のように日本全体でプログラマーが不足している。マイナンバー運用開始まで、あと1年あるともいえるし、あと1年しかないともいえる。

情報提供ネットワークに接続するのであれば、システムの要件定義段階までに特定個人情報保護評価も実施する必要がある。

早めに準備を開始しておくことが肝要だと思う。


その他の特記事項:

この本は上記のような実務的な対応のポイントを紹介しているとともに、マイナンバー制度そのものについても、様々な情報を掲載しており、参考になる。特記事項として箇条書きでいくつか紹介しておく。

★マイナンバーはもともと民主党のマニフェストで提案されていた
2009年の選挙の際の民主党のマニフェストで提案されていた。民主党政権時代に、法案が国会に提出されたが、審議未了で廃案となった。

2012年末に政権交代し、自民党はむしろマイナンバーの民間利用の検討準備期間を、当初案の5年から3年に早め、安倍政権下で2013年5月にマイナンバー法が成立した。

特定個人情報保護委員会の権限強化も、自民党案で織り込まれた。2015年には「個人情報保護法」自体が改正され、「特定個人情報保護委員会」が、諸外国の「個人情報コミッショナー」と同等の「個人情報保護委員会」に改組される見込みである。

★ノルウェーでは個人の氏名、住所、生年、年収、資産、税額までインターネットで公開されている。
これは驚きだ。北欧諸国はスウェーデンが1972年に世界で初めて個人情報保護法を制定していることでもわかるとおり、個人情報保護には世界で最も進んでいる地域とみなされている。

日本人から見れば、こういった情報を公開することは、プライバシーの侵害になるということで、大騒ぎになると思うが、ノルウェーではこういった情報はプライバシーとは考えられていないのだと。

インターネットで"Skattelister"で検索すると、ノルウェー語のページが出てくる。意味が良くわからないが、どうやら"Skatte=tax"、"Inntekt=income"、"formue=fortune=asset"のようだ。

トップページではノルウェーの高額取得者のリストや国民の年収分布グラフなどが公開されている。

日本ではプライバシーと個人情報の区別があいまいだが、ノルウェーでは資産や年収はプライバシーとはみなされていないのだろう。

★スウェーデンでは国税庁傘下のSPAR(住民情報登録機関)が住民情報を提供する名簿ビジネスを有料でやっている。ダイレクトメールを受け取りたくない住民はオプトアウト(受け取り拒否)できる仕組みだ。

日本のように名簿屋を悪者として敵視するのも、行き過ぎではないかという気がする。スパムメールは確かに迷惑だが、ダイレクトメールであれば、オプトアウトで受け取り拒否すれば、それで済むのではないかと思う。

★預金口座へのマイナンバー適用
マイナンバー法でも、投資信託、先物取引、株式の特定口座、生命保険支払、年金課型の生命保険等の支払調書にはマイナンバーの記載が求められている。最近の新聞記事で、2018年1月からは任意で、預金口座にもマイナンバーの記載を求めると報道されていた。

預金金利支払では税金を源泉徴収されており、時間の問題で、預金口座にもマイナンバー記載が求められるだろう。当然の流れだと思う。

★医療・介護分野へのマイナンバー導入
厚生労働省は医療分野を囲い込むために、日本医師会を巻き込んで自前の「医療ID」制度をつくりたいのだろうが、榎並さんは、マイナンバーによる医療分野の情報連携によるイノベーションの可能性と在宅医療・介護分野へのマイナンバーの活用のメリットを説いている。

マイナンバーの医療分野への活用というよりは、マイナンバーを本人確認の手段として使うという目的であり、方向性としては、正しいと思う。

「医療ID」などの独自の個人認証制度をつくるのは、政府として莫大な二重投資となり、マイナンバーが全国民に普及して、だんだんに民間利用なども進んでいけば、「医療ID」は、いずれ立ち消えとなるのではないかと思う。

★韓国の現金領収証制度
韓国では消費活性化と所得捕捉のために、1999年からクレジットカード利用促進策を実施し、2005年から現金の流れも捕捉するために、現金領収証制度を導入した。

現金で店で買い物する際に、住民登録番号と携帯電話の番号を店に提示すると、店側がクレジットカードのネットワークを利用して、オーソリ(支払確約)を受けて「現金領収証」を発行する。

消費者には、現金領収証は所得控除や福引に使えるというメリットがある。

マイナンバー制度への企業の対応についても、それに関連する話題についても、大変参考になる実用的な本である。


参考になったら、投票ボタンをクリック願いたい。



  
Posted by yaori at 08:00Comments(0)TrackBack(0)

2013年05月27日

マイナンバーがやってくる マイナンバー導入対策ガイドブック

2013年5月27日追記:

マイナンバー法が参議院本会議で可決され、5月24日に成立した。いよいよ日本でも2016年1月スタートで個人番号制度が実施されることになる。

一部の記述と資料をアップデートして「マイナンバーがやってくる」のあらすじを再掲する。


2013年3月5日追記:

安倍内閣で、通称「マイナンバー法」が3月1日に閣議決定された。既に自民党、公明党、民主党の3党が合意しているので、国会に提出されて、すみやかに成立することが見込まれる。

表などをアップデートしたので、再掲する。

なお、マイナンバーの配布時期は2015年中、利用開始は2016年1月からと、当初の案より1年遅れとなる見込みだ(消費税が10%となるのは、2015年10月から)。


2012年12月20日初掲載:



2012年8月に成立した消費税増税法案に基づく徴税と低所得者対策の「給付付き税額控除」、それと年金などの基盤となる個人番号・通称マイナンバーの導入対策ガイドブック。

マイナンバー法案は2012年2月に国会に提出されたが、政治の空転により審議されずに今に至っている。消費税は2014年4月から8%、2015年10月から10%に引き上げられるので、税と社会保障を支えるマイナンバーは、2012年年度中には成立させておく必要がある。

マイナンバーの導入スケジュールは次の通りとなっている。2016年1月からの運用開始に先立ち、2015年末までにマイナンバーが全国民と全法人に通知される予定になっている。

マイナンバーschedule





出典:内閣府 法案概要資料4ページ

米国の社会保障番号(Social Security Number)は民間企業が名寄せに使えるが、マイナンバーは民間企業の利用は禁止されている。将来の利用として今後議論されることになる。

マイナンバーが使われるのは社会保障、税金、そして健康情報の管理に当面は限定されるが、それでもマイナンバーが導入されることで、行政のムダがかなり削減されるだろう。

次がマイナンバーを利用する概念図だ。

総務省マイナンバー制度説明





出典:総務省資料

こうしてみると国民にとってたいしてメリットないように思えるが、いままで政府が縦割り行政のもとに、バラバラに徴税、社会保障、健康保険、生活保護などを運用してきたものが同一本人を特定して実施できる。

社会保険庁時代の5,000万件の「消えた年金」問題はじめ、日本では共通番号制度がないための弊害が数々生じてきた。こんなことはマイナンバー制度の元では絶対に起こり得ない。

国民にとっては、いままで別々の役所の窓口に申請しなければならなかったことでも、1か所の窓口でできるようになる。また、自ら申請しなければ受けられなかった給付が、将来は役所から自動的に「プッシュ型」で提供されるということも可能になるという。

一枚の個人番号カードが年金手帳、いずれは健康保険証にも使えるので、利便性もあがることが期待される。


もちろん所得税などの捕捉率もあがる。正しく申告している人にはまったく影響がないが、所得隠しが難しくなるので、公平性という意味では良いと思う。

マイナンバーのシステム構成図は次の図を参照してほしい。

scanner429






出典:本書108ページ

マイナンバーは一人に一つだが、利用するそれぞれの官庁では、個別の識別符号で管理することにより、すべての個人情報を特定の省庁の役人が名寄せすることを防ぐようになっている。

逆に、本人はインターネット上で提供される「マイポータル」で、自分の個人番号をどこの官庁が使ったか、利用状況をチェックできることになる。

個人情報の適切な取扱を担保するための仕組みとして、「特定個人情報保護委員会」(上記資料では「個人番号情報保護委員会」となっている)が、政府から独立した組織として設立される。

これは1995年の「EUデータ保護指令」により、EUから日本への個人情報の移送が禁止されていることを解消するための布石だろう。

マイナンバーでカバーされる分野で国に関するものは次の通りだ。

scanner427





出典:本書110ページ

地方公共団体でマイナンバーを利用する業務は結構多い。

scanner425










scanner426











出典:本書169ー170ページ

マイナンバーを整備・維持するための費用は次の通り見積もられている。

scanner428



出典:本書24ページ

上記は2011年10月の政府の見積もりで、ICカードでなく、紙の仮カードに変えたり、クラウドサービスなどを利用すると費用は圧縮できると思われる。

いわゆる「消えた年金」問題で、年金記録を照合するためのコストが2009年度に106億円、2010年度に427億円、2011年度736億円、2012年度も660億円費やされている。4年間で2,000億円もの巨額の予算が投じられているのだ。

マイナンバーを導入すれば、このような人手で年金記録を照合するという無駄な作業は、今後は発生しない。

法律が成立していないので、確定的なことは言えないが、元々三党合意があるので、自民党内閣となれば、すみやかにマイナンバー法は審議にかけられ、2012年度中には予算決定されることになるだろう。

企業のマイナンバー利用は前述のように禁止されている。

本人確認の手段としては使えるが、マイナンバーを使っての名寄せはできないという運用になる。

総務省マイナンバー利用






出典:総務省資料 16ページ

一方、税務と社会保障の関係で、企業も法人番号が付与され、社員の個人番号を登録して、納税記録に記載しなければならない。だから企業にとっては、マイナンバーは自社では利用できないのに、納税と社会保障の関係でシステム変更を余儀なくされて、費用だけが掛かるということになる。

マイナンバーメモ






出典:総務省資料(企業関連部分を追加)

住民基本台帳カードはわずか4%、650万人にしか普及していないのに対し、マイナンバーは最初から全国民分の紙の仮カードが送付され、希望者のみICカードに変更できるという形でスタートすることが予想される。

5,000万人分の年金が消え、上記のように2,000億円かけて年金記録を再調査しているが、いまだに2,000万人の年金記録が不整合のままだという。

マイナンバーが導入されれば、少なくともこのような先進国にあるまじき事態は防止できる。

企業にはマイナンバー導入のためにシステム改変等の費用がかかり、以前のY2K(西暦2000年問題)のようなシステム改編ブームが起こるかもしれない。

なお、医療関係でもマイナンバーの利用が当初より検討課題に挙げられている。

医療分野では2012年9月に厚生労働省が設立したワーキンググループが「医療等分野における情報の利活用と保護のための環境整備のあり方に関する報告書」を出しており、マイナンバーとは異なる「医療等ID(仮称)」という別の仕組みを作るべきだと答申している。

医療等IDまとめ_ページ_2





出典:社会保障分野サブワーキングループ報告

図がなくて、文字ばかりの報告書で読みづらい。

要は医療関係の情報の流れは次の様になっており、税金や社会保障用のマイナンバーとは性質が異なる。

医療情報は万が一漏れると、本人に取り返しの出来ないダメージを与える恐れがあるものもあるので(たとえば病歴等)、マイナンバーのインフラは共用することも検討可能ではあるが、別の「医療等ID」や「医療カード」を導入すべきだという答申だ。

医療等IDまとめ_ページ_1






出典:「医療等分野における主な情報のながれ」(全55ページの報告書)


マイナンバーが導入されるとどういった影響があるのか、わかりやすく解説しているガイドブックで参考になった。

この本を購入するかはともかく、上記で出典として紹介した総務省の資料は目を通しておくことをおすすめする。


参考になれば投票ボタンをクリック願いたい。



  
Posted by yaori at 09:20Comments(0)TrackBack(0)

2013年02月12日

プライバシー・バイ・デザイン プライバシー情報を守る世界的潮流

プライバシー・バイ・デザイン(Privacy by Design)プライバシー・バイ・デザイン(Privacy by Design)
著者:アン・カブキアン
日経BP社(2012-10-25)
販売元:Amazon.co.jp

最近注目されている「プライバシー・バイ・デザイン」の提唱者・カナダのアン・カブキアン博士の著書をもとに、日本の個人情報保護法制の生みの親・堀部政男一橋大学名誉教授が、日本情報経済社会推進協会(JIPDEC)他と一緒にまとめた本。

「プラバシー・バイ・デザイン」とはあまり聞きなれない言葉だが、世界では個人情報保護の新潮流となっている考え方だ。

日本では2012年8月に発表された総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」が公表した「スマートフォン・プライバシー・イニシアティブ」に、基本原則の一つとして取り入れられたのが最初である。


プライバシー保護をデザイン・イン

「プライバシー・バイ・デザイン」の定義は、提唱者のカナダ・オンタリオ州情報・プライバシー・コミッショナーのアン・カブキアン博士によると「プライバシー情報を扱う”あらゆる側面”において、プライバシー情報が適切に取り扱われる環境を”あらかじめ”作り込もうという”コンセプト”」である。

具体的には、次の側面でプライバシー情報保護を作り込む必要がある。

1.技術面(ITをはじめとする様々な技術分野)
2.ビジネス慣行(事業活動)
3.物理設計(ネットワークインフラなど)

バイ・デザインというのは、デザイン・イン(作り込み)と考えればよい。つまりプライバシー情報の保護をあらかじめ作り込んでおくという原則を「プライバシー・バイ・デザイン(・イン)」と呼んでいるものだ。


プライバシー・バイ・デザインの基本7原則

プライバシー・バイ・デザインの基本原則は、提唱者のアン・カブキアン博士によると、次の通りだ。

1.事後的でなく事前的、救済策的でなく予防的であること

2.プライバシー保護は初期設定で有効化されること(デフォルト設定で組み込む)

3.プライバシー保護の仕組みがシステムの構造に組み込まれること

4.全機能的であること。ゼロサムでなく、ポジティブサム

5.データはライフサイクル全般にわたって保護されること

6.プライバシー保護の仕組みと運用は可視化され、透明性が確保されること

7.利用者のプライバシーを最大限に尊重すること


日本のプライバシーマーク制度の理論的裏付けに

日本のプライバシーマーク制度については何も言及されていないが、「プライバシー・バイ・デザイン」が提唱しているのが、まさに日本のプライバシーマーク制度のような仕組みである。

日本のプライバシーマーク制度は、この本の訳者でもある一橋大学名誉教授の堀部政男先生が提唱したものだ。

ヨーロッパでは、"EuroPriSe"というプライバシーマークと似たような制度が2006年から実施されているが、日本のプライバシーマークの13,000社弱というような規模ではない。

1999年にスタートした日本のプライバシーマーク制度が、世界で最も進んだ模範的「プライバシー・バイ・デザイン」制度と認められる日も近いだろう。


プライバシー・バイ・デザインが世界の潮流に

「プライバシー・バイ・デザイン」の考え方は、2010年にイスラエルのエルサレムで開催された第32回データ保護・プライバシー・コミショナー国際会議で、「基本的なプライバシー保護の不可欠な要素として認識」されることが決議された。

「プライバシー・バイ・デザイン」が、新たな国際プライバシー基準(new global privacy standard)となったのだ。


米国の取り組み

これを取り入れたのが、米国FTC(連邦取引委員会)が2012年3月に発表した次のプライバシーフレームワークである。

1.プライバシー・バイ・デザイン
  基本原則:企業は組織全体として、そして自社の製品やサービス開発のあらゆる段階において消費者のプライバシーを最優先に掲げるべきである。

a) 実質的原則
   企業は、データセキュリティ、合理的収集制限、正当な保持と消去実施、データの正確性といった、実質的プライバシー保護を企業プラクティスに組み込むべきである。
b) 実質的原則実施のための手続的保護
   企業は、製品やサービスのライフサイクルを通じての包括的なデータマネジメントの手続を維持すべきである。

2.簡略化された消費者選択
  基本原則:企業は消費者の選択を簡易化させるべきである。
a) 選択肢を要求しないプラクティス(慣行)
b) 企業はその他の慣行では消費者の選択肢を提供すべきである。

3.透明性
  基本原則:企業はデータ処理の透明性を高める必要がある。
a) プライバシー通知
b) アクセス
c) 消費者教育(消費者への情報提供)


米国の消費者プライバシー権利章典

米国政府は「消費者プライバシー権利章典(Consumer Privacy Bill of Right)を2012年2月に発表した。その骨子は次の通りである。(原出典:「日経コミュニケーション2012年4月号)

1.個人によるコントロール
  消費者は、事業者が収集する自身の個人データをコントロールする権利を持つ。

2.透明性
  消費者は、事業者によるプライバシーとセキュリティの順守に関して、わかりやすい手順で情報を得る権利を持つ。

3.背景情報の尊重
  消費者は、消費者が提供した背景情報に沿って、事業者が個人のデータを収集、利用、開示することを期待する権利を持つ。

4.セキュリティ
  消費者は、個人のデータが安全かつ責任をもって扱われる権利を持つ
  
5.アクセスと正確性
  消費者は、センシティブなデータや、不正確なデータが消費者にリスクを与えるようなケースにおいて、適切な方法で利便性の高いフォーマットのパーソナルデータにアクセス、修正できる権利を持つ。

6.適切な範囲の収集
  消費者は、事業者が収集、保存できる個人のデータを適切な範囲に限定する権利を持つ。

7.説明責任
  消費者は、事業者によって個人のデータが、消費者プライバシー権利章典に従って適切に扱われる権利を持つ。

これを見ると米国もやっと世界標準の考え方に近くなってきたかという印象を受ける。


個人情報保護先進国の欧州と後進国の米国

個人情報保護については、依然として米国と欧州では大きな差がある。それは、第三者提供の制限である。

通販業界が伝統的に強い政治力を持っている米国では、”オプトアウト(同意なしで配信。要望により配信停止)”が原則で、個人情報の第三者提供は本人の同意が不要だ。

だから米国に引っ越して2−3か月すると、郵便受けに入りきれないほどの大量のダイレクトメールが様々な通販会社から届くようになる。

いちいち今後ダイレクトメールを送らないようにと連絡して”オプトアウト”する必要がある。

一方、欧州は、”オプトイン”(同意がないと配信できない)が原則で、本人の同意がない限り、ダイレクトメールは送れない。

米国では、名簿販売が依然として大きな産業となっており、最大の名簿バイヤーは通信販売業界だ。

米国では、通信販売で買うと10%前後の州のセールスタックスを事実上払わなくて済むという大きなメリットがある。通信販売業界の政治力は、いまだに健在という感じである。

ちなみに、上記のリンク先の日経新聞の記事ではDNT(Do Not Track、ネット上の追尾・追跡(トラッキング)を消費者が拒否できる権利)を認めたことを、大きく取り上げている。

ややとっつきにくい本ではあるが、世界の個人情報保護の流れがわかるので、特に日本のプライバシーマーク制度にかかわる人には、一読をおすすめする。


参考になれば投票ボタンをクリック願いたい。



  
Posted by yaori at 23:15Comments(0)TrackBack(0)

2007年09月04日

社員監視時代 情報セキュリティ対策がわかる

社員監視時代 (ペーパーバックス)
社員監視時代 (ペーパーバックス)


社員監視時代というタイトルだったので、学生時代に読んだジョージ・オーウェル1984年を思い出したが、実は情報セキュリティの本だった。

1984年 (ハヤカワ文庫 NV 8)
1984年 (ハヤカワ文庫 NV 8)


いきなり個人情報漏洩事件の話から始まり、ソフトバンクBBが導入した監視ソフトSeer Innerが紹介される。(その後製品はseer innner SAという製品と二つにわかれたようだ)

このSeer Innerとは、筆者も導入したことがあるSeer Insight社(現エンカレジ・テクノロジ社)の、コンピューター端末のリアルタイム監視ソフトだ。

こんな具合に利用者の端末の操作画面が表示され、誰がどういう作業をしているのか画面がリアルタイムで監視できる。

Seer Inner 2






その社員のパソコン画面だけ大きく表示する機能もあるので、社員がパソコンでトランプゲームなどをしていると、管理者にすぐわかってしまう。

Seer Inner 3







写真出典:Seer Innerサイト


ソフトバンクBBは、このSeer Innerを導入するとともに、オペレーションルームの厳しい入退室管理に加え、ビデオカメラでの監視も実施している。

同社のSOC(Security Operation Center)では、常時十数名の社員が24時間・365日監視にあたっており、社員・アルバイトも含めた15,000台のパソコンを監視している。

リアルタイム監視といっても、網の目をくぐり抜けて不正を行う社員もいるかもしれないが、常時監視していると社員に告げることによって、過去起こったような個人情報漏洩持ち出し事件は防げると関係者は断言している。

Seer Innerの他にもAll WatcherLanScopeCatというログを、システマティックにすべて収集するソフトも紹介されている。

フォレンジック(Forensic)という聞き慣れない言葉があるが、犯罪科学という意味で、これらソフトはForensicソリューションと呼ばれている。


オフィスの生産性向上にも役立つ

社員の監視というとネガティブなイメージがあるが、マイクロソフトが提供しているIPA(Individual Productivity Assessment)と呼ばれるサービスは、ホワイトカラーの生産性改善を目指したものだ。

それ自体はあまり儲からないということなので、現在もマイクロソフトがIPAサービスを提供しているかどうかわからないが、この本でも紹介されている東洋タイヤのケースがマイクロソフトジャパンのホームページに紹介されている。

エンジニアの仕事ぶりを2週間程度カメラで記録し、それを分析して生産性改善点をレポートするというサービスだ。たとえばエクセルのコピーアンドペーストの使い方や、ショートカットの活用等で、生産性がアップする。


最大の抵抗勢力はシステム管理者!?

この本では情報セキュリティ導入の裏話も紹介していて参考になる。監視ソフト導入の最大の抵抗勢力はシステム管理者だという。

アクセスログは証拠として調査される可能性があるが、従来はシステム管理者は都合の悪いログは削除していたのだと。

にわかには信じがたい話だが、ありうる話なのかもしれない。


社員監視システムは「砂上の楼閣」

この本で参考になったのが、リアルタイム社員監視システムとかは、見た目には派手で、社員に与える不正抑止効果もあるが、LANの内部を暗号化しないと、監視している画面から情報が漏れ、セキュリティホールとなって、情報漏洩のリスクが増えるという指摘だ。

だからセキュリティは順番が大事で、まずLANに流れるデータを暗号化するのが大前提だと。

LANの中身を暗号化するソフトはフリーソフトもあるが、製品として提供しているメーカーは少ない。セキュリティ業界にとっては、LANの内部を暗号化するというのは商売にならない。

だからクライアント企業に教えず、内部情報の暗号化なしに監視ソフトを入れる「砂上の楼閣」が増えているのだと。

なるほどと思う。

情報がすべて暗号化されていれば、万が一漏洩しても本人への連絡も、監督官庁への報告も不要だ。非常に役立つ指摘である。


個人情報名簿業者の実態

もう一つ参考になったのが、個人情報を売買する名簿業者への取材だ。

この本では名簿業者大手のイアラ・コーポレーション社長にインタビューしている。

いままで名簿業者とはどういう会社か実態がわからなかったが、この本で紹介されているイアラ・コーポレーションはホームページもあり、2005年の個人情報保護法施行以降も事業を続けている。

まさに個人情報保護法に従った適法な名簿販売業をやっており、いわゆるオプトアウト方式で、削除しろと言われたら削除するというやり方で、個人情報を販売している。

同窓会や各種団体の会員名簿などリストとして販売しているものの紹介と、5,000万件のデータから希望のターゲットを絞ってリストアップするサービスがある。

イアラは元々はブレーンという会社で、ダイレクトメールなどのダイレクトマーケティングの会社だったが、ダイレクトマーケティング部門は日立グループに販売して、日立ブレーンという会社になり、リスト部門だけが残っているものだ。

イアラ社長の話で印象に残ったのが、名簿業者が販売しているデータはどれも「名前、住所、電話番号」だけだという。

つまり元データは電話帳等なので、それだけではどんな意味のある個人情報かわからないが、イアラの保有する大量のデータから名寄せして、条件にあった人をリストアップしてデータベースとして販売しているので、たとえば高額納税者リストとか、意味のあるデータとして売れるのだという。

この本は2005年発刊だが、2007年3月の経産省の最新のガイドラインでも、名前、住所、電話番号のみの名簿は電話帳と同じ扱いとなる。名簿業者のビジネスは、依然として適法なのである。

個人情報漏洩の唯一完全な対策は、個人情報を持たないことだと言われているが、特に利用価値のない住所と電話番号は、保有せずに削除して、必要な時に都度個人から取得するというのが、有効な個人情報セキュリティ対策となってくるだろう。


「1984年」現代版

最後にジョージ・オーウェルの「1984年」の現代版ショートストーリーもある。

著者の小林雅一さんは、大学を卒業して某大手電機メーカーに入社したそうだが、昼の12時ちょっと前に同期みんなで、社員食堂に行ったら、だれも皿を取ろうとしない。

みんな白線の向こうで待機しているのだ。12時のブザーが鳴って初めて、みんな動き始めたと。

これを聞いて、筆者は思い当たる会社がある。筆者も最近同社の社員食堂に行って、全く同じ体験をしたからだ。

最後に本当の監視も出てきて、なかなか面白く読める本だった。

情報セキュリティに興味のある人に役に立つ、おすすめできる本である。


参考になれば次クリックと右のアンケートお願いします。


人気ブログバナー


  
Posted by yaori at 00:06Comments(0)TrackBack(0)