マイナンバー制度 (事業者向けガイドライン案)

特定個人情報保護委員会は、マイナンバー制度における特定個人情報(個人番号を含んだ個人情報)に関する民間事業者が守るべきルールを定めたガイドライン案を公開し、金融各業界向けに説明を開始したそうです。金融経済新聞の平成26年10月13日号と日経ITPro10月14日付で報道されていました。

金融経済新聞は、民間企業が法律に従って特定個人情報処理を行った後、一定期間後に取引ファイルから削除することを求めていると書いています。そして、「取引履歴を削除せずに保存し続ける金融業界にとっては、一定期間後のファイル削除を強制されることは大きな負担であり、金融界に動揺が広がっている。また、データの保有のあり方にも波及することは必至と見られる。」と書いています。筆者はまだ、このガイドラインを見ていないので、この記事内容の真偽は定かではありませんが、取引ファイルとか取引履歴という用語の解釈に齟齬があるように感じます。同委員会が、企業の取引情報まで消せという筈がないからです。記者にIT関連知識がないので、法の要請する支払い通知などを作成した後、そこで作ったワークファイル、ないしは、提出者に保存義務のある報告データ(書類か電子データ)を消すと、取引情報まで消えると思ったのでしょうか。

その点でITProの記事は、ITを判った記者が書きますので、こうした記載はありませんでした。記事では、2点ポイントを指摘しています。「企業グループ間で共有データベースに個人番号を登録する場合には、他社が参照できないようにしておれば、他者提供にならない。」というのが第一点です。それは当り前と思いますし、データベースの定義次第ですが、大手企業グループに共有データベース利用の要望が大きかったというので、大手企業は下らん所にケチだという印象です。一つのDBMSでグループ複数企業の人事管理システムや支払い通知など納税事務を行う企業が多いということなのでしょうか。

第二点として「法令によって義務付けられた保存期間が経過した後、できるだけ速やかに廃棄または削除し、その記録を保存する。外部委託の場合は、委託先が削除または廃棄したことを証明書等で確認する。削除、廃棄手段についても確実な方法によること。」がガイドライン案にあるとします。そして専門家による指摘として「廃棄への対応を定めた企業事例を見たことがなく、影響が大きい。」と書いています。

どうもデータ廃棄の義務化が問題となっているようです。確かにバッチジョブが増えるでしょうし、特定個人情報処理のライフサイクル管理は新たな負担であることに間違いはありません。しかし、プログラムもデータも捨てずに貯め込み続けてビッグデータと称する風潮にも、違和感を抱きます。昔から感じているのですが、何を怖がって捨てないのだろう。まるでゴミ屋敷ではないかという事例が余りに多いのです。貯め込んだプログラムでシステムが巨大化、複雑化して、その責任はメインフレームにあると言います。データを無闇に捨てると、紛失となって金融庁から怒られる。といって、いずれ捨てるモノを人と金と時間をかけて管理するのは勿体ない。捨てる作業は、誰も評価してくれないどころか、見てもくれない。金融ITに廃棄という概念がありません。

筆者は滅多に公権力の味方をしませんが、当件に関しては明らかに特定個人情報保護委員会が正しい。不要なモノは捨てる。重要なデータやプログラムは、クリエイトから更新、追加、削除、廃棄までのライフサイクル管理を行うのが当たり前です。ベンダーがメモリーやストレージを次々と大きく安くし、ユーザーは何でもかんでも貯めておく。それでいて、新製品を入れてもユーザーが使えるスペースが増えないとクレームする。それだけならまだしも、障害や流出のリスクを高める。その一方で使用電力や紙を少し減らしただけで、当社はエコに貢献していると自慢する。まさに「いかがなものか?」であります。

現在、法で定められているマイナンバーをつけた報告作成には、取引DBと連動してオンライン処理する必要はありません。単に従業員番号や取引先番号とマイナンバーを紐付けできるようにして、両ファイルを使って法定帳票を印刷、或いは、報告データを担当官庁に提出するだけです。これら法定帳票は保存期間が定められているので、その期間管理を行う。ともにバッチ処理ですみます。どうも、ここ十数年でWebを使ったオンライン化が進んだせいか、バッチ処理技術が失われたように感じます。インメモリーやシェルスクリプトなど、廉価に高速処理する技術は簡単に入手できます。データのライフサイクル管理やバッチジョブのスケジュール管理に、新しい仕組みが必要だとすれば、それは、これまでが手抜きだったと観念して、マイナンバーを機会に整備すべきです。制度案件ですから、経営は否とは言えません。

ベンダーは、オイルショック時の石油業界のように千載一遇の営業機会などと、妙な私欲を出さずに、簡便で廉価なソリューションを提供すべきです。コンサル業界も単純なことをややこしくして商売にしようなどと考えないことです。それが、顧客に新しいITインフラを提供することになり、より大きな営業機会となることでしょう。民間開放のフェーズ3は、まだ先のことで何も決まっていません。いろいろなことが言われていますが、どれも思いつきというか、個人的希望です。まずは、マイナンバーが安全で有益であることを国民に証明することが先です。無暗に負担感を煽って、制度にネガティブな反応をもたらす報道には、読者の側で注意が必要です。

                                                       (平成26年10月15日 島田 直貴)