前号に続いて業界団体のコンピュータソフトウェア協会（CSAJ）のマイナンバー（社会保障・税番号）制度への取り組みをレポートする。CSAJは「マイナンバー対応ソフトウェア認証制度」をスタートさせ、この9月14日にも、初回受付分の業務パッケージソフト製品の認証結果を公開する予定だ。十数製品が申請済みといい、CSAJのマイナンバー認証制度のワーキンググループで主査を務めたピー・シー・エーの水谷学社長の会社が開発した製品も率先して申請し、評価を受けている。

　CSAJが認定制度をつくるにあたり、最も頭を悩ましたところが国が公表している「特定個人情報の適正な取扱いに関するガイドライン」のどこまでに対応すればいいのか──という点だった。大企業はともかく、業務パッケージソフトを使うユーザーの多くは、中堅・中小企業が占めており、安全側へ重きを置いている国のガイドラインを厳密に適用すると、コストがかかりすぎる現実問題に突き当たる。CSAJでは、業務パッケージソフトベンダーを中心に、「中小事業者への緩和措置や改善要望」（水谷主査）などを行いつつ、国のガイドラインを独自に分析し、38項目の対応リストを作成した。

　38項目のなかには、マイナンバーを会社組織として取り扱うための「基本方針の策定」や、「業務委託先に対する監督」「情報漏えいが発生した際の対応策の整備」など、組織的な仕組みの部分が多く含まれている。これらは業務ソフトだけで対応できるものではないため、CSAJのマイナンバー認証制度では、これら“アナログ”的な要素を除いて、マイナンバーを直接取り扱う情報システムの評価に特化することにした。結果、38項目中の「アクセス者の識別と認証」や「情報漏えいの防止」などの8項目を、「マイナンバーを扱う業務ソフトとして最低限満たさなければならない要件」（同）として抜き出し、認証制度で活用している。

　コスト度外視で、国のガイドラインに沿って安全措置を講じられる中小企業は、現実問題としてほぼ皆無といってよく、最低限対応すべきシステム的な措置を、業務ソフトの機能として備えていることを認証するのが、CSAJのマイナンバー認証制度の位置づけといえる。同認証は、マイナンバーを直接扱う情報システムを対象としているため、基幹系業務ソフトはもちろん、クラウド型のサービス方式で提供する“業務サービス”も対象となる。

　とはいえ、人事給与や財務会計などマイナンバーを直接扱う業務ソフト／クラウドサービスだけでは限界があるのも事実。そこでCSAJでは、情報セキュリティや運用監視、データベース監査などの領域を「支援ソフト（仮）」と位置づけ、業務ソフトとは別にマイナンバー対応の認証制度をつくり、評価していくことを検討している。認証マークがついている業務ソフトや支援ソフトを選べば、ユーザー企業は、マイナンバーガイドラインに沿った安全対策が講じられる安心感、分かりやすさを得ることができる。（安藤章司）