NRIでは、2016年1月から、金融機関や事業会社を対象顧客としたマイナンバー管理サービスの提供を予定しており、それに備えて報告書の受領を推進するもの。外部監査に基づく報告書の受領により、独立した第三者から安全管理措置に関する評価が得られる。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」は、内閣府の特定個人情報保護委員会が特定個人情報を保護するために事業者に求められる安全管理措置等を定めたもの。事業者は安全管理措置の実施を義務付けられており、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の4つが示されている。
また、「ISAE3000保証報告書」は、国際監査・保証基準審議会(IAASB)が作成した、財務情報以外を対象とする保証業務の基準に基づいて作成された報告書で、サステナビリティ報告やCSR報告に関する作成/審査/検証基準や情報セキュリティに関する基準に基づく保証業務に利用されている。
ガイドラインでは、定期的な点検や監査等の実施により、企業が特定個人情報の取り扱い状況を把握することを求めている。また、特定個人情報の取り扱いに係る事務の一部を外部に委託した場合には、委託元の企業が委託先の特定個人情報の取り扱い状況を把握することを求めている。
委託先企業が報告書を受領している場合は、当該報告書で安全管理措置の整備状況や運用状況が確認できるため、委託元企業による委託先企業の評価に係る作業負担の軽減が期待できるという。
NRIは、2015年度下期に、あらた監査法人から監査を受ける予定であり、2015年末に安全管理措置のデザインに関する報告書(基準日時点における統制のデザインについての評価)を、また2016年末には安全管理措置のデザインおよび運用状況に関する報告書(特定の期間を通じた統制の運用状況についての評価)を受領することをめざしている。
NRIは、この取組みを通し、マイナンバー管理サービスの提供にあたって、顧客企業の負担軽減と高い安全管理措置の遵守に努め、わが国におけるマイナンバー制度の円滑な導入に寄与していくとしている。
