「リーマンショック」を彷彿とさせる。すでに「東芝ショック」と言っても良い。

東芝と言えば、なんといっても『サザエさん』だ。小学生以上の日本人であれば一人として知らない人は居ない国民的アニメだ。日本の子供たちは、あの家族をみて育つ。。。東芝は、もう45年以上も『サザエさん』のメインスポンサーをしている。(そして、東芝日曜劇場『Beautiful Life - ふたりでいた日々』は人類史上最高の恋愛ドラマだ)

そんな東芝に、大規模な不正会計処理が発覚したのだ。

過日(7月21日)の記者会見を見て、組織的かつ悪質な粉飾決算と感じた人は少なくない。委員会設置会社(指名委員会等設置会社)という組織機構において「監査委員会」は何を監査してきたのか、「会計監査人」(監査法人)は何を監査してきたのか、、、世界中の投資家から疑問に思われても仕方がない。「カネボウ」や「オリンパス」の教訓は何も生かされていない。この際、グループ全体を解体し、140年の歴史に幕を下ろすべきだ。日本の家電分野や重工業分野の再編にも促進されるだろう。

「循環取引」や「集計の不正」を防ぐには、業務データを可視化することに尽きる。

業務プロセスが見えないが故に、、、そこに流れる業務データが見えないが故に、、、不正が生じるのだ。例えば部長職以上には、事業部内のリアルタイムの業務データを閲覧できる権限をあたえるべきだ。例えば執行役や取締役には、全社の業務データをリアルタイムに閲覧できる権限をあたえるべきだ。「いつ誰が何をしたのか」が自動的に記録される仕組みにあって、わざわざ「取締役会の資料」を改ざんしようとは思うまい。

[見積/受注/請求等の部内基本フロー]

「子会社ごとに、マイナンバーを集めよ!」

人事制度は子各社ごとに違う。人数規模だって異なる。そう、、、アルバイトが何百人もいる会社もあれば、全くいない会社もある。全国に地方営業所を持つ会社もあれば、全くない会社もある。

グループ各社の間接部門を共有する「シェアードサービス」の仕組みは珍しくない。社会保障や税の手続きについてもシェアード会社に委託されるケースは多い。しかし、業種や業態が子会社それぞれに大きく異なるのであれば、「マイナンバー収集」については各社でやってもらうしかない。いわゆる「本人確認」の方法は、各社で工夫してもらうべきだ。

「マイナンバー収集」については、当ブログでも5つのプロセスを例示した。
  1. 小規模組織での申請承認
  2. チェックディジット機能追加
  3. 現場で本人確認
  4. 本店のみで本人確認
  5. 複雑な申請による本人確認

以下のワークフローは、これらの通じて収集されたマイナンバーが、最終的にシェアード会社側に自動集約される仕組みだ。各社での収集プロセスの最下流に自動イベント「HTTP 送信」を配置してもらうことを想定している。

[更新情報の受信プロセス]

『ご契約にはマイナンバーが必要です。フォームに入力してください。
(もしくは郵送してください) 株式会社○○○○』

インターネット上には、無数の「フィッシングサイト」が存在する。たとえば「クレジットカード番号」や「オンラインバンクの暗証番号」などがだまし取られる被害は、後を絶たない。「マイナンバー」(個人番号)を集めようとするフィッシングサイトも、遅かれ早かれ出現するだろう。(「マイナンバー占い」とか、絶対ダメ!!)

『もしウチの社名を名乗るフィッシングサイトが出現したら・・・』

多くの外部フリーランスを活用しているような会社であれば、「オンライン申請」に頼らざるを得ない。しかし、もしも模倣フィッシングサイトが出現するような事態になればタイヘンだ。基本的には、「データ送信先」や「郵送先」の確認をオネガイする、くらいしか方策がない。
  • 確認ファイル送信先のURLは「https://example.com」です!!
  • 確認書類のコピー郵送先は「京都市中京区○○番地」です!!

前回紹介した「マイナンバー申請プロセス」
の例では、遠隔地にいるフリーランスさんも、弁護士さんや税理士さんも、オンラインで申請することができた。しかも「マイナンバーの収集に関与する人」を極めて限定的な数に減らすことが可能な、秀逸なワークフローだ。その結果として「人的な情報漏洩のリスク」を限りなくゼロにできることができる。

しかしこの例では、「マイナンバー」や「証明書の画像ファイル」を添付してもらう必要があった。
  • A. 『運転免許証』の画像
  • B. 『通知カード』の画像
※A: 『個人番号カード(表)』や『パスポート』等といった写真つき身分証明書で代用可能
※B: 『個人番号カード(裏)』や『新住民票』といったマイナンバーが記載された証書で代用可能

つまり、フィッシングサイト側の視点でいえば「だまし取りやすい構造」と言える。情報セキュリティの有資格者によってもリスク評価は様々だが、少なくとも「リスクがゼロ」とは言い切れない。そもそもセンシティブな情報をオンラインやりとりしないですむ方法は無いものだろうか?


以下のワークフローは
  • オンラインで、「A.運転免許証の画像」も「B.通知カードの画像」も送信しない(!!)、
  • オンラインで、「12桁マイナンバー」の送信もない(?!?)、
という特徴がある遠隔地からのマイナンバー申請プロセスだ。キーワードは「情報の分割」だ。この業務プロセスを大雑把に説明すると、次の2工程で構成される。
  1. 先頭8ケタの送信
  2. 末尾4ケタの口頭連絡
注意)「同一の者であることが明らかである」について、行政機関等との間に「見解の相違」が発生するリスクがあります! 詳細については、法律施行規則3条(5)、法律施行規則9条(4)を確認してください。(あるいは、タライマワシを覚悟したうえで、行政機関に確認しに行ってください)
行政手続における特定の個人を識別するための番号の利用等に関する法律 (2013-05-31)
行政手続における特定の個人を識別するための番号の利用等に関する法律施行令 (2014-03-31)
行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則 (2014-07-04)
特定個人情報保護評価指針 (2014-04-20)
特定個人情報の適正な取扱いに関するガイドライン(事業者編) (2014-12-11)

[マイナンバー申請フロー(5)]

「社員に申請してもらうだけの話でしょ!??」

それはソウなのだが、それだけでもない。。。 会社が集めるべきマイナンバーは、意外と多い。つまり、「社員/アルバイトのマイナンバー」とその「扶養家族のマイナンバー」だけに留まらない。

特にナンギなのは「外部委託先(個人)」だ。

すべての日本企業は「国の徴税業務」を手伝っている。すなわち、個人に対する報酬支払いの際には、所得税を源泉徴収している。そして、その預かった所得税を上納している(所得税法:源泉徴収義務)。(さらに言えば、源泉徴収額を集計して、源泉徴収票を本人にお届けしている)
  • 原稿料、作曲代、デザイン報酬、著作権使用料、講演料
  • 弁護士・司法書士・会計士・税理士・弁理士などの報酬
なるほど。外部の個人に対して、講演を依頼したり、デザインを依頼したりすると、、、そういった方からもマイナンバーを提供してもらう必要あるのだ。最近流行の「クラウドソーシング」を活用している企業などは、特に注意が必要だ。

前回までに紹介した「マイナンバー申請プロセス」
では、社員やアルバイトからの申請にフォーカスしてきた。そして、前回記事では、『本人確認の措置』を管理職者たち(店長やら課長やら)で分散/分担して行うワークフローを検討した。
  • X.分散型: 照合確認を組織内で分担する(全店長・全課長らが確認する)
  • Y.集中型: オンラインで照合確認できるだけの書類を添付してもらう

<チェックディジットUI>

今回紹介する業務プロセスは、すべてをオンラインで一元的に行う。(集中型)
  • デザイナやプログラマなど外部フリーランスをフル活用している会社
  • 外部個人に対して日常的に講演依頼や執筆依頼を行っている会社
などにおいて非常に便利だ。『本人確認の措置』を含めてすべての処理をオンラインで実現できる。しかも、(特定)個人情報を目にする人は、本社の「経理部門」に限定することができる。

ちなみにココでは、本社勤務者も遠隔地就労者も、、、バイトさんも社長さんも、、、新入社員さんもベテラン社員さんも、、、弁護士さんも税理士さんも、、、みんな「申請フォーム」(セキュアなWebフォーム)で申請することを想定している。

[マイナンバー申請フロー(4)]