プライバシーマーク認証取得用のサンプル規程書などの販売をしてます。サンプル規程書は自社取得に最適です。その他、プライバシーマークに関することはなんでもお気軽にお問い合わせ下さい。

Pマーク審査おけるマイナンバー

先に「用語」を整理しておきます。
「番号法」または「マイナンバー法」の正式名称は「行政手続における特定の個人を識別するための番号の利用等に関する法律」です。
「マイナンバー制度」とは、国民一人ひとりに「番号」を付与する制度です。


Pマークの審査機関である一般財団法人日本情報経済社会推進協会(JIPDEC)のホームページで公表されている 「番号法および特定個人情報ガイドラインへの対応について」の「よくある質問と回答(PDF)」によりますと Pマークとマイナンバー制度の関係については、次のように説明されています。

Q)マイナンバー制度が始まると、プライバシーマークの審査基準が変更されるということなのでしょう?

A)審査基準であるJISQ15001:2006(以下、この文書では「JIS」と記載します)が変更されるのではなく、 JISに基づいて付与事業者が対応すべき事項、留意すべき事項が加わるとお考えください。

(出典:JIPDEC http://privacymark.jp/reference/pdf/guideline_kaisetsu_FAQ_150717.pdf )

上記、FAQの「審査基準が変更されるのではなく、JISに基づいて付与事業者が対応すべき事項、 留意すべき事項が加わる」とは何のことでしょう。

個人情報の定義は、「個人に関する情報であって、当該情報に含まれる氏名、生年月日 その他の記述などによって特定の個人を識別できるもの (他の情報と容易に照合することができ、それによって特定の個人を識別することが できることとなるものを含む。)。」となっています。
このことから
「マイナンバーも個人情報の一つなんだから、新たにマイナンバーを取扱うことになってもJIS要求事項に従って 管理・運用するのが当然でしょう」と言っているのです。
また、「JISに基づいて付与事業者が対応すべき事項、留意すべき事項が加わる」とは、 JISの「3.3.2法令、国が定める指針その他の規範」では、法令などを順守することが求められているのだから、 当然、「マイナンバー法を順守ことを追加するんですよ」と言っているのです。
よって、「審査基準を変更する必要はない」と言う意味なのです。
しかし、JIPDEC発行の「番号法および特定個人情報ガイドラインへの対応について」 では、Pマークを更新する、あるいは、これから取得する場合の注意事項がまとめられていますので、その内容を どのように解釈したら良いか説明します。

1.要求事項に基づき対応を必要とする事項
JIPDEC「特定個人情報の取扱いの対応について」の内容 解釈
(1)個人情報の特定、リスクなどの認識、分析及び対策(要求事項3.3.1、3.3.3)
特定個人情報は、個人情報の特定及びリスクの認識、分析、対策の対象とすること。 ブライバシーマーク付与を受けようとする事業者は、既に定めた手順に従い、 個人情報の特定及びリスクの認識、分析、対策を実行しているが、特定個人情報 もその対象に加わる。
要求事項3.3.3(リスクなどの認識、分析及び対策)に示す通り、個人情報に関する リスクに、個人情報の取扱いに関する法令等に対する違反も含まれるよって、 プライバシーマーク付与を受けようとする事業者は、番号法の規定に反する取扱い をすることをリスクと認識し、リスク分析を踏まえて対策を講じ、PMSに反映する必要がある。
Pマークを取得している者やこれから取得しようとする者は、マイナンバーを含む書面等(例えば、給与支払報告書等) を個人情報管理台帳に特定していなければ、不適合になる。
リスク分析表でマイナンバー法違反になるケースを想定し、その対策を特定して安全対策規程に盛り込んでいなければ 不適合になる。
また、要求事項3.4.3.2(安全管理措置)及びJIPDECガイドラインは、取扱う個人情報のリスクに応じた、必要、 かつ、適切な安全管埋措置を講じることを求めている。プライバシーマーク付与を受けようとする事業者は、 引き続き、リスクに応じた措置を実施し、適宜リスク及び対策の見直しを行うことが必要である。なお、 安全管理措署については本資料2.(3)項をあわせて参照すること。  
(2)法令、国が定める指針その他の規範(要求事項3.3.2)
要求事項3.3.2(法令、国が定める指針その他の規範)を踏まえ、JIPDECガイドラインでは、特定・参照が 必須である法令、国が定める指針その他の規範(以下、「法令等」という)を示しているが、少なくとも 個人番号の利用が開始される平成28年1月以降は、特定し参照する対象に、番号法及び特定個人情報 ガイドラインを加える必要がある。 よって、プライバシーマーク付与を受けようとする事業者は、特定し参照する対象となる法令等を見直す ことが必要である。 平成28(2016)年1月以降にPマーク審査を受ける者は、外部文書一覧に「行政手続における特定の個人を 識別するための番号の利用等に関する法律」、特定個人情報保護委員会発行の「特定個人情報の適正な取扱い に関するガイドライン(事業者編)」、JIPDEC発行の「特定個人情報の取扱いの対応について」を記述してい なければ不適合になる。
(3)資源、役割、責任及び権限(要求事項3.3.4)
要求事項3.3.4(資源、役割、責任及び権限)及びJIPDECガイドラインでは、個人情報の管理のための役割、 責任及び権限を明確に定め、文書化することを求めている。 特定個人情報ガイドライン(「(別添)特定個人情報に関する安全管理措置(事業者編)」を含む〉では、 特定個人情報等を取り扱う事務に従事する 従業者(以下、「事務取扱担当者」という)の明確化を求めている。 よって、プライバシーマーク付与を受けようとする事業者は、事務取扱担当者の役割、責任及び権限を明確 に定め、文書化する必要がある。 JISの要求事項である、個人情報保護管理者などの役割、責任及び権限と同様に、「マイナンバー 取扱事務責任者」の役割、責任及び権限を規程に定めていなければ不適合になる。
2.番号法に基づき対応を必要とする事項
JIPDEC「特定個人情報の取扱いの対応について」の内容 解釈
(1)取得、利用及び提供に関する原則(要求事項3.4.2)
要求事項3.4.2.2(適正な取得)では、適法、かつ、公正な手段により個人情報を取得することを求めている、よって、 プライバンーマーク付与を受けようとする事業者においても、番号法に基づき個人番号を取得する必要がある。  
<中略>
取得、利用及び提供の場面において、番号法に基づく留意点を以下に概略する。
 
  • 特定個人情報ファイルの作成は、個人番号利用事務、個人番号関係事務を処理するために必要な範囲に 限られている(番号法第28条特定個人情報ファイルの作成の制限)」例えば、個人番号を含むデータベース を作成した場合や、既存のデータベースに個人番号を追加した場合は、当該データベースの利用の範囲に留意する。
個人情報保護法では、本人の同意があれば利用目的を変更することができるが、マイナンバー法では、 「社会保障、税および災害対策」のみに限定されているため、本人の同意があっても利用目的を変更することは許されていない。 そのことを規程に定めていなければ不適合になる。
  • 個人番号の利用範囲は、番号法第9条(利用範囲)に示す範囲(個人番号利用事務、個人番号関係事務)に 限定される。要求事項3.4.2.6(利用に関する措置)と異なり、本人の同意があったとしても、利用範囲を 超えた利用は認められない。
特定個人情報ファイルとは、マイナンバーが含まれる電子ファイルのこと。例えば給与計算システム (ソフト)のデータのこと。給与計算システムのデータにマイナンバーを追加した場合、そのデータは 給与計算に限定した利用にしなければならない。
  • 特定個人情報の提供は、番号法第19条(特定個人情報の提供の制限)に規定された場合を除き、禁止である (番号法第19条)また、番号法では特定個人情報に関しては個人情報保護法の第23条(第三者提供の制限)の 規定は適用除外とされている点に留意する。つまり、番号法では、個人情報保護法第23条第4項第3号の規定 も適用されず、個人番号の共同利用は認められない。
個人情報保護法では、個人情報の共同利用が認められる例外設定ある。しかし、マイナンバー法では、 共同利用は禁止されている。そのことを規程に定めていなければ不適合になる。
  • 個人番号の提供を受ける場合、番号法第16条(本人確認の措署)により本人確認が義務付けられ、 確認方法が規定されている。
マイナンバー法では、マイナンバーを取得する際の本人確認が定められている。その手順を規程に定めて いなければ不適合になる。
(2)正確性の確保(要求事項3.4.3.1)
要求事項3.4.3.1(正確性の確保)を踏まえ、JIPDECガイドラインでは個人情報の保管期間の設定等を求めている。 ただし、特定個人情報の保管期間については、特定個人情報ガイドラインに示す通り、番号法に定めた事務を行う場合を 除き、特定個人情報を保管ができないことに留意する。 マイナンバー法では、マイナンバーが含まれる書面等について、法令で定められた期間(例えば、支払調書等は7年間)を 超えた場合、速やかに廃棄または削除するよう定められている。よって、個人情報管理台帳にマイナンバーが含まれる 書面等の保管期間を明確にしなければ不適合になる。
(3)安全管理措置(要求事項3.4.3.2)
要求事項3.4.3.2(安全管理措置)及びJIPDECガイドラインは、取扱う個人情報のリスクに応じて、個人情報のライフサイクル (個人情報の取得から廃棄までの一連の流れ)の各局面の安全対策を策定することを求めている。これに加え、特定個人情報を 取扱う場合の安全管理措置では、特定個人情報ガイドライン(「(別添)特定個人情報に関する安全管理措置(事業者編)」を含む) において、個人番号の削除や特定個人情報等を取扱う機器及び電子媒体等の廃棄は所管法令等における保存期間の経過時には、 速やかに削除・廃棄を行うこと等、要求事項では求められていない措置を講じなければならないとする事項もあることに留意する。 なお、講じなければならないとする事項の確認にあたり、「(別添)特定個人情報に関する安全管理措置(事業者編)」に示す 中小規模事業者の範囲を確認するよう留意する。 また、JIPDECガイドラインは、要求事項3.4.3.2(安全管理措)を踏まえ、保存期間は事業者がリスクを負って設定するとしている。 しかし、特定個人情報の保管は、番号法第19条(特定個人情報の提供の制限)各号のいずれかに該当する場合を除き、禁止で ある(番号法第20条収集等の制限)ことに留意する。 前項とほぼ同様なので割愛
(4)委託先の監督(要求事項3.4.3.4)
要求事項3.4.3.4(委託先の監督)では、委託先に対する、必要、かつ、適切な監督を求めている。個人番号関係事務または 個人番号利用事務の全部または一部を委託する場合も、要求事項に基づき委託先の監督を行う必要がある。これに加えて、 特定個人情報ガイドラインでは、委託契約の締結にあたって盛り込むべき規定等が具休的に示されていることに留意する。 よって、要求事項3.4.3.4(委託先の監督)で定める事項のほかに、特定個人情報ガイドラインが示す事項を契約書等に盛り込 む必要がある。 また、委託先に再委託を認める場合、要求事項及びJIPDECガイドラインでは、委託先に再委託先に関する事項を文書で報告 させ、委託先による再委託先の監督状況を確認することを求めている。 これに加えて、特定個人情報を取扱う場合、番号法第10条(再委託)では、個人番号利用事務等の委託、再委託を認めているが、最 初の委託元の許諾を得ることが求められることに留意する,また、再委託先が再々委託を行う場合以降も、再委託を行う場合 と同様であることにも留意が必要である。 マイナンバーを使う業務を委託する場合、委託先からの再委託を認める場合は、自社の承諾が必要であることを規程に定めて いなければ不適合になる。
また、委託先との契約書には、JISの要求事項には含まれていない、次の3項目を追加しなければならない。
  • 事業所内からのマイナンバーを含む書面等の持出しの禁止する事項
  • マイナンバーを含む書面等の目的外利用の禁止、再委託における条件
  • 委託契約終了後のマイナンバーを含む書面等の返却又は廃棄に関する事項

お問合せ・ご相談はお気軽にどうぞ
お問い合わせは»こちらから
TEL 011-387-1887 営業日・時間 月-金 9:00-18:00

商品販売サイト

営業日カレンダー

 営業日   :月~金
 営業時間:9:00~18:00

Calendar Loading

Calendar Loading


PAGETOP
プライバシーマーク(Pマーク)コンサル 北海道・札幌