JIPDECが発行するJISの要求事項に基づき対応を必要とする事項及び番号法に基づき対応を必要とする事項を示すための指針

マイナンバー

 特定個人情報の取扱いにあたり、プライバシーマークの付与認定機関であるJIPDECではJISの要求事項に基づき対応を必要とする事項及び番号法に基づき対応を必要とする事項を示すための指針を発行しています。

認定機関のJIPDECの対応

 特定個人情報は、JIS Q 15001:2006(個人情報保護マネジメントシステムー要求事項)の適用を受けることは勿論のこと、番号法に従い、かつ特定個人情報ガイドラインにも適合するように取り扱う必要があるため、特定個人情報の取扱いにあたり、JISの要求事項に基づき対応を必要とする事項及び番号法に基づき対応を必要とする事項を示すため、プライバシーマークの付与認定機関であるJIPDECは2015年5月に特定個人情報の取扱いの対応についてを公表しました。

なお、プライバシーマーク制度では、マイナンバー(個人番号)を収集した事業者に対し、審査においてその取扱いの確認が行われます。

マイナンバー制度への対応とプライバシーマークの関連

 JIS Q 15001の規格要求事項に基づき対応を必要とする事項番号法に基づき対応を必要とする事項に、対応のポイントは大別されます。

①JIS Q 15001の規格要求事項に基づき対応を必要とする事項は、3.3 計画の3.3.1 個人情報の特定、3.3.2 法令、国が定める指針その他の規範、3.3.3 リスクなどの認識、分析及び対策、3.3.4 資源、役割、責任及び権限、が該当します。

  • 個人情報の特定(3.3.1)及びリスクなどの認識、分析及び対策(3.3.3)

特定個人情報が、3.3.1に基づく個人情報の特定の対象になっていること、及び3.3.3に基づくリスクの認識、分析、対策の対象になっていること、そのリスクの対策に、番号法の規定に違反することもリスクと認識し、分析を踏まえ対策が講じられていること。

  • 法令、国が定める指針その他の規範(3.3.2)

特定・参照される法令、国が定める指針その他の規範(順守法規制一覧表など)の中に行政手続きにおける特定の個人を識別するための番号の利用等に関する法律及び特定個人情報の適正な取扱いに関するガイドラインなどが特定され、参照可能な措置が講じられていること。

  • 資源、役割、責任及び権限(3.3.4)

3.3.4に基づく文書化された役割、責任及び権限(個人情報保護職務分掌一覧など)の中に、特定個人情報の適正な取扱いに関するガイドライン別添 特定個人情報に関する安全管理措置(事業者編)で明確化が求められている事務取扱担当者の役割、責任及び権限が含まれていること。

②番号法に基づき対応を必要とする事項

3.4.2 取得、利用及び提供に関する原則、3.4.3 適正管理の3.4.3.1 正確性の確保、3.4.3.2 安全管理措置、3.4.3.4 委託先の監督が該当します。

  • 取得、利用及び提供に関する原則(3.4.2)

個人番号(特定個人情報)の取得において、3.4.2.3、3.4.2.4、3.4.2.6、3.4.2.7、3.4.2.8のただし書きが、番号法に基づく取得に該当するため要求事項に定める措置は求められないとも考えられるが、この場合も、個人情報保護法の18条に基づき、利用目的を本人に通知するなどの措置を行わなければならない。

また、番号法においては、要求事項と異なり、個人番号を利用することが出来る範囲が制限されているため、本人の同意を得ても原則として利用することはできないことに留意すること(本人の同意があるとして、制限を超えて利用した場合は、要求事項に対しても不適合となる)。

特定個人情報ファイルの作成は番号法で制限されているため、個人番号を含むデータベースを作成した場合や既存のデータベースに個人番号を追加した場合は、利用範囲に留意すること。

番号法では、個人情報保護法第23条の4項3号の規定は適用されないため、個人番号の共同利用は認められないことに留意すること。

個人番号を取得する場合は、番号法第16条により本人確認が義務付けられているため、本人確認の方法を規定しなければならない。

  • 正確性の確保(3.4.3.1)

特定個人情報の保管期間については、特性個人情報ガイドラインに示すとおり、番号法に定めた事務を行う場合を除き、保管できないことに留意すること。

  • 安全管理措置(3.4.3.2)

特定個人情報ガイドラインの別添 特定個人情報に関する安全管理措置(事業者編)において、個人番号の削除や特定個人情報等を取り扱う機器及び電子媒体等の廃棄は所管法令等における保存期間の経過時には速やかに削除・廃棄を行うこと等、要求事項では求められていない措置を講じなければならないとする事項もあることに留意すること。

  • 委託先の監督(3.4.3.4)

特定個人情報ガイドラインでは、委託契約の締結にあたって盛り込むべき規定等が具体的に示されていることに留意すること。また、番号法第10条(再委託)では、個人番号利用事務棟の委託、再委託を認めているが、最初の委託元の承諾を得ることが求められていることに留意すること。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

writer002