マイナンバー対応はプライバシーマークの審査でも関わってくるの?


いつもご愛読ありがとうございます。
ISO総合研究所のコンサルタントの梅崎です。

今年はマイナンバーについて対応を追われている企業様も多いかと思われます。

マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)の施行日は平成27年10月5日。
既に個人番号が通知された地域、既に収集を始めている企業様、進捗は様々かと思われますが、今回はその中でも

「プライバシーマークを新規取得予定・既に認証取得している」
「マイナンバーについてそれほど準備が進んでいない」

企業様へ、プライバシーマークの審査において、どのようにマイナンバーへの対応が確認されるかをご説明させていただきます。

一般財団法人日本情報経済社会推進協会(JIPDEC)より、平成27年5月19日に、「番号法および特定個人情報ガイドラインへの対応について」が公表されておりますが、これは

・プライバシーマーク審査において、どのようにマイナンバーに関する法令が関わってくるか
・プライバシーマークの要求事項に基づいて対応を必要とする事項の適用箇所について

記載されたものです。こちらの公表資料を基にお話し致します。

1.要求事項に基づき対応を必要とする事項

(1)個人情報の特定、リスクなどの認識、分析及び対策(要求事項3.3.1、3.3.3)

この要求事項は、事業者が保有する個人情報を洗い出し、取扱いにおいてどのようなリスクが考え得るか。
また、自社がそのリスクに対してどのように対応しているか、対策を講じているかを特定するというものです。

その事業者が保有する個人情報のうち、特定個人情報(個人番号を含む個人情報)も、その洗い出しと、リスクの認識、分析、対策の対象とすることが求められております。

対応として、自社で保有する個人情報で個人番号が記載されるものは何なのかを認識し、その情報を取扱う上でのリスクを認識し、番号法の規定に反することなく、取扱いを管理する必要があります。

(2)法令、国が定める指針その他の規範(要求事項3.3.2)

この要求事項は参照が必須である法令等を認識し、特定するという要求事項ですが、少なくとも個人番号の利用が開始される平成28年1月以降は、その特定し参照する対象に番号法及び特定個人情報ガイドラインを加える必要があるというものです。(利用が始まる前に把握し、特定すべきであるという観点から、既に指摘になるケースもございます。)

(3)資源、役割、責任及び権限(要求事項3.3.4)

要求事項3.3.4(資源、役割、責任及び権限)及びJIPDECガイドラインでは、個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めておりますが、その役割、責任及び権限の箇所に、特定個人情報等を取扱う事務に従事する従業者(事務取扱担当者)を明確にする必要がございます。

2.番号法に基づき対応を必要とする事項

下記事項等においては、必ずしもプライバシーマークの要求事項には含まれておりませんが、法令遵守が前提であり、この事項に違反していることがあれば、要求事項3.3.2において指摘になる可能性がございますので、ご留意くださいませ。

(1)取得、利用及び提供に関する原則(要求事項3.4.2)

この要求事項においては、適法かつ公正な手段により個人情報を取得し、取得、利用及び提供の措置を記載しておりますが、個人情報保護法に基づき、利用目的を本人に通知することが求められており、かつ、番号法において利用範囲の制限事項があるので、本人の同意があったとしても目的外利用が原則禁じられている点にご注意ください。(個人番号を用いた従業員管理等)

また、提供においても、番号法に規定された場合を除き、個人番号を含む情報の提供は禁止されている点には注意が必要です。(グループ会社間での共有等は認められておりません)

まとめ

このように、マイナンバーはプライバシーマークと関係する部分があり、対応を疎かにしていれば、プライバシーマークの審査においてマイナンバーの取扱いに関する指摘が発生し、是正対応にも苦労される可能性がございます。

現地審査でどこまで詳細に確認されるかは、平成28年1月以降に明らかになりますが、少なくとも現段階でもこのように公表されております。

上記いかがでしょうか?今後のマイナンバー法施行への対応のイメージはできましたか?

マイナンバー法施行に伴い、マイナンバーの無料セミナーに参加してみたものの、概要や大雑把な回答ばかりで、実際自社でどのように対応したらよいのかが不明なまま、個人番号の通知が始まり、従業員の方からも質問が来ていて困っているという担当者様。
プライバシーマークのための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

下記よりお気軽にご相談ください!
経験豊富なISO総研のコンサルタントが皆様の疑問・不安を解消致します。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!


【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス