マイナンバーについて説明できますか?~個人情報保護法改正とPマーク~

いつもブログを見て頂きありがとうございます。
ISO総合研究所、大阪コンサルティング部の清水です。

この度のブログのテーマは、「マイナンバーについて説明できますか?~個人情報保護法改正とPマーク~」です。

マイナンバーって?

まず皆さんは、マイナンバーについて説明できますか?
ネット検索をせずに説明できる人はなかなか少ないのではないでしょうか?

では、まずマイナンバーとは何かからご説明していきます。

マイナンバーとは、日本に住民票を持っているすべての人(外国人の方たちも含まれます)が持つ12桁の数字番号のことです。
原則として、死ぬまで同じ番号を使用し、マイナンバーが漏えいしてしまい悪用される可能性があると認められる場合を除いて、基本的には変更することができないことになっているようです。

マイナンバーの使い道

ではそのマイナンバーは、何に使うのでしょうか?
マイナンバーの使い道について説明します。大きく分けると3つの場面で活躍が期待されているようです。

1つ目は社会保障
例えば、社会保険や公的扶助・社会福祉事業で活躍が期待されています。

2つ目は税金
例えば、納税者に対して利便性が向上します。

3つ目は災害対策です。
例えば、被災者生活の再建支援金の支給等に利用されます。

共通して言えるメリットは、多くの公共機関に存在する個人の情報が同一人の情報であることを確認するために活用できることです。

今までは、それぞれの機関内で、住民票や健康保険被保険者番号等を各番号で個人の情報を管理していました。その為、氏名、住所などで個人の特定に時間と労力を費やし、機関間でのやりとりにもかなりの項数を要していたようです。

そこで各機関で共通に利用できるような番号を導入することで、一個人の特定を確実にかつスムーズに行える。そこで導入されたのがマイナンバーというわけです。
実際に、行政機関の効率化が実現し、かなり多くの項数が削減されたようです。

マイナンバーの相談窓口

マイナンバーについてのご説明は以上にしようかと思うのですが、やはりこれで悩みを完全に解決できない人もいるかと思います。

お忘れの人もおられるかもしれませんが、私はあくまでも中小企業様にプライバシーマークの取得をサポートするコンサルタントです。
個人情報保護の観点からもマイナンバーについてもちろん見ています。

そこで、マイナンバーを取り扱う上での苦情の申し出先というものがありますので、紹介させて頂きます。
その名も「マイナンバー苦情斡旋相談窓口」です!
基本的には、マイナンバーの取扱いに関する苦情をお持ちの方なら、どなたでもご利用いただけます。

よくある相談例としては、

①事業者に苦情を伝えたが、対応してもらえない。
②事業者の苦情に対して物言いである、もしくはどうしたらよいか分からない。
③事業者にてマイナンバーが漏えいさせており、自分の情報が流出している可能性がある。

といった3つに分かれます。もう少しでも不安になるようでしたら、「マイナンバー苦情斡旋相談窓口」を上手に活用してください。

—————————————————–

マイナンバー苦情斡旋相談窓口
電話番号 03-6457-9585
受付時間 9:30~17:30 (土日祝日及び年末年始を除く)

—————————————————–

マイナンバーとプライバシーマーク審査

そんなマイナンバーですが、プライバシーマークの審査ではどのような観点で扱われているのでしょうか?
弊社は1853社のお客様をお手伝いしており近年の審査傾向やよくあがる指摘事項等がわかります。

この1年間で一番多かったマイナンバーに関する指摘はズバリ【個人情報の特定漏れ】です。
マイナンバーを会社で収集する際に一緒に取得する本人確認の書類やマイナンバーをデータ管理する際のファイル、またはシステムの特定漏れが多かったように思えます。

次に個人情報の特定漏れに付随して、【リスクの認識、分析及び対策が不十分】という指摘です。
リスク分析とは、

1.取得・入力
2.移送・送信
3.利用・加工
4.委託・提供
5.保管・バックアップ
6.廃棄

の各フローによって取扱う個人情報にどんなリスクがあるかを把握し、対策することです。

最近の事例では、“特定個人情報における廃棄時のリスク分析が不十分である”という指摘事項がありました。
誤廃棄などのリスクに対してマイナンバーの廃棄の際には廃棄の記録を取っておきましょうという指摘がありました。

最後に

私たちは、あくまでもプライバシーマークの取得のお手伝いをする専門コンサルタントです。
マイナンバーに特化した情報を提供する事は難しいですが、一個人情報としての取り扱い方や、保管方法など企業がプライバシーマークを取得する上で必要な措置をお教えすることは可能です。

個人情報保護法の改正が2017年5月に施行されています。マイナンバーに関する内容ももちろん盛り込まれた変更内容です。
企業内だけで悩まず、ぜひ私たちのようなプライバシーマークの専門家にご相談ください。

何をするときでも我流より専門家に聞いた方が、合理的かつ有効的だと私は考えております。
ぜひ、個人情報の取り扱い方やマイナンバーについて、個人情報保護法の改正やプライバシーマークの運用についてお悩みをお持ちの人は弊社、ISO総合研究所までお気軽にご相談くださいませ。

最後までお読みいただきありがとうございました。

\ お問い合わせフォームはこちら /

WEBお問い合わせ

Pマーク(プライバシーマーク)新規取得:マイナンバーが施行されたけど、関係あるの?

-shared-img-thumb-freee151108188680_TP_V
いつもご愛読ありがとうございます。ISO総合研究所の梅崎です。昨年から今年にかけて、マイナンバーについて対応を追われている企業様も多いかと思われます。マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)の施行日は平成27年10月5日。今現在、収集を始めている企業様、収集を終えた企業様、進捗は様々かと思われますが、今回はその中でも「プライバシーマークを新規取得予定・既に認証取得している」「マイナンバーについてそれほど準備が進んでいない」企業様へ、プライバシーマークの審査において、どのような指摘事例が発生しているかを紹介させていただきます。 

一般財団法人日本情報経済社会推進協会(JIPDEC)より、平成27年5月19日に、「番号法および特定個人情報ガイドラインへの対応について」が公表されておりますが、これはプライバシーマーク審査において、どのようにマイナンバーに関する法令が関わってくるか、また、プライバシーマークの要求事項に基づいて対応を必要とする事項の適用箇所について記載されております。

その資料と関連し、既に文書審査及び現地審査では指摘が出ております。

 

(1)個人情報の特定、リスクなどの認識、分析及び対策(要求事項3.3.1、3.3.3)

事業者が保有する個人情報のうち、特定個人情報(個人番号を含む個人情報)も、その洗い出しと、リスクの認識、分析、対策の対象とすることが求められております。対応として、自社で保有する個人情報で個人番号が記載されるものは何なのかを認識し、その情報を取扱う上でのリスクを認識し、番号法の規定に反することなく、取扱いを管理する必要があります。

上記に関し、個人情報の一覧における個人情報の項目、アクセス権限を有する者について、現在の個人番号取扱いを反映させる必要があります。例に挙げますと、仮に管理する情報として特定個人情報一覧を維持しているとすれば、アクセス権限者は事務取扱担当者、或いは事務取扱責任者と記載するなどがございます。

 

 

(2)法令、国が定める指針その他の規範(要求事項3.3.2)

この要求事項は参照が必須である法令等を認識し、特定するという要求事項ですが、少なくとも個人番号の利用が開始される平成28年1月以降は、その特定し参照する対象に番号法及び特定個人情報ガイドラインを加える必要があるというものです。

こちらに関しては、法規制の一覧に番号法及び特定個人情報ガイドラインを加えることで対応とできますが、追加していなければ指摘となります。

 

 

(3)資源、役割、責任及び権限(要求事項3.3.4)

要求事項3.3.4(資源、役割、責任及び権限)及びJIPDECガイドラインでは、個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めておりますが、その役割、責任及び権限の箇所に、特定個人情報等を取扱う事務に従事する従業者(事務取扱担当者)を明確にする必要がございます。

現在、文書審査において、現地確認事項又は指摘として挙がることが多いのが、3.3.4の資源、役割、責任及び権限です。規程の3.3.4に取扱事務責任者及び担当者を記載する必要がありますが、記載するだけと言っても、どのように記載すればいいかが解らないというお客様の声も頂いております。

 

 

また、上記三項目以外にも、今後は利用目的の適切な明示、公表がされていないという指摘や、委託先の監督において、特定個人情報に関する秘密保持契約を締結していない、という指摘も想定されます。

既にプライバシーマークにおいてマイナンバーの取扱いが確認され始めている一方、本業の傍らで学習を重ね、マイナンバーに関する知識は十分で取扱いは問題ない、という企業様は、それほど多くないと感じております。当然ながら本業のお仕事が優先順位として高い位置にあり、マイナンバーについては法的な要求といえども、その法令に基づき実施しなければならない事項への理解を深めるということを、最優先として取り組むことは本業がある以上、容易ではないかと存じます。

 

しかし、結果としてこのように、マイナンバーはプライバシーマークと関係する部分があり、対応を疎かにしていれば、プライバシーマークの審査においてマイナンバーの取扱いに関する指摘が発生し、是正対応にも苦労される可能性がございます。

 

上記いかがでしょうか?マイナンバー法施行に伴い、通常の業務でお忙しい中マイナンバーの無料セミナーに参加してみたものの、概要や大雑把な回答ばかりで、実際自社でどのように対応したらよいのかが不明なまま、個人番号の通知が始まり、従業員の方からも質問が来ていて困っているという担当者様。プライバシーマークのための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。

マイナンバー対応はプライバシーマークの審査でも関わってくるの?

 

いつもご愛読ありがとうございます。

ISO総合研究所のコンサルタントの梅崎です。

 

今年はマイナンバーについて対応を追われている企業様も多いかと思われます。

マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)の施行日は平成27年10月5日。

既に個人番号が通知された地域、既に収集を始めている企業様、進捗は様々かと思われますが、

今回はその中でも「プライバシーマークを新規取得予定・既に認証取得している」「マイナンバーについてそれほど準備が進んでいない」企業様へ、

プライバシーマークの審査において、どのようにマイナンバーへの対応が確認されるかをご説明させていただきます。

 

一般財団法人日本情報経済社会推進協会(JIPDEC)より、平成27年5月19日に、

「番号法および特定個人情報ガイドラインへの対応について」が公表されておりますが、

これはプライバシーマーク審査において、どのようにマイナンバーに関する法令が関わってくるか、

また、プライバシーマークの要求事項に基づいて対応を必要とする事項の適用箇所について記載されたものです。こちらの公表資料を基にお話し致します。

 

 

1.要求事項に基づき対応を必要とする事項

 

(1)個人情報の特定、リスクなどの認識、分析及び対策(要求事項3.3.1、3.3.3)

 この要求事項は、事業者が保有する個人情報を洗い出し、取扱いにおいてどのようなリスクが考え得るか。また、自社がそのリスクに対してどのように対応しているか、対策を講じているかを特定するというものです。

その事業者が保有する個人情報のうち、特定個人情報(個人番号を含む個人情報)も、その洗い出しと、リスクの認識、分析、対策の対象とすることが求められております。対応として、自社で保有する個人情報で個人番号が記載されるものは何なのかを認識し、その情報を取扱う上でのリスクを認識し、番号法の規定に反することなく、取扱いを管理する必要があります。

 

 

(2)法令、国が定める指針その他の規範(要求事項3.3.2)

 この要求事項は参照が必須である法令等を認識し、特定するという要求事項ですが、少なくとも個人番号の利用が開始される平成28年1月以降は、その特定し参照する対象に番号法及び特定個人情報ガイドラインを加える必要があるというものです。(利用が始まる前に把握し、特定すべきであるという観点から、既に指摘になるケースもございます。)

 

 

(3)資源、役割、責任及び権限(要求事項3.3.4)

 要求事項3.3.4(資源、役割、責任及び権限)及びJIPDECガイドラインでは、個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めておりますが、その役割、責任及び権限の箇所に、特定個人情報等を取扱う事務に従事する従業者(事務取扱担当者)を明確にする必要がございます。

 

 

2.番号法に基づき対応を必要とする事項

下記事項等においては、必ずしもプライバシーマークの要求事項には含まれておりませんが、法令遵守が前提であり、この事項に違反していることがあれば、要求事項3.3.2において指摘になる可能性がございますので、ご留意くださいませ。

 

(1)取得、利用及び提供に関する原則(要求事項3.4.2)

 この要求事項においては、適法かつ公正な手段により個人情報を取得し、取得、利用及び提供の措置を記載しておりますが、個人情報保護法に基づき、利用目的を本人に通知することが求められており、かつ、番号法において利用範囲の制限事項があるので、本人の同意があったとしても目的外利用が原則禁じられている点にご注意ください。(個人番号を用いた従業員管理等)

 また、提供においても、番号法に規定された場合を除き、個人番号を含む情報の提供は禁止されている点には注意が必要です。(グループ会社間での共有等は認められておりません)

 

このように、マイナンバーはプライバシーマークと関係する部分があり、対応を疎かにしていれば、プライバシーマークの審査においてマイナンバーの取扱いに関する指摘が発生し、是正対応にも苦労される可能性がございます。

現地審査でどこまで詳細に確認されるかは、平成28年1月以降に明らかになりますが、少なくとも現段階でもこのように公表されております。

 

上記いかがでしょうか?今後のマイナンバー法施行への対応のイメージはできましたか?

マイナンバー法施行に伴い、マイナンバーの無料セミナーに参加してみたものの、概要や大雑把な回答ばかりで、実際自社でどのように対応したらよいのかが不明なまま、個人番号の通知が始まり、従業員の方からも質問が来ていて困っているという担当者様。プライバシーマークのための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。