Pマーク(プライバシーマーク)新規取得:マイナンバーが施行されたけど、関係あるの?

-shared-img-thumb-freee151108188680_TP_V
いつもご愛読ありがとうございます。ISO総合研究所の梅崎です。昨年から今年にかけて、マイナンバーについて対応を追われている企業様も多いかと思われます。マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)の施行日は平成27年10月5日。今現在、収集を始めている企業様、収集を終えた企業様、進捗は様々かと思われますが、今回はその中でも「プライバシーマークを新規取得予定・既に認証取得している」「マイナンバーについてそれほど準備が進んでいない」企業様へ、プライバシーマークの審査において、どのような指摘事例が発生しているかを紹介させていただきます。 

一般財団法人日本情報経済社会推進協会(JIPDEC)より、平成27年5月19日に、「番号法および特定個人情報ガイドラインへの対応について」が公表されておりますが、これはプライバシーマーク審査において、どのようにマイナンバーに関する法令が関わってくるか、また、プライバシーマークの要求事項に基づいて対応を必要とする事項の適用箇所について記載されております。

その資料と関連し、既に文書審査及び現地審査では指摘が出ております。

 

(1)個人情報の特定、リスクなどの認識、分析及び対策(要求事項3.3.1、3.3.3)

事業者が保有する個人情報のうち、特定個人情報(個人番号を含む個人情報)も、その洗い出しと、リスクの認識、分析、対策の対象とすることが求められております。対応として、自社で保有する個人情報で個人番号が記載されるものは何なのかを認識し、その情報を取扱う上でのリスクを認識し、番号法の規定に反することなく、取扱いを管理する必要があります。

上記に関し、個人情報の一覧における個人情報の項目、アクセス権限を有する者について、現在の個人番号取扱いを反映させる必要があります。例に挙げますと、仮に管理する情報として特定個人情報一覧を維持しているとすれば、アクセス権限者は事務取扱担当者、或いは事務取扱責任者と記載するなどがございます。

 

 

(2)法令、国が定める指針その他の規範(要求事項3.3.2)

この要求事項は参照が必須である法令等を認識し、特定するという要求事項ですが、少なくとも個人番号の利用が開始される平成28年1月以降は、その特定し参照する対象に番号法及び特定個人情報ガイドラインを加える必要があるというものです。

こちらに関しては、法規制の一覧に番号法及び特定個人情報ガイドラインを加えることで対応とできますが、追加していなければ指摘となります。

 

 

(3)資源、役割、責任及び権限(要求事項3.3.4)

要求事項3.3.4(資源、役割、責任及び権限)及びJIPDECガイドラインでは、個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めておりますが、その役割、責任及び権限の箇所に、特定個人情報等を取扱う事務に従事する従業者(事務取扱担当者)を明確にする必要がございます。

現在、文書審査において、現地確認事項又は指摘として挙がることが多いのが、3.3.4の資源、役割、責任及び権限です。規程の3.3.4に取扱事務責任者及び担当者を記載する必要がありますが、記載するだけと言っても、どのように記載すればいいかが解らないというお客様の声も頂いております。

 

 

また、上記三項目以外にも、今後は利用目的の適切な明示、公表がされていないという指摘や、委託先の監督において、特定個人情報に関する秘密保持契約を締結していない、という指摘も想定されます。

既にプライバシーマークにおいてマイナンバーの取扱いが確認され始めている一方、本業の傍らで学習を重ね、マイナンバーに関する知識は十分で取扱いは問題ない、という企業様は、それほど多くないと感じております。当然ながら本業のお仕事が優先順位として高い位置にあり、マイナンバーについては法的な要求といえども、その法令に基づき実施しなければならない事項への理解を深めるということを、最優先として取り組むことは本業がある以上、容易ではないかと存じます。

 

しかし、結果としてこのように、マイナンバーはプライバシーマークと関係する部分があり、対応を疎かにしていれば、プライバシーマークの審査においてマイナンバーの取扱いに関する指摘が発生し、是正対応にも苦労される可能性がございます。

 

上記いかがでしょうか?マイナンバー法施行に伴い、通常の業務でお忙しい中マイナンバーの無料セミナーに参加してみたものの、概要や大雑把な回答ばかりで、実際自社でどのように対応したらよいのかが不明なまま、個人番号の通知が始まり、従業員の方からも質問が来ていて困っているという担当者様。プライバシーマークのための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。

マイナンバー対応はプライバシーマークの審査でも関わってくるの?

 

いつもご愛読ありがとうございます。

ISO総合研究所のコンサルタントの梅崎です。

 

今年はマイナンバーについて対応を追われている企業様も多いかと思われます。

マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)の施行日は平成27年10月5日。

既に個人番号が通知された地域、既に収集を始めている企業様、進捗は様々かと思われますが、

今回はその中でも「プライバシーマークを新規取得予定・既に認証取得している」「マイナンバーについてそれほど準備が進んでいない」企業様へ、

プライバシーマークの審査において、どのようにマイナンバーへの対応が確認されるかをご説明させていただきます。

 

一般財団法人日本情報経済社会推進協会(JIPDEC)より、平成27年5月19日に、

「番号法および特定個人情報ガイドラインへの対応について」が公表されておりますが、

これはプライバシーマーク審査において、どのようにマイナンバーに関する法令が関わってくるか、

また、プライバシーマークの要求事項に基づいて対応を必要とする事項の適用箇所について記載されたものです。こちらの公表資料を基にお話し致します。

 

 

1.要求事項に基づき対応を必要とする事項

 

(1)個人情報の特定、リスクなどの認識、分析及び対策(要求事項3.3.1、3.3.3)

 この要求事項は、事業者が保有する個人情報を洗い出し、取扱いにおいてどのようなリスクが考え得るか。また、自社がそのリスクに対してどのように対応しているか、対策を講じているかを特定するというものです。

その事業者が保有する個人情報のうち、特定個人情報(個人番号を含む個人情報)も、その洗い出しと、リスクの認識、分析、対策の対象とすることが求められております。対応として、自社で保有する個人情報で個人番号が記載されるものは何なのかを認識し、その情報を取扱う上でのリスクを認識し、番号法の規定に反することなく、取扱いを管理する必要があります。

 

 

(2)法令、国が定める指針その他の規範(要求事項3.3.2)

 この要求事項は参照が必須である法令等を認識し、特定するという要求事項ですが、少なくとも個人番号の利用が開始される平成28年1月以降は、その特定し参照する対象に番号法及び特定個人情報ガイドラインを加える必要があるというものです。(利用が始まる前に把握し、特定すべきであるという観点から、既に指摘になるケースもございます。)

 

 

(3)資源、役割、責任及び権限(要求事項3.3.4)

 要求事項3.3.4(資源、役割、責任及び権限)及びJIPDECガイドラインでは、個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めておりますが、その役割、責任及び権限の箇所に、特定個人情報等を取扱う事務に従事する従業者(事務取扱担当者)を明確にする必要がございます。

 

 

2.番号法に基づき対応を必要とする事項

下記事項等においては、必ずしもプライバシーマークの要求事項には含まれておりませんが、法令遵守が前提であり、この事項に違反していることがあれば、要求事項3.3.2において指摘になる可能性がございますので、ご留意くださいませ。

 

(1)取得、利用及び提供に関する原則(要求事項3.4.2)

 この要求事項においては、適法かつ公正な手段により個人情報を取得し、取得、利用及び提供の措置を記載しておりますが、個人情報保護法に基づき、利用目的を本人に通知することが求められており、かつ、番号法において利用範囲の制限事項があるので、本人の同意があったとしても目的外利用が原則禁じられている点にご注意ください。(個人番号を用いた従業員管理等)

 また、提供においても、番号法に規定された場合を除き、個人番号を含む情報の提供は禁止されている点には注意が必要です。(グループ会社間での共有等は認められておりません)

 

このように、マイナンバーはプライバシーマークと関係する部分があり、対応を疎かにしていれば、プライバシーマークの審査においてマイナンバーの取扱いに関する指摘が発生し、是正対応にも苦労される可能性がございます。

現地審査でどこまで詳細に確認されるかは、平成28年1月以降に明らかになりますが、少なくとも現段階でもこのように公表されております。

 

上記いかがでしょうか?今後のマイナンバー法施行への対応のイメージはできましたか?

マイナンバー法施行に伴い、マイナンバーの無料セミナーに参加してみたものの、概要や大雑把な回答ばかりで、実際自社でどのように対応したらよいのかが不明なまま、個人番号の通知が始まり、従業員の方からも質問が来ていて困っているという担当者様。プライバシーマークのための作業を減らしたいが、どのようにすればよいのかわからないという企業様、担当者様。

是非一度弊社にお問い合わせ下さいませ。50社の担当を持つ、経験豊富なコンサルタントが御社へお伺いさせて頂き、ご説明させていただきます。