特定個人情報の取扱いの対応について(JIPDEC) | 京都で働くコンサルタントのブログ
2015-06-01 06:22:17

特定個人情報の取扱いの対応について(JIPDEC)

テーマ:情報セキュリティマネジメント
皆さん、こんにちは。
(株)マネジメント総研の小山です。

5月19日に、日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターから「特定個人情報の取扱いの対応について」が公表されました。

これは、事業者が、従業員等の特定個人情報(個人番号をその内容に含む個人情報)を、社会保障・税及び災害対策の分野における事務の実施に際して来年1月より取扱うことになることを受け、プライバシーマーク付与事業者、新規に付与を受けようとする事業者(以下、合わせて「P事業者」という)が、特定個人情報を取扱うに際して、要求事項に基づき対応を必要とする事項及び番号法に基づき対応を必要とする事項について示されたものです。


以下、各項目について要点をピックアップしてご紹介します。


1.要求事項に基づき対応を必要とする事項

(1) 個人情報の特定、リスクなどの認識、分析及び対策

  (要求事項3.3.1、3.3.3)
・特定個人情報は、個人情報の特定及びリスクの認識、分析及び対策の
 対象とすること。
・番号法の規定に反する取扱いをすることをリスクと認識し、リスク分析
 を踏まえて対策を講じ、PMSに反映すること。
・安全管理措置は、本資料2.(3)項をあわせて参照すること。

(2) 法令、国が定める指針その他の規範
(要求事項3.3.2)
・「番号法」及び「特定個人情報ガイドライン」を特定し参照する対象に
 加えること。

(3) 資源、役割、責任及び権限
(要求事項3.3.4)
・特定個人情報を取扱う事務に従事する従業者(事務取扱担当者)の
 役割、責任及び権限を明確に定め、文書化すること。



2.番号法に基づき対応を必要とする事項

(1) 取得、利用及び提供に関する原則
(要求事項3.4.2)
・番号法に基づく取得は要求事項のただし書きに該当するため要求事項
 に定める措置(本人の同意を得ること等)は求められないとも考え
 られるが、この場合も、個人情報保護法第18条に基づき、利用目的を
 本人に通知する等の措置を行わなければならない。
・個人番号の利用範囲は番号法第9条に示す範囲に限定されるため、
 本人の同意があっても、利用範囲を超えた利用は認められない。
・個人番号を含むデータベースを作成した場合や、既存のデータベース
 に個人番号を追加した場合は、当該データベースの利用の範囲に留意
 すること(番号法第28条にて、特定個人情報ファイルの作成は、個人
 番号利用事務、個人番号関係事務を処理するために必要な範囲に限定
 されている)。
・特定個人情報の提供は、番号法第19条に規定された場合を除き禁止。
 また、個人番号の共同利用も認められない。
・個人番号の提供を受ける場合、番号法第16条により、本人確認が義務
 付けられ、確認方法が規定されている。

(2) 正確性の確保
(要求事項3.4.3.1)
・個人情報の保管期間の設定について、特定個人情報は、番号法に定めた
 事務を行う場合を除き、保管ができないことに留意すること。

(3) 安全管理措置
(要求事項3.4.3.2)
・特定個人情報を取扱う場合の安全管理措置では、「特定個人情報ガイド
 ライン」において、個人番号の削除や特定個人情報を取扱う機器及び
 電子媒体等の廃棄は所管法令等における保存期間の経過時には速やかに
 削除・廃棄を行うこと等、要求事項では求められていない措置を講じな
 ければならないとする事項もあることに留意すること。

(4) 委託先の監督
(要求事項3.4.3.4)
・個人番号関係事務または個人番号利用事務の全部または一部を委託する
 場合、要求事項3.4.3.4で定める事項のほかに、「特定個人情報ガイド
 ライン」が示す事項(※)を契約書等に盛り込む必要がある。
 (※盛り込まなければならない事項)
  - 秘密保持義務
  - 事業所内からの特定個人情報の持出しの禁止
  - 特定個人情報の目的利用の禁止
  - 再委託における条件
  - 漏洩事案等が発生した場合の委託先の責任
  - 委託契約終了後の特定個人情報の返却又は廃棄
  - 従業者に対する監督・教育
  - 契約内容の遵守状況について報告を求める規定等
 (※盛り込むことが望ましい事項)
  - 特定個人情報を取扱う従業者の明確化
  - 委託者が委託先に対して実地の調査を行うことができる規定等

・番号法では、特定個人情報の再委託(再々委託を行う場合以降も同様)
 の際は、最初の委託元の許諾を得ることが求められていることに留意
 すること。


なお、“≪参考情報1≫JIS Q 15001:2006と、個人情報保護法、番号法及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」との関連”には、局面(取得、利用、提供、保管、安全管理措置、開示等)を軸に、「JIS Q 15001:2006」「個人情報保護法」「番号法」及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の関連項番が整理されています。


本日ご紹介した資料は、P事業者に関連する事項ではありますが、その他の事業者においても、特定個人情報の取扱いの対応要点を押さえる上で参考になると考えられます。

全6頁の資料ですので、ぜひご確認いただければと考えます。


▼番号法および特定個人情報ガイドラインへの対応について
(JIPDEC)
http://privacymark.jp/news/2015/0519/index.html
※上記に掲載の「特定個人情報の取扱いの対応について」(PDFファイル)
 http://privacymark.jp/reference/pdf/guideline_kaisetsu_150519.pdf


▼「特定個人情報」関連の当社過去記事

・特定個人情報の適正な取扱いに関するガイドライン(事業者編)
 <1>2015年2月1日配信
  http://ameblo.jp/management-souken/entry-11984133805.html
 <2>2015年2月16日配信
  http://ameblo.jp/management-souken/entry-11990417890.html
 <3>2015年3月1日配信
  http://ameblo.jp/management-souken/entry-11995853387.html
 <4>2015年3月16日配信
  http://ameblo.jp/management-souken/entry-12002105386.html



株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス