制度案内

TOP > 制度案内 > PMS構築・運用 > マイナンバー対応 > マイナンバーのQ&A

マイナンバーのQ&A

特定個人情報の取扱いの対応についてのQ&Aをまとめています。
下記の指針とあわせて、ご確認ください。

特定個人情報の取扱いの対応について (287KB:2015年5月19日公表、2016年2月12日一部改正、2018年9月12日改正)

1. 番号法の対応全般について

  質問 回答
1-1 マイナンバー制度において、プライバシーマーク付与を受けようとする事業者(更新申請、新規申請を含む)が対応すべきことは何でしょうか。 マイナンバー制度により、事業者は、特定個人情報(個人番号をその内容に含む個人情報)を取り扱うことになります。
特定個人情報は個人情報の一つであり、「JIS Q 15001」の適用を受けるのみならず、番号法および個人情報保護委員会の定める「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づく対応も求められます。
このため、当センターでは、プライバシーマーク付与を受けようとする事業者(更新申請、新規申請を含む)が特定個人情報を取り扱うに際し、特に対応を必要とする事項とその他の留意すべき事項につき、とりまとめたものを「特定個人情報の取扱いの対応について」として公表しています。
まずは、この内容をご確認ください。
1-2 「特定個人情報の取扱いの対応について」は、全てのプライバシーマーク指定審査機関が行う審査に適用されるものですか。 適用されます。
 「特定個人情報の取扱いの対応について」は、プライバシーマーク付与機関が定める指針にあたります。プライバシーマーク指定審査機関は、プライバシーマーク付与機関が定める指針に基づき審査を行なうことが定められています(「プライバシーマーク指定審査機関指定基準(PMK210)」4.3(審査基準))。
1-3 プライバシーマーク指定審査機関により、マイナンバー制度に関わる審査基準に違いはありますか。 原則として、審査基準の違いはありません。
なお、プライバシーマーク指定審査機関は、プライバシーマーク付与機関の承認を受けて、審査機関ガイドラインを審査基準に含めることができます(「プライバシーマーク制度基本要領(PMK100)」第7条5)。現在、マイナンバー制度に係る審査基準について、プライバシーマーク付与機関が承認した審査機関ガイドラインはありません。
1-4 プライバシーマーク付与事業者の内部規程や帳票につき、マイナンバーに対応するためのサンプル等は公表されていますか。 当センターは第三者認証を行う立場であり、内部規程や帳票のサンプル等は公表していません。
1-5 プライバシーマーク付与事業者は、通常の個人情報保護のための内部規程の他に、番号法のための内部規程を別途設けるべきですか。 「JIS Q 15001」では、個人情報保護マネジメントシステムに関する内部規程を文書で記述することを求めています(規格A.3.3.5)が、内部規程の構成を指定するものではありません。よって、必ずしも番号法のために別途に内部規程を設けなくてはならないということではなく、これまで個人情報保護のために設けてきた内部規程を見直し、必要に応じて改訂することでも対応は可能と考えます。
1-6 プライバシーマーク付与事業者である当社が、個人情報保護のための内部規程とは別に、番号法のために規程を新たに策定する場合、留意点はありますか。 別途番号法のために規程を策定する場合は、個人情報保護のための内部規程との関係を明確にし、特定個人情報も、確実に「JIS Q 15001」の求める個人情報保護マネジメントシステムで管理する必要があります。具体的には、 「特定個人情報の取扱いの対応について」を参照してください。

2. 「特定個人情報の取扱いの対応について」について

2-1.個人情報の特定、リスクアセスメント及びリスク対策(規格A.3.3.1、A.3.3.3)

  質問 回答
2-1-1 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)等では、特定個人情報の提示を受けただけでは「収集」に該当しないとしています。この場合、「JIS Q 15001」においても、管理対象外となりますか。 個人情報を閲覧するが保管はしない場合においても、「JIS Q 15001」においては個人情報の特定(規格A.3.3.1)の対象となります。特定個人情報についても同様です。
「JIS Q 15001」はマネジメントシステム規格であり、事業者の管理能力を高めることを主旨としています。
よって、「閲覧のみであるので管理対象外である」ではなく、個人情報の特定の対象とすることにより「閲覧のみの個人情報について、リスクは存在するか」というリスク認識につなげることとなります(規格A.3.3.3)。

2-2. 法令、国が定める指針その他の規範(規格A.3.3.2)

  質問 回答
2-2-1 「特定個人情報の取扱いの対応について」では、プライバシーマーク付与を受けようとする事業者が対応すべき事項として、「規格B.3.2.2を参照して自社で特定し参照する対象となる法令等を見直すことが必要である」としていますが、付与適格性審査では具体的にどのような点が審査されるのでしょうか。 付与適格性審査では、法令等を特定し参照できる手順を内部規程として定めていること、内部規程に基づき法令等を特定し参照していることを確認します。

2-3.資源、役割、責任及び権限(規格A.3.3.4)

  質問 回答
2-3-1 事務取扱担当者の役割、責任及び権限を文書化し、規程に反映するにあたり、社内における職務名称を「事務取扱担当者」とすることは必須ですか。 プライバシーマーク制度としては、特定の職務名称が必須ということではありません。ただし、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要があります。
2-3-2 事務取扱担当者は、当社の総務・経理部門の担当者とすることでよいですか。 プライバシーマーク制度として事務取扱担当者が所属する部門を指定するものではありませんが、貴社の従業者や支払先の特定個人情報等を取り扱う事務に従事する担当者(例えば、総務・経理部門の担当者)を事務取扱担当者とすることは、実務上の観点からは問題はないと考えられます。
ただし、貴社が個人番号関係事務を受託する立場にある場合は、委託元の特定個人情報等を取り扱う事務に従事する担当者も事務取扱担当者と同等であると考えられます。この場合の担当者は、実務上の観点からは必ずしも総務・経理部門の担当者に限定されないといえます。
2-3-3 個人番号関係事務の代行サービスを利用するため、社内における個人番号の取得や保管等は発生しません。この場合も「事務取扱担当者」を定める必要がありますか。 他社が提供する個人番号関係事務の代行サービスを利用する等により個人番号関係事務の全部を委託する場合も、プライバシーマーク付与事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化した上で、担当者を設置することが原則です。文書化にあたっては、個人番号関係事務の委託先の監督を役割、責任及び権限に含める必要があります。
個人番号関係事務の全部を委託するために事務取扱担当者が設置しづらい場合であっても、当該事務委託先の監督を担当する者が明確である必要があります。(例:個人情報保護管理者の役割、責任及び権限として、個人情報の取扱いの委託先の監督が含まれ、文書化されている等)

2-4.安全管理措置(規格A.3.4.3.2)

  質問 回答
2-4-1 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)では「特定個人情報等を取り扱う区域の管理」が求められますが、プライバシーマーク付与事業者が留意すべき事項はありますか。 事業所内で設定した区域外に特定個人情報等を移送・送信する場合のリスクを見直し、リスク分析を踏まえて対策を講じ、貴社の個人情報保護マネジメントシステムに反映することが求められます。これに伴い、貴社内の規程の改訂が必要となる場合もあります。
2-4-2 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)で求められる「特定個人情報等を取り扱う事務を実施する区域」(取扱区域)は、当社の総務・経理部門の執務区域に設定することでよいですか。 プライバシーマーク制度として貴社内における取扱区域を指定するものではありませんが、貴社の従業者や支払先の特定個人情報等を取り扱う事務取扱担当者が所属する部門(例えば、総務・経理部門の執務区域)を取扱区域とすることは、実務上の観点からは問題はないと考えられます。
ただし、貴社が個人番号関係事務または個人番号利用事務を受託する立場にある場合は、委託元の特定個人情報等を取り扱う事務を実施する区域も取扱区域と同等であると考えられます。この場合の区域は、実務上の観点からは必ずしも総務・経理部門の執務区域に限定されないといえます。
 
2-4-3 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)で求められる「特定個人情報ファイルを取り扱う情報システムを管理する区域」(管理区域)は、当社の従業者や支払先の特定個人情報ファイルを取り扱う情報システムを管理する区域に設定することで足りますか。 プライバシーマーク制度として貴社内における管理区域を指定するものではありませんが、貴社が個人番号関係事務または個人番号利用事務を受託する立場にある場合は、委託元の特定個人情報ファイルを管理する区域も管理区域と同等であると考えられます。

2-5.委託先の監督(規格A3.4.3.4)

  質問 回答
2-5-1 マイナンバー対応を支援する目的でクラウドサービスを提供します。当該サービスの提供により顧客から預かる情報は、「事業の用に供する個人情報」ですか。そうである場合、プライバシーマーク付与事業者は、どのような対応が求められますか。 「事業の用に供する個人情報」です。受託者は、個人情報(個人番号を含む)を取り扱う仕組みを顧客に提供しており、顧客から預かる情報に個人情報(個人番号を含む)が格納されることが明らかであるためです。
この場合、プライバシーマーク付与事業者には、顧客から預かる情報についても「JIS Q 15001」に基づく措置が求められます。また、個人番号については、当センター「特定個人情報の取扱いの対応について」を踏まえて取り扱う必要があります。
2-5-2 ハードウェア、ソフトウェア保守サービスを提供していますが、個人番号を含む電子データは取り扱わないこととし、その旨を顧客との契約条項に定めています。この場合も、当該サービスを提供するプライバシーマーク付与事業者は何らかの対応が求められますか。 顧客から預かる情報に対し、リスクに応じた安全管理措置を講じることが求められます。受託者は、顧客から預かる情報に個人情報(個人番号含む)が含まれるリスクが否定できないと考えられます。顧客との契約条項の定めは、このような個人情報の取扱い上のリスクをふまえた対策のひとつといえます。  
2-5-3 特定個人情報を取り扱う情報システムについて、適切なアクセス制御の上で外部の事業者のハードウェア、ソフトウェア保守サービスを活用する場合、「JIS Q 15001」A.3.4.3.4に基づく委託先の監督の対象となりますか。 外部事業者が提供する保守サービスの種類によらず、「JIS Q 15001」A3.4.3.4の委託先の監督の対象となります。
規格A.3.4.3.4においては、外部の事業者に対しアクセス制御を行うことにより当該事業者が委託先の監督の対象からはずれるのではなく、委託する個人情報の安全管理(アクセス制御を行う等)を図るために監督を行うとお考えください。
 
2-5-4 特定個人情報の受け渡しについて、業務の全部または一部を配送業者等業者に委託する場合、「JIS Q 15001」A.3.4.3.4に基づく委託先の監督の対象となりますか。 個人番号関係事務または個人番号利用事務の委託であるかどうかによらず、個人情報の移送・送信局面での委託であれば、「JIS Q 15001」A.3.4.3.4の委託先の監督の対象となります。
規格A.3.4.3.4では委託先の選定や契約等が求められますが、配送業者との契約は、約款による場合があります。この場合、事業者は、約款の内容を確認し、その内容が「JIS Q 15001」が要求する保護水準に満たない場合は、委託者自らがリスクに基づく対策を講じる必要があります。
 
2-5-5 特定個人情報の保管を、クラウドサービスを利用して行う場合、クラウドサービス事業者は「JIS Q 15001」A.3.4.3.4に基づく委託先の監督の対象となりますか。 個人番号関係事務または個人番号利用事務の委託であるかどうかによらず、クラウドサービス事業者に個人情報が含まれるかを認識させることなく預ける場合も、委託者は預ける情報に個人情報が含まれることを認識しており、「JIS Q 15001」A.3.4.3.4の委託先の監督の対象となります。
規格A.3.4.3.4では委託先の選定や契約等が求められますが、クラウドサービス事業者との契約は、約款による場合があります。この場合、事業者は、約款の内容を確認し、その内容が「JIS Q 15001」が要求する保護水準に満たない場合は、委託者自らがリスクに基づく対策を講じる必要があります。
 
2-5-6 個人番号関係事務の全部を委託するため、自社で特定個人情報を取り扱っていません。この場合、プライバシーマーク付与事業者として何か行うべきことはありますか? 個人番号関係事務の代行サービスの利用等により個人番号関係事務の全部を委託する場合、当該委託先に対し、規格A.3.4.3.4による委託先の監督が求められます。また、委託先の監督だけではなく、「JIS Q 15001」の各要求事項に対応する必要があります。 自社内で特定個人情報を取り扱う作業を行わない(保管等が発生しない)場合であっても、貴社が行う事務を委託している場合は、「JIS Q 15001」の管理対象となります。
個人番号関係事務の全部を委託する場合の事務取扱担当者の設置については、2-3-3を参照してください。 特定個人情報の保管等が発生しない場合の、個人情報の特定(規格A.3.3.1)とリスク認識リスクアセスメント(規格A.3.3.3)については、2-5-1を参照してください。
 
ページトップへ戻る