特定個人情報の取扱いの対応について

Similar documents
特定個人情報の取扱いの対応について

14個人情報の取扱いに関する規程

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

はじめてのマイナンバーガイドライン(事業者編)

一般社団法人北海道町内会連合会定款変更(案)

社長必見≪ここがポイント≫マイナンバーガイドライン(事業者編)

個人情報保護規程例 本文

個人情報の保護に関する規程(案)

特定個人情報等取扱規程

マイナンバー制度 実務対応 チェックリスト

しなければならない 2. 乙は プライバシーマーク付与の更新を受けようとするときは プライバシーマーク付与契約 ( 以下 付与契約 という ) 満了の8ヶ月前の日から付与契約満了の4 ヶ月前の日までに 申請書等を甲に提出しなければならない ただし 付与契約満了の4ヶ月前の日までにプライバシーマーク付

管理区分 非管理版 文書番号 PMS-007 制定年月日 改訂年月日 改訂番号 1 購入希望の場合は P マークの取得及び更新に必須となる文書のサンプルです ページ最後の購入方法をご確認ください 修正可能なワードファイルで提供して

特定個人情報の取扱いに関するモデル契約書 平成27年10月

【事務連絡】特定個人情報の漏えい時の対応(業界団体あて)

東レ福祉会規程・規則要領集

文書管理番号

事業者が行うべき措置については 匿名加工情報の作成に携わる者 ( 以下 作成従事者 という ) を限定するなどの社内規定の策定 作成従事者等の監督体制の整備 個人情報から削除した事項及び加工方法に関する情報へのアクセス制御 不正アクセス対策等を行うことが考えられるが 規定ぶりについて今後具体的に検討

特定個人情報取扱規程 ( 目的 ) 第 1 条社会福祉法人埼玉県社会福祉協議会 ( 以下 本会 という ) は 個人 番号及び特定個人情報を適正に取り扱うことを目的として 本規程を定める ( 用語の定義 ) 第 2 条本規程における用語の定義は 次の各号に定めるところによる (1) 番号法行政手続に

事務ガイドライン ( 第三分冊 )13 指定信用情報機関関係新旧対照表 Ⅰ-2 業務の適切性 現行改正後 ( 案 ) Ⅰ-2 業務の適切性 Ⅰ-2-4 信用情報提供等業務の委託業務の効率化の観点から 内閣総理大臣 ( 金融庁長官 ) の承認を受けて信用情報提供等業務の一部を委託することが可能とされて

個人情報保護規定

劇場演出空間技術協会 個人情報保護規程

特定個人情報保護評価指針の概要

中小企業向け はじめてのマイナンバーガイドライン

2015 年 2 月 13 日版 わかる! マイナンバー 特定個人情報取扱い ガイドライン 株式会社ワイイーシーソリューションズ 本資料について 本内容は 2014 年 12 月末時点の政府などの公開情報をもとに 当社の解釈にて作成しておりますので 今後の法改正 制度設計等により変更になる可能性があ

< F2D8EE888F882AB C8CC2906C>


特定個人情報等取扱規程 ( 目的 ) 第 1 条本規程は 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 及び 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) に基づき 会社の取り扱う特定個人情報等の適正な取扱いを確保することを目的

3 参照基準次に掲げる基準は この基準に引用される限りにおいて この基準の一部となる - プライバシーマーク付与適格性審査実施規程 - プライバシーマーク制度における欠格事項及び判断基準 (JIPDEC) 4 一般要求事項 4.1 組織 審査業務の独立性審査機関は 役員の構成又は審査業務

制定 : 平成 24 年 5 月 30 日平成 23 年度第 4 回理事会決議施行 : 平成 24 年 6 月 1 日 個人情報管理規程 ( 定款第 65 条第 2 項 ) 制定平成 24 年 5 月 30 日 ( 目的 ) 第 1 条この規程は 定款第 66 条第 2 項の規定に基づき 公益社団法

Microsoft Word - ○指針改正版(101111).doc

privacy/index.html 事業者において 従業員等の特定個人情報の漏えい事案等が発生した場合 当該事業者は事案等に応じて 都道府県労働局

特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 岩手県建設業厚生年金基金 ( 以下 当厚生年金基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本

プライバシーマーク付与適格性審査基準(2018年7月17日版)

日本赤十字社企業年金基金特定個人情報等取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 日本赤十字社企業年金基金 ( 以下 当基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義

公益財団法人岩手県南技術研究センター特定個人情報取扱規程 平成 28 年 4 月 1 日制定 規程第 14 号 第 1 章目的等 ( 目的 ) 第 1 条この規程は 公益財団法人岩手県南技術研究センター ( 以下 センター という ) が 行政手続における特定の個人を識別するための番号の利用等に関す

プライバシーマーク付与適格性審査に関する約款

( 審査の申請 ) 第 5 条甲は プライバシーマーク付与適格性審査の実施基準 に基づき 付与適格性審査を申請した者 ( 以下 乙 という ) の審査を行う 乙は 甲が定めるところにより 付与適格性審査にかかわる申請書及び申請書類 ( 以下 申請書等 という ) を甲に提出しなければならない 2 乙

<4D F736F F D D30342E5F8CC2906C8FEE95F182CC8EE688B582A282C98AD682B782E DF81418D9182AA92E882DF82E98E77906A82BB82CC91BC8

東京 SR 経営労務センター 特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 東京 SR 経営労務センター ( 以下 当センター という ) が個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする (

privacypolicy

社会福祉法人○○会 個人情報保護規程

CSAJ審査機関関連規程

個人情報の取り扱いに関する規程

利用者情報管理規程

個人情報保護規程 株式会社守破離 代表取締役佐藤治郎 目次 第 1 章総則 ( 第 1 条 - 第 3 条 ) 第 2 章個人情報の利用目的の特定等 ( 第 4 条 - 第 6 条 ) 第 3 章個人情報の取得の制限等 ( 第 7 条 - 第 8 条 ) 第 4 章個人データの安全管理 ( 第 9

<8B4B92F681458CC2906C8FEE95F195DB8CEC2E786C7378>

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

第 1 章総則 ( 目的 ) 第 1 条本規程は 日立国際電気企業年金基金 ( 以下 基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本規程において 個人情報 とは 個

個人情報保護規程

PMK520合併・分社等に伴うプライバシーマーク付与の地位の継続に関する手順

情報漏えい事案等対応手続(中小規模事業者用)

必要となる教育を行うとともに 実施結果について指定する書面により甲に提出しなければならない 第 10 条乙は 甲がこの特記事項の遵守に必要となる教育を実施するときは これを受けなければならない ( 知り得た情報の保持の義務 ) 第 11 条乙は 本契約の履行に当たり知り得た受託情報を第三者に漏らして

特定個人情報取扱要領 ( 目的 ) 第 1 条この要領は この組合の 個人情報保護方針 および 特定個人情報取扱規程 ( 以下 規程 という ) に基づき この組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

社会福祉法人春栄会個人情報保護規程 ( 目的 ) 第 1 条社会福祉法人春栄会 ( 以下 本会 という ) は 基本理念のもと 個人情報の適正な取り扱いに関して 個人情報の保護に関する法律 及びその他の関連法令等を遵守し 個人情報保護に努める ( 利用目的の特定 ) 第 2 条本会が個人情報を取り扱

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

独立行政法人農業者年金基金個人情報保護管理規程

個人情報管理規程

特定個人情報取扱細則 ( 目的 ) 第 1 条この細則は 当組合の個人情報保護方針及び特定個人情報取扱規程 ( 以下 規程 という ) 等に基づき 当組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条この細則で

第 4 条 ( 取得に関する規律 ) 本会が個人情報を取得するときには その利用目的を具体的に特定して明示し 適法かつ適正な方法で行うものとする ただし 人の生命 身体又は財産の保護のために緊急に必要がある場合には 利用目的を具体的に特定して明示することなく 個人情報を取得できるものとする 2 本会

Microsoft Word

ください 5 画像の保存 取扱い防犯カメラの画像が外部に漏れることのないよう 一定のルールに基づき慎重な管理を行ってください (1) 取扱担当者の指定防犯カメラの設置者は 必要と認める場合は 防犯カメラ モニター 録画装置等の操作を行う取扱担当者を指定してください この場合 管理責任者及び取扱担当者

<4D F736F F D C192E88CC2906C8FEE95F18EE688B58B4B91A5208AAE90AC94C5>

情報保護マネジメントシステムの採用は 印刷事業者の戦略的決定によるものであり 利害関係者からの信頼を得られるという価値をもたらします 印刷事業者の個人情報保護マネジメントシステムの確立及び実施においては その印刷事業者のニーズ及び目的 印刷事業者の外部及び内部からの課題を把握し 個人情報保護の要求事

特定個人情報取扱規程

Microsoft Word - 個人情報管理規程(案)_(株)ふるさと創生研究開発機構(2016年1月27日施行).doc

藤女子大学個人番号及び特定個人情報取扱規程 学長裁定 2015 年 11 月 17 日改正 2017 年 4 月 1 日 第 1 章総則 ( 目的 ) 第 1 条この規程は 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年法律第 27 号 以下 番号法 という

個人情報保護規程

(I12) 土木学会特定個人情報取扱規程 平成 28 年 1 月 22 日制定 ( 目的 ) 第 1 条本規程は 公益社団法人土木学会 ( 以下 学会 という ) における 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 個人情報の保護に関する法律

日商PC検定用マイナンバー_参考資料

プライバシーマーク付与適格性審査業務 基本規程

マイナンバーガイドライン入門(事業者編)

総論 Q1 民間事業者はどのような場面でマイナンバーを扱うのですか A1 民間事業者でも 従業員やその扶養家族のマイナンバーを取得し 給与所得の源泉徴収や社会保険の被保険者資格取得届などに記載し 行政機関などに提出する必要があります 原稿料の支払調書などの税の手続では原稿料を支払う相手などのマイナン

Ⅰ バイタルリンク 利用申込書 ( 様式 1-1)( 様式 ) の手続 バイタルリンク を利用する者 ( 以下 システム利用者 という ) は 小松島市医師会長宛に あらかじ め次の手順による手続きが必要になります 新規登録手続の手順 1 <システム利用者 ( 医療 介護事業者 )>

Microsoft Word - 素案の概要

公 印 規 程

3 部門管理者は 個人データの取扱いを外部に委託する場合には その委託先における個人データの取扱状況等の監督を行わなければならない 4 個人データの取扱いにかかる事項であってこの細則に定めのない事項については 取扱者の申請に基づき 部門管理者がこれを承認して行う 5 部門管理者は 個人データの組織的

<4D F736F F D CC2906C B835E82CC8EE688B582A282C98AD682B782E98B4B92F68CC2906C2E646F63>

特定個人情報取扱規則 第 1 章総則第 1 条目的この規則は 一般財団法人日本民間公益活動連携機構 ( 以下 この法人 という ) の 個人情報管理規程 ( 以下 管理規程 という ) の規定を受け 個人情報の保護に関する法律 ( 平成 15 年法律第 57 号 以下 個人情報保護法 という ) 行

第 4 条公共の場所に向けて防犯カメラを設置しようとするもので次に掲げるものは, 規則で定めるところにより, 防犯カメラの設置及び運用に関する基準 ( 以下 設置運用基準 という ) を定めなければならない (1) 市 (2) 地方自治法 ( 昭和 22 年法律第 67 号 ) 第 260 条の2

東京弁護士会個人情報保護規則

個人情報保護規定200907版

んだ者をいう 13 従業者本会の組織内にあって 直接または間接に本会の指揮監督を受けて本会の業務に従事している者をいい 従業員のみならず 本会との間の雇用契約にない者 ( 理事 監事 各委員会委員等及び派遣職員等 ) を含む 14 特定個人情報の取扱い特定個人情報の取得 安全管理措置 保管 利用 提

(3) 労働者災害補償保険法に基づく請求に関する事務 (4) 私学共済制度 厚生年金保険届出事務 (5) 報酬 料金等の支払調書作成事務 (6) 不動産の使用料等の支払調書作成事務 (7) 不動産等の譲受けの対価の支払調書作成事務 ( 特定個人情報等の範囲 ) 第 5 条前条の事務において使用される

Microsoft Word - 06_個人情報取扱細則_ doc

個人データの安全管理に係る基本方針

個人情報保護規程例 本文

個人情報管理規程

職員に係る個人番号関係事務 職員の配偶者に係る個人番号関係事務 職員以外の個人に係る個人番号関係事務 給与所得 退職所得の源泉徴収票作成事務雇用保険届出事務労働者災害補償保険法に基づく請求に関する事務健康保険 厚生年金保険届出事務国民年金の第 3 号被保険者の届出事務報酬 料金等の支払調書作成事務

個人情報保護管理規程 ( 目的 ) 第 1 条本規程は 個人情報の保護に関する法律 ( 平成 15 年 5 月 30 日 法律第 57 号 以下 法 という ) 及び 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年 5 月 31 日 法律第 27 号 以下 番

本人に対して自身の個人情報が取得されていることを認識させるために 防犯カメラを設置し 撮影した顔画像やそこから得られた顔認証データを防犯目的で利用する際に講じることが望ましい措置の内容を明確化するため 更新しました ( 個人情報 ) Q 防犯目的のために 万引き 窃盗等の犯罪行為や迷惑行

5. 個人情報保護マネジメントシステムの継続的改善当社は 個人情報を保護し 適切に取り扱うための個人情報の取扱いに関する法令 国が定める指針その他の規範を遵守し 更に日本工業規格 個人情報保護マネジメントシステム- 要求事項 (JIS Q 15001:2006) に準拠した個人情報保護マネジメントシ

れている者 個人事業所で5 人以上の作業員が記載された作業員名簿において 健康保険欄に 国民健康保険 と記載され 又は ( 及び ) 年金保険欄に 国民年金 と記載されている作業員がある場合には 作業員名簿を作成した下請企業に対し 作業員を適切な保険に加入させるよう指導すること なお 法人や 5 人

<93C18B4C8E64976C8F9195CA8E862E786C73>

(5) 個人データ 個人データ とは 個人情報データベース等を構成する個人情報をいう (6) 保有個人データ 保有個人データ とは 当会館が 開示 内容の訂正 追加又は削除 利用の停止 削除及び第三者への提供の停止を行うことのできる権限を有する個人データであって その存否が明らかになることにより公益

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

財団法人日本体育協会個人情報保護規程

学校法人東京女子大学特定個人情報等取扱規程 (2015 年 12 月 17 日制定 ) 第 1 章総則 ( 目的 ) 第 1 条この規程は 学校法人東京女子大学個人情報の保護に関する規程第 1 条第 3 項 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年法律第

(2) 総合的な窓口の設置 1 各行政機関は 当該行政機関における職員等からの通報を受け付ける窓口 ( 以下 通報窓口 という ) を 全部局の総合調整を行う部局又はコンプライアンスを所掌する部局等に設置する この場合 各行政機関は 当該行政機関内部の通報窓口に加えて 外部に弁護士等を配置した窓口を

Transcription:

平成 27 年 5 月 19 日平成 28 年 2 月 12 日一部改正平成 30 年 9 月 12 日改正 一般財団法人日本情報経済社会推進協会 (JIPDEC) プライバシーマーク推進センター 特定個人情報の取扱いの対応について 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という )( 平成 25 年 5 月 31 日公布 ) に基づく社会保障 税番号制度により 事業者は 個人番号をその内容に含む個人情報 ( 以下 特定個人情報 という ) の取扱いに際しては 番号法及び個人情報保護委員会より特定個人情報の適正な取扱いを確保するための具体的な指針として公表されている 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) ( 以下 特定個人情報ガイドライン という ) の遵守が必要です プライバシーマーク付与事業者 新規に付与を受けようとする事業者 ( 以下 合わせて プライバシーマーク付与を受けようとする事業者 という ) においては 番号法の遵守はもちろん JIS Q 15001:2017( 個人情報保護マネジメントシステム 要求事項 ) ( 以下 規格 という ) への適合も求められることから 番号法及び規格に基づき対応を必要とする事項を以下に示します なお 以下に示す事項は 今後国が示す法令等に応じて 見直す可能性があります 1. 規格に基づき対応を必要とする事項 規格に基づき プライバシーマーク付与を受けようとする事業者が対応すべき事項を以下に示す (1) 個人情報の特定 リスクアセスメント及びリスク対策 ( 規格 A.3.3.1 A.3.3.3) 特定個人情報 ( 個人番号を含む ) を 個人情報を管理するための台帳に特定し 個人情報保護リスクを特定し 分析していること 留意事項 プライバシーマーク付与を受けようとする事業者は 既に定めた手順に従い 個人情報の特定及び個人情報保護リスクの特定し 分析し 対策を実行しているが 特定個人情報もその対象となる 特定個人情報は 特定個人情報ガイドラインに示す通り 番号法に定めた事務を行う場合を除き 保管することができない このため 規格 A.3.3.1( 個人情報の特定 ) で個人情報を管理するための台帳の記載項目である保管期限を記載するときは 1 / 7

この点に留意する必要がある また 個人情報保護リスクには 規格の定義 (3.43) が示す通り 関連する法令 国が定める指針その他の規範に対する違反も含まれる よって プライバシーマーク付与を受けようとする事業者は 番号法に反する取扱いを個人情報保護リスクと認識し リスク分析を踏まえて対策を講じ PMS に反映する必要がある さらに 規格 A.3.4.3.2( 安全管理措置 ) は 取り扱う個人情報の個人情報保護リスクに応じた安全管理措置を講じることを求めている プライバシーマーク付与を受けようとする事業者は 引き続き 個人情報保護リスクに応じた措置を実施し 個人情報保護リスク及び対策の見直しを適宜行うことが必要である なお 安全管理措置については本資料 2.(2) 項をあわせて参照のこと (2) 法令 国が定める指針その他の規範 ( 規格 A.3.3.2) 法令等を特定し参照していること 留意事項 規格 A.3.3.2( 法令 国が定める指針その他の規範 ) を踏まえ プライバシーマーク付与を受けようとする事業者は 規格 B.3.3.2 を参考に 自社で特定し参照する対象となる法令等を確認すること なお 本審査項目は プライバシーマーク付与適格性審査基準 A.3.3.2 の審査項目 2. と同等に確認を行う (3) 資源 役割 責任及び権限 ( 規格 A.3.3.4) 事務取扱担当者の役割 権限が内部規程として文書化されていること 留意事項 規格 A.3.3.4( 資源 役割 責任及び権限 ) では 個人情報の管理のための役割 責任及び権限を明確に定め 文書化することを求めている 特定個人情報ガイドライン ( ( 別添 ) 特定個人情報に関する安全管理措置 ( 事業者編 ) を含む) では 特定個人情報等を取り扱う事務に従事する従業者 ( 以下 事務取扱担当者 という ) の明確化を求めている よって プライバシーマーク付与を受けようとする事業者は 事務取扱担当者の役割 責任及び権限を明確に定め 文書化する必要がある 2 / 7

(4) 緊急事態への準備 ( 規格 A.3.3.7) 重大事態に該当する事案又はそのおそれのある事案が発覚した場合に 個人情報保護委員会に直ちに報告する手順が内部規程として文書化されていること 重大事態に該当する事案又はそのおそれのある事案が発覚した場合 定めた手順に従って緊急事態への対応を実施していること 留意事項 規格 A.3.3.7( 緊急事態への準備 ) では 個人情報の漏えい 滅失又はき損が発生した場合に備え関係機関に直ちに報告する手順を定め 緊急事態発生時には手順に従い報告することを求めている 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 ( 平成 27 年特定個人情報保護委員会規則第 5 号 ) では 特定個人情報の安全の確保に係る重大な事態が生じたときは 個人情報保護委員会に報告することを求めている この報告は 重大事態に該当する事案又はそのおそれのある事案が発覚した時点で直ちに行うことが求められている ( 事業者における特定個人情報の漏えい事案等が発生した場合の対応について ( 平成 27 年特定個人情報保護委員会告示第 2 号 )) よって プライバシーマーク付与を受けようとする事業者は 特定個人情報の安全の確保に係る重大な事態が生じた場合に備え 個人情報保護委員会に直ちに報告する手順を定め 当該事態の発生時には手順に従い報告する必要がある 2. 番号法に基づき対応を必要とする事項特定個人情報の取扱いにあたり 規格 A.3.3.2( 法令 国が定める指針その他の規範 ) を踏まえ 番号法及び特定個人情報ガイドラインに基づき対応を必要とする事項を示す これらの事項は 必ずしも規格には含まれていないが 法令遵守は 規格の前提である点に留意が必要である 規格は個人情報の取扱いに関する個々の法令等への違反について規定しているわけではないが これらの法令等に違反した場合は 規格 A.3.3.2 で求める特定 参照が行われていない あるいは特定 参照していても適切に管理されていなかったということになり 規格に対しても不適合であるといえる この場合 プライバシーマーク付与を受けようとする事業者は 法令等を特定し参照する手順を見直す必要がある 以下は 規格項番毎に 番号法に基づき対応を必要とする事項を示し 対応する上で留意が求められる点の概要を記す 対応にあたっての具体的な方法等は 国が示す資料を適宜確認すること なお 以下に示す事項のうち規格が求める事項については プライバシーマーク付与適格性審査基準 に基づき 付与適格性審査時に確認を行う (1) 取得 利用及び提供に関する原則 ( 規格 A.3.4.2) 規格 A.3.4.2 では 事業者に A.3.4.2.5( 本人から直接書面によって取得する場合の 3 / 7

措置 ) A.3.4.2.6( 利用に関する措置 ) A.3.4.2.8( 個人データの提供に関する措置 ) 等で本人の同意を得ることを 求めているが 他方で 事業者は 本人の同意の有無にかかわらず 法令等に基づく他人の個人番号を利用した事務を行うために 他人の個人番号を取得 利用 提供する義務を負っており また 番号法に基づき個人番号を取得 利用 提供する場合には 規格 A.3.4.2 に基づき本人の同意を得ることまでは求めない 取得 利用及び提供の場面において 番号法に基づく留意点を以下に概略する 個人番号の利用範囲は 番号法第 9 条 ( 利用範囲 ) に示す範囲 ( 個人番号利用事務 個人番号関係事務 ) に限定される 規格 A.3.4.2.6( 利用に関する措置 ) と異なり 本人の同意があったとしても 利用範囲を超えた利用は認められない 特定個人情報ファイルの作成は 個人番号利用事務 個人番号関係事務を処理するために必要な範囲に限られている ( 番号法第 29 条特定個人情報ファイルの作成の制限 ) 例えば 個人番号を含むデータベースを作成した場合や 既存のデータベースに個人番号を追加した場合は 当該データベースの利用の範囲に留意する 特定個人情報の提供は 番号法第 19 条 ( 特定個人情報の提供の制限 ) に規定された場合を除き 禁止である ( 番号法第 19 条 ) また 番号法では特定個人情報に関しては個人情報保護法の第 23 条 ( 第三者提供の制限 ) の規定は適用除外とされている点に留意する つまり 番号法では 個人情報保護法第 23 条第 5 項第 3 号の規定も適用されず 個人番号の共同利用は認められない 個人番号の提供を受ける場合は 番号法第 16 条 ( 本人確認の措置 ) により本人確認が義務付けられ 確認方法が規定されている (2) 安全管理措置 ( 規格 A.3.4.3.2) 規格 A.3.4.3.2( 安全管理措置 ) は 取扱う個人情報のリスクに応じて 個人情報のライフサイクル ( 個人情報の取得から廃棄までの一連の流れ ) の各局面の安全対策を策定することを求めている これに加え 特定個人情報を取扱う場合の安全管理措置では 特定個人情報ガイドライン ( ( 別添 ) 特定個人情報に関する安全管理措置 ( 事業者編 ) を含む) において 個人番号の削除や特定個人情報等を取扱う機器及び電子媒体等の廃棄は所管法令等における保存期間の経過時には速やかに削除 廃棄を行うこと等 規格では求められていない措置を講じなければならないとする事項もあることに留意する なお 講じなければならないとする事項の確認にあたり ( 別添 ) 特定個人情報に関する安全管理措置 ( 事業者編 ) に示す中小規模事業者の範囲を確認するよう留意する 特定個人情報の保管は 番号法第 19 条 ( 特定個人情報の提供の制限 ) 各号のいずれかに該当する場合を除き 禁止である ( 番号法第 20 条収集等の制限 ) ことにも留意する 4 / 7

(3) 委託先の監督 ( 規格 A.3.4.3.4) 規格 A.3.4.3.4( 委託先の監督 ) では 委託先に対する 必要 かつ 適切な監督を求めている 個人番号関係事務または個人番号利用事務の全部または一部を委託する場合も 規格に基づき委託先の監督を行う必要がある これに加えて 特定個人情報ガイドラインでは 委託契約の締結にあたって盛り込むべき規定等が具体的に示されている ( 第 4-2-(1) 1 B) ことに留意する よって 規格 A.3.4.3.4( 委託先の監督 ) で定める事項のほかに 特定個人情報ガイドラインが示す事項を契約書等に盛り込む必要がある また 委託先に再委託を認める場合も 規格に基づき再委託先の監督を行う必要があるが これに加えて 番号法第 10 条 ( 再委託 ) では 個人番号利用事務等の委託 再委託を認めているが 最初の委託元の許諾を得ることが求められることに留意する また 再委託先が再々委託を行う場合以降も 再委託を行う場合と同様であることにも留意が必要である 以上 5 / 7

参考情報 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年法律第 27 号 ) :http://law.e-gov.go.jp/htmldata/h25/h25ho027.html 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) ( 平成 26 年 12 月制定 平成 29 年 5 月 30 日最終改正 個人情報保護委員会 ) :https://www.ppc.go.jp/files/pdf/my_number_guideline_jigyosha.pdf ( ( 別添 ) 特定個人情報に関する安全管理措置 ( 事業者編 ) を含む ) 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 ( 平成 27 年特定個人情報保護委員会規則第 5 号 ) :https://www.ppc.go.jp/files/pdf/rouei_kisoku.pdf 事業者における特定個人情報の漏えい事案等が発生した場合の対応について ( 平成 27 年特定個人情報保護委員会告示第 2 号 ) :https://www.ppc.go.jp/files/pdf/roueitaiou_jigyosha.pdf 以上 6 / 7

改廃 改正日 改正箇所 理由 2016 年 2 月 12 日 個人情報保護委員会規則施行に伴う 1.(4) の追加 参考情報 2 の更新 2018 年 9 月 12 日 JIS Q 15001 改正に伴う更新 7 / 7

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック