特定個人情報の取扱いの対応について

Similar documents
特定個人情報の取扱いの対応について

14個人情報の取扱いに関する規程

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

はじめてのマイナンバーガイドライン(事業者編)

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

個人情報の保護に関する規程(案)

社長必見≪ここがポイント≫マイナンバーガイドライン(事業者編)

一般社団法人北海道町内会連合会定款変更(案)

2015 年 2 月 13 日版 わかる! マイナンバー 特定個人情報取扱い ガイドライン 株式会社ワイイーシーソリューションズ 本資料について 本内容は 2014 年 12 月末時点の政府などの公開情報をもとに 当社の解釈にて作成しておりますので 今後の法改正 制度設計等により変更になる可能性があ

特定個人情報保護評価指針の概要

特定個人情報の取扱いに関するモデル契約書 平成27年10月

< F2D8EE888F882AB C8CC2906C>

マイナンバー制度 実務対応 チェックリスト

個人情報保護規定

東レ福祉会規程・規則要領集

個人情報保護規程例 本文

劇場演出空間技術協会 個人情報保護規程

事業者が行うべき措置については 匿名加工情報の作成に携わる者 ( 以下 作成従事者 という ) を限定するなどの社内規定の策定 作成従事者等の監督体制の整備 個人情報から削除した事項及び加工方法に関する情報へのアクセス制御 不正アクセス対策等を行うことが考えられるが 規定ぶりについて今後具体的に検討

しなければならない 2. 乙は プライバシーマーク付与の更新を受けようとするときは プライバシーマーク付与契約 ( 以下 付与契約 という ) 満了の8ヶ月前の日から付与契約満了の4 ヶ月前の日までに 申請書等を甲に提出しなければならない ただし 付与契約満了の4ヶ月前の日までにプライバシーマーク付

Microsoft Word - ○指針改正版(101111).doc

制定 : 平成 24 年 5 月 30 日平成 23 年度第 4 回理事会決議施行 : 平成 24 年 6 月 1 日 個人情報管理規程 ( 定款第 65 条第 2 項 ) 制定平成 24 年 5 月 30 日 ( 目的 ) 第 1 条この規程は 定款第 66 条第 2 項の規定に基づき 公益社団法

中小企業向け はじめてのマイナンバーガイドライン

社会福祉法人○○会 個人情報保護規程

管理区分 非管理版 文書番号 PMS-007 制定年月日 改訂年月日 改訂番号 1 購入希望の場合は P マークの取得及び更新に必須となる文書のサンプルです ページ最後の購入方法をご確認ください 修正可能なワードファイルで提供して

特定個人情報等取扱規程

事務ガイドライン ( 第三分冊 )13 指定信用情報機関関係新旧対照表 Ⅰ-2 業務の適切性 現行改正後 ( 案 ) Ⅰ-2 業務の適切性 Ⅰ-2-4 信用情報提供等業務の委託業務の効率化の観点から 内閣総理大臣 ( 金融庁長官 ) の承認を受けて信用情報提供等業務の一部を委託することが可能とされて

特定個人情報等取扱規程 ( 目的 ) 第 1 条本規程は 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 及び 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) に基づき 会社の取り扱う特定個人情報等の適正な取扱いを確保することを目的

特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 岩手県建設業厚生年金基金 ( 以下 当厚生年金基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本

privacypolicy

個人情報管理規程

【事務連絡】特定個人情報の漏えい時の対応(業界団体あて)

3 参照基準次に掲げる基準は この基準に引用される限りにおいて この基準の一部となる - プライバシーマーク付与適格性審査実施規程 - プライバシーマーク制度における欠格事項及び判断基準 (JIPDEC) 4 一般要求事項 4.1 組織 審査業務の独立性審査機関は 役員の構成又は審査業務

privacy/index.html 事業者において 従業員等の特定個人情報の漏えい事案等が発生した場合 当該事業者は事案等に応じて 都道府県労働局

日本赤十字社企業年金基金特定個人情報等取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 日本赤十字社企業年金基金 ( 以下 当基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義

文書管理番号

個人情報の取り扱いに関する規程

第 4 条 ( 取得に関する規律 ) 本会が個人情報を取得するときには その利用目的を具体的に特定して明示し 適法かつ適正な方法で行うものとする ただし 人の生命 身体又は財産の保護のために緊急に必要がある場合には 利用目的を具体的に特定して明示することなく 個人情報を取得できるものとする 2 本会

公益財団法人岩手県南技術研究センター特定個人情報取扱規程 平成 28 年 4 月 1 日制定 規程第 14 号 第 1 章目的等 ( 目的 ) 第 1 条この規程は 公益財団法人岩手県南技術研究センター ( 以下 センター という ) が 行政手続における特定の個人を識別するための番号の利用等に関す


プライバシーマーク付与適格性審査に関する約款

個人情報保護に関する規定 ( 規定第 98 号 ) 第 1 章 総則 ( 目的 ) 第 1 条学校法人トヨタ学園および豊田工業大学 ( 以下, 総称して本学という ) は, 個人情報の保護に関する法律 ( 平成 15 年法律第 57 号, 以下, 法律という ) に定める個人情報取り扱い事業者 (

個人情報保護規程

(I12) 土木学会特定個人情報取扱規程 平成 28 年 1 月 22 日制定 ( 目的 ) 第 1 条本規程は 公益社団法人土木学会 ( 以下 学会 という ) における 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 個人情報の保護に関する法律

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

プライバシーマーク付与適格性審査基準(2018年7月17日版)

社会福祉法人春栄会個人情報保護規程 ( 目的 ) 第 1 条社会福祉法人春栄会 ( 以下 本会 という ) は 基本理念のもと 個人情報の適正な取り扱いに関して 個人情報の保護に関する法律 及びその他の関連法令等を遵守し 個人情報保護に努める ( 利用目的の特定 ) 第 2 条本会が個人情報を取り扱

個人情報保護規程 株式会社守破離 代表取締役佐藤治郎 目次 第 1 章総則 ( 第 1 条 - 第 3 条 ) 第 2 章個人情報の利用目的の特定等 ( 第 4 条 - 第 6 条 ) 第 3 章個人情報の取得の制限等 ( 第 7 条 - 第 8 条 ) 第 4 章個人データの安全管理 ( 第 9

( 審査の申請 ) 第 5 条甲は プライバシーマーク付与適格性審査の実施基準 に基づき 付与適格性審査を申請した者 ( 以下 乙 という ) の審査を行う 乙は 甲が定めるところにより 付与適格性審査にかかわる申請書及び申請書類 ( 以下 申請書等 という ) を甲に提出しなければならない 2 乙

Microsoft PowerPoint - 参考資料2

<8B4B92F681458CC2906C8FEE95F195DB8CEC2E786C7378>

マイナンバーガイドライン入門(事業者編)

第 1 章総則 ( 目的 ) 第 1 条本規程は 日立国際電気企業年金基金 ( 以下 基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本規程において 個人情報 とは 個

特定個人情報取扱規程 ( 目的 ) 第 1 条社会福祉法人埼玉県社会福祉協議会 ( 以下 本会 という ) は 個人 番号及び特定個人情報を適正に取り扱うことを目的として 本規程を定める ( 用語の定義 ) 第 2 条本規程における用語の定義は 次の各号に定めるところによる (1) 番号法行政手続に

Microsoft Word - 素案の概要

東京弁護士会個人情報保護規則

個人情報管理規程

Microsoft Word

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

個人情報保護規程

CSAJ審査機関関連規程

<4D F736F F D C192E88CC2906C8FEE95F18EE688B58B4B91A5208AAE90AC94C5>

プライバシーマーク付与適格性審査業務 基本規程

個人データの安全管理に係る基本方針

(5) 個人データ 個人データ とは 個人情報データベース等を構成する個人情報をいう (6) 保有個人データ 保有個人データ とは 当会館が 開示 内容の訂正 追加又は削除 利用の停止 削除及び第三者への提供の停止を行うことのできる権限を有する個人データであって その存否が明らかになることにより公益

Ⅰ バイタルリンク 利用申込書 ( 様式 1-1)( 様式 ) の手続 バイタルリンク を利用する者 ( 以下 システム利用者 という ) は 小松島市医師会長宛に あらかじ め次の手順による手続きが必要になります 新規登録手続の手順 1 <システム利用者 ( 医療 介護事業者 )>

日商PC検定用マイナンバー_参考資料

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

第 1 章総則 ( 目的 ) 第 1 条本規程は 株式会社スマートバリュー ( 以下 当社 という ) が個人情報保護方針に基づく個人情報の取扱いの基本事項を定めたもので 個人情報の保護と適正な利用を図ることを目的とする ( 定義 ) 第 2 条本規程における用語の定義は 次の各号に定めるところによ

Microsoft Word - 個人情報管理規程(案)_(株)ふるさと創生研究開発機構(2016年1月27日施行).doc

利用者情報管理規程

必要となる教育を行うとともに 実施結果について指定する書面により甲に提出しなければならない 第 10 条乙は 甲がこの特記事項の遵守に必要となる教育を実施するときは これを受けなければならない ( 知り得た情報の保持の義務 ) 第 11 条乙は 本契約の履行に当たり知り得た受託情報を第三者に漏らして

独立行政法人農業者年金基金個人情報保護管理規程

東京 SR 経営労務センター 特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 東京 SR 経営労務センター ( 以下 当センター という ) が個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする (

財団法人日本体育協会個人情報保護規程

情報漏えい事案等対応手続(中小規模事業者用)

個人情報保護規定200907版

3 部門管理者は 個人データの取扱いを外部に委託する場合には その委託先における個人データの取扱状況等の監督を行わなければならない 4 個人データの取扱いにかかる事項であってこの細則に定めのない事項については 取扱者の申請に基づき 部門管理者がこれを承認して行う 5 部門管理者は 個人データの組織的

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

情報保護マネジメントシステムの採用は 印刷事業者の戦略的決定によるものであり 利害関係者からの信頼を得られるという価値をもたらします 印刷事業者の個人情報保護マネジメントシステムの確立及び実施においては その印刷事業者のニーズ及び目的 印刷事業者の外部及び内部からの課題を把握し 個人情報保護の要求事

学校法人金沢工業大学個人情報の保護に関する規則

特定個人情報取扱要領 ( 目的 ) 第 1 条この要領は この組合の 個人情報保護方針 および 特定個人情報取扱規程 ( 以下 規程 という ) に基づき この組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条

第 2 章 個人情報の取得 ( 個人情報の取得の原則 ) 第 4 条個人情報の取得は コンソーシアムが行う事業の範囲内で 利用目的を明確に定め その目的の達成のために必要な範囲においてのみ行う 2 個人情報の取得は 適法かつ公正な方法により行う ( 特定の個人情報の取得の禁止 ) 第 5 条本条各号

ください 5 画像の保存 取扱い防犯カメラの画像が外部に漏れることのないよう 一定のルールに基づき慎重な管理を行ってください (1) 取扱担当者の指定防犯カメラの設置者は 必要と認める場合は 防犯カメラ モニター 録画装置等の操作を行う取扱担当者を指定してください この場合 管理責任者及び取扱担当者

特定個人情報取扱細則 ( 目的 ) 第 1 条この細則は 当組合の個人情報保護方針及び特定個人情報取扱規程 ( 以下 規程 という ) 等に基づき 当組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条この細則で

んだ者をいう 13 従業者本会の組織内にあって 直接または間接に本会の指揮監督を受けて本会の業務に従事している者をいい 従業員のみならず 本会との間の雇用契約にない者 ( 理事 監事 各委員会委員等及び派遣職員等 ) を含む 14 特定個人情報の取扱い特定個人情報の取得 安全管理措置 保管 利用 提

学校法人東京女子大学特定個人情報等取扱規程 (2015 年 12 月 17 日制定 ) 第 1 章総則 ( 目的 ) 第 1 条この規程は 学校法人東京女子大学個人情報の保護に関する規程第 1 条第 3 項 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年法律第

個人情報保護管理規程 ( 目的 ) 第 1 条本規程は 個人情報の保護に関する法律 ( 平成 15 年 5 月 30 日 法律第 57 号 以下 法 という ) 及び 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年 5 月 31 日 法律第 27 号 以下 番

個人情報保護規程例 本文

本人に対して自身の個人情報が取得されていることを認識させるために 防犯カメラを設置し 撮影した顔画像やそこから得られた顔認証データを防犯目的で利用する際に講じることが望ましい措置の内容を明確化するため 更新しました ( 個人情報 ) Q 防犯目的のために 万引き 窃盗等の犯罪行為や迷惑行

総論 Q1 民間事業者はどのような場面でマイナンバーを扱うのですか A1 民間事業者でも 従業員やその扶養家族のマイナンバーを取得し 給与所得の源泉徴収や社会保険の被保険者資格取得届などに記載し 行政機関などに提出する必要があります 原稿料の支払調書などの税の手続では原稿料を支払う相手などのマイナン

特定個人情報取扱規程

平成 30 年度新潟県自殺対策強化月間テレビ自殺予防 CM 放送業務委託契約書 ( 案 ) 新潟県 ( 以下 甲 という ) と ( 以下 乙 という ) とは 平成 30 年度新潟県自殺対 策強化月間テレビ自殺予防 CM 放送業務について 次の条項により委託契約を締結する ( 目的 ) 第 1 条

個人情報保護方針の例

目次 各論 1 特定個人情報の利用制限 ⑴ 個人番号の利用制限 ⑵ 特定個人情報ファイルの作成の制限 特定個人情報の安全管理措置等 ⑴ 委託の取扱い ⑵ 安全管理措置 特定個人情報の提供制限等 ⑴ 個人

Microsoft Word - 個人情報保護規程 docx

個人情報の適正な取扱いに関する基本方針

雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項 第 1 趣旨 この留意事項は 雇用管理分野における労働安全衛生法 ( 昭和 47 年法律第 57 号 以下 安衛法 という ) 等に基づき実施した健康診断の結果等の健康情報の取扱いについて 個人情報の保護に関する法律についての

YPM-P010PMSマニュアル【表題】

特定個人情報取扱規則 第 1 章総則第 1 条目的この規則は 一般財団法人日本民間公益活動連携機構 ( 以下 この法人 という ) の 個人情報管理規程 ( 以下 管理規程 という ) の規定を受け 個人情報の保護に関する法律 ( 平成 15 年法律第 57 号 以下 個人情報保護法 という ) 行

<4D F736F F D B838B835A E815B8BC696B182C982A882AF82E98CC2906C8FEE95F195DB8CEC834B E646F63>

Transcription:

特定個人情報の取扱いの対応について 平成 27 年 5 月 19 日平成 28 年 2 月 12 日一部改正 一般財団法人日本情報経済社会推進協会 (JIPDEC) プライバシーマーク推進センター 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) が成立し ( 平成 25 年 5 月 31 日公布 ) 社会保障 税番号制度が導入され 平成 27 年 10 月から国民一人ひとりに個人番号が通知されます これに伴い事業者は 社会保障 税及び災害対策の分野における事務の実施に際して 平成 28 年 1 月より従業員等の個人番号をその内容に含む個人情報 ( 以下 特定個人情報 という ) を取扱うことになります 特定個人情報の取扱いについては 個人情報保護委員会より特定個人情報の適正な取扱いを確保するための具体的な指針として 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) ( 以下 特定個人情報ガイドライン という ) が 平成 26 年 12 月 11 日付で公表されました 特定個人情報は JIS Q 15001:2006( 個人情報保護マネジメントシステム 要求事項 ) ( 以下 要求事項 という ) の適用を受けることは勿論のこと 番号法に従い かつ特定個人情報ガイドラインにも適合するように取扱う必要があります このため プライバシーマーク付与事業者 新規に付与を受けようとする事業者 ( 以下 合わせて プライバシーマーク付与を受けようとする事業者 という ) が特定個人情報を取扱うに際して 要求事項に基づき対応を必要とする事項及び番号法に基づき対応を必要とする事項を以下に示します プライバシーマーク付与を受けようとする事業者は これらの事項を念頭に置き 特定個人情報についても 要求事項及びプライバシーマーク付与適格性審査基準である JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第 2 版第二部 ( 以下 JIPDEC ガイドライン という ) を踏まえて 個人情報保護マネジメントシステム ( 以下 PMS という ) の PDCA サイクル すなわち 個人情報の特定 リスク分析の上で対策を策定し 対策を取扱い上のルールとして文書化し (P) 従業者教育を実施した上で対策を実行し (D) 取扱いが適切に行われていることを点検し(C) 点検結果を踏まえた対策の見直しを行う (A) ことにより 個人情報保護レベルの維持又は向上を図る必要があります なお 今回示す事項は 今後国が示す指針等に応じて 見直す可能性があります また より具体的な対応についても 国の指針等を踏まえながら 別途 段階的に示す予定です 1. 要求事項に基づき対応を必要とする事項 要求事項に基づき プライバシーマーク付与を受けようとする事業者が対応しなければならない事項を以下に示す 1 / 8

(1) 個人情報の特定 リスクなどの認識 分析及び対策 ( 要求事項 3.3.1 3.3.3) 特定個人情報は 個人情報の特定及びリスクの認識 分析 対策の対象とすること プライバシーマーク付与を受けようとする事業者は 既に定めた手順に従い 個人情報の特定及びリスクの認識 分析 対策を実行しているが 特定個人情報もその対象に加わる 要求事項 3.3.3( リスクなどの認識 分析及び対策 ) に示す通り 個人情報に関するリスクに 個人情報の取扱いに関する法令等に対する違反も含まれる よって プライバシーマーク付与を受けようとする事業者は 番号法の規定に反する取扱いをすることをリスクと認識し リスク分析を踏まえて対策を講じ PMS に反映する必要がある また 要求事項 3.4.3.2( 安全管理措置 ) 及び JIPDEC ガイドラインは 取扱う個人情報のリスクに応じた 必要 かつ 適切な安全管理措置を講じることを求めている プライバシーマーク付与を受けようとする事業者は 引き続き リスクに応じた措置を実施し 適宜リスク及び対策の見直しを行うことが必要である なお 安全管理措置については本資料 2.(3) 項をあわせて参照すること (2) 法令 国が定める指針その他の規範 ( 要求事項 3.3.2) 要求事項 3.3.2( 法令 国が定める指針その他の規範 ) を踏まえ JIPDEC ガイドラインでは 特定 参照が必須である法令 国が定める指針その他の規範 ( 以下 法令等 という ) を示しているが 少なくとも個人番号の利用が開始される平成 28 年 1 月以降は 特定し参照する対象に 番号法及び特定個人情報ガイドラインを加える必要がある よって プライバシーマーク付与を受けようとする事業者は 特定し参照する対象となる法令等を見直すことが必要である (3) 資源 役割 責任及び権限 ( 要求事項 3.3.4) 要求事項 3.3.4( 資源 役割 責任及び権限 ) 及び JIPDEC ガイドラインでは 個人情報の管理のための役割 責任及び権限を明確に定め 文書化することを求めている 特定個人情報ガイドライン ( ( 別添 ) 特定個人情報に関する安全管理措置 ( 事業者編 ) を含む ) では 特定個人情報等を取り扱う事務に従事する従業者 ( 以下 事務取扱担当者 という ) の明確化を求めている よって プライバシーマーク付与を受けようとする事業者は 事務取扱担当者の役割 責任及び権限を明確に定め 文書化する必要がある (4) 緊急事態への準備 ( 要求事項 3.3.7) 要求事項 3.3.7( 緊急事態への準備 ) 及び JIPDEC ガイドラインでは 個人情報の漏えい 滅失又はき損が発生した場合に備え関係機関に直ちに報告する手順を定め 緊急事態発生時には手順に従い報告することを求めている 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 ( 平成 27 年特定個人情報保護委員会規則第 5 号 ) では 特定個人情報の安全の確保に係る重大な事態が生じたときは 個人情報保護委員会に報告することを求 2 / 8

めている この報告は 重大事態に該当する事案又はそのおそれのある事案が発覚した時点で直ちに行うことが求められている ( 事業者における特定個人情報の漏えい事案等が発生した場合の対応について ( 平成 27 年特定個人情報保護委員会告示第 2 号 )) よって プライバシーマーク付与を受けようとする事業者は 特定個人情報の安全の確保に係る重大な事態が生じた場合に備え 個人情報保護委員会に直ちに報告する手順を定め 当該事態の発生時には手順に従い報告する必要がある 2. 番号法に基づき対応を必要とする事項特定個人情報の取扱いにあたり 要求事項 3.3.2( 法令 国が定める指針その他の規範 ) の一環として 番号法及び特定個人情報ガイドラインに基づき対応を必要とする事項を示す これらの事項は 必ずしも要求事項には含まれていない しかしながら 法令遵守は 要求事項遵守の前提である点に留意が必要である 要求事項は個人情報の取扱いに関する個々の法令等への違反について規定しているわけではないが これらの法令等に違反した場合は 要求事項 3.3.2 で求める特定 参照が行われていなかった あるいは特定 参照していても適切に管理されていなかったということになり 要求事項に対しても不適合であるといえる この場合 プライバシーマーク付与を受けようとする事業者は 法令等を特定し参照する手順を見直す必要がある 以下は 要求事項毎に 番号法に基づき対応を必要とする事項を示し 対応する上で留意が求められる点を概略する なお 対応にあたっての具体的な方法等は 国が示す資料を適宜確認すること (1) 取得 利用及び提供に関する原則 ( 要求事項 3.4.2) 要求事項 3.4.2.2( 適正な取得 ) では 適法 かつ 公正な手段により個人情報を取得することを求めている よって プライバシーマーク付与を受けようとする事業者においても 番号法に基づき個人番号を取得する必要がある 要求事項 3.4.2.3 3.4.2.4 3.4.2.6 3.4.2.7 3.4.2.8 では 取得 利用及び提供の措置 ( 要求事項 3.4.2.4 に示す事項等を明示または通知すること 本人の同意を得ること等 ) を求める一方 各要求事項のただし書きにより これらの措置は 法令に基づく場合は要求事項に定める措置の限りではないことが示されている 番号法に基づく取得は要求事項のただし書きに該当するため要求事項に定める措置は求められないとも考えられるが この場合も 個人情報保護法第 18 条 1に基づき 利用目的を本人に通知する等の措置を行わなければならない また 番号法においては 要求事項と異なり 個人番号を利用することができる事 1 個人情報保護法第 18 条 ( 取得に際しての利用目的の通知等 ) は 個人情報取扱事業者 ( 個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6 カ月以内のいずれの日においても 5,000 を超えない者以外の者 ) の義務のうち利用目的の通知等を定めている ただし 特定個人情報ガイドラインの第 3-7 では 個人情報取扱事業者でない個人番号取扱事業者も 番号法に特段の規定が置かれていない事項については 個人情報保護法等に従い 適切に特定個人情報を取扱うことが望ましいとされている点に留意する 3 / 8

務の範囲が制限されており 本人の同意を得ても原則として利用することはできないことに留意する 本人の同意があるとして 制限を超えて利用した場合は 前述の通り 要求事項に対しても不適合であるといえる 取得 利用及び提供の場面において 番号法に基づく留意点を以下に概略する 個人番号の利用範囲は 番号法第 9 条 ( 利用範囲 ) に示す範囲 ( 個人番号利用事務 個人番号関係事務 ) に限定される 要求事項 3.4.2.6( 利用に関する措置 ) と異なり 本人の同意があったとしても 利用範囲を超えた利用は認められない 特定個人情報ファイルの作成は 個人番号利用事務 個人番号関係事務を処理するために必要な範囲に限られている ( 番号法第 28 条特定個人情報ファイルの作成の制限 ) 例えば 個人番号を含むデータベースを作成した場合や 既存のデータベースに個人番号を追加した場合は 当該データベースの利用の範囲に留意する 特定個人情報の提供は 番号法第 19 条 ( 特定個人情報の提供の制限 ) に規定された場合を除き 禁止である ( 番号法第 19 条 ) また 番号法では特定個人情報に関しては個人情報保護法の第 23 条 ( 第三者提供の制限 ) の規定は適用除外とされている点に留意する つまり 番号法では 個人情報保護法第 23 条第 4 項第 3 号の規定も適用されず 個人番号の共同利用は認められない 個人番号の提供を受ける場合 番号法第 16 条 ( 本人確認の措置 ) により本人確認が義務付けられ 確認方法が規定されている (2) 正確性の確保 ( 要求事項 3.4.3.1) 要求事項 3.4.3.1( 正確性の確保 ) を踏まえ JIPDEC ガイドラインでは個人情報の保管期間の設定等を求めている ただし 特定個人情報の保管期間については 特定個人情報ガイドラインに示す通り 番号法に定めた事務を行う場合を除き 特定個人情報を保管ができないことに留意する (3) 安全管理措置 ( 要求事項 3.4.3.2) 要求事項 3.4.3.2( 安全管理措置 ) 及び JIPDEC ガイドラインは 取扱う個人情報のリスクに応じて 個人情報のライフサイクル ( 個人情報の取得から廃棄までの一連の流れ ) の各局面の安全対策を策定することを求めている これに加え 特定個人情報を取扱う場合の安全管理措置では 特定個人情報ガイドライン ( ( 別添 ) 特定個人情報に関する安全管理措置 ( 事業者編 ) を含む) において 個人番号の削除や特定個人情報等を取扱う機器及び電子媒体等の廃棄は所管法令等における保存期間の経過時には速やかに削除 廃棄を行うこと等 要求事項では求められていない措置を講じなければならないとする事項もあることに留意する なお 講じなければならないとする事項の確認にあたり ( 別添 ) 特定個人情報に関する安全管理措置 ( 事業者編 ) に示す中小規模事業者の範囲を確認するよう留意する 4 / 8

また JIPDEC ガイドラインは 要求事項 3.4.3.2( 安全管理措置 ) を踏まえ 保存期間は事業者がリスクを負って設定するとしている しかし 特定個人情報の保管は 番号法第 19 条 ( 特定個人情報の提供の制限 ) 各号のいずれかに該当する場合を除き 禁止である ( 番号法第 20 条収集等の制限 ) ことに留意する (4) 委託先の監督 ( 要求事項 3.4.3.4) 要求事項 3.4.3.4( 委託先の監督 ) では 委託先に対する 必要 かつ 適切な監督を求めている 個人番号関係事務または個人番号利用事務の全部または一部を委託する場合も 要求事項に基づき委託先の監督を行う必要がある これに加えて 特定個人情報ガイドラインでは 委託契約の締結にあたって盛り込むべき規定等が具体的に示されている ( 第 4-2-(1) 1 B) ことに留意する よって 要求事項 3.4.3.4( 委託先の監督 ) で定める事項のほかに 特定個人情報ガイドラインが示す事項を契約書等に盛り込む必要がある また 委託先に再委託を認める場合 要求事項及び JIPDEC ガイドラインでは 委託先に再委託先に関する事項を文書で報告させ 委託先による再委託先の監督状況を確認することを求めている これに加えて 特定個人情報を取扱う場合 番号法第 10 条 ( 再委託 ) では 個人番号利用事務等の委託 再委託を認めているが 最初の委託元の許諾を得ることが求められることに留意する また 再委託先が再々委託を行う場合以降も 再委託を行う場合と同様であることにも留意が必要である 以上 5 / 8

参考情報 1 JIS Q 15001:2006 と 個人情報保護法 番号法及び 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) との関連 局面注 JIS Q 15001:2006 個人情報保護法番号法 取得 3.4.2.1( 利用目的の特定 ) 3.4.2.2( 適正な取得 ) 3.4.2.4( 本人から直接書面によって取得する場合の措置 ) 3.4.2.5( 個人情報を 3.4.2.4 以外の方法によって取得した場合の措置 ) 利用 3.4.2.6( 利用に関する措置 ) 利用目的の特定 ( 第 15 条 ) 適正な取得 ( 第 17 条 ) 利用目的の通知等 ( 第 18 条 ) 利用目的による制限 ( 第 16 条 ) 番号法では字句の読替え規定及び適用除外 ( 第 29 条 3 項 ) あり 利用目的の通知等 ( 第 18 条 3 項 ) 第 14 条 第 15 条 第 19 条 第 20 条 第 16 条 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) 第 4-3-(1) 個人番号の提供の要求 第 4-3-(2) 個人番号の提供の求めの制限 特定個人情報の提供制限 第 4-3-(3) 収集 保管制限 第 4-3-(4) 本人確認 第 9 条 第 4-1-(1) 第 29 条 3 項 個人番号の利用制限第 32 条 第 28 条 第 4-1-(2) 特定個人情報のファイル作成の制限 提供 3.4.2.8( 提供に関する措置 ) 第三者提供の制限 ( 第 23 条 ) 番号法では適用除外 ( 第 29 条 3 項 ) 第 15 条 第 19 条 第 29 条 3 項 第 4-3-(2) 個人番号の提供の求めの制限 特定個人情報の提供制限 保管 3.4.3.1( 正確性の確保 ) 正確性の確保 ( 第 19 条 ) 第 20 条 第 4-3-(3) 収集 保管制限 注 JIS Q 15001:2006 解説 3.2.3 に示す 個人情報の取扱いの流れの各局面を指す 安全管理措置 3.4.3.2( 安全管理措置 ) 3.4.3.3( 従業者の監督 ) 3.4.3.4( 委託先の監督 ) 安全管理措置 ( 第 20 条 ) 従業者の監督 ( 第 21 条 ) 委託先の監督 ( 第 22 条 ) 第 10 条 第 11 条 第 12 条 第 33 条 第 34 条 第 4-2-(1) 委託の取扱い 第 4-2-(2) 安全管理措置 別添 特定個人情報に関する安全管理措置 ( 事業者編 ) 開示等 3.4.4.2( 開示等の求めに応じる手続 ) 3.4.4.3( 開示対象個人情報に関する事項の周知など ) 3.4.4.4~3.4.4.7( 開示対象個人情報の利用目的の通知 開示 訂正等 利用停止等 ) 開示 訂正等 利用停止等 ( 第 25 条 ~ 第 30 条 ) 第 27 条 2 項は 番号法では字句の読替え規定 ( 第 29 条 3 項 ) あり 第 29 条 3 項 第 4-4 第三者提供に関する取扱い 番号法により読み替えて適用される保護法第 27 条 2 項に対応 参考情報 2 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 平成 25 年法律第 27 号 ) :http://law.e-gov.go.jp/htmldata/h25/h25ho027.html 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) ( 平成 26 年 12 月制定 平成 28 年 1 月 1 日一部改正 個人情報保護委員会 ) :http://www.ppc.go.jp/files/pdf/160101_guideline_jigyousya.pdf ( ( 別添 ) 特定個人情報に関する安全管理措置 ( 事業者編 ) を含む ) 6 / 8

特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 ( 平成 27 年特定個人情報保護委員会規則第 5 号 ) :http://www.ppc.go.jp/files/pdf/271225_houkoku_kisoku.pdf 事業者における特定個人情報の漏えい事案等が発生した場合の対応について ( 平成 27 年特定個人情報保護委員会告示第 2 号 ) :http://www.ppc.go.jp/files/pdf/271225_jigyousya_roueitaiou.pdf 以上 7 / 8

改廃 改正日 改正箇所 理由 2016 年 2 月 12 日 個人情報保護委員会規則施行に伴う 1.(4) の追加 参考情報 2 の更新 8 / 8

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック