何をどこから始めて、 どこまでやればいいのか? マイナンバー法制度の

何をどこから始めて、
どこまでやればいいのか?
マイナンバー法制度の
具体的な対策
(取組み)
2015年4月20日
株式会社マックポートバイオセキュリティー
http://www.my-number.co.jp
1
内閣府資料
マイナンバー法制度の対策として、各企業の取組みを開始する前に
マイナンバー法は、2016年1月1日からの施行であるにも関わらず、今の段階から
様々な行政サービスや健康保険組合、金融機関などの民間企業などへも利用拡大が図ら
れており、次々と閣議決定がなされています。
また、金融庁や厚生労働省からも、労働関係や税務関係の新しい帳票雛形が次々と
発表され、また、行政手続きの新しいやり方についてもWeb上で公表され始めています。
このことにより、各民間企業におけるマイナンバー法制度に関する「実務・運用ルール」
においても、次々と新しく進化させる必要が発生しています。
しかしながら、特定個人情報保護委員会が作成・公表した「特定個人情報取扱ガイドラ
イン」に記載されている「法令順守対策」・「特定個人情報等取扱対策」・「セキュリティ対
策」などの「マネジメントシステム」は、今後も何ら変わることはありませんので、今の最
初の段階で、しっかりと足腰を固めておく必要があります。
ぜひ皆様におかれましても、マイナンバー法制度に関する様々な最新情報に振り回され
ることなく、じっくりと腰を据えて、ご自身の会社の「特定個人情報取扱ガイドライン」対策、
すなわち、マイナンバー法制度に対する「マネジメントシステム」を余裕を持って構築して
いって頂きたいと考えております。
ですので、通知カードが配付され始める10月までは、とても大切な期間であるのです。
2
マイナンバー法制度における各企業における取組み概念図
税務、年金、雇用保険
などの行政サービス
健康保険、銀行、保険会社
などの民間サービス
マイナンバーの利用範囲は、
法律で限定的に決定される。
各民間企業の対応
マイナンバーの利用範囲は、
3年後を目途に、民間企業
へも波及していく予定です
ので、今のうち、足腰は
しっかり整える必要があります。
マイナンバー
マネジメントシステムとは、
実務・運用ルールを作るため
の大元のルールです。
実務・運用ルール
法令順守ルール
特定個人情報等取扱ルール
セキュリティルール
マイナンバーの
利用範囲が増える
毎に、ルールが
増えていく。
マネジメント
システム
(SPMS)
(変わらない)3
個人情報保護法における各企業における取組み概念図
行政や民間企業など、
個人情報に関する業務の
委託を受ける場合
インターネットショップの客
など一般消費者個人
個人情報の利用範囲は、
各企業で任意に決定できる。
各民間企業の対応
新事業発足に伴い、
新しい営業手法で新規顧客
開拓を行う場合など、新しい
方法で個人情報を取得・収集
する際に、実務・運用ルール
をその都度作成する必要が
ある。
現実的には
頻度は高くない。
個人情報
マネジメントシステムとは、
実務・運用ルールを作るため
の大元のルールです。
実務・運用ルール
法令順守ルール
個人情報等取扱ルール
セキュリティルール
新しい方法で
個人情報を取得
する際に検討する。
マネジメント
システム
(PMS)
(変わらない)4
5
マイナンバー法制度とは?
国(市区町村)が、国民1人1人に番号(ICカード)
を配布し、行政機関が利用するもの。
配付を指示
2015年10月5日~
簡易書留で自宅へ郵送。
2016年1月1日~
行政手続きの際、マイナンバー
を記載して書類を提出。
6
7
内閣府資料
8
内閣府資料
マイナンバー法制度の目的(表向き)
9
内閣府資料
マイナンバー法制度の目的(本当の目的・推測)
1.国民1人1人の収入(副業)を確実に捉え、脱税の防止。
2.銀行口座を名寄せして、残高がある人の生活保護支給停止。
3.銀行残高があるにも関わらず、国民年金掛け金を支払っていない人の
摘発。
4.従業員を個人事業主扱いして、社保や労災保険などを支払っていない会
社の摘発。
5.現役時代に支払った社会保険料を確実に捉え、正確な年金支給額を決定。
(年金資金の枯渇に供え、誰に対して優先して支払うか?)
6.マネーロンダリングの防止。偽札製造組織の摘発。
7.法人ナンバーと従業員マイナンバーを紐付けて、
労働関連助成金の不正受給の摘発。
8.法人ナンバーにより、企業の入出金を確実に捉え、
粉飾決算による銀行不正融資、及び脱税の摘発。
10
なぜ日本政府は、そこまで血眼になって、
企業や国民から
税金や社会保険料を
徴収しようとするのか?
(これはあくまでも推測です)
11
リーマンショック後のIMFの年次監査の際に、
このままだと、日本は2020年までに財政破綻
すると言われた。
日本政府がIMFに示した財政再建策(詳細は非公開)
1.アベノミクス3本の矢(骨太の方針)で景気浮上
2.消費税増税、社保額UP、年金削減、円安、賃金削減
3.マイナンバー導入で脱税・社保逃れの厳しい徴収
それでもダメだったら?
12
出典:http://www.takarabe-hrj.co.jp/clockabout.html
マイナンバーを全国民の預金口座に紐付けて
預金封鎖を実行し、財産税を立法化・施行
(同時に新札を発行するので、タンス預金は無効)
日本国民の預金、1,200兆円を政府が没収して
国の借金返済に使う。
この計画を世界のマーケットに示しているので、
日本国債の金利は、今のところ急騰していない。
13
出典:http://www.nikkan-gendai.com/articles/view/news/158014?pc=false
「マイナンバー止めますか?」
それとも
「国家破綻しますか?」
もう日本の財政は、
そこまで追い詰められているのです。
これが、日本政府がマイナンバー制度を
強硬に推し進めなければならない理由です。
14
15
内閣府資料
16
17
内閣府資料
本題
なぜ、一般企業(民間企業)が
マイナンバー制度(法)の
対策をしなければならないのか?
18
実際には、社員とその扶養家族の健保や年金事務処理等は、所属会社が
代行申請をしており、マイナンバーを預かり記入を行う必要があるから。
配付を指示
2015年10月1日~
簡易書留で自宅へ郵送。
勤めている企業が申請代行
19
20
内閣府資料
目的外利用の禁止、漏洩対策など、やることはたくさんある!
マイナンバーは、「特定個人情報」と呼ばれ、一般的な「個人情報」よりも
格段に厳しい対策が法律で求められているのです。
金庫やパソコンの
中で厳重に管理。
マイナンバー漏洩の
危険性あり
扶養家族のマイナンバーを
世帯主が集め、会社へ提出。
2016年1月1日~
行政手続きの際、マイナンバー
を記載して書類を提出。
マイナンバー
目的外利用の
危険性あり
人事・総務・経理部が代理申請
21
マイナンバーが絶対に漏洩したらいけない理由
1.マイナンバーは人が生まれてから死ぬまで、一生1つの番号を
使い続けるのが大原則なので、指紋や虹彩と同じように、盗ま
れたり漏洩したら、絶対にいけないものなのです!
2.マイナンバーが至る所の会社から頻繁に漏洩してしまうと、
社会システムの信用が低下し、使用できなくなってしまう。
よって、政府は国の威信を掛けて、取締りに全力を燃やして
いるのです。その他、最大の理由は、本セミナーの最後で。
22
マイナンバー法は、
何がそんなにまずいの?
個人情報保護法の時は、
結局、何もやらなくてもOKだったよね。
23
出典:http://seiga.nicovideo.jp/seiga/im2083125
http://www.kyoeikasai.co.jp/kpa/agent/monosiri2011-01.htm
個人情報保護法は、
6か月間、5,000件以上の個人情報を
1日でも保有していなければ、
何も対策をしなくてOKでした。
24
しかし今回こそは、
全ての事業者(個人事業主含む)
で取組みを行わなければ
ならなくなりました。
取締りも強化予定。
罰金刑により
入札資格停止の可能性も。
25
マイナンバー法を気軽に考えると本当にまずいです
1.日本全国385万社、大企業から個人事業主まで、
全ての事業者が対象です(八百屋、ラーメン屋もです)。
2.法令対応の社内ルール作成・セキュリティ対策は、
「個人情報保護法」の約2倍です。
3.刑罰は、最高4年の懲役と1,000万円の罰金の両罰。
会社も200万円の罰金となります(4年には意味あり)。
4.従業員の教育を怠ると、代表者が懲役刑に処される
可能性があります。
26
さらにまずいことが。。。
5.遅くとも今年の11月末までには、全ての対策を完了す
る必要があります。 残りあと7か月。時間がありません。
6.外部通報、従業員からの内部通報を受け付ける組織
(国家公安委員会と同格)が作られ、ある日突然、
強制立ち入り調査が入ります。
7.マイナンバーの委託先企業は、委託元企業と同格の
セキュリティ体制を構築しなければなりません。
(お客様が大企業だったら、大企業と同格が必須)
8.「改正個人情報保護法」の施行に備え、個人情報保護
法対策も行う必要性が出てきています。
27
そして、極め付け!
9.個人情報保護法は、悪意を持って、不正に個人情報
を取得したり転売すると、不正競争防止法によって、
刑に処されました。
しかしマイナンバー法の場合は、善意であっても、
法律が許可した場合以外で、他人からマイナンバー
の提供を求めたら、罪に問われる可能性があります!
マイナンバーを取得する必要はありません。
「あなたのマイナンバー、教えてください」と
声を掛けただけで罪になるのです。
今まで、こんなに厳しい法律、ありましたか?
28
その他
10.「マイナンバー」と「個人情報」を組み合わせたファイル
=「特定個人情報ファイル」を法の規定以外で作成した
だけでも罪になります。
11.退職者の「特定個人情報ファイル」を、法廷保存年限を
超えて保持しても、罰せられます。
(源泉徴収票は、退職した翌年から起算して7年)
29
出典:http://www.cubicball.com/365/+モノ/xperia/382/
それでは
実際に、マイナンバー法制度の
対策を進めてみましょう。
30
10月5日~11月半ば
31
↓ここの部分に、何をすれば良いかが記載されている
32
よって、会社(個人事業主含む)は、12月31日までに、全従業員と
その扶養家族のマイナンバーを、安全・確実に取得しておく必要があります。
33
マイナンバーを 取得す る前 日までに準備が必要
(
できれば9月末まで)
1.対象業務の洗い出し
2.組織体制を作る
3.対策スケジュールの決定
4.社内規程作り(修正含む)
5.システム開発や改修
6.安全管理措置の検討
7.従業員教育の実施
34
※5つの取扱状態の時の、セキュリティ対策を行ってください。
マイナンバー法制度の目的やメリット、その他
民間企業における漏洩対策などの準備が必要な
ことは理解した。
しかし、一体全体、何をどこから始めれば良いのか?
皆目見当がつかない。。。
35
出典:http://エナジードリンクファン.net/design-marketing/
http://beehives.jp/2012/04/post-428.html
そこで内閣官房は、特定個人情報保護委員会を通じて、
「特定個人情報保護ガイドライン(事業者編)」を作成し、
公表致しました。
これを読めば、誰でも簡単に何をすれば良いかが、理解
できるはずです!
36
37
内閣府資料
38
内閣府資料
39
内閣府資料
40
内閣府資料
内閣府資料
奥さんは、旦那が勤めている会社へ直接
処理を提出しなければならない。
旦那さんが家族分のマイナンバーを 41
取得して、会社へ提出することができる。
内閣府資料
42
43
内閣府資料
44
内閣府資料
一般企業は、取引先等からマイナンバーの提供を受ける必要があります
1.支払調書に、個人番号・法人番号を記載。
・報酬、料金、契約金、及び賞金の支払調書。
・不動産使用料等の支払調書。
→通常の営業取引ではなく、総務や人事部門マターのケースが
多いと考えられる。
2.2016年1月以降、取引先等への支払いをする際に、取引先等から個人
番号・法人番号の提供を受ける。
①取引先が法人である場合
・法人番号は、取得の際にマイナンバー法の「本人確認」
は不要。
・法人番号は、国税のWebサイトで検索できるようになる。
・法人番号は自社で検索することができるので、取引先か
らわざわざ取得しなくても良い。
・ただし、人格のない社団については、検索できないケース
もある。
45
一般企業は、株主からマイナンバーの提供を受ける必要があります
1.支払調書に、個人番号・法人番号を記載。
・配当、余剰員の分配、及び基金利息の支払調書。
2.2016年1月以降、株主への配当を行う前に、株主等から、個人番号
法人番号の提供を受ける。
3.株主からの提供
①上場企業の場合、振替機関等から発行者(株主名簿管理人)
への通知。
②未上場企業の場合、株主からの直接の提供。
→2016年1月以降の株主総会の招集通知。
4.既存の株主については、3年間の猶予規程あり。
よって、2016年1月1日以前の株主は、3年かけてマイナンバーを
集めればOK。
46
金融機関の場合は、顧客からマイナンバーの提供を
受ける必要があります
1.法定調書の作成義務がある金融取引
→2016年1月以降、法定調書に個人番号・法人番号を記載します。
(1)譲渡所得が発生する証券取引(ただし、3年間の経過措置あり)
・2016年1月前に、既に特定口座・非課税口座を開設している者。
・2016年1月前に、国外送金等に係る調書提出制度に関して、既に
本人口座の開設をしている者。
(2)法人の定期性預貯金(ただし、3年間の経過措置あり)
(3)先物取引(FX等)(ただし、3年間の経過措置あり)
(4)生保・損保の保険金・解約返戻金等(予定通り、2016年1月スタート)
47
しかし、「ガイドライン」を読んでも、チンプンカンプンで
どうしたら良いか悩む社長さんや総務担当者さんが、たくさん
いらっしゃるようになりました。
48
出典:http://www.nagano-sci.or.jp/modules/about/index.php?content_id=3
http://sakurapcschool.mirrors-direct.com/pc_network/
日本商工会議所では、もっと分かりやすい資料を、内閣官房へ要請しました
49
出典:http://www.jcci.or.jp/recommend/request/2015/0410203535.html
マイナンバー制度に係る事業者への周知徹底等に関する要望
平成27年4月10日
日本商工会議所
商工会議所では、かねてより社会保障と税に共通した社会的インフラとして番号制度の早期導入を求めてきたところであり、平成27年10月から国民へ
共通番号(マイナンバー)が通知され、平成28年1月から利用が開始されることを評価している。
しかし、通知を6カ月後に控える中、マイナンバーの各行政手続き書類への記載や、マイナンバーを含む特定個人情報の管理が義務づけられる事業
者への周知は、現時点において決して十分であるとは言い難い。
主要商工会議所のアンケート(※)では、制度導入への対応に「すでに取り組んでいる」と回答した企業はわずか5%にとどまり、「制度自体が不明」
「何をすべきかがわからない」と回答した企業が44%を占めるなど、事業者の対応に大幅な遅れが生じている。
特に、特定個人情報の管理については、罰則規定が盛り込まれたことにより、多くの事業者には様々な誤解や過度な不安感が広がっており、事業者
の規模や扱う特定個人情報のレベルに応じた適切な管理方法を、具体的かつ早急に周知徹底する必要がある。
ついては、マイナンバー制度の導入に向けて事業者が円滑かつ適切に対応できるよう、下記の各項を含む必要十分な対策を講じられたい。
記
1.国民一般がまず行う具体的な対応(番号通知書の保管、給与支払者への番号通知)の周知に加え、事業者側の視点に立った周知徹底を図る必要
がある。特に、小規模・中小企業については、従業員数や人事・経理システムの有無等でその対応レベル(①事務取扱担当者の教育、②番号の収
集、③管理)が異なるため、規模別の対応例をビジュアル化したわかりやすい資料で周知すること。
2.特定個人情報の管理方法について、直罰・両罰規定が適用され得る範囲をわかりやすく明示し、事業者の過度な不安感の払しょくに努めること。
3.今後、事業者からの相談が急増することが見込まれるため、各行政機関等を通じた十分かつ多様な相談体制を確保すること。特に、地域での相談
にきめ細かく対応できるよう都道府県、市町村、税務署、社会保険事務所等、関係地方行政機関における相談窓口(電話、対面)を設置すること。
4.行政、公的機関、商工会議所等が実施する事業者向け説明会では、開催場所や回数などに物理的な限界がある。マイナンバーを利用する行政手
続きに係る税・社会保険関係機関からの周知・広報を前倒し、前広に徹底すること。
5.制度導入に伴う事業者のシステム改修等で一定以上の費用負担が生じる場合の経済的支援措置を検討すること。
以上
(※)2015年4月以降東京、大阪、名古屋、新潟で商工会議所が開催するセミナーに申し込んだ事業者計1,162社の回答を集計したもの
50
http://www.jcci.or.jp/kikaku/20150410/youbou.pdf
「特定個人情報取扱ガイドライン」
は、何がそんなに難しいのか?
実は、Pマークコンサルを行っている
私でさえも、本当に理解するのに
2ヶ月半も掛かりました。
51
「マイナンバー法」を理解するには、
「個人情報保護法」の正確な理解が
必要です。
※「マイナンバー法」とは、「行政手続きにおける特定の個人を識別するための
番号の利用等に関する法律」(平成25年法律第27号。通称「番号法」)
のことを表しています。
政府広報資料
52
マイナンバー法は、個人情報保護法(一般法)の
「特別法」に位置付けられています。
マイナンバー法(特別法)
個人情報保護法(一般法)
個人情報保護法の全部ではなく、ところどころで、要求される事項が違います。
53
一般法・特別法
一般法とは、適用対象がより広い法のことを、特別法とは、適用対象がより特定さ
れている法のことをいう。両者の区別は相対的である。
相対的:他との関係において成り立つさま。また、他との比較の上に成り立つさま。
概要
一般法とはその分野に対して一般的に適用される法であり、特別法がない限りその
法律は適用される。
特別法は一般法に優先する。一般法と特別法とで法が異なった規律を定めている
場合、特別法の適用を受ける事象は一般法の規律が排除され、特別法の規律が適用
される。
特別法が規定される理由はさまざまであるが、一般的にいえば、特別な分野に対し
ては一般的な法律の他にその分野特有の規律が必要であることから、特別法が定め
られるのが通例である。
(例)民法と商法との関係は、民法が一般法であるのに対し、商法は特別法である。54
特定個人情報取扱ガイドライン
(マイナンバー法)
金融機関の場合、
金融業務(別冊)も遵守する
必要があります。
全57ページ
個人情報保護ガイドライン
(個人情報保護法)
金融機関の場合、
金融庁ガイドラインも遵守する
必要があります。
全71ページ
55
マイナンバー法は、個人情報保護法を土台にしている。
マイナンバー法で記載が無い部分は、個人情報保護法に従う。
よって、この2つは、一体として理解する必要があります。
マイナンバー法(特別法)
個人情報保護法(一般法)
56
2005年4月1日
「個人情報保護法」が本格施行
された時は、現実的には
どのように対策を行ったのか?
57
2002年頃から、ローソンやソフトバンクなど、
顧客情報の大量漏洩が社会問題化していた時期。
法律施行により、日本全国は、パニックに陥りました。
58
個人情報保護法
個人情報保護法対策
として、民間企業が
どのような対策をしたら
良いかの具体策として、
プライバシーマーク認証
制度を経済産業省が主体
となり用意しました。
(受け皿としての位置付け)
1998年~スタート。
当初は、2000年~
個人情報保護法が施行
されるはずであった。
(JISQ15001)
プライバシーマークは、JIPDECの登録商標です。
JIPDEC:一般財団法人日本情報経済社会推進協会
59
JIPDEC資料
1998年
2000年
2003年
2005年
60
2011年
マイナンバー法
JIPDECでは、
JISQ15001をマイナンバー
法に対応させる作業を
行うかどうか検討中。
行ったとしても、
2017年以降になる
見通し(消極的)。
内閣官房では、
マイナンバー法に
対応した規程帳票
雛形を作るつもりは
ない。
業種業態が多すぎ
るから。
一般財団法人マイナンバーマーク付与審査認証機構
(設立準備中)
61
各社の現状に応じた取組みを行う必要があります
現状、以下の5つの種類の会社が存在します。
JISQ15001:
2006
個人情報
取扱事業者でない
何もやっていない
個人情報
取扱事業者である
何もやっていない
(法令違反状態)
プライバシーマーク
を取得している
Pマーク:13,978社
(2015年4月7日)
個人情報
保護
独自規定
独自の個人情報保護
規定を運用している
(P以外の認証含む)
個人情報
保護
独自規定
(ISMS)
ISO27001を
取得している
ISO27001:4,622社
62
(2015年4月7日)
各社の現状に応じた取組みを行う必要があります
それぞれの状況に則した社内規定の作成方法をしなければなりません。
ワンセットとなった
規程を利用する。
どちらか選択
特定
個人情報
保護規定
特定個
人情報
保護規
定
JISQ
15001:
2006
個人情報
取扱事業者でない
何もやっていない
マイナンバー規程を別途で作り、
既存の個人情報保護規定の上に乗せる形で改
定を行う方ことも可能。
特定
個人情報
保護規定
特定個
人情報
保護規
定
個人情
報保護
独自規
定
個人情報
取扱事業者である
何もやっていない
(法令違反状態)
JISQ15001:
2006
プライバシーマーク
を取得している
Pマーク:13,978社
(2015年4月7日)
特定
個人情報
保護規定
特定
個人情報
保護規定
個人情報
保護
独自規定
独自の個人情報保護
規定を運用している
個人情報
保護
独自規定
(ISMS)
ISO27001を
取得している
ISO27001:4,622社
63
(2015年4月7日)
「個人情報保護法」のおさらい
64
「個人情報保護法」は、6つの「大分類」からできています
個人情報
個人データ
保有
個人
データ
全て
6.苦情の処理
理
5.保有個人データの公表等
3.管
得
4.第 三者提供
2.取
1.
利用目的の特定
65
個人情報の種類によって、法律で求められる義務が違います。
「マイナンバー法」は、緑線枠の部分に限定規制がある
個人情報
個人データ
保有
個人
データ
全て
6.苦情の処理
理
5.保有個人データの公表等
3.管
得
4.第 三者提供
2.取
1.
利用目的の特定
「個人情報保護規程」に追記することで対応します。
66
「個人情報保護法」の「中分類」
67
「個人情報保護法」の「中分類」
1.利用目的の特定
(1)利用目的の特定
(2)利用目的の変更制限
(3)目的外利用の禁止
(4)事業承継時の利用について
(5)適用除外(目的外利用の適用除外)
①法令に基ずく場合
②人の生命、身体又は財産の保護
③公衆衛生の向上
④国の機関等への協力
2.取得
(1)適正取得
(2)利用目的の通知又は公表
(3)直接書面等による取得
(4)利用目的の変更
(5)適用除外(取得する際の利用目的の通知・公表義務の適用除外)
①本人又は第三者の権利利益を害するおそれ
②当該個人情報取扱事業者の権利等を害するおそれ
③国の機関への協力
④利用目的が自明
68
3.管理
(1)データ内容の正確性の確保
(2)安全管理措置
①組織的安全管理措置
②人的安全管理措置
③物理的安全管理措置
④技術的安全管理措置
(3)従業者の監督
(4)委託先の監督
4.第三者提供
(1)原則
①あらかじめ本人の同意が必要
(2)適用除外(本人の同意がなく第三者提供できる適用除外)
(3)オプトアウト
69
(4)第三者に該当しないもの
①委託
②事業の承継
③共同利用
5.保有個人データの公表等
(1)保有個人データに関する事項の公表等
①保有個人データに関する事項の本人への周知
②保有個人データの利用目的の通知
(2)保有個人データの開示
①開示しなくて良い場合
(3)保有個人データの訂正・追加・削除
①訂正・追加・削除をしなくて良い場合
(4)保有個人データの利用停止・消去
①利用停止・消去しなくて良い場合
70
(5)理由の説明
①措置をとらない場合
②異なる措置をとる場合
(6)開示等の求めに応じる手続き
①受付先
②申込書類の様式(フォーマット)と受付方式
③申込人(本人又は代理人)の確認方法
④手数料の徴収方法
(7)手数料
6.苦情の処理
(1)苦情処理に努める
(2)苦情処理体制の整備に努める
71
「個人情報保護法」の「小分類」
72
「個人情報保護法」の「小分類」
1.利用目的の特定
(1)利用目的の特定
①事業の内容の種類毎、並びに顧客の種類毎に利用目的を限定
して示す。
②本人の選択によって、利用目的の限定が出来るようにする。
③第三者提供を想定している場合には、利用目的に予め加えて
おかなければならない。
④雇用管理情報(人事評価情報)については、項目毎に分けて
利用目的を特定する。
(2)利用目的の変更制限
①利用目的を変更する場合には、変更前の利用目的と相当の
関連性を有すると合理的に認められる範囲内で行う。
②事業の範囲を超えての変更は、目的外利用となるので、本人
の同意が必要(本人が想定することが困難であるため)。
③利用目的を変更した場合は、本人に通知、又は公表する。
(3)目的外利用の禁止
①目的外で利用する場合は、再度、本人の同意が必要。
②同意を得るために個人情報を利用する行為は、目的外利用に
該当しない。
73
(4)事業承継時の利用について
①合弁、分社化、営業譲渡等、事業承継によって取得した個人
情報は、承継前の利用目的の範囲内でのみ使用することが
できる。
②目的外利用をする場合は、本人から改めて同意を取る必要が
ある。
(5)適用除外(目的外利用の適用除外)
①法令に基ずく場合
A.強制力を伴く法令事例
B.強制力を伴わない法令事例
②人の生命、身体又は財産の保護
A.本人の同意を得ることが困難であることが大前提。
B.ただし、他の方法により、本人の権利利益の保護が
十分可能である場合は、適用除外されない。
③公衆衛生の向上
A.特に必要な場合であり、かつ、本人の同意を得る
ことが困難であることが大前提。
B.他の方法により、公衆衛生の向上又は児童の健全
な育成が十分可能である場合は、適用除外されない。
74
④国の機関等への協力
A.民間企業等の協力を得ることが大前提。
B.本人の同意を得ると支障がある場合に限る。
2.取得
(1)適正取得
①偽り、不正手段での個人情報の取得禁止。
②不正な利益を得る目的、又は個人データの保有者に損害を
加える目的で、不正取得、不正使用、不正開示した場合には、
不正競争防止法 第21条、第22条により刑事罰に処される。
行為者に対しては、10年以下の懲役、若しくは1,000万円以下
の罰金、又はその併科。法人に対しては、3億円以下の罰金。
③第三者から個人情報を取得する場合は、提供元が適切に個人
情報を取得し管理しているか確認。
④具体的には、取得の経緯を示す契約書等の書面を確認。
(2)利用目的の通知又は公表
①個人情報を取得する前に、利用目的を公表。
②公表していなかった場合には、取得後速やかに利用目的を
本人に通知又は公表。
75
(3)直接書面等による取得
①本人から直接書面によって個人情報を取得する場合は、予め
本人に対して利用目的を明示しなければならない。
②口頭による取得の場合は、予め利用目的を公表、又は取得後
速やかに利用目的を本人に通知又は公表。
③人の生命、身体、又は財産の保護のために緊急を要する場合は、
予め本人に対し、利用目的を明示する必要はない。しかし、
取得後速やかに利用目的を本人に通知又は公表。
(4)利用目的の変更
①原則、個人情報を取得した後は、利用目的は変更できない。
②どうしても利用目的を変更したい場合は、
A.社会通念上、本人が想定できる範囲内。
(範囲外は、本人の再同意が必要)
B.変更された利用目的を、本人に通知又は公表。
(5)適用除外(取得する際の利用目的の通知・公表義務の適用除外)
①本人又は第三者の権利利益を害するおそれ
A.いわゆる総会屋の個人情報の取得と共同利用
76
②当該個人情報取扱事業者の権利等を害するおそれ
A.新商品開発情報、営業ノウハウ等の企業情報。
B.いわゆる暴力団や不正取引者、業務妨害者等の
個人情報の取得。
③国の機関への協力
A.協力する民間企業等が、国の機関等から受け取った
個人情報については、協力業務に支障の恐れがある
場合は、利用目的を本人に通知又は公表をしなくて
も良い。
④利用目的が自明
A.個人情報を取得する状況から見て、利用目的が明ら
かな場合。
B.名刺交換で取得した個人情報を使って、ダイレクト
メールやメルマガを送るのは、自明の利用目的に該当
しない(直接書面による取得なので、口頭でも良いの
で。メルマガ送付許可の確認を取ること)。
77
3.管理
(1)データ内容の正確性の確保
①利用目的の達成に必要な範囲において、個人データを正確かつ最新
の状態に保つ。
②保有する個人データを一律に又は常に最新化する必要はない。
(2)安全管理措置
①組織的安全管理措置(講じなければならない事項)
A.個人データの安全管理措置を講じるための組織体制の整備。
・従業者の役割・責任の明確化。
・個人情報保護管理者の設置。
・総括部署の設置、取扱を監督する管理委員会の設置。
・現場作業責任者の設置、作業担当者の限定。
・情報システム運用責任者の設置、システム担当者の限定。
・部署の役割と責任の明確化。
・監査責任者の設置。
・監査実施体制の整備。
・規程違反の代表者等への報告連絡体制の整備。
・事件事故の代表者等への報告連絡体制の整備。
・苦情処理体制との連携。
・本人への情報提供体制の整備。
78
・主務大臣等への報告体制の整備。
B.個人データの安全管理措置を定める規程等の整備と、規程
等に従った運用。
・情報システムの安全管理規程の整備と運用。
・建物、部屋、保管庫等の安全管理規程の整備と運用
・委託先の選定基準、委託契約書の雛形、委託状況チェック
リストの整備と運用。
・監査証跡の保持。
・情報システム利用申請書。
・権限付与申請書。
・権限一覧表。
・入退館(室)記録。
・データアクセス(操作)記録。
・教育受講者一覧表。
C.個人データの取扱状況を一覧できる手段の整備。
・個人データ取扱台帳の整備。
・取得する項目。
・明示・公表等を行った利用目的。
・保管場所。
・保管方法。
・アクセス権限を有する者。
79
・利用期限。
・個人データ取扱台帳の最新状態の維持。
D.個人データの安全管理措置の評価、見直し及び改善。
・監査計画の立案。
・計画に基づく監査(内部監査又は外部監査)の実施。
・監査実施結果のとりまとめと、代表者への報告。
・監査結果に応じた代表者による安全管理措置の見直し
及び改善。
E.事故又は違反への対処。
・事故調査、原因の究明
・影響範囲の特定
・再発防止策の検討・実施
・影響を受ける可能性のある本人への連絡
・本人への謝罪と二次被害の防止
・本人への連絡を省略しても構わない事例
・主務大臣への報告
・認定個人情報保護団体の対象事業者の場合
・以下の場合は、主務大臣へ速やかに報告
・機微データの漏洩の場合
・信用情報、クレジットカード情報の漏洩の場合
・繰り返し漏洩事件の発生の場合
80
・認定個人情報保護団体が必要と考える場合
・認定個人情報保護団体の対象事業者でない場合
・主務大臣へ報告
・関係機関への報告
・所属する業界団体等への報告
・事故違反の報告は、月に1度まとめて報告可能。
・事実関係、再発防止策の公表
・公表をしなくても良い場合の事例
【個人データの取扱規程に記載する事項の例示】
(1)個人データのステータス
①取得・入力
②移送・送信
③利用・加工
④保管・バックアップ
⑤消去・破棄
(2)記載内容
①作業責任者の明確化
②手続きの明確化と手続きに従った実施
③作業担当者の識別、認証、権限付与
④作業担当者及びその権限の確認
81
②人的安全管理措置(講じなければならない事項)
A.雇用契約時における従業者との非開示契約の締結。
B.委託契約時(派遣契約含む)における委託元と委託先間での
非開示契約の締結。
C.従業者に対する内部規定等の周知・教育・訓練の実施。
なお、管理者が定めた規程等を守るように監督することにつ
いては、法第21条を参照。
③物理的安全管理措置(講じなければならない事項)
A.入退館(室)管理の実施
B.盗難等の防止
C.機器・装置等の物理的な保護
④技術的安全管理措置(講じなければならない事項)
A.個人データへのアクセスにおける識別と認証
B.個人データへのアクセス制御
C.個人データへのアクセス権限の管理
D.個人データのアクセス記録
E.個人データを取扱う情報システムについての不正ソフトウェア
対策
82
F.個人データの移送・送信時の対策
G.個人データを取扱う情報システムの動作確認時の対策
H.個人データを取扱う情報システムの監視
(3)従業者の監督
①事件・事故が起きた際のリスクの大きさに応じて適切な監督が必要。
②従業者とは、正社員、契約社員、嘱託社員、パート社員、アルバイト
社員、取締役、執行役、理事、監査役、監事、派遣社員等。
③モニタリングを実施する際には、労働者への事前通知又は協議が必要。
(4)委託先の監督
①委託先の選定
A.個人情報保護管理者が適切に最終評価を行う。
B.以下の(ア)~(エ)について、a、b、cの観点で評価する。
a.委託先の社内体制
b.委託先の規程
c.委託先の実地検査(必要に応じて)
(ア)組織的安全管理措置
(イ)人的安全管理措置
(ウ)物理的安全管理措置
(エ)技術的安全管理措置
83
②委託契約の締結
A.委託元、委託先双方が合意した内容。
B.委託した個人データの取扱状況を把握する内容。
具体的には以下の内容を盛り込む。
・委託元及び委託先の責任の明確化。
・個人データの安全管理に関する事項。
・再委託に関する事項。
・個人データの取扱状況に関する委託元への報告の内容
及び頻度。
・契約内容が順守されていることの確認(例えば、情報
セキュリティ監査等も含まれる)。
・契約内容が遵守されなかった場合の措置(例えば、安全
管理が遵守されずに個人データが漏洩した場合の損害
賠償に関する事項も含まれる)。
・セキュリティ事件・事故が発生した場合の報告・連絡に
関する事項。
③委託先における個人データ取扱状況の把握
・委託先の定期的な再評価
・委託元が再委託を行い、再委託先で事件・事故が発生
84
した場合、元の委託元がその責めを負うこともあり得る。
・委託先が再委託先をしっかり監督しているか、元の委託
元は監督する。
・クレジットカード情報の委託は、より高い水準での監督が
必要。
・委託の有無、委託する事務の内容を、本人へ通知・公表
する。
・委託元は委託先に対し、個人データの具体的な安全管理
措置の内容を指示しなければならない。
・委託元は委託先に対し、再委託の条件の内容を指示しな
ければならない。
4.第三者提供
(1)原則
①あらかじめ本人の同意が必要
(2)適用除外(本人の同意がなく第三者提供できる適用除外)
①法令に基づく場合
②人の生命、身体又は財産の保護
③公衆衛生の向上等
④国の機関等への協力
85
(3)オプトアウト
①以下の事項のすべてを本人に通知し、又は本人が容易に知り得る状態
置いている。
②かつ、本人の求めに応じて、第三者への提供を停止する場合には、予め
本人の同意を取得する必要はない。
A.第三者への提供を利用目的とすること。
B.第三者へ提供される個人データの項目。
C.第三者への提供の手段又は方法。
D.本人の求めに応じて、第三者への提供を停止すること。
③ただし、本人より直接書面によって個人情報を取得する場合は、予め
同意が必要。
(4)第三者に該当しないもの
①委託
②事業の承継
③共同利用
A.以下の事項のすべてを本人に通知し、又は本人が容易に知り
得る状態置かなければならない。
a.共同して利用される個人データの項目。
b.共同して利用する者の範囲。
86
c.利用する者の利用目的。
d.責任者の氏名又は名称。
e.事前に取り決めておく事項
(ア)共同利用者の要件。
(イ)各共同利用者の個人情報取扱責任者、問い合わ
せ担当者及び連絡先。
(ウ)共同利用する個人データの取扱いに関する事項。
・個人データの漏えい等防止に関する事項。
・目的外の加工、利用、複写、複製等の禁止。
・共同利用終了後のデータの返還、消去、破棄
に関する事項。
・取決めがが遵守されなかった場合の措置。
・事件・事故が発生した場合の報告・連絡に
関する事項。
・共同利用を終了する際の手続き。
(5)雇用管理に関する個人データ関連
①提供先において、従業者の個人情報を漏らし、又は盗用の禁止。
②再提供を行う場合は、予め文書をもって提供元の了承を得ること。
③提供先における保管期間等を明確化すること。
④利用目的達成後は、提供先において個人データを返却・破棄・削除して
87
もらう。また提供元は提供先がきちんと破棄等しているか確認すること。
⑤提供先において複写・複製(バックアップを除く)を禁止すること。
5.保有個人データの公表等
(1)保有個人データに関する事項の公表等
①保有個人データに関する事項の本人への周知
A.個人情報取扱事業者の氏名又は名称。
B.全ての保有個人データの利用目的(ただし一定の場合を除く)
・本人又は第三者の権利利益を害する恐れ。
・当該個人情報取扱事業者の権利等を害する恐れ。
・国の機関への協力。
C.保有個人データの利用目的の通知及び保有個人データの開示
に係る手数料の額(定めた場合に限る)。並びに開示等の求め
の手続き。
D.保有個人データの取扱いに関する苦情及び問い合わせの申出先
(個人情報取扱事業者が認定個人情報保護団体に所属している
場合には、その団体の名称及び申出先も含む)。
②保有個人データの利用目的の通知
A.通知しなくて良い場合
a.利用目的が明らかな場合。
88
b.本人又は第三者の生命、身体又は財産、その他権利利益を害
する恐れがある場合。
c.当該個人情報取扱事業者の権利等を害する恐れがある場合。
d.国の機関への協力。
(2)保有個人データの開示
①開示しなくて良い場合
A.本人又は第三者の生命、身体、財産、その他の権利利益の保護。
B.個人情報取扱事業者の業務に支障を及ぼす場合。
C.他の法令に違反する場合。
(3)保有個人データの訂正・追加・削除
①訂正・追加・削除をしなくて良い場合
A.他の法令の規程により、特別の手続きが定められている場合。
B.「事実でないという理由」が確認できない場合。
C.訂正等の対象保有個人データの内容が事実でなく評価に関する
情報である場合。
(4)保有個人データの利用停止・消去
①利用停止・消去しなくて良い場合
89
A.第16条違反(目的外利用)又は、第17条違反(不適切取得)を
していない場合。
B.第16条並びに第17条に違反していたとしても、利用停止や消去
に多額の費用を要する場合、又は困難な場合には、本人の権利
利益を保護するために、必要なこれに代わるべき措置をとる場
合。
C.第三者提供の停止について
a.第23条第1項(予め本人の同意を得る)に違反していない場合。
b.第23条第1項に違反していたとしても、第三者提供の停止が
困難で、かつ本人の権利利益の保護措置をとった場合。
D.「全部消去」を求められた場合、利用停止することでも対応可能。
(5)理由の説明
以下の2点の場合、本人へ理由を説明するよう努めなければならない。
①措置をとらない場合
②異なる措置をとる場合
90
(6)開示等の求めに応じる手続き
①受付先
②申込書類の様式(フォーマット)と受付方式
③申込人(本人又は代理人)の確認方法
④手数料の徴収方法
(7)手数料
①手数料の額を定めることができる。
②手数料の額を定めた場合は、本人の知り得る状態に置くこと。
③手数料の額は、実費を勘案して、合理的でなければばらない。
6.苦情の処理
(1)苦情処理に努める
(2)苦情処理体制の整備に努める
91
「個人情報保護法」の「小分類」
に「マイナンバー法」を追記すると
黒色文字:個人情報保護法と番号法の両方に適用される。
緑色文字:番号法のみ適用。
オレンジ色文字:番号法では適用されないが、個人情報保護法では適用される。
92
「個人情報保護法」+「マイナンバー法」の「小分類」
1.利用目的の特定
(1)利用目的の特定
①事業の内容の種類毎、並びに顧客の種類毎に利用目的を限定
して示す。
②本人の選択によって、利用目的の限定が出来るようにする。
③第三者提供を想定している場合には、利用目的に予め加えて
おかなければならない。
④雇用管理情報(人事評価情報)については、項目毎に分けて
利用目的を特定する。
番号法 ⑤個人番号の利用目的は、番号法第9条の中からしか特定すること
ができない。例え本人の同意があっても利用目的を勝手に決める
ことはできない(適用除外あり→(5))。
(2)利用目的の変更制限
①利用目的を変更する場合には、変更前の利用目的と相当の
関連性を有すると合理的に認められる範囲内で行う。
番号法 ※ただし個人番号の利用目的は、番号法第9条の中でのみ変更可能。
②事業の範囲を超えての変更は、目的外利用となるので、本人
の同意が必要(本人が想定することが困難であるため)(番号法では
適用されない)。
③利用目的を変更した場合は、本人に通知、又は公表する。
93
(3)目的外利用の禁止
①目的外で利用する場合は、再度、本人の同意が必要(番号法では適用
されない)。
②同意を得るために個人情報を利用する行為は、目的外利用に
該当しない(番号法では適用されない)。
番号法
③番号法は個人情報保護法とは異なり、本人の同意があったと
しても、利用目的を超えて特定個人情報を利用してはならない。
94
(4)事業承継時の利用について
①合弁、分社化、営業譲渡等、事業承継によって取得した個人
情報は、承継前の利用目的の範囲内でのみ使用することが
できる。
②目的外利用をする場合は、本人から改めて同意を取る必要が
ある(番号法では適用されない)。
番号法
③特定個人情報の取扱いについても①と同じ。ただし、本人の同意
があったとしても、承継前に特定されていた利用目的を超えて
特定個人情報を利用してはならない。
(5)適用除外(目的外利用の適用除外)
①法令に基ずく場合(番号法では適用されない)
A.強制力を伴く法令事例
B.強制力を伴わない法令事例
②人の生命、身体又は財産の保護(番号法では、⑥を適用)
A.本人の同意を得ることが困難であることが大前提。
B.ただし、他の方法により、本人の権利利益の保護が
十分可能である場合は、適用除外されない。
③公衆衛生の向上(番号法では適用されない)
A.特に必要な場合であり、かつ、本人の同意を得る
ことが困難であることが大前提。
95
B.他の方法により、公衆衛生の向上又は児童の健全
な育成が十分可能である場合は、適用除外されない。
④国の機関等への協力(番号法では適用されない)
A.民間企業等の協力を得ることが大前提。
B.本人の同意を得ると支障がある場合に限る。
番号法
⑤金融機関が激甚災害時に金銭の支払を行う場合。
A.支払調書作成の利用目的のために保有している個人番号
を、預金者へ預金を払い出すために、預金情報の検索時
に個人番号を利用することができる。
⑥人の生命、身体又は財産の保護のために必要がある場合。
A.本人の同意を得ることが困難でなくても良い。
B.支払調書作成の利用目的のために保有している個人番号
を利用できる。
番号法
(6)特定個人情報ファイルの作成制限
①むやみに、特定個人情報ファイルを作成することはできない。
②特定個人情報ファイルを作成することができるのは、個人番号関係
事務、又は個人番号利用事務を処理するために必要な範囲に限って
のみである。
③委託先においても、上記②の範囲内に限って、特定個人情報ファイル
96
を作成することができる。
2.取得
(1)適正取得
①偽り、不正手段での個人情報の取得禁止。
②不正な利益を得る目的、又は個人データの保有者に損害を
加える目的で、不正取得、不正使用、不正開示した場合には、
不正競争防止法 第21条、第22条により刑事罰に処される。
行為者に対しては、10年以下の懲役、若しくは1,000万円以下
の罰金、又はその併科。法人に対しては、3億円以下の罰金。
③第三者から個人情報を取得する場合は、提供元が適切に個人
情報を取得し管理しているか確認。
④具体的には、取得の経緯を示す契約書等の書面を確認。
番号法
⑤本人に対する個人番号の提供の要求
A.事業者は、番号法第14条を根拠とし、従業員その他個人の
支払先に対し、個人番号の提供を求めることができる。
⑥他の個人番号関係事務実施者、又は個人番号利用事務実施者
に対する個人番号の提供の要求
97
A.事業者は、番号法第14条を根拠とし、従業員に対し、扶養
親族の個人番号を記載した扶養控除等申告書の提供を
求めることができる。
B.従業員は、扶養親族の個人番号を記載した扶養控除等申告書
を提出する法令上の義務を負っていることから、「個人番号
関係事務実施者」として取り扱われる。
⑦個人番号の提供を求める時期
A.個人番号関係事務が発生した時点で、都度、個人番号の提供
を求めるのが原則。
B.しかし、本人との法律関係等に基づき、個人番号関係事務の
発生が予想される場合には、契約を締結した時点で個人番号
の提供を求めることが可能。
C.なお、契約内容等から個人番号関係事務が明らかに発生しな
い場合には、個人番号の提供を求めてはならない。
⑧収集・保管の制限
A.何人も、番号法第19条各号のいずれかに該当する場合を除き、
他人の個人番号を含む特定個人情報を収集又は保管してはな
らない。
B.ただし、子、配偶者等の自己と同一の世帯に属する者の特定
個人情報は、同法第19条各号のいずれに該当しなくても、
98
収集又は保管することができる。
C.直接本人から収集する他、間接的に収集する場合も当てはまる。
D.なお、特定個人情報の提示を受けただけでは、「収集」には
当たらない。
E.個人番号関係事務に従事する者が、その個人番号関係事務
以外の目的で、従業員等の特定個人情報をノートに書き写して
はならない。
⑨本人確認
A.事業者は個人番号の提供を受ける際は、番号確認と共に、本人
確認を行わなければならない。
B.番号確認手段と本人確認手段
a.本人から個人番号の提供を受ける場合
i 個人番号カードの提示を受ける場合
ii 通知カードの提示を受ける場合
iii 上記以外の場合
・書類の提示を受ける場合
・電子情報処理組織を使用して個人番号の提供を
受ける場合
b.本人の代理人から個人番号の提供を受ける場合
i 書類の提示を受ける場合等
ii 電子情報処理組織を使用して個人番号の提供を
99
受ける場合
(2)利用目的の通知又は公表
①個人情報を取得する前に、利用目的を公表。
②公表していなかった場合には、取得後速やかに利用目的を
本人に通知又は公表。
番号法 ③何人も、番号法第19条各号のいずれかに該当しない場合には、
他人の個人番号の提供を求めてはならない。
A.ただし、子、配偶者等の自己と同一の世帯に属する者に
対しては、個人番号の提供を求めることができる。
100
(3)直接書面等による取得
①本人から直接書面によって個人情報を取得する場合は、予め
本人に対して利用目的を明示しなければならない。
②口頭による取得の場合は、予め利用目的を公表、又は取得後
速やかに利用目的を本人に通知又は公表。
③人の生命、身体、又は財産の保護のために緊急を要する場合は、
予め本人に対し、利用目的を明示する必要はない。しかし、
取得後速やかに利用目的を本人に通知又は公表。
(4)利用目的の変更
①原則、個人情報を取得した後は、利用目的は変更できない。
②どうしても利用目的を変更したい場合は、
A.社会通念上、本人が想定できる範囲内。
(範囲外は、本人の再同意が必要)
B.変更された利用目的を、本人に通知又は公表。
(5)適用除外(取得する際の利用目的の通知・公表義務の適用除外)
①本人又は第三者の権利利益を害するおそれ
A.いわゆる総会屋の個人情報の取得と共同利用
101
②当該個人情報取扱事業者の権利等を害するおそれ
A.新商品開発情報、営業ノウハウ等の企業情報。
B.いわゆる暴力団や不正取引者、業務妨害者等の
個人情報の取得。
③国の機関への協力
A.協力する民間企業等が、国の機関等から受け取った
個人情報については、協力業務に支障の恐れがある
場合は、利用目的を本人に通知又は公表をしなくて
も良い。
④利用目的が自明
A.個人情報を取得する状況から見て、利用目的が明ら
かな場合。
B.名刺交換で取得した個人情報を使って、ダイレクト
メールやメルマガを送るのは、自明の利用目的に該当
しない(直接書面による取得なので、口頭でも良いの
で。メルマガ送付許可の確認を取ること)。
102
番号法
(6)保管制限と破棄
①特定個人情報は、個人番号関係事務を処理するために必要がある
場合に限り、保管し続けることができる。
②特定個人情報が記載された情報や書類は、法廷保存年限が過ぎた
場合、できるだけ速やかに破棄又は削除しなければならない。
③なお、個人番号部分を復元できない程度にマスキング又は削除した
上で保管継続することは可能である。
103
3.管理
(1)データ内容の正確性の確保
①利用目的の達成に必要な範囲において、個人データを正確かつ最新
の状態に保つ。
②保有する個人データを一律に又は常に最新化する必要はない。
(2)安全管理措置
①組織的安全管理措置(講じなければならない事項)
A.個人データの安全管理措置を講じるための組織体制の整備。
・従業者の役割・責任の明確化。
・個人情報保護管理者の設置。
・総括部署の設置、取扱を監督する管理委員会の設置。
・現場作業責任者の設置、作業担当者の限定。
・情報システム運用責任者の設置、システム担当者の限定。
・部署の役割と責任の明確化。
・監査責任者の設置。
・監査実施体制の整備。
・規程違反の代表者等への報告連絡体制の整備。
・事件事故の代表者等への報告連絡体制の整備。
・苦情処理体制との連携。
・本人への情報提供体制の整備。
104
・主務大臣等への報告体制の整備。
番号法
上記に追加し以下の検討が必要。
・事務における責任者の設置及び責任の明確化。
・事務取扱担当者の明確化及びその役割の明確化。
・事務取扱担当者が取扱う特定個人情報等の範囲の明確化。
・特定個人情報等を複数の部署で取扱う場合の各部署の
任務分担及び責任の明確化。
【中小規模事業者における対応方法】
・事務取扱担当者が複数いる場合は、責任者と事務取扱者
を区別することが望ましい。
105
番号法
B.個人データの安全管理措置を定める規程等の整備と、規程
等に従った運用。
・情報システムの安全管理規程の整備と運用。
・建物、部屋、保管庫等の安全管理規程の整備と運用
・委託先の選定基準、委託契約書の雛形、委託状況チェック
リストの整備と運用。
・監査証跡の保持。
・情報システム利用申請書。
・権限付与申請書。
・権限一覧表。
・入退館(室)記録。
・データアクセス(操作)記録。
・教育受講者一覧表。
上記に追加し以下の検討が必要(記録する項目)。
・特定個人情報ファイルの利用・出力状況の記録
・書類・媒体等の持出しの記録。
・特定個人情報ファイルの削除・破棄記録。
・削除・破棄を委託した場合、これを証明する記録等。
・特定個人情報ファイルを情報システムで取扱う場合、
事務取扱担当者の情報システムの利用状況(ログイン
106
実績、アクセスログ等)の記録。
【中小規模事業者における対応方法】
・特定個人情報等の取扱状況の分かる記録を保存する。
番号法
C.個人データの取扱い状況を一覧できる手段の整備。
・個人データ取扱台帳の整備。
・取得する項目。
・明示・公表等を行った利用目的。
・保管場所。
・保管方法。
・アクセス権限を有する者。
・利用期限。
・個人データ取扱台帳の最新状態の維持。
上記に追加し以下の検討が必要。
・特定個人情報ファイルの種類、名称。
・責任者、取扱部署。
・利用目的。
・削除・破棄状況。
【中小規模事業者における対応方法】
・特定個人情報等の取扱状況の分かる記録を保存する。
107
D.個人データの安全管理措置の評価、見直し及び改善。
・監査計画の立案。
・計画に基づく監査(内部監査又は外部監査)の実施。
・監査実施結果のとりまとめと、代表者への報告。
・監査結果に応じた代表者による安全管理措置の見直し
及び改善。
番号法
【中小規模事業者における対応方法】
・責任ある立場の者が、特定個人情報等の取扱状況に
について、定期的に点検を行う。
E.事故又は違反への対処。
・事故調査、原因の究明
・影響範囲の特定
・再発防止策の検討・実施
・影響を受ける可能性のある本人への連絡
・本人への謝罪と二次被害の防止
・本人への連絡を省略しても構わない事例
108
・主務大臣への報告
・認定個人情報保護団体の対象事業者の場合
・以下の場合は、主務大臣へ速やかに報告
・機微データの漏洩の場合
・信用情報、クレジットカード情報の漏洩の場合
・繰り返し漏洩事件の発生の場合
・認定個人情報保護団体が必要と考える場合
・認定個人情報保護団体の対象事業者でない場合
・主務大臣へ報告
・関係機関への報告
・所属する業界団体等への報告
・事故違反の報告は、月に1度まとめて報告可能。
・事実関係、再発防止策の公表
・公表をしなくても良い場合の事例
番号法
【中小規模事業者における対応方法】
・情報漏洩等の事案の発生等に備え、従業者から責任
ある立場の者に対する報告連絡体制等を予め確認して
おく。
109
【個人データの取扱規程に記載する事項の例示】
(1)個人データのステータス
①取得・入力
②移送・送信
③利用・加工
④保管・バックアップ
⑤消去・破棄
番号法
①取得する段階
②利用を行う段階
③保存する段階
④提供を行う段階
⑤削除・破棄を行う段階
(2)記載内容
①作業責任者の明確化
②手続きの明確化と手続きに従った実施
③作業担当者の識別、認証、権限付与
④作業担当者及びその権限の確認
110
番号法
以下の事務フローについて、手続きを明確化する。
①従業員等から提出された書類等を取りまとめる方法。
②取りまとめた書類等の源泉徴収票等の作成部署への移動方法。
③情報システムへの個人番号を含むデータ入力方法。
④源泉徴収票等の作成方法。
⑤源泉徴収票等の行政機関等への提出方法。
⑥源泉徴収票等の本人への交付方法。
⑦源泉徴収票等の控え、従業員等から提出された書類及び情報システム
で取扱うファイル等の保存方法。
⑧法廷保存期間を経過した源泉徴収票等の控え等の破棄・削除方法 等。
【中小規模事業者における対応方法】
・特定個人情報等の取扱い等を明確化する。
・事務取扱担当者が変更となった場合、確実な引継ぎを行い、責任ある
立場の者が確認する。
111
②人的安全管理措置(講じなければならない事項)
A.雇用契約時における従業者との非開示契約の締結。
・従業者の採用時、又は委託契約時における非開示契約の
締結。
・非開示条項は、契約終了後も一定期間有効である
ようにすることが望ましい。
・個人情報に関する非開示の義務を、就業規則等の
社内規程に規定することも考えられる。
・なお、社内規程に個人情報に関する非開示の義務を
規定する場合には、特に、労働基準法第89条及び
第90条等の労働関連法規を遵守する必要がある。
・個人情報保護に関する契約と、営業秘密に関する契
約は峻別する(別書面である必要はない)こと。
・非開示契約に違反した場合の措置に関する規定の整備。
・情報システムの開発・保守関係者、清掃担当者、
警備員等については、個人データを直接取り扱う
担当者ではないが、契約を締結すること。
B.委託契約時(派遣契約含む)における委託元と委託先間での
非開示契約の締結。
112
C.従業者に対する内部規定等の周知・教育・訓練の実施。
なお、管理者が定めた規程等を守るように監督することにつ
いては、法第21条を参照。
・個人データ及び情報システムの安全管理に関する従業者
の役割及び責任を定めた内部規定等についての周知。
・個人データ及び情報システムの安全管理に関する従業者
の役割及び責任についての教育・訓練の実施。
・従業者に対する必要かつ適切な教育・訓練が実施されてい
ることの確認。
番号法
D.事務取扱担当者の監督
E.事務取扱担当者の教育
③物理的安全管理措置(講じなければならない事項)
A.入退館(室)管理の実施
・入退館(室)の記録
・個人データを取扱う「業務」の、入退館(室)管理を実施し
ている物理的に保護された室内での実施。
・個人データを取扱う「情報システム等」の、入退館(室)管
理を実施している物理的に保護された室内等への設置。
113
番号法
A-1.特定個人情報を取扱う区域の管理
・特定個人情報ファイルを取扱う「情報システム」を管理する
区域(以下「管理区域」という)及び、特定個人情報等を
取扱う「事務を実施」する区域(以下「取扱区域」という)を
明確に設定し、物理的な安全管理措置を講ずる。
・「管理区域」には、入退室管理、及び「管理区域」へ持ち込
む機器等の制限を実行。
・入退室管理方法としては、ICカード、ナンバーキー等による
入退室管理システムの設置等を行う。
・「取扱区域」には、壁又は間仕切り等の設置及び座席配置
の工夫等が考えられる。
B.盗難等の防止
・個人データを記した書類、媒体、携帯可能なコンピュータ等
の机上及び社内等への放置の禁止。
・離席時のパスワード付きスクリーンセイバ等の軌道による
のぞき見等の防止。
・個人データを含む媒体の施錠保管。
・氏名、住所、メールアドレス等を記載した個人データとそれ
以外の個人データの分離保管。
114
番号法
・個人データを取り扱う情報システムの操作マニュアルの
机上等への放置の禁止。
・入退館(室)の際における業務上許可を得ていない記録
機能を持つ媒体及び機器の持ち込み及び持ち出しの禁止
と検査の実施。
・カメラによる撮影や、作業への立ち合い等による記録又は
モニタリングの実施。
・特定個人情報等を取り扱う機器、電子媒体、又は書類等を、
施錠できるキャビネット・書庫等に保管する。
・特定個人情報等を取り扱うデスクトップパソコン本体や
ノートパソコンを、セキュリティワイヤを利用して机の脚に
固定する。
C.機器・装置等の物理的な保護
・個人データを取り扱う機器・装置等の、安全管理上の脅威
(例えば、盗難、破壊、破損)や、環境上の脅威(例えば、
漏水、火災、停電)からの物理的な保護。
番号法
D.電子媒体等を持ち出す場合の漏えい等の防止
・移送(郵送)する場合には、追跡可能な手段を利用する。
115
・「持出し」とは、特定個人情報等を、「管理区域」又は「取扱
区域」の外へ移動させることを言い、事業所内の移動であ
っても、紛失・盗難等に留意する必要がある。
・特定個人情報等が記録された「電子媒体」を持ち出す際は、
データの暗号化、パスワードによる保護、施錠できる搬送
容器の使用を行う。
・ただし、行政機関等に法定調書等をデータで提出するに
当たっては、行政機関等が指定する提出方法に従う。
・特定個人情報等が記載された「書類等」を持ち出す際は、
封緘(ふうかん)、目隠しシールの貼付(ちょうふ)を行う。
【中小規模事業者における対応方法】
・特定個人情報等が記録された電子媒体又は書類等を持ち
出す場合、パスワードの設定、封筒に封入し鞄に入れて
搬送する。
E.個人番号の削除、機器及び電子媒体等の廃棄
・個人番号関係事務、又は個人番号利用事務を行う必要性が
なくなった場合で、法廷保存年限を経過した場合には、
個人番号をできるだけ速やかに復元できない手段で削除
116
又は破棄すること。
・個人番号若しくは特定個人情報ファイルを削除した場合、
又は電子媒体等を破棄した場合には、削除又は破棄した
記録を保存する。
・削除や破棄の作業を外部委託した場合には、委託先が確実
に削除又は破棄したことについて、「証明書等」を取得して
確認する。
・特定個人情報等が記載された書類等を破棄する場合、焼却
又は溶解等の復元不可能な手段を採用する。
・特定個人情報等が記録された機器及び電子媒体等を破棄
する場合、専用のデータ削除ソフトウェアの利用又は物理
的な破壊等により、復元不可能な手段を採用する。
・特定個人情報ファイル中の個人番号、又は一部の特定個人
情報等を削除する場合、容易に復元できない手段を採用
する。
・特定個人情報等を取り扱う「情報システム」においては、
保存期間経過後における個人番号の削除を前提とした
情報システムを構築する。
・個人番号が記載された「書類等」については、保存期間
経過後における破棄を前提とした手続きを定める。
117
【中小規模事業者における対応方法】
・特定個人情報等を削除・破棄したことを、責任ある立場の
者が確認する。
118
番号法
④技術的安全管理措置(講じなければならない事項)
A.個人データへのアクセスにおける識別と認証
・IDとパスワードによる本人認証。
・ワンタイムパスワードによる本人認証。
・磁気カードによる本人認証。
・ICカードやUSBキーによる本人認証。
・生体認証による本人認証。
・識別と認証においては、複数の手法を組み合わせて実現
すること。
・IDとパスワードを利用する場合
・パスワードの有効期限の設定
・同一又は類似パスワードの再利用の制限
・最低パスワード文字数の設定
・一定回数以上のログインに失敗したIDを停止する
・生体認証を利用する場合
・指紋や静脈などの登録データ自体も個人情報に
該当する場合があるので、個人情報保護法を遵守
すること。
・アクセス権限を有する者が使用できる端末認証やアドレス
認証も活用する。
119
・MACアドレス認証
・IPアドレス認証
・電子証明書等
【中小規模事業者における対応方法】
・特定個人情報等を取り扱う機器を特定し、その機器を取り扱う
事務取扱担当者を限定する。
・機器に標準装備されているユーザー制御機能(ユーザーアカウ
ント制御)により、情報システムを取り扱う事務取扱担当者を
限定すること。
B.個人データへのアクセス制御
・個人データへのアクセス権限を付与すべき者の最小化。
・識別に基づいたアクセス制御
・パスワード設定したファイルが誰でもアクセスできる
状態は、アクセス制御はされているが、識別がされて
いないことになる。このような場合には、パスワード
を知っている者を限定し、かつ、アクセスを許可する
者に変更があるたびに、適切にパスワードを変更する
必要がある。
・アクセス権限を有する者に付与する権限の最小化。
120
・個人データを格納した情報システムへの同時利用者数の
制限。
・個人データを格納した情報システムの利用時間の制限
(例えば、休業日や業務時間外等の時間帯には情報シス
テムにアクセスできないようにする等)。
・個人データを格納した情報システムへの無権限アクセス
からの保護(例えば、ファイアウォール、ルータ等の設定)。
・個人データを格納するためのデータベースがある場合には、
情報システム自体へのアクセス制御の他、別途データ
ベースへのアクセス制御を実施し、それぞれにアクセス
権限を設定すること。
・無権限アクセスからの保護するための機器の設定として、
特に不要アカウントの無効化や初期設定されている標準
アカウントのパスワード変更を実施すること。
・個人データにアクセス可能なアプリケーションの無権限利用
の防止
・アプリケーションシステムに認証システムを実装する。
・業務上必要となる者が利用するコンピュータのみに
必要なアプリケーションシステムをインストールする。
・業務上必要な機能のみメニューに表示される等。
121
・情報システムの特権ユーザであっても、情報システムの管理
上、個人データの内容を知らせなくてもよいのであれば、
個人データへ直接アクセスできないようにアクセス制御を
する。
・特権ユーザに対するアクセス制御については、例えば、トラス
テッドOSやセキュアOS、アクセス制御機能を実現する製品
等を利用する。
・個人データを取り扱う情報システムに導入したアクセス制御
機能の有効性を検証する。OSやアプリケーションの脆弱性
の有無の検証を定期的に行う。
番号法
・「個人番号と紐付けてアクセスできる情報」の範囲をアクセス制御
により限定する。
・特定個人情報ファイルを取り扱う情報システムを、アクセス制御
により限定する。
・ユーザーIDに付与するアクセス権限により、特定個人情報情報
ファイルを取り扱う情報システムを使用できる者を事務取扱担当
者に限定する。
122
【中小規模事業者における対応方法】
・特定個人情報等を取り扱う機器を特定し、その機器を取り扱う
事務取扱担当者を限定すること。
・機器に標準装備されているユーザー制御機能(ユーザーアカウン
ト制御)により、情報システムを取り扱う事務取扱担当者を限定
すること。
C.個人データへのアクセス権限の管理
・個人データにアクセスできる者を許可する「権限管理」の適
切かつ定期的な実施(例えば、定期的に個人データにアクセ
スする者の登録を行う作業担当者が適当であることを十分
に審査し、その者だけが、登録等の作業を行えるようにする)。
・個人データにアクセスできる者を許可する権限については、
情報システム内において当該権限を含む管理者権限を分割
する等して、不正利用を防止すること。
・個人データを取り扱う情報システムへの最小限のアクセス
制御の実施。
123
D.個人データのアクセス記録
・個人データへのアクセスや、操作の成功や失敗の記録及び
不正が疑われる異常な記録の在否の定期的な確認。
・個人データへのアクセスや、操作の成功や失敗の記録に
ついては、情報システムを構成する各システムへのアクセ
スや操作の成功と失敗等の記録を組み合わせ、各個人
データへのアクセスや操作の失敗を全体として記録すること。
・採取した記録の漏洩、滅失及び毀損からの適切な保護。
・採取した記録を漏洩、滅失及び毀損から保護するためには、
当該記録を適切に管理された外部記録媒体ないしログ収集
用のサーバ等に速やかに移動すること。
・システム管理者等の特権ユーザーのアクセス権限を用いても、
採取した記録を改ざん・不正消去できないよう、対策すること。
・個人データを取り扱う情報システムの記録が、個人情報に
該当する場合があるので、確認し注意して取り扱うこと。
E.個人データを取扱う情報システムについての不正ソフトウェア
対策
・ウィルス対策ソフトウェアの導入及び当該ソフトウェアの
有効性・安定性の確認(例えば、パターンファイルや修正
124
ソフトウェアの更新の確認)。
・端末及びサーバ等のOS、ミドルウェア(DBMS等)、アプリ
ケーション等に対するセキュリティ対策用修正ソフトウェア
(いわゆる、セキュリティパッチ)の適用。
・組織で許可していないソフトウェアの導入防止のための対策。
F.個人データの移送(運輸、郵送、宅配便等)・送信時の対策
・個人データの移送時における紛失・盗難に備えるための対策
(例えば、媒体に保管されている個人データの暗号化等の
秘匿化)。
・盗聴される可能性のあるネットワーク(例えば、インターネット
や無線LAN等)による個人データの送信(例えば、本人及び
従業者による入力やアクセス、メールに添付してファイルを
送信する等を含むデータの転送等)時における、個人データ
の暗号化等の秘匿化(例えば、SSL、S/MIME等)。
・暗号を利用する場合には、復号に必要な鍵について十分注意
して管理する必要がある。
G.個人データを取扱う情報システムの動作確認時の対策
・情報システムの動作確認時のテストデータとして、個人デー
タを利用することの禁止(正確な動作確認なを要する等、
125
個人データの利用が不可欠な場合であっても、動作確認に
影響のない範囲で、個人データの一部を他のデータに置き
換える等の措置を講じる)。
・情報システムを変更する際、変更によって情報システムや
運用環境のセキュリティが損なわれていないことを検証する。
H.個人データを取り扱う情報システムの監視
・個人データを取り扱う情報システムの使用状況を、定期的に
監視する。
・個人データへのアクセス状況(操作内容も含む)を監視する。
・個人データを取り扱う情報システムを監視した結果の記録が、
個人情報に該当する場合があることに留意すること。
・特権ユーザーによる個人データへのアクセス状況については、
特に注意して監視すること。
・個人データを取り扱う情報システムへの外部からのアクセス
状況の監視(例えば、IDS・ISP等)。
・監視システムを利用する場合には、事業者等が業務で行う
送受信の実態に合わせ、当該装置について適切に設置し、
定期的にその動作を確認することが必要になる。
126
番号法
I.外部からの不正アクセス等の防止
・情報システムを外部からの不正アクセスや不正ソフトウェア
から保護する仕組みを導入し、適切に運用すること。
・情報システムと外部ネットワークとの接続箇所に、ファイア
ウォール等を設置し、不正アクセスを遮断する。
・情報システム及び機器にセキュリティソフト等(ウィルス等を
対策ソフトウェア等)を導入する。
・導入したセキュリティ対策ソフトウェア等により、不正ソフト
ウェアの有無を確認する。
・機器やソフトウェア等に標準装備されている自動更新機能等
の活用により、ソフトウェア等を最新状態とする。
・ログ等の分析を定期的に行い、不正アクセス等を検知する。
J.情報漏洩等の防止
・特定個人情報等をインターネット等により外部へ送信する場
合、通信経路における情報漏洩等を防止すること。
・通信経路における情報漏洩等の防止策として、通信経路の
暗号化等を行う。
・情報システム内に保存されている特定個人情報等の情報漏
洩等の防止策として、データの暗号化又はパスワード保護
127
を行うこと。
(3)従業者の監督
①事件・事故が起きた際のリスクの大きさに応じて適切な監督が必要。
②従業者とは、正社員、契約社員、嘱託社員、パート社員、アルバイト
社員、取締役、執行役、理事、監査役、監事、派遣社員等。
③モニタリングを実施する際には、労働者への事前通知又は協議が必要。
(4)委託先の監督
番号法
個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする
者は、委託先において、番号法に基づき委託者自らが果たすべき安全
管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなけ
ればならない。
①委託先の選定
A.個人情報保護管理者が適切に最終評価を行う。
B.以下の(ア)~(エ)について、a、b、cの観点で評価する。
a.委託先の社内体制
b.委託先の規程
c.委託先の実地検査(必要に応じて)
(ア)組織的安全管理措置
(イ)人的安全管理措置
(ウ)物理的安全管理措置
128
(エ)技術的安全管理措置
番号法
C.番号法における委託先選定における確認事項は以下を加える。
・委託先の設備
・技術水準
・従業者に対する監督・教育の状況
・委託先の経営環境
129
番号法
②委託契約の締結
A.委託元、委託先双方が合意した内容。
B.委託した個人データの取扱状況を把握する内容。
具体的には以下の内容を盛り込む。
・委託元及び委託先の責任の明確化。
・個人データの安全管理に関する事項。
・再委託に関する事項。
・個人データの取扱状況に関する委託元への報告の内容
及び頻度。
・契約内容が順守されていることの確認(例えば、情報
セキュリティ監査等も含まれる)。
・契約内容が遵守されなかった場合の措置(例えば、安全
管理が遵守されずに個人データが漏洩した場合の損害
賠償に関する事項も含まれる)。
・セキュリティ事件・事故が発生した場合の報告・連絡に
関する事項。
・秘密保持義務。
・事業所内からの特定個人情報の持出しの禁止。
・特定個人情報の目的外利用の禁止。
・再委託における条件。
130
・委託契約終了後の特定個人情報の返却又は破棄。
・従業者に対する監督・教育。
③委託先における個人データ取扱状況の把握
・委託先の定期的な再評価
・委託元が再委託を行い、再委託先で事件・事故が発生
した場合、元の委託元がその責めを負うこともあり得る。
・委託先が再委託先をしっかり監督しているか、元の委託
元は監督する。
・クレジットカード情報の委託は、より高い水準での監督が
必要。
・委託の有無、委託する事務の内容を、本人へ通知・公表
する。
・委託元は委託先に対し、個人データの具体的な安全管理
措置の内容を指示しなければならない。
・委託元は委託先に対し、再委託の条件の内容を指示しな
ければならない。
131
番号法
④再委託
A.再委託の要件
・個人番号関係事務又は個人番号利用事務の全部又は一部の
「委託を受けた者」は、委託者の許諾を得た場合に限り、再委託
を行うことができる。
B.再々委託の要件
・再委託をうけた事業者は、最初の委託者の許諾を得た場合に
限り、その事務を更に再委託(再々委託)することができる。
C.再委託先
132
4.第三者提供
(1)原則
①あらかじめ本人の同意が必要
(2)適用除外(本人の同意がなく第三者提供できる適用除外)
①法令に基づく場合
②人の生命、身体又は財産の保護
③公衆衛生の向上等
④国の機関等への協力
133
(3)オプトアウト
①以下の事項のすべてを本人に通知し、又は本人が容易に知り得る状態
置いている。
②かつ、本人の求めに応じて、第三者への提供を停止する場合には、予め
本人の同意を取得する必要はない。
A.第三者への提供を利用目的とすること。
B.第三者へ提供される個人データの項目。
C.第三者への提供の手段又は方法。
D.本人の求めに応じて、第三者への提供を停止すること。
③ただし、本人より直接書面によって個人情報を取得する場合は、予め
同意が必要。
(4)第三者に該当しないもの
①委託
②事業の承継
③共同利用
A.以下の事項のすべてを本人に通知し、又は本人が容易に知り
得る状態置かなければならない。
a.共同して利用される個人データの項目。
b.共同して利用する者の範囲。
134
c.利用する者の利用目的。
d.責任者の氏名又は名称。
e.事前に取り決めておく事項
(ア)共同利用者の要件。
(イ)各共同利用者の個人情報取扱責任者、問い合わ
せ担当者及び連絡先。
(ウ)共同利用する個人データの取扱いに関する事項。
・個人データの漏えい等防止に関する事項。
・目的外の加工、利用、複写、複製等の禁止。
・共同利用終了後のデータの返還、消去、破棄
に関する事項。
・取決めがが遵守されなかった場合の措置。
・事件・事故が発生した場合の報告・連絡に
関する事項。
・共同利用を終了する際の手続き。
(5)雇用管理に関する個人データ関連
①提供先において、従業者の個人情報を漏らし、又は盗用の禁止。
②再提供を行う場合は、予め文書をもって提供元の了承を得ること。
③提供先における保管期間等を明確化すること。
④利用目的達成後は、提供先において個人データを返却・破棄・削除して
135
もらう。また提供元は提供先がきちんと破棄等しているか確認すること。
⑤提供先において複写・複製(バックアップを除く)を禁止すること。
5.保有個人データの公表等
(1)保有個人データに関する事項の公表等
①保有個人データに関する事項の本人への周知
A.個人情報取扱事業者の氏名又は名称。
B.全ての保有個人データの利用目的(ただし一定の場合を除く)
・本人又は第三者の権利利益を害する恐れ。
・当該個人情報取扱事業者の権利等を害する恐れ。
・国の機関への協力。
C.保有個人データの利用目的の通知及び保有個人データの開示
に係る手数料の額(定めた場合に限る)。並びに開示等の求め
の手続き。
D.保有個人データの取扱いに関する苦情及び問い合わせの申出先
(個人情報取扱事業者が認定個人情報保護団体に所属している
場合には、その団体の名称及び申出先も含む)。
②保有個人データの利用目的の通知
A.通知しなくて良い場合
a.利用目的が明らかな場合。
136
b.本人又は第三者の生命、身体又は財産、その他権利利益を害
する恐れがある場合。
c.当該個人情報取扱事業者の権利等を害する恐れがある場合。
d.国の機関への協力。
(2)保有個人データの開示
①開示しなくて良い場合
A.本人又は第三者の生命、身体、財産、その他の権利利益の保護。
B.個人情報取扱事業者の業務に支障を及ぼす場合。
C.他の法令に違反する場合。
(3)保有個人データの訂正・追加・削除
①訂正・追加・削除をしなくて良い場合
A.他の法令の規程により、特別の手続きが定められている場合。
B.「事実でないという理由」が確認できない場合。
C.訂正等の対象保有個人データの内容が事実でなく評価に関する
情報である場合。
(4)保有個人データの利用停止・消去
①利用停止・消去しなくて良い場合
137
A.第16条違反(目的外利用)又は、第17条違反(不適切取得)を
していない場合。
B.第16条並びに第17条に違反していたとしても、利用停止や消去
に多額の費用を要する場合、又は困難な場合には、本人の権利
利益を保護するために、必要なこれに代わるべき措置をとる場
合。
C.第三者提供の停止について
a.第23条第1項(予め本人の同意を得る)に違反していない場合。
b.第23条第1項に違反していたとしても、第三者提供の停止が
困難で、かつ本人の権利利益の保護措置をとった場合。
D.「全部消去」を求められた場合、利用停止することでも対応可能。
(5)理由の説明
以下の2点の場合、本人へ理由を説明するよう努めなければならない。
①措置をとらない場合
②異なる措置をとる場合
138
(6)開示等の求めに応じる手続き
①受付先
②申込書類の様式(フォーマット)と受付方式
③申込人(本人又は代理人)の確認方法
④手数料の徴収方法
(7)手数料
①手数料の額を定めることができる。
②手数料の額を定めた場合は、本人の知り得る状態に置くこと。
③手数料の額は、実費を勘案して、合理的でなければばらない。
6.苦情の処理
(1)苦情処理に努める
(2)苦情処理体制の整備に努める
139
安全管理規程の具体例
特定個人情報に関する安全管理措置(事業者編)
1.安全管理措置の検討手順
① 個人番号を取扱う事務の範囲の明確化
② 特定個人情報等の範囲の明確化
③ 事務取扱担当者の明確化
④ 基本方針の策定
⑤ 取扱規程等の策定
2.講ずべき安全管理措置の内容
① 基本方針の策定
② 取扱規程等の策定(Plan:)
③ 組織的安全管理措置
a.組織体制の整備
b.取扱規程等に基づく運用(Do:運用開始)
c.取扱状況を確認する手段の整備(Check:内部監査)
d.情報漏洩等事案に対応する体制の整備
e.取扱状況の把握及び安全管理措置の見直し
140
(Action:代表者による見直し)
④
人的安全管理措置
a.事務取扱担当者の監督
b.事務取扱担当者の教育
⑤
物理的安全管理措置
a.特定個人情報等を取扱う区域の管理
b.機器及び電子媒体等の盗難等の防止
c.電子媒体等を持ち出す場合の漏洩等を防止
d.個人番号の削除、機器及び電子媒体等の廃棄
⑥
今回はここに特化してご説明
技術的安全管理措置
a.アクセス制御
b.アクセス者の識別と認証
c.外部からの不正アクセス等の防止
d.情報漏洩等の防止
141
E.物理的安全管理措置(法律により設置しなければなりません)
a.特定個人情報を取り扱う区域の管理
<手法の例示>
①管理区域に関する物理的安全管理措置としては、
入退室管理及び管理区域へ持ち込む機器等の制限等。
②入退室管理方法としては、ICカード、ナンバーキー等
による入退室管理システムの設置等。
③取扱区域に関する物理的安全管理措置としては、壁又は
間仕切り等の設置及び座席配置の工夫等。
※従業員100名以下の中小規模事業者の特例措置なし!
142
管理区域
取扱区域(Pマークではなし)
(人事、総務、経理など)
(参照)
http://www.taisay-s.co.jp/magazines/200801/
143
E.物理的安全管理措置
b.機器及び電子媒体等の盗難等の防止
<手法の例示>
①特定個人情報等を取り扱う機器、電子媒体又は書類等を、
施錠できるキャビネット・書庫等に保管する。
②特定個人情報ファイルを取り扱う情報システムが機器のみ
で運用されている場合は、セキュリティワイヤー等により
固定する。
※従業員100名以下の中小規模事業者の
特例措置なし!
144
E.物理的安全管理措置
c.電子媒体等を持ち出す場合の漏洩等の防止
<手法の例示>
①電子媒体の持ち出しについては、データの暗号化、
パスワードによる保護、施錠できる搬送容器の使用等。
(ただし、行政機関等に法定調書等をデータで提出するに
当たっては、行政機関等が指定する提出方法に従う。)
②書類の持ち出しについては、封緘(ふうかん)、
目隠しシールの貼付等。
※従業員100名以下の中小規模事業者の特例措置
パスワードの設定、封筒に封入し、カバンに入れて搬送
する等。
145
E.物理的安全管理措置
d.個人番号の削除、機器及び電子媒体等の廃棄
(破棄記録取得)
<手法の例示>
①書類を破棄する場合、焼却又は溶解等、復元不可能な手段。
②機器及び電子媒体等を破棄する場合、専用のデータ削除ソフトウェア
の利用又は物理的な破壊等により、復元不可能な手段。
③情報システムにおいては、保存期間経過後における個人番号の削除を
前提とした情報システムを構築する。
④書類については、保存期間経過後における破棄を前提
とした手続きを定める。
※従業員100名以下の中小規模事業者の特例措置
特定個人情報を削除・破棄したことを、責任ある
立場の者が確認する。
146
2つの法律に共通した取組み(一過性では駄目)
1.社内規程を作る
2.セキュリティ対策を行う
3.従業員教育を行う
4.日常、取扱ログを記帳する
147
特定個人情報取扱ガイドラインにおいても、
マネジメントシステム(継続的改善)を法は求めています
148
出典:http://macochi.hatenablog.com/entry/2012/10/08/001848
149
出典:http://www.rosei.jp/jinjour/article.php?entry_no=55565
マイナンバー法制度のための実践的な取組み
(大企業から個人事業主まで使えます)
特定個人情報保護マネジメントシステム
SPMS
(Specific Personal information protection Management System)
(JISQ15001:2006を改良)
ポイント:
2016年1月1日以降のPマーク審査(新規・更新)の際は、
マイナンバー法対応が求められます。
150
151
JIPDEC資料より
このページ以降、
「PMS」→「SPMS」
「個人情報」→「特定個人情報」
と読み替えて下さい。
152
1.適用範囲(JISQ15001:2006)
本規程は、個人情報を事業の用に供している全ての従業員が守らなけ
ればならないルールを規程する。
また、社会保障・税番号法を順守するために、内閣府ガイドライン
をベースとし、個人番号並びに特定個人情報を取扱う業務に従事する
従業員が守らなければならないルールについても規程する。
A)当社は(特定)個人情報保護マネジメントシステムを確立し、実施し、
維持し、かつ、改善する。
B)内閣府ガイドライン並びにJIS15001:2006と、本マネジメントシス
テムとの適合性について自ら確認し、適合していることを自ら表明す
る。
C)組織外部又本人に、内閣府ガイドライン並びにJISQ15001:2006と
本マネジメントシステムとの適合性について確認を求める。
D)外部機関による(特定)個人情報保護マネジメントシステムの認証/
登録を求める。
153
2.用語及び定義
本規程で用いる主な用語及び定義は、次による。
2.1 個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日、
その他の記述などによって特定の個人を識別できるもの(ほかの情報と
容易に照合することができ、それによって特定の個人を識別することが
できることとなるものを含む)。
2.2 個人番号
番号法により、住民票コードを変換して得られる番号であって、
市区町村より全国民に配布される12桁の国民を識別するための番号。
2.3 特定個人情報
個人番号に個人情報を組み合わせた情報。
2.4 特定個人情報ファイル
特定個人情報を含んだファイル。
154
2.5 個人番号利用事務
行政機関並びに健康保険組合などが特定個人情報ファイルを用いて、
個人を効率的に検索し、及び管理するために必要な限度で個人番号を
利用して処理する事務。
2.6 個人番号関係事務
当社内において、個人番号を利用して処理をする事務。
2.7 個人番号利用事務実施者
個人番号利用事務を実施する者(主に行政機関や健康保険組合の人
を言う)。
2.8 個人番号関係事務実施者
当社内において、個人番号関係事務を実施する者。並びにその事務
の全部又は一部の委託を受けた者。
(社会保険労務士事務所、税理士事務所、ペイロールメント会社など)
155
2.9 本人
個人情報並びに特定個人情報によって識別される特定の個人。
2.10 事業者
事業を営む法人その他団体又は個人。
2.11 (特定)個人情報保護管理者
代表者によって事業者の内部の者から指名された者であって、
(特定)個人情報保護マネジメントシステムの実施及び運用に関する
責任及び権限を持つ者。
2.12 (特定)個人情報保護監査責任者
代表者によって事業者の内部の者から指名された者であって、公平、
かつ、客観的な立場にあり、監査の実施及び報告を行う責任及び権限
を持つ者。
156
2.13 本人の同意
本人が、個人情報の取扱いに関する情報を与えられた上で、自己に
関する個人情報の取扱いについて承諾する意思表示、本人が子供又は
事理を弁識する能力を欠く者の場合は、法廷代理人等の同意も得なけ
ればならない。
2.14 個人情報保護マネジメントシステム
当社が、自らの事業の用に供する個人情報について、その有用性に
配慮しつつ、個人の権利利益を保護するための方針、体制、計画、
実施、点検及び見直しを含むマネジメントシステム。
2.15 特定個人情報保護マネジメントシステム
当社が、自らが保有する特定個人情報について、社会保障・税番号
法を順守し、個人の権利利益を保護するための方針、体制、計画、
実施、点検及び見直しを含むマネジメントシステム。
ポイント:用語の定義は、1つにまとめた方がスッキリします。
157
雛形あります
目安:1週間
目安:1週間
目安:1週間
目安:1週間~1ヶ月間
雛形
←目安:1週間
↑目安:1ヶ月
雛形あります(委託契約に時間がかかる)
目安:2時間
↑ここまでやればOK。訓練行うのは
良いことです。
158
JIPDEC資料より
Step1:特定個人情報保護方針を定め文書化
JIPDEC資料より
159
JIPDEC資料より
3.2
特定個人情報保護方針
当社は、個人情報保護法並びに社会保障・税番号法を順守し、個人情報及び
特定個人情報の適正な取扱を確保するために、以下にあげる方針を定め、
これを実行し、かつ、維持することを誓います。
a)当社は、事業内容及び規模を考慮した適切な個人情報並びに個人番号の取得、
利用及び提供を行い、法令に定められている場合を除き、個人情報、個人番号
の目的外利用は行いません。
b)当社は、個人情報並びに個人番号、特定個人情報の取扱いに関する法令、社会
保障・税番号に関する法令、国が定める指針、その他の規範を遵守します。
c)当社は、個人情報並びに特定個人情報、個人番号の漏洩、滅失又は毀損の防止、
及び是正を定期的に行います。
d)当社は、個人情報並びに特定個人情報、個人番号に関する苦情及び相談への
対応として、窓口を設置します。
e)当社は、個人情報保護マネジメントシステム並びに特定個人情報保護マネジメ
ントシステムの継続的な改善を行います。
f)社名、代表者氏名
当社は本方針を文書化し、全従業者へ周知させるとともに、一般の人が入手
可能な措置を講じます。
ポイント:基本方針も、1つにまとめた方がスッキリします。
160
ポイント:
PMS組織体制と同じ方が、既に慣れているので何かと都合が良いです。
総務・人事・経理部門だけではなくて、全ての組織を巻き込みます。
従業員のマイナンバーを
取得する際、各部門担当者
に本人確認を行って頂く
必要があるからです。
161
JIPDEC資料より
Step3:SPMS策定の作業計画をたてる
ポイント:社保・税務関連システム
を自前で作り込んでいる
企業は、システム変更
する必要あり。
できれば、今年の9月末まで、
遅くとも、今年の11月末までには、
全ての対策を終わらせる必要が
あります。
162
JIPDEC資料より
以下の業種の事業者は、お客様のマイナンバーも取得
6ヶ月以内に5,000件の個人情報を保有している・いないに
関わらず、以下の全ての法人は、個人情報保護法も遵守しなけ
ればならなくなりました。
No.
社会保険労務士
1
マイナンバーを借り受けて、
業務受託を行う事業所
税理士・会計士
ペイロール会社
介護事務所
2
今回の法律で対象となって
いる事業所
社会福祉法人
病院
3
金融関連業務を行っている
事業所
保険会社
保険代理店
(生保と損保両方)
銀行(地銀、信託などすべて)
証券会社(代理店含む)
163
マイナンバー対策は、何がそんなに大変なのか?
1.今回は、各部署において個人情報を洗い出してもらったり、
リスク分析を行ってもらう必要はないので、時間はかからない
ように一見感じる。
2.今回は、従業員のマイナンバーを会社が取得するというのが
メインイベント(保険会社は、契約者のマイナンバーも取得)。
「顧客(一般消費者)対会社」という構図から、「社員対会社」、
「労働組合対会社」という構図となる。
3.自分が勤めている会社が、法律で定められている通りに社内規定
を作り、セキュリティ対策を行っていないことが分かると、
自分のマイナンバーを会社へ預けることに不安を感じ、内閣府や
消費者庁、労働基準監督署へ内部通報される危険性がある。
4.今回は、法令の取組を行っていないだけでも刑罰がある。
5.マイナンバーの取扱いを、内部の人間が常に監視しているので、
気を許す時がない。
6.何も行っていないと、漏洩した時に、総務・人事・経理担当者が、
4年以下の懲役・200万円以下の罰金に処せられる。
164
マイナンバー対策は、何がそんなに大変なのか?
7.会社(個人事業主)は、200万円以下の罰金刑となる。
8.罰金刑を受けたことにより、入札資格停止の処分を受ける可能性。
165
以下の業種の事業者は、お客様のマイナンバーも取得
6ヶ月以内に5,000件の個人情報を保有している・いないに
関わらず、以下の全ての法人は、個人情報保護法も遵守しなけ
ればならなくなりました。
No.
社会保険労務士
1
マイナンバーを借り受けて、
業務受託を行う事業所
税理士・会計士
ペイロール会社
介護事務所
2
今回の法律で対象となって
いる事業所
社会福祉法人
病院
3
金融関連業務を行っている
事業所
保険会社
保険代理店
(生保と損保両方)
銀行(地銀、信託などすべて)
証券会社(代理店含む)
166
Pマーク制度における外部委託先の監督例外措置
以下の法人は、Pマーク制度における外部委託先
の監督並びに、現地調査(事務所立ち入り)を免除
されてきました(外部委託先免除特例)。
・社会保険労務士事務所
・税理士事務所
・会計事務所
・行政書士事務所
・司法書士事務所
・弁護士事務所
今回のマイナンバー法制度では、
一切の外部委託先免除特例は
排除されましたので、いよいよ、
個人情報保護法対応の取組を
行う必要があります。
その理由は、いちいち、Pマークの取得・更新の
度に、事務所に立ち入られてセキュリティ監査をさ
れては、業務が立ち行かなくなり、逆に、他の顧問先
の個人情報が漏洩する危険性があると、それぞれの
連合会が経済産業省へ相談したから。
167
ポイント:
1.社内ポータルサイトに掲載すると共に、
朝礼で、各部署単位で発表します。
2.不正をしたら即逮捕を、周知徹底します。
(個人情報保護法とはレベルが違う)
168
JIPDEC資料より
Step5:マイナンバーを記載する書類を洗い出します
JIPDEC資料より
関係部署は、総務・人事・経理部がほとんど全てです。
169
書類の数は多いですが、業務フローは同じものが多いです。
マイナンバーを記載する書類は、法律で
決められていますので、悩む必要は
ありません。
(法以外の書類には、マイナンバーは使えません)
書類の保管場所や、マイナンバー自体の保管場所は
170
特定する必要があります。
JIPDEC資料より
JIPDEC資料より
ポイント:
171
「社会保障・税番号法」と内閣府「特定個人情報保護ガイドライン」を追加
Step7:特定個人情報(個人番号含む)のリスク認識・分析・対策
JIPDEC資料より
5つのライフサイクルは、特定個人情報でも同じです。
172
リスク分析とは、法律が求めているレベルと、現状のレベルの差分
を見える化し、その差を埋めるために何をするのかを考えることです。
1.
運用でカバー (
社内ルール化 )
2.
リスクを転化す るために、外注に出す 。
3.
セキ ュリティ装置を購 入してリスクを低減す る。
マイナンバー法で求めている安全管理措置
組織的安全管 理措 置
人的安全管 理措 置
物理的安全管理措置
技術的安全管理措置
173
JIPDEC資料より
174
JIPDEC資料より
175
本人確認
追加
JIPDEC資料より
176
177
JIPDEC資料より
178
JIPDEC資料より
179
JIPDEC資料より
180
JIPDEC資料より
181
JIPDEC資料より
JIPDEC資料より
182
Pマークの場合は、セキュリティ対策にお金が掛けられな
い場合、運用でカバーするよう規定すれば大丈夫でした。
しかし、今回のマイナンバー法では、ある程度の金銭的
投資も必要です。
183
JIPDEC資料より
Step9:SPMSの内部規定を策定する
184
JIPDEC資料より
185
JIPDEC資料より
内閣府の特定個人情報保護ガイドラインにより
内閣府の特定個人情報保護ガイドライン
安全管理規定
特定個人情報保護規定
186
JIPDEC資料より
マイナンバー法対策に必要な社内規定一式
特定個人情報基本方針(1つ)、取扱規程(2種)、各種記録帳票類(46種)
187
Pマーク規定に、マイナンバー法を追記
(マイナンバー法を赤字で追記)
188
Pマーク規定に、マイナンバー法を追記
(マイナンバー法を赤字で追記)
189
中小規模事業者における安全管理の減免措置
中小規模事業者(従業員の数が100名以下の事業者)
・取扱う個人番号の数が少ない
・特定個人情報を取扱う従業者が少ない
特定個人情報保護規定と安全管理措置規程の内容を減免する措置が
なされている。
しかし以下の事業者には、100名以下でも減免措置は適用されない。
(1)委託に基づいて個人番号関係事務を業務として行う事業者
(社労士事務所、税理士事務所、ペイロール会社等)
(2)金融分野の事業者
(3)個人情報取扱事業者(6ヶ月間、5,000件以上を保有)
190
追加:
・個人番号の提供の求め制限
・本人確認手段
・特定個人情報ファイルの作成制限
(口頭、電話)
JIPDEC資料より
行政機関のみ提供可能
191
192
JIPDEC資料より
5,000件以上個人情報を保有していない企業は、基本的にはこのページは必要ありません。
個人番号や特定個人情報は、
普通の個人情報でもあるので、
上記の対応は必須である。
個人番号は、開示対象個人情報
193
JIPDEC資料より
194
JIPDEC資料より
Pマークとは異なり、社労士事務所、税理士
事務所などに対する特例措置は無いので、
今回からは、厳しく対応しなければなりませ
ん。
195
JIPDEC資料より
今回は、ここまでやれば大丈夫です。
Do:日常運用
Check:内部監査
Action:代表者による見直し
196
JIPDEC資料より
197
JIPDEC資料より
まとめ
1.マイナンバー法は、個人情報保護法と似ているようでいて、
目的も要求事項もかなり違うので、頭では理解できていても、
組織全体が理解するのには時間が掛かります。
2.個人番号(マイナンバー)は、個人の持ち物ではありますが、
実際には住基ネットで大失敗をしたリベンジとして、国が威信
を掛けて開発をしている巨大な国家プロジェクトの一部であり
ますので、個人番号の漏洩は個人のプライバシーが侵害される
だけではなくて、国の威信が失墜するものでもあります。
よって、取締りは相当厳しいものになる見込みです。
3.そもそもの話、マイナンバー法自体に反対する従業員もた
くさんおりますし、労組があるとややこしくなりますから、
半年~1年程度を掛けて、事前勉強会もたくさん行いながら
根気よく取り組みを進めていく必要があります。
4.社労士や税理士が、最後までマイナンバーの取組みを行わない
場合には、今回ばかりは切り捨てる必要がありますので、
心を鬼にして取り組みましょう。あなたが捕まらないためにも。
198
既にPマークを取得している企業は
何もしなくても良いですか?
Pマークとマイナンバーでは、要求事項が
かなり違うので、追加対策が必要です。
199
JIPDEC資料より
200
Pマーク取得時とのSTEP比較
STEP
プライバシーマーク
マイナンバー
1
個人情報保護方針を定め文書化する
特定個人情報保護方針を定め文書化する
2
事務局を設置する
事務局を設置する
3
作業計画を立てる
作業計画を立てる
4
保護方針を組織内に周知する
保護方針を組織内に周知する
5
個人情報を洗い出す
特定個人情報を洗い出す
6
法令、省令、条例などを洗い出す
マイナンバー法関連
7
リスクの認識・分析・対策を検討
(業務フロー図の作成)
リスクの認識・分析・対策を検討
(業務フロー図の作成)
8
必要な資源を確保する
必要な資源を確保する
9
PMS内部規定を作成する
SPMS内部規定を作成する
10
PMSの教育を行う
SPMSの教育を行う
11
PMSの運用を開始する
SPMSの運用を開始する
12
内部監査
内部監査
13
代表者による見直し
代表者による見直し
201
詳細比較
No.
比較項目
個人情報保護法
マイナンバー法
1
個人情報の種類
氏名に結び付けられた
あらゆる情報
10~100種類に及ぶことも
12桁のマイナンバーを
記載する書類はかなりある
2
取得対象
従業員並びに一般消費者、
取引先など
従業員並びに個人、
個人事業主
3
対象部署
全従業員
人事・総務・経理部が中心
利用目的
個人が同意した目的を
自由に設定可能
社会保障、税、震災の
3種類のみ。
本当に利用するのは行政で、民間
企業は取得代行を行うのみ。
5
罰則
主務大臣からの命令を
無視した場合には、
代表者が6か月以下の懲役
または30万円以下の罰金。
社内規定を作成せず、セキュリティ
対策を実施していないだけでも
罰則あり。
マイナンバーを不正取得、
転売した場合には、
担当者並びに代表者が
4年以下の懲役または200万円以
下の罰金、またはその両方。
社内規定を作成せず、セキュリ
ティ対策を実施していないだけで
も罰則あり。
6
保護規定
ボリューム大
ボリューム中~大大
7
セキュリティ対策
身の丈にあった対策から
始めれば大丈夫。
ある程度厳しい対策
から始める必要あり。
8
委託先の監督
1次委託先の監督責任のみ
全ての委託先の監督責任あり
202
4
個人情報保護法の受け皿がPマークでした
個人情報保護法のときは、どうだったか?
民間企業がどんな対策をとったら良いか分からない
といった声が上がることを、予め予見。
1998年より、プライバシーマーク認証制度スタートし、
法の本格施行の受け皿とした。
203
しかし、Pマーク(ISO含む)も問題化
マークが無ければ取引停止。
だから1日も早くマークが欲しい。
コンサルタントは、申請書類上のテクニックを
駆使することによって、早期にマークを取得。
実態を伴わずにマークを取得しているので、
情報漏洩しても、気付かない。緊張感がない。
204
ただし、民間企業は、今回は、PIAは関係なし
プライバシー影響評価(PIA)は、あくまでも、個人情報を
利用する組織が行います。
今回、民間企業はマイナンバーを収集・記載するだけで、
利用はしませんので、PIAを行う必要はありません。
民間企業はあくまでも、内閣府か各監督官庁から出されている
マイナンバーガイドラインに準拠するだけで問題ありません。
しかし、4年後から顧客のマイナンバーを取得してビックデータ
分析を行ったり、ワントゥーワンマーケティングを行う会社は、
自らの会社をPIAする必要があります。
205
今回こそは、各社まじめに取組む必要あり
マイナンバー法
内閣府ガイドライン
(用意してあるものは、これだけ)
大企業から中小企業まで、
ガイドラインを読み解いて、汗を流して
体に叩き込んで下さい(内閣府より)
206
2005年4月1日本格施行の
個人情報保護法の時と違い、
今回は、早く取り組まないと
間に合わなくなってしまう。
その理由とは?
207
1.2016年1月1日より、行政手続きでマイナンバーの
記載がスタートするから。
個人情報保護法の時は、法が施行した後に、ゆっくり
対策しても大丈夫でした。
2.社会保険や税務申告書類の作成を、情報システムで
行っている会社は、印刷帳票の変更と、従業員の
マイナンバーのデータベース登録を行うために、
システム変更開発を行わなければならないから。
3.名前や住所、電話番号とは違い、マイナンバーは
「究極の個人情報」であり、漏れたら被害は甚大
なので、組織体制の整備並びに、教育やセキュリティ
をきちんと完備していない会社へは、従業員は
自分のマイナンバーを預けようとはしない。
よって、会社は内部通報の危険性を今回ははらんでおり、
総務・経理部の業務にも滞りが出てしまう。
208
参考資料
209
中小企業の社長にとっては、実は「法人ナンバー」制度の
開始の方が、頭が痛い。
210
内閣府資料
211
内閣府資料
先進国ではマイナンバー制度がスタートしていて、マネーロンダリングを防止している。
212
現在、世界の犯罪組織が日本に来て、マネーロンダリングを行っている。
内閣府資料
4年後からは民間企業にも開放予定
お財布の中に入っている全てのカードは、1枚になるかもしれません
213
ロゴなどは、各社の登録商標です
今回の罰則は、個人情報保護法の時とは比較にならない!
No.
行為
番号法
個人情報保護法の
類似規定
1
個人番号関係事務又は個人番
号利用事務に従事する者又は従
事していた者が、正当な理由な
く、特定個人情報ファイルを提
供。
(有償・無償関係なく、第三者へ
渡しただけで罪になる)
4年以下の懲役若しくは
200万円以下の罰金又は
併科(第67条)
ー
2
上記の者が、不正な利益を図る
目的で、個人番号を提供又は盗
用。
3
情報提供ネットワークシステム
の事務に従事する者又は従事し
ていた者が、情報ネットワークシ
ステムに関する秘密を漏洩又は
盗用。
4
人を欺き、人に暴力を加え、人
を脅迫し、又は、財物の窃取、
施設への侵入、不正アクセス等
により個人番号を取得
3年以下の懲役若しくは
150万円以下の罰金又は
ー
業務以外の目的で検索・
併科(第68条)
閲覧しただけで罪になる。
同上(第69条)
行政並びに健保組合のみ
関係する。
ー
3年以下の懲役又は150 総務・人事・経理の
執務室の入退室管理
万円以下の罰金(第70
とPCアクセスをしっかり
条)
やらないと、社員の出来心
が今回は大惨事となります
214
No.
行為
番号法
個人情報保護法の
類似規定
5
国の機関の職員等が、職権を乱
用して、専らその職務の用以外
の用に供する目的で、特定個人
情報が記録されてた文書等を収
集。
2年以下の懲役又は100
万円以下の罰金(第71
条)
ー
6
委員会の委員等が、職務上知り
得た秘密を漏洩又は盗用。
同上(第72条)
ー
7
委員会からの命令を受けた者が、 2年以下の懲役又は50万
委員会の命令に違反。
円以下の罰金(第73条)
6ヶ月以下の懲役又は30
万円以下の罰金(第56
条)
8
委員会に対する、虚偽の報告、
虚偽の資料提出、検査拒否等。
1年以下の懲役又は50万
円以下の罰金(第74条)
30万円以下の罰金
(第57条)
9
偽りその他不正の手段により個
人番号カード等を取得
6ヶ月以下の懲役又は50
万円以下の罰金(第75
条)
ー
今回は、罰則が厳しすぎるので、全従業員への教育を実施して、
周知徹底を行った方が良いでしょう。
215
216
内閣府資料
217
内閣府資料
税務関係書類は、実際には、平成29年~提出する場合が多い
218
内閣府資料
219
内閣府資料
内閣府資料
220
内閣府資料
221
労使間で、マイナンバーの取得・提供について、
協定を締結する必要があります
222
内閣府資料
223
内閣府資料
224
内閣府資料
個人情報保護法の受け皿がPマークでした
個人情報保護法のときは、どうだったか?
民間企業がどんな対策をとったら良いか分からない
といった声が上がることを、予め予見。
1998年より、プライバシーマーク認証制度スタートし、
法の本格施行の受け皿とした。
225
しかし、Pマーク(ISO含む)も問題化
マークが無ければ取引停止。
だから1日も早くマークが欲しい。
コンサルタントは、申請書類上のテクニックを
駆使することによって、早期にマークを取得。
実態を伴わずにマークを取得しているので、
情報漏洩しても、気付かない。緊張感がない。
226
マイナンバーでは、国際標準ISO22307を採用
プライバシー影響評価( Privacy Impact Assessment:PIA)とは、個人情報の
収集を伴う情報システムの企画、構築、改修にあたり、情報提供者のプライバシー
への影響を「事前」に評価し、情報システムの構築・運用を適正に行うことを促す一
連のプロセスを言います。
227
PIAを実施し、その報告書を公表することは、情報システムの稼働によって発生する
影響をステークホルダー(行政や事業主、情報提供者、世論・メディアなど)間で共有
し、相互の利害関係を調整するリスクコミュニケーション手段といえます。
「マーク取得」→「セキュリティ体制を公表し、世論に評価してもらう」
→「再取組」が、これからのセキュリティスタンダードとなりそうです。
228
ただし、民間企業は、今回は、PIAは関係なし
プライバシー影響評価(PIA)は、あくまでも、個人情報を
利用する組織が行います。
今回、民間企業はマイナンバーを収集・記載するだけで、
利用はしませんので、PIAを行う必要はありません。
民間企業はあくまでも、内閣府か各監督官庁から出されている
マイナンバーガイドラインに準拠するだけで問題ありません。
しかし、4年後から顧客のマイナンバーを取得してビックデータ
分析を行ったり、ワントゥーワンマーケティングを行う会社は、
自らの会社をPIAする必要があります。
229
今回こそは、各社まじめに取組む必要あり
マイナンバー法
内閣府ガイドライン
(用意してあるものは、これだけ)
大企業から中小企業まで、
ガイドラインを読み解いて、汗を流して
体に叩き込んで下さい(内閣府より)
230
2005年4月1日本格施行の
個人情報保護法の時と違い、
今回は、早く取り組まないと
間に合わなくなってしまう。
その理由とは?
231
1.2016年1月1日より、行政手続きでマイナンバーの
記載がスタートするから。
個人情報保護法の時は、法が施行した後に、ゆっくり
対策しても大丈夫でした。
2.社会保険や税務申告書類の作成を、情報システムで
行っている会社は、印刷帳票の変更と、従業員の
マイナンバーのデータベース登録を行うために、
システム変更開発を行わなければならないから。
3.名前や住所、電話番号とは違い、マイナンバーは
「究極の個人情報」であり、漏れたら被害は甚大
なので、組織体制の整備並びに、教育やセキュリティ
をきちんと完備していない会社へは、従業員は
自分のマイナンバーを預けようとはしない。
よって、会社は内部通報の危険性を今回ははらんでおり、
総務・経理部の業務にも滞りが出てしまう。
232
当社がご提供する
「マイナンバー対策コンサルティング」
のご案内
233
当社のマイナンバー対策コンサルティングの特徴
1.あらゆる企業をコンサルさせて頂きます
現在、個人情報保護の取組を何も行っていない企業から、
Pマーク、ISO27001を取得している企業まで、あらゆる
会社の実情に合わせて、既存の規定を読み解いて、ベスト
な方法で規定改定を行いながら、コンサルティングを行います。
2.ご予算に合わせた、無理のない取組み内容をご提案
特定個人情報保護規定の雛形提供のみから、リスク分析、リスク対応、
内部監査、従業員教育までを行うフルセットコンサルまで、
無理のないコンサル内容をご提案致します。
3.Pマーク新規・更新コンサルとのセットコンサルも行います。
業界で初めて、マイナンバー法に対応したPマーク認証取得・更新
コンサルティングを行います。
4.低価格・高品質・訪問回数制限なし・お問い合わせ制限なし
マイナンバー法対応が完全に終了するまで、並びにPマーク認証が取得
できるまで、追加費用は一切ご請求いたしません。
すべて、パッケージ価格となっており、交通費のご請求もありません。 234
コンサルティングパッケージ価格表
No.
品名
1
マイナンバー法完全対応
特定個人情報保護規定
安全管理規定・関連帳票雛形
(規定作成方法の教本付き)
(CD-OM)
2
マイナンバー法完全対応
コンサルティング
(コンサル対象エリアは1ヶ所のみ。
2ヶ所以上事業所がある場合は、
お客様の方で横展開をお願い致します)
定価(消費税別)
対象企業
29,800円
小規模事業者
中小企業
社会保険労務士事務所
税理士・会計事務所
ペイロール会社
病院、診療所
介護事務所
社会福祉法人
保険会社
保険代理店
(生保と損保両方)
銀行(地銀、信託などす
べて)
証券会社
(代理店含む)
198,000円
小規模事業者
中小企業
(6ヶ月間に渡り、5,000
件以上の個人情報を保
有していない非個人情報
取扱事業者に限ります)
235
コンサルティングパッケージ価格表
No.
品名
定価(消費税別)
3
マイナンバー法 +
個人情報保護法完全対応
コンサルティング
(コンサル対象エリアは2ヶ所まで。
3ヶ所以上事業所がある場合は、
お客様の方で横展開をお願い致します。
以下同じ)
198,000円
4
マイナンバー法完全対応 +
プライバシーマーク認証取得(更新含む)
コンサルティング
398,000円
5
プライバシーマーク取得事業者のための
マイナンバー法完全対応
コンサルティング
198,000円
6
個人情報取扱事業者のための
マイナンバー法完全対応
コンサルティング
198,000円
7
ISO27001(ISMS)取得事業者のための
マイナンバー法完全対応
コンサルティング
個別お見積り
対象企業
小規模事業者
中小企業
大企業
社会保険労務士事務所
税理士・会計事務所
ペイロール会社
病院、診療所
介護事務所
社会福祉法人
保険会社
保険代理店
(生保と損保両方)
銀行(地銀、信託などす
べて)
証券会社
(代理店含む)
236
会社案内
商号
本社所在地
代表電話
ホームページ
設立
資本金
業務内容
株式会社マックポートバイオセキュリティー
千葉県松戸市松戸新田164-30
047-363-7337
http://www.mynumber-consulting.jp
http://www.mackport.co.jp
平成12年(2000年)3月27日
1,000万円
セキュリティに関するコンサルティング
コンプライアンスコンサルティング
セキュリティ製品の製造・販売
237