ホーム > よくある質問と回答 > FAQ:17.番号法への対応について

FAQ:17.番号法への対応について

よくある質問カテゴリー
17-1 番号法の対応全般について
17-2 審査全般について
17-3 個人情報保護マネジメントシステムに関する規程類について
17-4 個人情報保護方針について(JIS Q 15001:2006 3.2)
17-5 法令、国が定める指針、その他の規範について(JIS Q 15001:2006 3.3.2)
17-6 資源、役割、責任及び権限について(JIS Q 15001:2006 3.3.4)
17-7 緊急事態への準備について(JIS Q 15001:2006 3.3.7)
17-8 本人への明示、通知、本人同意の取得等について(JIS Q 15001:2006 3.4.2関連)
17-9 安全管理措置について(JIS Q 15001:2006 3.4.3.2)
17-10 委託について(JIS Q 15001:2006 3.4.3.4)
17-11 個人情報の開示等について(JIS Q 15001:2006 3.4.4)

17-1 番号法の対応全般について

17-1-1 マイナンバー制度施行により、プライバシーマーク付与を受けようとする事業者が対応すべきことは何でしょうか。

マイナンバー制度施行により、事業者は、特定個人情報(個人番号をその内容に含む個人情報)を取扱うことになります。
特定個人情報は個人情報の一つであり、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」の適用を受けるのみならず、番号法および個人情報保護委員会の定める「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づく対応も求められます。
このため、当センターでは、プライバシーマーク付与を受けようとする事業者が特定個人情報を取扱うに際し、特に対応を必要とする事項とその他の留意すべき事項につき、とりまとめて平成27年5月19日に「特定個人情報の取扱いの対応について」として公表させていただきました。
まずは、この内容をご確認いただくようお願いいたします。

17-1-2 「特定個人情報の取扱いの対応について」では、平成28年1月以降は、特定し参照する対象に番号法および「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)を加える必要がある、としていますが、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」に基づき、プライバシーマーク付与事業者は、具体的にどのような対応が求められるのでしょうか。

「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」(JIPDEC)に示す通り、参照すべき法令等を特定し更新する手順を定め、手順に基づき運用することが求められます。
審査においては、参照すべき法令等を特定し更新する手順(規程)および運用のエビデンス(特定された法令等が確認できる記録等)を確認します。

17-1-3 「特定個人情報の取扱いの対応について」により、マイナンバー制度が始まると、プライバシーマーク付与適格性審査の審査基準が変更されるということなのでしょうか。

「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」や当センターが示す「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」 が変更されるのではなく、これらに基づいてプライバシーマーク付与を受けようとする事業者が対応すべき事項、留意すべき事項が加わるとお考えください。
ご質問の「特定個人情報の取扱いの対応について」は、これらの事項について、当センターが示すガイドラインとは別に、プライバシーマーク付与機関の指針をまとめたものです。

17-1-4 マイナンバー制度の開始にともなって「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」も改正されるのでしょうか。

マイナンバー制度は番号法に従って開始されるものであり、規格の改正とは別問題です。ただし法令順守の観点から、御社はマイナンバー制度への対応を行う必要があります。
なお当センターは規格改正を行う立場にはないので改正そのものについて責任ある回答は致しかねますが、個人情報保護法の改正にともなって、今後規格改正の検討が為されるものと考えられます。

17-2 審査全般について

17-2-1 事業者のマイナンバー制度への対応が、プライバシーマークの審査に適用されるのは、いつの申請からなのでしょうか。

申請時期によって審査対象となるかどうかではなく、申請時、審査時に実態として個人番号を取得・保管しているのであれば審査対象となる、とお考えください。
御社が個人番号の取扱いを開始している場合には、審査においても適宜、特定個人情報の確認を行うこととなります。 ただし、マイナンバー制度の運用開始に伴い、個人番号の取得・保管の有無に限らず、その根拠となる法令等を特定しておく必要があります。このため「特定個人情報の取扱いの対応について」の1. 要求事項に基づき対応を必要とする事項、2)法令、国が定める指針その他の規範(要求事項3.3.2)では、「平成28年1月以降は、特定し参照する対象に番号法および『特定個人情報の適正な取扱いに関するガイドライン(事業者編)』を加える必要がある」としています。

17-2-2 マイナンバー制度開始後、プライバシーマーク審査では、規程等のチェックが重点的に行われるのでしょうか。

文書審査において規程の確認を行うだけではなく、現地審査では、特定個人情報の取扱いの運用が適切に行われているかどうかを確認させていただくこととなります。

17-2-3 プライバシーマーク審査で法令に反する事項が見つかった場合には、審査員から指摘されることとなるのでしょうか。

プライバシーマーク審査員は法令違反を取り締まる立場ではございませんので、法令違反を指摘するというより、御社において法令に正しく対応していない仕組みがあれば、仕組みの改善を求めて行くとお考えください。

17-2-4 個人番号の目的外の利用を行った場合には、審査員から指摘されることとなるのでしょうか。

個人番号の目的外の利用は、法令違反であり、またJIS Q 15001:2006の要求事項3.4.2.6への不適合であると考えられます。
プライバシーマーク制度では、要求事項3.4.2.6の審査基準として、利用目的を変更する場合の承認手順を求めています。これは、事前に利用目的の変更が適切であるかを判断する仕組みを設け、不適切な利用を未然に防ぐための求めです。ご質問の例では、法令の制限を超えて利用目的を変更する旨が申請されても、承認者はこれを否認することができると考えられます。
よって、審査でこのような事象を発見された場合、当該承認手順が機能しなかった原因を特定し是正処置を取る等の指摘を行い、改善を求めていくこととなります。
なお、JIS Q 15001:2006の要求事項に直接含まれない事項については、17-2-3をご覧ください。

17-2-5 「特定個人情報の取扱いの対応について」は、全てのプライバシーマーク指定審査機関が行う審査に適用されるものですか。

適用されます。
「特定個人情報の取扱いの対応について」は、プライバシーマーク付与機関が定める指針にあたります。プライバシーマーク指定審査機関は、プライバシーマーク付与機関が定める指針に基づき審査を行なうことが定められています(「プライバシーマーク指定審査機関指定基準(JIP-PMK210)」4.3(審査基準))。

17-2-6 プライバシーマーク指定審査機関により、マイナンバー制度に関わる審査基準に違いはありますか。

原則として、審査基準の違いはありません。
なお、プライバシーマーク指定審査機関は、プライバシーマーク付与機関の承認を受けて、個人情報の取り扱いに関する業界ガイドラインを審査基準に含めることができます(「プライバシーマーク制度基本要領(JIP-PMK100)」第7条5)。現在、マイナンバー制度に係る審査基準について、プライバシーマーク付与機関が承認した業界ガイドラインはありません。

17-3 個人情報保護マネジメントシステムに関する規程類について

17-3-1 プライバシーマーク付与事業者の規程や帳票につき、マイナンバーに対応するためのサンプル等は公表されるのでしょうか。

当センターは第三者認証を行う立場であり、規程類や帳票のサンプル等の公表は予定しておりません。

17-3-2 プライバシーマーク付与事業者は、通常の個人情報保護のための規程の他に、番号法のための規程を別途設けるべきなのでしょうか。

「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」は、個人情報保護マネジメントシステムに関する内部規程を文書で記述することを求めています(要求事項3.3.5)が、内部規程の構成を指定するものではありません。
よって、必ずしも番号法のために別途に規程を設けなくてはならないということではなく、これまで個人情報保護のために設けてきた規程を見直し、必要に応じて改訂することでも対応は可能と考えます。

17-3-3 プライバシーマーク付与事業者であり、個人情報保護のための規程をすでに策定・運用しています。
この既存の規程とは別に、番号法のために規程を新たに策定する場合、留意点はありますか。

プライバシーマーク付与事業者は、特定個人情報についても「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」及び「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」 (JIPDEC)を踏まえて個人情報を取り扱う必要がありますが、すでに既存の規程にはこれらに求める事項が含まれていると考えられます。
よって、別途規程を策定する場合は既存の規程との関係を明確にし、特定個人情報も、確実にJIS Q 15001:2006の求める個人情報保護マネジメントシステムで管理する必要があります。

17-3-4 プライバシーマーク付与事業者は、個人情報保護のための規程を策定することが求められていますが、マイナンバー制度対応に伴い、この規程の改訂が必要ですか。

改訂の要否は、規程の内容や構成にもよりますが、プライバシーマーク付与事業者のマイナンバー制度対応にあたっては、当センター「特定個人情報の取扱いの対応について」1.項の(1)から(4)に示す対応が必要であり、このうち少なくとも(3)の「資源、役割、責任及び権限(要求事項3.3.4)」および(4)の「緊急事態への準備」については、規定の改訂を伴う対応が発生すると考えられます。具体的には、「17-6 資源、役割、責任及び権限について(JIS Q 15001:2006 3.3.4)」「17-7 緊急事態への準備について(JIS Q 15001:2006 3.3.7)」を確認してください。
さらに、「特定個人情報の取扱いの対応について」1.項(1)に示す通り、プライバシーマーク付与事業者は番号法の規定に反する取扱いをすることをリスクと認識し、リスク分析を踏まえて対策を講じ、御社の個人情報保護マネジメントシステム(PMS)に反映することが求められます。これに伴い、規程の改訂が必要となる場合もあります。

(平成28年6月15日改定)

17-4 個人情報保護方針について(JIS Q 15001:2006 3.2)

17-4-1 個人番号を収集するにあたり、個人情報保護方針を変更する必要がありますか。
また、個人情報保護方針とは別に、個人番号、特定個人情報に関する基本方針を新たに掲げる必要がありますか。

「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」JISに適合する個人情報保護方針を策定されている場合、変更や新規の方針策定の必要はないと考えられます。
JIS Q 15001:2006における個人情報には、個人番号、特定個人情報が含まれているためです。

17-4-2 個人情報保護方針については、プライバシーマークの審査で「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」に準拠し適合していると認められていれば、変更や新規策定の必要はないとの理解でよいでしょうか。

原則はご理解の通りです。
17-4-1に示すように、「JIS Q 15001:2006 に適合する個人情報保護方針が策定されている場合」については、実際の審査においては個人情報保護方針に審査基準に示す事項が含まれているかの観点から確認しています。
ただし、万一、個人情報保護方針に審査基準に示す事項をすべて含んでいるが、合わせてJIS Q 15001:2006や法令とそぐわない内容が含まれていること(法令の制定・改正、また事業範囲や顧客の変更等に係る追加・修正といった継続的改善への未対応を含む)が明らかになった場合、審査において改善をお願いする場合もあります。例えば、個人情報保護方針に次のような宣言が含まれる場合が考えられます。
・本人の同意を取得した利用目的の範囲内のみで取扱うと限定して宣言している。
・遵守する法令を個人情報保護法に限定して宣言している。

17-5 法令、国が定める指針、その他の規範について
(JIS Q 15001:2006 3.3.2)

17-5-1 JIS Q 15001:2006の要求事項3.3.2に基づき特定し参照する対象に番号法を加える場合、特定するのは最終改正 (未施行)でしょうか?施行された法令の最新版でしょうか?

番号法に限らず、法令等の制定・改廃状況に注意し、常にその最新版を維持・参照するという観点からは、未施行の法令であっても最終改正の状況を把握することは、御社にとって重要であると考えられます。
よって、運用確認のエビデンス(参照すべき法令等を特定した記録)には最終改正を特定することが原則です。ただし、未施行や一部未施行の法令等については、施行分の最新版を特定することでも構いません。

17-5-2 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)等では、特定個人情報の提示を受けただけでは「収集」に該当しないとしています。この場合、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」においても、管理対象外となりますか。

個人情報を閲覧するが保管はしない場合においても、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」においては個人情報の特定(要求事項3.3.1)の対象となります。特定個人情報についても同様です。
JIS Q 15001:2006はマネジメントシステム規格であり、事業者の管理能力を高めることを主旨としています。
よって、「閲覧のみであるので管理対象外である」ではなく、個人情報の特定の対象とすることにより「閲覧のみの個人情報について、リスクは存在するか」というリスク認識につなげることとなります(要求事項3.3.3)。

(平成28年2月12日改定)

17-6 資源、役割、責任及び権限について(JIS Q 15001:2006 3.3.4)

17-6-1 事務取扱担当者の役割、責任及び権限を文書化し、規程に反映するにあたり、社内における職務名称を「事務取扱担当者」とすることは必須ですか。

プライバシーマーク制度としては、「資源、役割、責任及び権限(要求事項3.3.4)」で求める文書化にあたり、特定の職務名称が必須ということではありません。ただし、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要があります。また、職務名称が別の名称である場合には、役割、責任及び権限との関係が読み取れる名称とする必要があります。

17-6-2 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)で求められる事務取扱担当者は、当社の総務・経理部門の担当者とすることでよいでしょうか。

プライバシーマーク制度として事務取扱担当者が所属する部門を指定するものではありませんが、御社の従業者や支払先の特定個人情報等を取り扱う事務に従事する担当者(例えば、総務・経理部門の担当者)を事務取扱担当者とすることは、実務上の観点からは問題はないと考えられます。
ただし、御社が個人番号関係事務を受託する立場にある場合は、委託元の特定個人情報等を取り扱う事務に従事する担当者も事務取扱担当者と同等であると考えられます。この場合の担当者は、実務上の観点からは必ずしも総務・経理部門の担当者に限定されないといえます。

17-6-3 個人番号関係事務の代行サービスを利用するため、社内における個人番号の取得や保管等は発生しません。この場合も「事務取扱担当者」を定める必要がありますか。

他社が提供する個人番号関係事務の代行サービスを利用する等により個人番号関係事務の全部を委託する場合も、プライバシーマーク付与事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化した上で、担当者を設置することが原則です。文書化にあたっては、個人番号関係事務の委託先の監督を役割、責任及び権限に含める必要があります。
個人番号関係事務の全部を委託するために事務取扱担当者が設置しづらい場合であっても、当該事務委託先の監督を担当する者が明確である必要があります。(例:個人情報保護管理者の役割、責任及び権限として、個人情報の取扱いの委託先の監督が含まれ、文書化されている等)

(平成28年2月12日追加)

17-7 緊急事態への準備について(JIS Q 15001:2006 3.3.7)

17-7-1 個人情報保護委員会は、緊急事態が発生した場合の報告先にあたりますか。

特定個人情報の緊急事態が発生した場合は、報告先にあたると考えられます。
この場合、個人情報保護委員会は関連機関(「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.3.7c) )のひとつとなります。

17-7-2 「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」(JIPDEC)では、要求事項 3.3.7c)について、緊急事態が発生した場合に関係機関に直ちに報告する手順を明確に記述することを求めていますが、関係機関が個人情報保護委員会である場合はどのような手順が考えられますか。

緊急事態が発生した場合に直ちに報告するためには手順としては、個人情報保護委員会の連絡先を特定することが考えられます。
また、発生した緊急事態が、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成27年特定個人情報保護委員会規則第5号)第2条各号に規定される重大事態に該当する場合は、当該規則に基づく報告を行う必要があります。よって、その旨を内部規程に記述することが考えられます。

(平成28年6月15日追加)

17-8 本人への明示、通知、本人同意の取得等について
(JIS Q 15001:2006 3.4.2関連)

17-8-1 個人番号を収集するにあたり、既に取得済みの個人情報に付帯する個人番号(従業者等の個人番号)を取得する場合に改めて利用目的を通知して同意を得る必要はあるのでしょうか。

本人から既に取得済みの個人情報に付帯する個人番号を取得する場合は、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」では「法令に基づく場合」(要求事項3.4.2.4ただし書きのうち3.4.2.6a))にあたるため、要求事項の3.4.2.4の措置(明示、本人の同意の取得)は必ずしも行わなくてよいこととなります。
ただし、要求事項 3.3.2を踏まえ、プライバシーマーク付与事業者のうち、個人情報保護法に定める個人情報取扱事業者にあたる事業者には、個人情報保護法に基づく利用目的の通知等が求められます。

17-8-2 新規に従業者を雇用するため、個人番号を含む個人情報を取得する場合、利用目的等を明示して同意を得る必要はあるのでしょうか。

新規従業者の個人情報の利用目的は、個人番号関係事務等に限定されないと考えられます。
この場合、プライバシーマーク付与事業者は利用目的を含め「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」の3.4.2.4で要求される事項を明示して同意を得る必要があります。

17-8-3 従業者の扶養家族の個人番号を取得する場合、本人の同意を得る必要はあるのでしょうか。

本人の同意は必須ではありませんが、扶養家族から個人番号を取得する場面に応じて、求められる措置が異なります。
17-8-4、17-8-5を併せてご確認ください。

17-8-4 従業者から扶養控除等の申請に伴い従業者の扶養家族の個人番号を取得する場合に、プライバシーマーク付与事業者に求められる措置は何ですか。

従業者自身が個人番号関係事務実施者として扶養家族の個人番号を取得すると考えられます。以下のリンク先のQ4-3-6もご確認ください。
 (内閣官房「マイナンバー社会保障・税番号制度」Webページ-よくある質問)
 http://www.cas.go.jp/jp/seisaku/bangoseido/faq/faq4.html
プライバシーマーク付与事業者としては「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」の3.4.2.5の措置(利用目的の本人(扶養家族)への通知又は公表)が求められます。

17-8-5 従業者の扶養家族本人から国民年金第3号被保険者の届出に伴い従業者の扶養家族の個人番号を取得する場合に、プライバシーマーク付与事業者に求められる措置は何ですか。

「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」の3.4.2.4に基づき本人(扶養家族)から直接個人番号を取得することになりますが、「法令に基づく場合」(要求事項3.4.2.4ただし書きのうち3.4.2.6a))にあたるため、要求事項の3.4.2.4の措置(明示、本人の同意の取得)は必ずしも行わなくてよいこととなります。
ただし、要求事項3.3.2を踏まえ、法令に基づく対応が求められます。
17-8-1を併せてご参照ください。

17-8-6 個人番号収集に伴う本人確認のため、運転免許証やパスポート等の個人情報の取得を予定していますが、本人確認が個人情報取得の目的である場合、利用目的の明示および本人の同意は必要なのでしょうか。

「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」では「法令に基づく場合」(要求事項3.4.2.4ただし書きのうち3.4.2.6a))にあたるため、要求事項3.4.2.4の措置(明示、本人の同意の取得)は必ずしも行わなくてよいこととなります。

17-8-7 謝金支払先の個人から個人番号を取得する場合に、プライバシーマーク付与事業者に求められる措置は何ですか。

すでに個人情報として取得済みの謝金支払先の個人番号を取得する場合においては、要求事項 3.3.2を踏まえ、法令に基づく対応が求められます。17-8-1を併せてご参照ください。
新たに業務を依頼し謝金を支払う場合は、個人番号の他にも個人情報(口座番号等)を取得すると考えられ、JIS Q 15001:2006の3.4.2.4項に示す措置(本人への明示および同意取得)が求められます。ただし書き(3.4.2.5d))の適用は、御社の依頼業務に対する本人への謝金支払いのために本人から振込依頼書の提出を受ける等、本人からみて個人情報の利用目的が明確である場合に極力限定してください。

17-9 安全管理措置について(JIS Q 15001:2006 3.4.3.2)

17-9-1 プライバシーマーク付与事業者は、マイナンバー制度対応に伴い、新たなセキュリティ対策等を講じる必要があるのですか。

「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」は、取扱う個人情報リスクに応じた対策(安全管理措置)を求めており、プライバシーマーク付与事業者は、個人番号、特定個人情報の取扱いのリスクに応じた対策を講じることが求められます。
よって、新たな対策の要否については、当センター「特定個人情報の取扱いの対応について」の1.項(1)を踏まえたリスクの認識、分析に基づき具体的な対策を判断することが必要であると考えられます。
その際、前出の「特定個人情報の取扱いの対応について」の2.項(3)に示す通り、番号法に定める禁止事項や国の示す「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)を踏まえる必要がある点に留意してください。

17-9-2 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)では「特定個人情報等を取り扱う区域の管理」が求められますが、JIS Q 15001:2006の観点から留意すべき事項はありますか。

事業所内で設定した区域外に特定個人情報等を移送・送信する場合のリスクを見直し、リスク分析を踏まえて対策を講じ、御社の個人情報保護マネジメントシステムに反映することが求められます。これに伴い、御社内の規程の改訂が必要となる場合もあります。

17-9-3 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)で求められる「特定個人情報等を取り扱う事務を実施する区域」(取扱区域)は、当社の総務・経理部門の執務区域に設定することでよいでしょうか。

プライバシーマーク制度として御社内における取扱区域を指定するものではありませんが、御社の従業者や支払先の特定個人情報等を取り扱う事務取扱担当者が所属する部門(例えば、総務・経理部門の執務区域)を取扱区域とすることは、実務上の観点からは問題はないと考えられます。
ただし、御社が個人番号関係事務又は個人番号利用事務を受託する立場にある場合は、委託元の特定個人情報等を取り扱う事務を実施する区域も取扱区域と同等であると考えられます。この場合の区域は、実務上の観点からは必ずしも総務・経理部門の執務区域に限定されないといえます。

17-9-4 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)で求められる「特定個人情報等を取り扱う事務を実施する区域」(管理区域)は、当社の従業者や支払先の特定個人情報ファイルを取り扱う情報システムを管理する区域に設定することで足りるでしょうか。

プライバシーマーク制度として御社内における管理区域を指定するものではありませんが、御社が個人番号関係事務又は個人番号利用事務を受託する立場にある場合は、委託元の特定個人情報ファイルを管理する区域も管理区域と同等であると考えられます。

17-10 委託について(JIS Q 15001:2006 3.4.3.4)

17-10-1-1 マイナンバー対応を支援する目的でクラウドサービスを提供します。当該サービスの提供により顧客から預かる情報は、「事業の用に供する個人情報」ですか。
もしそうである場合、プライバシーマーク付与事業者は、どのような対応が求められるのでしょうか。

「事業の用に供する個人情報」といえます。受託者は、個人情報(個人番号を含む)を取扱う仕組みを顧客に提供しており、顧客から預かる情報に個人情報(個人番号を含む)が格納されることが明らかであるためです。
この場合、プライバシーマーク付与事業者には、顧客から預かる情報についても「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」に基づく措置が求められます。また、個人番号については、当センター「特定個人情報の取扱いの対応について」を踏まえて取扱う必要があります。

(平成28年7月13日項番変更)

17-10-1-2 ハードウェア、ソフトウェア保守サービスを提供していますが、個人番号を含む電子データは取り扱わないこととし、その旨を顧客との契約条項に定めています。この場合も、当該サービスを提供するプライバシーマーク付与事業者は何らかの対応が求められるのでしょうか。

顧客から預かる情報に対し、リスクに応じた安全管理措置を講じることが求められます。受託者は、顧客から預かる情報に個人情報(個人番号含む。)が含まれるリスクが否定できないと考えられます。顧客との契約条項の定めは、このような個人情報の取扱い上のリスクをふまえた対策のひとつといえます。

(平成28年7月13日追加)

17-10-2 「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」(JIPDEC)では、委託先としての社労士、税理士等、国が定めた資格者はそれだけで委託先として選定基準を満たしていると考えてよく、契約書の締結も必要がないとなっています。個人番号関係事務を委託する場合についても同様でしょうか。

社労士、税理士等に個人番号関係事務を委託する場合、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)が示す「必要かつ適切な監督」(第4-2-(1) 1 B)が求められると考えられます。
なお、個人情報保護委員会のガイドラインが示す監督が行われていない場合については、17-10-9をご覧ください。

(平成28年6月15日改定)

17-10-3 特定個人情報を取り扱う情報システムについて、適切なアクセス制御の上で外部の事業者のハードウェア、ソフトウェア保守サービスを活用する場合、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.3.4に基づく委託先の監督の対象となりますか。

外部事業者が提供する保守サービスの種類によらず、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.3.4の委託先の監督の対象となります。
要求事項3.4.3.4においては、外部の事業者に対しアクセス制御を行うことにより当該事業者が委託先の監督の対象からはずれるのではなく、委託する個人情報の安全管理(アクセス制御を行う等)を図るために監督を行うとお考えください。

(平成28年7月13日改訂)

17-10-4 特定個人情報の受け渡しについて、業務の全部又は一部を配送業者、通信業者に委託する場合、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.3.4に基づく委託先の監督の対象となりますか。

個人番号関係事務又は個人番号利用事務の委託であるかどうかによらず、個人情報の移送・送信局面での委託であれば、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.3.4の委託先の監督の対象となります。

17-10-5 特定個人情報の受け渡しについて、業務の全部又は一部を配送業者に委託する場合であって、当該配送業者が依頼された特定個人情報の中身の詳細を関知しない場合は、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.3.4に基づく委託先の監督の対象となりますか。

個人番号関係事務又は個人番号利用事務の委託であるかどうかによらず、他の事業者に取り扱わせる情報に個人情報が含まれるかを認識させることなく預ける場合も、委託者は預ける情報に個人情報が含まれることを認識しており、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.3.4の委託先の監督の対象となります。
要求事項3.4.3.4では委託先の選定や契約等が求められますが、配送業者との契約は、約款による場合があります。この場合、事業者は、約款の内容を確認し、その内容がJIS Q 15001:2006が要求する保護水準に満たない場合は、委託者自らがリスクに基づく対策を講じる必要があります。

17-10-6 特定個人情報の受け渡しについて、通信事業者が提供する通信手段を利用する場合は、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.3.4に基づく委託先の監督の対象となりますか。

個人番号関係事務又は個人番号利用事務の委託であるかどうかによらず、個人情報の取扱いの委託にはあたりませんが、要求事項の3.4.3.2を踏まえ、リスクに応じた安全管理措置を講じることが求められます。

17-10-7 特定個人情報の保管を、クラウドサービスを利用して行う場合、クラウドサービス事業者は「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.3.4に基づく委託先の監督の対象となりますか。

個人番号関係事務又は個人番号利用事務の委託であるかどうかによらず、クラウドサービス事業者に個人情報が含まれるかを認識させることなく預ける場合も、委託者は預ける情報に個人情報が含まれることを認識しており、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.3.4の委託先の監督の対象となります。
要求事項3.4.3.4では委託先の選定や契約等が求められますが、クラウドサービス事業者との契約は、約款による場合があります。この場合、事業者は、約款の内容を確認し、その内容がJIS Q 15001:2006が要求する保護水準に満たない場合は、委託者自らがリスクに基づく対策を講じる必要があります。

17-10-8 個人番号関係事務の全部を委託するため、自社で特定個人情報を取り扱っていません。この場合、プライバシーマーク付与事業者として何か行うべきことはありますか?

個人番号関係事務の代行サービスの利用等により個人番号関係事務の全部を委託する場合、当該委託先に対し、要求事項3.4.3.4による委託先の監督が求められます。また、委託先の監督だけではなく、JIS Q 15001:2006の各要求事項に対応する必要があります。
自社内で特定個人情報を取り扱う作業を行わない(保管等が発生しない)場合であっても、貴社が行う事務を委託している場合は、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」の管理対象となります。
個人番号関係事務の全部を委託する場合の事務取扱担当者の設置については、17-6-3を参照してください。 特定個人情報の保管等が発生しない場合の、個人情報の特定(要求事項3.3.1)とリスク認識(要求事項3.3.3)については、17-5-2を参照してください。

(平成28年2月12日追加)

17-10-9 個人情報保護委員会の「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」が示す「必要かつ適切な監督」(第4-2-(1) 1 B)を行わない場合、プライバシーマーク審査で、審査員から指摘されることとなるのでしょうか。

この場合、プライバシーマーク審査で法令に反する事項が見つかった場合と同様に、指摘し、改善をお願いする場合があります。詳細は17-2-3を参照してください。

(平成28年6月15日追加)

17-11 個人情報の開示等について(JIS Q 15001:2006 3.4.4)

17-11-1 特定個人情報は、「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」3.4.4.1でいう開示対象個人情報に該当しますか。

開示対象個人情報に該当します。

17-11-2 本人より特定個人情報の開示等を求められた場合、開示等の求めをする者が、本人又は代理人であることの確認の方法(JIS Q 15001:2006 3.4.4.2c))としては、どのような方法がありますか。

「JIS Q 15001:2006(個人情報保護マネジメントシステム―要求事項)」において本人又は代理人の確認方法を指定するものではありませんが、開示等(利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を含む。)については、番号法第16条で定める措置を取る必要があります。
なお、具体的な本人確認の方法については、「行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則」(平成26年内閣府・総務省令第3号)、関連省庁による告示、事業者向け公表資料等も確認してください。