マイナンバーを含む個人情報(特定個人情報)の取扱いのQ&A

特定個人情報の取扱いの対応についてのQ&Aをまとめています。
下記の指針とあわせて、ご確認ください。

【表記について】
※各事項に記載される項番(Jから始まる番号)は、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(構築・運用指針)の各要求事項に対応しています。

1. 番号法の対応全般について

  質問 回答
1-1 マイナンバー制度において、プライバシーマーク付与を受けようとする事業者(更新申請、新規申請を含む)が対応すべきことは何でしょうか。 マイナンバー制度により、事業者は、特定個人情報(個人番号をその内容に含む個人情報)を取り扱うことになります。
特定個人情報は個人情報の一つであり、「構築・運用指針」の適用を受けるのみならず、番号法および個人情報保護委員会の定める「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づく対応も求められます。
このため、当センターでは、プライバシーマーク付与を受けようとする事業者(更新申請、新規申請を含む)が特定個人情報を取り扱うに際し、特に対応を必要とする事項とその他の留意すべき事項につき、とりまとめたものを「特定個人情報の取扱いの対応について」として公表しています。
まずは、この内容をご確認ください。
1-2 「特定個人情報の取扱いの対応について」は、全てのプライバシーマーク指定審査機関が行う審査に適用されるものですか。 適用されます。
1-3 プライバシーマーク指定審査機関により、マイナンバー制度に関わる審査に違いはありますか。 原則として、審査の違いはありません。
1-4 プライバシーマーク付与事業者の内部規程や帳票につき、マイナンバーに対応するためのサンプル等は公表されていますか。 当センターは第三者認証を行う立場であり、内部規程や帳票のサンプル等は公表していません。
1-5 プライバシーマーク付与事業者は、通常の個人情報保護のための内部規程の他に、番号法のための内部規程を別途設けるべきですか。 「構築・運用指針」では、個人情報保護マネジメントシステムに関する内部規程(J.4.5.4)を文書で記述することを求めていますが、内部規程の構成を指定するものではありません。よって、必ずしも番号法のために別途に内部規程を設けなくてはならないということではなく、これまで個人情報保護のために設けてきた内部規程を見直し、必要に応じて改訂することでも対応は可能と考えます。
1-6 プライバシーマーク付与事業者である当社が、個人情報保護のための内部規程とは別に、番号法のために規程を新たに策定する場合、留意点はありますか。 別途番号法のために内部規程を策定する場合は、個人情報保護のための内部規程との関係を明確にし、特定個人情報も、確実に「構築・運用指針」の求める個人情報保護マネジメントシステムで管理する必要があります。具体的には、 「特定個人情報の取扱いの対応について」を参照してください。

2. 「特定個人情報の取扱いの対応について」について

2-1.個人情報の特定、個人情報保護リスクアセスメント、個人情報保護リスク対応(J.3.1.1、J.3.1.3、J.3.1.4)

  質問 回答
2-1-1 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)等では、特定個人情報の提示を受けただけでは「収集」に該当しないとしています。この場合、「構築・運用指針」においても、管理対象外となりますか。 個人情報を閲覧するが保管はしない場合においても、「構築・運用指針」においては個人情報の特定(J.3.1.1)の対象となります。特定個人情報についても同様です。
「構築・運用指針」はマネジメントシステム規格であり、事業者の管理能力を高めることを主旨としています。
よって、「閲覧のみであるので管理対象外である」ではなく、個人情報の特定の対象とすることにより「閲覧のみの個人情報について、リスクは存在するか」というリスク認識につなげることとなります(J.3.1.3)。

2-2. 法令、国が定める指針その他の規範(J.1.3)

  質問 回答
2-2-1 「特定個人情報の取扱いの対応について」では、プライバシーマーク付与を受けようとする事業者が対応すべき事項として、「自社で特定し参照する対象となる法令等を確認すること」としていますが、具体的にどのような点が求められているのでしょうか。 「構築・運用指針」では、法令等を特定し参照できる手順を内部規程として定めること、内部規程に基づき法令等を特定し参照することを求めています。

2-3.組織の役割、責任及び権限(J.2.3.1)

  質問 回答
2-3-1 事務取扱担当者の役割、責任及び権限を文書化し、規程に反映するにあたり、社内における職務名称を「事務取扱担当者」とすることは必須ですか。 プライバシーマーク制度としては、特定の職務名称が必須ということではありません。ただし、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要があります。
2-3-2 事務取扱担当者は、当社の総務・経理部門の担当者とすることでよいですか。 プライバシーマーク制度として事務取扱担当者が所属する部門を指定するものではなく、貴社の従業者や支払先の特定個人情報等を取り扱う事務に従事する担当者(例えば、総務・経理部門の担当者)を事務取扱担当者とすることは、実務上の観点からは問題はないと考えられます。
ただし、貴社が個人番号関係事務等を受託する立場にある場合は、委託元の特定個人情報等を取り扱う事務に従事する担当者も事務取扱担当者と同等であると考えられます。この場合の担当者は、実務上の観点からは必ずしも総務・経理部門の担当者に限定されないといえます。
2-3-3 個人番号関係事務の代行サービスを利用するため、社内における個人番号の取得や保管等は発生しません。この場合も「事務取扱担当者」を定める必要がありますか。 他社が提供する個人番号関係事務の代行サービスを利用する等により個人番号関係事務の全部を委託する場合も、プライバシーマーク付与事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化した上で、担当者を設置することが原則です。文書化にあたっては、個人番号関係事務の委託先の監督を役割、責任及び権限に含める必要があります。
個人番号関係事務の全部を委託するために事務取扱担当者が設置しづらい場合であっても、当該事務委託先の監督を担当する者が明確である必要があります。(例:個人情報保護管理者の役割、責任及び権限として、個人情報の取扱いの委託先の監督が含まれ、文書化されている等)

2-4.安全管理措置(J.9.2)

  質問 回答
2-4-1 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)では「特定個人情報等を取り扱う区域の管理」が求められますが、プライバシーマーク付与事業者が留意すべき事項はありますか。 事業所内で設定した区域外に特定個人情報等を移送・送信する場合のリスクを見直し、リスク分析を踏まえて対策を講じ、貴社の個人情報保護マネジメントシステムに反映することが求められます。これに伴い、貴社内の規程の改訂が必要となる場合もあります。
2-4-2 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)で求められる「特定個人情報等を取り扱う事務を実施する区域」(取扱区域)は、当社の総務・経理部門の執務区域に設定することでよいですか。 プライバシーマーク制度として貴社内における取扱区域を指定するものではなく、貴社の従業者や支払先の特定個人情報等を取り扱う事務取扱担当者が所属する部門(例えば、総務・経理部門の執務区域)を取扱区域とすることは、実務上の観点からは問題はないと考えられます。
ただし、貴社が個人番号関係事務または個人番号利用事務を受託する立場にある場合は、委託元の特定個人情報等を取り扱う事務を実施する区域も取扱区域と同等であると考えられます。この場合の区域は、実務上の観点からは必ずしも総務・経理部門の執務区域に限定されないといえます。
 
2-4-3 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会)で求められる「特定個人情報ファイルを取り扱う情報システムを管理する区域」(管理区域)は、当社の従業者や支払先の特定個人情報ファイルを取り扱う情報システムを管理する区域に設定することで足りますか。 プライバシーマーク制度として貴社内における管理区域を指定するものではなく、貴社が個人番号関係事務または個人番号利用事務を受託する立場にある場合は、委託元の特定個人情報ファイルを管理する区域も管理区域と同等であると考えられます。

2-5.委託先の監督(J.9.4)

  質問 回答
2-5-1 マイナンバー対応を支援する目的でクラウドサービスを提供します。当該サービスの提供により顧客から預かる情報は、「事業の用に供する個人情報」ですか。そうである場合、プライバシーマーク付与事業者は、どのような対応が求められますか。 「事業の用に供する個人情報」です。受託者は、個人情報(個人番号を含む)を取り扱う仕組みを顧客に提供しており、顧客から預かる情報に個人情報(個人番号を含む)が格納されることが明らかであるためです。
この場合、プライバシーマーク付与事業者には、顧客から預かる情報についても「構築・運用指針」に基づく措置が求められます。また、特定個人情報については、「特定個人情報の取扱いの対応について」を踏まえて取り扱う必要があります。
2-5-2 ハードウェア、ソフトウェア保守サービスを提供していますが、特定個人情報を含む電子データは取り扱わないこととし、その旨を顧客との契約条項に定めています。この場合も、当該サービスを提供するプライバシーマーク付与事業者は何らかの対応が求められますか。 顧客から預かる情報に対し、リスクに応じた安全管理措置を講じることが求められます。受託者は、顧客から預かる情報に個人情報(個人番号含む)が含まれるリスクが否定できないと考えられます。顧客との契約条項の定めは、このような個人情報の取扱い上のリスクをふまえた対策のひとつといえます。
2-5-3 特定個人情報を取り扱う情報システムについて、適切なアクセス制御の上で外部の事業者のハードウェア、ソフトウェア保守サービスを活用する場合、J.9.4(委託先の監督)に基づく委託先の監督の対象となりますか。 外部事業者が提供する保守サービスの種類によらず、J.9.4(委託先の監督)の対象となります。
本項においては、外部の事業者に対しアクセス制御を行うことにより当該事業者が委託先の監督の対象からはずれるのではなく、委託する個人情報の安全管理(アクセス制御を行う等)を図るために監督を行うとお考えください。
2-5-4 特定個人情報の受け渡しについて、業務の全部または一部を配送業者等業者に委託する場合、J.9.4(委託先の監督)に基づく委託先の監督の対象となりますか。 個人番号関係事務または個人番号利用事務の委託であるかどうかによらず、個人情報の移送・送信局面での委託であれば、J.9.4(委託先の監督)の対象となります。
本項では委託先の選定や契約等が求められますが、配送業者との契約は、約款による場合があります。この場合、事業者は、約款の内容を確認し、その内容が「構築・運用指針」が要求する保護水準に満たない場合は、委託者自らがリスクに基づく対策を講じる必要があります。
2-5-5 特定個人情報の保管を、クラウドサービスを利用して行う場合、クラウドサービス事業者はJ.9.4(委託先の監督)に基づく委託先の監督の対象となりますか。 個人番号関係事務または個人番号利用事務の委託であるかどうかによらず、クラウドサービス事業者に個人情報が含まれるかを認識させることなく預ける場合も、委託者は預ける情報に個人情報が含まれることを認識しており、J.9.4(委託先の監督)の対象となります。
J.9.4では委託先の選定や契約等が求められますが、クラウドサービス事業者との契約は、約款による場合があります。この場合、事業者は、約款の内容を確認し、その内容が「構築・運用指針」が求める安全管理措置等を満たしていない場合は、委託者自らがリスクに基づく対策を講じる必要があります。
2-5-6 個人番号関係事務の全部を委託するため、自社で特定個人情報を取り扱っていません。この場合、プライバシーマーク付与事業者として何か行うべきことはありますか? 個人番号関係事務の代行サービスの利用等により個人番号関係事務の全部を委託する場合、当該委託先に対し、J.9.4(委託先の監督)による委託先の監督が求められます。また、委託先の監督だけではなく、「構築・運用指針」の各要求事項に対応する必要があります。 自社内で特定個人情報を取り扱う作業を行わない(保管等が発生しない)場合であっても、貴社が行う事務を委託している場合は、管理対象となります。
個人番号関係事務の全部を委託する場合の事務取扱担当者の設置については、2-3-3を参照してください。 特定個人情報の保管等が発生しない場合の、個人情報の特定(J.3.1.1)と個人情報保護リスクアセスメント(J.3.1.3)については、2-1-1を参照してください。

更新日

2022年6月20日

お問い合わせ

一般財団法人日本情報経済社会推進協会(JIPDEC)
プライバシーマーク推進センター

〒106-0032
東京都港区六本木一丁目9番9号 六本木ファーストビル内

ページトップへ戻る