マイナンバー制度によってプライバシーマークはどう変わる?その2
プライバシーマーク事務局より番号法および特定個人情報ガイドラインへの対応について」が公表されています。
プライバシーマーク取得事業者が行うことを要約しますと以下となります。
- 個人情報の特定、リスクなどの認識、分析及び対策(要求事項3.3.1、3.3.3)
- 特定個人情報は、個人情報の特定の対象とすること。
- 番号法の規定に反する取扱いをすることをリスクと認識し、リスク分析を行うこと。
- 法令、国が定める指針その他の規範(要求事項3.3.2)
- 法令一覧表に番号法及び特定個人情報ガイドラインを加える必要がある。
- 資源、役割、責任及び権限(要求事項3.3.4)
- 事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要がある。
- 取得、利用及び提供に関する原則(要求事項3.4.2)
- 利用目的を本人に通知する等の措置を行わなければならない。
- 個人番号は利用範囲が制限されており、たとえ本人の同意を得ても、利用範囲を超えた利用はできない。
- 特定個人情報ファイルの作成は、利用事務、関係事務を処理するために必要な範囲に限られている。
- 特定個人情報の提供は、利用事務、関係事務を処理するために必要な場合を除き、禁止である。
- 個人番号の共同利用は認められない。
- 個人番号の提供を受ける場合、本人確認が義務付けられ、確認方法が規定されている。(番号法第 16 条)
- 正確性の確保(要求事項3.4.3.1)
- 番号法に定めた事務を行う場合を除き、特定個人情報を保管ができない。
- 安全管理措置(要求事項3.4.3.2)
- 個人番号の削除や特定個人情報等を取扱う機器及び電子媒体等の廃棄は、所管法令等における保存期間の経過時には速やかに削除・廃棄を行うこと。
- 委託先の監督(要求事項3.4.3.4)
- 特定個人情報ガイドラインが示す事項を契約書等に盛り込む必要がある。
- 委託や再委託(再々委託等も含む)を認めているが、最初の委託元の許諾を得ること。
なお、上記の運用開始(審査開始と言ってもよい)は、個人にマイナンバーが配布され、企業で取得を始める2015年10月以降となります。
※内容によっては、2016年1月以降もあります