Pマーク付与事業者が必ず行うべき特定個人情報の取扱い対応の7つ!

スポンサーリンク



みなさん、こんにちは

2018年8月の審査より、旧規格「JISQ15001 2006」から新規格「JISQ15001 2017」に変わりました。

旧規格のときは、事業者が特定個人情報(個人番号を含む)の取扱いを全面的に税理士や司法書士などに任せて社内では取り扱っていないことにできましたが、新規格ではそのような場合でも取り扱っていることになります。

今回、プライバシーマーク付与事業者が特定個人情報の取扱いの対応についていくつかのポイントを説明します。

スポンサーリンク



特定個人情報の取扱い7つのポイント

1.特定個人情報を個人情報管理台帳に特定しリスク分析すること。

2.特定個人情報に係る法令等を特定し参照すること

3.特定個人情報の取扱い担当者の役割・権限の文書化

4.緊急事態(重大事態)への準備

5.番号法に基づく対応

個人番号の原則的な取扱い(ガイドラインより)

事業者が個人番号を利用するのは、個人番号利用事務及び個人番号関係事 務の二つの事務である。

このうち、健康保険組合等以外の事業者が個人番号 を利用するのは、個人番号関係事務として個人番号を利用する場合である。

個人番号の利用範囲は番号法第9条に示す範囲に限定される

利用目的の例

  • 源泉徴収票の作成業務
  • 個人住民税に関する届出、申請事務
  • 健康保険・厚生年金保険に関する届出、申請、請求事務
  • 雇用保険に関する届出、申請、請求事務
  • 財産形成住宅貯蓄・財産形成年金貯蓄に関する申告書、届出書および申込書提出事務
  • 従業員持株会の会員である者について、支払い調書作成事務のために従業員持株会に提供すること
  • 確定給付企業年金法による年金である給付または一時金の支給に関する事務
  • 確定拠出年金法による企業型記録関連運営管理機関への通知、企業型年金加入者等に関する原簿の記録および保存または企業型年金の給付若しくは脱退一時金の支給に関する事務
  • (従業員の配偶者、扶養親族等の個人番号)源泉徴収票の作成業務
  • (従業員の配偶者、扶養親族等の個人番号)健康保険・厚生年金保険届出事務

特定個人情報ファイル

個人番号利用事務、個人番号関係事務を処理するために必要な範囲に限られている。

法令に基づき行う従業員等の源泉徴収票作成事務、健康保険・厚生年金保険 被保険者資格取得届作成事務等に限って、特定個人情報ファイルを作成する ことができるものであり、これらの場合を除き特定個人情報ファイルを作成 してはならない。

そのことから、例えば、個人番号を含むデータベースを作成した場合や既存能力データベースに個人番号を追加した場合は、注意するべきであります。

特定個人情報の共同利用

番号法第19条(特定個人情報の提供制限)に規定された場合を除き、特定個人情報の提供は禁止である。

また番号法では個人番号の共同利用は認められていない。

個人番号の提供を受ける場合

番号法第16条(本人確認の措置)により本人の確認が義務付けれら、確認方法が規定されている。

6.安全管理措置

  • 個人番号を取り扱う事務担当者の明確化
  • 特定個人情報の取扱規定類の策定
  • 入退管理(特定個人情報を扱う区域管理)
  • 特定個人情報等を取扱う機器、電子媒体および書類等の盗難および紛失等の防止
  • 特定個人情報の保存期間終了後の削除・廃棄
  • アクセス制御、アクセス者の識別・認証、不正アクセス防止、通信経路の暗号化

7.委託先の監督

個人番号関係事務または個人番号利用事務の全部または一部を委託する場合、委託先の監督を行う必要がある。(規格A3.4.3.4

特定個人情報ガイドラインでは、

『契約内容として、秘密保持義務、事業所内 からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託 契約終了後の特定個人情報の返却又は廃棄従業者に対する監督・教育契約内容の遵守状況について報告を求める規定等を盛り込まなければならない』

スポンサーリンク






シェアする

  • このエントリーをはてなブックマークに追加

フォローする