Faith to Face  ~オレキケ社労士の日々ウダウダ!!~

社会保険労務士として、日々奮闘中のT&Dが、日々起こる話をウダウダ語ります。

特定個人情報ガイドライン Q&Aの追加

通知カードの送付まであと2ヶ月。


なんだかよくわからないけど、分かる範囲で頑張ろう!!、と、マイナンバー取扱いルールを整備している企業も多いと思います。


そんな中、特定個人情報保護委員会が出している、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」にQ&A7問が追加されています。


このガイドラインは企業がマイナンバー対策を考えるうえで重要な資料の一つですので、チェックしておきましょう!!


追加の内容は下記の通り。


【事業者編】

4:提供の要求

Q4-1-2
個人番号関係事務実施者である事業者(事業者から個人番号を収集する事務の委託を受けた者を含む。)は、従業員等の家族全員の個人番号を収集することができますか。

A4-1-2
個人番号関係事務実施者である事業者(事業者から個人番号を収集する事務の委託を受けた者を含む。)は、個人番号関係事務を処理するために必要がある場合に限って、本人又は他の個人番号関係事務実施者に対して個人番号の提供を求めること
ができます。
したがって、例えば、家族であっても社会保障や税における扶養親族に該当しない者などは、事業者として個人番号関係事務を処理する必要がないことから、それらの者の個人番号の提供を求めることはできません。(平成 27 年8月追加)


6:収集・保管制限

Q6-2-2
扶養控除等申告書に記載される扶養親族の個人番号については、従業員が個人番号関係事務実施者として番号法上の本人確認を行うこととされており、事業者には本人確認義務は課せられていませんが、事業者に番号法上の本人確認義務がない場合であっても、書類に正しい番号が記載されているかを確認するために、事業者が扶養親族の通知カードや個人番号カードのコピーを取得することはできますか。

A6-2-2
個人番号関係事務においては正しい個人番号が取り扱われることが前提ですので、事業者は、個人番号関係事務を実施する一環として、個人番号カード等のコピーを取得し、個人番号を確認することが可能と解されます。
なお、取得したコピーを保管する場合には、安全管理措置を適切に講ずる必要があります。(平成 27 年8月追加)


10:(別添)安全管理措置

Q10-2
事務取扱担当者には、特定個人情報等を取り扱う事務に従事する全ての者が該当しますか。

A10-2
事務取扱担当者は、一般的には、個人番号の取得から廃棄までの事務に従事する全ての者が該当すると考えられます。
ただし、事務取扱担当者に該当するか否かを判断することも重要ですが、当該事務のリスクを適切に検討し、必要かつ適切な安全管理措置を講ずることが重要です。
例えば、担う役割に応じて、定期的に発生する事務や中心となる事務を担当する者に対して講ずる安全管理措置と、書類を移送するなど補助的に一部の事務を行う者に対して講ずる安全管理措置とが異なってくることは十分に考えられます。
なお、社内管理上、定期的に発生する事務や中心となる事務を担当する者のみを事務取扱担当者と位置付けることも考えられますが、特定個人情報等の取扱いに関わる事務フロー全体として漏れのない必要かつ適切な安全管理措置を講じていただくことが重要です。(平成 27 年8月追加)


11:講ずべき安全管理措置の内容
Q11-4
標的型メール攻撃等による特定個人情報の漏えい等の被害を防止するために、安全管理措置に関して、どのような点に注意すればよいですか。

A11-4
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し適切に運用する等のガイドラインの遵守に加え、次のような安全管理措置を講ずることが考えられます。

<1>
不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。

<2>
特定個人情報ファイルを端末に保存する必要がある場合、パスワードの設定又は暗号化により秘匿する(データの暗号化又はパスワードによる保護に当たっては、不正に入手した者が容易に解読できないように、暗号鍵及びパスワードの運用管理、パス
ワードに用いる文字の種類や桁数等の要素を考慮する。)。

<3>
情報漏えい等の事案の発生又は兆候を把握した場合の迅速な情報連絡体制についての確認・訓練を行う。

また、独立行政法人情報処理推進機構(IPA)等がホームページで公表しているセキュリティ対策等を参考にすることも考えられます。(平成 27 年8月追加)


13:取扱規程等の策定

Q13-2
中小規模事業者も取扱規程等を策定しなければなりませんか。

A13-2
中小規模事業者においては、必ずしも取扱規程等の策定が義務付けられているものではなく、特定個人情報等の取扱方法や責任者・事務取扱担当者が明確になっていれば足りるものと考えられます。明確化の方法については、口頭で明確化する方法のほ
か、業務マニュアル、業務フロー図、チェックリスト等に特定個人情報等の取扱いを加えるなどの方法も考えられます。(平成 27 年8月追加)


15:物理的安全管理措置

Q15-1-3
「a 特定個人情報等を取り扱う区域の管理」における「管理区域」及び「取扱区域」を明確にし物理的な安全管理措置を講ずるに当たって、区域ごとに全て同じ安全管理措置を講ずる必要があるのでしょうか。

A15-1-3
各区域で同じ安全管理措置を講ずる必要はなく、区域によっては取り扱う特定個人情報の量、利用頻度、使用する事務機器や環境等により、講ずべき物理的安全管理措置が異なると考えられますので、例えば、管理区域については厳格に入退室を管
理し、取扱区域については間仕切りの設置や座席配置の工夫を行うなど、それぞれの区域に応じた適切な安全管理措置を講じていただくことになります。(平成 27 年8月追加)

Q15-1-4
「a 特定個人情報等を取り扱う区域の管理」及び「b 機器及び電子媒体等の盗難等の防止」について、従業員数人程度の事業者における手法の例示を教えてください。

A15-1-4
一つの事務室で事務を行っている場合を想定すると、例えば、来客スペースから特定個人情報等に係る書類やパソコンの画面が見えないよう各種の工夫をすることが考えられます。
盗難防止については、留守にする際には確実にドアに施錠をする、特定個人情報等を取り扱う機器、電子媒体や個人番号が記載された書類等は、施錠できるキャビネット、引出等に収納し、使用しないときには施錠しておくなど盗まれないように保管することは、他の重要な書類等と同様です。(平成 27 年8月追加)


これからも随時新しい情報が追加されると思いますので、要チェックです!!

「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&A(平成26年12月11日)(平成27年8月6日更新)

Q&Aの追加・更新(平成27年8月6日)

オワハラしちゃダメ!!PageTop日本のいちばん長い日(お勧めの一冊)

コメント

コメントの投稿

 管理人だけに表示する

トラックバック

http://facetofaithsrtd.blog76.fc2.com/tb.php/1701-25a165a4

プロフィール

労務管理は社会保険労務士事務所・オフィスT&D Faith(フェイス)経営労務事務所

オフィスT&D

Author:オフィスT&D
オフィスT&D Faith(フェイス)経営労務事務所は、大阪市北区に事務所を構える社会保険労務士事務所です。最適な人事労務管理など、様々なご要望にお応えいたします。どうぞお気軽にご相談ください。

カレンダー

08 | 2017/09 | 10
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

カテゴリ

最新記事

リンク

このブログをリンクに追加する

J-NET21

オレキケブログへようこそ!!

RSSリンクの表示