2024年7月12日
Pマーク取得事業者は、マイナンバーの取り扱いについても、法令遵守、利用目的の限定、安全管理措置などの厳格な管理が求められます。
Pマーク取得事業者は、これらの要件を満たすことで、マイナンバーを含む個人情報を適切に管理し、信頼性の高いサービスを提供することが期待されます。
目次
- 1.Pマーク取得事業者のマイナンバーの取り扱い
- (1)法令遵守
- (2)利用目的の限定
- (3)安全管理措置
- (4)従業者の教育
- (5)委託先の監督
- 2. Pマークとマイナンバーの関連性
- (1)マイナンバーに関連する法令等の特定
- (2)特定個人情報事務取扱責任者と特定個人情報事務取扱担当者の任命
- 3. 改正個人情報保護法がマイナンバー制度に与える影響
- (1)マイナンバーも個人情報に含まれる
- (2)個人情報取扱事業者の制限廃止
- (3)個人情報の適切な流用性確保
- 4.2022年 個人情報保護法の改正ポイント
- (1)データの取り扱いの厳格化
- (2)データの国外移転の制限
- (3)利用者の権利の強化
- (4)事業者の義務の強化
- 5.個人情報保護法とは?
- (1)個人情報保護法の基本
- (2)個人情報保護法とマイナンバー(特定個人情報)法の違い
- (3)個人情報保護法が改正された背景
- 6.マイナンバー制度とは?
- (1)マイナンバー制度の基本情報
- (2)マイナンバーの利用目的
- (3)事業者がマイナンバーを取り扱う際の注意点
- 7. まとめ
1.Pマーク取得事業者のマイナンバーの取り扱い
プライバシーマークを取得している事業者は、個人情報の適切な管理体制を整備していることが認められた企業です。そのため、マイナンバーの取り扱いについても、以下のような厳格な管理が求められます。
(1)法令遵守
マイナンバーの取り扱いは、マイナンバー法や個人情報保護法に基づいて行われます。
これには、収集、利用、保管、提供、廃棄の各段階での適切な管理が含まれます。
(2)利用目的の限定
マイナンバーは、社会保障、税、災害対策の分野でのみ利用が許されており、それ以外の目的での利用は厳禁です。
(3)安全管理措置
マイナンバーを取り扱う際には、漏えいや不正利用を防ぐための技術的および組織的な安全管理措置が必要です。これには、アクセス制限、暗号化、監視体制の整備などが含まれます。
(4)従業者の教育
マイナンバーを取り扱う従業者に対しては、適切な教育と訓練を行い、法令や社内規定に従った取り扱いを徹底させる必要があります。
(5)委託先の監督
マイナンバーの取り扱いを外部に委託する場合、委託先が適切な管理体制を持っていることを確認し、必要に応じて監督することが求められます。
Pマークを取得している事業者は、これらの要件を満たすことで、マイナンバーを含む個人情報を適切に管理し、信頼性の高いサービスを提供することが求められます。
マイナンバーを含む個人情報(特定個人情報)の取扱いについて、詳細はこちらをご確認ください。
参考URL:マイナンバーを含む個人情報(特定個人情報)の取扱いのQ&A|マイナンバー対応|一般財団法人日本情報経済社会推進協会(JIPDEC)
2. Pマークとマイナンバーの関連性
(1)マイナンバーに関連する法令等の特定
マイナンバーに関連する法令やガイドラインは、マイナンバーの利用範囲や取り扱い方法、保護措置などを定めた「マイナンバー法」や、個人情報の適切な管理や漏えい防止策について規定した「個人情報保護法」などがあります。
さらに、内閣府や個人情報保護委員会が発行するガイドラインや、業界団体が発行する業界ごとのガイドラインも重要です。
これらの法令やガイドラインを遵守することで、マイナンバーの適切な管理と保護が実現されます。
特に、プライバシーマークを取得している事業者は、これらの法令等を厳守し、個人情報の適切な取り扱いを徹底することが求められます。
(2)特定個人情報事務取扱責任者と特定個人情報事務取扱担当者の任命
特定個人情報事務取扱責任者とは、マイナンバーの管理を担当する責任者のことを指します。
この責任者は、特定個人情報事務取扱担当者に対して教育を行います。
一方、特定個人情報事務取扱担当者とは、マイナンバーを取り扱う業務を実際に行う人のことを指します。
特定個人情報とは、既存の個人情報(氏名・住所など)にマイナンバーが加わったものを指します。
例えば、従業員の氏名や住所にマイナンバーが追加されると、それが特定個人情報となります。
プライバシーマークの要求事項には、「個人情報を取り扱う業務において、作業責任者と作業担当者を明確にすること」が含まれています。これは、マイナンバー制度が始まる前から求められている事項です。
この要求の理由は、「誰でも個人情報を閲覧・利用できる状態にしておくと、情報の持ち出しや不正利用が容易になる可能性があるため」です。
マイナンバーに関しては、「特定個人情報事務取扱責任者」と「特定個人情報事務取扱担当者」を任命することで、「マイナンバーを閲覧・利用できる人を必要最低限に抑える」ことが求められています。
また、事業者は「特定個人情報事務取扱担当者」に対して、「マイナンバーを適切に取り扱うための教育を実施する」ことも求められています。したがって、「特定個人情報事務取扱責任者」の役割には教育も含まれます。
一般的には、マイナンバーを管理する部署(人事・総務部など)の責任者を「特定個人情報事務取扱責任者」として任命し、その部署でマイナンバーを取り扱う業務を担当する人を「特定個人情報事務取扱担当者」として任命します。
プライバシーマーク(Pマーク)について、詳細はこちらをご確認ください。
プライバシーマーク(Pマーク)審査の対策ポイントについて、詳細はこちらをご確認ください。
3. 改正個人情報保護法がマイナンバー制度に与える影響
(1)マイナンバーも個人情報に含まれる
2022年の個人情報保護法の改正により、個人情報の定義が明確化され、マイナンバーが正式に個人情報として認識されることになりました。
以前は、マイナンバーが個人情報の定義に明記されていなかったため、グレーゾーンに属していましたが、実際には個人情報として扱われていました。改正により、個人情報の定義には「身体的情報」や「個人識別符号」が追加されました。
身体的情報には顔認証情報も含まれるため、マイナンバーカードを作成した人の情報も該当します。
また、「個人識別符号」とは符号によって個人を識別できる情報を指します。この観点からも、マイナンバーは個人情報の定義に含まれることが明確になりました。
(2)個人情報取扱事業者の制限廃止
従来、個人情報保護法の適用範囲は「保有する個人情報が5,000人分以上の場合」に限定されていました。
しかし、2022年の改正により、この規定が撤廃されました。
「保有する個人情報が5,000人分以下の場合」も個人情報保護法の対象となったため、中小企業も含め、実質的に全ての企業が個人情報保護法の適用を受けることになりました。
この改正により、マイナンバー制度においても、マイナンバーに対する個人情報保護法の規定が適用されることが明確になりました。
これにより、より多くの規定のもとでマイナンバーの運用が推進されることになります。
(3)個人情報の適切な流用性確保
ここで述べているのは、単なる流用性の確保ではなく、適切な流用性の確保です。
具体的な運用局面を考慮すると、第三者への提供が該当します。
第三者提供における適切な流用性を確保するため、記録作成義務が新たに明記されました。
記録作成義務が生じるのは、「第三者から個人情報を受理する場合」および「第三者へ個人情報を提供する場合」の二つの局面です。記録すべき項目内容としては、提供した年月日、提供先、提供元の担当者、提供した情報などが該当します。
しかし、ここで注意すべき点は、マイナンバーに関するガイドラインと個人情報保護法上の規定で要求される記録内容を混同しないようにすることです。従来のマイナンバーに関するガイドラインでは、マイナンバーの取り扱いログには登録、削除、変更、利用の4つの要素が含まれています。
要するに、登録から削除までの原則的な取扱いルールと、第三者提供など随時発生する授受記録では、元となる法律も異なれば、記録すべき局面も全く異なるということです。
4.2022年 個人情報保護法の改正ポイント
2022年に改正された個人情報保護法の主なポイントを4つ紹介します。
(1)データの取り扱いの厳格化
個人情報の取り扱いに関する基準が厳格化され、個人情報の適切な管理が求められます。
(2)データの国外移転の制限
個人情報を国外に移転する際の制限が強化され、より慎重な取り扱いが求められます。
(3)利用者の権利の強化
個人は自身の個人情報について、開示や訂正、削除などの権利をより強化された形で行使できるようになります。
(4)事業者の義務の強化
個人情報を取り扱う事業者には、より厳しい情報管理の義務が課され、違反に対する罰則も強化されます。
これらの改正により、個人情報の保護が一層強化され、個人情報を取り扱う事業者や組織には、より高い情報管理の責任が求められることになります。
5.個人情報保護法とは?
(1)個人情報保護法の基本
個人情報保護法は、個人のプライバシーを守りつつ、個人情報の適切な取り扱いを定めた法律です。
氏名や性別、生年月日、住所などの情報は、個人のプライバシーに関わる重要な情報です。しかし、これらの情報を活用することで、行政、医療、ビジネスなどの様々な分野でサービスの向上や業務の効率化が図られるという側面もあります。
このような個人情報の有用性を考慮しながら、個人の権利や利益を保護することを目的として、「個人情報保護法」(正式名称:個人情報の保護に関する法律)が2003年5月に制定され、2005年4月に全面施行されました。
個人情報保護法は、個人情報の収集、利用、提供に関するルールや、個人情報漏洩の防止など、個人情報に関する様々な規定を含んでいます。この法律は、個人情報の保護と利用の両面を考慮し、個人情報の公正かつ適切な取り扱いを促進することを目的としています。
(2)個人情報保護法とマイナンバー(特定個人情報)法の違い
マイナンバーとは、個人番号、つまりマイナンバーが含まれている個人情報のことを指します。これを「特定個人情報」と呼びます。
個人情報保護法とマイナンバー法は、それぞれ異なる法律ですが、どちらも個人情報の取り扱いに関する規制を定めています。これらの法律には、それぞれ順守すべき異なる点があります。
まず、「個人情報保護法」は、一般的な個人情報に対する保護管理措置を規定する法律です。
一方、「マイナンバー法」は、個人情報保護法に関連する法規制として認識されるべきものです。この法律の順守対象となるのが、マイナンバーです。
マイナンバーに対しては「マイナンバー法」が適用されますが、「マイナンバー法」で規定されていない事項については、「個人情報保護法」の規定に基づいて順守する必要があります。
したがって、「マイナンバー法」は基本的に「個人情報保護法」の上に成り立っていると言えます。
(3)個人情報保護法が改正された背景
個人情報保護法は、2005年に全面施行されて以来、デジタル技術の進化やグローバル化などの経済・社会情勢の変化、そして個人情報への意識の高まりに対応するため、2015年、2020年、2022年の3度にわたって大規模な改正が行われています。
2015年の改正では、3年ごとの見直し規定が導入されました。これは、世界の個人情報保護に関する動向やIT技術の進歩、新たな個人情報を活用した産業の創出などを考慮し、個人情報保護法を3年ごとに見直すことを定めたものです。2022年4月1日に施行された改正も、このような背景に基づいて行われました。
6.マイナンバー制度とは?
(1)マイナンバー制度の基本情報
マイナンバーとは、日本の社会保障・税番号制度の一環として、国民一人ひとりに割り当てられる12桁の個人番号のことです。正式には「個人番号」と呼ばれ、2015年から導入されました。
この番号は、社会保障、税務、災害対策の分野で効率的かつ公平な行政サービスを提供するために使用されます。マイナンバーは原則として生涯同じ番号を使用します。漏えいして不正利用の恐れがある場合を除き、自由に変更することはできません。
(2)マイナンバーの利用目的
マイナンバーは、社会保障、税務、災害対策など、法律や条例で定められた事務手続きに使用されます。
社会保障:年金、医療保険、介護保険、生活保護などの社会保障制度において、個人情報を正確に管理し、適切なサービスを提供するために利用されます。
税務: 所得税、住民税、法人税などの税務手続きにおいて、納税者の情報を一元管理し、適正な課税を行うために使用されます。
災害対策:災害時に被災者の支援を迅速かつ的確に行うために、被災者の情報を管理する際に利用されます。
マイナンバーにより、個人の特定が確実かつ迅速に行えるようになります。
また、行政手続きにおいて、行政機関間での情報連携が可能となり、必要な添付書類が減少し、事務処理がスムーズになります。
これにより、国民の利便性が向上し、必要な支援を迅速に提供することができます。
(3)事業者がマイナンバーを取り扱う際の注意点
事業者がマイナンバーを取り扱う際には、以下の点に注意する必要があります。
①利用目的の明確化
マイナンバーは、法律や条例で定められた特定の事務手続きにのみ使用できます。事業者は、マイナンバーを収集する際にその利用目的を明確にし、従業員や取引先に説明する必要があります。
②適切な管理
マイナンバーを含む個人情報は、厳重に管理する必要があります。具体的には、以下の対策が求められます。
物理的な管理:マイナンバーを含む書類やデータを保管する場所には、施錠できるキャビネットや専用の保管庫を使用します。
技術的な管理: 電子データの場合、暗号化やアクセス制限を設けるなどのセキュリティ対策を実施します。
組織的な管理:マイナンバーを取り扱う担当者を限定し、取り扱いに関する教育や研修を行います。
③不要になったマイナンバーの廃棄
利用目的が達成され、不要になったマイナンバーは、適切な方法で廃棄する必要があります。紙媒体の場合はシュレッダーで裁断し、電子データの場合は完全に削除します。
④第三者提供の制限
マイナンバーは、法律で定められた場合を除き、第三者に提供することはできません。提供が必要な場合でも、事前に本人の同意を得ることが求められます。
⑤漏洩対策
万が一、マイナンバーが漏洩した場合には、速やかに関係当局に報告し、被害を最小限に抑えるための対策を講じる必要があります。
⑥定期的な見直し
マイナンバーの取り扱いに関する規程や手続きを定期的に見直し、最新の法令やガイドラインに従って更新することが重要です。
これらの要件を遵守することで、マイナンバーの適正な取り扱いが可能となり、個人情報の保護と事業者の信頼性向上に貢献します。
7. まとめ
Pマーク取得事業者は、個人情報の適切な管理体制を整備していることが認められた企業であるため、マイナンバーの取り扱いについても、厳格な管理が求められます。
さらに、Pマーク取得事業者は、マイナンバーに関連する法令やガイドラインを厳守し、個人情報の適切な取り扱いを徹底する必要があります。
これにより、個人情報の保護と事業者の信頼性向上に寄与し、顧客に対して安心・安全なサービスを提供することが可能となります。
また、個人情報保護法の改正に伴い、さらなる管理体制の強化が必要となるため、最新の法令に対応した運用が不可欠です。
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ