新着情報|犬山市の社会保険労務士事務所【髙木隆司社会保険労務士事務所】
「マイナンバーガイドライン(事業者編)」に関するQ&Aが最新版に更新!
- 2015.08.12
- 特定個人情報保護委員会から公表されている「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に関するQ&Aが、最新版に更新されました(8/6)。
事業者から問合せの多い事項について考え方を整理したもので、今回追加された内容は以下の全7問です。
Q4-1-2 個人番号関係事務実施者である事業者(事業者から個人番号を収集する事務の委託を受けた者を含む。)は、従業員等の家族全員の個人番号を収集することができますか。
A4-1-2 個人番号関係事務実施者である事業者(事業者から個人番号を収集する事務の委託を受けた者を含む。)は、個人番号関係事務を処理するために必要がある場合に限って、本人又は他の個人番号関係事務実施者に対して個人番号の提供を求めることができます。したがって、例えば、家族であっても社会保障や税における扶養親族に該当しない者などは、事業者として個人番号関係事務を処理する必要がないことから、それらの者の個人番号の提供を求めることはできません。
Q6-2-2 扶養控除等申告書に記載される扶養親族の個人番号については、従業員が個人番号関係事務実施者として番号法上の本人確認を行うこととされており、事業者には本人確認義務は課せられていませんが、事業者に番号法上の本人確認義務がない場合であっても、書類に正しい番号が記載されているかを確認するために、事業者が扶養親族の通知カードや個人番号カードのコピーを取得することはできますか。
A6-2-2 個人番号関係事務においては正しい個人番号が取り扱われることが前提ですので、事業者は、個人番号関係事務を実施する一環として、個人番号カード等のコピーを取得し、個人番号を確認することが可能と解されます。なお、取得したコピーを保管する場合には、安全管理措置を適切に講ずる必要があります。
Q10-2 事務取扱担当者には、特定個人情報等を取り扱う事務に従事する全ての者が該当しますか。
A10-2 事務取扱担当者は、一般的には、個人番号の取得から廃棄までの事務に従事する全ての者が該当すると考えられます。ただし、事務取扱担当者に該当するか否かを判断することも重要ですが、当該事務の
リスクを適切に検討し、必要かつ適切な安全管理措置を講ずることが重要です。例えば、担う役割に応じて、定期的に発生する事務や中心となる事務を担当する者に対して講ずる安全管理措置と、書類を移送するなど補助的に一部の事務を行う者に対して講ずる安全管理措置とが異なってくることは十分に考えられます。なお、社内管理上、定期的に発生する事務や中心となる事務を担当する者のみを事務取扱担当者と位置付けることも考えられますが、特定個人情報等の取扱いに関わる事務フロー全体として漏れのない必要かつ適切な安全管理措置を講じていただくことが重要です。
Q11-4 標的型メール攻撃等による特定個人情報の漏えい等の被害を防止するために、安全管理措置に関して、どのような点に注意すればよいですか。
A11-4 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し適切に運用する等のガイドラインの遵守に加え、次のような安全管理措置を講ずることが考えられます。
・不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。
・特定個人情報ファイルを端末に保存する必要がある場合、パスワードの設定又は暗号化により秘匿する(データの暗号化又はパスワードによる保護に当たっては、不正に入手した者が容易に解読できないように、暗号鍵及びパスワードの運用管理、パスワードに用いる文字の種類や桁数等の要素を考慮する。)。
・情報漏えい等の事案の発生又は兆候を把握した場合の迅速な情報連絡体制についての確認・訓練を行う。
また、独立行政法人情報処理推進機構(IPA)等がホームページで公表しているセキュリティ対策等を参考にすることも考えられます。
Q13-2 中小規模事業者も取扱規程等を策定しなければなりませんか。
A13-2 中小規模事業者においては、必ずしも取扱規程等の策定が義務付けられているものではなく、特定個人情報等の取扱方法や責任者・事務取扱担当者が明確になっていれば足りるものと考えられます。明確化の方法については、口頭で明確化する方法のほか、業務マニュアル、業務フロー図、チェックリスト等に特定個人情報等の取扱いを加えるなどの方法も考えられます。
Q15-1-3 「a 特定個人情報等を取り扱う区域の管理」における「管理区域」及び「取扱区域」を明確にし物理的な安全管理措置を講ずるに当たって、区域ごとに全て同じ安全管理措置を講ずる必要があるのでしょうか。
A15-1-3 各区域で同じ安全管理措置を講ずる必要はなく、区域によっては取り扱う特定個人情報の量、利用頻度、使用する事務機器や環境等により、講ずべき物理的安全管理措置が異なると考えられますので、例えば、管理区域については厳格に入退室を管理し、取扱区域については間仕切りの設置や座席配置の工夫を行うなど、それぞれの区域に応じた適切な安全管理措置を講じていただくことになります。
Q15-1-4 「a 特定個人情報等を取り扱う区域の管理」及び「b 機器及び電子媒体等の盗難等の防止」について、従業員数人程度の事業者における手法の例示を教えてください。
A15-1-4 一つの事務室で事務を行っている場合を想定すると、例えば、来客スペースから特定個人情報等に係る書類やパソコンの画面が見えないよう各種の工夫をすることが考えられます。盗難防止については、留守にする際には確実にドアに施錠をする、特定個人情報等を取り扱う機器、電子媒体や個人番号が記載された書類等は、施錠できるキャビネット、引出等に収納し、使用しないときには施錠しておくなど盗まれないように保管することは、他の重要な書類等と同様です。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&A
http://www.ppc.go.jp/legal/policy/faq/
<< 戻る
