プライバシーマーク取得支援コンサルティング(Pマークコンサルタント) ISMS(ISO27001)コンサルティング 情報セキュリティ関連コンサルティング リンク ポリシー サイトマップ
ホーム企業情報採用情報よくある質問Pマーク、ISMS実績無料相談・お見積り
無料お見積り
お客様の声

Pマーク審査におけるマイナンバー対応

Pマーク取得支援
コンサルティング
ISMS取得支援
コンサルティング
情報セキュリティ関連
コンサルティング
お問い合わせ Pマーク専用管理ツール Pマーク、ISMSの教育研修をeラーニングで簡単ログ管理ソフト リスクアセスメントソフト
Pマーク取得のメリット プライバシーマーク制度とは ISMSとPマークの違い 取得判断 ISO27001(ISMS)取得支援 Pマークお悩み相談 Pマークお悩み相談 JIS Q 15001:2006 Pマーク、ISMS実績 Pマーク関連用語集 マイナンバー制度 Pマークよくある質問 ISMS(ISO27001)よくある質問 Pマーク豆知識 Pマークコンサル会社の選び方 Pマーク、ISMS各県取得状況 ご相談・お問い合わせ コラム topix 会社概要 HOME  良く検索されるキーワード
お問い合わせ
プライバシーマーク取得は当社にお任せ下さい コンサルメニュー

Pマークコンサルタント:HOMEマイナンバー制度 > Pマーク審査、マイナンバー法対応

 Pマーク事業者の更新審査でのマイナンバー法対応

Pマーク更新審査で重点チェックのイメージ更新審査での重点チェック項目

 平成28年1月移行徐々に全ての事業者はマイナンバー制度施行により、「特定個人情報(個人番号をその内容に含む個人情報)」を取扱うことになります。これに伴い、Pマーク取得事業者は既存のPMSをマイナンバー制度に対応するように改定する必要があります。 具体的に「何を」「どのように」改定するかは、番号法および特定個人情報保護委員会の定める「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を参考にするのが最良です。平成28年1月以降の更新審査では、事業者のマイナンバーの取得の有無に関わらず、重点的に「特定個人情報」についての対応を審査されます。審査のタイミングや特定個人情報の取得時期にもよりますが、組織が参照すべき法令等を特定し更新する手順など最低限の対応を実施していないと更新審査で大量の不適合が発生します。マイナンバー対応Pマーク更新コンサルは是非TPSへご相談ください。

Pマーク取得事業者の改定対応規格

JIS 項番

要求事項

改定対応推奨例

 3.2

 個人情報保護方針

 特定個人情報を適切に取り扱う旨の追記

 3.3.1

 個人情報の特定 

 管理台帳に個人番号ファイルを追加(特定)

 3.3.2

 法令、国が定める指針、その他の規範

 番号法、及びマイナンバーガイドライン特定

 3.3.3

 リスクなどの認識・分析及び対策 

 役員及び従業者の個人番号取り扱い業務のリスク分析

 3.3.4

 資源、役割、責任及び権限 

 個人番号取り扱い責任者の氏名、役割、責任、権限の明確化

 3.3.5

 内部規定 

 個人番号取り扱い規程作成。就業規則に個人番号に関する事項追記

 3.3.7 

 緊急事態への準備

 個人番号が漏えいした場合の対応手順

 3.4.2.1 

 利用目的の特定

 個人番号の利用目的を限定

 3.4.2.2 

 適正な取得

 個人番号を適正な方法で取得する旨の追加

 3.4.2.4 

 本人から直接書面で取得

 「同意書」に個人番号の利用目的を追記

 3.4.2.5 

 3.4.2.4以外の方法で取得

 配偶者等の個人番号を取得する場合の措置

 3.4.2.6 

 利用に関する措置

 個人番号の目的外利用を行わないこと

 3.4.2.8 

 提供に関する措置

 個人番号の第三者提供の明確化

 3.4.3.1 

 正確性の確保

 個人番号の誤記入防止

 3.4.3.2 

 安全管理措置

 特定個人情報の適正な取扱いに関するガイドライン(事業者編)参照

 3.4.3.3 

 従業者の監督

 「誓約書」に個人番号の取り扱いを追記

 3.4.3.4 

 委託先の監督

 個人番号の委託可能性の明確化

 3.4.5 

 教育

 個人番号についての教育(全社員)

 3.7.1

 運用の確認

 個人番号の運用確認項目追加

 3.7.2

 監査

 チェックリストに個人番号に関する事項追加



要求事項別マイナンバー対応詳細

【 個人情報の特定、リスクなどの認識、分析及び対策(要求事項 3.3.1、3.3.3)】
 特定個人情報の特定及びリスクの認識、分析、対策を実施します。個人情報に関するリスクに、個人情報の取扱いに関する法令等に対する違反も含まれるため、事業者は、番号法の規定に反する取扱いをすることをリスクと認識し、リスク分析を踏まえて対策を講じPMSに反映する必要があります。また、要求事項3.4.3.2(安全管理措置)及びJIPDECガイドラインは、取扱う個人情報のリスクに応じた、必要、かつ、適切な安全管理措置を講じることを求めていますのでPマーク付与を受けようとする事業者は、引き続き、リスクに応じた措置を実施し、適宜リスク及び対策の見直しを行うことが必要です。

【 法令、国が定める指針その他の規範(要求事項 3.3.2)】
 要求事項3.3.2(法令、国が定める指針その他の規範)を踏まえて、JIPDECガイドラインでは、特定・参照が必須である法令、国が定める指針その他の規範(以下「法令等」)を示していますが、平成28年1月以降は、特定し参照する対象に、番号法及び特定個人情報ガイドラインを加える(見直す)必要があります。

【 資源、役割、責任及び権限(要求事項 3.3.4)】
  要求事項 3.3.4 (資源、役割、責任及び権限)及び JIPDEC ガイドラインでは、個人情 報の管理のための役割、責任及び権限を明確に定め、文書化することを求めており、 特定個人情報ガイドラインでは、「特定個人情報等を取り扱う事務に従事する従業者」(以下 「事務取扱担当 者」 )の明確化を求めています。 ゆえにPマーク付与を受けようとする事業者は、 事務取扱担当者の役割、 責任及び権限を明確に定め、文書化する必要があります。

【 取得、利用及び提供に関する原則(要求事項 3.4.2 】
 事業者は利用目的を本人に通知する等の措置を行わなければいけません。 また、番号法においては、個人番号を利用することができる事 務の範囲が制限されており、本人の同意を得ても原則として利用することはできないことに留意する必要があります。留意点として

 ● 個人番号の利用範囲は、番号法第 9 条(利用範囲)に示す範囲(個人番号利用事 務、個人番号関係事務)に限定。要求事項 3.4.2.6 (利用に関する措置) と異なり、 本人の同意があったとしても利用範囲を超えた利用は認められない。
 ● 特定個人情報ファイルの作成は、個人番号利用事務、個人番号関係事務を処理するために必要な範囲に限られる(番号法第28条特定個人情報ファイルの作成の制限)。例えば、個人番号を含むデータベースを作成した場合や、既存のデータベースに個人番号を追加した場合は、当該データベースの利用の範囲に留意する。
 ● 特定個人情報の提供は、番号法第19条(特定個人情報の提供の制限)に規定された場合を除き禁止(番号法第19条)。また、番号法では特定個人情報に関しては個人情報保護法の第23条(第三者提供の制限)の規定は適用除外とされている点に留意する。つまり、番号法では、個人情報保護法第23条第4項第3号の規定も適用されず、個人番号の共同利用は認められない。
 ● 個人番号の提供を受ける場合、番号法第16条(本人確認の措置)により本人確認が義務付けられ、確認方法を規定すること。

【 正確性の確保(要求事項3.4.3.1)】
 要求事項 3.4.3.1 (正確性の確保)を踏まえ、JIPDECガイドラインでは個人情報の保管期間の設定等を求めてますが、特定個人情報の保管期間については、特定個人情報ガイドラインに示す通り番号法に定めた事務を行う場合を除き、特定個人情報を保管ができないことに留意する必要があります。

【 安全管理措置(要求事項3.4.3.2)】
 規格では、取扱う個人情報のリスクに応じて個人情報のライフサイクルの各局面の安全対策を策定することを求めており、新たに特定個人情報を取扱う場合の安全管理措置を策定する必要があります。また、特定個人情報を取扱う場合の安全管理措置では、特定個人情報ガイドラインにおいて、個人番号の削除や特定個人情報等を取扱う機器、及び電子媒体等の廃棄は所管法令等における保存期間の経過時には速やかに削除・廃棄を行うことなど、要求事項では求められていない措置を講じなければならないことに留意しましょう。なお、特定個人情報の保管は、番号法第19条(特定個人情報の提供の制限)各号のいずれかに該当する場合を除き禁止である(番号法第20条収集等の制限)ことに留意する必要があります。

【 委託先の監督(要求事項3.4.3.4)】
 特定個人情報ガイドラインでは、委託契約の締結にあたって盛り込むべき規定等が具体的に示されています。よって、要求事項3.4.3.4(委託先の監督)で定める事項のほかに、特定個人情報ガイドラインが示す事項を契約書等に盛り込む必要があります。 また、委託先に再委託を認める場合、委託先に再委託先に関する事項を文書で報告させ、委託先による再委託先の監督状況を確認することに加えて、最初の委託元の許諾を得ることが求められることに留意し、また、再委託先が再々委託を行う場合以降も、再委託を行う場合と同様であることにも留意が必要です。

ストレスチェック制度にも注意

 ストレスチェック制度とは、働く人たちに対し心理的な負担の程度を確かめる検査とその結果に応じた面接指導などの対応を行う制度のことです。2014年6月の労働安全衛生法の改正により、従業員50人以上の事業所(※ 契約期間が1年未満の労働者や、労働時間が通常の労働者の所定労時間の4分の3未満の短時間労働者は義務の対象外)を対象に、15年12月から毎年一回実施する事が義務付けられました。 ストレスチェック制度における個人情報は従業者の機微な情報であり(プライバシー)、規定を整備すると同時に個人情報の取り扱いについてもガイドラインやPマーク制度に準拠するように組織は十分な対策を取る必要があります。当然、50人以上の企業においては、Pマーク更新時の重大なチェック事項となります。

 審査のタイミングにより、個人番号を取得前と取得後で審査内容(改定内容)は変わってきますが、平成28年度の前半にPマークの更新審査がある企業は、無理に個人番号を取得するとそれに伴うルールの改定を多く実施する必要がありますので得策ではありません。しかし、Pマークの更新をメインに考えるのではなく、「個人番号の取り扱い」をメインに考え「漏えいのリスク」を最大限考慮しながら並行して対応していけばよいでしょう。

 スリープロサポートではマイナンバー制度(社員教育用マイナンバー専用eラーニングの単体の契約も可能です)のコンサルティングも実施しています。お気軽にご相談ください。。


TPSのプログラムメニュー1 完全サポート型 テンプレート型 リクエスト型 TPSのプログラムメニュー2 マネジメント再構築更新対応 セミナー・講習 TPSでのPマーク取得は!!

HOME  プライバシーマーク制度とは  Pマーク取得メリット  Pマーク取得支援サービス  Pマーク取得フロー  Pマーク取得費用

無料相談受付中
福岡、東京、大阪支店
東京本社
〒102-0072
東京都千代田区飯田橋4-4-8
東京中央ビル 5F
TEL 03-3263-4521
FAX 03-3263-4522


大阪オフィス
〒540-0012
大阪府大阪市中央区谷町3-4-5
中央谷町ビル 7F
TEL 06-6949-0550
FAX 06-6949-0551



福岡オフィス
〒812-0023
福岡県福岡市博多区奈良屋町14-20
ベスト大博ビル7F
TEL 092-403-5900
FAX 092-403-5901




スリープロサポート株式会社
サテライトコンサルタント 
北海道、仙台、神奈川、千葉、名古屋、京都、徳島、兵庫、広島、山口、熊本、佐賀、宮崎、長崎