news16号(2015年4月版)title news16号(2015年4月版).xls author ndp76 created date...
TRANSCRIPT
-
ContentContentContentContent
表紙&Topic ・・・・・・・・1
「マイナンバー制度」の導入が秒読み段階に入りました ・・・・・・・・2
マイナンバーに対する多様な質問に専門家が答える ・・・・・・・・3
「個人番号」の利用例をイラストで解説 ・・・・・・・・4
マイナンバー制度で企業は大きなリスクを背負うことに ・・・・・・・・5
改正「個人情報保護法」の安全対策措置と用語解説 ・・・・・・・・6
特定個人情報の安全対策措置の中小規模事業者対応 ・・・・・・・・7
改正個人情報保護法の経産省ガイドライン新旧対象表 ・・・・8~10
マイナンバーで個人情報の種類と区分けはこのようになります
「個人情報」等の用語の定義は本誌6頁を参照ください
出典:『図でわかる! マイナンバー法のすべて Q&A』
2015年4月号(毎月10日発行)2015年4月号(毎月10日発行)2015年4月号(毎月10日発行)2015年4月号(毎月10日発行)
発行㈱日本ダイレクトプロモーション
東京都中央区日本橋茅場町1-10-8
本社℡03‐5651-0611 Fax03-5651‐0600
大阪℡06-6222-6511 Fax06-6222‐6512
NDP Marketing News
「ビッグデータ」時代の「リトルデータ」活用法を顧客と共に考える「ビッグデータ」時代の「リトルデータ」活用法を顧客と共に考える「ビッグデータ」時代の「リトルデータ」活用法を顧客と共に考える「ビッグデータ」時代の「リトルデータ」活用法を顧客と共に考える
マイナンバーと個人情報保護法改正
個人情報個人情報個人情報個人情報
topictopictopictopic
特定個人情報特定個人情報特定個人情報特定個人情報
個人番号(マイナンバー)を
その内容に含む個人情報
特定個人情報ファイル特定個人情報ファイル特定個人情報ファイル特定個人情報ファイル
検索ができる
特定個人情報の
集合物
個人情報ファイル個人情報ファイル個人情報ファイル個人情報ファイル
検索ができる個人情報の集合物
各個人情報保護法における名称各個人情報保護法における名称各個人情報保護法における名称各個人情報保護法における名称
・国の行政機関:個人情報ファイル
・独立行政法人等:個人情報ファイル
・地方公共団体:個人情報データベース等
・民間事業者:個人情報データベース等
個人情報保護法では別の呼び方をされているもの
が、マイナンバー法では個人情報ファイルと総称さ
れていますので、民間事業者等は注意が必要です。
個人番号とは別に法人には
「法人番号(公開情報)」「法人番号(公開情報)」「法人番号(公開情報)」「法人番号(公開情報)」
が付番されます
-
番号法とは
どのようなものか?
『やさしい番号法入門』
番号制度を創設し、個人番号・法人番号を活用するとともに、それらの保護を図るための措
置を講じるための法律である。
正式名称は「行政手続きにおける特定の個人を識別するための番号の利用等に関する法
律」(平成二十五年法律二十七号)といい、「マイナンバー法」「番号利用法」「共通番号法」等
とも呼称される法律である。
番号法は、平成24年(2012年)2月14日に、民主党政権下で法案が閣議決定され国会提出さ
れたものの、同年11月16日の衆議院解散に伴い廃案となった。その後、政権交代を経た自
民党政権下で、平成25年(2013年)3月1日に、法案が閣議決定の上、国会に提出され、3月
22日に国会審議が開始され、5月24日に成立し、5月31日に公布された。
マイ・ポータルとは、
どのようなものか?
『やさしい番号法入門』
ユーザーそれぞれにカスタマイズされた情報を表示するポータルサイト。社会保障・税・災害
対策の3分野の情報発信や特定個人情報の開示等も行う。
マイ・ポータルは番号制度導入に伴い構築されるポータルサイトであり、①プッシュ型サービ
ス、②情報表示サービス、③情報提供等記録表示サービス、④ワンストップサービスを提供
するウェブサイトである。マイ・ポータルにより行政機関や地方公共団体側からの積極的な情
報発信が可能となり、国民にとっては、行政サービス情報の検索・確認が容易になることが
考えられる。また、マイ・ポータル上で情報提供等記録を確認することにより、情報提供ネット
ワークシステムを介した不正な情報連携がなされていないか確認することができる。
マイナンバー制度の導入と運用スケジュールマイナンバー制度の導入と運用スケジュールマイナンバー制度の導入と運用スケジュールマイナンバー制度の導入と運用スケジュール
「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行
―2 ―
『マイナンバー制度』の導入が秒読み段階に入りました
これに歩調をあわせて、「個人情報保護法」も10年ぶりに改正されます
マイナンバー制度を告知するチラシ(左右に表裏頁を掲載)が、
2015年の3月27・28日(一部地域にはタイムラグあり)、全国的
に主要新聞に折り込まれました。
いよいよ、日本人が経験したことのない制度がスタート(スケ
ジュールは下図参照)します。
これにあわせて改正が検討されていた「個人情報保護法」は、
2014年に発覚した教育産業の大手(ベネッセ・コーポレーショ
ン)の顧客情報の大量流失(2930万件とも4300万件ともいわれ
る)により曲折があったものの、開催中の今国会にて成立の見
通しです。
今号では、「マイナンバー制度」「個人情報保護法改正」につい
-
引越しのときも個人番号で
業務が効率化しますか?
自治体間での情報連携で効率化します。
引越しに伴って市町村が行わなければならない事務も、マイナンバー制度によ
り大幅に効率化すると考えられます。例えば、清原慶子三鷹市長は、2013年
(平成25年)4月5日の国会答弁の中で、以下のように述べています。
「他自治体からの転入があった場合には、保険税、保険料の算定に必要な所
得情報について、転入先の自治体から前住地である自治体に紙媒体の文書で
照会して、、紙媒体の文書で回答を得て情報を入力するなど、現状では時間と
手間をかけて事務処理を行っています。これを、個人番号を活用した情報提供
によって資格や所得を確認することにより、転出、転入、両方の自治体の行政
事務の正確性、迅速性も大幅に向上するものと考えています。」
―3 ―
法人番号とは、
どのようなものか?
番号法に基づき、法人等に対して指定される番号をいう。
法人番号とは、番号法に基づき、①国の機関、②地方公共団体、③設立登記を
した法人、④前記以外の法人又は人格のない社団等であって所得税法230条
等の届出書を提出することとされている者に対し、付番される番号である。さら
に⑤前記以外の法人又は人格を持たない社団等であって、日本で経済活動等
を営み国税・地方税の法定調書を提出する義務がある者又は法定調書の記載
対象となる者については、これらのものからの届け出を受けた場合に、法人番
号が付番される。
法人番号は、個人番号と異なり、個人のプライバシー権等を侵害する危険性が
限られていることから、①商号又は名称、②本店または主たる事務所の所在地
とともに、国税庁長官によって公表され、自由に活用することができる。
外国人でも個人番号を
持つのですか?
マイナンバー法は、住民票に住民コードを記載した際には、個人番号も合わせ
て指定するように規定しています。したがって、住民票を持つ人は、個人番号を
持つことになります。
外国人については、平成24年(2012年)7月9日に「住民基本台帳法の一部を改
正する法律」が施行され、外国人住民についても日本人と同様に、住民基本台
帳の適用対象に加えられました。そのため、外国人住民も個人番号を持つこと
になります。
「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行
マイナンバーQ&AマイナンバーQ&AマイナンバーQ&AマイナンバーQ&A
専門家に学ぶ専門家に学ぶ専門家に学ぶ専門家に学ぶ
マイナンバーに関する多様な質問
『図でわかる! マイナンバー法のすべて Q&A』& 『やさしい番号法入門』
個人番号が直近で最も効果を
発揮するのは何ですか?
マイナンバー法の第1条に記載されているように、マイナンバー法の最大の目
的は、「異なる分野に属する情報を照合してこれらが同一の者に係るものであ
るかどうかを確認することができる」ようにすることです。
これは、言い換えると、マイナンバーは各種の情報を名寄せするための番号と
いえます。
たとえば、地方公共団体では、土地・家屋名寄帳当の帳簿が作成されていま
す。これは、固定資産税を賦課するために場所ごとに作成されている土地課税
台帳から人別に名寄せをしたものですが、その確認には人手を要しました。し
かし、番号が利用できれば、容易に名寄せが可能になります。
私の情報が知らない間に
私が情報を提供した以外の
組織に提供されるのですか?
そのとおりです。本人同意は必要とされていません。
マイナンバー法においては、特定個人情報を照合したり、回答を行ったりするた
めに本煮の同意は必要とされていません。
事のとは、番号大綱にも次のように記されています。
「この制度の趣旨に鑑みれば、「番号」を利用し、又は情報連携を行うに当たっ
て本人の同意を前提とする場合、いわゆる情報過疎の状態に置かれ、情報が
把握しにくい真に手を差し伸べるべきものに適切な給付を行うことが困難となる
一方、意図的に不正を行い、又は不正受給を受けている者がマイナンバー制
度に参加することも期待できず、制度導入の目的が図れないこととなる。」
-
「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行
個人番号の利用例について個人番号の利用例について個人番号の利用例について個人番号の利用例について出典:『中小企業とマイナンバーQ&A』出典:『中小企業とマイナンバーQ&A』出典:『中小企業とマイナンバーQ&A』出典:『中小企業とマイナンバーQ&A』
―4 ―
-
厳しい罰則規定
「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行
マイナンバー制度導入で企業は大きなリスクを背負うことに
個人情報保護法の改正で、すべての事業者が個人情報取扱事業者となる
個人情報取扱事業者の定義が変わる
資料(2)マイナンバー法には、以下のような罰則規定がある(税経通信2015.04)資料(2)マイナンバー法には、以下のような罰則規定がある(税経通信2015.04)資料(2)マイナンバー法には、以下のような罰則規定がある(税経通信2015.04)資料(2)マイナンバー法には、以下のような罰則規定がある(税経通信2015.04)
安全管理措置
3年以下の懲役又は150万円以下の罰金
(併科されることもある)
3年以下の懲役又は150万円以下の罰金
―5 ―
特定個人情報取り扱いに関し手
法令違反のあった者
特定個人情報保護委員会の命令に違反 2年以下の懲役又は50万円以下の罰金
特定個人情報保護委員会から
報告や資料提出を求め、質問、
立入検査を受けた者
主体 行為 法定刑
個人番号利用事務、
個人番号関係事務などに従事
する者や従事していた者
正当な理由なく、業務で取り扱う個人の秘密が記
録された特定個人情報ファイルを提供
4年以下の懲役又は200万円以上の罰金
(併科されることもある)
業務に関して知りえたマイナンバーを自己や第三
者の不正な利用を図る目的で提供し、又は盗用
虚偽の報告、虚偽の資料提出、答弁や検査の拒
否、検査妨害など
1年以下の懲役又は50万円以下の罰金
主体の制限なし
人を欺き、暴行を加え、又は脅迫することや財物
の窃盗、施設への侵入、不正アクセス行為などに
よりマイナンバーを取得
偽りその他不正の手段により通知カード又は個人
番号カードの交付を受けること
6か月以下の懲役又は50万円以下の罰
金
プライバシーや個人情報保護に関
して、重要性を認識し、問題があっ
た際には敏感に反応する社会に
マイナンバーは、個人を特定するた
めに幅広い分野で今後利活用され
る。特に重要な個人情報に
+
これまでの
個人データの人数が過去
6ヵ月間にわたって5,000
人を1日でも超えたことの
ある事業者
これからの
個人番号を保有するす
べての事業者(従業員
が1人でもいれば対象と
安全管理措置は、「改正個人
情報保護法ガイドライン」で
は、更に厳しくなっている。
資料(1)参照
マイナンバー法に
は、罰則規定が定め
られている。資料
(2)参照
資料(1)資料(1)資料(1)資料(1)
従業員に対する最低限の教育・周知従業員に対する最低限の教育・周知従業員に対する最低限の教育・周知従業員に対する最低限の教育・周知
民間企業(中小企業)においては、従業員に対する最低限の教育として、従業員が、個人番号を記
載した書面を行政機関等に提出するために必要な場合以外で、他人の個人番号を取得しないよう、
教育しておく必要がる。
例えば、①ビジネスにおいて身分証明書として個人番号カードを提示された場合には、氏名や顔写
真が表示されている表面だけコピーし,個人番号が記載されている裏面をコピーしてはならない。②
従業員等の住所の確認のために住民票の提出を受ける場合にも、個人番号が記載されていない住
民票の提出を受けるか、個人番号部分をマスキングした上でコピーして受け取るなどの対応を取る
必要がある。
とった教育が必要である。これらの教育は、個人番号が各個人に対して通知される2015年10月以前
企業としてしっかりと取り扱わないと社会的に厳しい指弾を受ける可能性
-
「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行
マイナンバーQ&AマイナンバーQ&AマイナンバーQ&AマイナンバーQ&A
専門家に学ぶ専門家に学ぶ専門家に学ぶ専門家に学ぶ
マイナンバー法の安全対策措置とは?
個人情報と特定個人情報の違いは?
―6 ―
個人情報保護法とマイナンバー法
安全管理措置はどう違う?
マイナンバー法における安全管理措
置は、個人番号に対するものと個人
番号以外の情報も含む特定個人情
報に分けて規定されています
出典:『図でわかる! マイナンバー
法のすべて Q&A』
個人情報保護法にとってはほぼ同じ条文です。
個人番号の適切な管理
まず、個人番号については、マイナンバー法第12条において、「個人番号の漏
洩、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措
置を講じなければならない」ことが定められています。
これを個人情報保護法の第20条「個人データの漏えい、滅失又はき損の防止
その他の個人データの安全管理のために必要かつ適切な措置を講じなければ
ならない」という規定と比べてみると、以下のような違いがあります。
第一に、措置を講じる必要がある対象は、個人情報保護法の場合には個人
データに限られているのに対して、マイナンバー法の場合には個人番号になっ
ています。個人データとは、容易に検索できるようにした個人情報ですので、個
人情報保護法ではバラバラな個人情報は安全管理措置の義務の中に含まれ
ていません。一方、マイナンバー法ではバラバラに存在する個人番号について
も適切な管理のための措置が義務づけられています。
第二に、個人情報保護法では、個人データ中の人数が過去6ヵ月間にわたって
5,000人を超えない場合には規制対象外ですが、マイナンバー法の場合にはそ
うした除外はなく、個人番号を保有するすべての個人番号関係事務実施者(事
業者)が規制の対象となります。
「法人番号」とは?
法人番号は、国の機関、地方公共団体、株式会社等の団体に指定され、通知
される番号(13桁)です。法人番号は、個人番号とは異なり、自由に利活用でき
るものです。
「特定個人情報」とは?
「特定個人情報ファイル」とは?
特定個人情報は、個人番号をその内容に含む個人情報をいいます。ここでいう
「個人番号」には、狭義の個人番号のほか、その個人番号に対応し、代わって
用いられる符号も含まれます。
生存する個人の個人番号単体も、特定個人情報に該当します。
特定個人情報は個人情報の一部なので、亡くなった人の個人番号は、原則とし
て、特定個人情報には該当しません。
※「特定個人情報ファイル」とは、マイナンバーやマイナンバーに対応する符号
をその内容に含む個人情報ファイルのこと。
「特定個人情報等」とは?
特定個人情報とは、個人番号及び特定個人情報情報の2つをまとめた用語で
す。番号法などの法律用語ではありませんが、マイナンバーガイドラインで用い
られている用語です。
「個人情報」「特定個人情報」「個人番号」「特定個人情報」「法人番号」の違いを知る
出典:『中小企業とマイナンバーQ&A』
「個人情報」とは?
個人情報は、生存している個人に対する情報で、氏名、生年月日などにより特
定の個人を識別することができるものをいいます。また、他の情報と容易に照
合することができ、それにより特定の個人を識別することができるものも含まれ
ます。
個人情報には、亡くなった人に関する情報は原則として含まれません。
「個人番号」とは?
個人番号は、住民票を有するすべての人に付番され、一人一番号で、他人と重
複しない番号です(12桁、狭義の個人番号)。社会保障、税及び災害対策の分
野でのみ利用できます。
番号法では、狭義の個人番号のほかその個人番号に対応し、代わって用いら
れる符号も含めて「個人番号」として、さまざまな保護措置の対象としています。
個人番号には、亡くなった人の番号も含まれます。ただし、亡くなった人の個人
番号は、原則として、個人情報には該当しません。
-
安全管理措置の内容(本則) 中小規模事業者における対応方法
A 基本方針
の策定
B 取扱規程等
の策定
事務の流れを整理し、特定個人情報等の具体的な取扱いを定める
取扱規程等を策定しなければならない。
○ 特定個人情報等の取扱等を明確化する。
○ 事務取扱担当者が変更となった場合、確実な引継ぎを行
い、責任ある立場の者が確認する。
a 組織体制の整備
安全管理措置を講ずるための組織体制を整備する。
○ 事務取扱担当者が複数いる場合、責任者と事務取扱担当
者を区分することが望ましい。
b 取扱規程等に基づく運用
取扱規程等に基づく運用状況を確認するため、システムログ又は利
用実績を記録する。
○ 特定個人情報等の取扱状況の分かる記録を保存する。
c 取扱状況を確認する手段の整備
特定個人情報ファイルの取扱状況を確認するための手段を整備す
る。なお、取扱状況を確認するための記録等には、特定個人情報等
は含めない。
○ 特定個人情報等の取扱状況の分かる記録を保存する。
d 情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ
迅速に対応するための対応体制を整備する。
情報漏えい等事案が発生した場合、二次被害の防止、類似事案の
発生防止等の観点から、事案に応じて、事実関係及び再発防止策
等を早急に公表することが重要である。
○ 情報漏えい等事案の発生等に備え、従業者から責任ある
立場の者に対する報告連絡体制等をあらかじめ確認しておく。
e 取扱状況の把握及び安全管理措置の見直し特定個人情報等の取
扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組
む。
○ 責任ある立場の者が、特定個人情報等の取扱状況につい
て、定期的に点検を行う。
c 電子媒体等を持ち出す場合の漏えい等の防止
特定個人情報等が記録された電子媒体又は書類等を持ち出す場
合、易に個人番号が判明しない措置の実施、追跡可能な移送手段
の利用等、安全な方策を講じる。
「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ
移動させることをいい、事業所内での移動等であっても、紛失・盗難
等に留意する必要がある。
○ 特定個人情報等が記録された電子媒体又は書類等の移送
に当たっては、安全な方策を講じる。
d 個人番号の削除、機器及び電子媒体等の廃棄
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子
媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。ま
た、これらの作業を委託する場合には、委託先が確実に削除又は廃
棄したことについて、証明書等により確認する。
○ 特定個人情報等を削除・廃棄したことを確認する。
a アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務
を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報
ファイルの範囲を限定するために、適切なアクセス制御を行う。
○ 特定個人情報等を取り扱う機器を特定し、その機器を取り
扱う事務取扱担当者を限定することが望ましい。
○ 機器に標準装備されているユーザー制御機能(ユーザーア
カウント制御)により、情報システムを取り扱う事務取扱担当者
を限定することが望ましい。
b アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当
なアクセス権を有する者であることを、識別した結果に基づき認証す
る。
○ 特定個人情報等を取り扱う機器を特定し、その機器を取り
扱う事務取扱担当者を限定することが望ましい。
○ 機器に標準装備されているユーザー制御機能(ユーザーア
カウント制御)により、情報システムを取り扱う事務取扱担当者
を限定することが望ましい。
「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行
特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定し、従業者に周知徹底することが重要で
ある。
「特定個人情報に関する安全管理措置」の中小規模事業者における対応方法(抜粋)
中規模事業者は右側アミ掛け部分で、安全管理措置に対する救済が設けられている
―7 ―
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講じなければならない。
C 組織的
安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる人的安全管理措置を講じなければならない。
a 事務取扱担当者の監督
事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。
b 事務取扱担当者の教育
事業者は、事務取扱担当者に特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。
D 人的
安全管理措置
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講じなければならない。
d 情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講じる。
E 物理的
安全管理措置
F 技術的
安全管理措置
a 特定個人情報等を取り扱う区域の管理
特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」
という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講じる。
b 機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的
な安全管理措置を講じる。
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる技術的安全管理措置を講じなければならない。
c 外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。
-
改 正 案 現 行
個人情報取扱事業者は、その取り扱う個人データの漏え
い、滅失又はき損の防止その他の個人データの安全管理の
ため、組織的、人的、物理的及び技術的な安全管理措置を
講じなければならない(2-1-4.「*電話帳、カーナビゲーショ
ンシステム等の取扱いについて」の場合を除く。)。その際、
本人の個人データが漏えい、滅失又はき損等をした場合に
本人が被る権利利益の侵害の程度を考慮し、事業の性質及
び個人データの取扱状況等に起因するリスクに応じ、必要
かつ適切な措置を講じるものとする。その際には、特に、中
小企業者(中小企業基本法(昭和38年法律第154号)第2
条第1項各号に掲げる中小企業者をいう。以下同じ。)にお
いては、事業の規模及び実態、取り扱う個人データの性質
及び量等に応じた措置を講じることが望ましい。また、個人
データを記録した媒体の性質に応じた安全管理措置を講じ
ることが望ましい。なお、クレジットカード情報については、別
添の「クレジットカード情報を含む個人情報の取扱いについ
て」に掲げられた措置を講じることが望ましい。
個人情報取扱事業者は、その取り扱う個人データの漏えい、
滅失又はき損の防止その他の個人データの安全管理のた
め、組織的、人的、物理的及び技術的な安全管理措置を講
じなければならない(2-1-4.「*電話帳、カーナビゲーション
システム等の取扱いについて」の場合を除く。)。その際、本
人の個人データが漏えい、滅失又はき損等をした場合に本
人が被る権利利益の侵害の大きさを考慮し、事業の性質及
び個人データの取扱状況等に起因するリスクに応じ、必要か
つ適切な措置を講じるものとする。その際には、個人データ
を記録した媒体の性質に応じた安全管理措置を講じることが
望ましい。なお、クレジットカード情報については、別添の「ク
レジットカード情報を含む個人情報の取扱いについて」に掲
げられた措置を講じることが望ましい。
②手続の明確化と手続に従った実施
・(略)
・個人データを入力できる端末に付与する機能の、業務上の
必要性に基づく限定(例えば、個人データを入力できる端末
では、CD-R、USB メモリ等の外部記録媒体を接続できない
ようにするとともに、スマートフォン、パソコン等の記録機能
を有する機器の接続を制限し、媒体及び機器の更新に対応
する。)
②手続の明確化と手続に従った実施
・(略)
・個人データを入力できる端末に付与する機能の、業務上の
必要性に基づく限定(例えば、個人データを入力できる端末
では、CD-R、USB メモリ等の外部記録媒体を接続できない
ようにする。)
「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行
「個人情報保護に関する法律についての経済産業省分野を対象とするガイドライン」
改正案の新旧対照表のうち主要部分抜粋(傍線部分は改正部分)
安全管理措置(法第20条関連)安全管理措置(法第20条関連)安全管理措置(法第20条関連)安全管理措置(法第20条関連)
【各項目を実践するために講じることが望まれる手法の例示】【各項目を実践するために講じることが望まれる手法の例示】【各項目を実践するために講じることが望まれる手法の例示】【各項目を実践するために講じることが望まれる手法の例示】
―8 ―
資料出典:平成27年2月版 特定個人情報保護委員会事務局≪ここがポイント≫マイナンバーガイドライン(事業者編)
中小規模事業者に対する特例を設けることにより、実務への影響を配慮しています。
-
改 正 案 現 行
人的安全管理措置とは、従業者(「個人情報取扱事業者の
組織内にあって直接間接に事業者の指揮監督を受けて事
業者の業務に従事している者をいい、雇用関係にある従業
員(正社員、契約社員、嘱託社員、パート社員、アルバイト社
員等)のみならず、取締役、執行役、理事、監査役、監事、派
遣社員等も含まれる。)に対する、業務上秘密と指定された
個人データの非開示契約の締結や教育・訓練等を行うこと
をいう。
人的安全管理措置とは、従業者に対する、業務上秘密と指
定された個人データの非開示契約の締結や教育・訓練等を
行うことをいう。
①「個人データへのアクセスにおける識別と認証」を実践す
るために講じることが望まれる手法の例示
・個人データに対する正当なアクセスであることを確認する
ために正当なアクセス権限を有する者であることの識別と認
証(例えば、IDとパスワードによる認証、ワンタイムパスワー
ドによる認証、物理的に所持が必要な認証デバイス(ICカー
ド等)による認証、生体認証等)の実施
*識別と認証においては、複数の手法を組み合わせて実現
することが望ましい。
*IDとパスワードを利用する場合には、パスワードの有効期
限の設定、同一又は類似パスワードの再利用の制限、最低
パスワード文字数の設定、一定回数以上ログインに失敗し
たIDを停止する等の措置を講じることが望ましい。
*生体認証を利用する場合には、当該識別と認証の方法を
実施するために必要な情報(例えば、指紋、静脈)が、特定
の個人を識別することができることから、個人情報に該当す
る場合があることに留意する。
①「個人データへのアクセスにおける識別と認証」を実践する
ために講じることが望まれる手法の例示
・個人データに対する正当なアクセスであることを確認するた
めに正当なアクセス権限を有する者であることの識別と認証
(例えば、IDとパスワードによる認証、生体認証等)の実施
*IDとパスワードを利用する場合には、パスワードの有効期
限の設定、同一又は類似パスワードの再利用の制限、最低
パスワード文字数の設定、一定回数以上ログインに失敗した
IDを停止する等の措置を講じることが望ましい。
「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行
―9 ―
【個人データの取扱いに関する規程等に記載することが望まれる事項の例】 人的安全管理措置【個人データの取扱いに関する規程等に記載することが望まれる事項の例】 人的安全管理措置【個人データの取扱いに関する規程等に記載することが望まれる事項の例】 人的安全管理措置【個人データの取扱いに関する規程等に記載することが望まれる事項の例】 人的安全管理措置
【各項目を実践するために講じることが望まれる手法の例示】【各項目を実践するために講じることが望まれる手法の例示】【各項目を実践するために講じることが望まれる手法の例示】【各項目を実践するために講じることが望まれる手法の例示】
資料出典:パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)
2014年12月19日 内閣官房IT総合戦略室 パーソナルデータ関連制度担当室
www.kantei.go.jp/jp/singi/it2/pd/dai13/siryou1.pdf
個人情報の定義の拡充個人情報の定義の拡充個人情報の定義の拡充個人情報の定義の拡充 個人情報の定義個人情報の定義個人情報の定義個人情報の定義
-
改 正 案 現 行
委託先における委託された個人データの取扱状況を把握する
ためには、定期的に、監査を行う等により、委託契約で盛り込
んだ内容の実施の程度を調査した上で、個人情報保護管理者
(CPO)等が、委託の内容等の見直しを検討することを含め、
適切に評価することが望ましい。
委託元が委託先について「必要かつ適切な監督」を行っていな
い場合で、委託先が再委託をした際に、再委託先が適切とい
えない取扱いを行ったことにより、何らかの問題が生じたとき
は、元の委託元がその責めを負うことがあり得るので、再委託
する場合は、注意を要する。このため、委託先が再委託を行
おうとする場合は、委託を行う場合と同様、委託元は、委託先
が再委託する相手方、再委託する業務内容及び再委託先の
個人データの取扱方法等について、委託先から事前報告又は
承認を求める、及び委託先を通じて又は必要に応じて自らが、
定期的に監査を実施する等により、委託先が再委託先に対し
て本条の委託先の監督を適切に果たすこと、及び再委託先が
法第20条に基づく安全管理措置を講ずることを十分に確認す
ることが望ましい。再委託先が再々委託を行う場合以降も、再
委託を行う場合と同様とする。
なお、漏えいした場合に二次被害が発生する可能性が高い個
人データ(例えば、クレジットカード情報(カード番号、有効期限
等)を含む個人データ等)の取扱いを委託する場合は、より高
い水準において「必要かつ適切な監督」を行うことが望ましい。
また、消費者等、本人の権利利益保護の観点から、事業内容
の特性、規模及び実態に応じ、委託の有無、委託する事務の
内容を明らかにする等、委託処理の透明化を進めることが望
ましい。
委託先における委託された個人データの取扱状況を把握
するためには、委託契約で盛り込んだ内容の実施の程度
を相互に確認することが望ましい。
委託元が委託先について「必要かつ適切な監督」を行って
いない場合で、委託先が再委託をした際に、再委託先が
適切といえない取扱いを行ったことにより、何らかの問題が
生じたときは、元の委託元がその責めを負うことがあり得る
ので、再委託する場合は、注意を要する。
なお、漏えいした場合に二次被害が発生する可能性が高
い個人データ(例えば、クレジットカード情報(カード番号、
有効期限等)を含む個人データ等)の取扱いを委託する場
合は、より高い水準において「必要かつ適切な監督」を行う
ことが望ましい。
また、消費者等、本人の権利利益保護の観点から、事業内
容の特性、規模及び実態に応じ、委託の有無、委託する
事務の内容を明らかにする等、委託処理の透明化を進め
ることが望ましい。
委託先の監督(法第22条関連) 委託先の監督(法第22条関連) 委託先の監督(法第22条関連) 委託先の監督(法第22条関連) ③委託先における個人データ取扱状況の把握
―10 ―
「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行「NDP Marketing News」VOL.16 2015年4月10日 (株)日本ダイレクトプロモーション編集・発行
資料出典:平成27年2月版 特定個人情報保護委員会事務局≪ここがポイント≫マイナンバーガイドライン(事業者編)
中小規模事業者に対する特例を設けることにより、実務への影響を配慮しています。