コラム：プライバシーマーク事業者のマイナンバー対応(2015.06.11)

■　プライバシーマーク審査では、マイナンバーの取り扱いについて確認します。

2015年5月に、JIPDECから、プライバシーマーク取得事業者に向けて
「番号法及び特定個人情報ガイドラインへの対応について」という文書が発表されました。
個人番号及び特定個人情報の取り扱いが開始された後、プライバシーマークの審査では、
マイナンバー法及び特定個人情報の取扱等が確認されることになります。

勘違いしてはならないのは、特定個人情報の取り扱いについてのルール作成は
あくまでも法律・ガイドラインが定めているものであり、
JISQ15001においては「法律の特定とその順守ができる仕組み」が求められているに過ぎません。

■　適切な対応方法は企業によって異なる

プライバシーマークの審査のみを考えれば、必要な部分に関して現在の規程を
追加・修正するだけで対応できれば、それにこしたことはありませんし、
JIPDECは、それを認めています。
もちろん、「特定個人情報ガイドライン（事業者編）」に対する準拠状況を
確認して足りない部分を追加・修正は必要になります。
個人番号の取り扱いが少ない事業者等の場合には、そのやり方で対応することができるでしょう。

し かし、グループ会社が複数存在する大規模事業者や
個人の支払先等マイナンバーの取扱対象が多岐にわたる事業者においては、
マイナンバー法の順守をしなが ら、円滑な事務の実施ができることが課題となってきます。
そのためには、別途定めた規程や標準等が必要になってくるでしょう。

ご存知の通 り、法で定められた目的のみにしか使用できない
個人番号及び特定個人情報は、事業のために自社で目的を定めて利用している
個人情報とは本質的に異なる考え方で取扱う必要があるものです。
今後も、個人情報も、個人番号及び特定個人情報も
制度改訂等により取扱基準や法制度が、それぞれ違った方向性で変更されることを
想定しておく必要があります。

実際に、取扱主体の部署も異なっていることも多いのです。
文書作成を面倒であると現在の文書を利用する方法でマイナンバー法に対応することは、
自社の目的で事業の用に供する個人情報と特定個人情報のルールを同じ規程の中に混在
することになりえます。
それが却って業務付加や担当者の理解を妨げるものになりえる可能性はないかどうか
確認してから対応方法を検討することをお薦めしています。

■　参考情報

• JIPDEC：番号法及び特定個人情報ガイドラインへの対応について
• 特定個人情報保護委員会：特定個人情報ガイドライン
• 特定個人情報保護委員会：関連法令一覧

シーピーデザインコンサルティングのマイナンバー対応コンサルティングはこちら

プライバシーマーク取得事業者に対するマイナンバー対応に関する情報提供を　PIMS研究を通じて行っています。