特定個人情報保護委員会から2015年9月28日に発表されているQ&Aを、さらにわかりやすくなるようにまとめてみました。
2:番号法違反の事案又は番号法違反のおそれのある事案を把握した場合の報告
Q2-1
個人情報取扱事業者が特定個人情報に関する漏えい事案等を報告する際に、様式はありますか。
A2-1
個人情報取扱事業者においては、各主務大臣のガイドライン等に定めのある様式やその定めに従って報告を行っている様式で報告していただくことで構いません。
(3) 特定個人情報保護委員会への報告を要しない場合個人情報取扱事業者以外の事業者にあっては、次の全てに当てはまる場合は、特定個人情報保護委員会への報告を要しない。
①影響を受ける可能性のある本人全てに連絡した場合(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
②外部に漏えいしていないと判断される場合
③従業員等が不正の目的で持ち出したり利用したりした事案ではない場合
④事実関係の調査を了し、再発防止策を決定している場合
⑤事案における特定個人情報の本人の数が100人以下の場合
この内容がガイドラインには明記されていますので、要チェックです。
その時々の自社の状況に合わせて行うようにしましょう。
その時々の自社の状況に合わせて行うようにしましょう。
Q2-2
「個人番号の利用制限違反など番号法固有の規定に関する事案」とは、どういう事態を指すのですか。
A2-2
ここでいう「個人番号の利用制限違反など番号法固有の規定に関する事案」とは、個人情報保護法では制限されておらず、番号法のみに規定された事項に違反する又はそのおそれのある事案を指します。具体的には、番号法によって定められた社会保障、税及び災害対策に関する特定の事務以外で個人番号を利用した場合(第9条)、番号法で限定的に明記された場合以外で特定個人情報を提供した場合(第19条)などが該当します。
目的外でマイナンバーを利用してはいけないということです。
こちらは通常の個人情報の保護と同様ですね。
こちらは通常の個人情報の保護と同様ですね。
特定個人情報も個人情報の一部なので、原則として個人情報保護法が適用されます。さらに特定個人情報は、マイナンバーによって名寄せなどが行われるリスクがあることから、個人情報保護法よりも厳しい保護措置を番号法で上乗せしています。また、番号法の保護措置は、個人情報保護法が適用されない小規模な事業者にも適用されます。
通常の個人情報保護法よりも適用範囲が厳しいので、取り扱いには十分な注意をしましょう。
特に、自社は関係ないと思っていても中小企業の適用範囲には要注意といえます。
特に、自社は関係ないと思っていても中小企業の適用範囲には要注意といえます。
セキュリティに気を付けよう
マイナンバー導入のために内閣府が作成したガイドラインにはこんな言葉が溢れている。◎ファイヤウオール◎ウイルス対策ソフト◎施錠可能なキャビネット◎シュレッダー◎追跡可能な移送手段(書留等)◎間仕切り◎セキュリティーカードシステム◎セキュリティーワイヤ◎暗号化……などなど。
このため、会社側は設備投資などの対応に追われているのだ。関連業界は特需に沸いている。
実際、対策として金庫などが品薄になっていたりするようです。
金庫を購入、担当者を決めるなどして適切な対応を心がけましょう。
金庫を購入、担当者を決めるなどして適切な対応を心がけましょう。
ただ、以下のように報告が必要ない場合もあるのです。