PMSマニュアルの「特定個人情報事務担当者研修」は規格上実施が必須か?
PMSマニュアルにある「特定個人情報事務担当者研修」につきまして、ご教示ください。
・この研修は規格上実施が必須かどうか
・もし必須だとすると、既存の特定個人情報事務担当者に実施は必要かどうか
(「特定個人情報事務担当者の候補者」との記載があったため、確認させてください)
「特定個人情報事務担当者」は、実際に「特定個人情報」(マイナンバーやマイナンバーに対応する符号をその内容に含む個人情報)を取り扱う事務担当者となります。
JIS Q 15001及び個人情報保護法においては、「特定個人情報」の取り扱いに関する規定はなく、番号利用法(行政手続における特定の個人を識別するための番号の利用等に関する法律)においても、取り扱い事業者に対する規定はあるが、担当者に対する規定はありません。
よって、担当者に対する研修の実施は、規格上必須であるとはなっていませんが、番号利用法において、特定個人情報を取り扱う事業所において適切な管理のために必要な措置が求められていることから、事務担当者に対しても措置を実施する必要性はあるとも言えます。
(個人番号利用事務実施者等の責務)第十二条
個人番号利用事務実施者及び個人番号関係事務実施者は、個人番号の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならない。
(定義)第二条
- 12 この法律において「個人番号関係事務」とは、第九条第四項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
- 14 この法律において「個人番号関係事務実施者」とは、個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
※「番号利用法(マイナンバー法)」より
ちなみに、行政機関等においては、番号利用法にて研修の実施が規定されていますので、ご注意ください。
(研修の実施)第二十九条の二
行政機関の長等は、特定個人情報ファイルを保有し、又は保有しようとするときは、特定個人情報ファイルを取り扱う事務に従事する者に対して、政令で定めるところにより、特定個人情報の適正な取扱いを確保するために必要なサイバーセキュリティの確保に関する事項その他の事項に関する研修を行うものとする。
※「番号利用法(マイナンバー法)」より
(定義)第二条
11 この法律において「行政機関等」とは、次に掲げる機関をいう。
- 一 行政機関
- 二 地方公共団体の機関
- 三 独立行政法人等
- 四 地方独立行政法人
※「個人情報の保護に関する法律」より
プライバシーマークとして、特定個人情報事務担当者の役割と権限の文書化は必須
日本情報経済社会推進協会(JIPDEC)では、「特定個人情報の取り扱いの対応について」という文書を公表し、「1.構築・運用指針に基づき対応を必要とする事項」として、構築・運用指針に基づき、プライバシーマーク付与を受けようとする事業者が対応すべき事項が示されています。
この中の「(2)組織の役割、責任及び権」を以下に示す。」にて、「事務取扱担当者の役割・権限が内部規程として文書化されていること。」を行うよう要求されています。
よって、事務担当者の役割と権限に関しては、「構築・運用指針に基づき、プライバシーマーク付与を受けようとする事業者が対応すべき事項」(審査の対象)となります。
1.構築・運用指針に基づき対応を必要とする事項
(2) 組織の役割、責任及び権限(J.2.3.1)
《対応を必要とする事項》
- 事務取扱担当者の役割・権限が内部規程として文書化すること。
《留意事項》
- J.2.3.1(組織の役割、責任及び権限)では、個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めている。
特定個人情報ガイドライン(「(別添)特定個人情報に関する安全管理措置(事業者編)」を含む)では、特定個人情報等を取り扱う事務に従事する従業者(以下、「事務取扱担当者」という。)の明確化を求めている。
よって、プライバシーマーク付与を受けようとする事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要がある。※「特定個人情報の取り扱いの対応について(JIPDEC)」より
プライバシーマークとして、特定個人情報事務担当者への研修は必須ではないが実施した方が良い
また、 同文書においての「構築・運用指針に基づき対応を必要とする事項」としての記述はないが、前文にて、『「番号利用法」により、事業者は特定個人情報の取扱いに際しては、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の遵守が必要』とされています。
この「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下参照)の「2 講ずべき安全管理措置の内容」の中では、「D 人的安全管理措置」として「b 事務取扱担当者の教育」のいう記載があり、「適切な監督」と「適切な教育を行う」を行うこととあります。
「構築・運用指針に基づき対応を必要とする事項」には記載されていないため、「構築・運用指針に基づき、プライバシーマーク付与を受けようとする事業者が対応すべき事項」(審査の対象)には入っていません(現時点)が、遵守が必要な事項であるため、事務担当者への適切な監督と教育を行うことも、実際は実施した方がよい事項だと思われます。
(別添1)特定個人情報に関する安全管理措置
2 講ずべき安全管理措置の内容
D 人的安全管理措置
b 事務取扱担当者の教育
事業者は、特定個人情報等の適正な取扱いのために、次に掲げる人的安全管理措置を講じなければならない。
- a 事務取扱担当者の監督
事業者は、特定個人情報等が取扱規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。- b 事務取扱担当者の教育
事業者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う。≪手法の例示≫
- * 特定個人情報等の取扱いに関する留意事項等について、従業者に定期的な研修等を行うことが考えられる。
- * 特定個人情報等についての秘密保持に関する事項を就業規則等に盛り込むことが考えられる。
※「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より
以上、ご参考ください。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
