マイナンバー制度への対応として規程書を作る必要はありますか?
マイナンバー対応とプライバシーマーク制度への準備に取り掛かっています。
そこで質問があります。
プライバシーマークの審査では、広義では特定個人情報も個人情報なので、対象になりそうですが、審査を受けない場合でも、「特定個人情報取扱規程」を作成しないといけないのでしょうか?
審査がなければ、事件等が起きない限り、作っていなくても分からないようですが。
もちろん、弊社ではプライバシーマーク制度を受審する予定なので作成する予定です。
ご指摘の通り、「特定個人情報」も個人情報なので、審査の対象になります。
では、審査を受けない場合、「特定個人情報取扱規程」を作成しなくてもよいのでしょうか?
「特定個人情報取扱規程」に関しては、プライバシーマーク付与のための受審するのであれば、PMS(個人情報保護マネジメントシステム)で作られる規程が「特定個人情報取扱規程」を網羅していますので、必要ありません。
PMSを構築されない場合は、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」にて「特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなければならない」となっているため、原則、作成することになります。
このガイドラインの中で「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法令違反と判断される可能性があります。
ただし、中小規模事業者においては、取扱規程の作成が義務がありません。
ガイドラインでは、「取扱う個人情報量が少なく、しかも特定個人情報等を取扱う従業者が限定的であること等」から、「しなければならない」ではなく、「より望ましい対応」とされているためです。
中小規模事業者における対応方法としては、「特定個人情報等の取り扱いなどを明確化する」ことや「事務取扱担当者が変更となった場合、確実な引き継ぎを行い、責任ある立場の者が確認する」となります。
その他に関しては、ガイドラインを参照ください。
ちなみに「中小規模事業者」とは、事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいう。
- 個人番号利用事務実施者
- 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
- 金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
- 個人情報取扱事業者
以下に、「マイナンバー制度」に関する情報が掲載されたホームページをご紹介します。
ご参考まで。
▼マイナンバー社会保障・税番号制度
http://www.cas.go.jp/jp/seisaku/bangoseido/
▼特定個人情報保護委員会 – PPC
http://www.ppc.go.jp/
▼プライバシーマーク制度 – お知らせ(2015年):番号法および特定個人情報ガイドラインへの対応について
http://privacymark.jp/news/2015/0519/index.html