Pマーク未取得でもマイナンバーの「特定個人情報取扱規程」は作成すべきですか?
マイナンバー対応とプライバシーマーク制度への準備に取り掛かっています。
そこで質問があります。
プライバシーマークの審査では、広義では特定個人情報も個人情報なので、対象になりそうですが、審査を受けない場合でも、「特定個人情報取扱規程」を作成しないといけないのでしょうか?
審査がなければ、事件等が起きない限り、作っていなくても分からないようですが。
もちろん、弊社ではプライバシーマーク制度を受審する予定なので作成する予定です。
ご質問ありがとうございます。Pマーク受審を予定されているとのこと、マイナンバー対応は避けて通れない重要項目です。ご質問の「規程作成の義務」と、Pマーク審査における扱いについて詳しく解説します。
結論から申し上げますと、
1. Pマーク受審時の対応:規程は「統合」が可能
Pマーク(JIS Q 15001:2023)の審査において、特定個人情報は「個人情報」の一部として審査対象に含まれます。
- 規程の形態は自由:
弊社の「プライバシーマークサンプル文書集」では、効率化のため「個人情報取扱及び保護規程」の中にマイナンバーに関する記述を組み込んでいます。 - メリット:
一つの規程で管理することで、二重管理の手間を防ぎ、運用を軽量化できます。審査上も、JISの要求事項と番号法(マイナンバー法)の両方を網羅していれば問題ありません。
2. Pマークを受審しない場合:法令上の作成義務
Pマークの審査がない場合でも、全ての事業者は「個人番号利用事務等」を行うにあたり、安全管理措置を講じる義務があります。
- 原則としての作成義務:
「特定個人情報の適正な取扱いに関するガイドライン」では、具体的な取扱いを定める「取扱規程等」の策定が求められています。これに従わない場合、番号法違反(指導・助言の対象)となるリスクがあります。 - 中小規模事業者の「特例」:
従業員数100人以下かつ特定の条件(個人情報取扱事業者でない等)を満たす「中小規模事業者」については、規程の作成自体は「努力義務(より望ましい対応)」とされており、必須ではありません。 - 注意点:
ただし、Pマークを受審(または更新)する場合、すべての事業者は「個人情報取扱事業者」に該当するため、上記の特例は適用されません。 したがって、貴社の場合は「規程(または規程に準ずる明文化されたルール)」が必ず必要になります。
3. 実務上のアドバイス:なぜ「作っておかないと分からない」では危険か
「事件が起きない限り分からない」という考え方は、法 compliance(法令遵守)の観点だけでなく、経営リスクの観点からも推奨されません。
- 委託先チェック:
取引先からマイナンバー業務の委託を受ける際、規程の有無を必ず確認されます。 - 事故時の罰則:
万が一漏洩事故が発生した際、規程がないことは「安全管理措置の欠如」とみなされ、故意・過失を問わず厳しい社会的制裁や罰則を受ける原因となります。 - 審査での指摘:
Pマークの現地審査では、マイナンバーの収集から廃棄までのフローが規程通りに行われているか、書類を突き合わせて厳格にチェックされます。
4. 公的機関の最新情報の確認
マイナンバー制度やガイドラインは随時更新されます。常に最新の情報を参照してください。
弊社のサンプル文書集をご活用いただければ、JIS要求事項とマイナンバー対応を同時に満たす規程がスムーズに構築できます。まずは「個人情報取扱及び保護規程」の内容をご確認いただき、貴社の実態に合わせて調整を進めてください。
