コンサルタントブログ

COLUMN

ホーム

マイナンバー対応に関するプライバシーマーク審査機関の考え方

こんにちは。コンサルタントの後藤です。
今日はここ最近のプライバシーマークの審査動向からマイナンバー対応に関する審査機関の考え方について考察してみました。

「特定個人情報取扱規程」などは不要

巷では、プライバシーマーク取得事業者向けに「特定個人情報取扱規程」をはじめとしたマイナンバー対応キットが出回っています。
当社はこれを否定するものではありませんが、プライバシーマークの審査機関はマイナンバー制度が始まったからといって特別な規程を策定することは不要というスタンスのようです。

さて、どのような理屈なのでしょうか。
プライバシーマーク取得事業者は、JIS Q 15001に沿ってマネジメントシステムを策定し、PDCAサイクルを回しています。当然重要な個人情報を守るためのセキュリティ規程もその中に含まれています。マイナンバーが重要な情報であることは間違いないのですが、既に構築したマネジメントシステムの中に取り込むだけで、新しい規程を作る必要はない、ということです。
確かにその通りだと思います。私も仕事柄多くの雛形を目にしたのですが、「特定個人情報が保有個人データに該当する場合の開示等の各種請求への対応」のような章があり、丁寧に「利用目的の通知・開示、訂正・追加・削除、利用停止・消去・第三者提供停止」まで細かく定めてくれています。全くもって無意味で紙の無駄としか思えません。最もよく出回っている雛形の中には「保有個人情報」という意味不明の記載がありました。どこの法律事務所か社労士事務所が作成したのか分かりませんが個人情報保護法すら正確に理解していない人間が作った雛形が出回るのは本当に迷惑ですね。同じ雛形には「情報主体」という20世紀の言葉も登場していました。

ミニマムな対応は「特定」と「リスク分析」

愚痴はさておき、審査機関が求めているのは、「特定個人情報を「特定」し「リスク分析」をおこない、必要なリスク対策を選択し、実施すること」です。これさえ実施すれば、特別な規程を作らなくても「プライバシーマークの審査で」指摘を受けることはありません。
と言いつつ、ここで専門コンサルタントとして、問題提起をさせてください。御社のコンプライアンス活動、セキュリティ活動はプライバシーマークのためだけにやっているのですか?審査で指摘されなければそれで十分なのですか?

より総合的な判断の上で対応を各社で検討する

企業の人事担当、法務担当の方たちは、プライバシーマークだけを考えていれば良いのでしょうか?それだけで、番号法や「事業者向けガイドライン」に対応したことになるのでしょうか?取引先やグループ会社から「マイナンバーに関して規程や手順書は作成したのですか?」と問われた時に、堂々と「大丈夫です!何も穿いていません何も作成していません!」と答えられるのでしょうか?
企業の担当者は社員も含めた利害関係者の期待や要求を総合的に判断をして対策を考える必要があります。プライバシーマークなどよりももっと大事なことだと考えます。
重要なのは、「マイナンバーを漏えいさせない、目的外利用させない」ためのリスク対策やマネジメント施策が実施できているのか、ということ。それを浸透させるために規程等で明文化する必要があるのか、とうことです。それを利害関係者に正しく説明できれば、規程を作っても良いと思いますし、作らなくても良いと思います。
「作らなければならない」も「作らなくても良い」もどちらも間違っていると私は考えます。
 

<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ

一覧へ