ここ最近のプライバシーマークの審査動向からマイナンバー対応に関する審査機関の考え方について整理します。
新たな規程作成等は不要
巷では、プライバシーマーク取得事業者向けに「特定個人情報取扱規程」をはじめとしたマイナンバー対応用の雛形が提供されています。
一方で、プライバシーマークの審査機関はマイナンバー制度が始まったからといって特別な規程を策定することは不要とする方針のようです。
下記のような考え方がベースになります。
プライバシーマーク取得事業者は、JIS Q 15001に沿ってマネジメントシステムを策定し、PDCAサイクルを回しています。当然重要な個人情報を守るためのセキュリティ規程もその中に含まれています。マイナンバーが重要な情報であることは間違いないのですが、既に構築したマネジメントシステムの中に取り込むだけで、新しい規程を作る必要はない、ということです。
確かにその通りだと思います。例えば、巷の雛形を見ると「特定個人情報が保有個人データに該当する場合の開示等の各種請求への対応」のような章があり、「利用目的の通知・開示、訂正・追加・削除、利用停止・消去・第三者提供停止」まで細かく定めています。ところが、大元の「個人情報保護基本規程」にも同様の内容は定められているはずです。
マイナンバーの取扱いの大半は通常の個人情報の取扱いと共通するのではないでしょうか。
ミニマムな対応は「特定」と「リスク分析」
審査機関が求めているのは、「特定個人情報を「特定」し「リスク分析」をおこない、必要なリスク対策を選択し、実施すること」です。これさえ実施すれば、特別な規程を作らなくても「プライバシーマークの審査で」指摘を受けることはありません。
ただし、別の視点でも考える必要があります。自社のコンプライアンス活動、セキュリティ活動はプライバシーマークのためだけにやっているのではないはずです。法律・ガイドライン・その他のステークホルダーの要請、これらを踏まえた上で、自社でどこまで対応すべきなのかを検討する必要があります。
重要なのは、「マイナンバーを漏えいさせない、目的外利用させない」ためのリスク対策やマネジメント施策が実施できているのか、ということ。それを浸透させるために規程等で明文化する必要があるのか、とうことです。それを利害関係者に正しく説明できれば、規程を作っても良いと思いますし、作らなくても良いと思います。