WEBマガジン
「マイナンバー対応に向けて “その2”補足」
2015.06.23 株式会社オージス総研 礒部 大
Keywords: | マイナンバー、特定個人情報、PIA評価、Privacy Impact Assessment、民間企業 |
前回(2015年5月号)では民間企業でのマイナンバー対応について紹介しました。今回は、マイナンバー対応の最後として前回の補足をしたいと思います。
その補足とは、前回「どれも大変読みやすく、よく整理された資料」として紹介した以下の資料ですが、「いくら読みやすくても、忙しくて文章を読んでいる暇がない」という声もあるようなので、必要な部分だけを拾い読みできるように表形式に編集しました(下表参照、表をクリックするとPDFが表示されます。 [PDF/202KB])。
- ◆ 同(別添)特定個人情報に関する安全管理措置(事業者編)」[2]
下表は編集しただけで、文章は一切書き替えていないので、安心して参照して頂ければと思います。私見ですが、「説明」欄に編集した内容は本当に一般的なものですので、項目名を読んでも内容が想像できないような場合に読み直せば良いかと思います。
実務家の皆さんには《手法の例示》欄を重点的に確認されると良いでしょう。ただし、これらも「例示」と謳っていますが、対応の具体「例」ではなく対応すべき「事項の例」ですので、実際の実施方法は各社で考えて行くことになります。
図1 「同(別添)特定個人情報に関する安全管理措置(事業者編)」[2]を元に筆者が作成
今回のごく少量の"加工"部分としては「説明」欄の数ヶ所に付した「備考」欄への誘導文言と、最右欄の分類区分です。この分類区分は安全管理措置に係わる内容を以下の区分を設けて各項目を分類したものです(飽くまでも内容理解のための手引きとして追加したものです)。
- マイナンバーを利用する必要がなくなった場合、所管法令等の定める期間保存する。
- 策定:方針や取扱規程等のルール等を策定するもの
- 統制:策定されたルール等の運用や状況把握により統制をはかるもの
- 組織:安全措置を実現するための組織・体制
- 設備:安全措置のうち設備により実現するもの
- 人的:安全措置のうち人的活動で実現するもの
- 物理:安全措置のうちハードウェアを中心に実現するもの
- 論理:安全措置のうちソフトウェアを中心に実現するもの
ちなみに、上記でも触れましたが「同(別添)特定個人情報に関する安全管理措置(事業者編)」[2]はご覧の通り「安全管理措置」に特化したものです。その他の内容は本編たる「特定個人情報の適切な取扱いに関するガイドライン(事業者編)」[1]を参照する必要があります。今回の補足で本編を表形式にする範囲に含めなかったのは、同資料の末尾(巻末資料)に以下のような整理表が既に掲載されているからです(上から2行目に表形式に編集した「同(別添)特定個人情報に関する安全管理措置(事業者編)」[2]も記載されています)。こちらも併せて活用されることを、お薦めします。
図2 「(巻末資料)個人番号の取得から廃棄までのプロセスにおける本ガイドラインの適用(大要)」
「特定個人情報の適切な取扱いに関するガイドライン(事業者編)
(参考文献)
[1] | 「特定個人情報の適切な取扱いに関するガイドライン(事業者編) (平成26年12月11日 特定個人情報保護委員会)」 http://www.ppc.go.jp/files/pdf/261211guideline2.pdf |
[2] | 「同(別添)特定個人情報に関する安全管理措置(事業者編)」注:[1]内に収録 |
執筆者について
礒部大 公認システム監査人(CISA),中小企業診断士,元国立公文書館CIO補佐官
株式会社オージス総研 コンサルティング・サービス部 所属
*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。
『WEBマガジン』に関しては下記よりお気軽にお問い合わせください。