プライバシーマークの申請企業数が夏から秋にかけて急増しているようです。駆け込み申請の理由を推測してみたのですが、どうもマイナンバー制度開始前にプライバシーマークの審査を受けたい、というのがその理由のようです。

当社も営業段階で、そのようなご要望を頂くことが多かったように思いましたが、10月5日に番号法が施行され、そろそろマイナンバー制度開始後のプライバシーマーク審査について、情報収集や事例構築の必要があると考えました。

実際の事例のおいて、どのような対応をおこなったのか説明したいと思います。

審査機関が確実に求めてくるのが、「個人情報の特定」「リスク分析」です。直接書面取得に同意の取得は求めてきません（利用目的の明示は必要）。

実は、上記をクリアすれば、指摘を出す可能性は低いようです。建前としては、JIS規格に従って対応しているのだから、マイナンバーが来ても大丈夫ですよね、ということです。

ただし、「リスク分析」のところは色々と広がりを持つ余地があります。マイナンバーの取り扱いに関して、「リスク―リスク対策―関連規定」を明確にしたリスク分析結果の作成を求める中で、「関連規定」が書けないケースを審査員がどう捌くのかというポイントです。この点へのガッチリとした対応と所謂「事業者向けガイドライン」の要請に対応する上では、マイナンバーの取り扱いに関して何らかの規程を作成するのが、当社のスタンスです。

これまでの対応事例から考えると、下記のように対応をおこなうことで、「事業者向けガイドライン」への対応、Pマーク審査への対応が万全となります。

・「特定個人情報取扱要領（手順書）」を策定する。（既存規程への組み込みも考えられますが、規程が複雑になるためお勧めしません）

・個人情報管理台帳において特定個人情報に該当するものを識別する。

・特定個人情報に関わる業務の洗い出しをおこない、リスク分析をおこなう。

・事務担当者向けの教育を実施する。

・一般社員向けの説明会を実施する。

・マイナンバーを取得する書面またはインターフェースに利用目的明示文を掲示する。

・委託先への調査、契約締結、再委託先有無の把握をおこなう。
 

＜関連情報＞
プライバシーマーク（Pマーク）に関心がある方はこちらへ
ISMS（ISO27001）に関心がある方はこちらへ