マイナンバー制度が始まったことによって、プライバシーマークへはどんな影響を及ぼすのか、以下大きく5つの事項がありました。
- マイナンバーに関連する法令等の特定
- 特定個人情報事務取扱責任者と特定個人情報事務取扱担当者の任命
- マイナンバーが漏えいしてしまった場合の対応手順を規定
- マイナンバーを取扱う区域とマイナンバーを管理する区域を規定
- マイナンバーの取扱いを委託する場合の措置
今回は上記3について説明していきます。
マイナンバー漏えいへの対応
「個人情報保護委員会」が2016年5月24日に、マイナンバー法違反や漏えい事故を含めた「個人情報保護委員会」への報告事案数を発表しました。
2015年度に報告された事案は、延べ83件に上るとのことです。
地方公共団体からの報告が57件、民間企業からは26件あったようです。
上記にて「個人情報保護委員会」という機関名を挙げましたが、この機関は個人情報(マイナンバーを含む)の適切な取扱いを促進するため、2016年1月1日に発足した組織です。
「特定個人情報の適正な取扱いに関するガイドライン」を所管しているのもこの機関です。
さて、行政機関や地方公共団体では、マイナンバーを用いて私たちの情報を色々と管理しているわけですが、万が一、事業者内でマイナンバーが漏えいしてしまった場合、どう対応すれば良いのでしょうか。
また、プライバシーマークとは、どんな関連があるのでしょうか。
漏えいが発生した場合の報告手順を定めよ
個人情報・マイナンバーに関する事故は日々発生していると言っても過言ではないですが、万が一、情報が漏えいしてしまった場合。「それに対応する手順をルール化しておきましょう」というのが、プライバシーマークで要求される事項となっています。
対応手順は、ざっくりと以下のようになります。
- 事故の状況を把握する
- 事故に対応する
- 漏えいした情報の本人へ報告する
- 事故の記録を作成する
- 事故の概要を外部へ公表する
- 関係機関へ報告する
上記6に、関係機関への報告という手順があります。「発生してしまった事故について、プライバシーマークの審査機関や経済産業省へ報告しましょう」ということです。
この部分において、「マイナンバーに関する事故が起きた場合には、『個人情報保護委員会』へも報告しましょう」ということが、新たにプライバシーマークで要求される事項となっています。
ただし、発生してしまったマイナンバーの漏えい事故全てを「個人情報保護委員会」へ報告しなければならないのかというとそうではないです。
個人情報保護委員会HPで配布されている「特定個人情報の漏えい事案等が発生した場合の対応について(概要資料)」では、「個人情報保護委員会」へ報告しなければならない事故の詳細が記載されています。
つまり、記載の事故に該当しない限りは、「個人情報保護委員会」へ報告しなくても良いということになります。
そのため、「マイナンバーに関する事故が発生した場合には、上記URLに記載の事故に該当するかどうかを判断した上で、必要に応じて『個人情報保護委員会』へ報告する」という手順を規定することで、プライバシーマークの要求事項を満たすことになります。
該当するかどうかの判断に迷う場合は、「個人情報保護委員会」へ連絡してみるというのも一つの手段です。
