個人番号利用事務実施者としての地方自治体は、「番号法」において、特定個人情報の適正な取り扱いが求められています。

（前回より）
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
◎「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」
○個人番号の取得から廃棄までのプロセス（区分）における本ガイドラインの適用
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
・区分
　　　・個人情報保護法
　　　　　　・ガイドライン（番号法該当条文）
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
1取得
　　　・利用目的の特定（第15条）
　　　・適正な取得（第17条）
　　　・利用目的の通知等（第18条）
　　　　　　・第4-3-1　個人番号の提供の要求（第14条）…求める根拠
　　　　　　・第4-3-2　個人番号の提供の求めの制限、特定個人情報の提供制限
　　　　　　　　　　　　　　（第15条、第19条、第29条第3 項）
　　　　　　・第4-3-3　収集・保管制限（第20条）
　　　　　　・第4-3-4　本人確認（第16条）
2安全管理措置等
　　　・安全管理措置（第20条）
　　　・従業者の監督（第21条）
　　　・委託先の監督（第22条）
　　　　　　・第4-2-1　委託の取扱い（第10条、第11条）
　　　　　　・第4-2-2　安全管理措置（第12条、第33条、第34条）
　　　　　　・（別添）特定個人情報に関する安全管理措置（事業者編）
3保管
　　　・正確性の確保（第19条）
　　　・保有個人データに関する事項の公表等（第24条）
　　　　　　・第4-3-1　収集・保管制限（第20条）
4利用
　　　・利用目的による制限（第16条）
　　　　　※番号法による読替及び適用除外あり
　　　・利用目的の通知等（第18条第3 項）
　　　　　　・第4-1-1　個人番号の利用制限（第9 条、第29条第3 項、第32条）
　　　　　　・第4-1-2　特定個人情報ファイルの作成の制限（第28条）
5提供
　　　・第三者提供の制限（第23条）
　　　　　※番号法では適用除外
　　　　　　・第4-3-1　個人番号の提供の求めの制限、特定個人情報の提供制限
　　　　　　　　　　　　　　（第15条、第19条、第29条第3 項）
6開示・訂正・利用停止
　　　・開示、訂正等、利用停止等（第25条〜第30条）
　　　　　※利用停止等（第27条）は、番号法による読替あり
　　　　　　・第4-4 第三者提供の停止に関する取扱い（第29条第3 項）
7廃棄
　　　・該当条文なし
　　　　　　・第4-3-1　収集・保管制限（第20条）

◎マイナンバー、事業者の対応は?
　http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/koho_h2701.pdf
○利用目的はきちんと明示！
○本人確認は成りすまし防止のためにも厳格に！
1．マイナンバーには、利用、提供、収集の制限がある！
○マイナンバーの利用範囲は、法律に規定された社会保障、税及び災害対策に関する事務に限定されています。
○社会保障及び税に関する手続書類の作成事務を行う必要がある場合に限って、本人などに対してマイナンバーの提供を求めることができます。
○法律で限定的に明記された場合を除き、マイナンバーの提供を求めてはなりません。
○法律で限定的に明記された場合を除き、特定個人情報を提供してはなりません。
2．マイナンバーを利用する事務の委託先・再委託先にも安全管理措置が必要！
○社会保障及び税に関する手続書類の作成事務の全部又は一部の委託をする者は、委託先において、法律に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。
○社会保障及び税に関する手続書類の作成事務の全部又は一部の委託を受けた者は、委託者の許諾を得た場合に限り、再委託をすることができます。
3．マイナンバーの適切な「安全管理措置」に組織としての対応が必要！
○事業者は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。
　http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/koho_h2701.pdf　（22page　参照）
・「基本方針」の策定
　組織として取り組むために「基本方針」を策定することが重要です。
・「取扱規程」等の策定
　個人番号を取り扱う事務、特定個人情報の範囲、事務取り扱い担当者を明確化する。
　取得、利用、保存、提供、削除・廃棄の各段階ごとに、取り扱い方法、責任者・事務取扱者、任務などを定める。その上で、下記4つの安全管理措置を織り込み、取扱規定を策定する。
・安全管理措置
　1.組織的安全管理措置
　2.人的安全管理措置
　3.物理的安全管理措置
　4.技術的安全管理措置
　技術的安全管理措置では、事務取扱者（アクセス者）の認証とアクセス制御が重要です。
　情報セキュリティーポリシー、対策基準などの見直しが必要です。
4．マイナンバーの保管（廃棄）にも制限がある！
○法律で限定的に明記された場合を除き、特定個人情報を保管してはなりません。
○法律で限定的に明記された場合を除き、特定個人情報を収集又は保管することはできないため、社会保障及び税に関する手続書類の作成事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、マイナンバーをできるだけ速やかに廃棄又は削除しなければなりません。
5．マイナンバー制度の施行に向けた準備
○対処方針を決定すべき作業項目
　1.社内規定の見直し
　　・基本方針、取扱規定
　2.システム対応・改修など
・人事・給与システム、経理・法定調書システム
　3.安全管理措置
・情報セキュリティーポリシー、対策基準などの見直し
　4.社員啓発・研修の実施
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
（以下　略）

○「特定個人情報の適正な取扱いに関するガイドライン（自治体編）」
　個人番号利用事務実施者としての地方自治体は、安全管理措置が求められています。「基本方針」の策定そして各事務ごとに「取扱規定」の策定が必要です。

・特定個人情報保護と個人情報保護　対応表

　地方自治体にはもう一つの顔があります。個人番号関係事務実施者としての安全管理措置が必要です。人事部門と会計部門が該当します。人事・給与関係では新たな廃棄プロセスが追加されます。また会計・法定調書関係では様式変更が必要です。
　文書管理規程の修正が必須となります。

　情報セキュリティポリシーに関するガイドライン（4版）は、個人情報保護条例対応であります。そして特定個人情報保護対応としては、「特定個人情報の適正な取扱いに関するガイドライン（自治体編）」を参考とします。
　その中の「安全管理措置（自治体編）」では、「基本方針」の策定を義務づけ、各事務毎に「取扱規定」策定を求めています。組織的・人的・物理的・技術的安全管理措置を規程の中で取り纏めることとされています。

・「基本方針」の策定
　組織として取り組むために「基本方針」を策定することが重要です。
・「取扱規程」等の策定
　個人番号を取り扱う事務、特定個人情報の範囲、事務取り扱い担当者を明確化する。
　取得、利用、保存、提供、削除・廃棄の各段階ごとに、取り扱い方法、責任者・事務取扱者、任務などを定める。その上で、下記4つの安全管理措置を織り込み、取扱規定を策定する。
・安全管理措置
　1.組織的安全管理措置
　2.人的安全管理措置
　3.物理的安全管理措置
　4.技術的安全管理措置
　　技術的安全管理措置では、事務取扱者（アクセス者）の認証とアクセス制御が重要です。

　特定個人情報保護対応（安全管理措置）としての新たな「基本方針」「取扱規程」を策定することが、既存の情報セキュリティポリシーの改正よりわかり易い。

＜参考＞
　個人情報保護条例とは別に、特定個人情報保護条例を制定することと同様です。東京都の新条例制定の考えが参考となりそうです。

○東京都、番号制度に係る新たな条例等の制定の必要
　http://www.kojinjoho.metro.tokyo.jp/tokuteikojinjoho/seido.htm
　平成26年12月24日、東京都情報公開・個人情報保護審議会において「『社会保障・税番号制度の導入に伴う東京都における特定個人情報保護制度のあり方について』中間のまとめ」がとりまとめられました。
「社会保障・税番号制度の導入に伴う東京都における特定個人情報保護制度の在り方について」
・中間のまとめ＜概要版＞【PDF形式：178KB】
　http://www.kojinjoho.metro.tokyo.jp/tokuteikojinjoho/pdf/gaiyou.pdf
・中間のまとめ＜本文＞【PDF形式：600KB】
　http://www.kojinjoho.metro.tokyo.jp/tokuteikojinjoho/pdf/matome.pdf

（上記概要より）
1 番号法の個人情報保護制度における位置付け
　番号法は、個人情報保護法等の特別法たる位置付けで、個人番号及び個人番号を含んだ個人情報（特定個人情報）の取扱いは、一般的な個人情報よりも厳格に制限されている。
2 番号法が都の個人情報保護制度に及ぼす影響
（1）個人番号及び特定個人情報は、個人情報保護条例における一般的な個人情報とは取扱いが大きく異なるものであり、仮に条例の改正によって、番号制度の導入に対応すれば、一つの条例の中に二つの制度が併存することになり、制度運用に混乱が生じる。
（2）個人情報保護条例における個人情報の定義は、番号制度において適用される個人情報の定義の範囲より広範なものであることから、仮に同条例を番号制度の考え方に合わせて改正した場合、従来の制度より狭い範囲の情報が個人情報に該当することになり、制度全体として見た場合、個人情報保護制度の後退につながる。
3 都における番号制度に係る条例等の整備の考え方
（1）番号法が個人情報保護三法の改正ではなく、特別法としての位置付けで別の法律として制定されたこと等を考慮した場合、既存の個人情報保護制度に混乱を生じさせるような現行条例の大幅な改正による対応は、必ずしも適切ではない。
（2）都においては、わかりやすい制度を構築し、運用における混乱を防止するとともに、より一層の都政の適正な運営と都民の権利利益の保護を図る観点から、新条例を制定するととともに、現行の個人情報保護条例等について必要に応じて改正を行うなどにより、番号制度に係る条例等の整備を行うべきである。
（以下略）

＜参考＞

平成27年03月12日