「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に関するQ&Aの更新(個人情報保護委員会)

個人情報保護委員会は、特定個人情報を取り扱う情報システムの保守の全部又は一部に外部の事業者を活用することについて、ガイドラインに関するQ&Aを更新しました。※ 更新箇所は、赤字(追加した部分には下線・削除した部分には取消線)で示しています。また、更新理由を併せて記述しています。
重要な論点ですので、全文を記載します。

【事業者編】
3:委託の取扱い
Q3-14 特定個人情報を取り扱う情報システム(機器を含む。以下、この項において同じ。) の保守の全部又は一部に外部の事業者を活用している場合、番号法上の委託に該当しますか。また、外部の事業者が記録媒体等を持ち帰ることは、提供制限に違
反しますか。
A33-14 当該保守サービスを提供する事業者(以下「保守サービス事業者」という。)がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には、個人番号関係事務又は個人番号利用事務の一部の委託に該当します。
〔典型的な例〕
・ 個人番号を用いて情報システムの不具合を再現させ検証する場合
・ 個人番号をキーワードとして情報を抽出する場合

一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人番号関係事務又は個人番号利用事務の委託に該当しません。
〔典型的な例〕
・ システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
・ 保守サービスの作業中に個人番号が閲覧可能となる場合であっても、個人番号の収集(画面上に表示された個人番号を書き取ること、プリントアウトすること等をいう。以下、この項において同じ。)を防止するための措置が講じられている場合
・ 保守サービスの受付時等に個人番号をその内容に含む電子データが保存されていることを知らされていない場合であって、保守サービス中に個人番号をその内容に含む電子データが保存されていることが分かった場合であっても、個人番号の収集を防止するための措置が講じられている場合
・ 不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人番号をその内容に含む電子データを取り扱わないことが契約等で明確であり、取扱いを防止するためのアクセス制御等の
措置が講じられている場合
・ 不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人番号をその内容に含む電子データを再現しないこと等が契約等で明確であり、再現等を防止するための措置が講じられている場合
・ 個人番号をその内容に含む電子データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該電子データを取り扱わないことが契約等で明確であり、取扱いを防止するためのアクセス制御等の措置が講じられている場合
なお、個人番号関係事務又は個人番号利用事務の委託に該当しない保守サービスの場合は、従来の個人情報又は営業秘密等が保存されている情報システムの保守サービスにおける安全管理措置の考え方と同様と考えられます。
個人番号関係事務又は個人番号利用事務の一部の委託に該当する保守サービスであってを提供する事業者が、保守のため記録媒体等を持ち帰ることが想定される場合は、あらかじめ特定個人情報の保管を委託し、安全管理措置を確認する必要があります。
(平成 28 年6月更新)
(更新理由)
特定個人情報を取り扱う情報システムの保守サービスの典型的な例を追加しました。

★無料少人数セミナー「本当にやらなければならないマイナンバー対策」7月27日を開催します。中小事業者は、これから準備される方が大半です。是非ご参加下さい。
詳細は、こちらをご覧ください。

★当事務所では、マイナンバー制度を導入した事業者を対象に、マイナンバー対策が十分か無料診断するサービスを開始致しました。
セミナーに参加したり、書籍を読んで導入してみたものの、自信がない、確認したい事業者にピッタリです。まずは、ご相談ください。
「マイナンバー対策無料診断」の詳細は、こちらをご覧ください。

★いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。