挿入方式?別冊方式?「特定個人情報取扱規定」の作り方

IT・IT製品TOP > Key Conductors > 塚田 秀俊(株式会社野村総合研究所) > 挿入方式?別冊方式?「特定個人情報取扱規定」の作り方
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

挿入方式?別冊方式?「特定個人情報取扱規定」の作り方

運用管理 2015/08/03

 特定個人情報ガイドラインと、そこで要請される「安全管理措置」について解説した前回に引き続き、今回は実際に「特定個人情報取扱規定」を作成するにあたり、考慮すべき点を解説していこうと思う。

 まず、ガイドラインでは「安全管理措置の構築手順」として、以下の5つのプロセスを規定している。

1.個人番号を取り扱う事務の範囲の明確化

2.特定個人情報等の範囲の明確化

3.事務取扱担当者の明確化

4.特定個人情報等の安全管理措置に関する基本方針の策定

5.取扱規程等の策定

 上記1〜3のプロセスを実施することで、各企業におけるマイナンバーを取扱うこととなる組織・体制・業務・システムを分析し現状把握を実施した上で、各企業の状況に適合した基本方針・取扱規定等を作成することが必要となる。
 1〜3のプロセスを実施する中で是非検討したいのは、マイナンバー取扱事務を、1)「現状の組織体制の中で行うのか」それとも、2)「専担部署を設置して行うのか」3)「業務委託とするのか」である。この方針を決めてから1〜3のプロセスを実施すると効率よく現状把握を行うことができる(下図参考)。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 次に4及び5のプロセスを実施することとなる。まず、既存の個人情報取扱規定との関係を整理する必要がある。個人情報取扱基本方針・規定に特定個人情報の取扱いに関する規定を挿入するのか、別に特定個人情報専用の基本方針・規定を作成するのかということである。
筆者も昨年10月より法律事務所とともに“挿入方式”か“別冊方式”かを検討したが、現在の結論は“別冊方式”である。挿入方式を採用した場合、マイナンバーに関する但し書きや例外規定が多発し、わかりやすさの点で劣ると判断した。

 次に作成すべき基本方針・取扱規定の位置付けの整理である。ガイドラインには、少なくとも「基本方針」と「取扱規定」を作成することを要請している。筆者の検討結果としては図のように3階層に分割した規程類の整備がよいと感じた。

規定階層図

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

規定階層図

 第一階層(基本方針)は対外公表用文書の位置付け、第二階層(取扱規定)はガイドライン要請事項に関する当社における考え方を規定する位置付け、第三階層(実務指針)はマイナンバー取扱いに関する業務マニュアルの位置付けだ。このような階層分割することで規程類のメンテナンスが効率的に行えると判断した。

 以上、今回は「特定個人情報取扱規定」の作成にあたって考慮すべき点を整理した。次回は上図で示した「第三階層」にあたる「実務指針」には、どのような考えのもと何を記載すべきか、を解説したい。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008064


IT・IT製品TOP > Key Conductors > 塚田 秀俊(株式会社野村総合研究所) > 挿入方式?別冊方式?「特定個人情報取扱規定」の作り方

このページの先頭へ

キーマンズネットとは
東洋信託銀行から2008年野村総合研究所に入社、金融機関向け企画営業、金融機関向けIERS導入支援に従事。現在野村総合研究所新事業企画室・制度戦略研究室を兼務。上級研究員。2013年よりマイナンバー制度研究に従事し、実務対応を研究。マイナンバー制度各種団体向け、企業向けセミナーを多数実施。研修教材の執筆・監修を手掛ける。

ページトップへ