個人情報を取り扱う事業者に大きく関わる法律としては、個人情報保護法のほかにも番号法が挙げられます。
また、JAPHICマークの取得事業者は、番号法によって定められた個人番号に関するルールを遵守しなければいけません。
今回は、こちらのルールの内容やポイントについて解説したいと思います。
個人番号の利用制限について
JAPHICマークの取得事業者は、個人番号(マイナンバー)を利用する場合、その範囲を社会保障、税および災害対策に関する特定の事務に限定しなければいけません。
こちらの用途以外で使用することは、たとえ本人の同意があったとしても、原則許可されません。
また、個人番号の利用目的については、本人がどのような目的で利用されるのかについて、一般的かつ合理的に予想できる程度に、そして具体的に特定する必要があります。
ちなみに、当初の利用目的からその内容を変更する場合は、関連性があると合理的に認められる範囲内であれば、変更することが可能です。
ただし、そのときには必ず本人への通知を行わなければいけません。
個人番号関係事務の委託について
JAPHICマークの取得事業者は、個人データと同じく、個人番号に関係する事務の全部または一部を第三者に委託することができます。
このとき、委託先の安全管理措置については、委託元である事業者が本来果たさなければいけない内容と同様になっているかどうか、監督しなければいけません。
また、委託先を選定する際は、あらかじめ適切な安全管理措置が講じられているかについて、確認しておくことが大切です。
具体的には、安全管理に関する設備や技術のレベル、従業員に対する監督や教育の状況などをチェックし、適切と判断できる事業者に委託しなければいけません。
そして、委託先と締結する契約内容には、秘密保持義務や、個人番号の持ち出しの禁止、目的外利用の禁止、漏えい等が発生したときの責任などについて明確に盛り込み、個人番号の本人を保護することが求められます。
ちなみに、委託先において、個人番号の情報を取り扱う従業員についても、明確にしておく必要があります。
個人番号関係事務の再委託について
JAPHICマークの取得事業者が取り扱う個人番号について、関連業務を委託された事業者が、新たに別の事業者にこちらの業務を委託する場合があります。
このような再委託では、最初の委託元であるJAPHICマークの取得事業者に対し、委託先からの申請が必要です。
もし、最初の委託元の許可なく、委託先の事業者が再委託を行った場合、番号法のガイドラインに反することになります。
また、こちらは再々委託においても同じことが言えます。
委託が何度重ねて行われていようとも、最初の委託元の許可は必要であり、委託元のJAPHICマーク取得事業者は、それぞれの事業者について、間接的に監督することが求められます。
個人番号の保管制限について
JAPHICマークの取得事業者は、本人から預かった個人番号について、特定の事務を除く収集や保管が認められていません。
また、社会保障や税および災害対策に関する事務処理をする必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、当該個人番号を可能な限り早く廃棄または削除することが求められます。
つまり、正当な理由なく、不必要な個人番号を収集したり、保管し続けたりしてはいけないということです。
まとめ
ここまで、JAPHICマークの取得事業者が遵守すべき、個人番号に関するルールについて解説しましたが、いかがでしたでしょうか?
JAPHICマークを取得すれば、取引先や顧客の信頼性は大きく上昇し、業務にも良い影響をもたらします。
その代わりに、JAPHICマーク取得事業者として、前述したような細かいルールを把握、遵守し、取得後も更新に向けて、堅固な個人情報保護体制を維持し続ける必要があります。