マイナンバー制度対応準備その1 ―特定個人情報の取り扱い手順の確立：みならい君のマイナンバー制度対応物語（3）（2/3 ページ）

[打川和男，＠IT]

「利用」に関する個人番号取り扱い手順

次は特定個人情報の利用に関する取り扱い手順ですね？

そうだね、特定個人情報の利用に関する基本要件を整理してくれるかな？

はい、（1）目的外利用を防止するための手順、（2）個人番号の管理を行うための手順、（3）特定個人情報ファイルの適正な取り扱いのための手順、の三つが重要なポイントになると思います。

目的外利用の防止は、個人番号関係事務でしか利用できない旨の周知徹底や、安全管理策との組み合わせで行うことだと、なんとなく理解できるんですけど、個人番号の管理を行うための手順とはどういうことですか？

前回のミーティングであったように、「『個人番号』には、個人番号に対応して当該個人番号に代わって用いられる番号等も含まれる」のよ。社員がそのような個人番号のひも付けを恣意（しい）的に行わないようにするための制限事項も、この「特定個人情報の利用に関する取り扱い手順」に含まれるべきだと思うわ！

なるほど〜！

図3　利用に関する特定個人情報取り扱い規程の例（イメージ）

「委託」に関する個人番号取り扱い手順

次は特定個人情報の委託に関する取り扱い手順ですね？

うん、特定個人情報の委託に関する基本要件を整理してくれるかな？

はい、（1）委託先の評価・選定基準、（2）委託先との契約を行うための手順、（3）委託先の管理（再委託先の管理を含む）に関する手順、の三つが重要なポイントになると思います。

委託先の評価・選定基準は、どのようなものが必要なんだろう？

これも前回のミーティングであったように、「個人番号関係事務の全部または一部の委託をする場合は、番号法に基づき自社が本来果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない」としているわ！

そうすると、その委託する業務を自社で行う場合に実施すべき情報セキュリティ対策が講じられているかを評価すれば良いんですね？

そうだね、安全管理策の整備については、次回のミーティングで明確にしよう！

は〜い！

図4　委託に関する特定個人情報取り扱い規程の例（イメージ）