一般社団法人日本個人情報安全協会

よくある質問

よくある質問

  • 漏えい事故に関するご質問

    漏えい等事案が発覚した場合に講ずべき措置の「事業者内部における報告及び被害の拡大防止」にある「責任ある立場の者」とは、どういう役職を想定していますか。
    「責任ある立場の者」の役職は限定されていませんが、あらかじめ、取扱規定等により、漏えい等事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要です。
    漏えい等事案が発覚した場合に講ずべき措置の「事業内部における報告及び被害の拡大防止」にある「漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる」とは、具体的には、どのような対応をとることが考えられますか。
    例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のLANケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと等が考えられます。
    漏えい等事案が発覚した場合に講ずべき措置の「影響範囲の特定」にある「把握した事案関係による影響の範囲を特定する」とはどういうことですか。
    事案の内容によりますが、例えば、個人データの漏えいの場合は、漏えいした個人データに係る本人の数、漏えいした個人データの内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられます。
    漏えい等事案が発覚した場合に講ずべき措置の「影響を受ける可能性のある本人への連絡等」にある「本人が容易に知り得る状態に置く」とは、どういうことですか。
    本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応などが考えられます。
    漏えい等事案が発覚した場合に講ずべき措置の「影響を受ける可能性のある本人への連絡等」及び「事実関係及び再発防止策等の公表」について、「漏えい等事案の内容等に応じて」とされていますが、どのような場合に本人への連絡等や公表をしなくてもよいのですか。
    例えば、漏えい等事案に係る個人データ又は加工方法等情報について、第三者に閲覧されることなく速やかに回収した場合、高度な暗号化等の秘匿化がされている場合、漏えい等をした事業者以外では特定の個人を識別することができない場合であって本人に被害が生じるおそれがない場合など、漏えい等事案によって本人の権利利益が侵害されておらず、二次被害の防止の観点からも必要はないと認められる場合等には、本人への連絡等や公表を省略することも考えられます。なお、公表については、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合にはこれを差し替え、専門機関等に影響を受ける可能性ある本人全てに連絡がついた場合に公表を省略することも考えられます。
    実質的に個人データ又は加工方法等が外部に漏えいしていないと判断される場合に該当する「漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合」とは、どのような場合が該当しますか。
    実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合のうち、「高度な暗号化等の秘匿化がされている場合」に該当するためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等事案に係る情報について、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されます。第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。また、暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されているといえるためには、①暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること、又は③第三者が復号鍵を行使できないように設計されていることのいずれかの要件を満たすことが必要と解されます。
    取引先に荷物を送付するに当たり、誤って宛名票を二重に貼付してしまい、本来の送付先とは無関係の第三者の宛名情報が漏えいした場合も、「FAX若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合」に該当し得ますか。
    御指摘の場合も、誤って貼付した宛名票において、宛先及び送信者名以外に個人データ又は加工方法等情報が含まれていないのであれば、「FAX若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合」に該当すると考えられます。

  • マイナンバーに関するご質問

    個人番号提供者が個人番号の提出を拒んだ場合
    個人番号の提出は任意ではありませんので、個人的な考えで提出の拒否はできません。提供の趣旨を説明しても提出を拒否する場合は書類の提出先機関に相談して指示を受けることができます。
    本人 配偶者 扶養親族、確認の方法
    従業員が扶養控除等申請書を記載して持参した場合は会社は配偶者や扶養親族本人の確認を行う必要はありませんが、本人が持参の場合でも個人番号12ケタの記入間違いを防ぐために個人番号のコピー等で整合性をとるとよいでしょう。ただし記録としてのコピーの保管期間 廃棄方法は明確にしておきましょう。
    従業員が個人的に源泉徴収票の再発行の依頼があった場合の個人番号が記載された源泉徴収票の対応は?
    個人番号は目的外に入力する事は禁止ですからこの場合は個人番号部分を復元できない程度に必ずマスキングして本人に再発行してください。
    個人番号を利用する場合利用目的はどこまで限定すればよいのか?

    個人番号の利用目的は出来るだけ具体的に特定しなければなりません。
    例えば給与所得・退職所得の源泉徴収票作成事務に使用と提示した場合は、健康保険・厚生年金保険届出事務には個人番号は使用できません。

    不動産の賃貸借契約を妥結した際に支払い事務の為に提供を受けた個人番号は、更新の度、個人番号の提供を受けなければならないか?
    賃貸借契約の場合は賃料に関する支払い調書作成事務の為に利用できます。
    個人番号の提供を12月31日までに必ず取得しなければならないのでしょうか?
    個人番号が記載された書類は行政機関等に提出する時までに取得できれば問題ありません。
    個人番号の本人確認は少人数の企業でも個人番号カードや免許証の提示が必要ですか?
    確認は原則番号の正誤と正しい持ち主(身元確認)の2点が確認できればかまいませんので、少人数で本人の確認ができるのであれば、番号の正誤確認だけでも構いません。
    従業員の扶養家族の個人番号を取得する場合扶養家族の本人確認をしなくてはならないでしょうか?
    国民年金の第三号被保険者の届出では、事業主が当該配偶者の本人確認が必要です。(個人番号・通知カードと免許証等のコピー)年末調整等では従業員が扶養家族の本人確認をおこないますので事業者は本人確認は不要です。
    子会社等出向・転籍先に本人の同意があれば個人番号を提供しても良いですか?
    原則提供は禁止です。出向先・転籍先で直接本人に提供して貰ってください。
    本人確認は、マイナンバー(個人番号)の提供を受ける都度行わなければならないのですか?
    提供を受ける都度に本人確認を行う必要があります。たえば個人番号を記載した扶養控除等申告書を毎年提出してもらう場合、本人確認・個人番号確認も毎回行う必要がありますが2回目以降の番号確認は個人番号カード等の提出が難しい場合は、初回に本人確認を行って提供を受けた個人番号の記録と照合する方法で構いませんし身元確認においては、個人番号関係事務実施者が本人に相違ないと認める時は、身元確認のための書類の提示は必要ありません。
    会員登録時今後個人番号カードで身元確認をしようとおもいますが何か注意点はありますか?
    今後個人番号カードを身元確認で提供を求めることは問題ありませんがその際コピー等をとる場合は、個人番号カード裏面の12桁の個人番号の保管は原則禁止ですのでコピー等が必要な場合は本人の写真面のみにしてください。
    支払いが毎月発生するが当社としては、請求書から支払いを行っているが支払い調書は特別出していませんが個人番号の提供を受け管理しなければならないですか?
    源泉徴収等個人番号を記入する業務が存在しなければ個人番号の提供を受ける必要はありません。
    不要となった個人番号が記載された書類の取り扱いはどうすれば?
    個人番号や特定個人情報の保管期間を明確にさだめ、その定めに従って削除・廃棄を行います。
    退職者より自分の個人番号を廃棄して欲しいとの依頼が来た
    個人番号記載書類で法令上定めは法令に従った保管が義務つけられています。したがって退職者には一定期間の保管の必要性があることを説明してください。
    従業員の個人番号が記載された書類を人事部から営業部長の求めで提出した
    個人番号を含む特定個人情報が部門間で動くとは考え難いですが、番号の部分は同一社内であっても復元できないように必ずマスキングして提出してください。
    パート社員から個人番号を源泉徴収票作成を利用目的として提供を受けたがパートから正社員に成ったので社会保険に加入した場合個人番号の取扱いは?
    当初の利用目的を超えて特定個人情報を使う事はできませんので利用目的の変更をして本人へ通知または公表してから事務を行ってください。
    支払い先から個人番号の提供を受けましたが支払い調書の提出までにはならなかった場合は?
    支払い調書等個人番号関係事務が発生しない場合は速やかに廃棄・削除してください。
    個人事業主に支払い先(本人)の個人番号が記載された支払い調書を本人に交付しても良いのでしょうか?
    個人事業主に個人番号の記載された支払い調書を交付することは特定個人情報の提供制限があり個人番号記載の支払い調書を発行できませんので個人番号を(消去する等)記載しない等の処理の後、発行してください。(個人事業主が税務署に届ける場合を除く)
    個人番号が漏えいして不正に用いられる恐れがある時、個人番号の変更が認められますが、事業者は個人番号の変更をどのように知るのですか?
    個人番号が変更になった際は、事業者に報告するように従業員に周知しておくとともに毎年申告書等で個人番号を受ける機会定期的に変更の有無を確認してください。
    法人番号はいつどのように通知されますか?
    平成27年10月以降個人番号で用いられる通知カードではなく別途書面により通知されます。
    法人番号はどこに通知されますか?
    設立登記法人であれば登記されてる所在地に設立登記法人以外の法人等は届出書に記載されている住所に通知されます。
    法人番号の利用範囲の個人番号の利用範囲でも同じですか?
    法人番号自体は個人番号と異なり利用範囲の制約はありませんので自由に利用できます。
PAGE TOP