個人情報保護委員会は、平成31年度 個人情報保護委員会活動方針を発表しました。
皆さんに関係がある部分を抜粋対しますので、ご覧ください。
Ⅰ.平成 30 年度における委員会の取組
<個人情報保護法関係>
(1)個人情報保護法に基づく取組
① 基本方針の改正
個人情報保護法第7条の規定に基づき、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、政府が定めることとされている「個人情報の保護に関する基本方針」(平成 16 年4月2日閣議決定)について、近年の個人データの流通の国際化や情報セキュリティ対策の重要性等を踏まえ、
①国際的な整合性への対応、②個人データに対する不正アクセス等への対応、③グローバルな視点での監督について追加する等の変更を行い、平成 30 年6月 12 日に閣議決定された。
② ガイドライン等の改正
委員会が定めた「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」について、問合せが多い事項について追加等を行う改正を平成 30 年7月 20日に行った。 また、個人情報保護法相談ダイヤルに寄せられた問合せ内容や事業者から寄せられた質問等も踏まえ、解釈の明確化等を図ることが望ましい箇所について記載の追記等を行うために、平成 30 年 12 月 25 日に「個人情報の保護に関する法律に
ついてのガイドライン(通則編)」(平成 28 年個人情報保護委員会告示第6号)の改正を行った。具体的には、第三者提供制限の第三者に該当しない場合、保有個人データの開示及び開示等の請求等に応じる手続、安全管理措置等に関して、記載の
追加等を行った。また、同日に関係するQ&Aの改正も併せて行った。
<マイナンバー法関係>
(1)マイナンバー法に基づく監視・監督等
① 監視・監督
特定個人情報の漏えい事案等について、行政機関等、地方公共団体等及び事業者から報告を受けており、当該報告を踏まえ、再発防止策等の確認を行うとともに、同種の事態が起きないよう指導・助言を行っている。
また、行政機関等に対して、マイナンバー法第 29 条の3の規定及び「特定個人情報の取扱いの状況に係る行政機関等に対する定期的な検査に関する規則」(平成 28 年個人情報保護委員会規則第2号。以下「定期的な検査に関する規則」
という。)に基づく定期的な検査のほか、随時に検査を行い、地方公共団体等に対しては、規模、過去の検査状況等を勘案の上、選択的に検査を実施するとともに、検査項目を絞った検査(以下「レビュー検査」という。)を活用するなどしている。そして、これら立入検査を実施した機関等に対して、指摘した事項について改善を求めた。
さらに、情報提供ネットワークシステムにおいて、行政機関及び地方公共団体等の職員による不正な利用がないか確認するため、監視・監督システムを用いて情報連携される情報提供等記録を取得、分析している。
そのほか、マイナンバー法第 29 条の3の規定及び「特定個人情報の取扱いの状況に係る地方公共団体等による定期的な報告に関する規則」(平成 28 年個人情報保護委員会規則第4号。以下「定期的な報告に関する規則」という。)に基づ
き、特定個人情報ファイルを保有する地方公共団体等から、当該特定個人情報ファイルに記録された特定個人情報の取扱いの状況について報告を受けている。そして、当該報告結果等を踏まえ、安全管理措置の状況を確認・改善するためのセミナー(以下「特定個人情報安全管理措置セミナー」という。)等の取組を実施した。
Ⅱ.平成 31 年度における委員会の取組
1.基本的な考え方
<個人情報保護法関係>
(1)個人情報を取り巻く新たな課題への対応(いわゆる3年ごと見直しに係る検討)
1.(2)に記載のとおり、平成 27 年改正法附則第 12 条において、法施行後3年ごとに、法の施行状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとされていること及び法施行後3年を目途として、委員会の所掌事務について、これを実効的に行うために必要な人的体制の整備等を勘案し、その改善について検討を加え、必要があると認めるときはその結果に基づいて所要の措置を講ずるものとされている。
これを踏まえ、タウンミーティングや個人情報保護法相談ダイヤルに寄せられる消費者等の声を踏まえつつ、経済界や学識経験者等の幅広いステークホルダーの意見を聴きながら、必要な措置について検討を行う。
(2)監督活動
個人情報等の適正な取扱いを確保するため、個人情報保護法相談窓口に寄せられる情報、個人データの漏えい等の事案に関する報告等、多様な情報源から得られる情報を総合的に活用し、事業者に対して指導・助言を行うほか、必要に応じて報告徴収、立入検査を行うこととする。具体的には以下のような取組みを実施する。
漏えい等事案の報告受付管理システムの導入により、漏えい等事案の早期かつ的確な把握が可能となったことから、事業者における漏えいの影響の拡大又は二次被害の発生を防止するための助言等、初動対応の充実に取り組む。
また、漏えい等事案に関する報告をはじめ、様々な情報源から得られた情報を精査し、個人情報等の取扱いについて国民に広く発信すべき情報については、委員会ウェブサイトを通じてタイムリーな情報発信を行う。
いわゆる名簿屋について、届出済の事業者に対しては、確認・記録義務の履行に関し臨場してその履行状況を確認し、必要に応じ指導等を行い、未届の事業者に関しては、引き続き調査を実施し、届出を行うよう指導していく。
<マイナンバー法関係>
(1)監視・監督活動
① 監督
特定個人情報の適正な取扱いを確保するため、特定個人情報保護評価書、苦情あっせん相談窓口等に寄せられる情報、漏えい等に関する報告等の情報を総合的に活用し、各機関に対して、マイナンバー法に基づく指導・助言、報告徴収・立入検査等を行うこととする。具体的には以下のとおりである。
特定個人情報の漏えい事案等について、行政機関等、地方公共団体等及び事業者から報告を受け、当該報告を踏まえ、再発防止策等の確認を行うとともに、同種の事態が起きないよう指導・助言等を行うこととする。
また、行政機関等に対しては、マイナンバー法第 29 条の3の規定及び定期的な検査に関する規則に基づき、行政機関等が保有する特定個人情報ファイル(個人番号関係事務に係るものなどを除く。)に記録された特定個人情報の取扱状況について、定期的な検査を実施することとする。地方公共団体等に対しては、規模、過去の検査状況等を勘案の上、検査先を選定することとする。加えて、地方公共団体等の検査に当たっては、検査対象数が多いことから、レビュー検査を活用するなど、効果的かつ効率的に検査を実施する。特に、平成 31年度までに各都道府県において、レビュー検査又は特定個人情報安全管理措置
セミナーのいずれかを実施するなど、面的な展開を一巡させる。 さらに、マイナンバー法第 29 条の3の規定及び定期的な報告に関する規則に基づき、地方公共団体等に対し、特定個人情報の取扱いの状況について、報告を求めることとする。
② 監視
情報提供ネットワークシステムを使用した特定個人情報の情報連携について、監視・監督システムにより、不正な情報連携が行われていないか監視を行うこととする。
また、同システムにおいて不正の兆候を検知する精度を高める手法について引き続き検討し、特定個人情報の漏えいや不適切な利用を効率的に発見できるよう、監視体制の強化に取り組むこととする。
<概要> こちらをご覧ください。
<詳細> こちらをご覧ください。
★個人情報保護法・マイナンバー制度運用のご相談は、どこよりも相談しやすい社会保険労務士事務所「KKパートナーズ」にご相談ください。
★社会保険・労働保険・給与計算のご相談は、どこよりも相談しやすい社会保険労務士事務所「KKパートナーズ」にご相談下さい。