2016年06月29日
マイナンバー コンサルタント 浜松|パソコン修理などは委託にあたらないようです
カテゴリー │マイナンバー
こんにちは、マイナンバープロジェクト事務局です。
個人情報保護委員会より、
マイナンバーを扱う事務の委託の取り扱いを定めた
企業向けのガイドラインのQ&A(回答)が更新され、
パソコンの修理など
ハードウエアやソフトウエアの保守サービスのみを行う場合で、
個人番号関係事務の委託に当たらない典型例が追加されました。
この件で、
パソコンの修理を受け付けないとするPCメーカーの
修理規定の根拠にされているという指摘や、
過剰反応だという指摘が出ていたことを受けた措置のようです。
※ 更新箇所は、赤字(追加した部分には下線・削除した部分には取消線)で示しています。
Q3-14 特定個人情報を取り扱う情報システム(機器を含む。以下、この項において同じ。)の保守の全部又は一部に外部の事業者を活用している場合、番号法上の委託に該当しますか。また、外部の事業者が記録媒体等を持ち帰ることは、提供制限に違反しますか。
A3-14 当該保守サービスを提供する事業者(以下「保守サービス事業者」という。)がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には、個人番号関係事務又は個人番号利用事務の一部の委託に該当します。
〔典型的な例〕
・ 個人番号を用いて情報システムの不具合を再現させ検証する場合
・ 個人番号をキーワードとして情報を抽出する場合
一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人番号関係事務又は個人番号利用事務の委託に該当しません。
〔典型的な例〕
・ システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
・ 保守サービスの作業中に個人番号が閲覧可能となる場合であっても、個人番号の収集(画面上に表示された個人番号を書き取ること、プリントアウトすること等をいう。以下、この項において同じ。)を防止するための措置が講じられている場合
・ 保守サービスの受付時等に個人番号をその内容に含む電子データが保存されていることを知らされていない場合であって、保守サービス中に個人番号をその内容に含む電子データが保存されていることが分かった場合であっても、個人番号の収集を防止するための措置が講じられている場合
・ 不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人番号をその内容に含む電子データを取り扱わないことが契約等で明確であり、取扱いを防止するためのアクセス制御等の措置が講じられている場合
・ 不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人番号をその内容に含む電子データを再現しないこと等が契約等で明確であり、再現等を防止するための措置が講じられている場合
・ 個人番号をその内容に含む電子データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該電子データを取り扱わないことが契約等で明確であり、取扱いを防止するためのアクセス制御等の措置が講じられている場合
なお、個人番号関係事務又は個人番号利用事務の委託に該当しない保守サービスの場合は、従来の個人情報又は営業秘密等が保存されている情報システムの保守サービスにおける安全管理措置の考え方と同様と考えられます。
個人番号関係事務又は個人番号利用事務の一部の委託に該当する保守サービスであってを提供する事業者が、保守のために記録媒体等を持ち帰ることが想定される場合は、あらかじめ特定個人情報の保管を委託し、安全管理措置を確認する必要があります。
引用:個人情報保護委員会
http://www.ppc.go.jp/
基本的には、
依頼主側が防止策を施していなければならないようですので、
その為の対策を講じておく必要があります。
突然のパソコントラブルにはご注意ください。
弊社では 「マイナンバー対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部
個人情報保護委員会より、
マイナンバーを扱う事務の委託の取り扱いを定めた
企業向けのガイドラインのQ&A(回答)が更新され、
パソコンの修理など
ハードウエアやソフトウエアの保守サービスのみを行う場合で、
個人番号関係事務の委託に当たらない典型例が追加されました。
この件で、
パソコンの修理を受け付けないとするPCメーカーの
修理規定の根拠にされているという指摘や、
過剰反応だという指摘が出ていたことを受けた措置のようです。
※ 更新箇所は、赤字(追加した部分には下線・削除した部分には取消線)で示しています。
Q3-14 特定個人情報を取り扱う情報システム(機器を含む。以下、この項において同じ。)の保守の全部又は一部に外部の事業者を活用している場合、番号法上の委託に該当しますか。また、外部の事業者が記録媒体等を持ち帰ることは、提供制限に違反しますか。
A3-14 当該保守サービスを提供する事業者(以下「保守サービス事業者」という。)がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には、個人番号関係事務又は個人番号利用事務の一部の委託に該当します。
〔典型的な例〕
・ 個人番号を用いて情報システムの不具合を再現させ検証する場合
・ 個人番号をキーワードとして情報を抽出する場合
一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人番号関係事務又は個人番号利用事務の委託に該当しません。
〔典型的な例〕
・ システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
・ 保守サービスの作業中に個人番号が閲覧可能となる場合であっても、個人番号の収集(画面上に表示された個人番号を書き取ること、プリントアウトすること等をいう。以下、この項において同じ。)を防止するための措置が講じられている場合
・ 保守サービスの受付時等に個人番号をその内容に含む電子データが保存されていることを知らされていない場合であって、保守サービス中に個人番号をその内容に含む電子データが保存されていることが分かった場合であっても、個人番号の収集を防止するための措置が講じられている場合
・ 不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人番号をその内容に含む電子データを取り扱わないことが契約等で明確であり、取扱いを防止するためのアクセス制御等の措置が講じられている場合
・ 不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人番号をその内容に含む電子データを再現しないこと等が契約等で明確であり、再現等を防止するための措置が講じられている場合
・ 個人番号をその内容に含む電子データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該電子データを取り扱わないことが契約等で明確であり、取扱いを防止するためのアクセス制御等の措置が講じられている場合
なお、個人番号関係事務又は個人番号利用事務の委託に該当しない保守サービスの場合は、従来の個人情報又は営業秘密等が保存されている情報システムの保守サービスにおける安全管理措置の考え方と同様と考えられます。
個人番号関係事務又は個人番号利用事務の一部の委託に該当する保守サービスであって
引用:個人情報保護委員会
http://www.ppc.go.jp/
基本的には、
依頼主側が防止策を施していなければならないようですので、
その為の対策を講じておく必要があります。
突然のパソコントラブルにはご注意ください。
弊社では 「マイナンバー対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部