１．「事務取扱担当者の明確化」は、役割や所属等による明確化のように個人名による明確化でなくてもよいか。
→部署名（○○課、○○係等）、事務名（○○事務担当者）等により、担当者が明確になれば十分であると考えられる。ただし、部署名等により事務取扱担当者の範囲が明確化できない場合には、事務取扱担当者を指名する等を行う必要がある。

２．事務取扱担当者には、特定個人情報等を取り扱う事務に従事する全ての者が該当するか。
→事務取扱担当者は、一般的には、個人番号の取得から廃棄までの事務に従事する全ての者が該当する。
ただし、事務取扱担当者に該当するか否かを判断することも重要であるが、当該事務のリスクを適切に検討し、必要かつ適切な安全管理措置を講ずることが重要である。例えば、担う役割に応じて、定期的に発生する事務や中心となる事務を担当する者に対して講ずる安全管理措置と、書類を移送するなど補助的に一部の事務を行う者に対して講ずる安全管理措置とが異なってくることは十分に考えられる。
なお、社内管理上、定期的に発生する事務や中心となる事務を担当する者のみを事務取扱担当者と位置付けることも考えられるが、特定個人情報等の取扱いに関わる事務フロー全体として漏れのない必要かつ適切な安全管理措置を講ずることが重要である。（平成27年8月追加）

1.「中小規模事業者」の定義における従業員には誰を含むか。また、いつの従業員の数か。
→従業員とは、中小企業基本法における従業員をいい、労働基準法第20条の規定により解雇の予告を必要とする労働者と解される。なお、同法第21条の規定により第20条の適用が除外されている者は従業員から除かれる。具体的には、日々雇い入れられる者、２か月以内の期間を定めて使用される者等が除かれる。
中小規模事業者の判定における従業員の数は、事業年度末（事業年度が無い場合には年末等）の従業員の数で判定し、毎年同時期に見直しを行う必要がある。

２．中小規模事業者でない事業者が、中小規模事業者に業務を委託する場合、当該中小規模事業者には【中小規模事業者における対応方法】を遵守させることになるのですか。
→委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者は、中小規模事業者に該当しない。委託先における安全管理措置については、委託する事務の内容等に応じて、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行う必要がある。

３．標的型メール攻撃等による特定個人情報の漏えい等の被害を防止するために、安全管理措置に関して、どのような点に注意すればよいか。
→情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し適切に運用する等のガイドラインの遵守に加え、次のような安全管理措置を講ずることが考えられる。
・　不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み（ネットワークの遮断等）を導入し、適切に運用する。
・　特定個人情報ファイルを端末に保存する必要がある場合、パスワードの設定又は暗号化により秘匿する（データの暗号化又はパスワードによる保護に当たっては、不正に入手した者が容易に解読できないように、暗号鍵及びパスワードの運用管理、パスワードに用いる文字の種類や桁数等の要素を考慮する。）。
・　情報漏えい等の事案の発生又は兆候を把握した場合の迅速な情報連絡体制についての確認・訓練を行う。
また、独立行政法人情報処理推進機構（ＩＰＡ）等がホームページで公表しているセキュリティ対策等を参考にすることも考えられる。（平成27年8月追加）

１．既に個人情報の取扱いに係る基本方針を策定している場合、新たに特定個人情報等に係る基本方針を策定する必要があるか。それとも、既存の個人情報の取扱いに係る基本方針の一部改正で十分か。
→特定個人情報等の取扱いに係る基本方針は、既存の個人情報の取扱いに関する基本方針（個人情報保護方針等）を改正する方法又は別に策定する方法いずれでも差し支えない。

２．基本方針を公表する必要があるか。
→基本方針の公表を義務付けるものではない。

１．新たに特定個人情報の保護に係る取扱規程等を作成するのではなく、既存の個人情報の保護に係る取扱規定等を見直し、特定個人情報の取扱いを追記する形でもよいか。
→既存の個人情報の保護に係る取扱規程等がある場合には、特定個人情報の取扱いを追記することも可能と考えられる。

 ２．中小規模事業者も取扱規程等を策定しなければならないか。
→中小規模事業者においては、必ずしも取扱規程等の策定が義務付けられているものではなく、特定個人情報等の取扱方法や責任者・事務取扱担当者が明確になっていれば足りる。明確化の方法については、口頭で明確化する方法のほか、業務マニュアル、業務フロー図、チェックリスト等に特定個人情報等の取扱いを加えるなどの方法も考えられる。（平成27年8月追加）

１．「取扱状況の分かる記録を保存する」とは、どのように考えることが適切か。
→例えば、以下の方法が考えられる。
・業務日誌等において、例えば、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日等の、特定個人情報等の取扱い状況を記録する。
・取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。

２．「外部の主体による他の監査活動と合わせて、監査を実施することも考えられる。」とは、具体的にどのようなことか。
→例えば、個人情報保護又は情報セキュリティに関する外部監査等を行う際に、特定個人情報等の保護に関する監査を合わせて行うこと等が考えられる。

１．「ａ　特定個人情報等を取り扱う区域の管理」における「座席配置の工夫」とは、具体的にどのような手段が考えられるか。
→例えば、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等が考えられる。

１－２．事務取扱担当者が、顧客先等から特定個人情報等を持ち帰る場合に留意すべき事項はあるか。
→特定個人情報等を持ち帰る場合についても、当然に漏えい等を防止するために物理的安全管理措置を講ずる必要がある。（平成27年4月追加）

１－３．「ａ　特定個人情報等を取り扱う区域の管理」における「管理区域」及び「取扱区域」を明確にし物理的な安全管理措置を講ずるに当たって、区域ごとに全て同じ安全管理措置を講ずる必要があるか。
→各区域で同じ安全管理措置を講ずる必要はなく、区域によっては取り扱う特定個人情報の量、利用頻度、使用する事務機器や環境等により、講ずべき物理的安全管理措置が異なると考えられるので、例えば、管理区域については厳格に入退室を管理し、取扱区域については間仕切りの設置や座席配置の工夫を行うなど、それぞれの区域に応じた適切な安全管理措置を講ずる。（平成27年8月追加）

１－４．「ａ　特定個人情報等を取り扱う区域の管理」及び「ｂ　機器及び電子媒体等の盗難等の防止」について、従業員数人程度の事業者における手法の例示。
→一つの事務室で事務を行っている場合を想定すると、例えば、来客スペースから特定個人情報等に係る書類やパソコンの画面が見えないよう各種の工夫をすることが考えられる。盗難防止については、留守にする際には確実にドアに施錠をする、特定個人情報等を取り扱う機器、電子媒体や個人番号が記載された書類等は、施錠できるキャビネット、引出等に収納し、使用しないときには施錠しておくなど盗まれないように保管することは、他の重要な書類等と同様。（平成27年8月追加）

２．「ｄ　個人番号の削除、機器及び電子媒体等の廃棄」における「容易に復元できない手段」とは、具体的にどのような手段が考えられるか。

→データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない場合には、容易に復元できない方法と考えられる。

３．「ｄ　個人番号の削除、機器及び電子媒体等の廃棄」における書類等の廃棄に係る復元不可能な手段として焼却又は溶解が挙げられているが、他の手段は認められるか。
→例えば、復元不可能な程度に細断可能なシュレッダーの利用又は個人番号部分を復元できない程度にマスキングすること等が考えられる。

マイナンバー制度Ｑ＆Ａ（戻る）