- B社から管理を引き継ぎ、その時に家主の個人番号もB社から取得した。
→上記の取得方法は認められるか?
-
個人番号の取得方法が適切ではない。
・番号法:第19条(特定個人情報の提供の制限)
・番号法:第20条(収集等の制限)
異なる組織(法人等)に特定個人情報を渡すのは提供に当たり、番号法第19条に定める場合を除き認められていません。よってB社は提供の制限に違反して提供したことに、また、受け取った側は第20条収集等の制限を超えた収集をしたことになります。これは例え家主本人の同意があっても認められないため、このケースではB社から個人番号を受け取ってはならず、本人と対面し、個人番号取得の目的を明示した後に、マイナンバーカード、もしくは通知カード+運転免許証やパスポート等の他の確認方法により本人であることを確認し、直接取得する必要があります。
- マイナンバー導入を機にシステムを改造し、個人番号をキーとした顧客管理システムを運用している。
→上記運用は正しいか?
-
特定個人情報ファイルの作成制限を超えている。
・番号法:第28条(特定個人情報ファイルの作成の制限)
顧客管理を目的として個人番号を利用することは番号法では認められていません。このような利用が無いよう組織として従業員の教育を徹底する必要があります。
- 個人番号はユニークであるため、家主毎の過去の家賃支払い集計や検索のキーとして利用している。
→上記運用は正しいか?
-
利用目的が適切ではない。
・番号法:第9条(利用範囲)
個人番号を利用した統計処理は認められていません。このような利用がないよう、組織として教育・監視を徹底する必要があります。
- 営業部門からサブリース契約物件の家主の個人番号の照会があったので教えた。
→上記対応は正しいか?
-
個人番号の移転が適切ではない。
・番号法:第9条(利用範囲)
営業部門は個人番号取扱事務担当者ではなく、家主の個人番号を取得する目的が番号法に定められる範囲ではありませんので、個人番号取扱事務担当者以外に個人番号を移転してはなりません。
- 情報システムのトラブルにより、家主の個人番号が一時的に照会できない状態となった。
→上記運用のどこが問題だったか?
-
安全管理措置の運用が適切でない。
・番号法:33条(個人情報取扱事業者でない個人番号取扱事業者が保有する特定個人情報の保護)
安全管理措置は、特定個人情報の漏えいだけでなく、滅失又は毀損の防止のために講ずることも要求しています。個人番号取扱関係事務に支障のない範囲での特定個人情報の可用性確保が必要です。
- eLTAXでの支払調書情報を営業担当も閲覧できるようにしている。
→上記運用は正しいか?
-
安全管理措置は講じられているが、漏えいリスクは高い。
・番号法:第12条(個人番号利用事務実施者等の責務)
・ガイドライン(事業者編):2Fa アクセス制御
閲覧対象を個人番号取扱事務担当者(支払調書作成者)に限定していないため漏えいリスクが高くなります。個人番号取扱事務担当者のみが閲覧可能なようアクセス制限の見直しについて検討の余地があります。
- 会社の情報システムで、番号法に定められる利用目的以外の用途で家主のマイナンバーを利用していた。
→どのような処分となるか?防止策は?
-
立件され、有罪と判決されれば、会社が2年以下の懲役、または50万円以下の罰金。
情報システム構築、もしくは業務設計において、個人番号の利用が番号法に定める目的の範囲であるか否かをチェックするプロセスを明確化する必要があります。
- 家主の個人番号を、個人番号取扱事務以外の目的で利用していながら、特定個人情報保護委員会からの問い合わせに対して個人番号取扱事務でのみしか個人番号を取扱っていないと回答した。
→どのような処分となるか?防止策は?
-
立件され、有罪と判決されれば、虚偽の回答をした者が1年以下の懲役、または50万円以下の罰金。
組織として個人番号の利用を完全に把握する手順、監視方法を明確化して運用する必要があります。また、外部の問い合わせに対して虚偽の回答がないよう、コンプライアンス体制の確立も重要です。
- 社内ネットワークに外部から不正に侵入され、家主の個人番号を含む特定個人情報が漏えいした可能性が高いが、確証がなかったため特定個人情報保護委員会には報告しなかった。
→どのような処分となるか?防止策は?
-
立件され、有罪と判決されれば、虚偽の回答をした者が1年以下の懲役、または50万円以下の罰金。
・ガイドライン:2Cd(情報漏えい等事案に対する体制の整備)
特定個人情報の情報漏えい事案については、発生または兆候を把握した場合に迅速に公表・報告する義務があり、報告の対象、方法を明確化し、徹底する必要があります。
- 人事部門、経理部門、営業部門、管理部門など様々な部門があるが、絞っていきたい。実効性ある方法はあるか。
-
番号法では、マイナンバーを取扱う業務に従事する者を「個人番号関係事務実施者」として特定し、教育・訓練、作業監視を行うことを事業者に義務付けています。
事業の形態、規模によって体制は異なりますが、マイナンバーの取得~保管~支払調書作成~提出~廃棄といった一連のマイナンバー関係業務プロセスに従事し、実際にマイナンバーに触れる者すべてを「個人番号関係事務実施者」として特定する必要があります。現在の業務プロセスだと対象者が多数になる場合は、業務プロセスそのものの見直し、一連のマイナンバー取扱い関係者を集約する等の改善が望まれます。
- 委託先を選定する際には、業務委託契約を結ぶことになると考えられるが、その際の注意点はチェックポイントとして挙げられないか。
これだけの基準があることが望ましいなど(Pマーク、ISMSなど)の具体的な認証基準はあるか。
-
-
家主から直接マイナンバーカードに記載されている個人番号を頂いた。また、取得に際して、支払調書の申告以外の目的には利用しないこと、契約期間中は個人番号を保有し、契約解除後は速やかに廃棄することを説明し、了解を頂いた。
→上記の取得方法は認められるか?
-
番号法に準じて個人番号を取得しているため、この対応で正解です。
- 家主の個人番号を郵送して/メールで送信して/電話で教えていただいた。
→上記の取得方法は認められるか?
-
本人確認が適切ではない場合があります。
・番号法:第16条(本人確認の措置)
本人と対面し、個人番号取得の目的を明示した後に、マイナンバーカード、もしくは通知カード+運転免許証やパスポート等の他の確認方法により本人であることを確認し、直接取得する必要があります。
メールによる取得も可能ですが、本人確認の適切性には注意が必要です。(国税に関しては国税庁のFAQを参照してください)
- 家主の個人番号を、奥様(と思われる方)からいただいた。
→上記の取得方法は認められるか?
-
代理人の本人確認が適切ではない。
・番号法:第16条(本人確認の措置)
奥様が代理人であることを証するものの確認、代理人の身元確認を行い、取得目的を明示した後に個人番号を取得する必要があります。
- よく知っている家主から通知カードを提示され、記載されている個人番号をいただいた。
→上記の取得方法は認められるか?
-
本人確認が適切ではない。
・番号法:第16条(本人確認の措置)
よく知っていることを本人確認の手段にはできません。
通知カードに加え、運転免許証やパスポート等の他の本人確認方法により本人であることを確認する必要があります。
- 依頼はしていないが、家主が個人番号を送ってくださった。(メール送信してくださった。電話してくださった。)
→上記の取得方法は認められるか?
-
本人への取得目的の明示が適切ではない。
・番号法:第14条(提供の要求)
こちらの依頼なしに送っていただいた場合でも取得になってしまいます。この場合、個人番号の取得目体を明示しておらず適切に提供を要求しているとは言えません。また、送っていただいた個人番号が正しいかどうかも定かではありません。
本人確認が適切ではない。
・番号法:第16条(本人確認の措置)
本人と対面し、個人番号取得の目的を明示した後に、マイナンバーカード、もしくは通知カード+運転免許証やパスポート等の他の確認方法により本人であることを確認し、直接取得する必要があります。
- 依頼はしていないが、家主がマイナンバーカード(もしくは通知カード)そのものを送ってくださった。
→上記の取得方法は認められるか?
-
本人への取得目的の明示が適切ではない。
・番号法:第14条(提供の要求)
本人確認が適切ではない。
・番号法:第16条(本人確認の措置)
上記5.に同じです。送付していただいたマイナンバーカード(もしくは通知カード)は一旦本人に直接返却し、そのことを証明した後に改めて個人番号取得の目的を明示します。その後、マイナンバーカード、もしくは通知カード+運転免許証やパスポート等の他の確認方法により本人であることを確認し、直接取得するという段階をふむ必要があります。
- 各地に多数の物件を所有している家主であり、A営業所が同じ家主の個人番号を保有していたので、家主の了解を得てそれを送ってもらった。
→上記の取得方法は認められるか?
-
番号法に準じて個人番号を移転している。
当該家主の個人番号の取得目的は支払調書作成・申告であり、他営業所での取得目的と同一であるため、家主本人の了解を得れば個人番号を他営業所から移転することが出来ます。この場合、他営業所が本人確認を確実に行った証跡の確認は必要です。また、個人番号の変更の有無の確認も必要になります。
- A営業所管轄だった家主が当営業所管轄に引っ越してきたので、A営業所から家主の特定個人情報を引き継いだ。
→上記の取得方法は認められるか?
-
本人確認が適切ではない。
・番号法:第16条(本人確認の措置)
上記8.と同様のケースのように見えますが、家主は引っ越したことにより基本4情報に変更があり、引っ越し先の自治体にて通知カードもしくは個人番号カードの再交付を受けています。引っ越したことによる個人番号の変更はありませんが、再交付された通知カードもしくは個人番号カードの確認が必要です。
- 家主が複数いて、賃貸契約も連名になっているが、家賃の振込先がC氏1名であったためC氏の個人番号のみ取得した。
→上記対応は正しいか?
-
契約上金銭の支払いを受けることになっている者毎に支払調書を作成しなければならない。
賃貸借契約の契約者全ての個人番号を取得し、契約者毎に支払調書を作成して税務署に提出する。
- 家主が、漏えい等何らかの理由により個人番号の再交付をされた旨連絡があり、訪問してマイナンバーカードを確認して新しい個人番号を教えていただいた。
→上記対応は正しいか?
-
番号法に準じて個人番号を取得している。
本ケースは本人から連絡があった場合であり適切ですが、個人番号が変更となったものの連絡がない場合が多いと思われるため、個人番号取扱事務にて個人番号を取扱う前に、現在保有している個人番号が正しいか否か確認する手順を明確化しておくと良いでしょう。
- 継続的に契約している家主ではあるが、個人番号の取得を確実にするために、毎年申告都度取得していたら、「去年教えているのに何でまた聞くのか?」と怒られた。
→上記のどこが問題だったか?
-
組織が個人番号の保有を適切に手順化していない。
・番号法:第14条(提供の要求)
・ガイドライン(事業者編):第4-3-(1)2
契約が継続している限り支払調書の申告も継続するため、当該家主の個人番号を保有して個人番号取扱事務を継続することは問題ありません。但し、漏えい等により再発行されている場合があるため、個人番号の変更の有無の確認は必要です。
- 管理委託物件にて、賃借人から家主の個人番号を取得するよう依頼された。
→上記の取得は認められるか?
-
個人番号の取得範囲が適切ではない。
・番号法:第15条(提供の求めの制限)
個人番号の取得は管理委託契約範囲の業務ではないため、このような依頼でもって家主の個人番号の提供を求めるのは番号法第15条に違反します。
本ケースで賃借人の依頼に対応するためには、賃借人と個人番号取扱事務の一部業務委託契約を別途締結し、賃借人の個人番号取得目的の業務として対応する必要があります。
- 家主が何らかの理由により住民登録しておらず、個人番号を所有していない。
→上記の場合、組織に過失はあるか?
-
家主が個人番号を所有していないことは組織の責任ではない。
支払調書申告時に、税務署に、家主が個人番号を所有していないことを伝達します。
- 賃貸料は契約指定の口座に振り込んでいるが、家主の所在が不明であり、本人から個人番号が取得できない。
→上記の場合、組織に過失はあるか?
-
家主が所在不明なのは組織の責任ではない。
支払調書申告時に、税務署に、家主が所在不明であり個人番号を取得できていない旨を伝達します。
- 家主から「個人番号は嫌いだ」といわれて提供を拒否された。
→上記の場合、組織に過失はあるか?
-
家主が個人番号を嫌うのは組織の責任ではない。
支払調書申告時に、税務署に、家主が個人番号を嫌っており取得できていない旨を伝達します。
- 家主が外国人であり、国内で住民登録していなかったが、最近住民登録したらしい。
→上記の場合、組織に過失はあるか?
-
個人番号の取得が適切ではない。
・番号法:第14条(提供の要求)
住民登録されている外国人には個人番号が交付されています。組織として、年末の支払調書作成・申告前にこのようなケースがないかどうか家主本人に確認する手順を明確化する必要があります。
- 賃貸契約時に、家主もしくは賃借人の身元確認の記録ためにマイナンバーカードの表と裏をコピーした。
→上記対応は正しいか?
-
個人番号の取得目的が適切ではない。
・番号法:第20条(収集等の制限)
不動産賃貸にて個人番号を取得する目的は個人番号取扱事務を行うことであり、賃貸契約時の本人確認のために個人番号を取得すること認められていません。マイナンバーカードの表面だけであれば個人番号は記載されておらず賃貸契約時の身元確認に利用しても問題はないため、身元確認でマイナンバーカードを確認する場合は裏面をコピーしないことを徹底する必要があります。なお、通知カードの場合は表に基本4情報及び個人番号が明示されているためこのような目的の身元確認に利用しないことを徹底することも必要です。
- 家主本人の個人番号を、本人確認をもって取得したが、念のため家主の妻の個人番号も取得した。
→上記対応は正しいか?
-
取得が適切ではない。
・番号法:第20条(収集等の制限)
支払調書申請以外の目的では個人番号を取得しないことを徹底する必要があります。念のために本人以外の個人番号を取得するというのは目的外の取得となります。
- 家主本人の合意なく、身内等から個人番号を取得した。
→どのような処分となるか?防止策は?
-
立件され、有罪と判決されれば、取得した者が3年以下の懲役、または150万円以下の罰金。
個人番号を、家主本人から個人番号取扱事務担当者が取得する手順を明確化し、その手順以外では取得できないよう統制を徹底する必要があります。
- 家主を装って通知カード又は個人番号カードの交付を受けた。
→どのような処分となるか?防止策は?
-
立件され、有罪と判決されれば、交付を受けた者が6か月以下の懲役、または50万円以下の罰金。
社員全員に対する番号法教育、及び番号法を守らなかった場合の結果を周知徹底する必要があります。
- 家主の、個人番号を含む特定個人情報を、本人確認なしに郵送、メール、電話にて取得していた。
→どのような処分となるか?防止策は?
-
本人確認が適切ではない。が、直接的な罰則規定はない。
・番号法:第16条(本人確認の措置)
本人と対面し、まず取得の目的を明示した後に、適切な本人確認方法により本人であることを確認し、直接取得する手順を明確化し、運用します。代理人の場合は代理人であることを証するものを確認が必要です。このとき、代理人の身元確認も確実に行います。
- 個人番号以外の不要な部分が送られてきたので、こちらで黒く塗りつぶすなどマスキング処理を行った。
→上記対応は正しいか?
-
いったん取得したことになるので、不要部分をマスキング処理をすることの了承を得た上で、取得日を控えておくことが重要です。
- 住民票に個人番号が書かれているので、そちらを提出してもらうことで個人番号を取得したとみなした。
→上記対応は正しいか?
-
本人確認のため、住民票プラス本人確認書類が必要。マイナンバーカードを無くした方の場合は、こちらの対応で問題ありません。
- 個人番号は全ての家主から取得することが望ましいとされているが、努力しても取得できないケースは想定される。
→どの程度の働きかけで十分努力したとみなされるか?
-
回数については断定できませんが、回収に向けて十分な努力をしたという事実が重要です。
例えばだが、個人番号取得に関する通知を郵送し、締切から1ヶ月経っても連絡がないため、電話で「このままだと支払調書の提出に支障をきたす」と再度提供を依頼したとします。それでも断られたら、十分努力したとみなされるのではないでしょうか。
- どのような書面が良いか。ひな型を提示してほしい。
-
- 直接取得だと本人確認の必要がある一方、郵送だと普通郵便のセキュリティ上難しいところがあると考える。理想的な流れを教えてほしい。
-
直接取得が基本ですが、業務の効率性を考慮して、WEBサービス・収集サービスの利用や郵送を選択される事業者が多い様です。
WEBサービスや収集サービスの利用では委託先の評価・管理、郵送の場合は配達時の紛失等のリスク対応が課題になります。外部サービスを利用する場合は番号法に則った委託先の評価・管理を確実に実施しなければなりませんし、郵送の場合は送達を立証できるようにするために書留を利用する等の検討が必要です。それらのリスク対応を考慮し、組織に見合った方法をご選択ください。
- 不備については具体的にどのように対応すべきか。また、概ね何回位取得の依頼をすればよいか。
-
組織として、支払調書作成にあたり家主がマイナンバーの提供を拒んだことを立証するにあたり、何回依頼したかはそれほど重要ではありません。組織の取得手順に従って提供要請したものの、提供してもらえなかったことを立証する証跡確保し、支払調書に家主の意思により提供してもらえなかった旨を明示して提出することが重要です。取得努力をしたものの、取得できなかったのは組織の責任ではありません。
- 異例なケースが発生したときにはどのようなところに相談をすべきか。
-
税務署に相談してください。
- 主義主張で提出いだだけない家主でも継続して要求を続け、その記録を毎年税務署へ提出しなければならないか。
-
その通りです。
-
3年前までサブリース契約していた物件の家主と再契約することになり、「個人番号は前に教えていただいているので、それで法定調書を申告します。」と言って保有していた個人番号で支払調書を申告した。
→上記対応は正しいか?
-
個人番号の保有が適切ではない。
・番号法:第20条(収集等の制限)
3年前までのサブリース契約にて取得した個人番号の取得目的は、同契約の解除をもって終了しており、引き続き保有しているのは不正な保有となります。組織として取得目的発生が完了した特定個人情報の廃棄手順・方法を明確化し、対象特定個人情報を確実に廃棄する必要があります。
- 保有している個人番号には個人番号を取扱う事務に従事する担当のみしかアクセスできないよう厳重に管理している。
→上記対応は正しいか?
-
適切な安全管理措置が講じられている。
・番号法:第12条(個人番号利用事務実施者等の責務)
・ガイドライン(事業者編):2Fa アクセス制御
- 本社及び全営業所の契約家主の個人番号を一括したデータベースを構築し、支払調書作成者は誰でも閲覧できるようにしている。
→上記運用は正しいか?
-
安全管理措置は講じられているが、漏えいリスクは高い。
・番号法:第12条(個人番号利用事務実施者等の責務)
・ガイドライン(事業者編):2Fa アクセス制御
閲覧対象を個人番号取扱事務担当者(支払調書作成者)に限定していることで漏えいリスクを低減しているものの、担当外の特定個人情報も閲覧可能であるというのはアクセス制御として脆弱性があります。支払調書作成者が担当している契約家主のみを閲覧できるようアクセス制限の見直しについて検討の余地があります。
- サブリース契約管理システム画面に家主の個人番号欄を設け、個人番号を確認できるようにしている。また、システムのバックアップも取得しており、10年前の情報も利用できる。
→上記運用は正しいか?
-
特定個人情報へのアクセス制御がなされていない。
・番号法:第12条(個人番号利用事務実施者等の責務)
・ガイドライン(事業者編):2Fa アクセス制御
サブリース契約管理システムは個人番号取扱事務担当者(支払調書作成者)以外も利用しており、当該画面に個人が明示されていると支払調書作成担当以外の者が目的外の個人番号取得をしたことになります。このようなシステム改造は避けなければなりません。
取得目的を完了した特定個人情報の廃棄が適切ではない。
・番号法:第20条(収集等の制限)
システムのバックアップでは、合理的な範囲にて特定個人情報を保有することは構いませんが、10年となると適切な保有とは言えません。組織にて合理的範囲での特定個人情報の保管・廃棄手順を、バックアップデータを含めて明確化する必要があります。
- 家主が3年間の予定で海外赴任になったが、サブリース物件の契約は継続しているため個人番号をそのまま持っている。
→上記対応は正しいか?
-
取得目的内の保管であり適切。
・番号法:第20条(収集等の制限)
家主が海外赴任になり、3年間住民票を保有していないため支払調書の申告義務はありませんが、サブリース契約は継続しており3年後の帰国後に再度支払調書の申告義務が発生するため、取得目的内の保有となります。
- 国内に住民登録して個人番号を取得していた外国人家主が本国に帰国し、サブリース物件の契約も解除されたが、いつしかまた入国することも考えられたので個人番号をそのまま持っている。
→上記対応は正しいか?
-
取得目的内の保管とはいえない。
・番号法:第20条(収集等の制限)
サブリース契約解除時点で個人番号の取得目的は完了しており、そのまま保有するのは目的外の保有になります。支払調書申告の最終年の年度末、もしくは翌年末といった合理的範囲にて特定個人情報を廃棄する手順を明確化する必要があります。
- サブリース契約は完了したが、また戻って来る可能性もあるため家主の個人番号をそのままもっている。
→上記対応は正しいか?
-
取得目的内の保管とはいえない。
・番号法:第20条(収集等の制限)
上記7に同じです。
- サブリース契約物件が転売されたが、新たな家主とも契約を継続できたため、元の家主の個人番号を含めて情報をすべて保有している。
→上記対応は正しいか?
-
取得目的内の保管とはいえない。
・番号法:第20条(収集等の制限)
元の家主の個人番号を保有する目的は、転売された年度末をもって完了するため、それ以降も保有している場合は目的外の保有となります。支払調書申告の最終年の年度末、もしくは翌年末といった合理的範囲にて特定個人情報を廃棄する手順を明確化する必要があります。
- 警察からサブリース契約物件の家主の個人番号の照会があったので提供した。
→上記対応は正しいか?
-
警察の捜査の内容による。
・番号法:19条(特定個人情報提供の制限)の第12項
組織が不動産賃貸業務にて個人番号を取得・保有するのは支払調書申告が目的であり、その他目的で個人番号を提供することは認められていません。但し、番号法19条第12項にて刑事事件捜査等の目的にて取得することは認められています。本件は、警察の捜査上で不動産賃貸管理業者からの個人番号の取得が妥当かどうかの判断になります。本来は本人、もしくは税務署に個人番号を照会すべきであり、不動産賃貸管理業者に照会する理由が妥当でなければ提供は差し控えたほうが良いでしょう。
- 完了したサブリース契約を引き継いだ他社から家主の個人番号の照会があったので提供した。
→上記対応は正しいか?
-
個人番号の提供が適切ではない。
・番号法:19条(特定個人情報提供の制限)
サブリース契約を引き継いだ他社に家主の個人番号を提供することは番号法第19条の範囲を超えます。例え家主の合意があっても提供してはなりません。照会があったら、「家主に直接確認して取得してください。」と断ると良いでしょう。
- 他営業所扱いとなった家主の個人番号の照会が、当該営業所の個人番号取扱事務担当者からあったので提供した。
→上記対応は正しいか?
-
取得目的内の移転である。
・番号法:19条(特定個人情報提供の制限)
家主の個人番号は、支払調書作成・申告の目的により会社として取得しており、当該家主の営業所管が変更になり、個人番号取扱事務担当者も後退した場合の移転は妥当です。
- サブリース契約を継続している家主から個人番号の照会があったので提供した。
→上記対応は正しいか?
-
提供の範囲として適切ではない場合がある。
・番号法:19条(特定個人情報提供の制限)
組織は、家主から個人番号を取得していますが、家主の照会への提供は、番号法第19号第13項に定められている「人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるとき」にのみ限定されています。照会目的の妥当性によります。
- サブリース契約を完了した家主から個人番号の照会があったので提供した。
→上記対応は正しいか?
-
提供の範囲として適切ではない。
・番号法:19条(特定個人情報提供の制限)
・番号法:20条(収集等の制限)
サブリース契約の完了(した年の支払調書申請)をもって、家主の個人番号の取得目的は完了しているため、以前の契約家主の個人番号を保有していること自体が目的外の保有になります。
- 番号法に定められた提供先を良く理解せず、定められていない提供先に個人番号を含む特定個人情報を提供した。
→どのような処分となるか?防止策は?
-
立件され、有罪と判決されれば、個人番号取扱事務に従事していた者が4年以下の懲役、または200万円以下の罰金。(併用されることもある)
組織として、個人番号取扱事務の従事者を特定し、取り扱いを徹底しましょう。加えて、番号法の教育も重要です。
- 家主の個人番号を含む特定個人情報を記録したCDを紛失した。
→上記運用のどこが問題だったか?
-
保管が適切ではない。
・番号法:33条(個人情報取扱事業者でない個人番号取扱事業者が保有する特定個人情報の保護)
個人番号を含む特定個人情報の保管管理手順を明確化し、順守させる必要があります。
- 情報システムの操作ミスにより、家主から取得した個人番号のデータを全て消去してしまった。また、バックアップは取得しておらず、再度家主から個人番号を確認しなければならなくなった。
→上記運用のどこが問題だったか?
-
安全管理措置の運用が適切でない。
・番号法:33条(個人情報取扱事業者でない個人番号取扱事業者が保有する特定個人情報の保護)
安全管理措置は、特定個人情報の漏えいだけでなく、滅失又は毀損の防止のために講ずることも要求しています。個人番号取扱関係事務に支障のない範囲での特定個人情報の可用性確保が必要です。
- サブリース契約の家主の個人番号を含む特定個人情報を、過去の契約分を含めてすべて保有していることを特定個人情報保護委員会から指摘され是正指示を受けたが、何も対応していない。
→どのような処分となるか?防止策は?
-
立件され、有罪と判決されれば、虚偽の回答をした者が1年以下の懲役、または50万円以下の罰金。
特定個人情報保護委員会からの指摘に対して速やかに是正する手順を明確化して実施する必要があります。
- 不備案件があった場合、どのように税務署と交渉すべきか。交渉に際して注意すべき点があれば教えてほしい。
-
マイナンバーの取得不備について組織が税務署と交渉する必要はありません。あくまでも義務として取得努力をするだけです。
- いわゆる番号法6条に定められている事業者の努力は具体的にはどこまで行えば果たしたと言えるか教えてほしい。
-
上記「取得不備の対応」と同様です。
- 支払調書提出後、何年保管すれば良いか。
-
通常7年です。