「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号。以下「番号法」という。)に基づく番号制度は、社会保障、税、災害対策その他の行政分野における行政運営の効率化を図り、国民にとって利便性の高い、公平・公正な社会を実現するための社会基盤である。
一方で、番号制度の導入に伴い、国家による個人情報の一元管理、特定個人情報の不正追跡・突合、財産その他の被害等への懸念が示されてきた。
個人情報の適正な取扱いという観点からは、個人情報の保護に関する一般法として、「個人情報の保護に関する法律」(平成15年法律第57号。以下「個人情報保護法」という。)があり、これに加えて、地方公共団体では個人情報の保護に関する条例等(以下「個人情報保護法施行条例」という。)も定められている。
番号法においては、個人情報保護法に定められる措置の特例として、個人番号をその内容に含む個人情報(以下「特定個人情報」という。)の利用範囲を限定する等、より厳格な保護措置を定めるとともに、国が設置・管理する情報提供ネットワークシステムの使用を始めシステム上の安全管理措置を講ずることとしている。
本ガイドラインは、個人番号を取り扱う行政機関等(個人情報保護法第2条第11項に規定する行政機関等をいう(注1)。以下同じ。)が特定個人情報の適正な取扱いを確保するための具体的な指針を定めるものである。
なお、個人情報保護法第58条第1項各号に掲げる法人(注2)は、原則、特定個人情報の適正な取扱いに関するガイドライン(事業者編)が適用されるものの、番号法及び個人情報保護法第125条によって個人情報保護法が適用される部分の特定個人情報の取扱いについては、本ガイドラインを参照する必要がある。
また、個人情報保護法第58条第2項各号に掲げる者は、原則、本ガイドラインが適用されるものの、当該各号に定める業務(注3)における番号法及び個人情報保護法第58条第2項によって個人情報保護法が適用される部分の特定個人情報の取扱いについては、特定個人情報の適正な取扱いに関するガイドライン(事業者編)を参照する必要がある。
番号法において、国及び地方公共団体は、特定個人情報の適正な取扱いを確保するために必要な措置を講ずるものとされており(番号法第4条、第5条)、主体的に特定個人情報の保護のための取組を行う必要がある。
本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法令違反と判断される可能性がある。一方、「望ましい」と記述している事項については、これに従わなかったことをもって直ちに法令違反と判断されることはないが、番号法の趣旨を踏まえ、行政機関等の規模及び事務の特性に応じ対応することが望まれるものである。
以下、本ガイドラインの構成は、次のとおりとなっている。
「第2用語の定義等」においては、本ガイドラインで使用する用語の定義等を記載している。 「第3総論」においては、本ガイドラインの位置付け、特定個人情報に関する番号法上の保護措置の概略等について解説している。「第4各論」においては、番号法上の保護措置及び安全管理措置について解説している。また、実務上の指針及び具体例を記述しているほか、留意すべきルールとなる部分についてはアンダーラインを付している。*印は、行政機関等の実際の事務に即した具体的な事例を記述したものである。なお、事例の記述は、理解を助けることを目的として典型的な例を示したものであり、全ての事案を網羅することを目的とするものではない。
(注1)「個人情報保護法第2条第11項に規定する行政機関等」とは、次の機関及び法人をいう。 マル1行政機関マル2地方公共団体の機関(議会を除く。)マル3独立行政法人等(個人情報保護法別表第2に掲げる法人を除く。)マル4地方独立行政法人(地方独立行政法人法第21条第1号に掲げる業務(試験研究等)を主たる目的とするもの又は同条第2号(大学等の設置及び管理)若しくは第3号チ(病院事業の経営)に掲げる業務を目的とするものを除く。) (注2)「個人情報保護法第58条第1項各号に掲げる法人」とは、次の法人をいう。 マル1個人情報保護法別表第2に掲げる法人 マル2地方独立行政法人のうち、試験研究を行うこと等を主たる目的とするもの、大学等の設置及び管理等を目的とするもの並びに病院事業の経営を目的とするもの (注3)「個人情報保護法第58条第2項各号に掲げる者」の「当該各号に定める業務」とは、次のものをいう。 マル1地方公共団体の機関が行う業務のうち病院及び診療所並びに大学の運営の業務 マル2独立行政法人労働者健康安全機構が行う病院の運営の業務 第2用語の定義等本ガイドラインで使用する用語の定義等については、法令上の定義等に従い、次の表のとおりとする。
項番用語定義等マル1個人情報生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 二個人識別符号が含まれるもの 【番号法第2条第3項、個人情報保護法第2条第1項】 ※生存する個人の個人番号は、個人識別符号に該当する(個人情報保護法第2条第1項第2号、同条第2項、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「個人情報保護法施行令」という。)第1条第6号)。 マル2保有個人情報行政機関等の職員(独立行政法人等及び地方独立行政法人にあっては、その役員を含む。以下同じ。)が職務上作成し、又は取得した個人情報であって、当該行政機関等の職員が組織的に利用するものとして、当該行政機関等が保有しているものをいう。【個人情報保護法第60条第1項】マル3個人番号番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう(番号法第2条第6項及び第7項、第8条並びに第48条並びに附則第3条第1項から第3項まで及び第5項における個人番号)。【番号法第2条第5項】マル4特定個人情報個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第48条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。【番号法第2条第8項】※生存する個人の個人番号についても、特定個人情報に該当する(個人情報保護法第2条第1項第2号、番号法第2条第8項)。
マル5個人情報ファイル <行政機関等>保有個人情報を含む情報の集合物であって次に掲げるものをいう。 Ⓐ一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したものⒷⒶに掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの <個人情報保護法第58条第1項各号に掲げる法人>個人情報保護法第2条第1項に規定する個人情報を含む情報の集合物であって、次に掲げるものをいう。 Ⓒ特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したものⒹⒸに掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして個人情報保護法施行令で定めるもの【番号法第2条第4項、個人情報保護法第60条第2項、第16条第1項、個人情報保護法施行令第4条】 マル6特定個人情報ファイル個人番号をその内容に含む個人情報ファイルをいう。【番号法第2条第9項】マル7個人番号利用事務行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項から第3項までの規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう(→第4-1-⑴1Aa)。【番号法第2条第10項】マル8個人番号関係事務番号法第9条第4項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう(→第4-1-⑴1Ab)。【番号法第2条第11項】マル9個人番号利用事務等個人番号利用事務又は個人番号関係事務をいう。【番号法第10条第1項】マル10準法定事務番号法別表の各項の下欄に掲げる事務に準ずる事務(注)として主務省令で定めるものをいう。【番号法第9条第1項】(注)個別の法律の規定に基づく事務を除き、当該事務の性質が同表の当該各項の下欄に掲げる事務と同一であることその他政令で定める基準に適合する事務に限る。
マル11特定個人番号利用事務番号法別表の各項の下欄に掲げる事務のうち、迅速に特定個人情報の提供を受けることによって効率化を図るべきものとして主務省令で定めるものをいう。【番号法第19条第8号】 マル12利用特定個人情報特定個人番号利用事務を処理するために必要な特定個人情報として主務省令で定めるものをいう。【番号法第19条第8号】マル13個人番号利用事務実施者個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。【番号法第2条第12項】マル14個人番号関係事務実施者個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。【番号法第2条第13項】マル15個人番号利用事務等実施者個人番号利用事務実施者又は個人番号関係事務実施者をいう。【番号法第12条】マル16準法定事務処理者準法定事務を処理する者として主務省令で定めるものをいう。【番号法第9条第1項】 マル17別表行政機関等番号法別表の各項の上欄に掲げる行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者(準法定事務処理者を含む。)をいう。【番号法第19条第8号】マル18情報照会者別表行政機関等のうち、特定個人番号利用事務を処理する者として主務省令で定めるもの(法令の規定により特定個人番号利用事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。)をいう。【番号法第19条第8号】マル19情報提供者利用特定個人情報を記録した特定個人情報ファイルを保有する者として主務省令で定める別表行政機関等又は法務大臣(法令の規定により当該利用特定個人情報の利用又は提供に関する事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。)をいう。【番号法第19条第8号】マル20情報提供等の記録内閣総理大臣、情報照会者及び情報提供者又は条例事務関係情報照会者及び条例事務関係情報提供者は、番号法第19条第8号又は第9号の規定により情報提供ネットワークシステムを使用して利用特定個人情報の提供の求め又は提供があった場合には、情報提供ネットワークシステムに接続されたその者の使用する電子計算機(内閣総理大臣においては情報提供ネットワークシステム)に、情報照会者及び情報提供者又は条例事務関係情報照会者及び条例事務関係情報提供者の名称、提供の求め及び提供の日時、利用特定個人情報の項目等を記録することとされており、当該記録をいう(→第4-3-⑶2)。【番号法第23条、第26条】マル21条例事務番号法第9条第2項の規定に基づき条例で定める事務のうち特定個人番号利用事務に準じて迅速に特定個人情報の提供を受けることによって効率化を図るべきものとして、次に掲げる要件を満たすものをいう。 一番号法第9条第2項の規定に基づき条例で定める事務(以下マル21及びマル23において単に「事務」という。)の趣旨又は目的が、特定個人番号利用事務のうちいずれかの事務(以下「法定事務」という。)の根拠となる法令等の趣旨又は目的とおおむね同一であること。二その事務の内容が、前号の法定事務の内容と類似していること。【番号法第19条第9号、「行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第九号に基づく利用特定個人情報の提供に関する規則」(平成28年個人情報保護委員会規則第5号。以下「番号法第十九条第九号規則」という。)第2条第1項】 マル22条例事務関係情報照会者条例事務を処理する地方公共団体の長その他の執行機関(法令の規定により条例事務の全部又は一部を行うこととされているものを含む。)をいう。【番号法第19条第9号、番号法第十九条第九号規則第2条第2項】マル23条例事務関係情報提供者当該法定事務又はそれ以外の法定事務のうちその事務の内容が当該条例事務の内容と類似しているものであって次の各号のいずれかに該当するもの(以下「法定事務等」という。)を処理するために必要な利用特定個人情報を提供する情報提供者と同一又は当該情報提供者のいずれかに該当するもの(法令の規定により当該利用特定個人情報の利用又は提供に関する事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。)をいう。ただし、提供することができる利用特定個人情報の範囲が条例により限定されている地方公共団体の長その他の執行機関(以下「限定機関」という。)が、「行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第九号の規定により提供することができる利用特定個人情報の範囲の限定に関する規則」(平成28年個人情報保護委員会規則第6号)第2条第1項の規定に基づきあらかじめその旨を個人情報保護委員会(以下「委員会」という。)に申し出た場合において、条例により提供しないこととされた利用特定個人情報の範囲にあっては、限定機関を除く。 一その事務において貸与又は支給の対象となる費用が、条例事務において貸与又は支給の対象となる費用と類似していること。二その事務において貸与し、又は支給する物品が、条例事務において貸与し、又は支給する物品と類似していること。三その事務において提供する役務が、条例事務において提供する役務と類似していること。 【番号法第19条第9号、番号法第十九条第九号規則第2条第3項】 第3総論 第3-1目的委員会は、個人情報保護法第131条に基づき、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ること(個人番号利用事務等実施者に対する指導及び助言その他の措置を講ずることを含む。)を任務としている。本ガイドラインは、番号法第4条及び個人情報保護法第131条に基づき、行政機関等が特定個人情報の適正な取扱いを確保するための具体的な指針を定めるものである。
第3-2本ガイドラインの適用対象等 本ガイドラインの適用対象番号法は、行政機関等又は事業者の別を問わず、個人番号を取り扱う全ての者を適用の対象としており、本ガイドラインは、番号法の適用を受ける者のうち行政機関等を対象とするものである。
行政機関等が番号法の適用を受ける場面行政機関等は、個人番号の提供の求めの制限(番号法第15条)並びに特定個人情報の提供の制限(同法第19条)及び収集等の制限(同法第20条)の規定の適用を受ける。また、行政機関等が同法の規定の適用を受ける主な事務は、次のとおりである。
行政機関等が個人番号を利用して個人情報を検索、管理する事務(同法第9条第1項)
行政機関等がその職員等(以下「職員」という。)から個人番号の提供を受けて、これを給与所得の源泉徴収票、給与支払報告書等の必要な書類に記載して、税務署長、市町村長(特別区の区長を含む。以下同じ。)等に提出する事務(同法第9条第4項)
激甚災害が発生したとき等において、「所得税法」(昭和40年法律第33号)第225条第1項第1号、第2号及び第4号から第6号までに該当する独立行政法人等(以下「金融機関に該当する独立行政法人等」という。)が個人番号を利用して金銭を支払う事務(番号法第9条第5項)
なお、行政機関等から個人番号利用事務等の全部又は一部の委託を受けた者は、個人番号利用事務等実施者となる。
第3-3本ガイドラインの位置付け等 番号法と個人情報保護法との関係番号法は、特定個人情報の取扱いに関して、個人情報保護法の特例を規定した特別法であることから、番号法の規定は、個人情報保護法の規定に優先して適用される。一方、特定個人情報に関して番号法に特段の規定がない事項については、個人情報保護法の規定が適用される。
番号法と個人情報保護法施行条例との関係一般に、法律は条例に優先して適用されることから、特定個人情報に関する番号法の特例規定は、個人情報保護法施行条例の規定に優先して適用される。一方、特定個人情報に関して番号法に特段の規定がない事項については、個人情報保護法施行条例の規定が適用される。
特定個人情報に関しても、「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」(令和4年個人情報保護委員会告示第1号。以下「個人情報保護法ガイドライン(行政機関等編)」という。)「11 条例との関係」と同様に、個人情報保護やデータ流通について直接影響を与えるような事項であって、条例で定めることを許容する規定が個人情報保護法に置かれていないもの等個人情報保護法に委任規定が置かれていないものについて個人情報保護法施行条例で独自の規定を設けることは、個人情報保護法の規律に抵触するものであり許容されない。
本ガイドラインの位置付け本ガイドラインは、特定個人情報の適正な取扱いについての具体的な指針を定めるものである。
また、特定個人情報に関し、番号法に特段の規定がなく個人情報保護法又は個人情報保護法施行条例が適用される部分については、個人情報保護法を基に定められている個人情報保護法ガイドライン(行政機関等編)及び「個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)」(以下「事務対応ガイド」という。)を遵守することを前提としている。
第3-4番号法の特定個人情報に関する保護措置 保護措置の概要個人番号は、社会保障、税、災害対策その他の行政分野において、個人情報を複数の機関の間で紐付けるものであり、住民票を有する全ての者に一人一番号で重複のないように、住民票コードを変換して得られる番号である。したがって、個人番号が悪用され、又は漏えいした場合、個人情報の不正な追跡・突合が行われ、個人の権利利益の侵害を招きかねない。
そこで、番号法においては、特定個人情報について、個人情報保護法よりも厳格な各種の保護措置を設けている。この保護措置は、「特定個人情報の利用制限」、「特定個人情報の安全管理措置等」及び「特定個人情報の提供制限等」の三つに大別される。
ア特定個人情報の利用制限番号法においては、個人番号を利用することができる範囲について、社会保障、税、災害対策その他の行政分野に関する特定の事務に限定している(番号法第9条)。また、個人情報保護法の読替え又は適用除外の規定を置き(同法第30条第1項、第31条第1項及び第2項)、本来の利用目的以外の目的で例外的に特定個人情報を利用することができる範囲について、個人情報保護法における個人情報の利用の場合よりも限定的に定めている。
さらに、個人番号利用事務等実施者その他個人番号利用事務等に従事する者に対し、必要な範囲を超えた特定個人情報ファイルの作成を禁止している(同法第29条)。
イ特定個人情報の安全管理措置等行政機関の長(個人情報保護法第2条第8項第4号及び第5号の個人情報保護法施行令第3条で定める機関にあっては、その機関ごとに個人情報保護法施行令第18条で定める者をいう。)、地方公共団体の機関、独立行政法人等(同法別表第2に掲げる法人を除く。)及び地方独立行政法人(地方独立行政法人法第21条第1号に掲げる業務(試験研究等)を主たる目的とするもの又は同条第2号(大学等の設置及び管理)若しくは第3号チ(病院事業の経営)に掲げる業務を目的とするものを除く。以下、第3-6、第4-2-⑵、第4-4-⑶、第4-4-⑷、第4-4-⑸及び第4-6においてこれらをあわせて「行政機関の長等」という。)については、個人情報保護法に基づき、保有個人情報の安全管理措置を講じなければならず、行政機関等から個人情報の取扱いの委託を受けた者その他の同法第66条第2項各号に掲げる者が当該各号に定める業務を行う場合にも同様の義務が課されている(個人情報保護法第66条)。また、個人情報の取扱いに従事する行政機関等の職員若しくは職員であった者、個人情報保護法第66条第2項各号に定める業務に従事している者若しくは従事していた者又は行政機関等において個人情報の取扱いに従事している派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第2条第2号に規定する派遣労働者をいう。以下同じ。)若しくは従事していた派遣労働者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用することが禁止されている(個人情報保護法第67条)。
番号法においては、これらに加え、個人番号利用事務等実施者は、個人番号(生存する個人のものだけでなく死者のものも含む。)について安全管理措置を講ずることとされている(番号法第12条)。
また、個人番号利用事務等を再委託する場合には委託者による再委託の許諾を要件とする(同法第10条)とともに、委託者に対し、委託先に対する監督義務を課している(同法第11条)。さらに、委託を受けた者及び再委託を受けた者は、個人番号利用事務等実施者になることを明確にし(同法第2条第12項及び第13項)、これらの者も番号法における個人番号の安全管理措置を講じなければならないこととしている(同法第12条)。
ウ特定個人情報の提供制限等個人情報保護法は、法令に基づく場合を除くほか、同法第69条第2項各号に定める場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することを認めていない(個人情報保護法第69条)。
番号法においては、特定個人情報の提供について、個人番号の利用制限と同様に、個人情報保護法における個人情報の提供の場合よりも限定的に定めている(番号法第19条)。また、何人も、特定個人情報の提供を受けることが認められている場合を除き、他人(自己と同一の世帯に属する者以外の者をいう。)に対し、個人番号の提供を求めてはならない(同法第15条)。
さらに、特定個人情報の収集又は保管についても同様の制限を定めている(同法第20条)。
なお、本人から個人番号の提供を受ける場合には、本人確認を義務付けている(同法第16条)。
委員会による監視・監督委員会は、特定個人情報の取扱いに関する監視・監督を行うため、次に掲げる権限を有している。
個人番号利用事務等実施者に対し、特定個人情報の取扱いに関し、必要な指導及び助言をすることができる(番号法第33条)。
特定個人情報の取扱いに関して法令違反行為が行われた場合において、その適正な取扱いの確保のために必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる(同法第34条第1項)。勧告を受けた者が正当な理由なく勧告に係る措置をとらなかったときは、その者に対し、期限を定めて、勧告に係る措置をとるべきことを命ずることができる(同条第2項)。さらに、特定個人情報の取扱いに関して法令違反行為が行われた場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を命ずることができる(同条第3項)。特定個人情報を取り扱う者その他の関係者に対し、特定個人情報の取扱いに関し、必要な報告若しくは資料の提出を求めること又は立入検査を行うことができる(同法第35条)。罰則の強化個人情報保護法及び「住民基本台帳法」(昭和42年法律第81号)においては、正当な理由なく個人の秘密に属する事項が記録された個人情報ファイルを提供したとき、不正な利益を図る目的で保有個人情報を提供又は盗用したとき、職務上知り得た秘密を漏えい又は盗用したとき等に罰則が科されることとされているが、番号法においては、類似の刑の上限が引き上げられている等罰則が強化されている(番号法第48条から第55条の3まで)。
なお、次表マル1からマル5まで及びマル8は、日本国外においてこれらの罪を犯した者にも適用される(番号法第56条)。
項番 行為 番号法同種法律における類似規定の罰則同種法律における類似規定の罰則 項番行為 番号法 個人情報保護法 住民基本台帳法 マル1個人番号利用事務等に従事する者又は従事していた者が、正当な理由なく、特定個人情報ファイルを提供4年以下の懲役若しくは200万円以下の罰金又は併科(第48条)2年以下の懲役又 は 100 万 円 以下の罰金(第176条) -マル2上記の者が、不正な利益を図る目的で、個人番号を提供又は盗用3年以下の懲役若しくは150万円以下の罰金又は併科(第49条)1年以下の懲役又 は 50 万 円 以下の罰金(第180条) 1年以下の懲役又は50万円以下の罰金(第43条)マル3情報提供ネットワークシステムの事務に従事する者又は従事していた者が、情報提供ネットワークシステムに関する秘密を漏えい又は盗用同上(第50条)-2年以下の懲役又は100万円以下の罰金マル4人を欺き、人に暴行を加え、人を脅迫し、又は、財物の窃取、施設への侵入、不正アクセス等により個人番号を取得3年以下の懲役又は150万円以下の罰金(第51条)--マル5国の機関の職員等(領事官であって国の機関の職員等以外の者を含む。)が、職権を濫用して、専らその職務の用以外の用に供する目的で、特定個人情報が記録された文書等を収集2年以下の懲役又は100万円以下の罰金(第52条)1年以下の懲役又は50万円以下の罰金(第181条)-マル6委員会から命令を受けた者が、委員会の命令に違反2年以下の懲役又は50万円以下の罰金(第53条)-1年以下の懲役又は50万円以下の罰金(第43条)マル7委員会に対する、虚偽の報告、虚偽の資料提出、検査拒否等1年以下の懲役又は50万円以下の罰金(第54条)-30万円以下の罰金(第46条、第47条)マル8偽りその他不正の手段により個人番号カードを取得6月以下の懲役又は50万円以下の罰金(第55条)-30万円以下の罰金(第46条)第3-5特定個人情報保護のための主体的な取組について行政機関等は、番号法等関係法令並びに本ガイドライン、個人情報保護法ガイドライン(行政機関等編)及び事務対応ガイドに従い、特定個人情報の適正な取扱いを確保するための具体的な方策について検討し、実践するとともに、国民・住民等の意見、事務の実態、技術の進歩等を踏まえ、点検・見直しを継続的に行う体制を主体的に構築することが重要である。
第3-6特定個人情報の漏えい等事案が発生した場合の対応保有個人情報の漏えい等事案が発生した場合、行政機関の長等は、個人情報保護法、「個人情報の保護に関する法律施行規則」(平成28年個人情報保護委員会規則第3号。以下「個人情報保護法施行規則」という。)、個人情報保護法ガイドライン(行政機関等編)等に基づき報告等が求められているところであるが、特定個人情報の漏えい等事案が発生した場合、行政機関等には、番号法第29条の4、「行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則」(平成27年特定個人情報保護委員会規則第5号)及び本ガイドライン「(別添2)特定個人情報の漏えい等に関する報告等(行政機関等編)」に基づき報告等が求められる。
第3-7本ガイドラインの見直しについて本ガイドラインについては、社会情勢の変化、国民意識の変化等諸環境の変化に加え、個人情報の保護に関する技術の進歩及び国際動向も踏まえつつ、必要に応じ見直しを行うものとする。
第4各論 第4-1特定個人情報の利用制限 第4-1-⑴個人番号の利用制限(関係条文)番号法第9条、第30条第1項個人情報保護法 第61条第2項、第69条 1個人番号の原則的な取扱い個人番号(注)は、番号法があらかじめ限定的に定めた事務の範囲の中から、具体的な利用目的を特定した上で、利用するのが原則である。
行政機関等が個人番号を利用するのは、個人番号利用事務、個人番号関係事務及び各議院審査等番号法第19条第13号から第17号までに基づき特定個人情報の提供を受けた目的を達成するために必要な限度で利用する事務である。
また、金融機関に該当する独立行政法人等は、激甚災害の場合等に、個人番号関係事務のために保管している個人番号を金銭の支払のために利用することができる。
行政機関等は、個人情報保護法とは異なり、本人の同意があったとしても、例外として認められる場合を除き(2参照)、これらの事務以外で個人番号を利用してはならない 。
(注)「個人番号」には、個人番号に対応して、当該個人番号に代わって用いられる番号等も含まれる(番号法第2条第8項)。例えば、数字をアルファベットに読み替えるという法則に従って、個人番号をアルファベットに置き換えた場合であっても、当該アルファベットは「個人番号」に該当することとなる。また、個人番号の一部のみを用いたものや、不可逆に変換したものであっても、個人番号の唯一無二性や悉皆性等の特性を利用して個人の特定に用いている場合等は、個人番号に該当するものと判断されることがある。一方、基礎年金番号、システムで使用している住民番号、職員番号等(個人番号を一定の法則に従って変換したものではないもの)は、「個人番号」には該当しない。
A個人番号を利用することができる事務 a個人番号利用事務(番号法第9条第1項から第3項)個人番号利用事務とは、行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が、社会保障、税、災害対策その他の行政分野において、番号法第9条第1項から第3項までの規定により、その保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう(番号法第2条第10項)。
番号法別表の各項の上欄に掲げる行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者(法令の規定により同表の当該各項の下欄に掲げる事務の全部若しくは一部を行うこととされている者又は準法定事務処理者を含む。)は、番号法第9条第1項に基づき、同表の当該各項の下欄に掲げる事務又は準法定事務において、個人番号を利用することができる(番号法第9条第1項)。
また、地方公共団体の場合は、同法別表に掲げられていない事務又は準法定事務に該当しない事務であっても、同法第9条第2項に基づき、社会保障、地方税又は防災に関する事務その他の事務であって、個人番号を利用することを条例で定めるものについて、個人番号を利用することができる(番号法第9条第2項)。
*甲市が行っている乳幼児医療手当給付事務は、番号法別表に掲げられていない事務であるが、同法第9条第2項に基づき、当該事務において個人番号を利用する旨の条例を制定して、当該手当の申請書に記載された当該申請者の個人番号を利用して甲市のデータベースから当該申請者の必要なデータを検索する場合は、この事務は個人番号利用事務に当たる。
都道府県及び市町村(特別区を含む。以下同じ。)は、地域の総合的な行政主体として複数の事務を同一の機関で処理しており、番号法別表に掲げられている事務又は準法定事務を処理するために必要な場合に、同一の機関内の複数の事務間で特定個人情報を移転し、その検索、管理を行うために個人番号を利用すること(以下「庁内連携」という。)が想定される。庁内連携を行う場合には、同一機関内であっても複数事務間で特定個人情報の移転を行うこととなることから、番号法第9条第1項に基づく事務であっても、同法第9条第2項に基づく条例を定める必要があると解されている。
なお、地方公共団体において、同法第9条第2項に基づき、条例で個人番号を利用することができることとした事務について、当該事務の根拠を定める条例において書面の提出を義務付けている場合に、同項に基づく特定個人情報の移転に係る条例を定めて庁内連携を行い、当該特定個人情報と同一の内容の情報を含む書面の提出を不要とするときは、当該書面の提出を義務付けている当該事務の根拠を定める条例を改正等する必要がある。
また、法務大臣は、同法第9条第3項に基づき、同法第19条第8号又は第9号の規定による戸籍関係情報の提供に関する事務の処理に関して保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で情報提供用個人識別符号を利用することができる。
行政機関等から個人番号利用事務の全部又は一部の委託を受けた者は、個人番号利用事務を行うことができる。この場合において、当該委託を受けた者は、委託に関する契約の内容に応じて、本ガイドラインが適用されることとなる。
b個人番号関係事務(番号法第9条第4項)個人番号関係事務とは、「国家公務員共済組合法」(昭和33年法律第128号)、「地方公務員等共済組合法」(昭和37年法律第152号)、所得税法その他の法令又は条例の規定により、個人番号利用事務の処理に関し必要な限度で他人の個人番号を利用して行う事務をいう。例えば、所得税法の規定に基づき、職員の個人番号を給与所得の源泉徴収票に記載して、税務署長に提出する事務等が該当する。
なお、行政機関等から個人番号関係事務の全部又は一部の委託を受けた者は、個人番号関係事務を行うことができる。
*給与受給者である職員が、所得税法第194条第1項の規定に従って、扶養親族の個人番号を扶養控除等申告書に記載して、勤務先である行政機関等に提出することは個人番号関係事務に当たる。
c各議院審査等番号法第19条第13号から第17号までに基づき特定個人情報の提供を受けた目的を達成するために必要な限度で利用する事務(番号法第9条第6項)番号法第19条第13号から第17号までの規定に基づき特定個人情報の提供を受けた者(第4-3-⑵2Bk~n参照)は、その提供を受けた目的を達成するために必要な限度で個人番号を利用することができる。
B利用目的以外の目的のための個人番号の利用禁止(番号法第30条第1項により読み替えて適用される個人情報保護法第69条第1項)個人番号の利用目的はできる限り特定及び明示がされなければならず、原則として個人番号は特定された利用目的の範囲内で利用されることとなる。
*行政機関等は、個人番号利用事務において申請者から個人番号の提供を受ける際に、当該個人番号を番号法第19条第8号から第10号までに基づいて他の個人番号利用事務実施者に提供する場合があることは、明示する必要はない。
個人情報保護法は、法令に基づく場合又は本人の同意がある場合等は、個人情報を利用目的以外の目的のために利用することができることとしているが、番号法は、例外として認められる二つの場合を除き(2参照)、特定個人情報を利用目的以外の目的のために利用してはならないと定めている。
したがって、個人番号についても利用目的以外の目的のために利用してはならない。
2例外的な取扱いができる場合番号法では、次に掲げる場合に、例外的に利用目的以外の目的のための個人番号の利用を認めている。
a金融機関に該当する独立行政法人等が激甚災害時等に金銭の支払を行う場合(番号法第9条第5項、第30条第1項により読み替えて適用される個人情報保護法第69条第1項、番号法施行令(注)第10条、激甚災害が発生したとき等にあらかじめ締結した契約に基づく金銭の支払を行うために必要な限度で行う個人番号の利用に関するデジタル庁令(平成27年内閣府令第74号))
金融機関に該当する独立行政法人等は、「激甚災害に対処するための特別の財政援助等に関する法律」(昭和37年法律第150号)第2条第1項の激甚災害が発生したとき、又は「災害対策基本法」(昭和36年法律第223号)第63条第1項その他デジタル庁令で定める法令の規定により一定の区域への立入りを制限、禁止され、若しくは当該区域からの退去を命ぜられたときに、支払調書の作成等の個人番号関係事務を処理する目的で保有している個人番号について、顧客に対する金銭の支払を行うという別の目的のために、顧客の預金情報等の検索に利用することができる。
(注)番号法施行令とは、「行政手続における特定の個人を識別するための番号の利用等に関する法律施行令」(平成26年政令第155号)をいう(以下同じ。)。
b人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難である場合(番号法第30条第1項により読み替えて適用される個人情報保護法第69条第2項第1号)
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、行政機関等は、個人番号利用事務等を処理する目的で保有している個人番号について、人の生命、身体又は財産を保護するために利用することができる。
第4-1-⑵特定個人情報ファイルの作成の制限 (関係条文) 番号法第29条 ●特定個人情報ファイルの作成の制限(番号法第29条)行政機関等その他個人番号利用事務等に従事する者が、特定個人情報ファイルを作成することができるのは、個人番号利用事務等を処理するために必要な場合、又は番号法第19条第13号から第17号までのいずれかに該当して特定個人情報を提供し、又はその提供を受けることができる場合に限定されており、これらの場合を除き特定個人情報ファイルを作成してはならない。
第4-2特定個人情報の安全管理措置等第4-2-⑴委託の取扱い (関係条文) 番号法第10条、第11条 個人情報保護法 第66条 1委託先の監督(番号法第11条、個人情報保護法第66条) A委託先における安全管理措置個人情報保護法第66条第2項第1号において、委託を受けた者は、当該委託を受けた業務に係る保有個人情報の安全管理措置を講ずることを義務付けられている。
これに加え、番号法は、個人番号利用事務等の全部又は一部の委託をする者は、委託した個人番号利用事務等で取り扱う特定個人情報の安全管理措置が適切に講じられるよう「委託を受けた者」に対する必要かつ適切な監督を行わなければならないとしている。
このため、個人番号利用事務等の全部又は一部の委託をする行政機関等は、「委託を受けた者」において、番号法に基づき個人番号利用事務等を行う行政機関等が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
なお、「委託を受けた者」を適切に監督するために必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性がある。
B必要かつ適切な監督「必要かつ適切な監督」には、マル1委託先の適切な選定、マル2委託先に安全管理措置を遵守させるために必要な委託契約の締結、マル3委託先における特定個人情報の取扱状況の把握が含まれる。
委託先の選定については、個人番号利用事務等を行う行政機関等は、委託先において、番号法に基づき当該行政機関等が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。具体的な確認事項としては、委託先の設備、技術水準、従業者(注1)に対する監督・教育の状況、その他委託先の経営環境等が挙げられる。
委託先に安全管理措置を遵守させるために必要な委託契約の締結については、契約内容として、秘密保持義務、委託する業務の遂行に必要な範囲を超える事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい等事案が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、特定個人情報を取り扱う従業者の明確化、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定を盛り込むとともに、行政機関等において必要があると認めるときは委託先に対して、実地の監査、調査等を行うことができる規定等を盛り込まなければならない。
委託先における特定個人情報の取扱状況の把握については、前記の契約に基づき報告を求めること、委託先に対して実地の監査、調査等(注2)を行うこと等により、委託契約で盛り込んだ内容の実施の程度を把握した上で、委託の内容等の見直しを検討することを含め、適切に評価する。
(注1)「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいう。具体的には、従業員のほか、取締役、監査役、理事、監事、派遣社員等を含む。 (注2)監査、調査等の実効性が担保される限りにおいて、デジタル技術を活用した方法によることも可能である。 2再委託(番号法第10条、第11条)A再委託の要件(第10条第1項)個人番号利用事務等の全部又は一部の「委託を受けた者」は、当該個人番号利用事務等の委託をした者の許諾を得た場合に限り、再委託をすることができる。
*市役所甲が、保険給付の支給に関する事務(個人番号利用事務)の一部を、事業者乙に委託している場合、乙は、「当該個人番号利用事務等の委託をした者」である市役所甲の許諾を得た場合に限り、同事務を別の事業者丙に委託することができる。
B再委託の効果(第10条第2項)再委託を受けた者は、個人番号利用事務等の全部又は一部の「委託を受けた者」とみなされ、再委託を受けた個人番号利用事務等を行うことができるほか、最初に当該個人番号利用事務等の委託をした者である行政機関等の許諾を得た場合に限り、その事務を更に再委託することができる。
このように、行政機関等が許諾を与えることが個人番号利用事務等の再委託の要件とされていることから、行政機関等は、委託をする個人番号利用事務等において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で再委託の諾否を判断しなければならない。
*更に再委託をする場合も、その許諾を得る相手は、最初に当該個人番号利用事務等の委託をした行政機関等である。したがって、個人番号利用事務等が、行政機関等→甲→乙→丙→丁と順次委託される場合、丙は、最初に当該個人番号利用事務等の委託をした者である行政機関等の許諾を得た場合に限り、別の事業者丁に再委託を行うことができる。更に再委託が繰り返される場合も同様である。
なお、乙は丙を監督する義務があるため、乙・丙間の委託契約の内容に、丙が再委託する場合の取扱いを定め、再委託を行う場合の条件、再委託した場合の乙に対する通知義務等を盛り込む。
*「委託を受けた者」が、番号法第10条の規定に違反して、最初に個人番号利用事務等の委託をした者である行政機関等の許諾を得ずに当該個人番号利用事務等を再委託した場合、「委託を受けた者」は同法第19条(提供制限)にも違反することとなり、当該再委託を受けた者も同法第15条(提供の求めの制限)及び第20条(収集・保管制限)に違反すると判断される可能性があるため、留意する必要がある。 C再委託先の監督(第11条)1Aにおける「委託を受けた者」とは、行政機関等が直接委託する事業者を指すが、行政機関等→甲→乙→丙→丁と順次委託される場合、甲に対する行政機関等の監督義務の内容には、再委託の適否だけではなく、甲が乙、丙、丁に対して必要かつ適切な監督を行っているかどうかを監督することも含まれる。したがって、行政機関等は甲に対する監督義務だけではなく、再委託先である乙、丙、丁に対しても間接的に監督義務を負うこととなる。
第4-2-⑵安全管理措置 (関係条文) 番号法第12条個人情報保護法 第66条、第67条 ●安全管理措置(番号法第12条、個人情報保護法第66条、第67条)個人番号利用事務等実施者は、個人番号(生存する個人のものだけでなく死者のものも含む。)の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならない。また、行政機関の長等は、保有個人情報である特定個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報である特定個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
行政機関等は、安全管理措置の検討に当たり、番号法及び個人情報保護法並びに本ガイドライン(「(別添1)特定個人情報に関する安全管理措置(行政機関等編)」を含む。)、個人情報保護法ガイドライン(行政機関等編)及び事務対応ガイドを遵守することを前提とする。
また、行政機関等は、個人のプライバシー等の権利利益に影響を与え得る特定個人情報の漏えいその他の事態を発生させるリスクを軽減するための措置として特定個人情報保護評価書に記載した全ての措置を講ずるものとする。
※安全管理措置の具体的な内容については、「(別添1)特定個人情報に関する安全管理措置(行政機関等編)」を参照のこと。
第4-3特定個人情報の提供制限等第4-3-⑴個人番号の提供の要求(関係条文) 番号法第14条 1提供の要求(番号法第14条第1項)行政機関等は、個人番号利用事務等を行うため、本人又は他の個人番号利用事務等実施者から個人番号の提供を受ける必要がある。番号法第14条第1項は、個人番号利用事務等実施者(同法第9条第3項の規定により情報提供用個人識別符号を利用する者を除く。以下この項及び2において同じ。)が個人番号の提供を求めるための根拠となる規定である。
個人番号利用事務等実施者は、本条により、個人番号利用事務等を処理するために必要がある場合、本人又は他の個人番号利用事務等実施者に対し個人番号の提供を求めることとなる。
2提供を求める時期個人番号利用事務等実施者は、個人番号利用事務等を処理するために必要があるときに個人番号の提供を求めることとなる。
*行政機関等の場合、個人番号利用事務に関しては、本人が申請・届出等を行う時点で個人番号の提供を求めることが一般的である。
3地方公共団体情報システム機構に対する提供の要求(番号法第14条第2項、番号法施行令第11条)個人番号利用事務実施者(住民基本台帳法別表第1から別表第4までの上欄に掲げる者及び同法第30条の10第1項第2号、第30条の11第1項第2号、第30条の12第1項第2号、第30条の15の2第1項、第30条の44の3第1項第2号、第30条の44の4第1項第2号、第30条の44の5第1項第2号又は第30条の44の7第1項に規定する場合においてこれらの規定に規定する求めをした者(番号法第9条第3項の規定により情報提供用個人識別符号を利用する者を除く。)に限る。)は、個人番号利用事務を処理するために必要があるときは、住民基本台帳法第30条の9から第30条の12まで、第30条の15の2第1項、第30条の44から第30条の44の5まで又は第30条の44の7第1項の規定により、地方公共団体情報システム機構に対し、同法第30条の7第4項に規定する機構保存本人確認情報又は同法第30条の42第4項に規定する機構保存附票本人確認情報(以下「機構保存本人確認情報等」という。)の提供を求めることができる。
第4-3-⑵個人番号の提供の求めの制限、特定個人情報の提供制限 (関係条文) 番号法第15条、第19条、第30条第1項、第31条第1項及び第2項 個人情報保護法 第69条 1提供の求めの制限(番号法第15条)何人も、番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き、他人(注)の個人番号の提供を求めてはならない。
*行政機関等は、給与の源泉徴収事務を処理する目的で、給与受給者である職員に対し、個人番号の提供を求めることとなる。一方、職員の人事評価等を管理する目的で、個人番号の提供を求めてはならない。(注)番号法第15条及び第20条において、他人とは「自己と同一の世帯に属する者以外の者」であり、子、配偶者等の自己と同一の世帯に属する者に対しては、同法第19条各号のいずれかに該当しなくても、個人番号の提供を求めることができる。
2特定個人情報の提供制限(番号法第19条)何人も、番号法で限定的に明記された場合を除き、特定個人情報を「提供」してはならない。
A「提供」の意義について行政機関等の場合は、当該行政機関等を超えて特定個人情報が移動することが「提供」である。
なお、地方公共団体の場合は、当該地方公共団体から他の地方公共団体や行政機関へ特定個人情報が移動することが「提供」であり、同一地方公共団体内の異なる機関に特定個人情報が移動することも「提供」に当たる。
*「提供」に当たらない場合甲市の市長部局にある税務課から、同じ市長部局にある福祉課に特定個人情報が移転する場合は、同じ甲市市長部局内であるから、「提供」には当たらず、「利用」となる(第4-1-⑴1Aa参照)。
*「提供」に当たる場合甲市の市長部局にある市民課から、甲市教育委員会に特定個人情報が移動する場合は、同一地方公共団体内の異なる機関に特定個人情報が移動することから、「提供」に当たる。なお、この場合、番号法第19条第8号に基づく情報連携によらず甲市教育委員会が特定個人情報の提供を受けるためには、同条第11号に基づき、甲市教育委員会に対し特定個人情報を提供する旨の条例が定められる必要がある。
B特定個人情報を提供できる場合(番号法第19条第1号から第17号まで)特定個人情報を提供できる場合として、番号法第19条各号が定めているもののうち行政機関等が関わるものは、次のとおりである。
a個人番号利用事務実施者からの提供(第1号)個人番号利用事務実施者(同法第9条第3項の規定により情報提供用個人識別符号を利用する者を除く。以下この号において同じ。)が、個人番号利用事務を処理するために、必要な限度で本人、代理人又は個人番号関係事務実施者に特定個人情報を提供する場合である。
*市町村長(個人番号利用事務実施者)は、本条を根拠として住民税を徴収(個人番号利用事務)するために、事業者(個人番号関係事務実施者:特別徴収による住民税の納入事務)に対し、その従業員等の個人番号と共に特別徴収税額を通知することができる。 b個人番号関係事務実施者からの提供(第2号)個人番号関係事務実施者は、個人番号関係事務を処理するに当たり、必要な限度で特定個人情報を提供することとなる。
*行政機関等(個人番号関係事務実施者)は、所得税法第226条第1項の規定に従って、給与所得の源泉徴収票の提出という個人番号関係事務を処理するために、職員の個人番号が記載された給与所得の源泉徴収票を作成し、税務署長に提出することとなる。*給与受給者である職員は、扶養控除等申告書の提出という個人番号関係事務を処理するために、勤務先である行政機関等(個人番号関係事務実施者)に対し、その扶養親族の個人番号を記載した扶養控除等申告書を提出することとなる(この場合、職員は個人番号関係事務実施者となる。)。 c本人又は代理人からの提供(第3号)本人又はその代理人は、個人番号利用事務等実施者に対し、本人の個人番号を含む特定個人情報を提供することとなる。
本人又はその代理人からの特定個人情報の提供により、行政機関等は個人番号の提供を受け、それを個人番号利用事務のために利用することができる。
d使用者等から他の使用者等に対する従業者等に関する特定個人情報の提供(第4号)従業者等(従業者、法人の業務を執行する役員又は国若しくは地方公共団体の公務員をいう。以下本号において同じ。)の出向・転籍・退職等があった場合において、当該従業者等の同意があるときは、出向・転籍・退職等前の使用者等(使用者、法人又は国若しくは地方公共団体をいう。以下本号において同じ。)から出向・転籍・再就職等先の使用者等に対して、その個人番号関係事務を処理するために必要な限度で、当該従業者等の個人番号を含む特定個人情報を提供することができる。
本号に基づく特定個人情報の提供は、従業者等の出向・転籍・退職等があった場合に、当該従業者等の同意を得た上で、行われるものである。
そのため、出向・転籍・退職等前の使用者等は、当該従業者等の出向・転籍・再就職等先の決定以後に、個人番号を含む特定個人情報の具体的な提供先を明らかにした上で、当該従業者等から同意を取得することが必要となる。
なお、本号により特定個人情報の提供を受けた使用者等は、番号法第16条に基づく本人確認は不要である。
*本号に基づき提供が認められる特定個人情報の範囲は、社会保障、税分野に係る健康保険・厚生年金保険被保険者資格取得届、給与支払報告書や支払調書の提出など、出向・転籍・再就職等先の使用者等が「その個人番号関係事務を処理するために必要な限度」に限定される。例えば、従業者等の氏名、住所、生年月日等や前職の給与額等については、これらの社会保障、税分野に係る届出、提出等に必要な情報であることが想定されるため、本号に基づく提供が認められる。一方、個別の事案ごとに、具体的に判断されることになるが、前職の離職理由等の、当該届出、提出等に必要な情報であるとは想定されない情報については、本号に基づく提供は認められないと解される。
*「従業者等の同意を得」るとは、従業者等の承諾する旨の意思表示を使用者等が認識することをいい、特定個人情報の取扱状況に応じ、従業者等が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。具体的には、どのような特定個人情報が出向・転籍・再就職等先の使用者等に対して提供されることになるのか、従業者等が認識した上で、同意に係る判断を行うことができるよう、出向・転籍・退職等前の使用者等は留意する必要がある。
従業者等からの同意の取得については、従業者等からの同意する旨の口頭による意思表示のほか、従業者等からの同意する旨の書面(電磁的記録を含む。)の受領、従業者等からの同意する旨のメールの受信、従業者等による同意する旨の確認欄へのチェック、従業者等による同意する旨のウェブ上のボタンのクリック、従業者等による同意する旨のタッチパネルへのタッチ・ボタン等による入力等によることが考えられる。
*甲市の市長部局市民課職員が甲市教育委員会に異動する場合、当該職員の同意があるときは、その個人番号関係事務を処理するために必要な限度で、甲市の市長部局から甲市教育委員会に対し、当該職員の個人番号を含む特定個人情報を提供することができる。 e機構による個人番号の提供(第5号、第14条第2項、番号法施行令第11条)地方公共団体情報システム機構は、番号法第14条第2項の規定に基づき、個人番号利用事務実施者(住民基本台帳法別表第1から別表第4までの上欄に掲げる者及び同法第30条の10第1項第2号、第30条の11第1項第2号、第30条の12第1項第2号、第30条の15の2第1項、第30条の44の3第1項第2号、第30条の44の4第1項第2号、第30条の44の5第1項第2号又は第30条の44の7第1項に規定する場合においてこれらの規定に規定する求めをした者(番号法第9条第3項の規定により情報提供用個人識別符号を利用する者を除く。)に限る。)に個人番号を含む機構保存本人確認情報等を提供することができる。
f委託、合併に伴う提供(第6号)特定個人情報の取扱いの全部若しくは一部の委託又は合併その他の事由(市町村合併や機関の統廃合等)による事務の承継が行われたときは、特定個人情報を提供することが認められている。
*個人番号利用事務等の委託を受けた者が、番号法第10条の規定に違反して、最初に当該個人番号利用事務等の委託をした者である行政機関等の許諾を得ずにその事務を再委託した場合、当該再委託に伴う特定個人情報の提供は同法第19条第6号の提供に該当しないため、提供制限にも違反することとなる。 g住民基本台帳法上の規定に基づく提供(第7号、番号法施行令第19条)住民基本台帳法第30条の6第1項(市町村長から都道府県知事への本人確認情報の通知等)の規定その他番号法施行令で定める同法の規定に基づき、特定個人情報を提供することができる。
なお、「その他番号法施行令で定める同法の規定」は、同法第12条第5項(本人等の請求による住民票の写し等の交付)(同法第30条の51の規定(外国人住民についての適用の特例)により読み替えて適用する場合を含む。)、第30条の7第1項(都道府県知事から機構への本人確認情報の通知等)、第30条の32第2項(自己の本人確認情報の開示)及び主務省令で定める規定である。
*市町村長は、転入者について、住民票に記載した後、住民基本台帳法第30条の6第1項の規定に基づき、当該転入者の個人番号を含む本人確認情報を都道府県知事に通知することとなる。 h情報提供ネットワークシステムによる提供(第8号、第9号、番号法施行令第20条、番号法第十九条第九号規則)情報照会者が、情報提供者に対し、特定個人番号利用事務を処理するために必要な利用特定個人情報(情報提供者の保有する特定個人情報ファイルに記録されたものに限る。)の提供を求めた場合において、情報提供者は、情報提供ネットワークシステムを使用して当該利用特定個人情報を提供することができる(第4-3-⑶参照)。
また、条例事務関係情報照会者が、条例事務関係情報提供者に対し、条例事務を処理するために必要な利用特定個人情報であって当該事務の内容に応じて個人情報保護委員会規則(番号法第十九条第九号規則第2条第4項)で定めるもの(注)(条例事務関係情報提供者の保有する特定個人情報ファイルに記録されたものに限る。)の提供を求めた場合において、条例事務関係情報提供者は、情報提供ネットワークシステムを使用して当該利用特定個人情報を提供することができる。
(注)法定事務等において情報提供者に提供を求める利用特定個人情報の範囲と同一又はその一部である利用特定個人情報をいう。ただし、次に掲げる利用特定個人情報を除く(番号法第十九条第九号規則第2条第4項参照)。
一提供を求めた利用特定個人情報が地方税関係情報である場合において、当該地方税関係情報の提供を求めることについて本人の同意がない場合における当該地方税関係情報二限定機関が、行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第九号の規定により提供することができる利用特定個人情報の範囲の限定に関する規則第2条第1項の規定に基づきあらかじめその旨を委員会に申し出た場合において、条例により提供しないこととされた利用特定個人情報の範囲における当該利用特定個人情報 ⅰ国税・地方税法令に基づく国税連携及び地方税連携による提供(第10号、番号法施行令第21条、第22条)「地方税法」(昭和25年法律第226号)第46条第4項若しくは第5項(個人の道府県民税の賦課徴収に関する報告等)、第72条の58(道府県知事の通知義務)、第317条(市町村による所得の計算の通知)、第325条(所得税又は法人税に関する書類の供覧等)又は第739条の5第7項(個人の道府県民税に係る徴収及び滞納処分の特例等)の規定その他番号法施行令で定める同法若しくは森林環境税及び森林環境譲与税に関する法律(平成31年法律第3号)又は国税(国税通則法(昭和37年法律第66号)第2条第1号に規定する国税をいう。以下同じ。)に関する法律の規定により、国税庁長官が都道府県知事若しくは市町村長に国税に関する特定個人情報を提供する場合又は都道府県知事若しくは市町村長が国税庁長官若しくは他の都道府県知事若しくは市町村長に地方税若しくは森林環境税に関する特定個人情報を提供する場合において、その特定個人情報の安全を確保するために必要な措置を講じているときは、それぞれ特定個人情報を提供することができる。
なお、「その他番号法施行令で定める同法の規定」は、番号法施行令第21条で定められており、地方税法第72条の59(所得税又は道府県民税に関する書類の供覧等)、第294条第3項(市町村民税の納税義務者等)、若しくは第739条の5第2項(個人の道府県民税に係る徴収及び滞納処分の特例等)の規定その他主務省令で定める同法の規定又は「外国居住者等の所得に対する相互主義による所得税等の非課税等に関する法律」(昭和37年法律第144号)第40条第4項において準用する同法第39条第1項から第3項まで若しくは同法第40条第7項において準用する同法第39条第6項から第9項まで(これらの規定を同法第42条第1項において準用する場合を含む。)(国外事業所等との間の内部取引につき国外所得金額の計算の特例の適用がある場合等の徴収猶予の特例等)の規定である。
「特定個人情報の安全を確保するために必要な措置」は、番号法施行令第22条で定められており、マル1特定個人情報の提供を受ける者の名称、特定個人情報の提供の日時及び提供する特定個人情報の項目その他主務省令で定める事項を記録し、並びにその記録を7年間保存すること、マル2提供する特定個人情報が漏えいした場合において、その旨及びその理由を遅滞なく委員会に報告するために必要な体制を整備するとともに、提供を受ける者が同様の体制を整備していることを確認すること並びにマル3これらのほか特定個人情報の安全を確保するために必要な措置として「行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則」(平成26年内閣府・総務省令第3号。以下「番号法施行規則」という。)で定める措置をいう。
*甲市長は、地方税法第315条第1号ただし書の規定に基づき、甲市内に住所を有する個人の所得税に係る申告書に記載されている金額が過少であると認められた場合に、自ら調査し、その調査に基づいて自ら所得を計算して市民税を課したときに、その特定個人情報の安全を確保するための必要な措置を講じた上で、同法第317条の規定に基づき、その市の区域を管轄する乙税務署長に対して、その個人の総所得金額等を当該個人の個人番号と共に通知することとなる。 j地方公共団体の他の機関に対する提供(第11号)地方公共団体の機関は、条例で定めるところにより、その地方公共団体の他の機関に、その事務を処理するために必要な限度で特定個人情報を提供することができる。
この場合において、提供を受ける機関には個人番号を利用する法的根拠があることが前提とされていることから、提供を受けることのできる機関は、法令又は条例に基づく個人番号利用事務実施者である必要がある。
なお、地方公共団体内の他の機関に特定個人情報を提供するために番号法第19条第11号に基づく条例を定める場合、同法第9条第2項に基づき個人番号を利用することができることとした事務の根拠となる条例において書面の提出を義務付けているときは、当該特定個人情報と同一の内容の情報を含む書面の提出を不要とする場合が考えられる。この場合、当該書面の提出を義務付けている条例等の改正等が必要となる。
*甲市の市長部局にある税務部門は、甲市教育委員会が個人番号利用事務である学校保健安全法に基づく医療費用援助に関する事務を処理するため、条例で定めるところにより、地方税情報を甲市教育委員会に提供することができる。k委員会からの提供の求め(第13号)委員会が、特定個人情報の取扱いに関し、番号法第35条第1項の規定により、特定個人情報の提出を求めた場合には、この求めに応じ、委員会に対し、特定個人情報を提供しなければならない。
l各議院審査等その他公益上の必要があるときの提供(第15号、番号法施行令第25条、同施行令別表)マル1各議院の審査、調査の手続、マル2訴訟手続その他の裁判所における手続、マル3裁判の執行、マル4刑事事件の捜査、マル5租税に関する法律の規定に基づく犯則事件の調査、マル6会計検査院の検査が行われるとき、マル7公益上の必要があるときは、特定個人情報を提供することができる。マル7の公益上の必要があるときは、番号法施行令第25条で定められており、「私的独占の禁止及び公正取引の確保に関する法律」(昭和22年法律第54号)の規定による犯則事件の調査(番号法施行令別表第2号)、「金融商品取引法」(昭和23年法律第25号)の規定による犯則事件の調査(同表第4号)、租税調査(同表第8号)、個人情報保護法の規定による報告徴収(同表第19号)、「犯罪による収益の移転防止に関する法律」(平成19年法律第22号)の規定による届出(同表第21号)等がある。
m人の生命、身体又は財産の保護のための提供(第16号)人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるときは、特定個人情報を提供することができる。
n委員会規則に基づく提供(第17号)番号法第19条第1号から第16号までに準ずるものとして委員会規則で定めた場合には、特定個人情報を提供することができる。
C個人情報保護法による提供の制限との違い個人情報保護法第69条は、保有個人情報について、法令の規定に基づく場合、本人の同意がある場合等には、第三者に提供することができることとしている。
一方、番号法においては、他の法令の規定や本人の同意があったとしても、同法第19条各号に該当する場合を除いて、特定個人情報を提供してはならない。
したがって、特定個人情報の提供を求められた場合には、その提供を求める根拠が、同法第19条各号に該当するものかどうかをよく確認し、同条各号に該当しない場合には、特定個人情報を提供してはならない。
*個人情報保護法の規定に基づく開示請求、訂正請求又は利用停止請求において、本人から個人番号を付して請求が行われた場合や本人に対しその個人番号又は特定個人情報を提供する場合は、番号法第19条各号に定めはないものの、法の解釈上当然に特定個人情報の提供が認められるべき場合であり、特定個人情報を提供することができる。 第4-3-⑶情報提供ネットワークシステムによる利用特定個人情報の提供 (関係条文) 番号法第19条第8号又は第9号、第21条から第26条まで、第31条個人情報保護法第69条 1情報提供ネットワークシステムによる利用特定個人情報の情報連携A情報提供ネットワークシステム(番号法第21条、第26条)情報提供ネットワークシステムとは、番号法第19条第8号又は第9号の規定に基づき、同法第2条第14項に規定する行政機関の長等(行政機関の長、地方公共団体の機関、独立行政法人等、地方独立行政法人及び地方公共団体情報システム機構並びに情報照会者及び情報提供者並びに条例事務関係情報照会者及び条例事務関係情報提供者をいう。以下第4-3-⑶及び第4-5において同じ。)の間で、利用特定個人情報を安全、効率的にやり取りするための情報システムであり、番号法第21条第1項の規定に基づき、内閣総理大臣が、委員会と協議の上、設置し、管理するものである。
B利用特定個人情報の情報連携(番号法第19条第8号又は第9号)行政機関の長等は、番号法第19条第8号の規定、同法別表及び主務省令に基づき、情報提供ネットワークシステムを使用して、情報照会者として他の特定個人番号利用事務を処理する者等から特定個人番号利用事務を処理するために必要な利用特定個人情報の提供を受け、又は情報提供者として他の特定個人番号利用事務を処理する者に対し利用特定個人情報を提供することとなる。また、同法第19条第9号の規定及び番号法第十九条第九号規則に基づき、情報提供ネットワークシステムを使用して、条例事務関係情報照会者として条例事務関係情報提供者から条例事務を処理するために必要な利用特定個人情報であって当該事務の内容に応じて個人情報保護委員会規則(番号法第十九条第九号規則第2条第4項)で定めるもの(条例事務関係情報提供者の保有する特定個人情報ファイルに記録されたものに限る。)(注)の提供を受け、又は条例事務関係情報提供者として条例事務関係情報照会者に対して当該利用特定個人情報(注)を提供することも認められる。このような情報のやり取りを情報連携という。
行政機関の長等においては、それぞれ設置される中間サーバ等(中間サーバに相当する機能を有する既存業務システムを含む。)を通じて情報提供ネットワークシステムにアクセスし、利用特定個人情報について、原則としてシステム上自動的に照会・提供を行うこととなる。したがって、こうした中間サーバ等及びこれに付随するシステム等の管理についての環境を整備することが必要となる。
また、情報提供ネットワークシステムを使用することができるのは、行政機関の長等に限られる。したがって、行政機関等から個人番号利用事務の委託を受けた者(法令の規定により、特定個人番号利用事務の全部又は一部を行うこととされている者及び利用特定個人情報の利用又は提供に関する事務の全部又は一部を行うこととされている者を除く。)は、情報提供ネットワークシステムに接続された端末を操作して情報照会等を行うことはできない。
(注)法定事務等において情報提供者に提供を求める利用特定個人情報の範囲と同一又はその一部である利用特定個人情報をいう。ただし、次に掲げる利用特定個人情報を除く(番号法第十九条第九号規則第2条第4項参照)。
一提供を求めた利用特定個人情報が地方税関係情報である場合において、当該地方税関係情報の提供を求めることについて本人の同意がない場合における当該地方税関係情報二限定機関が、行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第九号の規定により提供することができる利用特定個人情報の範囲の限定に関する規則第2条第1項の規定に基づきあらかじめその旨を委員会に申し出た場合において、条例により提供しないこととされた利用特定個人情報の範囲における当該利用特定個人情報 〈参考〉取得番号の取扱いに係る留意事項情報連携に必要な情報提供用個人識別符号(番号法第9条第3項に規定する情報提供用個人識別符号をいう。)の取得に当たって用いられる符号である取得番号(同法第21条の2第2項に規定する取得番号をいう。)に関しては、同条第3項において、「情報照会者等(情報照会者又は情報提供者をいう。)、内閣総理大臣、地方公共団体情報システム機構及び前項の市町村長は、情報提供用個人識別符号の取得に係る事務を行う目的の達成に必要な範囲を超えて、取得番号を保有してはならない」旨、及び同条第6項において、「取得番号の提供を受けた者は、その提供を受けた目的の達成に必要な範囲を超えて、当該取得番号を保有してはならない」旨、それぞれ規定されている。
したがって、情報照会者等、内閣総理大臣、地方公共団体情報システム機構及び市町村長並びに取得番号の提供を受けた者は、情報提供用個人識別符号の取得後、当該情報提供用個人識別符号の取得に係る事務を処理する必要がなくなった場合で、文書管理に関する規程等によって定められている保存期間を経過した場合には、取得番号を削除する必要がある。
C情報連携による利用特定個人情報の提供(番号法第22条、第26条、番号法施行令第29条)情報提供者又は条例事務関係情報提供者は、番号法第19条第8号又は第9号の規定により利用特定個人情報の提供を求められた場合において、同法第21条第2項の規定による内閣総理大臣からの通知を受けたときは、番号法施行令で定めるところにより、情報照会者又は条例事務関係情報照会者に対して求められた利用特定個人情報を提供しなければならない(注)(番号法第22条第1項、第26条、番号法施行令第29条)。具体的には、情報提供ネットワークシステム上でのやり取りとなることから、中間サーバ等及びこれに付随するシステム等の管理についての環境を整備することが必要となる。
また、同法第22条第1項の規定による利用特定個人情報の提供があった場合において、他の法令又は条例の規定により当該利用特定個人情報と同一の内容の情報を含む書面の提出が義務付けられているときは、同条第2項の規定により当該書面の提出があったものとみなされることから、当該書面を提出すべき者は、当該書面を提出する必要がなくなる。
*児童扶養手当の支給を受けるには、所得証明書の提出が必要であるが(児童扶養手当法施行規則(昭和36年厚生省令第51号) 第1条第7号)、情報提供ネットワークシステムを使用して所得情報の提供が行われる場合には、申請者は所得証明書の提出義務を免除される。(注)限定機関が、「行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第九号の規定により提供することができる利用特定個人情報の範囲の限定に関する規則」第2条第1項の規定に基づきあらかじめその旨を委員会に申し出た場合において、提供の求めに係る利用特定個人情報が当該限定された利用特定個人情報の範囲に含まれないときは、この限りでない。
2情報提供等の記録 A 情報提供等の記録の作成・保存義務(番号法第23条、第26条、番号法施行令第30条)情報照会者及び情報提供者又は条例事務関係情報照会者及び条例事務関係情報提供者は、番号法第23条で定める以下のaからcまでの場合に、情報提供ネットワークシステムに接続されたその者の使用する電子計算機に、番号法で定める一定の事項を記録し(「情報提供等の記録」)、番号法施行令で定める期間(番号法施行令第30条の規定により7年間とされている。)保存しなければならない。情報提供等の記録は、システム上で記録されることから、中間サーバ等及びこれに付随するシステム等の管理についての環境を整備することが必要となる。
a情報照会者及び情報提供者又は条例事務関係情報照会者及び条例事務関係情報提供者は、番号法第19条第8号又は第9号の規定により利用特定個人情報の提供の求め又は提供があったときは、情報提供ネットワークシステムに接続されたその者の使用する電子計算機に次に掲げる事項を記録し、当該記録を7年間保存しなければならない(番号法第23条第1項、第26条)。 一情報照会者及び情報提供者又は条例事務関係情報照会者及び条例事務関係情報提供者の名称 二提供の求めの日時及び提供があったときはその日時 三利用特定個人情報の項目 四一から三までに掲げるもののほか、デジタル庁令で定める事項 b情報照会者及び情報提供者又は条例事務関係情報照会者及び条例事務関係情報提供者は、aに規定する事項のほか、当該利用特定個人情報の提供の求め又は提供の事実が、次に掲げる事項に該当する場合には、その旨を情報提供ネットワークシステムに接続されたその者の使用する電子計算機に記録し、当該記録を7年間保存しなければならない(番号法第23条第2項、第26条)。 一個人情報保護法第78条第1項(個人情報保護法第125条第2項の規定によりみなして適用する場合を含む。二において同じ。)に規定する不開示情報に該当すると認めるとき。 二番号法第31条第3項において準用する個人情報保護法第78条第1項に規定する不開示情報に該当すると認めるとき。なお、不開示情報に該当するかどうかの検討の対象となるのは、情報連携により提供される利用特定個人情報ではなく、当該利用特定個人情報の情報提供の求め又は提供の事実であり、これが不開示情報に該当するか否かについては、情報照会者及び情報提供者又は条例事務関係情報照会者及び条例事務関係情報提供者であるそれぞれの行政機関の長等において判断することとなることに留意する必要がある。
c内閣総理大臣は、番号法第19条第8号又は第9号の規定により利用特定個人情報の提供の求め又は提供があったときは、a及びbに規定する事項を情報提供ネットワークシステムに記録し、当該記録を7年間保存しなければならない(番号法第23条第3項、第26条)。 B情報提供等の記録に記録された特定個人情報の目的外利用の禁止 (番号法第31条、個人情報保護法第69条第1項)情報提供等の記録に記録された特定個人情報については、番号法において、個人情報保護法における利用目的以外の目的のために利用することを認める規定を全て適用除外としており、利用目的以外の目的のために利用することはできない(番号法第31条第1項又は第2項により読み替えて適用される個人情報保護法第69条第1項及び適用除外とされる同条第2項から第4項まで、番号法第31条第3項により読み替えて準用される個人情報保護法第69条第1項)。 3秘密の管理及び秘密保持義務 A情報提供等事務等に関する秘密の管理(番号法第24条、第26条) 内閣総理大臣並びに情報照会者及び情報提供者又は条例事務関係情報照会者及び条例事務関係情報提供者は、情報提供等事務(番号法第19条第8号の規定による利用特定個人情報の提供の求め又は提供に関する事務をいう。)又は条例事務関係情報提供等事務(同法第19条第9号の規定による利用特定個人情報の提供の求め又は提供に関する事務をいう。)に関する秘密について、その漏えいの防止その他の適切な管理のために、情報提供ネットワークシステム並びに情報照会者及び情報提供者又は条例事務関係情報照会者及び条例事務関係情報提供者が情報提供等事務又は条例事務関係情報提供等事務に使用する電子計算機の安全性及び信頼性を確保することその他の必要な措置を講じなければならない。B情報提供等事務等の従事者等の秘密保持義務(番号法第25条、第26条)情報提供等若しくは事務条例事務関係情報提供等事務又は情報提供ネットワークシステムの運営に関する事務に従事する者又は従事していた者は、その業務に関して知り得た当該事務に関する秘密を漏らし、又は盗用してはならない。 第4-3-⑷収集・保管制限 (関係条文) 番号法第20条 ●収集・保管の制限(番号法第20条)何人も、番号法第19条各号のいずれかに該当する場合を除き、他人(注)の個人番号を含む特定個人情報を収集又は保管してはならない。
(注)番号法第15条及び第20条において、他人とは「自己と同一の世帯に属する者以外の者」であり、子、配偶者等の自己と同一の世帯に属する者の特定個人情報は、同法第19条各号のいずれかに該当しなくても、収集又は保管することができる。
A収集制限「収集」とは、集める意思を持って自己の占有に置くことを意味し、例えば、人から個人番号を記載したメモを受け取ること、人から聞き取った個人番号をメモすること等、直接取得する場合のほか、電子計算機等を操作して個人番号を画面上に表示させ、その個人番号を書き取ること、プリントアウトすること等を含む。一方、特定個人情報の提示を受けただけでは、「収集」に当たらない。
*市立図書館の利用カードとして個人番号カードを利用する場合において、図書の貸出し等は個人番号利用事務等ではないため、市立図書館の職員は、個人番号を利用してはならず、個人番号をコピーしてはならない。*甲市役所の職員は、個人番号利用事務以外の業務において、申請者から、本人確認書類として個人番号カードを示された場合、同カードを利用して本人確認することができるが、同カードに記載された個人番号を書き写す又は個人番号カードの個人番号が記載された部分をコピーする等により個人番号を収集し、それをファイルに編綴して、執務室内に保管してはならない。*番号法第10条において、最初に個人番号利用事務等の委託をした者である行政機関等の許諾を得ずに当該個人番号利用事務等の再委託を行うことは認められない点が明示されており、当該再委託に伴う特定個人情報の提供は、同法第19条各号のいずれにも該当しない。このため、最初に個人番号利用事務等の委託をした者である行政機関等の許諾を得ていることを確認せずに当該個人番号利用事務等の再委託を受け、結果として、最初に個人番号利用事務等の委託をした者である行政機関等の許諾を得ていない再委託に伴って特定個人情報を収集した場合、番号法違反と判断される可能性がある。
ただし、例えば、個人番号を取り扱う委託業務であることが委託契約書等において明らかでないなど、当該再委託が「個人番号利用事務等の再委託」に該当することを、当該再委託を受ける者が認識できない状況で再委託が行われていた場合は、一般に、特定個人情報を収集したとは解されない。
B保管制限と廃棄個人番号は、番号法で限定的に明記された事務を処理するために収集又は保管されるものであるから、それらの事務を行う必要がある場合に限り特定個人情報を保管し続けることができる。また、行政機関等が保有する個人番号が記載された文書等については、各機関が定める文書管理に関する規程等によって保存期間が一般的に定められており、これらの文書等に記載された個人番号については、その期間保管することとなる。
一方、それらの事務を処理する必要がなくなった場合で、文書管理に関する規程等によって定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければならない。
*扶養控除等申告書は、所得税法施行規則第76条の3により、当該申告書の提出期限(毎年最初に給与等の支払を受ける日の前日まで)の属する年の翌年1月10日の翌日から7年を経過する日まで保存することとなっていることから、当該期間を経過した場合には、当該申告書に記載された個人番号を保管しておく必要はなく、番号法上、原則として、個人番号が記載された扶養控除等申告書をできるだけ速やかに廃棄しなければならない。そのため、個人番号が記載された扶養控除等申告書等の書類については、保存期間経過後における廃棄を前提とした保管体制をとることが望ましい。
*地方公共団体が保有する個人番号が記載された文書については、各地方公共団体が定める文書管理に関する規程等に基づき、保存期間満了日まで保存することとなっているが、当該期間を経過した場合には、番号法上、原則として、個人番号が記載された文書をできるだけ速やかに廃棄しなければならない。※廃棄方法等の具体的な内容については、「(別添1)特定個人情報に関する安全管理措置(行政機関等編)」を参照のこと。
第4-3-⑸本人確認 (関係条文) 番号法第16条 ●本人確認(番号法第16条)本人確認については、番号法、番号法施行令、番号法施行規則及び個人番号利用事務実施者(番号法第9条第3項の規定により情報提供用個人識別符号を利用する者を除く。)が認める方法に従うこととなるため、適切に対応する必要がある。
〈参考1:本人確認の概要〉番号法、番号法施行令及び番号法施行規則における本人確認の概要は、次のとおりである。この項目において、「法」は番号法、「令」は番号法施行令、「規」は番号法施行規則をいう(番号法施行規則第1条第1項第1号の場合は、「規1マル1一」と表記する。)。
マル1本人から個人番号の提供を受ける場合 ⅰ個人番号カードの提示を受ける場合「個人番号カード」(法16)
ⅱⅰ以外の場合(ⅰ)書類の提示を受ける場合等
「番号確認書類」 (令12マル1一)└→住民票の写し等└→困難な場合(規2マル1)+「本人の身元確認書類」(令12マル1二)└→運転免許証等(規1)├→困難な場合(規2マル3)│└→ 財務大臣等の特則(規2マル4)├→電話による場合(規2マル5)└→特定の個人と同一の者であることが明らかな場合 (規2マル6) (ⅱ)電子情報処理組織を使用して個人番号の提供を受ける場合個人番号カードのICチップの読み取り、電子署名等の送信、個人番号利用事務実施者による地方公共団体情報システム機構への確認等(規3)
マル2本人の代理人から個人番号の提供を受ける場合ⅰ書類の提示を受ける場合等「代理権確認書類」 (令12マル2一)└→戸籍謄本、委任状等(規6マル1一、二)├→困難な場合│(規6マル1三)├→代理人が法人の│場合(規6マル2)│└→電話による場合(規9マル3)+「代理人の身元確認書類」 (令12マル2二)└→個人番号カード、運転免許証等(規7マル1)├→代理人が法人の場合│(規7マル2)├→困難な場合│(規9マル1)│└→財務大臣等の特則│(規9マル2)├→電話による場合│(規9マル3)└→特定の個人と同一の者であることが明らかな場合(規9マル4) +「本人の番号確認書類」(令12マル2三)└→本人に係る 個人番号カード等(規8)└→困難な場合 (規9マル5) ⅱ電子情報処理組織を使用して個人番号の提供を受ける場合代理権証明情報及び代理人の電子署名等の送信、個人番号利用事務実施者による地方公共団体情報システム機構への確認等(規10)
※書面の送付により個人番号の提供を受ける場合は、上記で提示を受けることとされている書類又はその写しの提出を受けなければならない(規11)。
〈参考2:通知カードの廃止に係る経過措置〉「情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るための行政手続等における情報通信の技術の利用に関する法律等の一部を改正する法律」(令和元年法律第16号。以下「デジタル手続法」という。)の一部施行により、これまで番号確認書類として利用可能であった通知カード(デジタル手続法第4条の規定による改正前の番号法第7条第1項に規定する通知カードをいう。)は廃止された。
ただし、経過措置が設けられており、個人番号利用事務等実施者が、通知カードの交付を受けている者から個人番号の提供を受けるときは、通知カードの廃止日(令和2年5月25日)以後、当該通知カードに係る記載事項に変更がない場合に限り、従来と同様に、次に掲げる方法により、通知カードを本人確認に利用することができる。なお、当該廃止日前に当該通知カードに係る記載事項に変更があった場合に、市町村長から記載事項の変更の措置を受けていなければ、当該経過措置は適用されない。
マル1本人から個人番号の提供を受ける場合 「通知カード」+「本人の身元確認書類」 (旧法(注1)16)(旧規(注2)1マル1)├→運転免許証等(旧規1マル1一、二)│└→ 困難な場合(旧規1マル1三)│└→財務大臣等の特則(旧規1マル3一から四まで)│└→ 困難な場合(旧規1マル3五)└→特定の個人と同一の者であることが明らかな場合(旧規3マル6) マル2本人の代理人から個人番号の提供を受ける場合 「代理権確認書類」(旧令(注3)12マル2一)└→戸籍謄本、委任状等 (旧規6マル1一、二)├→困難な場合│ (旧規6マル1三)├→代理人が法人の│場合(旧規6マル2)││└→電話による場合(旧規9マル3)+「代理人の身元確認書類」(旧令12マル2二)└→個人番号カード、運転免許証等(旧規7マル1)├→代理人が法人の場合│(旧規7マル2)├→困難な場合│(旧規9マル1)│└→財務大臣等の特則│(旧規9マル2)├→電話による場合│(旧規9マル3)└→ 特定の個人と同一の者であることが明らかな場合(旧規9マル4)+「本人の番号確認書類」(旧令12マル2三)└→本人に係る通知カード(旧規8)※書面の送付により個人番号の提供を受ける場合は、上記で提示を受けることとされている書類又はその写しの提出を受けなければならない(旧規11)。
(注1)「デジタル手続法」第4条の規定による改正前の番号法をいう。(注2)「行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則の一部を改正する命令」(令和2年内閣府・総務省令第6号)による改正前の番号法施行規則をいう。(注3)「行政手続における特定の個人を識別するための番号の利用等に関する法律施行令の一部を改正する政令」(令和2年政令第164号)による改正前の番号法施行令をいう。 第4-4その他の取扱い第4-4-⑴保有個人情報の提供を受ける者に対する措置要求 (関係条文) 番号法第30条第1項、第31条第1項及び第2項個人情報保護法第70条 ●保有個人情報の提供を受ける者に対する措置要求(個人情報保護法第70条)行政機関等が保有する情報提供等の記録に関する措置要求については、番号法において適用除外となっている。
第4-4-⑵個人情報ファイルの保有等に関する事前通知 (関係条文) 番号法第28条、第30条、第31条個人情報保護法第74条特定個人情報保護評価に関する規則第2条特定個人情報保護評価指針 ●特定個人情報ファイルを保有しようとするときの事前通知 A事前通知(個人情報保護法第74条第1項)行政機関(会計検査院を除く。以下この項において同じ。)が特定個人情報ファイル(情報提供等の記録を含む。)を保有しようとするときは、個人情報ファイルを保有しようとするときと同様、個人情報保護法第74条第1項の規定が適用される。 なお、特定個人情報について個人情報保護法が適用されるときは、同法の規定中「個人情報ファイル」とあるのは「個人情報ファイルである特定個人情報ファイル」を意味する。
また、行政機関が、番号法第28条第1項に規定する評価書(全項目評価書)を委員会へ提出し、特定個人情報ファイルの取扱いについて、同条第2項の規定により委員会の承認を受け、同条第4項の規定により公表したときは、同法第28条第5項の規定により個人情報保護法第74条第1項の規定による委員会に対する通知があったものとみなされる。
委員会は、「特定個人情報保護評価指針」(平成26年特定個人情報保護委員会告示第4号)第8において、行政機関が「特定個人情報保護評価に関する規則」(平成26年特定個人情報保護委員会規則第1号)第2条第2号に規定する重点項目評価書を委員会へ提出し、公表したときについても、委員会に対する事前通知があったものとして取り扱うこととしている。
一方、地方公共団体の機関、独立行政法人等及び地方独立行政法人は、特定個人情報ファイルを保有する前に委員会に通知する必要はない。
B事前通知が不要の場合(個人情報保護法第74条第2項)個人情報保護法第74条第2項の規定は、特定個人情報ファイルについても個人情報ファイルと同様に適用されることから、同項各号に掲げる個人情報ファイル(例:行政機関の職員の給与に関する事項を記録するもの)に相当する特定個人情報ファイルについては、行政機関の長は、委員会に事前に通知する必要がない。
ただし、事前に通知する必要がない場合であっても、番号法第28条の規定に基づき、特定個人情報ファイルを保有する前に特定個人情報保護評価を実施するものとされていることに留意する必要がある。
C保有をやめたときの通知(個人情報保護法第74条第3項)行政機関の長は、個人情報保護法第74条第1項に規定する事項を通知した特定個人情報ファイルについて、当該行政機関がその保有をやめたとき、又はその個人情報ファイルが同条第2項第9号に該当するに至ったときは、遅滞なく、委員会に対しその旨を通知しなければならない。
〈参考〉行政機関における委員会への事前通知等の要否 事前通知等の要否具体的な場面 必要な場合マル1特定個人情報ファイルを保有しようとするとき(注)マル2通知した事項を変更しようとするとき(注)マル3特定個人情報ファイルの保有をやめたときマル4特定個人情報ファイルにおける本人の数が千人に満たなくなったとき(注)全項目評価書を委員会に提出し、特定個人情報ファイルの取扱いについて委員会の承認を受け、公表したときは、委員会に対する事前通知があったものとみなされる。また、重点項目評価書を委員会へ提出し、公表したときについても、委員会に対する事前通知があったものとして取り扱われる。
不要な場合個人情報保護法第74条第2項各号に掲げる個人情報ファイルに相当する特定個人情報ファイル(地方公共団体の機関、独立行政法人等及び地方独立行政法人は、委員会へ事前通知等をする必要はない。)
第4-4-⑶開示 (関係条文) 番号法第30条第1項、第31条第1項及び第2項個人情報保護法第76条から第89条まで ●開示(番号法第30条第1項により読み替えて適用される個人情報保護法第76条から第89条まで。情報提供等の記録については番号法第31条第1項及び第2項により読み替えて適用される個人情報保護法第76条から第89条まで。番号法施行令第33条)行政機関等の保有する特定個人情報については、個人情報と同様、個人情報保護法の規定により、何人も行政機関の長等に対して自己を本人とする保有個人情報である特定個人情報の開示を請求することができる(個人情報保護法第76条第1項)。
ただし、特定個人情報については、次のAからCまでについて個人情報保護法と異なる規定となっているので留意する必要がある。
なお、個人情報保護法第58条第1項各号に掲げる法人は、個人情報保護法第125条により適用される規定があるので留意する必要がある。
A事案の移送の禁止情報提供等の記録については、事案の移送が禁止されている。
B他の法令による開示の実施との調整個人情報保護法第88条の適用を除外し、他の法令(条例を含む。第4-6において同じ。)の規定に基づき開示することとされている場合であっても、開示の実施の調整は行わないこととしている。
C開示請求の手数料の免除開示請求に係る手数料について、経済的困難その他特別の理由があると認めるときは免除することができる。
第4-4-⑷訂正 (関係条文) 番号法第30条第1項、第31条第1項及び第2項個人情報保護法第90条から第97条まで ●訂正(個人情報保護法第90条から第97条まで。情報提供等の記録については番号法第31条第1項及び第2項により読み替えて適用される個人情報保護法第90条から第97条まで)行政機関等の保有する特定個人情報については、個人情報と同様、個人情報保護法の規定により、何人も行政機関の長等に対して自己を本人とする特定個人情報で開示を受けたものについての訂正を請求することができる(個人情報保護法第90条第1項)。
ただし、特定個人情報については、次のA及びBについて個人情報保護法と異なる規定となっているので留意する必要がある。
なお、個人情報保護法第58条第1項各号に掲げる法人は、個人情報保護法第125条により適用される規定があるので留意する必要がある。
A事案の移送の禁止特定個人情報の開示の場合と同様、情報提供等の記録については事案の移送が禁止されている。
B訂正を実施した場合の通知先の変更情報提供等の記録について訂正を実施した場合において必要があるときは、同一の記録を保有する者である内閣総理大臣及び情報照会者又は情報提供者(自己を除く。)に通知するものとしている。
第4-4-⑸利用停止 (関係条文) 番号法第30条第1項、第31条第1項及び第2項個人情報保護法第98条から第103条まで ●利用停止(番号法第30条第1項により読み替えて適用される個人情報保護法第98条から第103条まで。情報提供等の記録については番号法第31条第1項及び第2項により適用が除外される個人情報保護法第5章第4節第3款)行政機関等の保有する特定個人情報については、個人情報と同様、個人情報保護法の規定により、何人も、自己を本人とする保有個人情報が適法に取得されたものでないとき等のときは、行政機関の長等に対し、その利用の停止、消去又は提供の停止(以下「利用停止」という。)を請求することができる(個人情報保護法第98条第1項)。
ただし、特定個人情報については、次のA及びBについて個人情報保護法と異なる規定となっているので留意する必要がある。
なお、個人情報保護法第58条第1項各号に掲げる法人は、個人情報保護法第125条により適用される規定があるので留意する必要がある。
A請求事由の追加等番号法第19条、第20条又は第29条の規定に違反して特定個人情報が利用され、又は提供されているときは、利用停止の請求をすることができる。
B情報提供等の記録の取扱い情報提供等の記録については、情報提供ネットワークシステムにおいて自動保存されるものであり目的外利用及び提供の規定に違反した事態が想定されないこと等から、利用停止の請求をすることができない。
第4-5特定個人情報保護評価 (関係条文) 番号法第21条、第27条、第28条特定個人情報保護評価に関する規則特定個人情報保護評価指針 1特定個人情報保護評価(番号法第27条、第28条)特定個人情報保護評価は、評価実施機関(注)が、特定個人情報ファイルを取り扱う事務における当該特定個人情報ファイルの取扱いについて自ら評価するものである。評価実施機関は、特定個人情報ファイルを保有しようとする又は保有する場合は、当該特定個人情報ファイルの取扱いが個人のプライバシー等の権利利益に与え得る影響を予測した上で特定個人情報の漏えいその他の事態を発生させるリスクを分析し、このようなリスクを軽減するための適切な措置を講じていることを確認の上、基礎項目評価書、重点項目評価書又は全項目評価書(以下「特定個人情報保護評価書」という。)において自ら宣言するものである。
※特定個人情報保護評価の詳細については、特定個人情報保護評価に関する規則及び特定個人情報保護評価指針を参照のこと。
(注)評価実施機関とは、番号法第28条及び特定個人情報保護評価に関する規則の規定に基づき特定個人情報保護評価を実施する同法第2条第14項に規定する行政機関の長等をいう。
2特定個人情報保護評価書に記載した措置の実施評価実施機関は、個人のプライバシー等の権利利益に影響を与え得る特定個人情報の漏えいその他の事態を発生させるリスクを軽減するための措置として特定個人情報保護評価書に記載した全ての措置を講ずるものとする。
3特定個人情報保護評価に係る違反に対する措置特定個人情報保護評価を実施していない場合、特定個人情報ファイルの適正な取扱いの確保のための措置が適切に講じられていないおそれがある。このような場合に、情報連携を行わせると不適切な形で特定個人情報ファイルがネットワークを通じてやり取りされることとなり、適切に取り扱われている他の事務やシステムにまで悪影響を及ぼすおそれがあることから、特定個人情報保護評価の実施が義務付けられているにもかかわらずこれを実施していない場合は、情報連携を行うことが禁止されている(番号法第21条第2項、第28条第6項)。
第4-6個人情報保護法の主な規定行政機関等は、特定個人情報の適正な取扱いについて、次のとおり個人情報保護法の適用を受けるので留意する必要がある。具体的な取扱いについては、個人情報保護法ガイドライン(行政機関等編)によることを前提としている。
なお、個人情報保護法第58条第1項各号に掲げる法人は、個人情報保護法第125条により適用される規定があるので留意する必要がある。
A個人情報の保有の制限等(個人情報保護法第61条)a利用目的の特定(第1項)
行政機関等は、個人情報を保有するに当たっては、法令の定める所掌事務又は業務を遂行するため必要な場合に限り、かつ、その利用の目的をできる限り特定しなければならない。
b保有の制限(第2項)
行政機関等は、aの規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
c利用目的の変更(第3項)
行政機関等は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
B利用目的の明示(個人情報保護法第62条)行政機関等は、本人から直接書面(電磁的記録を含む。)に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
一人の生命、身体又は財産の保護のために緊急に必要があるとき。二利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。三利用目的を本人に明示することにより、国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。四取得の状況からみて利用目的が明らかであると認められるとき。 C不適正な利用の禁止(個人情報保護法第63条)行政機関の長等は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
D適正な取得(個人情報保護法第64条)行政機関の長等は、偽りその他不正の手段により個人情報を取得してはならない。
E保有個人情報の正確性の確保(個人情報保護法第65条)行政機関の長等は、利用目的の達成に必要な範囲内で、保有個人情報が過去又は現在の事実と合致するよう努めなければならない。
F漏えい等の報告等(個人情報保護法第68条) a委員会への報告(第1項)行政機関の長等は、保有個人情報の漏えい、滅失、毀損その他の保有個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護法施行規則第43条で定めるものが生じたときは、個人情報保護法施行規則第44条で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
b 本人への通知(第2項)aに規定する場合には、行政機関の長等は、本人に対し、個人情報保護法施行規則第45条で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
一本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき。二当該保有個人情報に個人情報保護法第78条第1項各号に掲げる情報のいずれかが含まれるとき。 G 個人情報ファイル簿の作成及び公表(個人情報保護法第75条) a個人情報ファイル簿の作成及び公表(第1項)行政機関の長等は、個人情報保護法施行令第21条で定めるところにより、当該行政機関の長等の属する行政機関等が保有している個人情報ファイルについて、それぞれ次に掲げる事項を記載した帳簿(以下「個人情報ファイル簿」という。)を作成し、公表しなければならない。
一個人情報ファイルの名称二当該機関の名称及び個人情報ファイルが利用に供される事務をつかさどる組織の名称三個人情報ファイルの利用目的四個人情報ファイルに記録される項目(以下Gにおいて「記録項目」という。)及び本人(他の個人の氏名、生年月日その他の記述等によらないで検索し得る者に限る。bにおいて同じ。)として個人情報ファイルに記録される個人の範囲(以下Gにおいて「記録範囲」という。)五個人情報ファイルに記録される個人情報(以下Gにおいて「記録情報」という。)の収集方法六記録情報に要配慮個人情報が含まれるときは、その旨七記録情報を当該機関以外の者に経常的に提供する場合には、その提供先八開示、訂正又は利用停止の請求を受理する組織の名称及び所在地九訂正又は利用の停止、消去若しくは提供の停止について他の法律又はこれに基づく命令により特別の手続が定められているときは、その旨十その他個人情報保護法施行令第21条で定める事項 b個人情報ファイル簿への掲載の適用除外(第2項)aの規定は、次に掲げる個人情報ファイルについては、適用しない。
マル1 個人情報保護法第74条第2項第1号から第10号に掲げる個人情報ファイル(第1号) 一国の安全、外交上の秘密その他の国の重大な利益に関する事項を記録する個人情報ファイル二犯罪の捜査、租税に関する法律の規定に基づく犯則事件の調査又は公訴の提起若しくは維持のために作成し、又は取得する個人情報ファイル三当該機関の職員又は職員であった者に係る個人情報ファイルであって、専らその人事、給与若しくは福利厚生に関する事項又はこれらに準ずる事項を記録するもの(当該機関が行う職員の採用試験に関する個人情報ファイルを含む。)四専ら試験的な電子計算機処理の用に供するための個人情報ファイル五個人情報保護法第74条第1項の規定による通知に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該通知に係るこれらの事項の範囲内のもの六1年以内に消去することとなる記録情報のみを記録する個人情報ファイル七資料その他の物品若しくは金銭の送付又は業務上必要な連絡のために利用する記録情報を記録した個人情報ファイルであって、送付又は連絡の相手方の氏名、住所その他の送付又は連絡に必要な事項のみを記録するもの八職員が学術研究の用に供するためその発意に基づき作成し、又は取得する個人情報ファイルであって、記録情報を専ら当該学術研究の目的のために利用するもの九本人の数が個人情報保護法施行令第20条で定める数に満たない個人情報ファイル十三から九までに掲げる個人情報ファイルに準ずるものとして個人情報保護法施行令第20条で定める個人情報ファイル マル2aの規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの(第2号)マル3マル2に掲げる個人情報ファイルに準ずるものとして個人情報保護法施行令第21条で定める個人情報ファイル(第3号) c個人情報ファイル簿の一部不記載(第3項)aの規定にかかわらず、行政機関の長等は、記録項目の一部若しくは個人情報保護法第74条第1項第5号(個人情報ファイルに記録される個人情報の収集方法)若しくは第7号(記録情報を当該機関以外の者に経常的に提供する場合の提供先)を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができる。
d 地方公共団体の機関又は地方独立行政法人への適用(第4項)地方公共団体の機関又は地方独立行政法人についてのaの規定の適用については、a中「次に掲げる事項」とあるのは、「次に掲げる事項並びに記録情報に条例要配慮個人情報が含まれているときは、その旨」とする。
e 個人情報ファイル簿とは別の個人情報の保有の状況に関する事項を記載した帳簿の作成・公表(第5項)a~dの規定は、地方公共団体の機関又は地方独立行政法人が、条例で定めるところにより、個人情報ファイル簿とは別の個人情報の保有の状況に関する事項を記載した帳簿を作成し、公表することを妨げるものではない。
H審査請求(個人情報保護法第104条から第107条まで) H-1審理員による審理手続に関する規定の適用除外(第104条第1項)行政機関の長等(地方公共団体の機関又は地方独立行政法人を除く。H-2、H-3及びH-4において同じ。)に対する開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求については、「行政不服審査法」(平成26年法律第68号)第9条(審理員)、第17条(審理員となるべき者の名簿)、第24条(審理手続を経ないでする却下裁決)、第2章第3節(審理手続)及び第4節(行政不服審査会等への諮問)並びに第50条第2項(裁決の方式)の規定を適用しない。
H-2審査会への諮問(第105条第1項)開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為について審査請求があったときは、当該審査請求に対する裁決をすべき行政機関の長等は、次の各号のいずれかに該当する場合を除き、情報公開・個人情報保護審査会(審査請求に対する裁決をすべき行政機関の長等が会計検査院長である場合にあっては、別に法律で定める審査会)に諮問しなければならない。
一審査請求が不適法であり、却下する場合二裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の全部を開示することとする場合(当該保有個人情報の開示について反対の意思を表示した意見書(H-3及びH-6において「反対意見書」という。)が提出されている場合を除く。)三裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の訂正をすることとする場合四裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の利用停止をすることとする場合 H-3諮問をした旨の通知(第105条第2項)H-2の規定により諮問をした行政機関の長等は、次に掲げる者に対し、諮問をした旨を通知しなければならない。
一審査請求人及び参加人(行政不服審査法第13条第4項に規定する参加人をいう。以下この項及びH-6において同じ。)二開示請求者、訂正請求者又は利用停止請求者(これらの者が審査請求人又は参加人である場合を除く。)三当該審査請求に係る保有個人情報の開示について反対意見書を提出した第三者(当該第三者が審査請求人又は参加人である場合を除く。) H-4行政不服審査法第81条第1項又は第2項の機関への諮問(第105条第3項)H-2及びH-3の規定は、地方公共団体の機関又は地方独立行政法人について準用する。この場合において、H-2中「情報公開・個人情報保護審査会(審査請求に対する裁決をすべき行政機関の長等が会計検査院長である場合にあっては、別に法律で定める審査会)」とあるのは、「行政不服審査法第81条第1項又は第2項の機関」と読み替えるものとする。
H-5地方公共団体の機関等における審理員による審理手続に関する規定の適用除外等(第106条第1項)地方公共団体の機関又は地方独立行政法人に対する開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求については、行政不服審査法第9条第1項から第3項(審理員)まで、第17条(審理員となるべき者の名簿)、第40条(審理員による執行停止の意見書の提出)、第42条(審理員意見書)、第2章第4節(行政不服審査会等への諮問)及び第50条第2項(裁決の方式)の規定は、適用しない。
H-6第三者からの審査請求を棄却する場合等における手続(第107条第1項)次の各号のいずれかに該当する裁決をする場合、行政機関の長等は、意見書の提出の機会を与えられた第三者が当該第三者に関する情報の開示について反対意見書を提出した場合において、開示決定をするときは、開示決定の日と開示を実施する日との間に少なくとも2週間を置かなければならない。この場合において、行政機関の長等は、開示決定後直ちに、反対意見書を提出した第三者に対し、開示決定をした旨及びその理由並びに開示を実施する日を書面により通知しなければならない。
一開示決定に対する第三者からの審査請求を却下し、又は棄却する裁決二審査請求に係る開示決定等(開示請求に係る保有個人情報の全部を開示する旨の決定を除く。)を変更し、当該審査請求に係る保有個人情報を開示する旨の裁決(第三者である参加人が当該第三者に関する情報の開示に反対の意思を表示している場合に限る。) I 条例との関係(個人情報保護法第108条)個人情報保護法第5章第4節の規定は、地方公共団体が、保有個人情報の開示、訂正及び利用停止の手続並びに審査請求の手続に関する事項について、この節の規定に反しない限り、条例で必要な規定を定めることを妨げるものではない。
J 苦情の処理(個人情報保護法第128条)行政機関の長等は、行政機関等における個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
K 地方公共団体に置く審議会等への諮問(個人情報保護法第129条)地方公共団体の機関は、条例で定めるところにより、個人情報保護法第3章第3節の施策を講ずる場合その他の場合において、個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要であると認めるときは、審議会その他の合議制の機関に諮問することができる。
(別添1)特定個人情報に関する安全管理措置(行政機関等編) 【目次】 1 安全管理措置の検討手順A個人番号を取り扱う事務の範囲の明確化B特定個人情報等の範囲の明確化C事務取扱担当者の明確化D基本方針の策定E取扱規程等の見直し等2 講ずべき安全管理措置の内容A基本方針の策定B取扱規程等の見直し等C組織的安全管理措置a組織体制の整備b取扱規程等に基づく運用c取扱状況を確認する手段の整備d漏えい等事案に対応する体制等の整備e取扱状況の把握及び安全管理措置の見直しD人的安全管理措置a事務取扱担当者の監督b事務取扱担当者等の教育c法令・内部規程違反等に対する厳正な対処E物理的安全管理措置a特定個人情報等を取り扱う区域の管理b機器及び電子媒体等の盗難等の防止c電子媒体等の取扱いにおける漏えい等の防止d個人番号の削除、機器及び電子媒体等の廃棄F技術的安全管理措置aアクセス制御bアクセス者の識別と認証c不正アクセス等による被害の防止等d漏えい等の防止 G外的環境の把握 1安全管理措置の検討手順行政機関等は、個人番号及び特定個人情報(以下「特定個人情報等」という。)の取扱いを検討するに当たって、個人番号を取り扱う事務の範囲及び特定個人情報等の範囲を明確にした上で、特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)を明確にしておく必要がある。
これらを踏まえ、特定個人情報等の適正な取扱いの確保について組織として取り組むために、特定個人情報等の安全管理に関する基本方針(以下「基本方針」という。)を策定することが重要である。
行政機関等は、個人情報の保護に関する取扱規程等の見直し等を行い、特定個人情報等を取り扱う体制の整備及び情報システムの改修等を行う必要がある。
行政機関等は、特定個人情報等の取扱いに関する安全管理措置について、次のような手順で検討を行う必要がある。検討に際し、特定個人情報保護評価を実施した事務については、A~Cを省略し、D~Eを実施することも考えられる。
A個人番号を取り扱う事務の範囲の明確化行政機関等は、個人番号利用事務等の範囲を明確にしておかなければならない。→ガイドライン第4-1-⑴1A参照
B特定個人情報等の範囲の明確化行政機関等は、Aで明確化した事務において取り扱う特定個人情報等の範囲を明確にしておかなければならない(注)。
(注)特定個人情報等の範囲を明確にするとは、事務において使用される個人番号及び個人番号と関連付けて管理される個人情報(氏名、生年月日等)の範囲を明確にすることをいう。
C事務取扱担当者の明確化行政機関等は、Aで明確化した事務に従事する事務取扱担当者を明確にしておかなければならない。
D基本方針の策定特定個人情報等の適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。→2A参照
E取扱規程等の見直し等行政機関等は、個人情報の保護に関する取扱規程等の見直し等を行わなければならない。→2B参照
2講ずべき安全管理措置の内容本セクション2においては、特定個人情報等の保護のために必要な安全管理措置について