お知らせ

「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の改正およびQ&Aの更新が行われています(2024/5/29)

5月27日、個人情報保護委員会は、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を改正し、同ガイドラインに関するQ&Aを更新したことを公表しました。

ガイドラインの改正では、例えば次のようなものがあります(改正箇所に含まれる傍線は、本ガイドラインの本文において強調の意味で使用されている傍線であり、改正箇所を示すものではありません)。

【個人番号の原則的な取扱い】
(改正後)
A 個人番号を利用することができる事務 
a 個人番号利用事務(番号法第9条第1項から第3項)
 個人番号利用事務とは、主として、行政機関等が、社会保障、税、災害対策その他の行政分野において、保有している個人情報の効率的な検索、管理のために必要な限度で個人番号を利用して処理する事務をいい、番号法別表に掲げる事務、同事務に準ずる事務として主務省令で定める事務(「準法定事務」)及び地方公共団体が個人番号を利用することを条例で定める事務がこれに該当する。
 事業者においては、健康保険組合等の一部の事業者が法令に基づきこの事務を行う。

b 個人番号関係事務(番号法第9条第4項)
 個人番号関係事務とは、法令又は条例の規定により、個人番号利用事務の処理に関し必要な限度で他人の個人番号を利用して行う事務をいう。具体的には、事業者が、法令に基づき、従業員等の個人番号を給与所得の源泉徴収票、支払調書、健康保険・厚生年金保険被保険者資格取得届等の書類に記載して、行政機関等及び健康保険組合等に提出する事務等がこれに該当し、およそ従業員等を有する全ての事業者が、個人番号関係事務実施者として、個人番号関係事務において個人番号を取り扱うこととなる。行政機関等及び健康保険組合等の個人番号利用事務実施者は、このようにして提出された書類等に記載されている特定個人情報を利用して、個人番号利用事務を行うこととなる。

(改正前)
A 個人番号を利用することができる事務の範囲 
a 個人番号利用事務(番号法第9条第1項から第3項)
 個人番号利用事務とは、主として、行政機関等が、社会保障、税、災害対策その他の行政分野に関する特定の事務において、保有している個人情報の検索、管理のために個人番号を利用することをいう。事業者においては、健康保険組合等の一部の事業者が法令に基づきこの事務を行う。

b 個人番号関係事務(番号法第9条第4項)
 およそ従業員等を有する全ての事業者が個人番号を取り扱うこととなるのが個人番号関係事務である。具体的には、事業者が、法令に基づき、従業員等の個人番号を給与所得の源泉徴収票、支払調書、健康保険・厚生年金保険被保険者資格取得届等の書類に記載して、行政機関等及び健康保険組合等に提出する事務である。行政機関等及び健康保険組合等の個人番号利用事務実施者は、このようにして提出された書類等に記載されている特定個人情報を利用して、社会保障、税、災害対策その他の行政分野に関する特定の事務を行うこととなる。

【委託先の監督(番号法第11条、個人情報保護法第25条)】
(改正後)
B 必要かつ適切な監督
 「必要かつ適切な監督」には、①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な委託契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれる。
 委託先の選定については、委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。具体的な確認事項としては、委託先の設備、技術水準、従業者(注1)に対する監督・教育の状況、その他委託先の経営環境等が挙げられる。
 委託先に安全管理措置を遵守させるために必要な委託契約の締結については、契約内容として、秘密保持義務、委託する業務の遂行に必要な範囲を超える事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい等事案が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない

(改正前)
B 必要かつ適切な監督
 「必要かつ適切な監督」には、①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれる。
 委託先の選定については、委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。具体的な確認事項としては、委託先の設備、技術水準、従業者(注)に対する監督・教育の状況、その他委託先の経営環境等が挙げられる。
 委託契約の締結については、契約内容として、秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい等事案が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない

また、Q&Aの更新では次のようなものがあります(更新した部分には下線・削除した部分には取消線)。

【5:個人番号の提供の求めの制限、特定個人情報の提供制限】
Q5-8 個人情報取扱事業者は、本人からの開示の請求に応じて、本人の個人番号が記載された支払調書等の写しを本人に送付することはできますか。

A5-8 個人情報保護法第 33 条に基づいて開示の請求を行った本人に開示を行う場合は、本人の個人番号が記載された支払調書等の写しを本人に送付することができます。その際の開示の請求を受け付ける方法として、書面による方法のほか、口頭による方法等を定めることも考えられます。なお、当該支払調書等の写しに本人以外の個人番号が含まれている場合には、本人以外の個人番号を記載しない措置や復元できない程度にマスキングする等の工夫が必要となります。(平成 29 年5月更新・令和4年4月更新・令和6年5月更新

【17:特定個人情報の漏えい等の報告等】
Q17-12 報告対象事態に該当しない場合であっても、個人情報保護委員会への報告を行うことは可能ですか。

A17-12 可能です。この場合、報告書の様式における行政手続における特定の個人を識別するための番号の利用等に関する法律第 29 条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する「規則第2条各号該当性」については、「非該当(上記に該当しない場合の報告)」として報告を行うことになります。なお、(別添2)特定個人情報の漏えい等に関する報告等(事業者編)3A(※1)において、報告対象事態に該当しない漏えい等事案においても、特定個人情報を取り扱う事業者は委員会に報告するよう努めることとされています。(令和4年4月追加・令和6年5月更新