一般財団法人日本情報経済社会推進協会
電子情報利活用研究部　主査　須永　卓也

• 「IT-Report 2025 Winter」全文はこちらから別ウインドウで開く

特定個人情報保護評価とは、行政機関でマイナンバーを取り扱う事務において、その取り扱いに関するリスクを事前に分析し、そのリスクを軽減するための措置を講ずるものです。特定個人情報保護評価の実施に際しては、個人情報保護委員会から特定個人情報保護評価に関する規則に加え、ガイドライン、実施手順、様式等の資料が公開されています。¹

特定個人情報保護評価は本来、マイナンバーを取り扱う行政機関において、パブリックコメントや有識者による第三者点検を含め実施が義務付けられるものですが、行政機関から委託を受ける事業者や、マイナンバーの取り扱いや関連システムの構築を行う事業者等がマイナンバーの取り扱いのリスク分析・対策を自主的に行う場合があります。そのような際に、マイナンバーの取り扱いに関するリスク等についてまとめられた参考資料として、先述のガイドライン・資料等が活用されています。

• 1　「「特定個人情報保護評価」について」（個人情報保護委員会）別ウインドウで開く

特定個人情報保護評価に関する様式・資料は行政機関等に向けて作成されており、法令上の位置づけが異なる民間事業者（個人情報取扱事業者）には当てはまらない内容、用語がありますが、本稿においては法解釈や法令に関する解説ではなく、参考となる考え方や混同しやすい用語の解説として、特定個人情報ファイルについて説明したいと思います。

特定個人情報ファイルとは、その名のとおり、特定個人情報、つまりマイナンバーと一体となって取り扱われる「個人情報ファイル」です。この「個人情報ファイル」は一見すると一般的な名詞の組み合わせですが、個人情報取扱事業者ではあまりなじみのない、行政機関等に固有の概念です。

個人情報取扱事業者では、個人に関する情報の分類として、「個人に関する情報・個人情報・個人データ（およびその基となる個人情報データベース）²・保有個人データ」の四つがあり、一方行政機関等では、「個人に関する情報・個人情報・保有個人情報・個人情報ファイル」の四つがあり、それぞれ異なる定義、規定が定められています。この差異の理由や根拠については立法趣旨・経緯によるものですが、先に述べたとおり、本稿においてはこれらについては触れません。

「個人情報データベース」は特定の一つのデータベースを指すものではなく、また「個人情報ファイル」も特定の一つのファイルを指すものではありません。また「個人情報ファイル」は「個人データ・個人情報データベース」と類似したもののように思えますが、その定義は異なっています。

「個人情報データベース」は、個人情報を含む情報を検索することができるよう体系的に構成したもので、この「個人情報データベース」を構成する個人情報を「個人データ」と定義しています。そして、「個人情報データベース」を事業の用に供する事業者が「個人情報取扱事業者事業」とされ、個人情報の取り扱いに関して法令上の義務が課されることとなります。つまり、事業者において個人情報を事業活動に利活用する際に構成されるものを「個人情報データベース」として定義しており、事業者が個人情報の利活用と保護のバランスを取る上での基礎としています。

一方、「個人情報ファイル」はどうでしょうか。「個人情報ファイル」は「保有個人情報」を一定の事務の目的を達成するために、検索することができるように体系的に構成したものとしています。

一見すると「個人情報データベース」と同じものに見えますが、「一定の事務の目的を達成するために」という点に着目してみます。

行政機関等では、その目的や理由を問わず、さまざまな個人情報を保有しており、一律に取り扱うことは困難です。この保有する個人情報の取り扱いの規律を定める上で、まず特定の利用する（事務の目的を達成する）目的という軸で整理・分類したものが「個人情報ファイル」と言えるのではないでしょうか。

さらに、行政機関³においてはこの「個人情報ファイル」を保有するにあたり、法令で定められた事項をあらかじめ個人情報保護委員会に通知することが求められ、また保有している「個人情報ファイル」について法令で定められた事項（目的、記録項目、提供先等）を記載した「個人情報ファイル簿」を作成、公表することが求められています。

すなわち、行政機関等においては、保有する多くの個人情報を利用するにあたり、その利用目的ごとに「個人情報ファイル」として洗い出し、「個人情報ファイル簿」で管理することで、個人情報の取り扱いの責任や利用目的等とその外縁を明確にし、管理することが求められていると言えます。（図1）

• 2　法令では「個人情報データベース等」とされていますが、本稿では「個人情報データベース」と記載します。
• 3　保護法では、「行政機関」と「行政機関等」で異なる定義、規定が定められています。

「個人情報ファイル」はあくまでも行政機関等における個人情報の取り扱いに関するものですが、この「利用目的を軸に整理し、ファイル簿で管理する」という手法は、個人情報取扱事業者における個人情報の管理手法や安全管理措置等においても参考となる考え方です。

例えば、保護法第2条第1項における「容易照合性」の該当性について、「個人情報の保護に関する法律についてのガイドラインに関するQ＆A」では「取扱部門ごとの管理」について考え方を示していますが、こういった部門ごとの管理を行う上で、「個人情報ファイル・個人情報ファイル簿」の考え方を援用できるのではないでしょうか。

また、個人情報保護マネジメントシステム規格のJIS Q 15001においては、事業の用に供する個人情報を特定し、それを管理するための台帳を作成することが求められていますが、その実践にあたっては、台帳で管理する個人情報の粒度・単位をどのようにするかが課題となることがありますが、個人情報の特定・管理を行う上で「個人情報ファイル・個人情報ファイル簿」の事例が参考になります。

またJIS Q 15001におけるリスクの特定・対策においても、特に目的外利用のリスクを洗い出す際には、「個人情報ファイル」の利用目的を軸とした整理、すなわちその個人情報をどのような利用目的で入手されどのように取り扱われるのかを、個人情報ファイルという範囲で明確にされていれば、目的外利用・第三者提供等のリスクの洗い出しが容易になるのではないでしょうか。

個人情報取扱事業者が取り扱う個人情報の量と種類は年々増加・多様化しており、それに伴い効率的・効果的な個人情報の取り扱いもますます重要となります。今後はより一層、個人情報の取り扱いに関し、参考となる手法や事例等を幅広く調査、検証することが求められることとなります。

JIPDECでは、これらの個人情報の取り扱いに関する調査検討・制度運用を今後も継続して実施していきます。