レポート

個人情報保護法改正の動きとマイナンバー対応実務
牛島総合法律事務所 弁護士 藤村 慎也 氏

印刷用

個人情報保護法改正案の概要

藤村氏

 2015年3月10日に今国会に提出された「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」の要点を解説する。

1)個人情報の定義の明確化
 改正案では、個人情報にあたるものとして、従前の内容に加え、「個人識別符号が含まれるもの」という項目が追加された。「個人識別符号」は、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」と、「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、・・・特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの」に分かれる。また、いわゆる「機微(センシティブ)情報」として個人情報に該当する「要配慮個人情報」という定義も新設し、その取扱い方法について規定している。

2)個人情報等の有用性の確保
 個人情報等の有用性の確保を目指す内容のひとつとして、「匿名加工情報」に関する規定が新設された。「匿名加工情報」は、特定の個人を識別できないように個人情報を加工し、かつ当該個人情報を復元できない状態にしてある情報のことをいい、加工方法や取扱時などに関して、特有の取扱い方法が定められている。
 また、改正案では、情報と主体の概念も変更された。特に、主体に関しては、これまで「個人情報取扱事業者」から除外されていた「小規模取扱事業者」が、「個人情報取扱事業者」に含まれることが大きな変更点である。

3)個人情報の保護を強化
 個人情報の保護強化を目指す内容としては、小規模取扱事業者の適用除外規定の廃止、個人データの消去に関する努力義務追加、第三者提供に関する規定変更(とりわけオプトアウトによる第三者提供の規制強化)、第三者提供に係る記録の作成・保存に関する規定追加、第三者提供を受ける際の確認に関する規定追加、個人情報データベース提供罪の追加、検査拒否等の罰則追加等が改正案に盛り込まれている。

4)個人情報保護委員会の設置
 改正案では、監督機関として、現行のマイナンバー法における「特定個人情報保護委員会」を改組する形で「個人情報保護委員会」を新設することが定められている。当該委員会には、現行法において主務大臣が所掌している、報告徴収、指導・助言、勧告・命令等に関する権限が移譲されるほか、個人情報取扱事業者等に対する立入検査権が付与されるなど、所掌事務が広範に定められている。

5)その他
 附則において、個人情報の保護・活用に関する社会的動向等をふまえ、法律施行後3年ごとに個人情報保護法の見直しを行うことが規定されているため、今後も法整備の動向に留意する必要がある。

マイナンバー法に対応した業務構築のポイント

 2016年1月以降、税務では源泉徴収票等の法定調書、社会保険では健康保険組合や年金事務所等への提出書類に、個人番号の記載が求められる。したがって、個人番号の収集が可能となる2015年10月以降には全従業員等および控除対象配偶者・扶養親族の個人番号の収集およびその記録をすることが必要となる。なお、収集時には、事業者自身による利用目的の特定、通知等が必要である。

1)従業員等に関する実務対応
 本人確認に関しては、①扶養控除等(異動)申告書等の場合、②健康保険被扶養者届/第3号被保険者関係届等の場合、③高額療養費支給申請書の場合、という3つのパターンに分けて考えることができる。①では、従業員本人について番号確認と身元(実在)確認を行うことが求められるが、扶養親族等についての本人確認は従業員本人が行うことになる。②では、第3号被保険者の個人番号については、代理人である従業員から収集することが通常であるから、代理権の確認・代理人の身元(実在)確認・本人の番号確認を行うことが求められる。③では、厚生労働省からQ&Aが公表される予定であるから、留意が必要である。なお、従業員の初回の身元(実在)確認については、入社時等に本人確認済であり、知覚をもってその確認ができれば、あらためて確認することは不要である。

2)取引先に関する実務対応
 報酬、料金、契約金及び賞金の支払調書(年中の支払金額の合計額が5万円超の場合)等についても、支払先の個人番号や法人番号の記載が求められるため、それぞれ取得する必要がある。なお、その際の身元(実在)確認については、たとえば、運転免許証、旅券等の確認が必要となる(氏名・住所等をプレ印字した書類を当該支払先から返送してもらえばこれらは不要)。

マイナンバーに関する情報漏洩対策としての安全管理措置の徹底

 情報管理について、これまでは主として個人情報保護法対応の観点から行われてきたが、今後は、マイナンバー法に対応した情報管理も行う必要がある。マイナンバー法においては漏えい等に対する直罰規定・両罰規定があり、情報管理の徹底が必要となる。準拠すべき基準としては、特定個人情報の適正な取扱いに関するガイドライン(番号法ガイドライン)と、個人情報保護法のガイドラインがある。さらに、特定個人情報保護評価を自社で行う場合には、特定個人情報保護評価指針等を参考にすることも考えられる。
 情報管理については、委託の取扱いと、安全管理措置という二点に大きく分けて解説する。
 まず、委託の取扱いに関しては、委託先の監督義務が課されている。監督義務では、委託先の適切な選定、安全管理措置に関する委託契約の締結、委託先における特定個人情報の取扱状況の把握、という内容で委託先を監督することが求められている。
 委託先選定にあたっては、さまざまな確認事項があるが、プライバシーマーク等の第三者認証を受けているかどうかも判断基準のひとつになるだろう。
 また、安全管理措置に関する委託契約に関しては、図1の内容が求められる。契約内容にはそれぞれ、盛り込まなければならない事項と、盛り込むことが望ましい事項があることに留意する必要がある。

図1

図1

 さらに、委託先における特定個人情報の取扱状況の把握に関しては、図1にある、「⑧契約内容の遵守状況について報告を求める規定」や、「⑩委託者が委託先に対して実地の調査を行うことができる規定」に関する項目で行うことができるだろう。
 続いて、自社における安全管理措置の検討手順としては、個人番号を取り扱う事務や特定個人情報等の範囲、事務取扱担当者をそれぞれ明確化し、基本方針と取扱規程等を策定することが考えられる。また、講ずべき安全管理措置としては、①基本方針の策定、②取扱規程等の策定、③組織的安全管理措置、④人的安全管理措置、⑤物理的安全管理措置、⑥技術的安全管理措置(①は任意、②は中小規模事業者において任意、③~⑥は義務)がある。それぞれ、経済産業省のガイドライン等にも留意しながら対応をしていくことが求められる。

今後のスケジュール

 マイナンバーに関する今後の実務対応スケジュールとしては、図2のようなものが一例として考えられる。

図2

図2

 2016年1月に税務・雇用保険分野でのマイナンバー利用が開始される。そのために、事業者は、2015年10月の番号通知後に、従業員等の個人番号の収集や、内外からの問合せ対応等を行う必要がある。さらにそれまでに、業務の洗出しや情報管理体制の整備、社内教育等を行い、番号通知・利用に向けて社内体制を整えることも肝要である。

主な質疑応答

会場質問  :個人番号は、番号通知後の10月~12月の間に必ず収集しなければならないのか。
藤村氏 :必ず1月までに収集しなければならないということではない。年末調整など、個人番号を利用する必要が生じるタイミングで取得をすればよい。

会場質問 :たとえば、不動産の支払調書を提出する際に、別々のデータを合算すると調書提出対象となるケースがあるが、個人番号を用いて、別々のデータを突合することは問題ないか。
藤村氏 :支払調書の作成のために必要と考えられるから、個人番号を用いてデータを突合し、ひとつの支払調書にまとめることは問題ないと考えられる。

会場質問 :国民年金の第3号被保険者等における個人番号についての本人確認に関して、未成年については、代理権の確認の際、親族関係を示すものとして、戸籍抄本の添付などが必要になるのか。
藤村氏 :未成年については、「続柄」が分かればよいので、戸籍等でなくても、住民票などで対応が可能である。

会場質問 :委託契約において、特定個人情報の目的外利用の禁止を盛り込む必要があるということだが、ここでいう「目的」とは、委託業務の内容と考えてよいのか。
藤村氏 :個人番号関係事務を処理するために特定個人情報を取り扱うことが委託業務の内容になると思われるから、その通りである。マイナンバー法においても、個人番号関係事務を処理するという目的以外で利用することはできない、ということが定められている。

  • 2015年4月24日 第46回電子情報利活用セミナー「個人情報保護法改正の動きとマイナンバー対応実務」