個人情報保護法の改正とマイナンバー - 【天秤印】春日井弁護士雑記（旧名古屋・横浜弁護士雑記）

　個人情報保護法と、マイナンバー法の改正案が、８月２８日参議院で修正の上可決され、その後９月３日に衆議院で同意されることにより成立しました。

&lt;a href="http://www3.nhk.or.jp/news/html/20150903/k10010214771000.html" data-mce-href="http://www3.nhk.or.jp/news/html/20150903/k10010214771000.html"&gt;改正マイナンバー法が成立　NHKニュース&lt;/a&gt;www3.nhk.or.jp

　預金にも個人番号を付するというマイナンバー法はひとまず置いて、成立した個人情報保護法の改正と、現在各ガイドライン等で示されているマイナンバー法の枠組みとの関係では、少なくとも以下の点に影響があると思います。

１　目的の公表・通知が必要になる。

　個人情報保護法（現行のものも、改正後のものも）１８条は、【個人情報取扱事業者が個人情報を取得した場合の利用目的の公表・通知】を定めています。

　個人番号を含む個人情報（特定個人情報）も「個人情報」であることには違いがないので、これまで個人情報保護法が適用される個人情報取扱事業者（個人情報保護法２条３項）である限り、個人番号を含む個人情報取得の際にこの「利用目的の通知・公表」の要請を満たすことが必要でした。

　とはいえ、個人情報保護法に規定する「個人情報取扱事業者」（個人情報保護法２条３項）については、同条項５号で「その取り扱う個人情報の量及び利用方法から見て個人の権利利益を害する恐れが少ないものとして政令で定める者」が除かれており、具体的には個人情報の保護に関する法律施行令で、以下のように定められていました。

第二条　法第二条第三項第五号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数（当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。）の合計が過去六月以内のいずれの日においても五千を超えない者とする。

　いわゆる「５０００件要件」などと言われていたものです。

　しかし、今回の改正法で、個人情報保護法の２条３項５号は、以下のように削られることになりましたので、改正法が施行されれば、個人情報データベース等を扱っていれる限り、件数が少なくても個人情報取扱事業者に当たることになります。

「第二条中第六項を第八項とし、第五項を第七項とし、第四項を第六項とし、同条第三項第五号を削り、」

　そのため、現行の個人情報保護法を前提とする限り、以下の通り【個人情報取扱事業者に当たらない個人番号取扱事業者】は個人情報保護法１８条の【通知・公表】の要請までは満たす必要がありませんでしたが、改正法が施行される今後２年以内に、【通知・公表の要請】も満たさなければならないことになると思われます。

Ｑ１－９個人情報保護法が適用されない個人番号取扱事業者は、個人番号の利用目的の特定をする必要がありますか。

Ａ１－９個人情報保護法が適用されない個人番号取扱事業者は、個人情報保護法第15条に従って利用目的の特定を行う義務はありませんが、個人番号を「個人番号関係事務又は個人番号利用事務を処理するために必要な範囲内」で利用しなければならない義務が課されます（番号法第32条）。個人番号を「個人番号関係事務又は個人番号利用事務を処理するために必要な範囲内」で利用するに当たっては、個人番号をどの事務を処理するために利用するのかを決めることとなりますので、事実上、利用目的の特定を行うことになると考えられます。なお、利用目的の本人への通知等を行う必要はありません。

　そうなると、現時点では５０００件要件により個人情報取扱事業者に当たらないものも、いまのうちから【通知・公表の要請】を満たすようにマイナンバーの制度設計をしたほうが、間違いが少なくなると思います。

　望ましいのは、さらに個人情報保護法の各ガイドラインも踏まえて制度設計をすることだろうと思いますが、これは、今後個人情報保護法の改正を受けて各省庁がガイドラインの改正作業を行うと思われますので、現時点では時期尚早かもしれません。いずれにせよ、個人情報保護法への対応は、また別途検討する必要は出てくるものと思われます。

２　安全管理措置との関係

　また、現在の「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」に（別添）されている「特定個人情報に関する安全管理措置」においては、以下の通り「中小規模事業者」について特例的な対応方法を示していますが、【中小規模事業者に当たらないもの】として【個人情報取扱事業者】を挙げているため、文言上は今後２年のうちにほとんどの民間事業者が中小規模事業者に当たらなくなってしまうように見えます。

中小規模事業者（注）における対応方法：中小規模事業者については、事務で取り扱う個人番号の数量が少なく、また、特定個人情報等を取り扱う従業者が限定的であること等から、特例的な対応方法を示すものである。なお、中小規模事業者が、手法の例示に記載した手法を採用することは、より望ましい対応である。

（注）「中小規模事業者」とは、事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいう。

・個人番号利用事務実施者

・委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者

・金融分野（金融庁作成の「金融分野における個人情報保護に関するガイドライン」第１条第１項に定義される金融分野）の事業者

・個人情報取扱事業者

　ただ、これについては、以前関係する役所の方に伺ったところでは、「代替の要件などを設けて、従来中小規模事業者として扱われていたものが、不利益を受けないようにする」と聞いています。

　こちらについては大きな影響はないと思いますが、口頭で伺っただけですし、念のため今後ガイドラインの改正等に注意しておく必要はあるのかもしれませんね。

１ 目的の公表・通知が必要になる。

２ 安全管理措置との関係

１　目的の公表・通知が必要になる。

２　安全管理措置との関係