読者です 読者をやめる 読者になる 読者になる

【天秤印】横浜弁護士雑記

横浜で弁護士をしている元裁判官が、日々感じたことなどを書いています。

個人情報保護法の改正とマイナンバー

 個人情報保護法と、マイナンバー法の改正案が、8月28日参議院で修正の上可決され、その後9月3日に衆議院で同意されることにより成立しました。

www3.nhk.or.jp 

 預金にも個人番号を付するというマイナンバー法はひとまず置いて、成立した個人情報保護法の改正と、現在各ガイドライン等で示されているマイナンバー法の枠組みとの関係では、少なくとも以下の点に影響があると思います。 

1 目的の公表・通知が必要になる。

 個人情報保護法(現行のものも、改正後のものも)18条は、個人情報取扱事業者が個人情報を取得した場合の利用目的の公表・通知】を定めています。

 個人番号を含む個人情報(特定個人情報)も「個人情報」であることには違いがないので、これまで個人情報保護法が適用される個人情報取扱事業者個人情報保護法2条3項)である限り、個人番号を含む個人情報取得の際にこの「利用目的の通知・公表」の要請を満たすことが必要でした。

 とはいえ、個人情報保護法に規定する「個人情報取扱事業者」(個人情報保護法2条3項)については、同条項5号「その取り扱う個人情報の量及び利用方法から見て個人の権利利益を害する恐れが少ないものとして政令で定める者」が除かれており、具体的には個人情報の保護に関する法律施行令で、以下のように定められていました。

第二条  法第二条第三項第五号 の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去六月以内のいずれの日においても五千を超えない者とする。

 いわゆる「5000件要件」などと言われていたものです。

 しかし、今回の改正法で、個人情報保護法の2条3項5号は、以下のように削られることになりましたので、改正法が施行されれば、個人情報データベース等を扱っていれる限り、件数が少なくても個人情報取扱事業者に当たることになります。

「第二条中第六項を第八項とし、第五項を第七項とし、第四項を第六項とし、同条第三項第五号を削り、」

 そのため、現行の個人情報保護法を前提とする限り、以下の通り個人情報取扱事業者に当たらない個人番号取扱事業者】は個人情報保護法18条の【通知・公表】の要請までは満たす必要がありませんでしたが、改正法が施行される今後2年以内に、【通知・公表の要請】も満たさなければならないことになると思われます。

Q1-9個人情報保護法が適用されない個人番号取扱事業者は、個人番号の利用目的の特定をする必要がありますか。

A1-9個人情報保護法が適用されない個人番号取扱事業者は、個人情報保護法第15条に従って利用目的の特定を行う義務はありませんが、個人番号を「個人番号関係事務又は個人番号利用事務を処理するために必要な範囲内」で利用しなければならない義務が課されます(番号法第32条)。個人番号を「個人番号関係事務又は個人番号利用事務を処理するために必要な範囲内」で利用するに当たっては、個人番号をどの事務を処理するために利用するのかを決めることとなりますので、事実上、利用目的の特定を行うことになると考えられます。なお、利用目的の本人への通知等を行う必要はありません。 

 そうなると、現時点では5000件要件により個人情報取扱事業者に当たらないものも、いまのうちから【通知・公表の要請】を満たすようにマイナンバーの制度設計をしたほうが、間違いが少なくなると思います。

 望ましいのは、さらに個人情報保護法の各ガイドラインも踏まえて制度設計をすることだろうと思いますが、これは、今後個人情報保護法の改正を受けて各省庁がガイドラインの改正作業を行うと思われますので、現時点では時期尚早かもしれません。いずれにせよ、個人情報保護法への対応は、また別途検討する必要は出てくるものと思われます。 

2 安全管理措置との関係 

 また、現在の「特定個人情報の適正な取扱いに関するガイドライン事業者編)」に(別添)されている「特定個人情報に関する安全管理措置」においては、以下の通り「中小規模事業者」について特例的な対応方法を示していますが、【中小規模事業者に当たらないもの】として【個人情報取扱事業者】を挙げているため、文言上は今後2年のうちにほとんどの民間事業者が中小規模事業者に当たらなくなってしまうように見えます。

中小規模事業者(注)における対応方法:中小規模事業者については、事務で取り扱う個人番号の数量が少なく、また、特定個人情報等を取り扱う従業者が限定的であること等から、特例的な対応方法を示すものである。 なお、中小規模事業者が、手法の例示に記載した手法を採用することは、より望ましい対応である。

(注)「中小規模事業者」とは、事業者のうち従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者をいう。

・ 個人番号利用事務実施者

・ 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業

・ 金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業

個人情報取扱事業者 

 ただ、これについては、以前関係する役所の方に伺ったところでは、「代替の要件などを設けて、従来中小規模事業者として扱われていたものが、不利益を受けないようにする」と聞いています。

 こちらについては大きな影響はないと思いますが、口頭で伺っただけですし、念のため今後ガイドラインの改正等に注意しておく必要はあるのかもしれませんね。