特定個人情報保護委員会が定めたガイドライン
以前のエントリーでも取り上げました、いわゆる「マイナンバー制度」。このマイナンバー制の導入により、平成28年1月以降、社会保障や税、災害対策に関する各種書面についてマイナンバーの記入が必要になりました。
このことは、裏を返せば、個人の氏名・住所・生年月日のみならず、各種税金の納付状況や社会保険への加入状況といった情報までもがマイナンバーに紐付けられていることを意味します。そのため、マイナンバー及びマイナンバーをその内容に含む個人情報(これを「特定個人情報」と呼びます)に対しては、従来の「個人情報」よりも更に厳格な保護措置が求められることとなります。
一昨年成立した「行政手続きにおける特定の個人を識別するための法律」(いわゆるマイナンバー法)に基づき、内閣府外局の第三者機関として「特定個人情報保護委員会」(以下「保護委員会」)が設立されました。この組織の任務は、「個人番号その他の特定個人情報の有用性に配慮しつつ、その適正な取扱いを確保するために必要な措置を講ずること」。
具体的には、特定個人情報の取扱いに関する監視・監督(立入検査、報告徴求、指導、助言、勧告、命令等の権限の行使)、情報保護評価に関すること(指針の策定や評価書の承認)、特定個人情報の保護についての広報・啓発などを行う事になります。
保護委員会は、その広報活動の一環として、ホームページを開設して特定個人情報の保護に関する広報啓発を図っています。実際のサイトはこちら。
同ホームページでは、事業主が特定個人情報の適正な取り扱いを確保するための具体的な指針(いわゆるガイドライン)を公表しています。それがこちらです。ご覧頂いてお分かりのように、かなりの分量の文書になっています。
ガイドラインを読み込むだけの時間が取れない事業主さまのために、いくつかの資料集も併せて公開されてはいますが、「個人番号関係事務実施者」となる社会保険労務士としては、やはりガイドラインそのものの内容をきちんと押さえておきたいところ。そこで当ブログでは、ガイドラインの内容を検証して実務上のポイントとなりそうなところをご紹介していきたいと思います。
特定個人情報保護措置の概要
今回は、総論として、マイナンバー法が定める特定個人情報の保護措置について見ていきましょう。この保護措置は、以下の三つに大別されます。
①特定個人情報の利用制限
以前のエントリーでも述べたように、マイナンバーが利用できる範囲は、社会保障・税・災害対策に関する特定の事務に限定されています。事業主が従業員等のマイナンバーを取得する際には、その利用目的をできるだけ明確に示さなければなりません。本来の利用目的を超えて例外的に特定個人情報を利用できる範囲については、個人情報保護法における個人情報よりも更に限定的に定められています。また、必要な範囲を超えた特定個人情報ファイル(マイナンバーが含まれたデータファイルなど)の作成は禁止です。
②特定個人情報の安全管理措置
全ての事業主に対し、マイナンバー(生存する個人のものだけでなく死者のものも含む)について安全管理措置を講ずることが求められています。また個人番号関係事務又は個人番号利用事務を再委託する際の委託者による許諾や、委託者から委託先に対しての監督義務も定められています。
③特定個人情報の提供制限等
個人情報保護法と同様、本人の同意を得ないままでの第三者への特定個人情報の提供は、原則として禁じられています。法令の規定に基づいて例外的に認められる場合も有りますが、その範囲は個人情報保護法における提供の場合よりも更に限定的です。また何人も、他人に対してマイナンバーの提供を求めてはいけません(同一世帯に属する者を除く)。特定個人情報の収集又は保管についも同様の制限が課せられ、本人からマイナンバーの提供を受ける際には本人確認が義務付けられています。
特定個人情報保護委員会の権限と罰則規定
これらの保護措置が適切に行われているかを監視・監督するのが、上述した特定個人情報保護委員会です。保護委員会に認められている権限は、以下の通り。
- 特定個人情報の取り扱いに関する指導及び助言
- 法令違反に対する是正勧告
- 是正勧告に係る措置の実施命令
- 違反行為の中止その他、是正に必要な措置の実地命令
- 必要な報告若しくは資料の提出要求、又は立ち入り検査
冒頭に述べたように、特定個人情報には、個人情報よりも更に個人のプライバシーに立ち入った情報が含まれています。そのため、違反行為を行った者に対しては、個人情報保護法に定めるよりも更に重い罰則が定められています。
具体的には、個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が、正当な理由なく特定個人情報ファイルを提供した場合、4年以下の懲役又は200万円以下の罰金(若しくはその両方)が科せられます。また上記の者が、不正な利益を図る目的でマイナンバーを提供したり盗用した場合には、3年以下の懲役又は150万円以下の罰金(若しくはその両方)となります。
これらの罰則は、個人情報保護法には定められていなかったものです。しかも罰則はこれだけではなく、それ以外の違反行為に対しても罰則が定められています。個人情報保護法の場合、最も重い罰則で6カ月以下の懲役又は30万円以下の罰金だったことを考えると、特定個人情報の取り扱いには更なる厳正さが求められることが分かります。
今回のエントリーはここまで。次回以降、ガイドラインの内容について引き続き検証していきたいと思います。