NIKKEI

トップ>企業マネジメント最新トレンド>今、注目が集まる、個人情報保護法改正の動き

今、注目が集まる、個人情報保護法改正の動き

弁護士(小笠原六川国際総合法律事務所)
東海大学法科大学院教授
六川 浩明

第4回「社会保障・税における番号利用法と,特定個人情報保護評価」

1.社会保障・税における番号利用法

平成25年(2013年)5月に、社会保障・税における番号利用法が成立しました。この番号制度は、複数の行政機関に存在している個人の情報を、同一人の情報であるという確認を行うための基盤であり、社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤(インフラ)です。
社会保障・税における番号利用法が定める個人番号制度は、市民のプライバシーを侵害するのではないかという問題提起がなされることとがありますが、我が国の平成20年3月6日最高裁判決によれば、(1)何人も個人に関する情報をみだりに第三者に開示又は公表されない自由を有することを前提として、(2)個人情報の法制度上の制度的措置が講じられていること([1]管理・利用等が法令等の根拠に基づき、住民サービスの向上及び行政事務の効率化という正当な行政目的の範囲内で行われるものであること、[2]目的外利用又は秘密の漏洩等は、懲戒処分又は刑事罰をもって禁止されていること、[3]第三者機関等の設置により、個人情報の適切な取り扱いを担保するための制度的措置を講じていること)、及び、(3)個人情報を保護するためのシステム技術上の安全管理措置が講じられていること([1]行政事務において取り扱われる個人情報を一元的に管理することができる機関又は主体が存在しないこと、[2]システム上外部から不当にアクセスされるなどして情報が容易に漏洩する具体的危険がないこと)、が制度設計に求められ、これらの要件を充足すれば合憲であると判示されています。
これを社会保障・税における番号法についてみますと、個人情報の利用範囲と情報連携範囲を法律に規定し目的外利用を禁止しており(同法9条、19条)、成りすまし防止のため個人番号のみでの本人確認を禁止し(同法16条)、特定個人情報保護委員会による監視と監督が行われ(同法50条~54条)、特定個人情報へのアクセス記録を個人自らマイポータルで確認することができます(附則6条5項)。さらに、個人情報を中央の共通データベースに集約して一元管理することはせず、従来どおり各行政機関が分散管理て保有することとなりますし、個人番号を直接用いずに符号を用いて情報連携を行うことにより個人情報の芋づる式漏洩を防止し(同法2条14項)、個人情報が保護される仕組みとなっているかを事前に評価する特定個人情報保護評価の実施が求められます(同法26条、27条)。

個人番号カード
現在、あまり普及していない住民基本台帳カードは平成27年まで発行されますが、平成28年からは個人番号カードに切り替わることとなります。
個人番号カードに搭載されるICチップには、[1]券面記載事項(氏名、住所、生年月日、性別、個人番号、顔写真等)、[2]総務省令で定める事項(公的個人認証に係る電子証明書等)、[3]市町村が条例で定める事項等の限られた情報のみが記録されることとなり、地方税関係情報や年金給付関係情報等は記録されないことが予定されていますから、その意味で、個人番号カードのICチップには、個人の内面に関わるような秘匿性の高い個人情報は記録される予定はないようです。

2.特定個人情報保護影響評価

平成25年(2013年)5月に成立した、社会保障・税における番号利用法第26条と第27条に、特定個人情報保護影響評価に関する規定が定められています。これは、特定個人情報の漏洩その他の事態の発生の危険性及び影響に関する評価をいいますが、この仕組みは、プライバシー侵害につながるような事態発生の危険性や影響を事前に評価する仕組み(プライバシー影響評価 PIA)(注1)です。プライバシー侵害は、いったん発生してしまえば、事後に損害賠償をすることは可能であっても、それによりプライバシーがなくなるわけではなく、事後的な救済には限界があります。したがって、プライバシー侵害が発生しないような予防措置が最重要になるからです(注2)。

「特定個人情報保護に関する規則」「特定個人情報保護評価指針」
平成26年4月18日、特定個人情報保護委員会は、「特定個人情報保護に関する規則」を制定し、「特定個人情報保護評価指針」を公表しました。それらの概要は次のとおりです。
(1)特定個人情報保護評価の実施義務者
特定個人情報保護評価の実施が義務づけられる者は次のとおりです。
行政機関の長
地方公共団体の長その他の機関
独立行政法人等
地方独立行政法人
地方公共団体情報システム機構
情報連携を行う事業者
(2)計画管理書の作成
地方公共団体等の評価実施機関は、まず、特定個人情報保護評価計画管理書を作成します。
(3)しきい値判断
個人番号を取り扱う事務ごとに、情報の対象となる人数、取り扱う職員の数、特定個人情報に関する事故の有無に基づき、「しきい値判断」を行い、3類型のうちいかなる類型の評価を行うかを決定します。「しきい値」とは、thresholdの訳語ですが、物事の入口や、ある科学的反応をもたらす際の分岐点を意味する用語です。
  • 1.対象人数が30万人以上の場合
    常に全項目評価を行うこととなります。
  • 2.対象人数が10万人以上30万人未満の場合
    情報を取り扱う職員(外部委託先職員を含みます)が500人以上の場合、又はそれ以下であっても過去1年以内に漏洩等の事故が発生した場合は、全項目評価を行います。
  • 3.対象人数が1万人以上10万人未満の場合
    情報を取り扱う職員(外部委託先職員を含みます)が500人以上の場合、又はそれ以下であっても過去1年以内に漏洩等の事故が発生した場合は、重点項目評価を行います。
  • 4.対象人数が1000人以上1万人未満の場合 しきい値評価のみを行います。
  • 5.対象人数が、1000人未満の場合
    特定個人情報保護評価の義務付けの対象外となります。
(4)評価の実施
特定個人情報保護評価には、[1]基礎的な評価を行う「基礎項目評価」、[2]重要な部分に重点を置いて評価する「重点項目評価」、[3]詳細な事項について評価を行う「全項目評価」、の3つの類型が存在します。
「基礎項目評価」は、しきい値について評価をします。「重点項目評価」は、情報保護評価の必要性が高いとまではいえないものについて、全項目評価よりも簡潔な手続おかつ評価項目について評価するものです。「全項目評価」は、情報保護評価の必要性が特に高いものについて行う評価であり、詳細かつ慎重な分析・検討が求められるものです。
下表は、「基礎項目評価評価書」「重点項目評価書」「全項目評価書」に記載されるべき事項等を整理したものです。「全項目評価書」では特にリスク対策について詳細な分析と記述が求められ、評価書を公示したうえで国民・住民からの意見聴取、特定個人情報保護委員会の承認又は第三者点検が求められることとなります。

images_04.jpg

プロフィール

弁護士(小笠原六川国際総合法律事務所)
東海大学法科大学院教授(企業法務2,商法演習1,破産法等)
六川 浩明
[所属・役職]
弁護士(小笠原六川国際総合法律事務所)
東海大学法科大学院教授(企業法務2,商法演習1,破産法等)
[略歴]
一橋大学法学部卒。上場会社4社の社外監査役・社外取締役。
首都大学東京・産業技術大学院大学非常勤講師,早稲田大学文化構想学部非常勤講師を兼任。
[最近の共著書]
『裁判例にみる 特別受益・寄与分の実務』(共著、ぎょうせい、2014年2月)
『財務報告実務検定 公式テキスト 2014年版』(共著、TAC出版、2013年6月)
『IPO実務検定 公式テキスト 第4版』(共著、中央経済社、2013年4月)
『ディスクロージャーの業務がわかる』(共著、税務経理協会、2013年1月)
『金融商品取引法 課徴金事例の分析 インサイダー取引編』(共著、商事法務、2012年1月)
『金融商品取引法 課徴金事例の分析 虚偽記載編』(共著、商事法務、2012年1月)
『諸外国等における個人情報保護制度の監督機関に関する検討委員会・報告書』(共著、消費者庁企画課個人情報保護推進室、2011年7月)
[URL]
小笠原六川国際総合法律事務所

[バックナンバー]今、注目が集まる、個人情報保護法改正の動き

企業マネジメント最新トレンド 一覧へ

日経産業新聞 ビジネス動画 動画で見る、話題の新製品・先端技術 詳しくはこちら

日本大学 通信教育部

月間アクセスランキング

  1. 企業マネジメント最新トレンド
    グローバルに対応しうる事業戦略とは
  2. 企業マネジメント最新トレンド
    ISO9001及びISO14001の具体的な改正内容とその対応のスケジュール
  3. 企業マネジメント最新トレンド
    正しい売上・利益計画の立て方
  4. 企業マネジメント最新トレンド
    企業価値とは何か。経営にどう影響するのか
  5. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正における具体的な取組み方法

経営喝!力 ビジネスIT活用index