改正マイナンバー法への対応で押さえておくべき3つの重要ポイント

IT・情報セキュリティ
藤村 慎也弁護士 牛島総合法律事務所

目次

  1. 改正マイナンバー法の成立
    1. 番号法から番号利用法へ
    2. 改正マイナンバー法の施行日はいつ?
    3. 改正マイナンバー法:3つの重要ポイント
  2. 個人情報保護委員会の設立
    1. 条文はどのように改正されたか
    2. 委員会の権限はどう変わるか
    3. EUとの個人データ移転に関する問題点
    4. 独立した法執行機関は「十分なレベルの保護」のために必要
    5. 個人情報保護委員会の今後
  3. 情報漏えい等への対応
    1. 民間企業に直接影響がある改正ポイント
    2. 漏えい時の対応 マイナンバーと個人情報の関係
  4. 利用範囲の拡大
    1. 預貯金口座への付番
    2. 医療等分野におけるマイナンバーの利用拡充
    3. 地方公共団体の要望を踏まえたマイナンバーの利用拡充
  5. おわりに

改正マイナンバー法の成立

番号法から番号利用法へ

 平成25年5月に公布され、自治体、企業に大きな影響を与えたマイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)であるが、平成27年9月3日、個人情報保護法およびマイナンバー法などを改正する法案が可決・成立し、同年9月9日に公布された。

 なお、マイナンバー法の略称は、従前は「番号法」であったが、平成28年1月1日からは「番号利用法」と改められる。今後は、各社の規程や契約書においても「番号利用法」という用語を用いることになるであろう。
 本稿では、マイナンバー法という用語を用いる。

改正マイナンバー法の施行日はいつ?

 改正法は段階的に施行される。
 まず、平成28年1月1日に、後述する個人情報保護委員会の設置や漏えい等が発生した場合の報告等に関する条文が施行された。
 今後、段階的に、公布の日から3年を超えない範囲内で政令が定める日まで(すなわち平成30年9月9日まで)に全面的に施行されることになる。

改正マイナンバー法:3つの重要ポイント

 改正マイナンバー法における改正のうち、重要なものは、表1に記載した3点である。
 本稿では、この3点を中心に改正のポイントを解説する。

表1 改正マイナンバー法のポイント(主要なもの)
項目 内容 施行日
個人情報保護委員会の新設 EU諸国の「プライバシー・コミッショナー」と同様の組織の設立 平成28年1月1日
情報漏えい等への対応 情報漏えい等が発生した場合の個人情報保護委員会への報告義務の新設 平成28年1月1日
マイナンバーの利用範囲の拡大 預貯金口座がマイナンバーで管理されることに 平成30年9月9日までで政令が定める

個人情報保護委員会の設立

条文はどのように改正されたか

 平成27年9月改正前の旧マイナンバー法の下では①「特定個人情報保護委員会」が組織されていたが、平成28年1月1日をもってこれが改組され、個人情報保護法の下での 「個人情報保護委員会」 (以下「委員会」という)となった。
 条文上は、旧マイナンバー法の「第6章 特定個人情報保護委員会」の多くが削除され、個人情報保護法に「第5章 個人情報保護委員会」が新設されて「引っ越し」した形になっている。個人情報保護法は、第5章の新設に伴って条文番号が変わっているため、注意が必要である。

委員会の権限はどう変わるか

 平成28年1月1日の時点では、委員会の権限は、旧マイナンバー法の特定個人情報保護委員会の権限と大きな変更はないが、改正個人情報保護法が全面施行されると、従来の主務大臣の権限が個人情報保護委員会に一元化することになる。

EUとの個人データ移転に関する問題点

 個人情報保護委員会の設立は、日本の個人情報保護法制にとってエポックメイキングなことである。これをもって、ようやくEUとの個人データの移転に関する外交交渉が始めることができるからである。
 EUにおける個人情報保護規制であるEUデータ保護指令では、EU域外の第三国に個人データを移転する際、その第三国を「十分なレベルの保護」を確保している国と認めていない限り、本人の同意が必要となるのが原則1である。
 ところが、 日本は、この「十分なレベルの保護」がある国であるとは認定されていない
 そのため、EU諸国から日本に個人データを自由に移転することができないのである。
 たとえば、日本の多国籍企業が、EU諸国でビジネスを行って取得した顧客情報や人事情報を日本の本社に自由に送信することができない反面で、EU諸国の多国籍企業は日本から本国に自由に送信できる状態になっているのである(図1)。
 なお、改正個人情報保護法では、海外にある第三者への個人データの提供は、原則として本人の同意が必要となる。

図1 EUデータ保護指令と日本の個人情報保護法

EUデータ保護指令(①)と日本の個人情報保護法(②)

独立した法執行機関は「十分なレベルの保護」のために必要

 日本が「十分なレベルの保護」を確保していると認められない原因の1つが、 独立した執行機関が存在しない点にあるといわれている。
 EU諸国では、個人情報やプライバシー情報全般の取り扱いを監視・監督する独立した第三者機関(プライバシー・コミッショナー)を設立して、個人情報の保護を図りつつ、その流通・利活用を認めるという方策を採っている。
 日本の個人情報保護法は、それに違反している者などに対する独立した法執行機関がない。「主務大臣が勧告・命令をします」といってみても、執行の実効性などの点でEU諸国にはピンとこないのである。

 そこで、日本においてもEU諸国のプライバシー・コミッショナーのような法執行機関を作るべく、政府から独立性の高い第三者委員会を作った。これが、「個人情報保護委員会」である。
 つまり、 個人情報保護委員会とは、個人情報保護法とマイナンバー法の両方について、民間企業と行政機関2に対する監視・監督の権限を持った、公正取引委員会のような組織を作ろう 、ということなのである。

個人情報保護委員会の今後

 今回の改正では見送られたが、課徴金の導入なども議論されている。情報管理についての強大な権限を持った公正取引委員会のような組織ができたのだ、という認識で、今後の動向に注意していきたい。

情報漏えい等への対応

 今回の改正法は、平成27年に発生した日本年金機構からの情報漏えいの事故を踏まえた修正が行われた上で成立している(表2)。

表2 改正マイナンバー法の参議院での修正(主要なもの)
項目 内容
研修の実施 行政機関の長等が、サイバーセキュリティの確保に関する事項などに関する研修を行う
(改正マイナンバー法28条の2)  ※平成28年1月1日時点の条文番号である。以下同様
個人情報保護委員会による検査など (a)行政機関・独立行政法人などは、定期的に、特定個人情報の取扱いの状況について委員会による検査を受ける
(b)地方公共団体などは、定期的に、委員会に対して特定個人情報の取扱いの状況について報告する
(改正マイナンバー法28条の3)
日本年金機構に関する経過措置 (a) 日本年金機構は、平成29年5月31日までの間において政令で定める日までの間、マイナンバーの利用ができない
(b) 日本年金機構は、平成29年11月30日までの間において政令で定める日までの間、情報提供ネットワークを通じた情報連携ができない
(改正マイナンバー法附則3条の2)
特定個人情報の漏えいなどに関する報告 個人番号利用事務等実施者は、個人情報保護委員会規則で定めるところにより、特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態が生じたときは、委員会に報告する
(改正マイナンバー法28条の4)

民間企業に直接影響がある改正ポイント

この中で、民間企業に直接影響があるのが、「日本年金機構に関する経過措置」と「特定個人情報の漏えいなどに関する報告」である。

日本年金機構に関する経過措置

 日本年金機構のマイナンバーの利用が、平成29年5月31日までの間で政令が定める日まで延期されることになった。これによって、厚生年金の実務に影響が出る。 
 もともと 厚生年金におけるマイナンバーの利用は平成29年1月1日から予定されていたが、最長で、平成29年6月1日の開始に延期となった。

特定個人情報の漏えいなどに関する報告

 改正マイナンバー法では、28条の4が新設され、特定個人情報ファイル(マイナンバーが含まれたデータベースなど)から情報が漏えいするなどの「重大な事態」が生じたときには、委員会規則に従って委員会に報告することが義務づけられた。
 従前の個人情報保護法の下では、情報漏えいなどが発生した場合には、主務大臣のガイドラインに従って、ガイドライン上の義務または努力義務として主務大臣への報告を行っていたが、 改正マイナンバー法の下では委員会への報告が法的義務となったのである。

漏えい時の対応 マイナンバーと個人情報の関係

漏えいなどした場合の疑問 <報告先はどこに?>

 ところで、マイナンバーは、個人情報保護法における個人情報にもあたる。マイナンバーは12桁の数字に過ぎないが、特定の個人を識別することができる情報でもあるからだ。
 となると、マイナンバーが漏えいなどした場合、改正マイナンバー法28条の4に従って委員会に報告すればよいのか、個人情報保護法のガイドラインに従って主務大臣に報告すればよいのか。両者の整理が必要になる。

漏えいなどした場合の報告先 <社内マニュアル・社内規程への反映を>

 そこで、平成27年12月25日に、委員会が、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(以下「委員会規則」)と、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」(以下「委員会告示」)を公表した。
 これにより、特定個人情報が漏えいなどした場合の報告先が整理された。その概要は、一般的には以下の(1)~(4)のとおりである。
 情報漏えいなどが発生した際の社内のマニュアルや、社内規程などに反映することが必要であると考えられる。

(1)マイナンバー法固有の事案が生じた場合、またはそのおそれを把握した場合

速やかに委員会に報告する努力義務がある。

【具体例】
 90人分のマイナンバーについて、データベースのアクセス権の設定を誤り、行政機関に書面を提出するために必要な範囲を超えて一般従業員がアクセスできるようになっていた場合
 →速やかに委員会に報告する努力義務がある。

(2)特定個人情報が漏えいなどした場合(重大事態※またはそのおそれのある事案は除く)

従来どおり、主務大臣のガイドラインなどに従い主務大臣などに報告する。

※重大事態=漏えいなど、マイナンバー法の利用制限に反する利用、または提供制限に反する提供の対象となった特定個人情報に係る本人の数が100人を超える場合 (委員会規則2条2号)などをいう。

【具体例】
 90人分のマイナンバーを記載した書類を紛失してしまった場合
 →金融庁や経産省など個人情報保護法上の主務大臣などに報告する。

(3)重大事態に該当する事案またはそのおそれのある事案が発覚した場合

従来どおり、主務大臣のガイドライン等に従い主務大臣等に報告し、また、ただちに委員会に報告する努力義務がある。

【具体例】
 110人分のマイナンバーが漏えいしたおそれが発覚した場合
 →主務大臣などに報告するとともに、ただちに委員会に報告する努力義務がある。

(4)重大事態に該当する事案が生じたとき

委員会に報告する義務がある。

【具体例】
 110人分のマイナンバーが現実に漏えいしてしまった場合
 → 委員会に報告しなければならない。

 なお、個人番号関係事務の委託先で重大事態が生じたときは、委託先は委託元に報告し、委託元が委員会に報告する義務がある。
 また、再委託先以降の委託先で重大事態が生じたときは、再委託先以降の委託先は、原則として直接の委託者および最初の委託者に報告し、最初の委託者が委員会に報告する義務がある。

図2 特定個人情報が漏えいなどした場合の報告先

特定個人情報が漏えいなどした場合の報告先

利用範囲の拡大

 改正前のマイナンバー法では、社会保障と徴税の一部の分野のみに利用が限定されていたが、改正マイナンバー法では、銀行などの金融機関、医療機関、地方公共団体によって、広く活用することが想定されている。

預貯金口座への付番

現時点での銀行におけるマイナンバーの利用・管理

 現在のマイナンバー法の下では、個人が銀行などに保有している預貯金口座について、マイナンバーを使って管理することは行われない。
 理由は以下のとおりである。

 マイナンバー法では、民間企業(個人番号関係事務実施者)は、法令・条例の規定により、他人の個人番号を記載した書面の提出やその他の事務を行うとされた場合に、それに必要な限度でのみ、マイナンバーを利用できるとされている(マイナンバー法9条3項)。つまり、マイナンバー入りの書類を行政機関に提出する場合など、法令上マイナンバーを取り扱う義務がある場合以外は、マイナンバーを利用することは違法であるとされているのである。
 これを個人が保有する預貯金口座についてみてみると、所得税法施行規則において、その利子について支払調書の提出が免除されている。つまり、銀行などは、個人が保有する預貯金口座については法令上マイナンバーを取り扱う義務がない。
 したがって、現時点では、銀行などが、個人が保有する預貯金口座について、マイナンバーを収集して利用することはできない。

改正法の下でのマイナンバーの利用の範囲

 しかし、今回、税法(国税通則法、地方税法)が改正されることになり、銀行などは、個人の預貯金情報を、マイナンバーをキーとして検索することができる状態で管理する義務を税法上負うことになる
 そして、これと併せて、マイナンバー法、厚生年金保険法、国民年金法などが改正される結果、銀行などが税法上の義務としてマイナンバーをキーに管理している個人の預貯金情報を、税務署、地方自治体・年金事務所等、預金保険機構が、①国税・地方税の税務調査②社会保障制度における資力調査③預金保険に関する預貯金口座の名寄せにおいて、銀行などに対してマイナンバー付きで預貯金情報を照会し、銀行などはこの照会に対して回答する、といった形で利用することになる。

いつ銀行にマイナンバーを告知するのか

 以上の預貯金口座への付番に関する改正法の施行は平成30年が予定されているが、平成30年の時点では、個人が銀行などに対してマイナンバーを告知する義務はない。あくまでも、銀行が、税法上、マイナンバーをキーにして検索することができる状態で管理する義務を負うにとどまるのである。

 個人が銀行などに告知することは、平成33年を目処に義務化することが検討されている

図3 銀行へのマイナンバー告知

個人が銀行などに告知することは、平成33年を目処に義務化することが検討されている

医療等分野におけるマイナンバーの利用拡充

 健康保険組合などが行う特定健康診査の情報について、被保険者が転職などによって健康保険組合を変えた場合でも、マイナンバーをキーにして引き継ぎができるようになる。
 また、地方公共団体における予防接種履歴について、引っ越しをして転居した場合でも、転居前の地方公共団体に対し、問い合わせ(情報連携)ができるようになる。

地方公共団体の要望を踏まえたマイナンバーの利用拡充

 特定優良賃貸住宅の管理の事務でマイナンバーが利用できるようになることや、条例によって定める事務で情報提供ネットワークシステムが利用できるようになるなどの改正が行われている。
 後者により、マイナンバーによる情報連携を、法律ではなく条例によって拡大する大きな仕組みができたことになる。

おわりに

 企業の対応などにおいて、大きな混乱や負荷を生じさせたマイナンバー法だが、実務においてはこれから具体的な問題が出てくるだろう。
 企業の実務担当者は、個人情報保護委員会の役割、情報漏えい時の対応、預貯金口座へのマイナンバーの利用など、今後の動きに注意し、いざという時に慌てない対応を目指してほしい。

 今回はマイナンバー法の改正に焦点を当て、対応のポイントを解説したが、マイナンバー法以外の関連法も改正が多く行なわれている。
 次回は各省庁から公開された新しい規定や情報を紹介する。


  1. 標準契約条項の利用やBCRの利用などの方法によることは可能であるが、ここでは割愛する。 ↩︎

  2. 現時点では、委員会は行政機関が保有するマイナンバー以外の個人情報については監視・監督の権限を持っていないが、現在この点についての検討が行われている。 ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する