番号法と個人情報保護法の関係は

IT・情報セキュリティ 公開 更新

 改正個人情報保護法と番号法はどのような点が共通し、どのような点が異なりますか。

 番号法上の個人番号は個人識別符号として個人情報保護法上の個人情報に該当することになります。
 改正個人情報保護法の全面施行により、番号法同様、すべての事業者が対象事業者となります。個人番号の取得に関しては、個人情報保護法の規定が適用されますが、それに加えて番号法上の本人確認の手続が必要となります。

 個人情報保護法上の個人データと異なり、番号法上の特定個人情報は法律に定められた場合にしか第三者提供が認められません。
 また、個人情報保護法上は、個人データの第三者提供において記録の作成・保存義務が課せられることになりますが、番号法上は、特定個人情報の提供について記録の作成・保存義務はありません。
 番号法の個人番号については利用の必要がなくなった個人番号の廃棄の義務がありますが、改正後の個人情報保護法上は遅滞なく消去する努力義務が定められることになります。

 番号法には、正当の理由のない特定個人情報の漏えいについては刑事罰が設けられていますが、改正後の個人情報保護法においても、不正な利益を図る目的での漏えいには刑事罰が科せられることになります。

解説

目次

  1. 個人情報と個人番号の関係
  2. 安全管理措置
  3. 個人番号の取得・利用
  4. 個人情報・個人番号の提供
  5. 保管・廃棄
  6. 情報の漏えい

※本QAの凡例は以下のとおりです。

  • 個人情報保護法、改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
  • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
  • 個人情報保護ガイドライン(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)

個人情報と個人番号の関係

 「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」をいいます(個人情報保護法2条1項)。

 これに対して、「個人番号」とは、住民票コードを変換して得られる12桁の番号です(行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」といいます)2条5項)。そして、個人番号を含む個人情報を「特定個人情報」といいます(個人情報保護法2条8項)。なお、特定個人情報保護委員会の「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下「特定個人情報ガイドライン」といいいます)においては、個人番号と特定個人情報を併せて「特定個人情報等」ということとされています。

 改正前個人情報保護法では、「個人番号」自体が「個人情報」に該当するか否かは明らかではありませんでした。もっとも、改正個人情報保護法の全面施行により、個人許番号のような個人に提供される役務の利用に関して割り当てられる文字、番号、記号なども「個人識別符号」として、個人情報に該当することになります1。これに伴い、「個人番号」自体も「個人情報」に該当することが明確になります。

安全管理措置

 改正前個人情報保護法では過去6か月にわたって5,000人以下の個人情報しか保有していない事業者は、個人情報保護法上の「個人情報取扱事業者」に該当しませんでした(改正前個人情報保護法2条3項、改正前個人情報保護法施行令2条)。
 これに対して、番号法上、事業者は、取り扱う個人番号の数にかかわらず、番号法上の個人番号関係事務実施者に該当します。もっとも、特定個人情報ガイドラインの「(別添)特定個人情報に関する安全管理措置(事業者編)」において、事業者のうち従業員の数が100人以下の事業者については、一定の者を除いて、「中小規模事業者」として、一般の事業者よりも緩和された安全管理措置を講ずることが認められています。
 他方、改正個人情報保護法の施行により、過去6か月にわたって5,000人以下の個人情報しか保有していない場合の個人情報取扱事業者の適用除外がなくなり、すべての事業者が個人情報取扱事業者となります。もっとも、個人情報保護法ガイドライン(通則編)により番号法と同様に小規模事業者についての特例が認められています(改正個人情報保護法附則11条)。

参考:「個人情報取扱事業者の範囲はどのように変わったか

個人番号の取得・利用

 個人情報取扱事業者が個人情報を取得する場合は、本人に速やかに利用目的を通知または公表しなければなりません。本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなければなりません(個人情報保護法18条)。
 他方、事業者が従業員等や取引先から個人番号を取得するためには、①利用目的を明示して通知または公表をすること(番号法30条3項、個人情報保護法18条1項)と、②取得にあたって従業員等の本人確認をすること(番号法16条)が必要です

 番号法上、利用目的は本人の同意があっても追加できませんが、当初の利用目的と「相当の関連性」を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知または公表を行うことにより、変更後の利用目的の範囲内で個人番号を利用することができます(番号法30条3項、個人情報保護法15条2項、18条3項)。
 改正個人情報保護法の施行により、「相当の関連性」が「関連性」に改められ、利用目的の変更が容易になり、個人番号の利用目的の変更もより容易になります。この規律は、特定個人情報の利用目的の変更についても適用されます。

個人情報・個人番号の提供

 個人情報保護法では、本人の同意があれば個人データの第三者への提供が認められます(個人情報保護法23条1項)
 これに対して、番号法上の特定個人情報については、第三者への提供が認められるのは番号法19条に列挙された場合に限られ、たとえ本人の同意があっても第三者への提供は認められません

 なお、改正個人情報保護法の全面施行により、個人情報取扱事業者は、個人情報データベース等の提供を受けるときは、その提供をする者が当該個人情報データベース等を取得した経緯等を確認するとともに、提供の年月日、当該確認に係る事項等の記録を作成し、一定の期間保存しなければならなくなります(個人情報保護法26条)。また、個人情報取扱事業者は、個人情報データベース等の第三者提供をしたときは、提供の年月日、提供先の氏名等の記録を作成し、一定の期間保存しなければならなくなります(個人情報保護法25条)。 この規律は、番号法上の特定個人情報の提供には及びません。

保管・廃棄

 改正前の個人情報保護法では、利用しなくなった個人情報について削除や廃棄をすることが求められていません。改正個人情報保護法においては、努力義務ではありますが、個人情報取扱事業者は利用が必要なくなった個人データを遅滞なく消去することが求められることになります(個人情報保護法19条)。
 これに対して、個人番号や特定個人情報については、利用が必要な範囲内でのみ保管することが認められます。従業員については退職するまでは個人番号や特定個人情報を保管できます。扶養控除等申告書のように法定保存期間の決まっている書類についてはその期間についてのみ保管をすることができ、利用の必要がなくなった場合は「速やか」に「復元できない手段」で廃棄または削除が求められます(番号法20条、特定個人情報ガイドライン)。

 「速やか」にとは、毎年度末にまとめて廃棄・削除することも認められます。「復元できない手段」としては、書類の場合は消却や溶解、または、復元できない程度の裁断が可能なシュレッダーの利用などが必要となります。電子媒体の場合は、専用のデータ削除ソフトウェア利用や物理的な破壊が必要となります。また、廃棄・削除をしたことについては記録をすることも求められます(特定個人情報ガイドライン)。

情報の漏えい

 特定個人情報ガイドラインにおいては、特定個人情報等が外部に漏えいした場合の対応として、①事実関係の調査および原因の究明、②影響を受ける可能性のある本人への連絡、③委員会および主務大臣等への報告、④再発防止策の検討および決定、⑤事実関係および再発防止策等の公表が定められています。さらに、特定個人情報保護委員会の定める「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」においては、特定個人情報の漏えい事案等が発生した場合の具体的な対応が定められています。

   個人番号関係事務に従事する職員が、正当の理由なく、特定個人情報ファイル(特定個人情報をその内容に含む個人情報ファイル(番号法2条9項))を外部に漏えいした場合には、4年以下の懲役もしくは200万円以下の罰金またはこれらを併せた刑事罰が適用されます(番号法67条)。また、両罰規定により、法人にも200万円以下の罰金が科せらます(番号法77条1項)。

 一般の個人情報の故意の漏えいについては、改正前の個人情報保護法には直接的な罰則は定められていませんでしたが、改正個人情報保護法の施行により、個人情報取扱事業者の役職員等が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処せられることになります(個人情報保護法83条)。法人にも50万円以下の罰金が科せられます(個人情報保護法87条)。  

番号法 改正個人情報保護法
個人情報の定義 個人番号単独でも個人識別符号として個人情報に該当することになる可能性あり 個人識別符号も個人情報になる
事業者 すべての事業者が個人番号関係事務実施者(中小規模事業者の特例あり) 6か月間5000人以下の個人情報を保有しない事業者も個人情報取扱事業者になる(中小規模事業者の特例設けられる予定)
取得 利用目的の通知・公表+本人確認 利用目的の通知・公表
要配慮個人情報については本人同意必要
利用目的の変更 「関連性」のある範囲内で通知・公表により変更可能になる 「関連性」のある範囲内で通知・公表により変更可能になる
提供 本人の同意があっても提供不可 本人の同意があれば提供可能
提供元・提供先において記録の作成・保存必要になる
廃棄 利用しなくなった場合、法定保存期間経過した場合、速やかに復元できない程度の廃棄・削除義務 遅滞ない消去の努力義務
刑事罰 担当者による正当の理由のない特定個人情報ファイルの漏えい等について4年以下の懲役・200万円以下の罰金・両罰規定 個人情報データベースの故意による漏えいについて1年以下の懲役・50万円以下の罰金・両罰規定
<追記>
2017年12月28日(木)12:00:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

  1. 指紋データや顔認識データのような「個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号」も「個人識別符号」として個人情報となる。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する