特定個人情報保護評価について

更新日:2022年12月13日

平成25年5月に「行政手続における特定の個人を識別するための番号の利用等に関する法律」(通称、「番号法」と呼ばれています)が公布され、平成27年10月より「通知カード」が送付されることとなり、平成28年1月より「個人番号」の利用が始まります。番号法では、個人番号をその内容に含む個人情報のことを「特定個人情報」と呼んでおりますが、特定個人情報ファイルを取扱う事務の実施に当たっては、しきい値判断に基づき、「特定個人情報保護評価」の実施が義務付けられております。

特定個人情報保護評価とは

番号法は、地方公共団体が特定個人情報ファイル(個人番号をその内容に含む個人情報ファイル)を保有しようとするときは、特定個人情報ファイルを保有する前に、特定個人情報保護評価の実施を義務付けています。特定個人情報ファイルを保有することで生じるリスクと当該リスクに対する対策を、所定の様式(特定個人情報保護評価書)に記入し、公表する仕組みとなっています。
特定個人情報保護評価は、事前対応による個人のプライバシー等の権利利益の侵害の未然防止や国民及び住民の信頼の確保を目的として実施するものです。即ち、情報の漏えいや不正利用等により個人のプライバシー等の権利利益が侵害されると、拡散した情報を全て消去・修正することが困難であるなど、当該権利利益の回復は容易ではないことから、事後的な対応ではなく、事前対応として、特定個人情報ファイルの取扱いに伴う特定個人情報の漏えいその他の事態を発生させるリスクを分析し、このようなリスクを軽減するための措置を講ずることが必要となります。特定個人情報保護評価は、このような事前対応の要請に応える手段であり、特定個人情報ファイルを保有する前の段階で適切な保護措置を検討するための制度です。
また、番号制度の導入に対する懸念を払拭する観点からは、特定個人情報ファイルを取扱う者が、入手する特定個人情報の種類、使用目的・方法、安全管理措置等について国民・住民に分かりやすい説明を行い、その透明性を高めることが求められます。特定個人情報保護評価は、評価実施機関が、特定個人情報保護評価書において、どのような事務でどのような目的のために特定個人情報ファイルを取扱うのか、個人のプライバシー等の権利利益の保護のためにどのような措置を講じているのかを具体的に説明することにより、国民・住民の信頼を確保することを目的としています。

特定個人情報保護評価の実施手続及び評価の種類

特定個人情報保護評価は、全ての事務に同一の評価を義務付けるのではなく、個人のプライバシー等の権利利益に影響を与える可能性が高いと考えられる事務について、より手厚い評価の実施を義務付けています。このため、評価実施機関は、特定個人情報保護評価を実施する事務について、「対象人数」、「取扱者数」及び「評価実施機関における特定個人情報に関する重大事故の発生の有無」に基づく、「しきい値判断」を行い、その結果に基づき、「基礎項目評価」、「重点項目評価」、「全項目評価」のいずれかの評価を実施することとなっています。

しきい値判断とは

「しきい値判断」とは、「特定個人情報保護評価を実施するかどうか」そして「実施する場合、どのような評価を実施するか」、これらについて決定するための基準に基づき、評価実施の要否等を判断するものです。特定個人情報ファイルを取扱う事務について全て均一の評価を行うのではなく、個人のプライバシー等の権利利益に対して影響を与える可能性が高いと認められるものについて手厚い評価を実施し、必要性に応じたメリハリのある仕組みとして実効性を高めています。

番号制度における「しきい値判断」を行う際の基準は、以下の3つです。

  1. 対象人数
    (特定個人情報ファイルを取扱う事務において保有する全ての特定個人情報ファイルに記録される本人の数の総数)
  2. 取扱者数
    (評価実施機関の従業者及び評価実施機関が特定個人情報ファイルの取扱いを委託している場合の委託先の従業者のうち、当該特定個人情報ファイルを取扱う者の数)
  3. 評価実施機関における特定個人情報に関する重大事故の発生の有無

「しきい値判断」に基づき、実施が義務づけられる特定個人情報保護評価の種類は、以下のとおりです。

  • 対象人数が1,000人未満の場合
    ⇒「特定個人情報保護評価の実施が義務付けられない」
  • 対象人数が1,000人以上1万人未満の場合
    「基礎項目評価」
  • 対象人数が1万人以上10万人未満であり、かつ取扱者数が500人未満であって、過去1年以内に評価実施機関における特定個人情報に関する重大事故の発生がない場合
    「基礎項目評価」
  • 対象人数が1万人以上10万人未満であり、過去1年以内に評価実施機関における特定個人情報に関する重大事故の発生があった場合
    ⇒「基礎項目評価及び重点項目評価」
  • 対象人数が1万人以上10万人未満であり、かつ、取扱者数が500人以上の場合
    ⇒「基礎項目評価及び重点項目評価」
  • 対象人数が10万人以上30万人未満であり、かつ取扱者数が500人未満であって、過去1年以内に評価実施機関における特定個人情報に関する重大事故の発生がない場合
    ⇒「基礎項目評価及び重点項目評価」
  • 対象人数が10万人以上30万人未満であり、過去1年以内に評価実施機関における特定個人情報に関する重大事故の発生があった場合
    ⇒「基礎項目評価及び全項目評価」
  • 対象人数が10万人以上30万人未満であり、かつ、取扱者数が500人以上の場合
    ⇒「基礎項目評価及び全項目評価」
  • 対象人数が30万人以上の場合
    ⇒「基礎項目評価及び全項目評価」

特定個人情報保護評価書の記載項目

特定個人情報保護評価書は、「基礎項目評価書」、「重点項目評価書」、「全項目評価書」の3つがありますが、各評価書の記載事項は以下のとおりです。

基礎項目評価書

  1. 関連情報
    (特定個人情報ファイルを取扱う事務、特定個人情報ファイル名、個人番号の利用、情報提供ネットワークシステムによる情報連携、評価実施機関における担当部署、他の評価実施機関、特定個人情報の開示・訂正・利用停止請求、特定個人情報ファイルの取扱いに関する問合せ)
  2. しきい値判断項目
    (対象人数、取扱者数、重大事故)
  3. しきい値判断結果

重点項目評価書

  1. 基本情報
    (特定個人情報ファイルを取扱う事務、特定個人情報ファイルを取扱う事務において使用するシステム、特定個人情報ファイル名、個人番号の利用、情報提供ネットワークシステムによる情報連携、評価実施機関における担当部署、他の評価実施機関)
  2. 特定個人情報ファイルの概要
    (特定個人情報ファイル名、基本情報、特定個人情報の入手・使用、特定個人情報ファイルの取扱いの委託、特定個人情報の提供・移転、特定個人情報の保管・消去、備考、特定個人情報ファイル記録項目)
  3. リスク対策
    (特定個人情報ファイル名、特定個人情報の入手、特定個人情報の使用、特定個人情報ファイルの取扱いの委託、特定個人情報の提供・移転、情報提供ネットワークシステムとの接続、特定個人情報の保管・消去、監査、従業者に対する教育・啓発、その他のリスク対策)
  4. 開示請求、問合せ
    (特定個人情報の開示・訂正・利用停止請求、特定個人情報ファイルの取扱いに関する問合せ)
  5. 評価実施手続
    (基礎項目評価、国民・住民等からの意見の聴取(任意)、第三者点検(任意))

全項目評価書

  1. 基本情報
    (特定個人情報ファイルを取扱う事務、特定個人情報ファイルを取扱う事務において使用するシステム、特定個人情報ファイル名、特定個人情報ファイルを取扱う理由、個人番号の利用、情報提供ネットワークシステムによる情報連携、評価実施機関における担当部署、他の評価実施機関、事務の内容)
  2. 特定個人情報ファイルの概要
    (特定個人情報ファイル名、基本情報、特定個人情報の入手・使用、特定個人情報ファイルの取扱いの委託、特定個人情報の提供・移転、特定個人情報の保管・消去、備考、特定個人情報ファイル記録項目)
  3. 特定個人情報ファイルの取扱いプロセスにおけるリスク対策
    (特定個人情報ファイル名、特定個人情報の入手、特定個人情報の使用、特定個人情報ファイルの取扱いの委託、特定個人情報の提供・移転、情報提供ネットワークシステムとの接続、特定個人情報の保管・消去)
  4. その他のリスク対策
    (監査、従業者に対する教育・啓発、その他のリスク対策)
  5. 開示請求、問合せ
    (特定個人情報の開示・訂正・利用停止請求、特定個人情報ファイルの取扱いに関する問合せ)
  6. 評価実施手続
    (基礎項目評価、国民・住民等からの意見の聴取、第三者点検、個人情報保護委員会の承認)

実施済みの特定個人情報保護評価書

所沢市が実施した特定個人情報保護評価書については以下のホームページに公表されています。

その他国の関連リンク

お問い合わせ

所沢市 市民部 市民相談課 市政情報センター
住所:〒359-8501 所沢市並木一丁目1番地の1 低層棟1階
電話:04-2998-9206
FAX:04-2998-9041

[email protected]

本文ここまで