特定個人情報の利用制限と特定個人情報ファイルの作成制限

IT・情報セキュリティ

 特定個人情報の利用制限や特定個人情報ファイルの作成制限について教えてください。

 民間事業者は、原則として、番号法で認められた事務のためにしか個人番号を利用することはできません。利用目的の事後的な追加は本人の同意があってもできませんが、包括的に利用目的を明示することは認められます。
 特定個人情報ファイルの作成については、個人番号関係事務または個人番号利用事務を処理するために必要な範囲に限って作成することができます。

解説

目次

  1. 個人番号の利用目的の原則的な取扱い
  2. 個人番号の利用制限
    1. 原則的な利用範囲と例外
    2. 利用目的を超える利用についての同意がある場合
    3. 利用目的の範囲の変更
    4. 包括的な利用目的の明示
  3. 特定個人情報ファイルの作成制限と利用制限
    1. 特定個人情報ファイルの作成の制限
    2. 特定個人情報ファイルに登録された特定個人情報の「利用目的の範囲」

個人番号の利用目的の原則的な取扱い

 個人番号は、番号法上、民間事業者が行うこととされた事務の範囲の中から、具体的な利用目的を特定した上で、利用するのが原則です。

 民間事業者が個人番号を利用するのは、「個人番号利用事務」および「個人番号関係事務」の2つの事務です。このうち、健康保険組合等以外の民間事業者が個人番号を利用するのは、個人番号関係事務として個人番号を利用する場合です。

 なお、民間事業者が行政機関等または健康保険組合等から個人番号利用事務の委託を受けた場合には、個人番号利用事務として個人番号を利用することとなります。
 民間事業者は、個人情報保護法とは異なり、本人の同意があったとしても、例外として認められる場合を除き、これらの事務以外で個人番号を利用してはなりません。

個人番号の利用制限

原則的な利用範囲と例外

 個人番号を利用できる事務については、番号法によって限定的に定められており、事業者が個人番号を利用するのは、主として、源泉徴収票および社会保障の手続書類に従業員等の個人番号を記載して行政機関等および健康保険組合等に提出する場合です。

 例外的な利用について、番号法は個人情報保護法に比べ、より限定的に定めています。民間事業者の場合、利用目的を超えて個人番号を利用することができるのは、①激甚災害が発生したとき等に金融機関が金銭の支払をするために個人番号を利用する場合および②人の生命、身体または財産の保護のために個人番号を利用する必要がある場合です。

 利用目的の範囲内として利用が認められる場合としては、以下の場合が挙げられます。

特定個人情報の適正な取扱いに関する ガイドライン(事業者編)第4-1-⑴ 個人番号の利用制限より

  • 〈当年以後の源泉徴収票作成事務に用いる場合〉
    前年の給与所得の源泉徴収票作成事務のために提供を受けた個人番号については、同一の雇用契約に基づいて発生する当年以後の源泉徴収票作成事務のために利用することができると解される。
  • 〈退職者について再雇用契約が締結された場合〉
    前の雇用契約を締結した際に給与所得の源泉徴収票作成事務のために提供を受けた個人番号については、後の雇用契約に基づく給与所得の源泉徴収票作成事務のために利用することができると解される。
  • 〈講師との間で講演契約を再度締結した場合〉
    前の講演契約を締結した際に講演料の支払に伴う報酬、料金、契約金及び賞金の支払調書作成事務のために提供を受けた個人番号については、後の契約に基づく講演料の支払に伴う報酬、料金、契約金及び賞金の支払調書作成事務のために利用することができると解される。
  • 〈不動産の賃貸借契約を追加して締結した場合〉
    前の賃貸借契約を締結した際に支払調書作成事務のために提供を受けた個人番号については、後の賃貸借契約に基づく賃料に関する支払調書作成事務のために利用することができると解される。

 上記の「退職者について再雇用契約が締結された場合」については、退職直後に再雇用する場合以外は、すぐに廃棄する必要があるのではないか問題となります。

 この点、退職者についても、その者が提出した扶養控除等申告書等は、所得税法等を根拠として、保存義務が課されていますので、必ずしも退職後速やかに削除するわけではないと考えられます。したがって、退職後、再雇用するに当たり、適法に個人番号を保管している場合も考えられますので、そのような場合には、当初の利用目的の範囲内で個人番号を利用することができます。

 一方、保存期間が経過し、個人番号が既に廃棄されている場合には、再度提供を求めることになります。なお、本ガイドラインの記載は、適法に個人番号を保管していることを前提としています。

 扶養控除等申告書等は、退職後、法定保存期間である7年間は保存義務があるので、退職後7年以内に再雇用された場合には利用することができますが、退職後7年を超えて再雇用された場合には廃棄されることになるので再利用できないと考えられます。

利用目的を超える利用についての同意がある場合

 個人番号含む特定個人情報については、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはなりません。たとえば、源泉徴収のために取得した個人番号は源泉徴収に関する事務に必要な限度でのみ利用が可能です。

利用目的の範囲の変更

 個人番号についても利用目的(個人番号を利用できる事務の範囲で特定した利用目的)の範囲内でのみ利用することができます。当初の利用目的を超えて個人番号を利用する必要が生じた場合には、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知等を行うことにより、変更後の利用目的の範囲内で個人番号を利用できます(個人情報保護法15条2項、18条3項)。

 「利用目的の変更が認められる場合」の具体例としては、以下の場合が挙げられます。

特定個人情報の適正な取扱いに関する ガイドライン(事業者編)第4-1-⑴ 個人番号の利用制限より

 雇用契約に基づく給与所得の源泉徴収票作成事務のために提供を受けた個人番号を、雇用契約に基づく健康保険・厚生年金保険届出事務等に利用しようとする場合は、利用目的を変更して、本人への通知等を行うことにより、健康保険・厚生年金保険届出事務等に個人番号を利用することができる。

 なお、平成27年通常国会において成立した個人情報保護法の改正法(公布の日から2年以内の政令で定める日に施行)により、利用目的の変更ができる場合が当初の利用目的と「相当の関連性を有すると合理的に認められる範囲内」から「関連性を有すると合理的に認められる範囲内」と緩和されるため、個人番号の利用目的についても事後に変更し易くなる可能性があります。

包括的な利用目的の明示

 複数の利用目的を包括的にまとめて明示することは可能ですが、利用目的を後から追加することはできません。従業員から個人番号を取得する際に、源泉徴収や健康保険の手続きなど、個人番号を利用する事務・利用目的を包括的に明示して取得し、利用することは差し支えありません。明示の方法としては、従来から行っている個人情報の取得の際と同様に、社内LANにおける通知、利用目的を記載した書類の提示、就業規則への明記等の方法が考えられます。

特定個人情報ファイルの作成制限と利用制限

特定個人情報ファイルの作成の制限

 民間事業者は、個人番号関係事務または個人番号利用事務を処理するために必要な範囲に限って、特定個人情報ファイル(特定個人情報をその内容に含む個人情報ファイル)を作成することができます

 法令に基づき行う従業員等の源泉徴収票作成事務、健康保険・厚生年金保険被保険者資格取得届作成事務等に限って、特定個人情報ファイルを作成することができるものであり、これらの場合を除き特定個人情報ファイルを作成してはなりません。

 事業者は、従業員等の個人番号を利用して営業成績等を管理する特定個人情報ファイルを作成することはできません。

 事業者から従業員等の源泉徴収票作成事務について委託を受けた税理士等の受託者についても、「個人番号関係事務実施者」に該当することから、個人番号関係事務を処理するために必要な範囲で特定個人情報ファイルを作成することができます。

 特定個人情報ファイルの作成制限の具体例は以下のとおりです。

特定個人情報の適正な取扱いに関するガイドライン(事業者編)に関するQ&A(回答)より

  1. 社内資料として過去の業務状況を記録するため、特定個人情報ファイルを作成すること
    ⇒単に社内資料として過去の業務状況を記録する目的で特定個人情報ファイルを作成することは、個人番号関係事務を処理するために必要な範囲に含まれるとはいえませんので、作成することはできません。
  2. 個人番号関係事務又は個人番号利用事務の委託先が、委託者に対して業務状況を報告するために特定個人情報ファイルを作成すること
    ⇒委託先への監督の一環として、業務状況を報告させる場合には、特定個人情報ファイルを作成することはできますが、委託された業務に関係なく特定個人情報ファイルを作成することはできません。
  3. 個人番号の安全管理の観点から個人番号を仮名化して保管している場合において、その仮名化した情報と元の情報を照合するための照合表として特定個人情報ファイルを作成すること
  4. 提出書類間の整合性を確認するため、専ら合計表との突合に使用する目的で個人番号を記載した明細表を作成すること
    ⇒個人番号関係事務の範囲内で、照合表や明細書を作成することは認められます。
  5. 障害への対応等のために特定個人情報ファイルのバックアップファイルを作成すること
    ⇒バックアップファイルを作成することはできますが、バックアップファイルに対する安全管理措置を講ずる必要があります。
  6. 既存のデータベースに個人番号を追加することはできますか。
    ⇒既存のデータベースに個人番号を追加することはできますが、個人番号関係事務以外の事務で個人番号を利用することができないよう適切にアクセス制御等を行う必要があります。
  7. 個人番号をその内容に含むデータベースを複数の事務で用いている場合、個人番号関係事務以外の事務で個人番号にアクセスできないよう適切にアクセス制御を行えば、その個人番号関係事務以外の事務においては、当該データベースが特定個人情報ファイルに該当しないと考えてよいですか。
    ⇒個人番号関係事務以外の事務において、個人番号にアクセスできないよう適切にアクセス制御を行えば、特定個人情報ファイルに該当しません。
  8. 個人番号が記載された書類等を利用して、個人番号関係事務以外の事務で個人情報データベース等を作成したい場合は、どのように作成することが適切ですか。
    ⇒個人情報保護法においては個人情報データベース等の作成に制限を設けていないことから、個人番号部分を復元できないようにマスキング処理をして個人情報保護法における個人情報とすることにより、個人情報保護法の規定に従って個人情報データベース等を作成することができます。

特定個人情報ファイルに登録された特定個人情報の「利用目的の範囲」

 特定個人情報ファイルに登録された特定個人情報の「利用目的の範囲」は具体的には以下のとおりです。

特定個人情報の適正な取扱いに関するガイドライン(事業者編)に関するQ&A(回答)より

  1. 収集した個人番号を特定個人情報ファイルへ登録し、登録結果を確認するために個人番号をその内容に含む情報をプリントアウトする場合
    ⇒個人番号関係事務実施者が個人番号関係事務を処理する目的で、収集した個人番号を特定個人情報ファイルへ登録し、登録結果を確認するために個人番号をその内容に含む情報をプリントアウトしますので、個人番号関係事務の範囲内での利用といえます。
  2. 個人番号関係事務を処理する目的で、特定個人情報ファイルに登録済の個人番号を照会機能で呼び出しプリントアウトする場合
    ⇒個人番号関係事務実施者が個人番号関係事務を処理する目的で、特定個人情報ファイルに登録済の個人番号を照会機能で呼び出しプリントアウトしますので、①と同様に個人番号関係事務の範囲内での利用といえます。
  3. 個人番号関係事務以外の業務を処理する目的(例えば、顧客の住所等を調べる等)で照会した端末の画面に、特定個人情報ファイルに登録済の情報が表示されており、これをプリントアウトする場合
    ⇒個人番号関係事務の範囲外での利用になりますので、個人番号をプリントアウトしないように工夫する必要があります。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する