(執筆者 渡邉 雅之)
以下では、番号法と個人情報保護法の比較をいたします。
平成27年9月9日に公布された「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(平成27年法律第65号)に基づく、個人情報保護法に関する改正(以下「改正個人情報保護法」といいます。)と
「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「番号法」といいます。)の内容も含めて解説いたします。
1 個人情報と個人番号の関係
「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」をいいます(個人情報の保護に関する法律(以下「個人情報保護法」という。)2条1項)。
これに対して、「個人番号」とは、住民票コードを変換して得られる12桁の番号です(番号法2条5項)。個人番号を含む個人情報を「特定個人情報」といいます(同法2条8項)。なお、特定個人情報保護委員会の「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下「特定個人情報ガイドライン」という。)においては、個人番号と特定個人情報を併せて「特定個人情報等」ということとされています。これは、死者の個人番号についても安全管理措置を講じる必要がある(死者の情報は個人情報とはならず特定個人情報ともならない。)ことから、別途、「特定個人情報等」という定義を設けていると考えられます。
現行の個人情報保護法では、「個人番号」自体が「個人情報」に該当するか否かは明らかではありません。もっとも、改正個人情報保護法の施行(公布の日である平成27年9月9日より2年以内の政令で定める日。以下同じ。)により、運転免許番号のような個人に提供される役務の利用に関して割り当てられる文字、番号、記号なども「個人識別符号」として、個人情報に該当することになります。(今後政令で定められるところによりますが、)これに伴い、「個人番号」自体でも「個人情報」に該当することが明確になる可能性があります。なお、指紋データや顔認識データのような「個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号」も「個人識別符号」として個人情報となります。
_
2 対象となる事業者と安全管理措置の要否
過去6か月にわたって5000人以下の個人情報しか保有していない事業者は、個人情報保護法上の「個人情報取扱事業者」に該当しない(同法2条3項、同法施行令2条)。これに対して、事業者は、取り扱う個人番号の数にかかわらず、番号法上の個人番号関係事務実施者に該当します。
もっとも、特定個人情報ガイドラインの「(別添)特定個人情報に関する安全管理措置(事業者編)」(以下「安全管理措置ガイドライン」という。)において、事業者のうち従業員の数が100人以下の事業者については、一定の者を除いて、「中小規模事業者」として、一般の事業者よりも緩和された安全管理措置を講ずることが認められています。ただし、個人情報保護法上の個人情報取扱事業者に該当する場合は、中小規模事業者としての安全管理措置の特例は認められません。
他方、改正個人情報保護法の施行により、過去6か月にわたって5000人以下の個人情報しか保有していない場合の個人情報取扱事業者の適用除外がなくなり、すべての事業者が個人情報取扱事業者となり、個人情報保護方針・個人情報取扱規程の策定や安全管理措置を講ずることが必要となります。この場合、中小企業については緩和された安全管理措置が認められる可能性もありますが、現在のところ不分明です。
すべての事業者が個人情報取扱事業者となるので、従業員の数が100名以下の事業者も、特定個人情報等の安全管理措置について、「中小規模事業者」としての特例を受けられなくなる可能性があることに留意が必要です。この場合には、中小規模事業者以外の事業者としての対応が求められる可能性があります。もっとも、安全管理措置ガイドラインが改正されて、中小規模事業者の特例は存置されるかもしれませんので注視する必要があります。
_
3 個人番号の取得・利用
個人情報の取得については、利用目的を明示して通知または公表することで足ります。これに対して、個人番号を取得するためには、�@利用目的を明示して通知または公表をすること(番号法29条3項、個人情報保護法18条1項)と、�A取得にあたって従業員等の本人確認をすること(番号法16条)が必要です。
番号法上、利用目的は本人の同意があっても追加できませんが、当初の利用目的と「相当の関連性」を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知又は公表を行うことにより、変更後の利用目的の範囲内で個人番号を利用することができます(番号法29条3項、個人情報保護法15条2項、18条3項)。
仮に、個人番号の利用目的の範囲内であれば、目的として追加することは通常、「相当の関連性」が認められると考えられます。
なお、改正個人情報保護法の施行により、「相当の関連性」が「関連性」に改められ、利用目的の変更が容易になります。これにより、個人番号の利用目的の変更もより容易になります。
_
4 子会社への個人情報・個人番号の提供
個人情報保護法では、本人の同意があれば個人データの第三者への提供が認められます(同法23条1項)。これに対して、特定個人情報については、第三者への提供が認められるのは番号法19条に列挙された場合に限られ、たとえ本人の同意があっても、また、子会社に対してであっても、第三者への提供は認められません。
また、個人情報保護法では、オプトアウトによる第三者提供(同法23条2項)や、共同利用(同条4項3号)が認められていますが、番号法ではこれらの方法は認められていません。
なお、改正個人情報保護法の施行により、個人情報取扱事業者は、個人情報データベース等の提供を受けるときは、その提供をする者が当該個人情報データベース等を取得した経緯等を確認するとともに、提供の年月日、当該確認に係る事項等の記録を作成し、一定の期間保存しなければならなくなる(同法26条)。また、個人情報取扱事業者は、個人情報データベース等の第三者提供をしたときは、提供の年月日、提供先の氏名等の記録を作成し、一定の期間保存しなければならなくなる(同法25条)。
_
5 保管・廃棄
一般の個人情報については、個人情報保護法上、利用しなくなった個人情報について削除や廃棄をすることが求められていません。
これに対して、個人番号や特定個人情報については、利用が必要な範囲内でのみ保管することが認められる。従業員については退職するまでは個人番号や特定個人情報を保管できる。扶養控除等申告書のように法定保存期間の決まっている書類についてはその期間についてのみ保管をすることができる。利用の必要がなくなった場合は「速やか」に「復元できない手段」で廃棄又は削除が求められます(番号法20条、安全管理措置ガイドライン)。
「速やか」にとは、毎年度末にまとめて廃棄・削除することも認められる。「復元できない手段」としては、書類の場合は消却や溶解、または、復元できない程度の裁断が可能なシュレッダーの利用などが必要となります。電子媒体の場合は、専用のデータ削除ソフトウェア利用や物理的な破壊が必要となる。また、廃棄・削除をしたことについては記録をすることも求められます。
なお、改正個人情報保護法においては、努力義務ではあるが、個人情報取扱事業者は利用が必要なくなった個人データを遅滞なく消去することが求められることになります(同法19条)。
_
6 情報の漏えい・刑事罰・民事賠償
安全管理措置ガイドラインにおいては、特定個人情報等が外部に漏えいした場合の対応として、�@事実関係の調査及び原因の究明、�A影響を受ける可能性のある本人への連絡、�B委員会及び主務大臣等への報告、�C再発防止策の検討及び決定、�D事実関係及び再発防止策等の公表が定められている。さらに、特定個人情報保護委員会の定める「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」においては、特定個人情報の漏えい事案等が発生した場合の具体的な対応が定められています。
個人番号関係事務に従事する職員が、正当の理由なく、特定個人情報ファイル(特定個人情報をその内容に含む個人情報ファイル(番号法2条9項))を外部に漏えいした場合には、4年以下の懲役もしくは200万円以下の罰金またはこれらを併せた刑事罰が適用されます(番号法67条)。また、両罰規定により、法人にも200万円以下の罰金が科せられます(同法77条1項)。
一般の個人情報の故意の漏えいについては、現在の個人情報保護法には直接的な罰則は定められておらず、措置命令や是正命令に違反した場合にはじめて、6月以下の懲役又は30万円以下の罰金に処せられることになります(個人情報保護法56条、いわゆる間接罰)。
改正個人情報保護法の施行により、個人情報保護法にも直接罰が設けられ、個人情報取扱事業者の役職員等が、その業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処せられます(改正個人情報保護法83条)。法人にも50万円以下の罰金が科せられます(同法87条)。
上記の番号法と改正個人情報保護法の刑事罰を比較すると同じ行為態様であっても、特定個人情報の漏えいの方が一般の個人情報の漏えいよりも、4倍罪が重いことが分かります。
民事賠償については、裁判例では、基本4情報(氏名、住所、生年月日、性別)の流出で1万円の慰謝料が認められる場合が多いです(宇治市住民基本台帳データ大量えい洩事件控訴審判決、大阪高裁平成13年12月25日判決)。
裁判例では、センシティブ情報(機微情報)の流出で3万円の慰謝料が認められた場合があります(TBC個人情報漏えい事件判決控訴審判決、東京高裁平成19年8月28日)。個人番号はセンシティブ情報よりも厳格な保護措置。裁判では少なくとも1人あたり3万円の慰謝料が認められるか?個人情報の4倍罰なので、1人あたり4万円の慰謝料が認められる可能性もあります。
個人情報の漏えいによる自主的なお見舞い・お詫びとしては、通常、500円〜数千円程度の商品券を被害者に交付する場合が多いです。この点、個人番号の漏えいについては、相当高いお見舞い(例えば1万円)をしないと被害者・世間的な納得感は得られない可能性があります。
_
7 改正個人情報保護法・改正番号法のその他の改正内容
平成28年1月より、特定個人情報保護委員会は、個_情報の取扱いの監視監督権限を有する個人情報保護委員会に改組されます。
改正個人情報保護法の施行(公布の日である平成27年9月9日より2年以内の政令で定める日)により、�@パーソナルデータ(匿名加工情報)の利活用にかかる改正、�A本_同意を得ない第三者提供(オプトアウト制度)の厳格化、�B要配慮情報(いわゆる機微情報)の規定化、�C外国にある第三者への個人データの提供に関する規定の整備等がなされます。
改正番号法の施行(公布の日である平成27年9月9日より3年以内の政令で定める日)により、預金保険で個人番号を利用できるようにするとともに、銀行等に対する社会保障制度の資力調査や国税・地方税の税務調査で個人番号が効率的に利用できるように、預金情報を個人番号により検索可能な状態で管理する義務が課される。個人預金者は、銀行等から個人番号の告知を求められることになります(法律上告知義務は設けられません。)。
8 結論
改正個人情報保護法の施行により、�@すべての事業者について安全管理措置が必要となること、�A消去の(努力)義務が設けられること、�B故意の漏えいについて直接罰が設けられることなど、番号法を後追いした改正がなされることが分かります。まだ、政省令が出ていませんので内容が固まっていませんが、すべての事業者に関係のある改正ですので、今後注視していく必要があります。