令和2年度 個人情報保護委員会 年次報告

個人情報保護委員会

pdf版はこちら (PDF : 1572KB)リンク先PDFファイルを別ウィンドウで開きます

本年次報告は、個人情報の保護に関する法律(平成15年法律第57号)第79条の規定に基づき、個人情報保護委員会の令和2年度(令和2年4月1日から令和3年3月31日まで)の所掌事務の処理状況を国会に報告するものである。

目次

【参考目次:分野別構成】

第1章 委員会の組織等及び所掌事務

第1節 委員会設置の経緯

  1. 特定個人情報保護委員会の設置

    平成25年5月31日、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「マイナンバー法」という。)が公布された。この法律により、国民一人ひとりにマイナンバー(個人番号)を付番し、複数の機関において保有している同一人の情報を紐付けることで、社会保障制度、税制及び災害対策に関する行政分野において、効率的な情報の管理及び利用を可能とするマイナンバー制度が導入されるとともに、特定個人情報(マイナンバーをその内容に含む個人情報をいう。以下同じ。)の適正な取扱いを確保するための保護措置の一環として、平成26年1月1日に特定個人情報保護委員会が設置された。

    特定個人情報保護委員会は、特定個人情報の取扱いに関する監視・監督、特定個人情報保護評価、広報・啓発、調査・研究、国際協力等を所掌事務としていた。

  2. 個人情報保護委員会の設置

    特定個人情報以外の個人情報については、従来、消費者庁が個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)を所管し、各主務大臣がその所管する事業分野の個人情報取扱事業者に対して個人情報保護法に基づく監視・監督を行ってきた。他方で、欧州諸国やアジア諸国等では、プライバシーや個人情報の保護を担当する独立した監督機関を設置している例が多く、組織面での国際的な整合性をとる必要があった。

    こうしたことも踏まえ、平成27年9月に成立した個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号。以下「平成27年改正法」という。)によって個人情報保護法及びマイナンバー法が改正され、平成28年1月1日に、特定個人情報保護委員会を改組して個人情報保護委員会(以下「委員会」という。)が設置された。

    委員会は、個人情報の保護に関する独立した機関として、個人情報保護法を所管するほか、改組前の特定個人情報保護委員会が担っていた全ての所掌事務を引き継いでいる。また、平成27年改正法による改正後の個人情報保護法が全面施行された平成29年5月30日以降は、改正前の個人情報保護法に基づき各主務大臣が行使していた監督権限を一元的に所掌することとなった。

第2節 委員会の組織等

委員会は、事業分野を問わず個人情報を取り扱う全ての民間事業者等に対し個人情報保護法に基づく監視・監督を行う(平成29年5月30日以降)とともに、特定個人情報を保有する国の行政機関、地方公共団体、民間事業者等に対しマイナンバー法に基づく監視・監督を行う機関であり、国の行政機関を含むあらゆる監視・監督対象からの独立性が必要であることから、内閣府設置法(平成11年法律第89号)第49条第3項の規定に基づく内閣府の外局である合議制の機関として設置された。また、委員長及び委員は、両議院の同意を得て、内閣総理大臣が任命し(個人情報保護法第63条第3項)、その職権行使の際の独立性が明示的に定められている(個人情報保護法第62条)。

  1. 組織

    委員会は、委員長及び委員8人で構成され、任期は5年(ただし、補欠の委員長又は委員の任期は、前任者の残任期間)である(個人情報保護法第63条第1項及び第64条第1項)。令和3年3月31日現在における委員長及び委員は、丹野美絵子委員長、小川克彦委員、中村玲子委員、大島周平委員、浅井祐二委員、加藤久和委員、藤原靜雄委員、梶田恵美子委員及び髙村浩委員である。

    委員長及び委員には、個人情報の保護及び適正かつ効果的な活用に関する学識経験のある者、消費者の保護に関して十分な知識と経験を有する者、情報処理技術に関する学識経験のある者、特定個人情報が利用される行政分野に関する学識経験のある者、民間企業の実務に関して十分な知識と経験を有する者並びに連合組織(地方自治法(昭和22年法律第67号)第263条の3第1項の連合組織で同項の規定による届出をしたものをいう。)の推薦する者が含まれるものとされている(個人情報保護法第63条第4項)。

    また、委員長及び委員については、独立した職権行使を保障するための身分保障の規定が設けられている(個人情報保護法第65条)。

    さらに、委員会には、専門の事項を調査させるため、専門委員を置くことができることとされており(個人情報保護法第69条第1項)、令和3年3月31日現在において5人の専門委員が置かれている。

    委員会の事務を処理させるため、委員会に事務局が置かれており(個人情報保護法第70条)、令和2年度末の定員は139人となっている。事務局には、令和3年3月31日現在において事務局長のほか次長、審議官、総務課及び参事官5人が置かれている。

  2. 予算

    令和2年度の委員会の予算額(補正後)は、41億4,039万円となっている。

  3. 組織理念

    委員会は、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ること」を任務としている(個人情報保護法第60条)。この任務を十分認識し職務を遂行するため、平成28年2月に組織理念を決定し、その後平成27年改正法による改正後の個人情報保護法の全面施行(平成29年5月30日)により委員会の所掌事務が拡大すること等を受け、平成29年5月12日に組織理念を一部変更した。

    また、個人情報を取り巻く環境に大きな変化が生じてきたこと等を踏まえ、平成31年2月5日に組織理念を一部変更した(図1)。新たな組織理念は、①個人データをめぐる状況の変化に対する適切な対応、②個人情報の取扱状況等を的確に把握し機動的に対応する監督、③安全で自由な個人データの流通促進に向けたグローバルなイニシアティブ、④特定個人情報の安心・安全の確保に向けた取組、⑤多様な主体に対する分かりやすい情報発信、⑥最先端の技術や国際的な連携に対してより円滑に対応できる体制の整備の6つの項目から構成されている。

図1:委員会の組織理念(参考)

個人情報保護委員会の組織理念

~個人情報を取り巻く環境変化に機敏に対応~

個人情報保護委員会は、個人情報の保護に関する法律(平成15年法律第57号)に基づき設置された合議制の機関です。その使命は、独立した専門的見地から、同法の目的規定にあるとおり、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報(特定個人情報を含む。)の適正な取扱いの確保を図ることです。

これを踏まえ、個人の人格と密接な関連を有する個人情報が適正に取り扱われ、国民の安心・安全を確保できるよう、私たちは、ここに組織理念を掲げます。

  1. 個人データをめぐる状況の変化に対する適切な対応

    個人情報の保護と適正かつ効果的な活用のバランスを考慮した取組を行います。また、諸外国におけるデータ保護をめぐる制度の見直し等の国際的な議論の進展やAI等の技術の急速な進展等、個人データをめぐる状況の変化等に適切に対応していきます。

  2. 個人情報の取扱状況等を的確に把握し機動的に対応する監督

    個人情報の取扱状況等に関する相談・情報を活用し、多様な観点から検討を行うことにより、効率的かつ効果的な監督を行います。また、そこで明らかになった課題や対応策等について、積極的に情報発信していきます。

    さらに、国際的なデータ流通の拡大を踏まえ、個人情報保護法の域外適用の規定を活用し、海外の個人情報保護当局と執行協力を行うなど、国際的な連携により機動的な対応に取り組みます。

  3. 安全で自由な個人データの流通促進に向けたグローバルなイニシアティブ

    経済・社会活動のグローバル化に対応するため、国際的制度調和を視野に入れ、これまで各国関係機関との間で築いた協力関係や信頼関係を基に、個人情報保護に関する国際的な議論において主導的役割を果たすことにより、個人情報の保護を図りつつ、自由な個人データの流通促進に取り組みます。

  4. 特定個人情報の安心・安全の確保に向けた取組

    我が国の重要な社会基盤(インフラ)である個人番号が行政機関等や民間企業において適正に取り扱われるよう、指導・助言、検査等を適時適切に行います。また、そこで明らかになった課題等を踏まえ、個人番号の適正な取扱いが浸透するよう、様々な手法を用いて支援を行います。

    また、個人番号を利用する行政機関等が総合的なリスク対策を自ら評価し公表する制度(特定個人情報保護評価)の適切な運営に取り組みます。

  5. 多様な主体に対する分かりやすい情報発信

    相談や監督活動を通じて得られた情報を総合的に活用して、民間企業に加え、子どもや消費者等の多様な主体に対して広くタイムリーな情報発信を行います。その際、現場主義の視点を取り入れた多様なアプローチにより、国民の目から見て分かりやすい広報・啓発に取り組みます。

  6. 最先端の技術や国際的な連携に対してより円滑に対応できる体制の整備

    情報セキュリティについて、AI等の技術の急速な進展に対応できる体制の整備を進めるとともに、これまで各国関係機関との間で築いた協力関係や信頼関係を活かしつつ、国際的な連携を含めた法執行体制の充実・強化に取り組みます。

第3節 委員会の所掌事務の概要

委員会の所掌事務については、個人情報の保護に関する基本方針の策定・推進、特定個人情報の取扱いに関する監視・監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力、特定個人情報保護評価、広報・啓発、調査・研究、国際協力等が規定されている(個人情報保護法第61条)。

具体的な事務を「個人情報保護法等に関する事務」、「マイナンバー法に関する事務」、「個人情報保護法、マイナンバー法等に共通する事務」に大別すると、次のとおりである。

  1. 個人情報保護法等に関する事務

    平成27年改正法の一部施行により、平成28年1月1日から委員会が個人情報保護法を所管することとなり、個人情報保護関連の制度が政府全体として統一的かつ整合的に運用されるよう、個人情報の保護に関する基本方針の策定と関連施策の総合的かつ一体的な推進を図る役割を担っている。さらに、平成27年改正法による改正後の個人情報保護法の全面施行日(平成29年5月30日)から、それ以前は各主務大臣が行使していた監督権限について、委員会が一元的に所掌することとなった。

    • 個人情報及び匿名加工情報の取扱いに関する監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力
      • ① 報告徴収・立入検査(個人情報保護法第40条)

        委員会は、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。

      • ② 指導・助言(個人情報保護法第41条)

        委員会は、個人情報保護法の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し、必要な指導及び助言をすることができる。

      • ③ 勧告・命令(個人情報保護法第42条)
        • ア 委員会は、個人情報等の取扱いに関して法令の規定に違反する行為があった場合において個人の権利利益を保護するため必要があると認めるときは、当該違反行為をした個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
        • イ 委員会は、上記アによる勧告を受けた者が、正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、その個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
        • ウ 委員会は、上記ア又はイにかかわらず、個人情報等の取扱いに関して法令の規定に違反する行為があった場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該違反行為をした個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
      • ④ 苦情の申出についての必要なあっせん及びその処理を行う事業者への協力(個人情報保護法第61条)

        個人情報取扱事業者等の保有する個人情報等の取扱いに関する苦情が委員会に寄せられた場合、相談窓口において、相談者に対し事案の内容に応じた助言を行うほか、必要に応じて、相談者からの苦情の申出についてあっせんを行うとともに、苦情の処理を行う事業者に対して解決に向けた助言等を行う。

    • 認定個人情報保護団体に関する事務

      個人情報保護法第47条においては、個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的として、苦情の処理及び対象事業者に対する情報の提供等を行おうとする法人は、委員会の認定を受けることができるとされており、委員会は認定の申請を受けて個人情報保護法第49条に定める認定の基準に基づき、認定個人情報保護団体(以下「認定団体」という。)の認定を行う。

      また、委員会は、認定団体に対して、報告の徴収(個人情報保護法第56条)、個人情報等の取扱いに関する苦情の処理、対象事業者に対する情報の提供等、認定に係る業務(以下「認定業務」という。)の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨の命令(個人情報保護法第57条)及び認定の取消し(個人情報保護法第58条)を行うことができる。

    • 行政機関等非識別加工情報に関する事務

      平成27年改正法による改正後の個人情報保護法の全面施行日(平成29年5月30日)と同日に施行された行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律(平成28年法律第51号)により、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号。以下「行政機関個人情報保護法」という。)及び独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号。以下「独立行政法人等個人情報保護法」という。)において導入された行政機関非識別加工情報及び独立行政法人等非識別加工情報(以下「行政機関等非識別加工情報」という。)の提供の制度(以下「行政機関等非識別加工情報制度」という。)の円滑な運用を確保するため、総合的な案内所が委員会に設置されるとともに、行政機関等非識別加工情報の取扱いに関する監視・監督権限は、委員会が一元的に所掌することとなった。

      • ① 総合的な案内所の設置(行政機関個人情報保護法第51条の2、独立行政法人等個人情報保護法第48条の2)        

        行政機関等非識別加工情報の加工やその取扱いに関する問合せに応ずるほか、その他参考となる情報を随時提供する等、行政機関等非識別加工情報制度の円滑な運用を確保するため、総合的な案内を行う。

      • ② 報告の要求(行政機関個人情報保護法第51条の4、独立行政法人等個人情報保護法第48条の4)

        委員会は、行政機関の長及び独立行政法人等(以下この項において「行政機関の長等」という。)に対し、行政機関等非識別加工情報制度に関する施行の状況について報告を求めることができる。

      • ③ 資料の提出の要求・実地調査(行政機関個人情報保護法第51条の5、独立行政法人等個人情報保護法第48条の5)

        委員会は、行政機関等非識別加工情報制度の円滑な運用を確保するため必要があると認めるときは、行政機関の長等に対し、行政機関及び独立行政法人等(以下この項において「行政機関等」という。)における行政機関等非識別加工情報の取扱いに関する事務の実施状況について、資料の提出及び説明を求め、又はその職員に実地調査させることができる。

      • ④ 指導・助言(行政機関個人情報保護法第51条の6、独立行政法人等個人情報保護法第48条の6)

        委員会は、行政機関等非識別加工情報制度の円滑な運用を確保する必要があると認めるときは、行政機関の長等に対し、行政機関等における行政機関等非識別加工情報の取扱いについて、必要な指導及び助言をすることができる。

      • ⑤ 勧告(行政機関個人情報保護法第51条の7、独立行政法人等個人情報保護法第48条の7)

        委員会は、行政機関等非識別加工情報制度の円滑な運用を確保するため必要があると認めるときは、行政機関の長等に対し、行政機関等における行政機関等非識別加工情報の取扱いについて、勧告をすることができる。

  2. マイナンバー法に関する事務
    • 特定個人情報の取扱いに関する監視・監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力
      • ① 報告徴収・立入検査等(マイナンバー法第29条の3、第29条の4、第35条)
        • ア 委員会は、マイナンバー法の施行に必要な限度において、特定個人情報を取り扱う者その他の関係者に対し、特定個人情報の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該特定個人情報を取り扱う者その他の関係者の事務所その他必要な場所に立ち入らせ、特定個人情報の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
        • イ 特定個人情報ファイル(マイナンバーをその内容に含む個人情報ファイルをいう。以下同じ。)を保有する行政機関、独立行政法人等及び地方公共団体情報システム機構は、個人情報保護委員会規則(以下「委員会規則」という。)で定めるところにより、定期的に、当該特定個人情報ファイルに記録された特定個人情報の取扱いの状況について委員会による検査を受けるものとする。また、特定個人情報ファイルを保有する地方公共団体及び地方独立行政法人は、委員会規則で定めるところにより、定期的に、委員会に対して当該特定個人情報ファイルに記録された特定個人情報の取扱いの状況について報告することとされている。
        • ウ 個人番号利用事務等実施者は、委員会規則で定めるところにより、特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態が生じたときは、委員会に報告することとされている。
      • ② 指導・助言(マイナンバー法第33条)

        委員会は、マイナンバー法の施行に必要な限度において、個人番号利用事務等実施者に対し、特定個人情報の取扱いに関し、必要な指導及び助言をすることができる。

        また、この指導及び助言をする場合において、特定個人情報の適正な取扱いを確保するために必要があると認めるときは、当該特定個人情報と共に管理されている特定個人情報以外の個人情報の取扱いに関し、併せて指導及び助言をすることができる。

      • ③ 勧告・命令(マイナンバー法第34条)
        • ア 委員会は、特定個人情報の取扱いに関して法令の規定に違反する行為があった場合において、特定個人情報の適正な取扱いの確保のために必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。勧告の対象者には、特定個人情報を法令に基づいて取り扱う者のほか、違法に特定個人情報を取り扱う者も含まれる。
        • イ 委員会は、上記アによる勧告を受けた者が、正当な理由がなくてその勧告に係る措置をとらなかったときは、その者に対し、期限を定めて、その勧告に係る措置をとるべきことを命ずることができる。
        • ウ 委員会は、上記ア又はイにかかわらず、特定個人情報の取扱いに関して法令の規定に違反する行為があった場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を命ずることができる。
      • ④ 情報提供ネットワークシステム等に対する措置の要求(マイナンバー法第37条)
        • ア 委員会は、マイナンバーその他の特定個人情報の取扱いに利用される情報提供ネットワークシステムその他の情報システムの構築及び維持管理に関し、費用の節減その他の合理化及び効率化を図った上でその機能の安全性及び信頼性を確保するよう、総務大臣その他の関係行政機関の長に対し、必要な措置を実施するよう求めることができる。
        • イ 委員会は、上記アの規定により措置の実施を求めたときは、当該関係行政機関の長に対し、その措置の実施状況について報告を求めることができる。
      • ⑤ 苦情の申出についての必要なあっせん及びその処理を行う事業者への協力(個人情報保護法第61条)

        事業者等の保有する特定個人情報の取扱いに関する苦情が委員会に寄せられた場合、相談窓口において、相談者に対し事案の内容に応じた助言を行うほか、必要に応じて、相談者からの苦情の申出についてあっせんを行うとともに、苦情の処理を行う事業者に対して解決に向けた助言等を行う。

    • 特定個人情報保護評価

      行政機関の長、地方公共団体の機関、独立行政法人等、地方独立行政法人及び地方公共団体情報システム機構並びにマイナンバー法第19条第7号に規定する情報照会者及び情報提供者並びに同条第8号に規定する条例事務関係情報照会者及び条例事務関係情報提供者(以下この項及び第2章Ⅱ第2節において「行政機関の長等」という。)が特定個人情報ファイルを保有しようとするときは、当該特定個人情報ファイルを保有する前に、委員会規則等に定める手続に従い、特定個人情報保護評価を実施することとされている。また、行政機関の長等が作成した特定個人情報保護評価書に重要な変更(リスク対策に係る変更等)が生じる等の場合は、特定個人情報保護評価の再実施を行うこととされている(マイナンバー法第28条)。委員会は、マイナンバー法第27条及び第28条の規定に基づき、特定個人情報保護評価の実施に関し必要な措置等を規定する委員会規則の制定及び指針の作成を行うとともに、委員会規則で定めるところにより、行政機関の長等が提出した特定個人情報保護評価書について承認を行う。

      特定個人情報保護評価は、マイナンバー制度における制度上の保護措置の一つであり、特定個人情報ファイルを保有しようとする行政機関の長等が、その取扱いについて自ら評価するものである。具体的には、行政機関の長等が特定個人情報ファイルを保有する前に、当該特定個人情報ファイルの取扱いに伴う特定個人情報の漏えいその他の事態を発生させるリスクを分析し、このようなリスクを軽減するための適切な措置を講じていることを確認し、特定個人情報保護評価書において対外的に明らかにするものである。

      特定個人情報保護評価は、特定個人情報ファイルの適正な取扱いを確保することにより特定個人情報の漏えいその他の事態の発生を未然に防ぎ、個人のプライバシー等の権利利益を保護することを基本理念とし、次に掲げることを目的として実施するものである。

      • ① 事前対応による特定個人情報の適正な取扱いの確保

        情報の漏えい、滅失、毀損あるいは不正利用等により個人のプライバシー等の権利利益が一度侵害されると、拡散した情報を全て消去・修正することが困難である等、その回復は容易でない。したがって、事前に特定個人情報ファイルの取扱いに伴う特定個人情報の漏えいその他の事態を発生させるリスクを分析し、このようなリスクを軽減するための措置を講ずることが重要である。 特定個人情報保護評価は、このような事前対応の要請に応える手段であり、また、事前対応を行うことで、事後の大規模なシステムの仕様変更を防ぎ、不必要な支出を防ぐことも期待される。

      • ② マイナンバー制度に対する国民の信頼の確保

        マイナンバー制度に対する国民の信頼を確保する観点から、特定個人情報ファイルを取り扱う者が、入手する特定個人情報の種類、使用目的・方法、安全管理措置等について国民に分かりやすい説明を行い、その透明性を高めることが求められる。

        特定個人情報保護評価は、行政機関の長等が、特定個人情報ファイルの取扱いにおいて個人のプライバシー等の権利利益の保護に取り組んでいることを自ら宣言し、どのような措置を講じているかを具体的に説明することにより、国民の信頼を確保することを目的とするものである。

        委員会が、マイナンバー法第27条及び第28条の規定に基づき特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号)及び特定個人情報保護評価指針(平成26年特定個人情報保護委員会告示第4号)で定めた特定個人情報保護評価の手続は、図2のとおりである。行政機関の長等は、特定個人情報保護評価を実施する事務について、対象人数、取扱者数及び行政機関の長等における特定個人情報に関する重大事故の発生の有無に基づき、「基礎項目評価」、「重点項目評価」又は「全項目評価」のうち、いずれの評価の実施が義務付けられるかを判断する(「しきい値判断」)。

        基礎項目評価又は重点項目評価を実施する行政機関の長等は、基礎項目評価書又は重点項目評価書を作成し、委員会に提出した後、公表する。全項目評価を実施する行政機関の長等(地方公共団体の機関及び地方独立行政法人(以下この項及び第2章Ⅱ第2節において「地方公共団体等」という。)を除く。)は、全項目評価書を作成した後、当該評価書を公示して広く国民の意見を求め、委員会の承認を受けた後、公表する。全項目評価を実施する地方公共団体等は、全項目評価書を作成した後、当該評価書を公示して広く住民等の意見を求め、第三者点検を受け、委員会に提出した後、公表する。特定個人情報保護評価の再実施を行った場合も同様である。

        図2:特定個人情報保護評価の流れ

        特定個人情報ファイルを保有する前(プログラミング開始前)に実施

        しきい値判断が①対象人数、②取扱者数、③特定個人情報に関する重大事故の発生の有無に基づき、実施すべき特定個人情報保護評価の種類を判断して基礎項目評価・重点項目評価・全項目評価から特定個人情報保護評価書を個人情報保護委員会に提出し、公表するまでの流れを説明しています。
        • ※1 しきい値とは、境界となる値のことをいい、その値を境として、とるべき手法が選択されるもの。
        • ※2 行政機関の長等(地方公共団体等を除く。)においては、国民の意見聴取及び個人情報保護委員会の承認が必要。 地方公共団体等においては、住民等の意見聴取及び第三者点検が必要。
        図3:各特定個人情報保護評価書の記載事項
         

        基礎項目評価書の記載事項

        • 評価書番号、評価書名・個人のプライバシー等の権利利益の保護の宣言
        • 評価実施機関名・公表日
        Ⅰ 関連情報
        1. 特定個人情報ファイルを取り扱う事務
        2. 特定個人情報ファイル名
        3. 個人番号の利用
        4. 情報提供ネットワークシステムによる情報連携
        5. 評価実施機関における担当部署
        6. 他の評価実施機関
        7. 特定個人情報の開示・訂正・利用停止請求
        8. 特定個人情報ファイルの取扱いに関する問合せ
        Ⅱ しきい値判断項目
        1. 対象人数
        2. 取扱者数
        3. 重大事故
        Ⅲ しきい値判断結果
        Ⅳ リスク対策
        1. 提出する特定個人情報保護評価書の種類
        2. 特定個人情報の入手(情報提供ネットワークシステムを通じた入手を除く。)
        3. 特定個人情報の使用
        4. 特定個人情報ファイルの取扱いの委託
        5. 特定個人情報の提供・移転(委託や情報提供ネットワークシステムを通じた提供を除く。)
        6. 情報提供ネットワークシステムとの接続 7.特定個人情報の保管・消去 8.監査 9.従業者に対する教育・啓発

        (別添)変更箇所

        重点項目評価書の記載事項

        • 評価書番号、評価書名・個人のプライバシー等の権利利益の保護の宣言
        • 評価実施機関名・公表日
        Ⅰ 基本情報
        1. 特定個人情報ファイルを取り扱う事務
        2. 特定個人情報ファイルを取り扱う事務において使用するシステム
        3. 特定個人情報ファイル名
        4. 個人番号の利用
        5. 情報提供ネットワークシステムによる情報連携
        6. 評価実施機関における担当部署
        7. 他の評価実施機関
        Ⅱ 特定個人情報ファイルの概要
        1. 特定個人情報ファイル名
        2. 基本情報
        3. 特定個人情報の入手・使用
        4. 特定個人情報ファイルの取扱いの委託
        5. 特定個人情報の提供・移転(委託に伴うものを除く。)
        6. 特定個人情報の保管・消去
        7. 備考
        (別添1)特定個人情報ファイル記録項目
        Ⅲ リスク対策
        1. 特定個人情報ファイル名
        2. 特定個人情報の入手(情報提供ネットワークシステムを通じた入手を除く。)
        3. 特定個人情報の使用
        4. 特定個人情報ファイルの取扱いの委託
        5. 特定個人情報の提供・移転(委託や情報提供ネットワークシステムを通じた提供を除く。)
        6. 情報提供ネットワークシステムとの接続
        7. 特定個人情報の保管・消去
        8. 監査
        9. 従業者に対する教育・啓発
        10. その他のリスク対策
        Ⅳ 開示請求、問合せ
        1. 特定個人情報の開示・訂正・利用停止請求
        2. 特定個人情報ファイルの取扱いに関する問合せ
        Ⅴ 評価実施手続
        1. 基礎項目評価
        2. 国民・住民等からの意見の聴取【任意】
        3. 第三者点検【任意】

        (別添2)変更箇所

        全項目評価書の記載事項

        • 評価書番号、評価書名
        • 個人のプライバシー等の権利利益の保護の宣言
        • 評価実施機関名
        • 個人情報保護委員会 承認日【行政機関等のみ】
        • 公表日
        Ⅰ 基本情報
        1. 特定個人情報ファイルを取り扱う事務 
        2. 特定個人情報ファイルを取り扱う事務において使用するシステム
        3. 特定個人情報ファイル名
        4. 特定個人情報ファイルを取り扱う理由
        5. 個人番号の利用
        6. 情報提供ネットワークシステムによる情報連携
        7. 評価実施機関における担当部署
        8. 他の評価実施機関
        (別添1)事務の内容
        Ⅱ 特定個人情報ファイルの概要
        1. 特定個人情報ファイル名
        2. 基本情報
        3. 特定個人情報の入手・使用
        4. 特定個人情報ファイルの取扱いの委託
        5. 特定個人情報の提供・移転(委託に伴うものを除く。)
        6. 特定個人情報の保管・消去
        7. 備考
        (別添2)特定個人情報ファイル記録項目
        Ⅲ 特定個人情報ファイルの取扱いプロセスにおけるリスク対策
        1. 特定個人情報ファイル名
        2. 特定個人情報の入手(情報提供ネットワークシステムを通じた入手を除く。)  
        3. 特定個人情報の使用
        4. 特定個人情報ファイルの取扱いの委託
        5. 特定個人情報の提供・移転(委託や情報提供ネットワークシステムを通じた提供を除く。)
        6. 情報提供ネットワークシステムとの接続
        7. 特定個人情報の保管・消去
        Ⅳ その他のリスク対策
        1. 監査
        2. 従業者に対する教育・啓発
        3. その他のリスク対策
        Ⅴ 開示請求、問合せ
        1. 特定個人情報の開示・訂正・利用停止請求
        2. 特定個人情報ファイルの取扱いに関する問合せ
        Ⅵ 評価実施手続
        1. 基礎項目評価
        2. 国民・住民等からの意見の聴取
        3. 第三者点検
        4. 個人情報保護委員会の承認【行政機関等のみ】
        (別添3)変更箇所
    • 「行政手続における特定の個人を識別するための番号の利用等に関する法律第19条第8号に基づく特定個人情報の提供に関する規則」に基づく届出の受付

      地方公共団体は、マイナンバー法第19条第8号において、マイナンバー法第9条第2項の規定に基づき条例で定める事務(以下「独自利用事務」という。)のうちマイナンバー法別表第2の第2欄に掲げる事務に準じて迅速に特定個人情報の提供を受けることによって効率化を図るべきものとして行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第八号に基づく特定個人情報の提供に関する規則(平成28年個人情報保護委員会規則第5号)で定めるものについて、情報提供ネットワークシステムを用いた情報連携を行うことができるものとされている。

      情報連携を行いたい地方公共団体は、委員会規則で定めるところにより、あらかじめ 委員会に届け出なければならないとされており、委員会は、委員会規則で定める要件を満たす届出について総務大臣に通知する。

  3. 個人情報保護法、マイナンバー法等に共通する事務

    委員会は、個人情報保護法第61条に基づき、個人情報の保護及び適正かつ効果的な活用についての広報及び啓発、所掌事務を行うために必要な調査及び研究並びに所掌事務に係る国際協力に関すること等を行うこととされている。

第2章 委員会の所掌事務の処理状況

令和2年度においては、個人情報保護委員会会議を計29回(第142回から第170回まで)開催し、必要な審議、決定等を行った(付表1)。

Ⅰ 個人情報保護法等に関する事務

第1節 いわゆる3年ごと見直し

  1. 令和2年改正法の成立

    平成27年改正法附則第12条において、平成27年改正法の施行後3年ごとに、個人情報保護法の施行状況について検討を加え、また、3年を目途として基本方針の策定及び推進その他の委員会の所掌事務の改善について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとされている。

    このため平成30年度より委員会において検討を重ね、これを踏まえた個人情報の保護に関する法律等の一部を改正する法律案(以下「改正法案」という。)が令和2年3月10日に閣議決定され、第201回国会(常会)に提出された。

    衆議院では、同年5月20日に衆議院内閣委員会において衛藤国務大臣から改正法案の提案理由の説明が行われ、同年5月22日に政府に対する質疑が行われた後、同年5月27日に賛成多数で原案のとおり可決(附帯決議あり)、翌28日の衆議院本会議に上程され、賛成多数で可決された。

    参議院では、同年6月2日に参議院内閣委員会において衛藤国務大臣から改正法案の趣旨説明が行われ、同年6月4日に政府に対する質疑が行われた後、賛成多数で原案のとおり可決(附帯決議あり)、翌5日の参議院本会議に上程され、賛成過半数で可決、成立し、同年6月12日に個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号。以下「令和2年改正法」という。)として公布された。

  2. 令和2年改正法に関連する政令・規則・ガイドライン等の整備

    令和2年改正法の公布を受け、政令・規則・ガイドライン等の検討を行った。具体的には、同年6月15日に開催した第144回個人情報保護委員会において、「個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組について」を決定し、同年7月22日に開催した第149回個人情報保護委員会において、令和2年改正法の施行に向け、政令・規則・ガイドライン等として整備すべき主な項目、整備に際しての留意点等の基本的な考え方として「改正個人情報保護法 政令・規則・ガイドライン等の整備に当たっての基本的な考え方について」を決定した。

    その後、委員会において、令和2年改正法に関連する政令・規則・ガイドライン等の整備に向けた論点について、同年10月から令和3年2月にかけて開催した個人情報保護委員会において計7回8つの論点について議論を行った。このうち、政令・規則で措置すべき事項については、令和2年12月25日に開催した第162回個人情報保護委員会において、「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令(案)」(以下「政令案」という。)及び「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」を取りまとめ、これらに対する意見募集を実施した。意見募集では、計63の団体・事業者又は個人から延べ556件の御意見が寄せられ、意見募集結果を令和3年3月3日に開催した第167回委員会において議論した。その後、同年3月19日に政令案が閣議決定され、同年3月24日に個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令(令和3年政令第56号)及び個人情報の保護に関する法律施行規則の一部を改正する規則(令和3年個人情報保護委員会規則第1号)が公布された。

    なお、政令・規則の改正を伴わない論点については、次年度において追加の論点を含め検討を継続し、ガイドライン及びQ&Aに反映する予定である。

第2節 個人情報保護制度の一元化

  1. 背景

    平成27年改正法附則第12条第6項において、関係省庁は緊密な連携の下、民間及び行政機関等における個人情報の保護に関する規定を集約し、一体的に規定することを含め、個人情報の保護に関する法制の在り方について検討するものとされている。

    令和2年改正法案の策定に至る委員会の検討の過程においては、特に、意見募集やヒアリングの中で官民を通じた個人情報の取扱いに関する論点が多く指摘された。このため、令和元年12月に決定した「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」においては「民間、行政機関、独立行政法人等に係る個人情報の保護に関する規定を集約・一体化し、これらの制度を委員会が一元的に所管する方向で、政府としての具体的な検討において、スケジュール感をもって主体的かつ積極的に取り組む」こととした。

  2. 官民を通じた個人情報保護制度の見直しに係る検討

    政府全体における具体的な検討としては、令和元年12月から内閣官房主催による個人情報保護制度の見直しに関するタスクフォース(以下「タスクフォース」という。)が開催されたほか、令和2年3月からは「個人情報保護制度の見直しに関する検討会」(以下「有識者検討会」という。)も開催された。これらには委員会事務局も参画し、これまで3回のタスクフォース及び11回の有識者検討会が開催された。

    タスクフォースにおいては、まず、国の行政機関等と民間事業者に係る規定の集約・一体化が先行して検討された。委員会としては、令和2年5月15日に開催した第143回個人情報保護委員会において、「官民通じた個人情報保護制度の見直しに係る委員会としての考え方について」を決定し、個人情報保護制度の見直しに当たっての基本的な考え方や着眼点を示した。これも踏まえて有識者検討会で議論が重ねられた結果、民間部門、行政機関、独立行政法人等に係る個人情報の保護に関する規定を集約し一体的に規定するとともに、監視監督・事務処理体制を委員会に一元化するとの中間整理案が取りまとめられた。同年8月26日の第151回個人情報保護委員会において当該中間整理案は了承され、同年8月28日に開催された第2回タスクフォースにおいて「個人情報保護制度の見直しに向けた中間整理」として決定された。

    一方、地方公共団体の個人情報保護制度の在り方については、地方公共団体の個人情報保護制度に係る実務的論点を中心に意見交換を行うため、委員会事務局において、令和元年12月に地方公共団体の個人情報保護制度に関する懇談会(以下「懇談会」という。)を開催した。懇談会は、都、県、市及び町の実務担当者、地方三団体の事務局並びに委員会事務局を構成員とし、内閣官房IT総合戦略室(第3回より参加)及び総務省地域情報政策室をオブザーバーとして、令和元年12月2日から令和2年7月3日まで計4回にわたり開催した。懇談会では、構成員の地方公共団体から、各団体における個人情報保護条例の運用等の実態に関し聴取するとともに、全ての地方公共団体を対象に、地方公共団体の個人情報保護等に関する条例等の実態についての調査を実施し、これらを踏まえて意見交換を行った。また、令和2年6月24日に開催した第146回個人情報保護委員会において、懇談会での構成員からの発表や個人情報保護条例の実態調査の結果等を踏まえ、「地方公共団体の個人情報保護制度に関する懇談会における実務的論点の整理に向けて」を決定し、地方公共団体の個人情報保護制度に関する見直しの視点を示した。懇談会は、同年7月3日の第4回をもって終了し、有識者検討会において委員会事務局から報告を行った。

    有識者検討会では、中間整理案の取りまとめ後、地方公共団体の個人情報保護制度の在り方について集中して検討が重ねられた。令和2年12月17日に示された素案に基づき、最終報告案が取りまとめられ、同年12月18日に開催した第161回個人情報保護委員会において了承された後、同年12月23日に開催された第3回タスクフォースにおいて「個人情報保護制度の見直しに関する最終報告」として決定され、パブリックコメントが実施された。

  3. デジタル社会の形成を図るための関係法律の整備に関する法律案の第204回国会(常会)への提出

    「個人情報保護制度の見直しに関する最終報告」の内容を踏まえた個人情報保護法の一部改正を含むデジタル社会の形成を図るための関係法律の整備に関する法律案について、令和3年2月1日に開催した第165回個人情報保護委員会で了承された後、同年2月9日に閣議決定され、第204回国会(常会)に提出された。

第3節 個人情報保護法に基づく監督等

  1. 漏えい等事案に関する報告の受付状況等

    令和2年度において、個人データの漏えい等事案について、4,141件の報告を受けた。このうち、委員会が直接報告を受けたものが1,027件、委任先省庁を経由して報告を受けたものが1,122件、認定団体を経由して報告を受けたものが1,992件であった(付表2(1))。

    漏えい等事案の多く(82.2%)は、書類及び電子メールの誤送付、書類及び電子媒体の紛失であり、その他の発生原因としては、インターネット等のネットワークを経由した不正アクセス等であった。1件あたり漏えい等した人数は500人以下が最も多く(91.3%)、漏えい等した情報は顧客情報が最も多かった(80.4%)。漏えい等した情報の形態は、紙媒体のみが漏えい等したもの(50.9%)、電子媒体のみが漏えい等したもの(45.3%)が、それぞれほぼ半数を占めた。また、事案の多くは、従業者の不注意により発生し(63.8%)、漏えい等した後、ほとんどの事業者(93.1%)は、本人へ謝罪又は連絡を行っている(付表2(2))。

    委員会においては事実関係及び再発防止策の確認等を行うとともに、同種の事態が起きないよう必要に応じて指導等を行った。

    また、なりすましメールによるウイルス感染被害が増加していることから、その手口と対策について注意喚起を行った。

  2. 立入検査の状況

    外国の委託先事業者に、利用者の個人情報へのアクセス権を付与していたメッセージングアプリ事業者等に対して、個人情報保護法第22条(委託先の監督)や個人情報保護法第24条(外国にある第三者への提供の制限)の遵守状況等について確認するために個人情報保護法第40条第1項に基づく立入検査を実施した。

  3. 指導・助言の状況

    令和2年度において、個人データの漏えい等、通報及び苦情事案の対応に際し、報告徴収(委任先省庁実施分を除く)を354件、指導・助言を198件行った(付表2(1))。

    例えば、個人情報の取得・保有・廃棄に関する社内ルールが規定されていなかった事業者に対して、全社的なルールの策定や従業員に対する研修の実施等を行うよう指導した。

  4. 勧告・命令の状況

    多数の個人データがウェブサイトに違法に掲載されており、それらの個人データの主体の権利が侵害されていた事案において、掲載者であるウェブサイトの運営者の氏名や法人等の名称が判明しておらず、かつ所在不明であった。そこで、名あて人の特定が必要となる行政行為について、民法上の公示送達により行政行為を行うことができると整理し、同ウェブサイトの掲載者に対して令和2年3月にウェブサイトを直ちに停止した上、利用目的の通知・公表を行うとともに、その個人データを第三者に提供することの同意を得るまでは、同ウェブサイトを再開してはならない旨の勧告を行った。しかしながら、勧告事項について、対応期限の日までに措置が講じられなかったため、令和2年7月に上述の勧告に係る措置をとるべきことの命令を行った。

  5. セキュリティに関する注意喚起

    監督業務で取り扱った個別事案について、個人情報取扱事業者に対して広く注意喚起すべきセキュリティ上の問題点を抽出し、委員会ウェブサイトに注意喚起を掲載した。具体的には、新型コロナウイルス感染症の拡大防止のためにテレワークが急拡大するなかで、テレワーク時にコンピューターウイルスに感染した事案や脆弱性のあるVPN機器を利用した事案を紹介し、対策例を提示した。また、近時利用促進されているクラウドサービスについても、個人情報の公開範囲の設定を誤った事案やアクセスに必要な認証情報の管理が不十分であった事案を紹介し、陥りやすいポイント及び対策例を提示した。

  6. 情報セキュリティ関係機関との連携

    個人情報取扱事業者から個人情報を含む機密情報等の窃取を企図したサイバー攻撃は一層複雑化・巧妙化し、攻撃対象も拡大し続けている。このような状況を踏まえ、令和2年度においては、外部からの不正アクセス等による個人データの漏えい等の事案への対応が個人情報取扱事業者において適切に実施されるよう、関係省庁とともに関係機関との連携及び協力を行うための「個人情報保護法サイバーセキュリティ連携会議」をオンラインにて開催し、個人情報等の漏えいを取り巻く状況をはじめ、委員会に報告された漏えい等事案や標的型ランサムウェア攻撃被害、SSL-VPN機器の脆弱性悪用事案等について情報共有等を行った。

  7. 個人情報保護法の域外適用

    令和2年度に委員会が直接報告を受けた個人データの漏えい等事案(1,027件)のうち、外国に所在する事業者からは不正アクセス等を原因として8件の報告を受けた。これらの報告に対して、発生原因の究明や再発防止策の策定等について、2件の指導・助言を行った(付表2(1))。 具体的には、例えば、クラウドサービスで管理していた大量の日本人顧客情報に不正アクセスを受けた事案について、日本法人を通じて外国にある本社に働きかけ、事案の発生原因等の調査を行い、事案発生当時の安全管理措置の状況及び再発防止策の詳細を把握し、必要な指導・助言を行った。

  8. 外国執行当局との連携

    個人情報保護の執行協力の枠組みであるグローバルプライバシー執行ネットワーク(GPEN)により行われた月例会議及び調査活動に参加し、当委員会の新型コロナウイルス感染症の拡大防止のための活動について報告を行ったほか、加盟各国の新型コロナウイルス感染症の拡大防止を図るための執行活動の変化や執行状況等について情報収集を行った。

  9. その他実態調査

    個人データの越境移転規制に係る令和2年改正法の施行に向けて、産業界における越境データ移転を伴う事業活動の実態を広く把握するとともに、制度改正への準備状況を把握し、今後の情報提供等の活動に反映するため、事業者における個人データの越境移転に関する実態調査を行った。

    オプトアウト届出済みの民間事業者に対し、個人データの第三者提供等に係る記録確認義務の履行状況の実態調査を行ってきたところ、令和2年度は、139事業者を対象としてアンケート調査を行い、第三者提供等に係る確認記録に不備が認められた事業者に対しては指導を行った。

第4節 個人情報保護法等に基づく個人情報等の利活用等

  1. 個人情報等の適正かつ効果的な活用の促進

    個人情報保護法の改正の趣旨を踏まえ、個人情報等の適正かつ効果的な活用を促進するため、次の取組を実施した。

    • ガイドライン及びQ&Aの改正

      「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月個人情報保護委員会)について、個人情報保護法相談ダイヤルやPPCビジネスサポートデスクに寄せられた問合せの内容や、事業者から寄せられた質問等も踏まえ、個人情報保護法の解釈の明確化等を図ることが望ましい箇所について記載の追記等を行うために、パブリックコメントを実施した上で改正を行った(令和2年9月1日改正)。具体的には、利用目的による制限の例外、直接書面等による取得、利用目的の通知等をしなくてよい場合、オプトアウトに関する原則に関して、記載の追加等を行った。また、「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」(平成29年2月16日個人情報保護委員会)の改正も併せて行った(令和2年9月1日改正)。

    • PPCビジネスサポートデスクの開設

      AI・ビッグデータ時代を迎え、個人情報等の活用が一層多岐にわたる中、委員会による相談体制の一層の充実を求める意見に適切に対応する観点から、令和2年4月1日にPPCビジネスサポートデスクを開設し、事業者が新たに予定しているビジネスにおける個人データの取扱い(第三者提供、委託、共同利用等)や業界団体が新たに作成する自主的ガイドラインについての相談に応じた(計42件)。また、本サポートデスクの周知を図るため、リーフレットの作成・配布等を行った。

    • 官民データ活用推進基本法に基づく対応

      官民データ活用推進基本法(平成28年法律第103号)第21条第5項において準用する同条第4項の規定に基づき、官民データ活用戦略会議が官民データ活用推進基本計画の変更の案を作成する際に委員会の意見を聴くこととされているため、同会議から提示された案に対し、令和2年7月9日、個人情報等を含む官民データを取り扱う施策を実施するに当たっての留意点等を通知した。

    • 匿名加工情報に関する情報発信

      個人情報保護法では、個人情報の取扱いよりも緩やかな規律の下、ビッグデータを利活用できる環境を整備するために、匿名加工情報制度が設けられており、令和3年3月31日現在、632社の事業者が匿名加工情報の作成等を公表している(付表3)。

      令和2年度上半期には、令和元年度に実施したパーソナルデータの適正な利活用の在り方に関する実態調査に関する報告書及び事例集を委員会ウェブサイト上で公表する等、適正かつ効果的な活用を促進する観点から情報発信を行った。また、令和2年度下半期には、匿名加工情報の活用実態の把握のため事業者へのヒアリングを行うとともに、これまでの委託調査で得られた匿名加工情報の活用事例を体系的にまとめた冊子を作成した。

    • 行政機関等非識別加工情報制度の運用状況等

      行政機関個人情報保護法等改正法により改正された行政機関個人情報保護法及び独立行政法人等個人情報保護法(以下これら2法を併せて「行政機関個人情報保護法等」という。)に基づき、その施行日(平成29年5月30日)に、行政機関等非識別加工情報の加工やその取扱いについての公的な相談窓口として、委員会に行政機関等非識別加工情報に関する総合案内所を開設し、行政機関等(行政機関及び独立行政法人等をいう。以下この項において同じ。)や民間事業者等からの問合せに広く対応している。令和2年度は57件の質問・相談を受け付け、問合せ内容としては提案方法に関するものが多かった(付表4)。

      また、行政機関等非識別加工情報制度の円滑な運用に資するよう、行政機関等非識別加工情報制度の概要を分かりやすく説明した資料とともに、令和元年度に引き続き令和2年度においても各機関の提案募集対象ファイル一覧及び実施日程一覧を委員会ウェブサイトで公表して提案募集の実施状況を紹介し、事業者向けに情報を発信した。

      さらに、総合案内所等を通じて広く国民に同制度を周知するとともに、行政機関及び独立行政法人等の職員に対する運用実務に係る説明会を実施した。

      行政機関個人情報保護法等においては、行政機関等は、毎年度一回以上、当該行政機関等が保有する行政機関等非識別加工情報について、提案募集を行うこととされている。令和2年度においては、23行政機関及び129独立行政法人等において、提案の募集が実施された(提案の募集対象となった個人情報ファイル数:行政機関306ファイル、独立行政法人等1,735ファイル)。また、独立行政法人等において1件の提案があった旨の報告を受けた。

  2. オプトアウト手続の実態

    個人情報保護法第23条第2項の規定に基づくオプトアウト手続による個人データの第三者提供(※)をしようとする者については、オプトアウト手続を行うこと等を委員会へ届け出ることが義務付けられており、令和3年3月31日現在、368件の届出を受け付け、委員会ウェブサイトで公表している。

    令和2年度においては、オプトアウト手続を行っていることを委員会へ届け出ていない名簿業者の実態を調査し、必要な届出を行わせた。

    • (※)第三者に提供される個人データについて、本人の求めに応じて提供を停止することとしている場合であって、あらかじめ、個人データを第三者に提供する旨、提供する個人データの項目等を本人に通知し、又は本人が容易に知り得る状態に置いた上で、本人の同意を得ることなく第三者に提供することをいう。
  3. 認定個人情報保護団体に関する取組

    認定団体連絡会を開催し(令和2年6月)、特定の事業活動に限定した活動を行う団体を認定団体に認定できる制度の導入を含む令和2年改正法の概要等について情報提供するとともに、個々の認定団体が主催する令和2年改正法説明会へ講師派遣(15件)を行った。また、対象事業者向け研修会を開催し(6回:令和2年10月、11月(2回)、12月、令和3年1月、2月)、現行の個人情報保護法及び令和2年改正法の解説や実務の観点から有用な情報の提供等を行った。さらに、シンポジウムを開催し(令和3年3月)、認定団体制度を通じた民間の自主的取組の推進の重要性について対外発信した。

    また、令和3年1月26日に開催した第164回委員会において、ガイドライン(認定団体編)の新設を含む認定団体の望ましい取組の方向性等について審議を行った。

    なお、令和2年7月31日付けで1団体が認定業務を廃止したほか、同年9月30日及び令和3年1月26日に新たに2団体を認定し、同年3月31日現在の認定団体数は41団体となっている(付表2(3))。これらの認定団体が作成する個人情報保護指針については、委員会ウェブサイトにおいて公表している。

  4. 民間の自主的取組の推進

    民間の自主的取組を促進する施策の検討の基礎とするため、外国のPIA(Privacy Impact Assessment、個人情報保護評価)事例等の調査・分析及び個別案件についての民間事業者によるPIAの試行を実施するとともに、個人データの取扱いに関する責任者及び責任部署の設置状況や課題等の実態について調査を実施した。

Ⅱ マイナンバー法に関する事務

第1節 監視・監督

  1. 委員会規則の改正

    令和2年度のマイナンバー法第29条の4の改正に伴い、令和2年12月25日に開催した第162回個人情報保護委員会において、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則の一部を改正する規則案」を取りまとめ、これに対する意見募集を実施した。意見募集では、計7の団体又は個人から延べ7件の御意見が寄せられ、意見募集結果を令和3年3月24日に公表し、同日に特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則の一部を改正する規則(令和3年個人情報保護委員会規則第2号)が公布された。

  2. 漏えい事案等に関する報告の受付状況等

    令和2年度において、特定個人情報の漏えい事案その他のマイナンバー法違反の事案又はそのおそれのある事案について、207件の報告を受けた。このうち、「重大な事態」については、行政機関から2件、地方公共団体から3件、事業者から3件の報告を受けた(マイナンバー法第29条の4。付表5)。

    漏えい事案等の報告の多くは、地方公共団体においてマイナンバーを含んだ書類を紛失した事案であった。また、重大な事態については、地方公共団体より事務を受託した事業者において、事務処理誤りにより、約1,520名分の特定個人情報を、同様の事務を当該事業者に委託していた他の地方公共団体に納品した事案等であり、いずれもマイナンバーが悪用されたとの報告は受けていない。

    漏えい事案等の報告を受けて、再発防止策等の確認を行うとともに、同種の事態が起きないよう指導等を行った。

  3. 指導・助言等の状況

    令和2年度において、特定個人情報の漏えい事案等の報告の受付に際し、再発防止策の徹底を求めたり、具体的な内容の記載を求めたりするなどの指導・助言等を40件行った(付表5)。

    また、立入検査を実施し指摘した事項について報告を求めるなどの報告徴収を10件行った(付表5)。

    さらに、地方公共団体の特定個人情報が保存されたハードディスクが流出した事案について、当該地方公共団体に対して、電子媒体等を廃棄するに当たっては、漏えいの防止や適切な管理のために必要な措置を講じること、電子媒体等のデータ削除業務を他者に委託するに当たっては、委託先に対する必要かつ適切な監督を行うことなどの指導を行った。

  4. 立入検査等の実施状況

    立入検査の実施に当たり、令和2年度検査計画を策定し、検査の実施方針として、行政機関等に対する定期的な検査のほか、随時に検査を行うとともに、地方公共団体に対しては、規模、過去の検査状況等を勘案の上、選択的に実施し、検査項目を絞った検査を活用することなどを定めている。令和2年度においては、法令及びマイナンバーガイドラインの遵守状況、特定個人情報保護評価書に記載された事項の実施状況等を確認するため、行政機関等7件、地方公共団体15件、事業者1件の立入検査を実施し、指摘した事項について改善の報告を求めた(マイナンバー法第35条及び第29条の3第1項。付表5)。なお、新型コロナウイルス感染症の拡大防止の観点から、当該検査先については、電子媒体による資料徴求、電話又はメールでのコミュニケーションなどの手法を活用した検査(以下「オフサイト・モニタリング検査」という。)を行った。

    これまで実施した立入検査により、行政機関等においては、特定個人情報に係る安全管理措置が概ね適切に実施されていることが確認できたものの、地方公共団体のうち一部の機関においては、安全管理措置のうち研修や監査の実施等について、改善を要する事項が認められた。

  5. 監視・監督システムを用いた情報連携の監視状況

    情報提供ネットワークシステムにおいて、行政機関等の職員による不正な利用がないか確認するため、監視・監督システムを用いて情報連携される情報提供等記録について分析を行い、情報連携の照会内容について、ヒアリング調査を行った。なお、調査を行った範囲内では、不正な利用は認められなかった。

    また、監視・監督システムの分析能力向上のため、AIを活用した機能の開発を開始した。

  6. 地方公共団体等の特定個人情報の取扱いに関する定期的な報告の状況

    特定個人情報ファイルを保有する地方公共団体及び地方独立行政法人は、毎年度、前年度においてマイナンバーの漏えい、滅失又は毀損の防止その他のマイナンバーの適切な管理のために講じた措置に関する事項その他当該特定個人情報ファイルに記録された特定個人情報の取扱いに係る事項を報告することとされている(マイナンバー法第29条の3第2項)。

    令和2年度において、令和元年度におけるマイナンバーを取り扱う事務に関する体制の整備、研修・監査等の実施及びシステムの管理に関する事項等について、2,207機関から報告を受けた。

    今回の報告では、これまでの事項に加え、新たにハードディスク等の更新に係るデータの削除又は廃棄の実施状況等について報告を求め、おおむね必要な措置が講じられていることを確認した。

  7. その他の監督活動について

    インシデントに対する組織的対応能力を向上させ、安全管理措置の実質的な確保を図るため、地方公共団体から参加希望を募り、32団体に対して、マイナンバー漏えい事案等が発生したとの想定で初動対応の訓練を実施し、訓練の中で明らかになった問題等について改善を促した。

第2節 特定個人情報保護評価

  1. 特定個人情報保護評価書の承認等

    第1章第3節2(2)で述べたとおり、行政機関の長等は、特定個人情報ファイルを保有する前に特定個人情報保護評価を実施することとされており、しきい値判断により、「基礎項目評価」、「重点項目評価」又は「全項目評価」のいずれの評価の実施が義務付けられるかを判断する。

    このうち、行政機関の長等(地方公共団体等を除く。)の全項目評価書については、マイナンバー法等により委員会の承認を受けることが義務付けられている(図2(第1章第3節2(2)))。特定個人情報保護評価の再実施を行った場合も同様である。

    令和2年度においては、10の行政機関の長等(評価実施機関)から全項目評価書の提出を受け、内容について審査を行った上で、11件の承認を行った(付表7)。当該行政機関の長等は、承認を得た後、全項目評価書の公表を行った。

    地方公共団体等の全項目評価書については、マイナンバー法等により、原則として、条例等に基づき地方公共団体が設置する個人情報保護審議会又は個人情報保護審査会による点検を受け、委員会へ提出した後、公表することが義務付けられている。

  2. 評価実施機関の特定個人情報保護評価書の公表状況

    令和3年3月31日現在、2,880の行政機関の長等(評価実施機関)が33,748事務について特定個人情報保護評価書を公表している(付表8)。これらの特定個人情報保護評価書については、国民が検索・閲覧することが可能となるよう、委員会が運用するシステム(マイナンバー保護評価Web)に掲載している。

    なお、委員会の承認対象ではない特定個人情報保護評価書についても、必要に応じて記載方法等に関する助言を行っている。

  3. 特定個人情報保護評価指針の変更

    特定個人情報保護評価指針については、マイナンバー法第27条第2項の規定に基づき、少なくとも3年ごとに指針について再検討を加え、必要があると認めるときは、これを変更するものとするとされている。この規定に基づき、特定個人情報保護評価指針の再検討を行い、評価の再実施が必要となる特定個人情報ファイルに対する「重要な変更」の対象範囲を明確化する等の変更を行った。変更後の特定個人情報保護評価指針等は令和3年2月5日に公布・公表され、同年4月1日に施行される。

第3節 「行政手続における特定の個人を識別するための番号の利用等に関する法律第19条第8号に基づく特定個人情報の提供に関する規則」に基づく届出の受付

  1. 届出の受付状況

    第1章 第3節2(3)で述べたとおり、地方公共団体は、マイナンバー法第19条第8号において、独自利用事務のうち委員会規則で定めるものについて、情報提供ネットワークシステムを用いた情報連携を行うことができるものとされている。

    令和2年度においては、上記の要件を満たし、情報提供ネットワークシステムを使用して特定個人情報の提供を求めることができる事務として、令和3年2月以降の情報連携について89の地方公共団体から163件の届出が、令和3年6月以降の情報連携について113の地方公共団体から254件の届出が、さらに令和3年10月以降の情報連携について40の地方公共団体から87件の届出があった。これにより、令和3年10月時点で情報連携の対象とされる独自利用事務は、1,234の地方公共団体(都道府県47、市区町村等1,187)の8,864事務となる見込みである。

  2. 情報連携の対象となる独自利用事務の事例について

    情報連携の対象となる独自利用事務の事例については、平成27年8月に委員会の決定を経て公表して以来、地方公共団体からの要望を踏まえて数次にわたり追加してきた。

    令和2年度においては、地方公共団体の要望を踏まえ、令和2年6月24日に開催した第146回個人情報保護委員会において既存の6件の事例を変更するとともに、制度改正を踏まえ、同年9月16日に開催した第152回個人情報保護委員会において既存の1件の事例を変更し、これらについて公表した。

    今後も地方公共団体の要望を踏まえて事例の拡大を図りつつ、添付書類の削除等の具体的なメリットが国民に実感されるよう独自利用事務の情報連携の活用を促進していくこととしている。

  3. 委員会規則の改正

    従来、委員会規則では、独自利用事務の情報連携で照会できる特定個人情報は、準ずる法定事務で照会できる特定個人情報の範囲に限定していたところ、地方公共団体からの要望を受けて、委員会規則を改正し、当該法定事務又はそれ以外の法定事務のうちその事務の内容が当該独自利用事務の内容と類似しているものであって、次に掲げるいずれかに該当する事務において提供される特定個人情報の範囲と同一又はその一部に拡大した。

    • ① その事務において貸与又は支給の対象となる費用が、独自利用事務において貸与又は支給の対象となる費用と類似していること。
    • ② その事務において貸与し、又は支給する物品が、独自利用事務において貸与し、又は支給する物品と類似していること。
    • ③ その事務において提供する役務が、独自利用事務において提供する役務と類似していること。

Ⅲ 国際協力

個人データの国境を越えた流通が増大する中、個人情報の保護を図りつつ国際的なデータ流通が円滑に行われるための環境を整備することが重要となっており、委員会においては、各国・地域の関係機関との戦略的な対話の実施や国際的な協力枠組みへの参加等に積極的に取り組んでいる。

具体的には、個人情報の保護を図りつつ、利活用を図るための国際的な枠組み(信頼性のある個人データ流通のための国際的な枠組み)の構築に向けて、これまで連携を進めてきた米国・EUを中心とした各国・地域の関係機関等と対話を行うとともに、OECDプライバシーガイドラインに関する取組として、個人情報の保護を巡る新たなリスクについての議論を主導した(付表9)。これらは、「成長戦略フォローアップ」(令和2年7月17日閣議決定)、「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」(令和2年7月17日閣議決定)及び令和2年10月にデジタル・ガバメント閣僚会議の下で開催されたデータ戦略タスクフォースによる「データ戦略タスクフォース 第一次とりまとめ」(令和2年12月21日デジタル・ガバメント閣僚会議決定)において、信頼性のある自由なデータ流通(Data Free Flow with Trust:DFFT)の実現に向けた政府全体の取組の一つとして位置づけられている。

さらに、国際会議への出席や外国機関との対話等も精力的に行った(付表10及び付表11)。具体的な取組については次のとおりである。

第1節 信頼性のある個人データ流通のための国際的な枠組み構築に向けた取組の推進

  1. 日米欧三極間における既存の枠組みを活用した個人データ流通の更なる促進を図る取組について

    委員会事務局と欧州関係機関(欧州委員会司法総局)及び米国関係機関(商務省等)との間で、それぞれ二者間による対話を実施し、日本側から提案した、①個人情報の越境移転に関する既存の2国間枠組みを活用した更なる個人情報の流通の促進、②グローバルに相互運用可能な新たな企業認証制度の模索、及び③グローバルスタンダードとしてのOECDプライバシーガイドラインの見直しプロセスにおける個人情報保護を巡る新たなリスクに係る議論のそれぞれについて、令和2年7月の欧州司法裁判所による米国プライバシー・シールドへの十分性決定を無効とする判決等を踏まえた個別論点や今後の進め方等について具体的な検討を行った。加えて、委員会では、日米欧間での議論に資するべく、日米欧三極間の個人データ流通の実態についての企業調査を実施した。

  2. OECDプライバシーガイドラインに関する取組

    世界各国の個人情報保護政策の基礎・原則となっているOECDプライバシーガイドラインの見直しプロセスにおいて、委員会が行った提案(※)に基づき、個人情報保護を巡る新たなリスクとしてのデータローカライゼーション及び無制限なガバメントアクセスという2つの論点についての検討・議論が進められた。委員会はOECDのデジタル経済データガバナンス・プライバシー作業部会(WPDGP)の累次会合、民間部門が保有する個人データの無制限なガバメントアクセスに関する専門家コンサルテーション等、また、WPDGPの親委員会であるデジタル経済政策委員会(CDEP)の会合に参画し、議論を主導した。令和2年10月には、両論点に係るラウンドテーブル(オンライン開催)をOECD事務局と共催し、各国関係者や専門家の意見を踏まえながら、さらなる議論の深化を行った。

    令和2年11月のWPDGP会合及びCDEP会合において、ガバメントアクセスに関する論点については、主な議論の場をWPDGPからCDEPに移し、令和3年早期にも完了予定のOECDプライバシーガイドラインの見直しプロセス後も、議論を継続させていくことで一致した。信頼性のあるガバメントアクセスに関する高次の原則の具体化に向けて作業を行っていくことを目的としてCDEP内に設置されたドラフティング・グループには、委員会からも代表を派遣しており、同年2月以降、当該ドラフティング・グループや同ドラフティング・グループに専門家等が参加した拡大ドラフティング・グループの枠組みのもと、同論点に係る累次の会合が開催され、各国の法執行機関や国家安全保障機関も交えての議論が行われた。また、データローカライゼーションに関する論点については、引き続きWPDGPにて議論を深めていくことで一致した。

    なお、委員会では、令和2年度において、OECDプライバシーガイドラインに関する本取組を支援するため、OECDに対し、拠出金を支出するとともに、職員の派遣を行った。令和3年度予算においても、引き続き本取組を推進していくべく、OECDに対する拠出金を計上するとともに、職員の派遣を継続させることとしている。

    • (※)令和元年11月に行われたWPDGP会合において、委員会より、両論点について上記見直しプロセスにおいて議論すべき旨の提案を行った。

第2節 国際会議への出席等

  1. アジア太平洋プライバシー機関(APPA)フォーラム(※)
    • 第53回APPAフォーラム(令和2年6月2日~4日)

      事務局職員がオンライン形式で開催された第53回APPAフォーラムに出席し、委員会による執行活動について報告するとともに、個人情報保護法の改正案や、新型コロナウイルス感染症対策に係る個人情報保護に関する委員会の取組等の説明を行った。また、信頼性のある個人データ流通のための国際的な枠組み構築や、アジア太平洋経済協力(Asia-Pacific Economic Cooperation:APEC)越境プライバシールール(Cross Border Privacy Rules:CBPR)システムの促進に向けた委員会の取組についても紹介した。

    • 第54回APPAフォーラム(令和2年12月8日~10日)

      専門委員がオンライン形式で開催された第54回APPAフォーラムに出席し、委員会による執行活動について報告するとともに、個人情報保護制度の一元化に係る検討状況や、顔認証技術に係る委員会の取組及びテレワークの利用拡大に伴う個人情報漏えい事案に関し委員会が公表した注意事項等についての説明を行った。また、信頼性のある個人データ流通のための国際的な枠組み構築に向けた委員会の取組や、委員会が開催したオンラインセミナー(後述のCEATEC 2020オンラインセミナー(令和2年10月22日)を参照)の開催概要を紹介した。

      • (※)アジア太平洋地域のデータ保護機関が、協力関係の構築や情報交換を行うことを目的として年に2回開催される会議。
  2. 世界プライバシー会議(GPA)(※)
    1. 第42回GPA年次総会(令和2年10月13日~15日)

      専門委員がオンライン形式で開催された第42回GPA年次総会に出席した。第42回GPA年次総会においては、新型コロナウイルス感染症拡大の影響により、例年より規模が縮小され、各国データ保護機関のみが参加するクローズド・セッションのみが開催された。

      同セッションでは、各ワーキンググループ議長等からGPAの令和2年の活動成果及び今後の動きに関する報告が行われるとともに、令和2年における各国データ保護機関にとっての最大の課題であった、新型コロナウイルス感染症拡大下での個人情報の保護と公衆衛生に関する公共の利益とのバランスという論点について、多くの時間が割かれ、また、人工知能(AI)や顔認証技術といった、近年の技術革新の中で生じた個人情報保護に関する課題及びこれらの課題に効果的に対処するためのGPAの在り方等について議論が行われた。委員会からも、これまでの取組や執行の経験を踏まえて、①共同声明発出に関する手続規則の改正、②顔認証技術についての議論、③新型コロナウイルス感染症関連活動報告及び議論、④事務局常設化及び⑤GPAに対する助言のためのリファレンス・パネル構成メンバーについて発言を行い、他の参加者と意見交換を行った。

    2. GPAワーキンググループへの参加

      事務局職員がGPA内に設置されている、「AIにおける倫理とデータ保護ワーキンググループ」及び「COVID-19ワーキンググループ」に参加し、顔認証技術等を含むAIの活用や、新型コロナウイルス感染症拡大防止における個人情報の取扱いについて、意見交換を行った。

      • (※)各国のデータ保護機関、政府機関、事業者及び研究者等が参加し、国際的な個人データ保護の促進や強化等についての議論や情報交換を行う会議。
  3. その他
    1. CEATEC2020オンラインセミナー(令和2年10月22日)

      委員会は、電子情報技術に関するオンライン国際展示・会議イベント「CEATEC2020」(CEATEC実施協議会主催)のウェブサイト上で、「日米欧三極のイニシアティブによる信頼性が確保された個人データの自由な越境流通の促進に向けて」と題したオンラインセミナーを開催した。

      同オンラインセミナーでは、日米欧間を含む国際的な個人データ流通の在り方について、委員会の丹野委員長、欧州委員会委員及び米国商務省次官補代理が基調講演を行ったほか、我が国の産学官を代表する個人データ分野の有識者7名によるパネルディスカッションが実施され、信頼性のある個人データ流通のための国際的な枠組み構築に向けた取組を推進していくことの意義・重要性について広く国内外に発信した。

    2. 第9回アジアプライバシーブリッジフォーラム(※)(令和2年11月12日)

      事務局職員が、我が国における新型コロナウイルス感染症対策に関しての委員会の取組及び信頼性のある個人データ流通のための国際的な枠組み構築に向けた取組について発表を行った。

      • (※)アジアにおけるプライバシー法制に関する情報交換を目的とする、プライバシーの実務家及び専門家を対象とするフォーラム(韓国・延世大学Barun ICT Research Center主催)。

第3節 地域別対話

  1. EUとの協力対話等
    1. 日EU間の相互の円滑な個人データ移転を図る枠組みのレビュー

      平成31年1月23日に発効した日EU間の相互の円滑な個人データ移転を図る枠組みについては、発効から2年以内に、互いの移転枠組み(日本においては、個人情報保護法第24条に基づく指定、EUにおいては、一般データ保護規則(General Data Protection Regulation:GDPR)第45条に基づく十分性認定)についてレビューが行われることとなっており、委員会は当該レビューに関する作業を行った。

      具体的には、個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第11条第1項各号に規定される判断基準を引き続き満たすか否かを、各国データ保護機関等への質問票の送付等を通じて調査し、確認を行うとともに、日EU間の当該レビューが相互認証に基づくものであることから、十分性認定発効後の我が国の個人情報保護制度の進展等に関する欧州委員会からの照会への対応を行った。

    2. 第10回日EU・ICT戦略ワークショップ(※)(令和2年10月2日)

      事務局職員がオンライン形式で開催された第10回日EU・ICT戦略ワークショップに参加し、データについて官民で議論するセッションにおいて、信頼性のある個人データ流通のための国際的な枠組み構築に向けた取組について説明を行った。

      • (※)総務省、欧州委員会(通信ネットワーク・コンテンツ・技術総局)、民間事業者等が、デジタル経済における重要課題について自由な意見交換を行う場。
  2. 米国との対話
    1. 米国商務省次官補代理との会談(令和2年7月27日)

      事務局長が米国商務省の次官補代理と、信頼性のある個人データ流通のための国際的な枠組み構築に向けた意見交換を行った。

    2. 駐日米国大使館公使との会談(令和2年9月14日)

      事務局審議官が駐日米国大使館の経済担当公使と、令和2年改正法の概要及び信頼性のある個人データ流通のための国際的な枠組み構築等について説明並びに意見交換を行った。

    3. 第11回インターネットエコノミーに関する日米政策協力対話(※)(令和2年9月17日)

      信頼性のある個人データ流通のための国際的な枠組み構築に向けた取組を推進する立場から、事務局審議官がオンライン形式で開催されたインターネットエコノミーに関する日米政策協力対話に参加し、国際的なデータ流通を後押しするルールの促進に向けて、国際的なパートナーとの連携を継続していくとともに、データの自由な流通拡大に資するグローバルな越境データ流通システムの創出に向けて協力することについて、米国との間で再確認した。

      • (※)総務省と米国国務省との間で、インターネットの経済的側面に焦点を当てた政策全般について、定期的に実施されている政策対話。
  3. 英国との対話
    1. 個人情報保護法第24条に基づく指定に関するレビュー

      委員会は、個人情報保護法第24条に基づき、EU離脱前の英国を含め、EU各国に対して指定を行っており、英国のEU離脱後も、英国に対する当該指定を継続させていることから、上記日EU間の相互の円滑な個人データ移転を図る枠組みのレビューと並行して、英国に対する当該指定のレビューに関する作業を行った。令和2年10月12日には、委員会事務局とデジタル・文化・メディア・スポーツ省(DCMS)との間で、同年12月8日には、委員会事務局とDCMS及び内務省との間で、EU離脱後における英国のデータ保護の取組やデータ保護法制等についてオンライン形式で意見交換を行うなどして、英国が個人情報の保護に関する法律施行規則第11条第1項各号に規定される判断基準を引き続き満たすか否かを確認した。

    2. 情報コミッショナーオフィス(ICO)との連携強化

      令和2年7月、委員会は、英国のデータ保護機関である情報コミッショナーオフィス(ICO)からの提案に基づき、顔認証技術等の先端技術に起因する個人情報の取扱いや個人データの越境移転等の双方が関心を有するトピックについて、情報共有や意見交換を行う枠組みの構築に向け議論を開始し、同年10月20日には、委員会事務局とICOの担当者間で協力事項の具体化等についてオンライン形式で意見交換を行うなど、委員会とICOとの間での了解覚書の締結等に向けた検討を進めた。

  4. APEC CBPRシステムの推進

    APEC CBPRシステムは、APEC参加国・地域において、事業者のAPECプライバシーフレームワークへの適合性を認証する仕組みであり、事業者の個人情報保護の水準を判断するための国際的な基準として有効である。

    個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年個人情報保護委員会告示第7号)において、外国にある第三者への個人データの提供に係る個人情報保護法第24条の要件を満たす場合として、提供元の個人情報取扱事業者がCBPRシステムの認証を取得しており、提供先の「外国にある第三者」が当該個人情報取扱事業者に代わって個人情報を取り扱う者である場合や、提供先の外国にある第三者が、CBPRシステムの認証を取得している場合を挙げている。そのため、CBPRシステムの認証を取得することは、国際的な事業展開を図る日本企業にとって、有益となることから、委員会は、引き続き個人情報保護法の説明会や、シンガポール個人情報保護委員会とともに開催した「APEC・CBPRによるビジネスの強化と信頼の構築」に関するセミナー等の機会を活用して、国内外へ向けた同システムの周知活動に取り組んだ。

第4節 国内事業者による国際的な活動に資する情報の発信

外国との取引を行う我が国事業者の参考とするため、引き続き委員会ウェブサイト上にEUのGDPR及び米国・カリフォルニア州消費者プライバシー法(CCPA)などの諸外国・地域における個人情報の保護に関する情報(外国機関が作成した資料についての日本語仮訳を含む)を提供した。

Ⅳ 新型コロナウイルス感染症に係る対応

  1. 個人情報保護法関係

    事業者において新型コロナウイルス感染症の拡大防止を目的として個人情報が取り扱われる機会が増え、個人情報保護法相談ダイヤルへの相談も多く寄せられたことを踏まえ、「新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて」を令和2年4月2日に委員会ウェブサイトに掲載し、同年5月15日、令和3年3月19日に更新した。また、その内容の一部を、令和2年9月1日のガイドライン及びQ&Aの改正に盛り込んだ。

    また、我が国におけるコンタクトトレーシングアプリの導入(※)を前に、令和2年4月28日に開催した第142回個人情報保護委員会において、個人情報に係る個人の権利利益の確保の要請と感染症対策という公共政策上の利用の要請とのバランスに留意しつつ、これらのアプリを活用するための考え方を取りまとめた「新型コロナウイルス感染症対策としてコンタクトトレーシングアプリを活用するための個人情報保護委員会の考え方について」を決定し、同年5月1日に報道発表を行った。その後、内閣官房新型コロナウイルス感染症対策テックチームの下で開催された接触確認アプリに関する有識者検討会合にオブザーバーとして参加し、必要な助言を行った。

    さらに、令和2年4月28日に厚生労働省との連名で、「新型コロナウイルス感染症に係る医療機関間での個人情報の共有の際の個人情報保護法の取扱いについて」を委員会ウェブサイトに掲載したほか、委員会が実際に確認したテレワークに伴う個人情報漏えい事案の個別事例を基に考えられる対策について、「テレワークに伴う個人情報漏えい事案に関する注意事項」にまとめ、同年9月23日に委員会ウェブサイトに掲載した。

    • (※)令和2年6月19日に、厚生労働省から新型コロナウイルス接触確認アプリ(COVID-19 Contact-Confirming Application:COCOA)がリリースされた。
  2. マイナンバー法関係

    令和2年4月15日に「新型コロナウイルス感染症対策として、事業者等においてテレワーク等を活用する場合のマイナンバーの取扱いについて」を委員会ウェブサイトに掲載した。

  3. 国際協力関係

    新型コロナウイルス感染症対策における個人データの取扱い等に対する委員会の対応について国外に発信するとともに、OECDや世界プライバシー会議(GPA)といった国際会議の議論に積極的に参加し、各国の関係機関との意見交換や各国の対応についての情報収集を行った(付表12)。

Ⅴ 個人情報保護法、マイナンバー法等に共通する事務

第1節 相談受付

  1. 個人情報保護法関係
    • 個人情報保護法相談ダイヤルにおける対応

      個人情報保護法に関する一般的な解釈及び個人情報保護制度に関する一般的な質問への回答、個人情報等の取扱いに関する監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関する事務を行うための窓口として、個人情報保護法相談ダイヤルを運用している。令和2年度は、個人情報保護法相談ダイヤルにおいて15,416件の相談を受け付けた(付表13)。

      また、令和2年9月から、個人情報保護法に関する比較的シンプルな質問にAIがインターネット上で24時間対応する個人情報保護委員会チャットボットサービス(PPC質問チャット)の運用を開始した。

      令和2年度は、事業者から令和2年改正法に関する相談や新型コロナウイルス感染症対策における個人データの取扱い等に関する相談が多く寄せられた。一方、個人からの相談が減少したため、相談主体別で見ると、前年度に比して事業者からの相談の割合が増加した。相談内容の傾向としては、個人情報の第三者提供や利用目的等に関する質問や苦情が多かった。具体的には、個人データを第三者提供する場合の手続に関する事業者からの質問や、事業者に自身の個人データを第三者提供されたとする個人からの苦情が多く寄せられた。

      個人からの苦情の中には、本人が望まない形で自身の個人情報が利用され、事業者が利用停止等に応じないことや、名簿屋による個人情報の流通を問題視する意見が多く寄せられた。

      このため、令和2年改正法において、利用停止・消去等の請求の要件を緩和することや、個人データの授受に関する第三者提供記録についても本人が開示請求できるようにすること、オプトアウト規定により第三者に提供できる個人データの範囲を限定すること等の措置を講じることとした。

      また、個人情報保護法相談ダイヤルに寄せられた情報等を基に、オプトアウト届出が未届出の疑いのある事業者に対して実態調査を行い、個人データの第三者提供の実態があれば、届出を行うよう指導した。

    • 個別の事業者への対応
      • ① あっせんの実施

        個人情報保護法相談ダイヤルに、事業者の個人情報等の取扱いに関する苦情等が寄せられた場合には、必要に応じてあっせんに関する説明を行い、申出を受けた場合には、当事者それぞれから可能な限り納得を得て解決につなげられるよう対応している。令和2年度は、28件のあっせんの申出を受け付けた。例えば、事業者のウェブサイトに未だ在職しているかのように掲載され続けている元従業員から、当該事業者に個人情報の削除を依頼し、事業者からも了承を得たが、一向に対応されないという苦情の申立てがされた事案について、当該事業者に対して元従業員からの苦情を伝えるとともに、個人情報保護法の規定等の説明を行い、削除に応じるようあっせんを行った。

      • ② 指導・助言等

        個人情報保護法相談ダイヤルに、事業者の個人情報等の取扱いに関する苦情等が寄せられた場合には、必要に応じて事業者に確認を行った上で当事者に対する説明、事業者に対する指導・助言等を行った。例えば、事業者から、本人同意なく第三者に個人データが提供されたという事案について、当該事業者に対し、個人情報保護法第23条の規定に基づき、個人データを第三者提供する場合は本人の同意を取得するよう指導・助言等を行った。

  2. マイナンバー法関係
    1. マイナンバー苦情あっせん相談窓口での対応

      特定個人情報の取扱いに関する苦情の申出について、必要な助言・あっせん等を行う窓口としてマイナンバー苦情あっせん相談窓口を設置し、相談を受け付けている。令和2年度は、マイナンバー苦情あっせん相談窓口において942件の相談を受け付けた(付表14)。傾向として、従業員等の個人からマイナンバーの提供の必要性や利用目的等を十分に説明しない事業者に対する不満や特定個人情報の管理状況が不十分な事業者とのトラブルに関する相談が多くなっている。また、事業者からは新型コロナウイルス感染症対策としてテレワーク等を活用する際のマイナンバー事務の安全管理措置に関する質問や当委員会作成のガイドラインの改正を踏まえた取扱規程の見直しに当たっての相談が多く寄せられた。

    2. 個別の事業者への対応

      マイナンバー苦情あっせん相談窓口に事業者のマイナンバーの取扱いに関する苦情が申し立てられた場合、当該苦情について事業者に報告を求め、必要に応じて当事者に対する説明や事業者等に対する指導・助言等を行った。例えば、事業者から身分証明書を求められた際にマイナンバーカードを提示したところ、表面だけでなくマイナンバーが記載された裏面も収集された事案について、当該事業者に事実関係を確認した上で、マイナンバー法の規定等を説明し、誤って収集したマイナンバーは速やかに廃棄するとともに、事業所内における取扱いを改めるよう助言を行った。

      また、マイナンバーガイドラインに関する相談が寄せられた場合には、相談者が可能な限り納得感を得られるよう丁寧な説明に努めた。

第2節 広報・啓発

  1. 個人情報保護法関係

    新型コロナウイルス感染症の影響により対面での説明会等が困難となる中でも、感染拡大防止に留意しつつ、オンラインでの説明会等を含め、個人情報保護法の適用を受ける幅広い事業者への現行の法制度の周知のほか、認定団体や事業者団体、消費者団体等の様々な関係者に対して、積極的に令和2年改正法についての説明を行うとともに、政令・規則等の検討に資するように、積極的に意見や要望等を伺った(計96回、約14,800人参加。付表15)。

    小学生を対象として「個人情報の適切な取扱い方」を啓発する出前授業(計15回)を実施し、ハンドブック等の配布も行った。また、スマートフォンやインターネット、SNS等における個人情報の適切な取扱い方を学ぶことができる動画「取扱注意!みんなの大切な個人情報~SNS・オンラインゲーム編~」を制作し、政府インターネットテレビで公開した。

    また、政府広報ラジオの放送にて、「考えてみよう!あなたの個人情報」をテーマに個人情報を取り扱う際の注意点に関して、身近な事例を挙げて広く国民に分かりやすく広報した。

    さらに、委員会が加盟しているアジア太平洋プライバシー機関(APPA)において取り組むこととされているPrivacy Awareness Weekを令和2年11月30日から12月6日までに設定し、「個人情報の取扱い方を考える週間!」と称し、個人情報保護の重要性や令和2年改正法による個人情報の取扱いに関する新たなルールが適用されること等に関し、広く国民に広報した。具体的な取組内容として、委員会ウェブサイトにPrivacy Awareness Weekの特設ページを設けたほか、啓発ポスターを作成し全国の自治体・郵便局への掲示、JR駅構内におけるデジタルサイネージ広告の放映、新聞広告の掲載、ラジオ広告の放送、コンビニのレジ液晶POPでの広告・店内BGMの放送等を行った。

    中小規模事業者向けに、その事業において個人情報を取り扱う際に発生しやすい3つのヒヤリハット事例についてドラマ仕立てで解説した動画「個人情報の取り扱いに関するヒヤリハット事例」を作成し、政府インターネットテレビで公開した。また、個人情報取扱事業者の社員向け研修などに活用できる個人情報保護法の概要、漏えい等が発生したときに行うべき対応、個人データを安全に管理する方法について解説した動画「個人情報保護法の概要と個人情報の安全な管理」を作成し、政府インターネットテレビで公開した。

  2. マイナンバー法関係

    令和2年度においては、新型コロナウイルス感染症の拡大防止の観点から、各種説明会で配信する動画の中で、特定個人情報の適正な取扱いの確保や安全管理措置の再確認を促すことなどを目的とした説明等を行った。

    具体的には、令和2年4月から令和3年1月までの間に他省庁と連携して動画により実施された社会保障・税番号制度担当者説明会(実地での開催は令和2年7月から同年9月までの間)及び令和2年5月から令和3年2月までの間に開催された地方公共団体情報システム機構主催の動画配信セミナーにおいて、地方公共団体の事務担当者に対して説明を行った。

    令和元年度の立入検査において把握した有用な事例を、「マイナンバーを適切に取り扱うためのポイント~検査結果を踏まえて~」(平成29年6月(令和2年6月改訂)個人情報保護委員会)に追加し、国の行政機関及び地方公共団体に周知を行った。

第3節 人材育成

委員会の所掌事務を確実に遂行するため、人材育成は重要な課題である。多様な人材の活用と育成のため、個人情報の保護及び利活用、マイナンバーの取扱いに係る監視・監督等の業務運営に必要な資質・職務遂行能力の向上を主な目的として研修を実施したほか、外部の専門機関等が実施する研修に積極的に参加するなど、委員会内外の様々な機会を通じて研修を実施した。

新規採用職員に対しては、「新規採用職員向けマイナンバー習熟テスト」の実施や「個人情報保護士認定試験」の受験を義務付けることにより、今後の委員会業務の前提となる知識の着実な定着を図った。

また、監視・監督機関としての委員会の性格及び業務内容に鑑み、職員にはセキュリティ・ITの知見が不可欠であることから、サイバーセキュリティ分野における対応能力の向上及びセキュリティ・IT人材の確保・育成を図ることを目的に、専門機関が実施するサイバーセキュリティ研修やセキュリティ・ITリテラシー等に関する研修の実施等、職員の専門的知識の習得に重点を置いた研修の実施に注力した。

さらに、サイバーセキュリティ人材育成総合強化方針(平成28年3月31日サイバーセキュリティ戦略本部決定)における橋渡し人材(部内育成専門人材)の確保・育成のため、選定した職員について総務省の主催する情報システム統一研修を受講させ、研修修了者に対するスキル認定に係る取組を進めた。

令和元年度より、技術系職員に対しては、情報システム関連業務における課題解決等に取り組むことが可能なスキルの習得を目的としたIT研修を実施した(付表16)。

第4節 関係省庁主催の会議等への出席

個人情報等の保護及び適正かつ効果的な活用が図られるよう、委員会事務局から関係省庁が主催する会議等へ出席し、必要な助言等を行った。

第5節 行政手続等における書面・押印・対面の見直し

「規制改革実施計画」(令和2年7月17日閣議決定)等に基づき、委員会の所管する行政手続等について、個人情報の保護に関する法律施行規則等の改正等を行い、認定団体の認定等及び行政機関等非識別加工情報の提供に係る押印を不要とし、また、オプトアウト届出について押印を不要とするとともにオンラインによる提出を可能とした。さらに、会計手続、人事手続等の内部手続のうち制度官庁が書面・押印・対面を見直すこととした手続及び委員会の内部規程又は慣行により書面・押印・対面を求めている手続について、内部規程の改正等を行い、押印を不要とするとともにオンラインにより手続を行うことを可能とした。

付表 活動実績

  1. 委員会会議
    (期間:令和2年4月1日~令和3年3月31日)
    回数 開催日 議題
    第142回 令和2年
    4月28日
    • 「新型コロナウイルス感染症対策としてコンタクトトレーシングアプリを活用するための個人情報保護委員会の考え方」について
    • 監視監督について
    第143回 令和2年
    5月15日
    • 令和元年度年次報告(案)について
    • 令和2年度個人情報保護委員会活動方針(案)について
    • 官民通じた個人情報保護制度の見直しに係る委員会としての考え方について
    • 令和2年度検査計画等について
    • マイナンバーガイドラインの改正案に関する意見募集の結果について
    • マイナンバーガイドラインの改正案について
    • 個人データに関する国際的なデータ流通の枠組みに係る進捗について
    第144回 令和2年
    6月15日
    • 個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)について
    • マーストリヒト大学DPO認証結果報告について
    • 法務省に対する報告徴収の実施について
    • 情報提供ネットワークシステムの監視状況について
    • 検査結果事例集の更新について
    • 監視監督について①
    • 監視監督について②
    • 監視監督について③
    第145回 令和2年
    6月17日
    • 法務大臣(戸籍関係情報の提供に関する事務)の全項目評価書の概要説明について
    • 次世代医療基盤法の認定匿名加工医療情報作成事業者等の認定に係る協議への対応について
    • 第53回アジア太平洋プライバシー(APPA)フォーラム結果報告について
    第146回 令和2年
    6月24日
    • 法務大臣(戸籍関係情報の提供に関する事務)の全項目評価書について
    • 情報連携の対象となる独自利用事務の事例の変更について
    • 個人情報保護法ガイドラインの改正について
    • 地方公共団体の個人情報保護制度に関する懇談会における実務的論点の整理に向けて
    第147回 令和2年
    7月8日
    • 官民データ活用推進基本計画(案)に対する意見について
    • 地方公共団体の個人情報保護制度に関する懇談会の終了について
    第148回 令和2年
    7月15日
    • 英国データ保護機関(ICO)との連携強化に向けて
    • 監視監督について①
    • 監視監督について②
    • その他
    第149回 令和2年
    7月22日
    • 改正個人情報保護法 政令・規則・ガイドライン等の整備に当たっての基本的な考え方について(案)
    • 特定個人情報保護評価指針の3年ごとの再検討について
    • 個人データに関する国際的なデータ流通の枠組みに係る進捗について
    第150回 令和2年
    8月5日
    • 独自利用事務の情報連携に係る届出について
    • 個人情報保護法ガイドライン改正案の意見募集結果について
    第151回 令和2年
    8月26日
    • 個人情報保護制度の見直しに向けた中間整理案について
    • 日EU相互認証の見直し(レビュー)に向けた対応について
    第152回 令和2年
    9月16日
    • 厚生労働省(特別給付金・特別弔慰金に関する事務)の全項目評価書について
    • 産業機械健康保険組合、東京都情報サービス産業健康保険組合及び関東ITソフトウェア健康保険組合(適用、給付及び徴収関係事務)の全項目評価書について
    • 情報連携の対象となる独自利用事務の事例の変更について
    第153回 令和2年
    9月23日
    • 個人情報保護法施行規則の一部改正規則案及び個人情報保護法ガイドラインの一部改正案について
    第154回 令和2年
    9月30日
    • 認定個人情報保護団体の認定について
    • 東京薬業健康保険組合、東京電子機械工業健康保険組合及び東京実業健康保険組合(適用、給付及び徴収関係事務)の全項目評価書について
    • 監視監督について
    第155回 令和2年
    10月14日
    • 改正法に関連する政令・規則等の整備に向けた論点について(公表事項の充実)
    • 個人情報保護委員会規則の改正案等に関する意見募集(オプトアウト届出、認定個人情報保護団体の認定等及び非識別加工情報の提供に関する、書面提出や押印等の制度・慣行の見直し関係)について
    • 個人情報保護委員会規則の改正案に関する意見募集(独自利用事務の情報連携)について
    第156回 令和2年
    10月30日
    • 改正法に関連する政令・規則等の整備に向けた論点について(漏えい等報告及び本人通知)
    • 令和2年度上半期における個人情報保護委員会の活動実績について
    • オンラインセミナー~日米欧三極のイニシアティブによる信頼性が確保された個人データの自由な越境流通の促進に向けて~の開催報告について
    第157回 令和2年
    11月4日
    • 第42回・世界プライバシー会議(GPA)結果報告について
    • 改正法に関連する政令・規則等の整備に向けた論点について(越境移転に係る情報提供の充実等)
    • 郵便貯金簡易生命保険管理・郵便局ネットワーク支援機構(簡易生命保険契約に係る保険金等の支払に関する支払調書データ(税務署提出用)作成事務)の全項目評価書について
    • その他
    第158回 令和2年
    11月20日
    • 改正法に関連する政令・規則等の整備に向けた論点について(個人関連情報)
    第159回 令和2年
    11月27日
    • 改正法に関連する政令・規則等の整備に向けた論点について(仮名加工情報)
    • 個人情報の保護に関する法律施行規則等の一部を改正する規則案等に関する意見募集の結果について(オプトアウト届出、認定個人情報保護団体の認定等及び非識別加工情報の提供に関する、書面提出や押印等の制度・慣行の見直し関係)
    • 独自利用事務の情報連携に係る届出について
    第160回 令和2年
    12月9日
    • 改正番号法に関連する規則の整備に向けた論点について
    • 特定個人情報保護評価指針の改正案に関する意見募集について
    • 個人情報保護委員会規則の改正案の意見募集の結果について(独自利用事務の情報連携)
    • その他
    第161回 令和2年
    12月18日
    • 個人情報保護制度の見直しに関する最終報告案について
    • 監視監督について①
    • 監視監督について②
    第162回 令和2年
    12月25日
    • 第54回アジア太平洋プライバシー機関(APPA)フォーラム結果報告について
    • 個人データに関する国際的なデータ流通の枠組みに係る進捗について
    • 令和2年改正個人情報保護法 政令・規則案について
    • 令和2年改正番号法 規則案について
    • 特定個人情報の取扱いの状況に係る地方公共団体等による定期的な報告について
    第163回 令和3年
    1月18日
    • デジタル社会の形成を図るための関係法律の整備に関する法律案(仮称)(個人情報の保護に関する法律の一部改正)について
    • デジタル社会形成基本法案(仮称)について
    第164回 令和3年
    1月26日
    • 公益目的による個人情報の取扱いに係る例外規定の運用明確化に向けた取組について
    • 改正法に関連するガイドライン等の整備に向けた論点について(認定個人情報保護団体制度)
    • 認定個人情報保護団体の認定について
    • 特定個人情報保護評価指針の改正案の意見募集の結果について
    • 公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律案(仮称)について
    第165回 令和3年
    2月1日
    • デジタル社会の形成を図るための関係法律の整備に関する法律案(個人情報の保護に関する法律の一部改正)について
    • 東京都医業健康保険組合(適用、給付及び徴収関係事務)の全項目評価書について
    • 関東ITソフトウェア健康保険組合(適用、給付及び徴収関係事務)の全項目評価書について
    • 委員長代理の決定について
    第166回 令和3年
    2月19日
    • 改正法に関連するガイドライン等の整備に向けた論点について(不適正利用の禁止・利用停止等)
    第167回 令和3年
    3月3日
    • 令和2年改正個人情報保護法 政令・規則案の意見募集結果について
    • 「個人情報の保護に関する法律等の一部を改正する法律の施行期日を定める政令案」について
    • 令和2年改正番号法 規則案の意見募集結果について
    • 独自利用事務の情報連携に係る届出について
    • 監視監督について
    第168回 令和3年
    3月19日
    • 監視監督について
    第169回 令和3年
    3月26日
    • 監視監督について
    第170回 令和3年
    3月30日
    • 監視監督について
  2. 個人情報の取扱いに関する監督に係る処理状況
    1. 総括
      (期間:令和2年4月1日~令和3年3月31日)
      対応事項 件数
      個人データの漏えい等事案の報告の受付件数 4,141件(前年度:4,520件)
      (内訳)
      委員会直接受付分:1,027件(前年度:1,066件)
      (うち域外適用分:8件(前年度:13件))
      委任先省庁経由:1,122件(前年度:1,519件)
      認定団体経由:1,992件(前年度:1,935件)
      報告徴収 357件(前年度:357件)
      (内訳)
      委員会実施分:354件(前年度:294件)
      委任先省庁実施分:3件(前年度:63件)(※1)
      立入検査 4件(前年度:40件)
      (内訳)
      委員会実施分:2件(前年度:6件)
      委任先省庁実施分:2件(前年度:34件)(※2)
      指導・助言 198件(前年度:131件)
      (うち域外適用分:2件(前年度:7件))
      勧告 0件(前年度:5件)
      命令 2件(前年度:0件)
      あっせん申出受付件数 28件(前年度:38件)
      • (※1)委任先省庁実施分は、業法に基づく計画検査等と合わせて実施されたものである。
      • (※2)委任先省庁実施分は、業法に基づく定期検査と合わせて実施されたものである。
    2. 事業者からの個人データの漏えい等事案の状況
      • ①漏えい等した人数
        (期間:令和2年4月1日~令和3年3月31日、単位:件)
        報告先
        件数
        (割合)
        		 漏えい等した人数漏えい等した人数
        漏えい等した人数
        		漏えい等した人数漏えい等した人数
        報告先 件数
        (割合)        		 500人以下 501~5,000人 5,001~50,000人 50,001人以上 不明
        委員会 1,027 824
        (80.2%)        		 109
        (10.6%)        		 51
        (5.0%)        		 29
        (2.8%)        		 14
        (1.4%)
        包括委任
        先省庁        		 1,122 1,089
        (97.1%)        		 16
        (1.4%)        		 7
        (0.6%)        		 5
        (0.4%)        		 5
        (0.4%)
        認定団体 1,992 1,867
        (93.7%)        		 63
        (3.2%)         		22
        (1.1%)        		 9
        (0.5%)        		 31
        (1.6%)
        4,141 3,780
        (91.3%)        		 188
        (4.5%)        		 80
        (1.9%)        		 43
        (1.0%)        		 50
        (1.2%)
        • ※ 漏えい等事案には、「漏えい」のほか、「滅失」、「毀損」の事案を含む。
        • ※ 「漏えい等した人数」とは、漏えい等した個人情報によって識別される特定の本人の数であり、人数が確定できない場合は、漏えい等した可能性のある本人を含む最大人数として報告を受けている。
      • ②漏えい等した情報の種類(①に計上した漏えい等事案のうち委員会に報告されたもの(以下⑤まで同じ。)に係る情報の種類)
        (期間:令和2年4月1日~令和3年3月31日、単位:件)
        件数
        (割合)
        件数
        (割合)
        		 漏えい等した情報の種類 漏えい等した情報の種類
        漏えい等した情報の種類
        		 漏えい等した情報の種類 漏えい等した情報の種類 漏えい等した情報の種類
        件数
        (割合)        		件数
        (割合)        		 顧客情報 顧客情報 従業員情報従業員情報 その他の情報その他の情報
        件数
        (割合)        		 うち基本情報のみ顧客情報うち基本情報のみ従業員情報うち基本情報のみその他の情報うち基本情報のみ
        1,027 92
        (9.0%)        		 826
        (80.4%)        		 78
        (7.6%)        		 114
        (11.1%)        		 8
        (0.8%)        		 145
        (14.1%)         		8
        (0.8%)
        • ※ 「基本情報」とは、氏名、生年月日、性別、住所を指す。
        • ※ 一つの事案で複数の情報が漏えい等した場合は、全ての項目について記入。
      • ③漏えい等した情報の形態
        (期間:令和2年4月1日~令和3年3月31日、単位:件)
        件数
        (割合)
        		 漏えい等した情報の形態
        漏えい等した情報の形態
        		漏えい等した情報の形態 漏えい等した情報の形態
        件数
        (割合)        		 電子媒体のみ 紙媒体のみ 電子・紙媒体 その他
        1,027 465
        (45.3%)        		 523
        (50.9%)        		 5
        (0.5%)        		 34
        (3.3%)
      • ④漏えい等元・漏えい等した者
        (期間:令和2年4月1日~令和3年3月31日、単位:件)
        件数
        (割合)        		 事業者 事業者 事業者 事業者 事業者 委託先 委託先 委託先 委託先 委託先
        件数
        (割合)
        従業者
        		従業者
        第三者
        		第三者 その他
        従業者
        		従業者
        第三者
        		第三者 その他
        件数
        (割合)        		 意図的 不注意 意図的 不注意 その他 意図的 不注意 意図的 不注意 その他
        1,027 13
        (1.3%)         		655
        (63.8%)         		156
        (15.2%)         		25
        (2.4%)         		32
        (3.1%)         		2
        (0.2%)         		112
        (10.9%)         		27
        (2.6%)         		0
        (0.0%)         		5
        (0.5%)
      • ⑤漏えい等した後の改善措置状況
        (期間:令和2年4月1日~令和3年3月31日、単位:件)
        件数
        (割合)
        		 事業者による安全管理措置
        事業者による安全管理措置
        		 事業者による安全管理措置 事業者による安全管理措置
        件数
        (割合)        		 組織的 人的 物理的 技術的
        1,027 627
        (61.1%)         		487
        (47.3%)         		172
        (16.7%)         		199
        (19.4%)
        件数
        (割合)
        		 事業者による対応
        事業者による対応
        		 事業者による対応
        件数
        (割合)        		 本人への謝罪・連絡 専用窓口の設置 商品券等の配付
        1,027 956
        (93.1%)         		207
        (20.2%)         		13
        (1.3%)
        • ※ 一つの事案で複数の安全管理措置又は対応を事業者が実施した場合は、全ての項目について記入。
        • ※ 表中の事業者による安全管理措置は、漏えい等後に事業者が講じた再発防止策を、個人情報の保護に関する法律についてのガイドライン(通則編)の「(別添)講ずべき安全管理措置の内容」に基づき、その再発防止策の内容に応じて分類している。具体的な内容としては、「組織的」に社内規程の整備や監査の実施等を、「人的」に教育・研修の実施等を、「物理的」に機器及び電子媒体の盗難の防止や持ち運ぶ場合の漏えい防止等を、「技術的」にアクセス制御や外部からの不正アクセスの防止等を、それぞれ分類している。
    3. 認定個人情報保護団体の取組状況
      (期間:令和2年4月1日~令和3年3月31日、単位:件)
      名称
      個人情報保護法第52条及び第53条に基づく措置
      		 個人情報保護法第52条及び第53条に基づく措置 個人情報保護法第52条及び第53条に基づく措置 個人情報保護法第52条及び第53条に基づく措置 個人情報保護法第52条及び第53条に基づく措置 個人情報保護法第52条及び第53条に基づく措置
      その他の
      積極的な
      取組
      名称 苦情受付 説明要求 資料要求 指導 勧告 その他の措置(※1) その他の積極的な取組
      一般社団法人
      全国警備業協会      		 0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      一般社団法人
      全日本指定自動車教習所協会連合会      		 1 1 0 0 0 0
      • 対象事業者への情報提供を実施
      • 機関誌に解説記事を掲載
      日本証券業協会 6 6 0 0 0 0
      • 対象事業者への監査を実施
      • 対象事業者への研修会を実施
      一般社団法人
      生命保険協会      		 9 9 0 0 0 0
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      一般社団法人
      日本損害保険協会      		 15 15 0 0 0 0
      • 対象事業者における個人データの安全管理措置体制を点検
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      • 情報漏えい発生時の法的責任について、弁護士による講演会を実施
      一般社団法人
      外国損害保険協会      		 1 1 0 0 0 0
      • 対象事業者への情報提供を実施
      全国銀行個人情報保護協議会 96 17 0 36 0 0
      • 対象事業者への情報提供を実施
      • 委員会の担当官および弁護士を招いて、法改正に係る研修会を実施
      一般社団法人
      信託協会       		1 0 0 23 0 0
      • 外部有識者の意見を聴取する懇談会を開催
      • 対象事業者への情報提供を実施
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      一般社団法人
      投資信託協会       		0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      • 金融庁の担当官を招いて、サイバーセキュリティ強化に向けた研修会を実施
      一般社団法人
      日本投資顧問業協会       		0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      日本貸金業協会 0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      • eラーニングによる学習講座を開設
      一般社団法人
      金融先物取引業協会       		0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • 対象事業者向けに、個人情報保護に係る研修会を開催
      一般財団法人
      放送セキュリティセンター       		14 8 0 0 0 0
      • 対象事業者への情報提供を実施
      • 「SARC個人情報保護セミナー」を開催
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      一般財団法人
      日本データ通信協会       		79 10 0 0 0 0
      • 対象事業者への情報提供を実施
      • 委員会の担当官を招いて、研修会を実施
      一般財団法人
      日本情報経済社会推進協会       		177 0 56 0 0 56
      • 対象事業者への監査を実施
      • 対象事業者への研修会を実施
      • CBPR認証業務を実施
      日本製薬団体連合会 0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      公益社団法人
      全日本病院協会       		0 0 0 12 0 0
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      特定非営利活動法人
      医療ネットワーク支援センター       		0 0 0 0 0 0
      • 対象事業者からの各種問合せに対応
      一般社団法人
      国際情報セキュリティーマネジメント研究所       		0 0 0 0 0 0
      • 対象事業者への情報提供、法改正に係る研修会を実施
      特定非営利活動法人
      日本手技療法協会       		0 0 0 0 0 0
      • 対象事業者への情報提供、研修会を実施
      一般社団法人
      日本個人情報管理協会       		0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      一般社団法人
      全日本ギフト用品協会       		0 0 0 0 0 0
      • 対象事業者からの各種問合せに対応
      • 個人情報保護指針の周知を徹底
      一般社団法人
      日本クレジット協会       		6 0 0 0 0 0
      • 機関誌に法改正や漏えい事案等の解説記事を掲載
      • 対象事業者への情報提供、研修会を実施
      • 各種研修会等への参加
      公益社団法人
      東京グラフィックサービス工業会       		0 0 0 0 0 1
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      • 機関誌にセキュリティ関連事項等の解説記事を掲載
      一般社団法人
      日本専門店協会       		0 0 0 0 0 0
      • 研修会における対象事業者への情報提供を実施
      • 対象事業者からの各種問合せに対応
      特定非営利活動法人
      日本個人・医療情報管理協会       		0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • JAPHIC認定審査員養成講座研修を実施
      公益社団法人
      日本消費生活アドバイザー・コンサルタント・相談員協会       		0 0 0 0 0 0
      • 対象事業者への情報提供、研修会を実施
      • 各種研修会等への参加
      一般社団法人
      結婚相談業サポート協会       		0 0 0 0 0 0
      • 機関誌に解説記事を掲載
      • 各種研修会等への参加
      一般社団法人
      日本結婚相手紹介サービス協議会       		0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • コンプライアンス向上のための講習会を開催
      株式会社IBJ
      (日本結婚相談所連盟)       		10 5 0 0 0 0
      • 新規の対象事業者向けに、個人情報の取扱いに係る研修会を実施
      • 既存の対象事業者向けに、トラブル事例などを踏まえたコンプライアンス全般に係る研修会を実施
      大阪毎日新聞販売店事業協同組合 0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      JECIA個人情報保護協会 0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      全国こころの会葬祭事業協同組合 0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • 対象事業者へ苦情問合せ対応を共有し、問題意識を共有
      一般社団法人
      医療データベース協会       		0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • 弁護士事務所と顧問契約を締結して、相談や指導活動を強化
      一般社団法人
      全国自動車標板協議会       		0 0 0 0 0 0
      • 協議会における個人情報保護体制を強化
      一般社団法人
      中小企業個人情報セキュリティー推進協会       		0 0 0 1 0 0
      • eラーニングを活用した対象事業者向けの学習教材を提供
      一般社団法人
      モバイル・コンテンツ・フォーラム       		1 1 0 0 0 0
      • 対象事業者への情報提供を実施
      公益社団法人
      日本通信販売協会       		0 0 0 0 0 0
      • 改正法および情報セキュリティについて、対象事業者向けの研修会を実施
      一般社団法人
      日本情報システム・ユーザー協会       		5 0 0 0 0 0
      • 対象事業者向けの情報提供を実施
      • 委員会の担当官を招いて、法改正に係る研修会を開催
      工業会
      日本万引防止システム協会 (※2)       		0 0 0 0 0 0
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      • 弁護士を招いた講演会を実施
      • JEAS個人情報保護指針を策定
      特定非営利活動法人
      全国万引犯罪防止機構 (※3)       		0 0 0 0 0 0
      • 機関誌に解説記事を掲載
      • 各種研修会等への参加
      421 73 56 72 0 57
      • (※1)「その他の措置」とは、認定個人情報保護団体が、個人情報保護法第53条に基づき自ら作成・公表した個人情報保護指針を対象事業者に遵守させるために行った措置で、「指導」及び「勧告」以外のものを指す。
      • (※2)令和2年9月30日に新たに認定された団体。
      • (※3)令和3年1月26日に新たに認定された団体。
  3. 匿名加工情報の作成等に係る公表状況
    (令和3年3月31日現在)
    業種業種 件数(割合)
    医療・福祉 医療・福祉 192件(30.4%)
    医療・福祉 病院 97件(15.3%)
    医療・福祉 健康保険組合 85件(13.4%)
    医療・福祉 その他医療・保険福祉 10件(1.6%)
    卸売業・小売業 卸売業・小売業 128件(20.3%)
    卸売業・小売業 調剤薬局 93件(14.7%)
    卸売業・小売業 その他 35件(5.5%)
    学術研究・専門技術サービス業(会計士・
    税理士事務所、 年金相談センター等を含む)
    		 学術研究・専門技術サービス業(会計士・税理士事務所、年金相談センター等を含む) 90件(14.2%)
    情報通信業(情報通信サービス業、
    インターネットサービス業を含む)
    		 情報通信業(情報通信サービス業、インターネットサービス業を含む) 90件(14.2%)
    金融業・保険業 金融業・保険業 33件(5.2%)
    製造業 製造業 24件(3.8%)
    その他 その他 75件(11.9%)
    合計 合計 632件

    ※ 上記の表中は個人情報保護委員会にて調査した件数を計上している。

  4. 行政機関等非識別加工情報に関する総合案内所の受付件数
    (期間:令和2年4月1日~令和3年3月31日、単位:件)
    分類
    合計
    		 問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)
    		 問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)    		 問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)    		 問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)
    分類 合計 提案方法 定義 契約関係 提案募集 総合案内
    質問・相談 57
    【147】    		 21
    【4】    		 20
    【43】    		 19
    【14】    		 16
    【34】    		 7
    【1】

    注:各欄における下段の【 】内は前年度の実績。

  5. 特定個人情報の取扱いに関する監視・監督に係る処理状況
    (期間:令和2年4月1日~令和3年3月31日)
    対応事項
    		対応事項 件数等
    特定個人情報の
    漏えい事案等の
    報告の受付件数
    		 特定個人情報の漏えい事案等の報告の受付件数
    156機関・207件(前年度:138機関・217件)
    (うち「重大な事態」(※1)に該当:8件(前年度:20件))
    (内訳)
    行政機関等 :8機関・28件(前年度:6機関・39件)
    (うち「重大な事態」に該当:2件(前年度:1件))
    地方公共団体:80機関・104件(前年度:95機関・131件)
    (うち「重大な事態」に該当:3件(前年度:17件))
    事業者   :68機関・75件(前年度:37機関・47件)
    (うち「重大な事態」に該当:3件(前年度:2件))
    特定個人情報の漏えい事案等の報告の受付件数 うち「重大な事態」の内容 ① 地方公共団体より事務を受託した事業者において、事務処理誤りにより、約1,520名分の特定個人情報を、同様の事務を当該事業者に委託していた他の地方公共団体に納品した事案
    特定個人情報の漏えい事案等の報告の受付件数 うち「重大な事態」の内容 ② 地方公共団体において、特定個人情報が保存された(委員会の調査において確認)ハードディスクが流出した事案
    特定個人情報の漏えい事案等の報告の受付件数 うち「重大な事態」の内容 ③ 事業者において、サーバーへの不正アクセスにより、約380名分の特定個人情報が漏えいした事案
    特定個人情報の漏えい事案等の報告の受付件数 うち「重大な事態」の内容 ④ 行政機関等において、約200名分の特定個人情報が記録されたバックアップ媒体を紛失した事案
    特定個人情報の漏えい事案等の報告の受付件数 うち「重大な事態」の内容 ⑤ 事業者において、メールアドレスの宛先間違いにより、約280名分の特定個人情報が誤送付された事案
    特定個人情報の漏えい事案等の報告の受付件数 うち「重大な事態」の内容 ⑥ 地方公共団体において、マスキング処理が不十分なまま約10,380名分の特定個人情報が記載された書類を、特定個人情報を取り扱わないこととなっている委託事業者に引き渡していた事案
    特定個人情報の漏えい事案等の報告の受付件数 うち「重大な事態」の内容 ⑦ 行政機関等において、約420名分の特定個人情報が記録された文書ファイルを紛失した事案
    特定個人情報の漏えい事案等の報告の受付件数 うち「重大な事態」の内容 ⑧ 事業者において、約730名分の特定個人情報が記録されたUSBを紛失した事案
    指導・助言等
    		指導・助言等40件(前年度:50件)
    報告徴収
    		報告徴収 10件(前年度:75件)
    立入検査
    		立入検査
    23件(前年度:48件)(※2、3)
    (内訳)行政機関等7件、地方公共団体15件、事業者1件
    (前年度:行政機関等10件、地方公共団体38件)
    あっせん申出
    受付件数
    		 あっせん申出受付件数 16件
    (前年度:25件)
    • (※1)「重大な事態」とは、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」第2条各号に掲げる事態である。
    • (※2)立入検査の実施件数は、立入検査開始日を基準として計上している。
    • (※3)オフサイト・モニタリング検査を実施した。
  6. 特定個人情報の安全管理措置等についての説明会の実施状況
    (期間:令和2年4月1日~令和3年3月31日)
    説明会の名称 回数 参加者数
    社会保障・税番号制度担当者説明会48回 約5,800人
    地方公共団体情報システム機構セミナー10回 約500人
    58回 約6,300人
  7. 特定個人情報保護評価書の承認日
    (期間:令和2年4月1日~令和3年3月31日)
    評価実施機関 評価書名 委員会承認日
    法務大臣戸籍関係情報の提供に関する事務全項目評価書 令和2年6月24日
    厚生労働大臣特別給付金・特別弔慰金に関する事務 全項目評価書 令和2年9月16日
    関東ITソフトウェア健康保険組合関東ITソフトウェア健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和2年9月16日
    東京都情報サービス産業健康保険組合東京都情報サービス産業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和2年9月16日
    産業機械健康保険組合産業機械健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和2年9月16日
    東京実業健康保険組合東京実業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和2年9月30日
    東京薬業健康保険組合東京薬業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和2年9月30日
    東京電子機械工業健康保険組合東京電子機械工業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和2年9月30日
    独立行政法人郵便貯金・簡易生命保険管理機構簡易生命保険契約に係る保険金等の支払に関する支払調書データ(税務署提出用)作成事務 全項目評価書 令和2年11月4日
    関東ITソフトウェア健康保険組合関東ITソフトウェア健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和3年2月1日
    東京都医業健康保険組合東京都医業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和3年2月1日
  8. 評価実施機関の特定個人情報保護評価書の公表状況
    (令和3年3月31日現在)
    評価実施機関
    評価書を
    公表
    した
    機関数
    評価対象
    事務数
    評価書種別
    		評価書種別 評価書種別
    評価実施機関 評価書を公表した機関数 評価対象事務数 基礎項目 重点項目 全項目
    行政機関の長 9 17 8 0 9
    地方公共団体の長その他の機関 2,186 32,935 30,793 1,560 582
    独立行政法人等 45 51 43 1 7
    地方独立行政法人 2 2 2 0 0
    地方公共団体情報システム機構 1 1 0 0 1
    情報連携を行う事業者 637 742 616 44 82
    2,880 33,748 31,462 1,605 681
    • ※ 全項目評価又は重点項目評価を実施する事務の場合は、全項目評価書又は重点項目評価書と併せて基礎項目評価書を公表することとなるが、この場合の基礎項目評価書の数は計上していない。
  9. 信頼性のある個人データ流通のための国際的な枠組み構築に関する対話実績(オンライン)
    (期間:令和2年4月1日~令和3年3月31日)
    対話の相手等 開催日
    OECDデジタル経済政策委員会(CDEP)デジタル経済データガバナンス・プライバシー作業部会(WPDGP)会合令和2年4月21日~22日
    欧州委員会司法総局との対話令和2年7月6日
    OECD民間部門が保有する個人データの無制限なガバメントアクセスに関する専門家コンサルテーション令和2年7月7日
    欧州委員会司法総局との対話令和2年7月20日
    米国商務省との対話令和2年7月27日
    第11回インターネットエコノミーに関する日米政策協力対話令和2年9月17日
    米国商務省、国務省、連邦取引委員会との対話令和2年9月28日
    第10回日EU・ICT戦略ワークショップ令和2年10月2日
    データローカライゼーション及び信頼性が確保されたガバメントアクセスに関するOECDラウンドテーブル(当委員会がOECD事務局と共催)令和2年10月5日~6日
    OECD CDEP WPDGP会合令和2年11月9日、17日
    OECD CDEP会合令和2年11月19日、30日
    欧州委員会司法総局との対話令和3年2月2日
    OECDガバメントアクセスに関するドラフティング・グループ第1回会合令和3年2月4日
    米国商務省、国務省、司法省等との対話令和3年2月24日
    OECDガバメントアクセスに関するドラフティング・グループ第2回会合令和3年2月25日
    OECDガバメントアクセスに関する拡大ドラフティング・グループ第1回会合令和3年3月9日
    OECDガバメントアクセスに関する拡大ドラフティング・グループ第2回会合令和3年3月23日
  10. 主な国際会議(オンライン)への参加(新型コロナウイルス感染症対策における個人データの取扱いを議題とするものは付表12参照)
    (期間:令和2年4月1日~令和3年3月31日)
    国際会議名 開催日
    OECDデータポータビリティに関する専門家ワークショップ令和2年4月17日
    OECD CDEP WPDGP会合(再掲)令和2年4月21日~22日
    第53回アジア太平洋プライバシー機関(APPA)フォーラム令和2年6月2日~4日
    OECD民間部門が保有する個人データの無制限なガバメントアクセスに関する専門家コンサルテーション(再掲)令和2年7月7日
    第11回インターネットエコノミーに関する日米政策協力対話(再掲)令和2年9月17日
    シンガポール個人情報保護委員会「APEC・CBPRによるビジネスの強化と信頼の構築」に関するセミナー令和2年9月23日
    第41回APEC貿易・投資委員会デジタル経済運営グループ(DESG)データ・プライバシー・サブグループ(DPS)会合令和2年9月28日
    第10回日EU・ICT戦略ワークショップ(再掲)令和2年10月2日
    データローカライゼーション及び信頼性が確保されたガバメントアクセスに関するOECDラウンドテーブル(当委員会がOECD事務局と共催)(再掲)令和2年10月5日~6日
    第42回世界プライバシー会議(GPA)年次総会令和2年10月13日~15日
    APEC DESG会合令和2年10月21日、29日
    CEATEC2020オンラインセミナー(当委員会開催)令和2年10月22日
    OECDデータポータビリティに関する専門家ワークショップ令和2年11月6日
    OECD CDEP WPDGP会合(再掲)令和2年11月9日、17日
    APEC DESG会合令和2年11月10日
    第9回アジアプライバシーブリッジフォーラム令和2年11月12日
    第40回欧州評議会条約第108号諮問委員会総会令和2年11月18日
    OECD CDEP会合(再掲)令和2年11月19日、30日
    第54回APPAフォーラム令和2年12月8日~10日
    APECプライバシー・コンバージェンス・ラウンドテーブル令和2年12月17日
    第14回コンピューター、プライバシー及びデータ保護国際会議(CPDP)令和3年1月27日~29日
    OECDガバメントアクセスに関するドラフティング・グループ第1回会合(再掲)令和3年2月4日
    第42回APEC DPS会合令和3年2月18日
    2021年第1回APEC DESG会合令和3年2月19日~20日
    OECDガバメントアクセスに関するドラフティング・グループ第2回会合(再掲)令和3年2月25日
    OECDガバメントアクセスに関する拡大ドラフティング・グループ第1回会合(再掲)令和3年3月9日
    OECDガバメントアクセスに関する拡大ドラフティング・グループ第2回会合(再掲)令和3年3月23日
  11. 外国機関との対話実績(オンライン)
    (期間:令和2年4月1日~令和3年3月31日)
    対話の相手等 開催日
    欧州委員会司法総局との対話(再掲)令和2年7月6日
    シンガポール個人情報保護委員会との対話令和2年7月15日
    欧州委員会司法総局との対話(再掲)令和2年7月20日
    米国商務省との対話(再掲)令和2年7月27日
    駐日米国大使館との対話(※)令和2年9月14日
    米国商務省、国務省、連邦取引委員会との対話(再掲)令和2年9月28日
    英国デジタル・文化・メディア・スポーツ省(DCMS)との対話令和2年10月12日
    欧州委員会司法総局との対話令和2年10月16日
    英国情報コミッショナーオフィス(ICO)との対話令和2年10月20日
    英国デジタル・文化・メディア・スポーツ省(DCMS)及び内務省との対話令和2年12月8日
    欧州委員会司法総局との対話令和2年12月22日
    欧州委員会司法総局との対話(再掲)令和3年2月2日
    米国商務省、国務省、司法省等との対話(再掲)令和3年2月24日
    • (※)新型コロナウイルス感染症対策を講じた上で、対面で実施。
  12. 新型コロナウイルス感染症対策における個人データの取扱いに関する国際的議論への参加
    (期間:令和2年4月1日~令和3年3月31日)
    国際会議名 開催日
    OECD・GPAオンラインワークショップ令和2年4月15日
    第1回GPA COVID-19タスクフォース会合令和2年5月26日
    第53回APPAフォーラム(再掲)令和2年6月2日~4日
    第2回GPA COVID-19タスクフォース会合令和2年6月10日
    第3回GPA COVID-19タスクフォース会合令和2年6月25日
    APEC DESG COVID-19に関する特別会合令和2年6月26日
    第1回GPA COVID-19タスクフォース主催ウェビナー令和2年7月6日
    第2回GPA COVID-19タスクフォース主催ウェビナー令和2年7月23日
    第4回GPA COVID-19タスクフォース会合令和2年7月29日
    CIPL(※1)・GPA COVID-19タスクフォース共催ウェビナー令和2年8月6日
    IAPP(※2)・GPA COVID-19タスクフォース共催ウェビナー令和2年8月25日
    第5回GPA COVID-19タスクフォース会合令和2年9月2日
    APPA COVID-19ウェビナー令和2年9月9日
    OECD・GPAオンラインワークショップ令和2年9月16日
    第6回GPA COVID-19タスクフォース会合令和2年10月1日
    第42回世界プライバシー会議(GPA)年次総会(再掲)令和2年10月13日~15日
    第9回アジアプライバシーブリッジフォーラム(再掲)令和2年11月12日
    第54回APPAフォーラム(再掲)令和2年12月8日~10日
    第1回GPA COVID-19ワーキンググループ会合令和3年1月15日
    第2回GPA COVID-19ワーキンググループ会合令和3年1月26日
    第3回GPA COVID-19ワーキンググループ会合令和3年2月10日
    第4回GPA COVID-19ワーキンググループ会合令和3年2月24日
    第5回GPA COVID-19ワーキンググループ会合令和3年3月10日
    第6回GPA COVID-19ワーキンググループ会合令和3年3月24日
    • (※1)Centre for Information Policy Leadership。プライバシー・セキュリティに関する国際的なシンクタンク。
    • (※2)International Association of Privacy Professionals(国際プライバシー専門家協会)。プライバシーやデータ保護の専門家の支援及び改善等を目的として2000年に設立された世界的な非営利組織。
  13. 個人情報保護法相談ダイヤルの受付件数
    (期間:令和2年4月1日~令和3年3月31日、単位:件)
    分類
    相談主体別
    		相談主体別 相談主体別
    問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)
    		 問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)    		 問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)    		 問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)    		 問合せ内容上位5項目
    (1件の問合せで複数の項目に該当する場合を含む。)
    分類 事業者 個人 その他(※2) 第三者提供 利用目的 安全管理措置 定義 開示等
    苦情
    (※1)    		 4,637
    【5,000】    		 102
    【72】    		 4,468
    【4,843】    		 67
    【85】    		 2,009
    【2,484】    		 1,114
    【1,161】    		 776
    【722】    		 149
    【235】    		 393
    【442】
    質問8,865【9,833】 6,945
    【7,230】    		 788
    【1,410】    		 1,132
    【1,193】    		 3,714
    【4,289】    		 2,116
    【2,264】    		 1,058
    【1,137】    		 1,297
    【1,851】    		 352
    【490】
    その他1,914
    【1,685】    		 291
    【240】    		 1,437
    【1,264】    		 186
    【181】    		 76
    【41】    		 29
    【17】    		 25
    【11】    		 68
    【65】    		 12
    【8】
    15,416
    【16,518】    		 7,338
    【7,542】    		 6,693
    【7,517】    		 1,385
    【1,459】    		 5,799
    【6,814】    		 3,259
    【3,442】    		 1,859
    【1,870】    		 1,514
    【2,151】    		 757
    【940】
    • (※1)事業者等における不適正な取扱い等に関する情報提供を含む。
    • (※2)国の行政機関、地方公共団体、弁護士その他からの相談。
    • 注:各欄における下段の【 】内は前年度の実績。
  14. マイナンバー苦情あっせん相談窓口における内容別受付件数
    (期間:令和2年4月1日~令和3年3月31日、単位:件)
    分類 通知カード・マイナンバーカードの取扱い 提供の求め・本人確認 利用目的 漏えい・紛失等 管理体制 個人情報保護法 苦情等窓口対応 不審な事案に関する情報提供 意見等
    苦情(※1)30
    【35】    		 0
    【0】    		 2
    【1】    		 2
    【0】    		 14
    【24】    		 11
    【8】    		 0
    【0】    		 0
    【2】    		 1
    【0】    		 0
    【0】
    相談882
    【857】    		159
    【32】    		 145
    【220】    		 38
    【24】    		 65
    【98】    		 333
    【353】    		 16
    【10】    		 29
    【31】    		 5
    【3】    		 92
    【86】
    その他(※2)30
    【19】    		12
    【7】    		 0
    【1】    		 0
    【0】    		 1
    【0】    		 0
    【1】    		 0
    【0】    		 12
    【7】    		 0
    【0】    		 5
    【3】
    942
    【911】    		171
    【39】    		 147
    【222】    		 40
    【24】    		 80
    【122】    		 344
    【362】    		 16
    【10】    		 41
    【40】    		 6
    【3】    		 97
    【89】
    • (※1)事業者等における不適切な取扱い等に関する情報提供を含む。
    • (※2)マイナンバー法又はマイナンバー制度に関する意見で他機関を紹介しているものを含む。
    • 注:各欄における下段の【 】内は前年度の実績。
  15. 個人情報保護法に関する説明会の実施状況
    (期間:令和2年4月1日~令和3年3月31日)
    説明会の分類 回数 参加者数
    事業者団体等を対象とした説明会34回 約7,000人
    社会保障・税番号制度担当者説明会48回 約5,800人
    その他の説明会14回 約2,000人
    96回 約14,800人
    うちAPEC CBPRシステムについて説明を行ったもの 48回 約9,000人
  16. 職員研修
    1. 委員会において主催した主なもの
      実施日 研修名
      令和2年4月1日~9日新規採用職員研修
      令和2年7月17日~12月31日IT研修
      令和2年9月25日検査担当職員研修
      令和2年11月5日~26日全職員向け情報セキュリティ研修
      令和2年11月12日~26日幹部向け情報セキュリティ研修
      令和2年11月27日委員向け情報セキュリティ研修
      令和2年11月30日新規採用職員向けマイナンバー習熟テスト
      令和3年3月15日公文書管理研修
      令和3年3月15日情報公開・行政機関個人情報保護研修
      • ※ 上記のほか、対象職員に対し、転入者研修を実施したほか、ITパスポート、個人情報保護士認定試験の受検を支援。
      • ※ 新型コロナウイルス感染症の感染拡大予防のため、例年実施している研修の多くを中止。
    2. 外部研修として受講した主なもの
      実施日 研修名
      令和2年5月18日~6月12日第1回総務省統計研究研修所オンライン研修「初めて学ぶ統計」(総務省)
      令和2年7月13日令和2年度 第1回CYMAT/CSIRT研修(内閣サイバーセキュリティセンター)
      令和2年7月16日令和2年度 第1回NISC勉強会(内閣サイバーセキュリティセンター)
      令和2年7月29日令和2年度公文書管理研修Ⅰ(行政機関向け第1回)(国立公文書館)
      令和2年8月4日令和2年度公文書管理研修Ⅰ(行政機関向け第2回)(国立公文書館)
      令和2年8月4日「ハラスメント防止研修」指導者養成コース(人事院)
      令和2年9月2日~12月4日第160回会計事務職員研修(財務省)
      令和2年9月3日統計研究研修所研修「統計幹部講座」(総務省)
      令和2年9月8日令和2年度 第2回CYMAT/CSIRT研修(内閣サイバーセキュリティセンター)
      令和2年9月8日~10月5日令和2年度国家公務員の服務・懲戒制度eラーニング研修(人事院)
      令和2年10月7日第75回予算編成支援システム研修(財務省)
      令和2年10月28日~12月8日働き方改革と女性活躍、ワークライフバランス推進に係る管理職員向けeラーニング(内閣人事局)
      令和2年10月30日~令和3年3月19日令和2年度e-ラーニングによる新任管理者等のためのメンタルヘルス講習及びハラスメント防止講習(内閣人事局)
      令和2年10月30日~令和3年3月19日令和2年度e-ラーニングによる新任幹部職員及び新任課長級職員のためのハラスメント防止講習(内閣人事局)
      令和2年10月~令和3年1月令和2年度 CISSP入門講座(内閣サイバーセキュリティセンター)
      令和2年11月10日令和2年度 第3回CYMAT/CSIRT研修(内閣サイバーセキュリティセンター)
      令和2年11月27日令和2年度 第2回NISC勉強会(内閣サイバーセキュリティセンター)
      令和2年12月1日~31日「公務員倫理」及び「ハラスメント防止」研修(人事院)
      令和2年12月25日
      令和3年1月14日、27日、29日      		 実践的サイバー防御演習 CYDER(総務省、国立研究開発法人情報通信研究機構)
      令和3年1月13日幹部に対する役割認識の徹底のための研修(人事院)
      令和3年2月8日~10日第5回会計監査事務職員研修(財務省)
      令和3年2月17日令和2年度 CYMAT/CSIRT研修総括講義(内閣サイバーセキュリティセンター)
      令和2年度第1四半期情報システム統一研修(令和2年度第1/四半期)(総務省)
      令和2年度第2四半期情報システム統一研修(令和2年度第2/四半期)(総務省)
      令和2年度第3四半期情報システム統一研修(令和2年度第3/四半期)(総務省)
      令和2年度第4四半期情報システム統一研修(令和2年度第4/四半期)(総務省)
      令和2年度 通年令和2年度 一元的な文書管理システムeラーニング(総務省)
  17. 意見募集手続
    (期間:令和2年4月1日~令和3年3月31日)
    件名 意見募集対象の命令等の題名 案の
    公示日    		 結果の
    公示日    		 提出意見数
    「特定個人情報の適正な取扱いに関するガイドラインの一部を改正する件(告示案)」に関する意見募集について特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)の一部を改正する件及び特定個人情報の適正な取扱いに関するガイドライン(事業者編)の一部を改正する件 令和2年3月25日 令和2年5月25日 4件
    個人情報の保護に関する法律についてのガイドライン(通則編)の改正に関する意見募集について個人情報の保護に関する法律についてのガイドライン(通則編) 令和2年
    6月24日    		 令和2年
    9月1日    		 45件
    「個人情報の保護に関する法律施行規則等の一部を改正する規則案等」に関する意見募集について
    • 個人情報の保護に関する法律施行規則等の一部改正規則(令和2年個人情報保護委員会規則第3号)
    • 認定個人情報保護団体の認定等に関する指針の一部改正(令和2年個人情報保護委員会告示第12号)
    		 令和2年
    10月14日    		 令和2年
    12月9日    		 5件
    「行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第八号に基づく特定個人情報の提供に関する規則の一部を改正する規則案」 に関する意見募集について行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第八号に基づく特定個人情報の提供に関する規則の一部を改正する規則 令和2年
    10月21日    		 令和2年
    12月28日    		 1件
    「特定個人情報保護評価指針の一部を改正する件(案)」に関する意見募集について特定個人情報保護評価指針の一部を改正する件(令和3年個人情報保護委員会告示第1号) 令和2年
    12月14日    		 令和3年
    2月5日    		 2件
    「個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則の一部を改正する規則(案)」に関する意見募集について
    • 個人情報の保護に関する法律施行令及び個人情報保護委員会事務局組織令の一部を改正する政令(令和3年政令第56号)
    • 個人情報の保護に関する法律施行規則の一部を改正する規則(令和3年個人情報保護委員会規則第1号)
    		 令和2年
    12月25日    		 令和3年
    3月24日    		 556件
    「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則の一部を改正する規則案」に関する意見募集について特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則の一部を改正する規則(令和3年個人情報保護委員会規則第2号) 令和2年
    12月25日    		 令和3年
    3月24日    		 7件