令和4年度 個人情報保護委員会 年次報告

個人情報保護委員会

pdf版はこちら (PDF : 847KB)リンク先PDFファイルを別ウィンドウで開きます

本年次報告は、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第168条の規定に基づき、個人情報保護委員会(以下「委員会」という。)の令和4年度(令和4年4月1日から令和5年3月31日まで)の所掌事務の処理状況を国会に報告するものである。

本年次報告における個人情報保護法の条文番号及び条文について、特段の記載がない限り、「第1章 委員会の組織等及び所掌事務」においては、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号。以下「デジタル社会形成整備法」という。)第51条の施行(令和5年4月1日)後の条文番号及び条文を記載し、「第2章 委員会の所掌事務の処理状況」及び「付表」においては、デジタル社会形成整備法第51条の施行前の個人情報保護法の条文番号及び条文を記載している。

また、「第2章 委員会の所掌事務の処理状況」及び「付表」は、デジタル社会形成整備法第51条の施行前の所掌事務の処理状況を記載している。

個人情報保護委員会の組織理念
~人と社会の信頼の基礎を築くために~

令和4年3月30日
個人情報保護委員会

個人情報保護委員会は、個人情報の保護に関する法律(平成15年法律第57号。以下単に「法」という。)に基づき設置された合議制の機関です。その使命は、独立した専門的見地から、同法の目的規定にあるとおり、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報(特定個人情報を含む。)の適正な取扱いの確保を図ることです。

これを踏まえ、プライバシーを含む個人の人格と密接な関連を有する個人情報が適正に取り扱われることへの信頼の基礎を築き、国民の安心・安全を確保できるよう、私たちは、ここに組織理念を掲げます。

  1. 個人情報等をめぐる国内外の状況変化等に対する制度的な取組

    官民や地域の枠を越え、さらには国境を越えた様々な主体によるデータ連携、諸外国におけるデータ保護をめぐる制度の見直し等の国際的な議論やAI等のデジタル技術の急速な進展等、個人情報等をめぐる国内外の状況変化等に適時適切に対応するため、多様な関係者とコミュニケーションを図りながら、個人情報の有用性に配慮しつつ、個人の権利利益を保護するための制度的な取組を行います。

  2. 個人情報の取扱状況等を的確に把握し機動的に対応する監視・監督

    漏えい等報告や個人情報の取扱状況等に関する相談・情報を活用することに加え、特に行政機関等に対しては定期的・計画的な実地調査を行うことにより、公的部門及び民間部門の各主体に対する効率的かつ効果的な監視・監督を行います。また、同様の事案の再発防止等に資する観点から、個別の事案から得られる課題や対応策等について、積極的に情報発信していきます。

  3. 信頼性が確保された自由なデータ流通(DFFT)の推進をはじめとする戦略的取組

    個人情報等を含むデータが安全・円滑に越境移転できる国際環境を構築するため、国際的な枠組みでの議論や米国・欧州等の各国・地域との対話等を通じて、DFFTの発信や連携強化を図ります。さらに、最新の国際動向の把握に努めるとともに、外国の個人情報保護当局との執行協力体制の強化に取り組みます。

  4. 特定個人情報の安心・安全の確保に向けた取組

    我が国の重要な社会基盤(インフラ)である個人番号制度に基づき、特定個人情報が行政機関等や事業者において適正に取り扱われるよう、指導・助言、検査等を適時適切に行います。また、そこで明らかになった課題等を踏まえ、特定個人情報の適正な取扱いが浸透するよう、様々な手法を用いて支援を行います。

    また、特定個人情報を利用する行政機関等が総合的なリスク対策を自ら評価し公表する制度(特定個人情報保護評価)の適切な運営に取り組みます。

  5. 多様な主体に対する分かりやすい情報発信

    法の正しい理解の促進や個人が自らの個人情報等の保護や利活用についての認識や理解を高めるため、行政機関、地方公共団体、事業者等に加え、国民一人ひとりの多様な主体に対して広くタイムリーな情報発信を行います。その際、それぞれの主体が持つ課題やニーズに即した多様なアプローチにより、分かりやすい広報・啓発に取り組みます。

  6. 個人情報保護制度の司令塔としてふさわしい組織体制の整備

    高い専門的・技術的知見を蓄積しつつ、個人情報保護制度に関する企画立案、総合調整、監視・監督等の役割を適切に果たし、その実効性を確保するための体制強化を進めます。また、関係省庁や認定個人情報保護団体などをはじめとする関係機関とも緊密に連携協力していきます。さらに、委員会としても、情報セキュリティ対策を徹底します。

目次

第1章 委員会の組織等及び所掌事務

第1節 委員会の組織等

委員会は、個人情報、特定個人情報等を取り扱う事業者、行政機関等に対し、個人情報保護法及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「マイナンバー法」という。)に基づき、監視・監督等を行う機関であり、国の行政機関を含むあらゆる監視・監督対象からの独立性が必要であることから、内閣府設置法(平成11年法律第89号)第49条第3項の規定に基づく内閣府の外局である合議制の機関として設置された。また、委員長及び委員は、両議院の同意を得て、内閣総理大臣が任命し(個人情報保護法第134条第3項)、その職権行使の際の独立性が明示的に定められている(個人情報保護法第133条)。

  1. 組織

    委員会は、委員長及び委員8人で構成され、任期は5年(ただし、補欠の委員長又は委員の任期は、前任者の残任期間)である(個人情報保護法第134条第1項及び第135条第1項)。令和5年3月31日時点における委員長及び委員は、丹野美絵子委員長、小川克彦委員、中村玲子委員、大島周平委員、浅井祐二委員、加藤久和委員、藤原靜雄委員、梶田恵美子委員及び髙村浩委員である。

    委員長及び委員には、個人情報の保護及び適正かつ効果的な活用に関する学識経験のある者、消費者の保護に関して十分な知識と経験を有する者、情報処理技術に関する学識経験のある者、行政分野に関する学識経験のある者、民間企業の実務に関して十分な知識と経験を有する者並びに連合組織(地方自治法(昭和22年法律第67号)第263条の3第1項の連合組織で同項の規定による届出をしたものをいう。)の推薦する者が含まれるものとされている(個人情報保護法第134条第4項)。

    また、委員長及び委員については、独立した職権行使を保障するための身分保障の規定が設けられている(個人情報保護法第136条)。

    さらに、委員会には、専門の事項を調査させるため、専門委員を置くことができることとされており(個人情報保護法第140条第1項)、令和5年3月31日時点において5人の専門委員が任命されている。

    委員会の事務を処理させるため、委員会に事務局が置かれており(個人情報保護法第141条)、令和5年3月31日時点の定員は195人となっている。事務局には、令和5年3月31日時点において事務局長のほか次長、審議官、総務課及び参事官6人が置かれている。

  2. 予算

    令和4年度の委員会の予算額(補正後)は、30億6,061万円である。

  3. 組織理念

    委員会は、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ることを任務としている(個人情報保護法第131条)。この任務を十分認識し職務を遂行するため、プライバシーを含む個人の人格と密接な関連を有する個人情報が適正に取り扱われ、国民の安心・安全を確保できるよう、本年次報告冒頭のとおり組織理念を掲げている。

第2節 委員会の所掌事務の概要

デジタル社会形成整備法第51条の施行後の委員会の所掌事務については、個人情報の保護に関する基本方針(平成16年4月2日閣議決定、令和4年4月1日一部変更。以下「基本方針」という。)の策定及び推進、個人情報等(個人情報、仮名加工情報、匿名加工情報及び個人関連情報をいう。以下同じ。)の取扱いに関する監視又は監督、特定個人情報の取扱いに関する監視又は監督等が規定されている(個人情報保護法第132条)。

その具体的な事務を「個人情報保護法に関する事務」、「マイナンバー法に関する事務」、「個人情報保護法及びマイナンバー法に共通する事務」に大別すると、次のとおりである。

  1. 個人情報保護法に関する事務

    平成27年9月に成立した個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号。以下「平成27年改正法」という。)の一部施行により、平成28年1月1日から委員会が個人情報保護法を所管することとなり、個人情報保護関連の制度が政府全体として統一的かつ整合的に運用されるよう、基本方針の策定と関連施策の総合的かつ一体的な推進を図る役割を担うこととなった。また、平成27年改正法による改正後の個人情報保護法の全面施行日(平成29年5月30日)以降は、各主務大臣が行使していた監督権限について、委員会が一元的に所掌することとなった。

    さらに、令和3年5月に成立したデジタル社会形成整備法により、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号。以下「行政機関個人情報保護法」という。)及び独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号。以下「独立行政法人等個人情報保護法」という。)が個人情報保護法に統合されるとともに、地方公共団体の個人情報保護制度についても統合後の個人情報保護法において全国的な共通ルールを規定し、全体の所管が委員会に一元化されることとなった。

    1. 個人情報取扱事業者等の監督
      • マル1 報告及び立入検査(個人情報保護法第146条)

        委員会は、個人情報保護法の規定の施行に必要な限度において、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者(以下「個人情報取扱事業者等」という。)その他の関係者に対し、個人情報等の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。

      • マル2 指導及び助言(個人情報保護法第147条)

        委員会は、個人情報保護法の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。

      • マル3 勧告及び命令(個人情報保護法第148条)
        • ア 委員会は、個人情報取扱事業者等が個人情報保護法の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
        • イ 委員会は、上記アによる勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
        • ウ 委員会は、上記ア又はイにかかわらず、個人情報取扱事業者等が個人情報保護法の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
    2. 認定個人情報保護団体に関する事務
      • ① 認定(個人情報保護法第47条、第49条)

        個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者の個人情報、仮名加工情報又は匿名加工情報の適正な取扱いの確保を目的として、苦情の処理、対象事業者に対する情報の提供等を行おうとする法人は、委員会の認定を受けることができる。委員会は認定の申請を受け、個人情報保護法第49条に定める認定の基準に基づき、認定個人情報保護団体(以下「認定団体」という。)の認定を行う。

      • ② 報告の徴収(個人情報保護法第153条)

        委員会は、個人情報保護法の規定の施行に必要な限度において、認定団体に対し、認定に係る業務(以下「認定業務」という。)に関し報告をさせることができる。

      • ③ 命令(個人情報保護法第154条)

        委員会は、個人情報保護法の規定の施行に必要な限度において、認定団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。

      • ④ 認定の取消し(個人情報保護法第155条)

        委員会は、認定団体が上記③の命令に従わないとき等は、その認定を取り消すことができる。

    3. 行政機関等の監視等
      • ① 資料の提出の要求及び実地調査(個人情報保護法第156条)

        委員会は、個人情報保護法の規定の円滑な運用を確保するため必要があると認めるときは、行政機関の長、地方公共団体の機関、独立行政法人等及び地方独立行政法人(以下この項において「行政機関の長等」という。)に対し、行政機関等における個人情報等の取扱いに関する事務の実施状況について、資料の提出及び説明を求め、又はその職員に実地調査をさせることができる。

      • ② 指導及び助言(個人情報保護法第157条)

        委員会は、個人情報保護法の規定の円滑な運用を確保するため必要があると認めるときは、行政機関の長等に対し、行政機関等における個人情報等の取扱いについて、必要な指導及び助言をすることができる。

      • ③ 勧告(個人情報保護法第158条)

        委員会は、個人情報保護法の規定の円滑な運用を確保するため必要があると認めるときは、行政機関の長等に対し、行政機関等における個人情報等の取扱いについて勧告をすることができる。

      • ④ 勧告に基づいてとった措置についての報告の要求(個人情報保護法第159条)

        委員会は、上記③により行政機関の長等に対し勧告をしたときは、当該行政機関の長等に対し、その勧告に基づいてとった措置について報告を求めることができる。

      • ⑤ 施行状況の報告の要求(個人情報保護法第165条)

        委員会は、行政機関の長等に対し、個人情報保護法の施行の状況について報告を求めることができる。

  2.  マイナンバー法に関する事務
    1. 特定個人情報の取扱いに関する監視又は監督
      • ① 報告、立入検査等(マイナンバー法第29条の3、第29条の4、第35条)
        • ア 委員会は、マイナンバー法の施行に必要な限度において、特定個人情報を取り扱う者その他の関係者に対し、特定個人情報の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該特定個人情報を取り扱う者その他の関係者の事務所その他必要な場所に立ち入らせ、特定個人情報の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
        • イ 特定個人情報ファイルを保有する行政機関、独立行政法人等及び地方公共団体情報システム機構は、個人情報保護委員会規則(以下「委員会規則」という。)で定めるところにより、定期的に、当該特定個人情報ファイルに記録された特定個人情報の取扱いの状況について委員会による検査を受けることとされている。また、特定個人情報ファイルを保有する地方公共団体及び地方独立行政法人(以下「地方公共団体等」という。)は、委員会規則で定めるところにより、定期的に、委員会に対して当該特定個人情報ファイルに記録された特定個人情報の取扱いの状況について報告することとされている。
        • ウ 個人番号利用事務等実施者は、特定個人情報ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして委員会規則で定めるものが生じたときは、委員会規則で定めるところにより、当該事態が生じた旨を委員会に報告しなければならないとされている。
      • ② 指導及び助言(マイナンバー法第33条)

        委員会は、マイナンバー法の施行に必要な限度において、個人番号利用事務等実施者に対し、特定個人情報の取扱いに関し、必要な指導及び助言をすることができる。

      • ③ 勧告及び命令(マイナンバー法第34条)
        • ア 委員会は、特定個人情報の取扱いに関して法令の規定に違反する行為が行われた場合において、特定個人情報の適正な取扱いの確保のために必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。勧告の対象者には、特定個人情報を法令に基づいて取り扱う者のほか、違法に特定個人情報を取り扱う者も含まれる。
        • イ 委員会は、上記アによる勧告を受けた者が、正当な理由がなくてその勧告に係る措置をとらなかったときは、その者に対し、期限を定めて、その勧告に係る措置をとるべきことを命ずることができる。
        • ウ 委員会は、上記ア又はイにかかわらず、特定個人情報の取扱いに関して法令の規定に違反する行為が行われた場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を命ずることができる。
      • ④ 情報提供ネットワークシステム等に関する措置の要求(マイナンバー法第37条)
        • ア 委員会は、マイナンバーその他の特定個人情報の取扱いに利用される情報提供ネットワークシステムその他の情報システムの構築及び維持管理に関し、費用の節減その他の合理化及び効率化を図った上でその機能の安全性及び信頼性を確保するよう、内閣総理大臣その他の関係行政機関の長に対し、必要な措置を実施するよう求めることができる。
        • イ 委員会は、上記アにより措置の実施を求めたときは、当該関係行政機関の長に対し、その措置の実施状況について報告を求めることができる。
    2. 特定個人情報保護評価(マイナンバー法第27条、第28条)

      行政機関の長、地方公共団体の機関、独立行政法人等、地方独立行政法人及び地方公共団体情報システム機構並びにマイナンバー法第19条第8号に規定する情報照会者及び情報提供者並びに同条第9号に規定する条例事務関係情報照会者及び条例事務関係情報提供者(以下この項及び第2章Ⅱ第2節において「行政機関の長等」という。)が特定個人情報ファイルを保有しようとするときは、当該特定個人情報ファイルを保有する前に、委員会規則等に定める手続に従い、特定個人情報保護評価を実施することとされている。

      また、行政機関の長等が作成した特定個人情報保護評価書に重要な変更(リスク対策に係る変更等)が生じるなどの場合は、特定個人情報保護評価の再実施を行うこととされている(マイナンバー法第28条)。

      委員会は、マイナンバー法第27条及び第28条の規定に基づき、特定個人情報保護評価の実施に関し必要な措置等を規定する委員会規則の制定及び指針の作成を行うとともに、委員会規則で定めるところにより、行政機関の長等が提出した特定個人情報保護評価書について承認を行う。

      特定個人情報保護評価は、特定個人情報ファイルの適正な取扱いを確保することにより特定個人情報の漏えいその他の事態の発生を未然に防ぎ、個人のプライバシー等の権利利益を保護することを基本理念とし、事前対応による特定個人情報の適正な取扱いの確保及びマイナンバー制度に対する国民の信頼の確保を目的とした制度上の保護措置の一つである。

      具体的には、行政機関の長等が、特定個人情報ファイルを保有する前に、当該特定個人情報ファイルの取扱いに伴う特定個人情報の漏えいその他の事態を発生させるリスク及び当該リスクを軽減するために講じている措置を自ら評価し、特定個人情報保護評価書において対外的に明らかにするものである。

    3. 「行政手続における特定の個人を識別するための番号の利用等に関する法律第19条第9号に基づく特定個人情報の提供に関する規則」に基づく届出の受付

      地方公共団体は、マイナンバー法第19条第9号において、同法第9条第2項の規定に基づき条例で定める事務(以下「独自利用事務」という。)のうち、同法別表第2の第2欄に掲げる事務に準じて迅速に特定個人情報の提供を受けることによって効率化を図るべきものとして行政手続における特定の個人を識別するための番号の利用等に関する法律第19条第9号に基づく特定個人情報の提供に関する規則(平成28年個人情報保護委員会規則第5号)で定めるものについて、情報提供ネットワークシステムを用いた情報連携を行うことができるものとされている。

      独自利用事務の情報連携を行う地方公共団体は、委員会規則で定めるところにより、あらかじめ委員会に届け出なければならないとされており、委員会は、委員会規則で定める要件を満たす届出について内閣総理大臣に通知する。

  3. 個人情報保護法及びマイナンバー法に共通する事務

    委員会は、個人情報保護法第132条に基づき、事業者等の保有する個人情報、仮名加工情報、匿名加工情報及び特定個人情報の取扱いに関する苦情が寄せられた場合、相談窓口において、相談者に対し事案の内容に応じた説明を行うほか、必要に応じて、相談者からの苦情の申出についてあっせんを行うとともに、苦情の処理を行う事業者に対して解決に向けた協力を行う。このほか、委員会は、①個人情報(特定個人情報を含む。)の保護及び適正かつ効果的な活用についての広報及び啓発、②所掌事務を行うために必要な調査及び研究、③所掌事務に係る国際協力に関すること等も行うこととされている。

第2章 委員会の所掌事務の処理状況

令和4年度においては、個人情報保護委員会会議を計34回(第205回から第238回まで)開催1し、必要な審議、決定等を行った。

1令和4年度における委員会の開催状況(委員会ウェブサイト)
https://www.ppc.go.jp/enforcement/minutes/2022/

Ⅰ 個人情報保護法等に関する事務

第1節 令和2年改正法の円滑かつ適切な施行等に関する取組

  1. 周知広報

    令和4年4月1日に全面施行された個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号。以下「令和2年改正法」という。)の円滑かつ適切な施行及び運用のため、事業者等に対して随時説明会等を実施したほか、各種広報資料を作成・公表等し、幅広く周知広報を行った。

  2. 個人データの越境移転規制の取組

    令和2年改正法により、個人データの越境移転規制(個人情報保護法第28条)について、外国にある第三者への個人データの提供に際して、個人情報取扱事業者から本人への情報提供の充実等を求めることとした。これに関し、一定の国又は地域における個人情報の保護に関する制度と我が国の個人情報保護法との間の本質的な差異の把握に資する情報を令和4年1月24日及び同年4月28日に公表するなど、参考情報を提供した(計40の国又は地域について公表)。

第2節 個人情報保護制度の一元化

  1. 政令、規則、ガイドライン等の改正

    デジタル社会形成整備法による個人情報保護法の改正等(以下「令和3年改正法」という。)のうち、デジタル社会形成整備法第51条による改正部分(地方公共団体等に係るもの)が、令和5年4月1日から施行されることを踏まえ、必要な政令、規則、ガイドライン等の改正を行った。具体的には、令和4年1月26日に開催した第197回個人情報保護委員会において、個人情報の保護に関する法律施行令等の一部を改正する政令案、個人情報の保護に関する法律施行規則の一部を改正する規則案及び個人情報の保護に関する法律についてのガイドライン(行政機関等編)(以下「公的部門ガイドライン」という。)の一部を改正する告示案を取りまとめた上で、これらに対する意見募集を実施し、それを踏まえて同年4月20日に個人情報の保護に関する法律施行令、個人情報の保護に関する法律施行規則及び公的部門ガイドラインの改正を行った。また、上記改正に対応させる形で、同月28日、主に行政機関等の実務担当者向けとして、事務処理の手順やその際に参考となる法令の条項等の考え方等を整理した、個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)(以下「事務対応ガイド」という。)の改正を行うとともに、公的部門ガイドラインや事務対応ガイドにおける具体的事例等を示した、個人情報の保護に関する法律についてのQ&A(行政機関等編)の改正を行った。

  2. 地方公共団体等への取組

    地方公共団体等に対しては、令和3年改正法の施行に向けた条例整備をはじめとした準備に関し、様々な支援等を行った。

    具体的には、全国を5つの地方ブロックに区分し、当該地方ブロックごとに担当者を配置した上で、個人情報保護法の解釈や、同法に基づき定める条例案の内容等に関する照会を受け、必要な助言等を行った。また、各地方公共団体における令和3年改正法の施行準備に関する各種通知等を発出するなど条例整備のための様々な情報提供を行うとともに、条例案等の議会上程予定時期について、その結果を令和4年9月28日に開催した第218回個人情報保護委員会、同年12月21日に開催した第227回個人情報保護委員会及び令和5年3月29日に開催した第238回個人情報保護委員会において報告した。また、第238回個人情報保護委員会においては、令和3年改正法施行後の地方公共団体等に対する対応の方向性等についても報告した。

    このほか、地方公共団体からの依頼に応じて、現地開催の説明会等への講師派遣(計16件)を積極的に行うとともに、委員会主催の「令和3年改正個人情報保護法の施行に向けた対応並びに同法及び番号法に基づく監視・監督等に関する説明会」において、令和3年改正法の概要及び施行に向けて必要となる対応についての説明を、令和5年1月19日を初回として計4回実施した。また、個人情報保護法施行条例の整備について課題を有するとの状況が判明した一部事務組合及び広域連合を対象に、委員会主催の「令和3年改正個人情報保護法の施行に向けた説明会」を、同年2月2日を初回として計2回実施した。さらに、地方独立行政法人等を対象とした委員会主催の「令和3年改正個人情報保護法の施行に向けた対応に関する説明会」において、令和3年改正法の概要及び施行に向けて必要となる対応についての説明を、同年3月23日を初回として計2回実施した。

  3. 特定分野ガイドラインの改正

    医療、金融・信用、情報通信等の分野については、取り扱う個人情報の性質、利用方法等の特殊性等を踏まえ、委員会のガイドラインを基礎として、個人情報保護法第6条及び第9条に基づき、更に必要となる別途の規律を定めた特定分野ガイドラインを策定している。この特定分野ガイドラインについても、令和3年改正法の全面施行に向けて所要の改正を行った。特に、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスについては、令和4年5月26日に追加・改正を行った、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下「Q&A」という。)の内容(第7節1(1)参照)を同ガイダンスにおいても反映した。

第3節 令和3年改正法全面施行に向けた監視・監督の取組

令和3年改正法のうち、デジタル社会形成整備法第51条による改正部分(地方公共団体等に係るもの)が令和5年4月1日に施行されることを受け、地方公共団体等に対する監視・監督の手法の検討等を行った。具体的には、令和4年8月31日に開催した第214回個人情報保護委員会において、「今後の地方公共団体等に対する監視・監督活動の方向性」を決定するとともに、令和5年1月19日を初回として計4回実施した「令和3年改正個人情報保護法の施行に向けた対応並びに同法及び番号法に基づく監視・監督等に関する説明会」において、その内容を説明した。

また、令和5年2月15日に開催した第232回個人情報保護委員会において、「令和3年改正個人情報保護法全面施行に向けた地方公共団体等への安全管理措置等に関する周知・啓発の方向性」を決定した。

その他、令和4年6月に発生した尼崎市における個人情報を含むUSBメモリ紛失事案を受け、同年6月24日に、地方公共団体等に対し、令和5年度を見据えた安全管理措置並びに漏えい等報告及び本人通知の義務化への対応について記載した通知を発出した。

第4節 基本方針の一部変更

個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報保護法第7条第1項の規定に基づき政府が定めることとされている基本方針の一部変更案について、令和4年3月9日に開催した第201回個人情報保護委員会での決定及び同条第5項の規定において準用する同条第3項の規定に基づく閣議請議の手続を経て、同年4月1日に閣議決定された。これに伴い、各府省庁や事業者等に対し、変更後の基本方針について周知を行った。

第5節 個人情報等の適正な取扱いに関係する政策の基本原則の策定

委員会の所掌事務として「基本方針の策定及び推進に関すること」を定める個人情報保護法第129条第1号のほか、同法第4条、第8条、第9条、第128条及び第169条の規定に基づき、国の行政機関が官民の各主体による個人情報等の取扱いに関係する政策を企画立案・実施するに当たり、当該政策目的の実現と、個人情報等の適正な取扱いによる個人の権利利益の保護との整合性を確保しつつ取り組むための基本的な視座を示すものとして、令和4年5月25日に開催した第207回個人情報保護委員会において、個人情報等の適正な取扱いに関係する政策の基本原則(以下「基本原則」という。)を策定し、各府省庁への周知を行った。

第6節 個人情報保護法に基づく監督等

  1. 個人情報取扱事業者等に対する監督
    1. 漏えい等事案に関する報告の処理状況等   

      令和4年度においては、個人データの漏えい等事案について7,685件の個人情報保護法第26条第1項に基づく報告があった。このうち、委員会に対する直接報告は4,217件、委任先省庁を経由したものは3,468件であった。前年度の受付件数5,846件(うち委員会に対する直接報告1,042件、委任先省庁経由分2,386件、認定団体経由分2,418件)に比して件数が増加しているが、これは令和2年改正法により報告対象を個人の権利利益を害するおそれが大きいものとして委員会規則に定める一定の事態とした一方で、報告が義務化されたこと及びその周知が進んだこと等によるものと考えられる(付表1(1))。

      上記の報告事案のうち1件当たりの事案で漏えい等した人数は1,000人以下が最も多く(93.8%)、5万人を超える事案の割合は0.5%だった。

      委員会に対し直接報告された事案において、漏えい等した情報の種類は顧客情報が最も多く(83.9%)、その形態別に見ると、紙媒体のみが漏えい等したもの(95.1%)が、電子媒体のみが漏えい等したもの(0.2%)より多かった。個人情報保護法第26条第1項及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「施行規則」という。)第7条が定める報告義務の類型による分類において、最も多くを占めたのは要配慮個人情報を含む個人データの漏えい等(施行規則第7条第1号該当)であり(85.0%)、これに次いで不正アクセス等、不正の目的をもって行われたおそれのある個人データの漏えい等(同条第2号該当)が多かった(11.1%)。このような傾向となった要因は、漏えい等事案の発生原因の多くが誤送付、誤交付、誤廃棄、紛失等のいわゆるヒューマンエラーであったこと(合計83.6%)も踏まえると、漏えい等が生じた場合その対象となった本人数が1人であっても報告義務がある要配慮個人情報を含む個人データについて、当該個人データが記載された紙媒体(例えば医療機関における診療報酬明細書等)の誤交付等のいわゆるヒューマンエラーによる漏えい等事案が多かったことにあると考えられる。他方、漏えい等事案の発生原因としては、上記のいわゆるヒューマンエラーに次いでインターネット等のネットワークを経由した不正アクセスを原因とするものが多く(8.7%)、このような事案においては本人数100万人を超える個人データの漏えいのおそれが生じたものもあった(付表1(2))。

      上記の漏えい等報告を受けて、委員会では、本人への対応の実施状況として本人に対する通知(個人情報保護法第26条第2項)が適切になされているか、発生原因を適切に特定及び分析しているか、再発防止のための措置として記載されている事項が発生原因に適切に対応したものであるか等、施行規則第8条所定の報告対象事項についてその内容を確認し、必要に応じて発生原因分析や再発防止策検討の手法等につき情報提供する等の対応を行った。

      また、要配慮個人情報を含む個人データの漏えい等が多かったことを受け、医療関係の業界団体と漏えい等事案の防止に向けた意見交換を行った。

    2. 報告徴収、立入検査、指導及び助言の状況

      令和4年度においては、個人情報取扱事業者等に対して報告徴収(委任先省庁実施分を除く。立入検査についても同じ。)を81件、立入検査を1件、指導及び助言を115件行った(付表1(1))。

      重大な事案として以下のものが挙げられる。

      • ① 株式会社メタップスペイメントが不正アクセスを受けて個人データの漏えいのおそれを生じさせた事案があった。

        同社は、決済代行業者としてクレジットカード情報を含む多数の消費者の個人データを恒常的に取り扱うことから、個人データの適正な取扱いの確保について組織として重点的に取り組む必要があるにもかかわらず、(1)同社の規程上行うこととされていた個人データを含む情報資産の棚卸しを適切に実施しておらず、どのシステムにおいてどのような情報資産を取り扱っているか把握していなかったこと、(2)個人データの取扱状況に係る監査・点検を一部実施しておらず、その重要性に見合った取扱いを行っていなかったこと、(3)内部監査規程等を定めていたものの同規程等に従った内部監査等を実行するための適切な人員配置等を行わず、情報セキュリティに対する内部監査が機能していなかったこと、(4)不正侵入を検知した際のセキュリティアラートについて十分な検証を行っていないことなど、同社の安全管理措置につき不十分な点があることが確認された。そのため、委員会は、同社に対して、定期的な棚卸しや個人データの取扱状況に係る監査・点検等により個人情報の取扱状況を適切に把握するとともに、経営層の技術的安全管理措置を含む情報セキュリティに対する内部監査への能動的な関与により内部監査機能の強化を図ることその他再発防止策の確実な遂行を行うよう指導を行った。

      • ② 尼崎市から住民の個人データの取扱いの委託を受けたBIPROGY株式会社において、同社から当該個人データの取扱いを受託した委託先従業者が、当該個人データが記録されているUSBメモリを一時紛失した事案があった。

        委員会は、同社が多くの行政機関・地方公共団体・民間企業からシステム開発・保守業務の委託を受けるITサービス業者であることや、同社が尼崎市から取扱いの委託を受けた個人データには尼崎市全住民という多量の個人データが含まれ、しかも一部の住民に関しては要配慮個人情報や口座番号等の機微性の高い情報も含まれていたことを踏まえ、同社に対し、個人情報保護法第143条第1項に基づく立入検査等を行い、同社の安全管理措置の状況について調査を行った。

        その結果、同社においては、(1)個人データの取扱いに係る規律に従った運用を確保するための組織的安全管理措置が適切に講じられておらず、同規律に反した態様でのUSBメモリへの個人データの記録、当該USBメモリの搬送及び保管等が行われていたこと、(2)上記(1)を招いた原因として尼崎市からの受託業務の作業工程におけるリスクの影響範囲、同リスクの対処可否及び残存リスクの許容可否といった事項を組織的に分析し承認するための体制が整備されておらず、これらの事項を現場担当者のみで判断することが実態となっており、適切な組織的安全管理措置が講じられていなかったこと、(3)個人データを取り扱う区域の入退室管理、個人データを保存する電子媒体の盗難等を防止するための施錠できるキャビネット等への保管等及び個人データへの不要なアクセスを防ぐための制御等の物理的・技術的安全管理措置が適切に講じられていなかったこと、(4)同社の従業者であるプロジェクト責任者は、実作業を行っていた同社の委託先従業者に対し、具体的な手順や講ずべき安全管理措置に関する指示を何ら行わず、これに関する当該委託先従業者の検討結果の確認すらせず、当該委託先従業者に個人データの取扱状況に係る報告を求めるなどもしないなど、委託先の監督を適切に行っていないことが認められた。

        そのため、委員会は、上記(1)(2)を踏まえ、同社が個人データの取扱いの委託を受けている全ての事業において、網羅的にリスクに応じた適切な措置を検討するなどの組織体制を整備するとともに、同社の管理規程及び委託元と取り決めた管理規程等の個人データの取扱いに係る規律の遵守状況を確認し、必要に応じてそれらの規律又は管理体制を見直すこと、上記(3)を踏まえ、同社が自律的に策定した再発防止策を確実に実施すること、上記(4)を踏まえ、同社が個人データの取扱いを委託する場合には、安全管理措置及び個人データの取扱いに係る規律について知見を持った責任者が委託先における個人データの取扱状況を適切に把握するなど、モニタリング機能の強化を図ることを指導し、指導に対応した改善策の実施状況について報告徴収を行った。

        その後、当該報告徴収に対応した同社からの報告を受け、委員会は同社が上記指導に適切に対応しているかを精査し、同社において指導に応じた一定の改善がなされたことを確認した。

      • ③ 複数の医療機関が眼科手術における手術動画を医療機器メーカーであるスタージャパン合同会社に提供した事案があった。

        委員会は、同社及び全国60の医療機関に対し、手術動画の管理及び取扱いの状況について報告徴収を実施するなどして調査を重ね、その結果、あらかじめ本人の同意を得ることなく個人データを提供していた医療機関や、個人データの保有主体である医療機関に無断で当該機関の従業者である医師が個人データを提供していた医療機関が確認されたことから、問題が認められた医療機関に対し個人情報を適切に取り扱うよう指導するなどの対応を行った。

        また、この事案を踏まえ、(4)②のとおり、医療機関に対し個人情報の取扱い上の留意点をまとめて注意喚起を行った。

      • ④ 医療分野の研究開発に資するための匿名加工医療情報に関する法律(平成29年法律第28号。以下「次世代医療基盤法」という。)に基づく医療情報の提供に際し、同法が求める通知を一部の患者に対して行わないまま提供した事案があった。

        委員会は、同法上の医療情報取扱事業者である医療機関、その委託先である一般社団法人ライフデータイニシアティブ(以下「LDI」という。)、LDIの委託先(当該医療機関の再委託先)である株式会社エヌ・ティ・ティ・データ(以下「NTTデータ」という。)における個人データの取扱状況について調査を行った。

        当該医療機関が保有する医療情報は、患者が治療を受けるためには提供を拒み難いという選択の余地が極めて乏しい中で提供されるものであるという側面を持ち、当該医療情報を含む個人データの性質及びその量からすると、漏えい等が発生した場合のリスクは特に高く、当該医療機関においてはこれを常に意識し、当該個人データの取扱いに関して個人情報保護法を遵守すること、とりわけ、高い水準の安全管理措置等を講じることが求められ、また、複数のこれらの医療機関から当該個人データの取扱いの委託を受けているLDI及びNTTデータにおいても高い水準の安全管理措置を講じることが求められる。

        そうであるにもかかわらず、上記調査の結果、当該医療機関及びLDIにおいて委託先の監督が適切に実施されず、NTTデータにおいては当該個人データの処理方法に関する確認不足及び個人情報保護法違反又はそのおそれを認知した場合の報告連絡体制が十分に機能していなかったなどの安全管理措置の不備が認められた。

        そのため、当該医療機関に対しては委託先に対する必要かつ適切な監督を行うこと、LDIに対しては委託先に対する監督として、委託先が実施する個人データの処理方法につきその漏えい等防止措置の妥当性に関する検討等を自ら行うことなど、NTTデータに対しては個人データの処理方法につきその漏えい等防止措置の妥当性の確認プロセスの改善等を行うと共に個人情報保護法違反又はそのおそれを認知した場合の報告連絡体制等の整備を行うようそれぞれ指導を行った。

      上記のほか、漏えい等事案について、漏えい等事案の発生又は兆候を把握した場合の責任者への報告連絡体制や委員会への報告体制が適切に構築されておらず、個人情報保護法第26条第1項に基づく報告が著しく遅滞したものや、公開済みのウェブサイトやネットワークの脆弱性への対応を怠り不正アクセスを受けたことにより個人データの漏えい等を生じさせた場合等基本的な安全管理措置に不備があると認められるもの等について、同種の事態が起きないよう指導を行った。

    3. 勧告及び命令の状況

      多数の破産者等の個人情報を個人情報保護法に反する態様で継続的にウェブサイトに掲載していた個人情報取扱事業者に対し、①不特定多数の者による当該破産者等に対する人格的、財産的差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、インターネット上に公開されている地図データと紐づける形で個人情報を掲載していることから同法第19条に違反し、②個人情報の取得に際して速やかにその利用目的を本人に通知し、又は公表していないことから同法第21条第1項に違反し、③インターネット上において個人データが不特定多数の者から閲覧可能な状態におかれているにもかかわらず係る第三者提供に際してあらかじめ本人の同意を得ていないことから同法第27条第1項に違反することを理由に、当該ウェブサイトを通じた個人データの提供を直ちに停止するよう勧告を行った。しかし、正当な理由なく当該勧告に係る措置が講じられなかったため、当該個人情報取扱事業者に対し、令和4年11月2日付けで、当該ウェブサイトを通じた個人データの提供を直ちに停止するよう命令を行った。さらに、当該個人情報取扱事業者が正当な理由なく上記命令に係る措置をとらなかったため、同法第173条等の罰則に抵触するものとして関係捜査機関に告発を行った。

    4. 個人情報の取扱い等に関する注意喚起等
      • ① USBメモリ紛失事案を受けた個人データの適正な取扱いに関する注意喚起

        BIPROGY株式会社において、尼崎市から取扱いの委託を受けた同市の住民情報に係る個人データが記録されたUSBメモリを紛失する事案が生じたことを受け、個人データをUSBメモリ等電子媒体で取り扱う場合の安全管理措置、従業者の監督及び委託先の監督の必要性に関する注意喚起を行った。

      • ② 医療機関における個人情報の取扱いに関する注意喚起

        医療機関における眼科手術の際に、手術動画を医療機器メーカーに提供していた事案を端緒に調査を実施した結果を踏まえ、手術動画を取り扱う場合に遵守する必要がある規律等、医療機関における個人情報に関する取扱い上の注意点について注意喚起を行った。

      • ③ 上半期における個人データの漏えい等事案を踏まえた個人データの適正な取扱いに関する注意喚起

        令和4年度上半期の漏えい等事案の主なものは、病院や薬局における要配慮個人情報を含む書類の誤交付及び紛失であり、その他のものは、ウェブサイトやネットワークの脆弱性を突いた不正アクセス等であったことから、前者については業務プロセスの見直し等、後者についてはセキュリティパッチの適用等、個人情報の保護に関する法律についてのガイドライン(通則編)等を踏まえ、適切な安全管理措置を講ずるよう注意喚起を行った。

      • ④ 電子メールによる個人データの取扱いに関する注意喚起

        事業者が従業者に付与している電子メールアドレスで受信したメールについて、従業者が個人的に取得、管理している電子メールアドレスへ自動転送される設定を行う際、転送先の電子メールアドレスに誤りがあったため、個人データを含む電子メールが誤ったメールアドレスに送信され、個人データの漏えいが発生したことから、電子メールに付随した個人データを含む、個人データを持ち出す際のルールを確認し、必要に合わせて適切な規程の整備その他の安全管理措置等を講ずるよう注意喚起を行った。

      • ⑤ 税理士及び社会保険労務士に対する協力依頼

        令和3年度に実施した、中小規模事業者における安全管理措置の実施状況等についての実態調査では、令和2年改正法により、漏えい等事案の報告が義務化されたことについて、多くの回答者が「知らなかった」と回答した。この結果を受け、中小規模事業者の安全管理措置の相談先として回答の多かった税理士及び社会保険労務士に対し、日本税理士会連合会及び全国社会保険労務士会連合会を通じて同制度の周知依頼を行った。

  2. 行政機関等に対する監視
    1. 漏えい等事案に関する報告の処理状況

      令和4年度においては、保有個人情報の漏えい等事案について114件の個人情報保護法第68条第1項に基づく報告があった(付表1(1))。

      上記の報告事案の多くは要配慮個人情報を含む保有個人情報の漏えい等(施行規則第43条第1号該当)であり(69.3%)、これに次いで本人数が100人を超える保有個人情報の漏えい等(同条第4号該当)が多かった(30.7%)。発生原因の多くは誤送付、誤交付、誤廃棄、紛失等のいわゆるヒューマンエラーであり(合計78.1%)、ウェブサイトの誤設定等その他に該当するものがこれに次いで多かった(16.7%)。また、1件当たりの事案で漏えい等した人数は1,000人以下が最も多く(95.6%)、漏えい等した情報は国民等の情報が最も多かった(86.8%)。漏えい等した情報の形態は、紙媒体のみが漏えい等したものがほとんどを占めた(93.0%)(付表1(2))。

      委員会においては、本人への対応の実施状況として本人に対する通知(個人情報保護法第68条第2項)が適切になされているか、発生原因を適切に特定及び分析しているか、再発防止のための措置として記載されている事項が発生原因に適切に対応したものであるか等、施行規則第44条所定の報告対象事項についてその内容を確認し、必要に応じて発生原因分析や再発防止策検討の手法等につき情報提供する等の対応を行った。

      また、要配慮個人情報を含む保有個人情報の誤交付等の事案について関係する行政機関等と再発防止に向けた協議を行い、その他行政機関等に対し漏えい等事案に関する報告の提出期限の遵守を求める通知等を発出した。

    2. 資料提出の求め、実地調査、指導及び助言の状況

      実地調査の実施に当たり、令和4年度の実地調査及び立入検査計画を策定し、調査の実施方針として、①行政機関等に対して定期的、計画的な調査を行うこと、②漏えい等事案の報告等を踏まえ、随時に調査を行うこと等を定めている。

      令和4年度において、個人情報保護法及び公的部門ガイドラインの遵守状況等を確認するため、行政機関等に対する計画的な実地調査を26件実施し(うち5件はマイナンバー法に基づく立入検査と一体的に実施)、個人情報の適正な取扱いに関して改善を求める指導、指導した事項について報告を求める資料提出の求め等を行った(付表1(1))。実地調査を通じ、行政機関等においては、安全管理措置のうち教育研修、委託及び再委託、ログの分析等について、改善を要する事項が認められた(付表1(3))。

      実地調査以外に、令和4年度においては、個人情報の漏えい等事案の報告の受付等に際し、不備のあった安全管理措置に係る再発防止策の徹底を求めるなどの指導及び助言を4件行った(付表1(1))。

      具体的には、厚生労働省及びその委託先が指定難病患者データベースに含まれる保有個人情報を漏えいさせた事案において、同省に対し、同省が策定した再発防止策を確実に実施することに加え、当該委託先に対する定期的な監督を実施すること並びに同省において保有個人情報の取扱いに従事する職員及び保護管理者等に対し所要の教育研修を実施することを求める指導を行った(付表1(1))。

    3. 施行状況調査

      デジタル社会形成整備法附則第3条第7項において、令和4年4月1日より前に行政機関個人情報保護法又は独立行政法人等個人情報保護法の規定により総務大臣がすべき処分その他の行為は、同日以後、個人情報保護法の相当規定に基づいて委員会がすべき処分その他の行為とみなされることを受け、令和4年度において、行政機関個人情報保護法第49条及び独立行政法人等個人情報保護法第48条に定める両法の令和3年度における施行状況の調査を実施した。

      行政機関個人情報保護法の施行状況については49機関から、独立行政法人等個人情報保護法の施行状況については191法人からそれぞれ報告を受け、行政機関等における個人情報ファイルの保有状況、個人情報ファイルに記録された保有個人情報の利用目的以外の利用又は提供の状況、開示請求、訂正請求及び利用停止請求等の状況、保有個人情報の不適正管理の状況並びに安全確保の措置に関する規程の整備状況を確認した。また、行政機関等からの報告内容を取りまとめ、その概要及び評価を記載した報告書を委員会ウェブサイトに掲載する方法によって公表した。

  3. 情報セキュリティ関係機関との連携

    個人情報を含む機密情報等の窃取を企図した、個人情報取扱事業者に対するサイバー攻撃は、一層複雑化し、攻撃対象も拡大し続けている。このような状況を踏まえ、外部からの不正アクセス等による個人データの漏えい等への対応が個人情報取扱事業者において適切に実施されるよう、情報セキュリティ関係省庁及び関係機関との連携及び協力を行うための「個人情報保護法サイバーセキュリティ連携会議」を令和4年12月21日にオンラインで開催した。同会議を通じ、情報セキュリティ関係省庁及び関係機関との連携及び協力の枠組みについて整理及び明確化した。また、個人情報等の漏えい等を取り巻く状況をはじめ、委員会に報告された漏えい等事案、ウェブサイトの脆弱性を悪用した新たな攻撃手法、SSL-VPN機器の脆弱性悪用事案等について情報共有等を行った。

    上記の会議において整理及び明確化した情報セキュリティ関係省庁及び関係機関との連携及び協力の枠組みを踏まえ、不正アクセス事案への対応等に関する緊密な連携を実現すべく、内閣官房内閣サイバーセキュリティセンター、警察庁サイバー警察局、独立行政法人情報処理推進機構と連携に関する覚書を締結し、令和5年3月24日に公表した。

  4. 外国執行当局との連携

    委員会の執務の参考とするため、外国執行当局から執行実務に係る実施体制及び実施方法並びにサイバーセキュリティ専門機関との連携方法についての情報収集を行った。また、複数の国とオンラインや対面で意見交換を行ったほか、ECサイトへの不正アクセスに関する実態調査結果について共有した。令和4年10月開催の世界プライバシー会議のサイドイベントとして開催された「調査の未処理案件の管理に関するキャパシティビルディングワークショップ」において、事務局職員が登壇し、当委員会の管理手法について発表するとともに、各国からの報告も踏まえ、未処理案件の残数を効果的に減らすための工夫に関して意見交換を行った。

    また、海外のデータ保護機関と個別協議を重ね、執行協力に向けた具体的な協力内容や課題について整理を行った。

第7節 個人情報保護法等に基づく個人情報等の利活用等

  1. 個人情報等の適正かつ効果的な活用の促進

    令和2年及び令和3年の個人情報保護法の改正の趣旨等を踏まえ、個人情報等の適正かつ効果的な活用を促進するため、次の取組を実施した。

    1. Q&Aの改正

      令和3年6月30日に、公益目的による個人情報の取扱いに係る例外規定の運用の明確化を図るため、Q&Aの改正として事例を追加したところ、更なる見直しとして、令和4年5月26日に、医療機関等がデータ取得時とは別の目的で自医療機関等内の観察研究のために利用する場合の事例の追加や、公衆衛生目的による個人情報の取扱いに係る例外規定に関する本人の同意取得困難性の要件を明確化するための改正を行った。

      また、委員会に寄せられた意見等を踏まえ、令和5年3月31日にQ&Aの改正を行った。具体的には、ダークウェブ上で掲載、取引されている個人情報を当該ダークウェブからダウンロード等により取得することは、偽りその他不正の手段による個人情報の取得に該当するおそれがある旨や、フィッシングサイトにより詐取されたIDやパスワード等を利用して、第三者が本人になりすまし、個人データが表示される正規のウェブサイトにログインした場合には、一般的には、「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」が生じたものとして、漏えい等報告の対象となる旨等を明確化した。

    2. PPCビジネスサポートデスクの運用

      AI・ビッグデータ時代を迎え、個人情報等の活用が一層多岐にわたる中、委員会による相談体制の一層の充実を求める意見に適切に対応する観点から、令和2年度からPPCビジネスサポートデスクを設置した。PPCビジネスサポートデスクにおいては、事業者が新たに予定しているビジネスにおける個人データの取扱い(第三者提供、委託、共同利用等)や仮名加工情報及び匿名加工情報を用いた新たなビジネス等について、情報通信業やサービス業等幅広い業種の事業者からの相談に応じた(計64件)。

    3. 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

      顔識別機能付きカメラの利用をめぐる国内外の動向も踏まえ、公共空間における犯罪予防や安全確保のためのカメラ画像の適正な利用の在り方について包括的に整理を行うため、令和4年1月から令和5年3月にかけて計8回有識者検討会を開催し、報告書を取りまとめた。同報告書については、同年3月29日に開催した第238回個人情報保護委員会において審議の上、「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」として、同月30日に公表した。その文書は、同システムを導入する個人情報取扱事業者が個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会から理解を得るために自主的に取り組むべき事項を示したものである。委員会においては、その文書を広く周知し、事業者による適切な対応を促すこととした。

    4. デジタル社会形成基本法等に基づく対応

      デジタル社会形成基本法(令和3年法律第35号)第37条第4項の規定に基づき、内閣総理大臣がデジタル社会の形成に関する重点計画の案を作成する際には、委員会の意見を聴くこととされている。また、官民データ活用推進基本法(平成28年法律第103号)第8条第4項の規定に基づき、内閣総理大臣が官民データ活用推進基本計画の案を作成する際にも、委員会の意見を聴くこととされている。

      令和4年5月26日、デジタル社会の形成に関する重点計画、情報システム整備計画及び官民データ活用推進基本計画の3つの計画を統合した形で策定されるデジタル社会の実現に向けた重点計画(案)に対し、同計画に定められた施策を実施するに当たっての留意点等(①改正後の規律にのっとり、本人の権利利益を保護するため、個人情報等の適正な取扱いを確保するべきこと、②政策目的や国民が得ることが期待される便益を明確にし、それらを分かりやすく丁寧に国民に説明するべきこと、③データガバナンスの体制を構築することは、透明性と信頼性の確保のために有効であること、④基本方針や基本原則等をはじめとする委員会による施策と十分に連携すること)を回答した。

    5. 地方公共団体情報システムの標準化に関する法律に基づく対応

      地方公共団体情報システムの標準化に関する法律(令和3年法律第40号)第5条第4項の規定に基づき、内閣総理大臣、総務大臣及び所管大臣が地方公共団体情報システムの標準化の推進を図るための基本的な方針(以下「標準化基本方針」という。)の案を作成する際には、あらかじめ関係行政機関の長に協議することとされている。

      令和4年9月29日、標準化基本方針(案)に対し、同方針に定められた施策を実施するに当たっての留意点等(①令和5年4月以降の個人情報保護法の規律にのっとり、本人の権利利益を保護するため、個人情報等の適正な取扱いを確保するべきこと、②政策目的や国民が得ることが期待される便益を明確にし、それらを分かりやすく丁寧に国民に説明するべきこと、③データガバナンスの体制を構築することは、透明性と信頼性の確保のために有効かつ重要であること、④基本方針や基本原則等をはじめとする委員会による施策と十分に連携すること、⑤デジタル庁及びクラウドサービス事業者においては、地方公共団体に対して必要な支援を行うこと)を回答した。

    6. 行政機関等匿名加工情報制度の運用状況等

      個人情報保護法においては、行政機関等は、毎年度1回以上、当該行政機関等が保有する個人情報ファイルについて、行政機関等匿名加工情報をその用に供して行う事業に関する提案を募集するものとされている。令和4年度においては、22の行政機関及び127の独立行政法人等において、提案の募集が実施された(提案の募集対象となった個人情報ファイル数:行政機関574ファイル、独立行政法人等1,871ファイル)。事業者からの提案の利便に資するため、令和4年度の行政機関等匿名加工情報に係る提案募集の対象ファイル及び実施日程を公表すべく、各機関における提案募集状況の取りまとめを行った。

  2. オプトアウト手続に関する取組

    個人情報保護法第27条第2項の規定に基づくオプトアウト手続(※)により個人データの第三者提供をしようとする者については、オプトアウト手続を行うことなどの委員会への届出が義務付けられている。

    令和3年10月1日からは令和2年改正法に基づくオプトアウト手続を開始しており、令和5年3月31日現在、253件の届出を受け付け、委員会ウェブサイトで公表している。

    (※)第三者に提供される個人データについて、本人の求めに応じて提供を停止することとしている場合であって、あらかじめ、個人データを第三者に提供する旨や提供する個人データの項目等を本人に通知し、又は本人が容易に知り得る状態に置いた上で、本人の同意を得ることなく第三者に提供することをいう。

  3. 認定団体に関する取組

    認定団体連絡会を開催し(1回)、令和2年改正法に基づく漏えい等報告のフローや報告状況等について情報提供するとともに、個々の認定団体が主催する説明会へ講師派遣(5件)を行った。また、対象事業者向け研修会を開催し(10回)、令和2年改正法等の解説や実務の観点から有用な情報の提供等を行った。

    なお、令和2年改正法にて設けられた特定分野(部門)を対象とする認定団体(以下「特定分野型認定団体」という。)として、令和4年7月20日及び令和5年3月8日付けで新たに2団体を認定した。また、認定団体1団体について、令和4年11月9日付けで、特定分野型認定団体への業務範囲の変更を認定した。令和5年3月31日時点の認定団体数は43団体となっている(付表1(4))。

  4. 民間の自主的取組の推進

    事業者が保有する多数の個人情報を適切に管理するための自主的な取組として、データマッピングを開始する際の一助となることを目的として、令和4年10月13日にデータマッピング・ツールキットを公表し、以後周知を行ってきた。

    また、PIA(Privacy Impact Assessment、個人情報保護評価)の普及促進に向けて、PIAを実施している事業者の実態や課題を把握するための調査や、個人データの取扱いに関する責任者の設置に関する事例の調査を実施した。

  5. 関係府省庁等の多様な関係者との連携

    委員会は、個人情報等をめぐる国内外の状況変化等に適時適切に対応するため、関係府省庁等の多様な関係者と政策立案段階から連携して取組を進めている。令和4年度においては、主に以下の助言等を行った。

    1. こども・教育に関する各種データ連携に対する助言

      デジタル庁が事務局を務める「こどもに関する情報・データ連携 副大臣プロジェクトチーム」及び「こどもに関する各種データの連携に係るガイドライン策定検討委員会」にそれぞれオブザーバーとして参加し、デジタル庁が令和4年度に策定した「実証事業ガイドライン(こどもに関する各種データの連携にかかる留意点等)」に関し助言を行った。また、文部科学省が事務局を務める「教育データの利活用に関する有識者会議」にオブザーバーとして参加し、令和3年改正法の全面施行に合わせ文部科学省が策定した「教育データの利活用に係る留意事項」に関し助言を行った。

    2. 防災分野に係る検討会への助言

      内閣府防災担当が事務局を務める、地方公共団体の防災分野における個人情報の取扱いを明確化する指針を策定することを目的とした「防災分野における個人情報の取扱いに関する検討会」に令和3年度からオブザーバーとして参加し、令和3年改正法についての説明を行うとともに、令和4年度においても、検討会の議論の方向性や「防災分野における個人情報の取扱いに関する指針」の記載内容等に関し助言を行った。

    3. 地理空間情報の活用に対する助言

      地理空間情報活用推進会議の「個人情報保護・知的財産に関する検討ワーキンググループ」にオブザーバーとして参加し、「地理空間情報の活用における個人情報の取扱いに関するガイドライン」の改正に関し助言を行った。

      また、内閣官房地理空間情報活用推進室が事務局を務める「令和4年度地理空間情報の活用における個人情報の取扱いに関する検討会」にオブザーバーとして参加し、「地理空間情報の活用における個人情報の取扱いに関するガイドライン」の改正に関し助言を行った。

      さらに、国土交通省国土地理院が事務局を務める「測量行政懇談会 流通・活用制度部会」にオブザーバーとして参加し、「地理空間情報の活用における個人情報の取扱いに関するガイドライン(測量成果等編)」の改正に関し助言を行った。

    4. 健康医療データの利活用に対する助言

      健康・医療戦略推進会議の「健康・医療データ利活用基盤協議会」に参画するとともに、同協議会のもと、次世代医療基盤法附則第5条の規定に基づき、同法の認定事業の運営状況や課題に関する検討を行う「次世代医療基盤法検討ワーキンググループ」に関係府省庁として参加し、「次世代医療基盤法検討ワーキンググループ 中間とりまとめ」に関し助言を行った。

    5. 「オープンサイエンスのためのデータ管理基盤ハンドブック~学術研究者のための“個人情報”の取扱い方について~」の作成に当たっての助言

      学術研究においてデータを取り扱う際の注意点をまとめた研究者のためのハンドブックとして、国立情報学研究所において公表された「オープンサイエンスのためのデータ管理基盤ハンドブック~学術研究者のための“個人情報”の取扱い方について~」の作成に当たり、個人情報保護法に関する記載部分について助言を行った。

Ⅱ マイナンバー法に関する事務

第1節 マイナンバー法に基づく監督等

  1. 特定個人情報の適正な取扱いに関するガイドラインの改正

    令和3年の個人情報保護法及びマイナンバー法改正を踏まえて、特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)、特定個人情報の適正な取扱いに関するガイドライン(事業者編)((別冊)金融業務における特定個人情報の適正な取扱いに関するガイドラインを含む。)について、地方公共団体の条例に関する記述を整理するなどの改正を令和4年8月に行った。

  2. 漏えい等事案に関する報告の処理状況等

    令和4年度においては、特定個人情報の漏えい等事案その他のマイナンバー法違反の事案又はそのおそれのある事案について、171件の報告があり、地方公共団体において、マイナンバーを含んだ書類を紛失した事案やマイナンバーを記載した書類を誤交付した事案等が多かった。

    上記報告のうち、マイナンバー法第29条の4第1項に基づく報告は、地方公共団体から1件、事業者から35件あり、事業者において、マイナンバーを含む従業員情報が保存されたデータベースに不正アクセスを受けた事案等であるが、いずれもマイナンバーが悪用されたとの報告は受けていない。

    漏えい等事案の報告を受けて、委員会では、本人への対応の実施状況として本人に対する通知(マイナンバー法第29条の4第2項)が適切になされているか、発生原因を適切に特定及び分析しているか、再発防止のための措置として記載されている事項が発生原因に適切に対応したものであるかなど、行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則(平成27年特定個人情報保護委員会規則第5号。以下「漏えい等報告規則」という。)第3条所定の報告対象事項についてその内容を確認した。

  3. 報告徴収、立入検査、指導及び助言の状況

    立入検査の実施に当たり、令和4年度の実地調査及び立入検査計画を策定し、検査の実施方針として、①行政機関等に対して定期的な検査を行うこと、②地方公共団体に対して規模、過去の検査状況等を勘案の上、選択的に検査を実施し、検査項目を絞った検査を活用すること、③漏えい等事案の報告等を踏まえ、随時に検査を行うこと等を定めている。

    令和4年度において、マイナンバー法及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)の遵守状況や特定個人情報保護評価書に記載された事項の実施状況等を確認するため、行政機関等に対する定期的な立入検査6件を実施(うち5件は個人情報保護法に基づく実地調査と一体的に実施)するとともに、地方公共団体に対しては、選択的に立入検査57件を実施し、特定個人情報の適正な取扱いに関して改善を求める指導、指導した事項について報告を求める報告徴収等を行った(付表2(1))。

    令和4年度に実施した立入検査を通じ、行政機関等においては、特定個人情報に係る安全管理措置がおおむね適切に実施されていることが確認できたものの、地方公共団体においては、安全管理措置のうち教育研修やログの分析等について、改善を要する事項が認められた(付表2(2))。

    立入検査以外に、令和4年度においては、特定個人情報の漏えい等事案の報告の受付等に際し、不備のあった安全管理措置に係る再発防止策の徹底を求めるなどの指導及び助言を7件、報告徴収を2件行った。

    具体的には、釜石市の職員が市民約600名分の特定個人情報が記載されたファイルを、自宅PCにメール送付した事案において、同市に対し、同市が作成した再発防止策を確実に実施することに加え、マイナンバー法第12条及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)に示す必要かつ適切な措置を講ずることを求める指導を行った。

  4. 監視・監督システムを用いた情報連携の監視状況

    情報提供ネットワークシステムにおいて、行政機関等及び地方公共団体の職員による不正な利用がないか確認するため、情報連携される情報提供等記録について監視・監督システムを用いて分析を行い、情報連携の照会内容について、ヒアリング調査を行った。なお、調査を行った範囲内では、不正な利用は認められなかった。

  5. 地方公共団体等の特定個人情報の取扱いに関する定期的な報告の状況

    令和4年度においては、令和3年度におけるマイナンバーを取り扱う事務に関する体制の整備状況、研修や監査等の実施状況、特定個人情報保護評価の実施状況に関する事項等について、2,207機関から報告を受け、おおむね必要な措置が講じられていることを確認した。

    なお、一部の安全管理措置が実施できていなかったとする機関に対しては、委員会公表資料の提供や、個別に連絡を行って各種資料の紹介や個別の事情に応じた具体的手法の説明等の支援を行い、また、事後評価の対象となり得る事務について特定個人情報保護評価が未着手と回答した機関に対しては、実施状況等についての追加調査を行い、確実に実施するよう促すなどの対応を行った。

  6. その他の監督活動

    インシデントに対する組織的対応能力を向上させ、安全管理措置の実質的な確保を図るため、地方公共団体から参加希望を募り、32団体に対して、マイナンバー漏えい等事案が発生したとの想定で初動対応の訓練を実施し、訓練の中で明らかになった問題等について改善を促した。

第2節 特定個人情報保護評価

  1. 特定個人情報保護評価書の承認

    令和4年度においては、評価実施機関である行政機関の長等から23件の全項目評価書の提出を受け、内容について審査を行った上で、全件の承認を行った(付表3)。

    なお、地方公共団体等の全項目評価書については、マイナンバー法等により、原則として、条例等に基づき地方公共団体が設置する個人情報保護審議会又は個人情報保護審査会による点検を受け、委員会に提出してから、公表することが義務付けられている。

    委員会の承認対象ではない特定個人情報保護評価書についても、必要に応じて記載方法等に関する助言を行っている。

  2. 評価実施機関の特定個人情報保護評価書の公表状況

    令和5年3月31日時点において、上記1の全項目評価書を含め、2,897の評価実施機関である行政機関の長等が37,328の事務について特定個人情報保護評価書を公表している(付表4)。これらの特定個人情報保護評価書については、国民が検索及び閲覧することが可能となるよう、委員会ウェブサイト(マイナンバー保護評価書検索)に掲載している。

  3. 特定個人情報保護評価と立入検査の連動によるリスク評価・検証の精度向上

    令和4年度から、特定個人情報保護評価と立入検査について、リスク評価・検証の精度向上を図ることを目的とした取組を開始している。具体的には、委員会による地方公共団体への立入検査の前に、特定個人情報保護評価書に記載された内容を基に検査観点を整理することにより、効果的に管理状況を調査し、必要に応じて特定個人情報保護評価書の見直しを促すことを行っている。

第3節 「行政手続における特定の個人を識別するための番号の利用等に関する法律第19条第9号に基づく特定個人情報の提供に関する規則」に基づく届出の受付

  1. 届出の受付状況

    地方公共団体は、独自利用事務のうち委員会規則で定めるものについて、情報提供ネットワークシステムを用いた情報連携を行うことができるものとされている。令和4年度においては、この要件を満たし、情報提供ネットワークシステムを使用して特定個人情報の提供を求めることができる事務として、令和5年2月以降の情報連携について67の地方公共団体から182件の届出が、同年6月以降の情報連携について89の地方公共団体から256件の届出が、同年10月以降の情報連携について91の地方公共団体から224件の届出があった。これにより、同年10月時点で情報連携の対象とされる独自利用事務は、1,261の地方公共団体(都道府県47、市区町村等1,214)の9,418事務となる見込みである。なお、最終的な届出総数は9,418件と、前年度末から348件増加した。

    また、上記の独自利用事務の情報連携に係る届出の受付及び公表された届出書の検索機能を有する独自利用事務システムを開発し、令和4年度から運用を開始した。

  2. 独自利用事務の情報連携に係る利活用

    情報連携の対象となる独自利用事務の事例については、平成27年8月に委員会の決定を経て公表して以来、地方公共団体からの要望を踏まえて数次にわたり追加してきた。

    令和4年度においては、新たに情報連携の対象とする独自利用事務の事例の追加等について、地方公共団体に要望照会を行ったところ、事例の追加等につながる要望はなかった。

    また、独自利用事務の情報連携制度の更なる活用の促進に向けて、地方公共団体への聞き取り調査を行った結果を踏まえ、地方公共団体の担当者向けに、本制度の具体的な活用場面やメリットを分かりやすく整理した資料を公表した。

第4節 マイナンバー制度及び国と地方のデジタル基盤の抜本的な改善に向けた助言

デジタル庁が主催する「マイナンバー制度及び国と地方のデジタル基盤抜本改善ワーキンググループ」にオブザーバーとして参加し、デジタル社会の形成に向けて、マイナンバー制度及び国と地方のデジタル基盤の抜本的な改善を図るため、特定個人情報の適正な取扱いの観点から、マイナンバー法に関する検討事項等に関し助言を行った。

Ⅲ 国際協力

デジタル社会の進展に伴うデータの流通の増加等に伴い、個人情報を含むデータの円滑な越境流通の重要性が更に増しており、委員会としては、DFFT(信頼性のある自由なデータ流通)推進のための施策に取り組んでいるほか、各国の法制等の世界潮流の把握及び各国当局との連携の強化を進めた(付表5、付表6)。これらは、デジタル社会の実現に向けた重点計画(令和4年6月7日閣議決定)において、DFFTの推進に向けた政府全体の取組の一つとして位置付けられている。具体的な取組は、次のとおりである。

第1節 DFFT推進の観点から個人情報が安全・円滑に越境移転できる国際環境の構築

  1. 十分性認定・28条指定等の活用を通じたDFFTの推進

    平成31年1月に発効した、日EU間の相互認証による円滑な個人データ移転を図る枠組みについては、互いの移転枠組み(日本においては、個人情報保護法第28条に基づく外国指定、EUにおいては、一般データ保護規則(GDPR)第45条に基づく十分性認定)についてレビューが行われることとなっており、令和3年10月の日EU間の共同レビュー会合開催以降もレビュー協議を継続的に行い、委員会は令和5年3月22日、EU及び英国への外国指定を継続することを決定した。

  2. グローバルな企業認証制度の構築

    越境プライバシールール(CBPR)システムは、一定の個人データの保護要件を満たしている事業者を国際的に認証する制度であり、我が国では5者が認証を取得しているなど、APECの取組として、個人データの保護を図りつつ円滑な越境移転に寄与してきている。

    令和4年4月21日、APECメンバーのうち、我が国を含むCBPRに参加する7か国及び地域は、CBPRシステムをAPEC域外に拡大すべく、グローバルCBPRフォーラムの設立に向けた宣言を行った。

    また、CBPRシステムの普及促進に向けた取組の一環として、令和5年1月20日には、東京において、米国との共催により、国内企業向けのワークショップを開催した。

  3. DFFTへのリスク等に対応した国際的なスタンダードの形成

    DFFTを脅かすリスクである無制限なガバメントアクセスの問題に対処するため、OECDにおいてガバメントアクセスに係る原則を策定すべく、OECDデジタル経済政策委員会(CDEP)内に設置されたドラフティング・グループ会合及び関連会合に参加し、各国の法執行機関等も交えて議論を行ったところ、令和4年12月14日、我が国を含むOECD加盟国等による閣僚宣言として、同原則を含む「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」が採択された。

    また、WTO等の複数国が参加する枠組みにおいて、個人情報保護に関する議論に参加した。

  4. 国際会議でのDFFTの重要性の発信

    令和4年9月、G7データ保護・プライバシー機関ラウンドテーブル会合(於ドイツ)に委員長が出席した。同ラウンドテーブル会合では、国境を越えた執行協力や企業認証の枠組み等に関する議論を行い、その成果としてコミュニケを公表した。このほか、令和4年7月及び11月に開催のアジア太平洋プライバシー機関(APPA)フォーラム(※1)並びに令和4年10月開催の世界プライバシー会議(GPA)年次総会(※2)に委員及び専門委員が参加した。

    • (※1)アジア太平洋地域のデータ保護機関が、協力関係の構築や情報交換を行うことを目的として、年に2回開催される会議。
    • (※2)各国のデータ保護機関、政府機関、事業者、研究者等が参加し、国際的な個人データ保護の促進や強化等についての議論や情報交換を行う会議。
  5. 個別国とのDFFTに関する関係の強化

    令和4年5月、英国デジタル・文化・メディア・スポーツ省(DCMS。現在データ関連施策はDSIT(Department for Science, Innovation & Technology)に移管)を訪問し、その後、同省職員の来訪等を通じて意見交換を行い、関係強化に努めた。

第2節 国際動向の把握と情報発信

  1. 国際的な情報の収集と我が国の取組の積極的な発信

    GPA内に設置されている「グローバルな枠組みと基準ワーキンググループ」、「国際執行協力ワーキンググループ」、「AIにおける倫理とデータ保護ワーキンググループ」及び「データ共有ワーキンググループ」に参加し、最新の国際動向の把握に努めた。

    令和4年7月開催のCIPL(※)主催イベントに専門委員が登壇し、委員会の取組について発表を行ったほか、外国機関との対話においても委員会の取組について発信した。

    (※)Centre for Information Policy Leadershipの略で、プライバシー・セキュリティに関する国際的なシンクタンク。

  2. 諸外国の個人情報保護法制の情報提供を通じたビジネス支援

    国内の事業者の国際的な活動に資するため、個人情報保護に関する海外の法制度の情報や動向について委員会ウェブサイト上で情報提供を行ってきており、EUのGDPRに係るガイドラインや、EUから第三国への個人データ移転に係る判例法ダイジェストを掲載することにより情報を拡充した。加えて、委員会の国際協力に関する情報へのアクセス改善に資するよう、当該ウェブサイトのレイアウトの変更を行った。

第3節 国境を越えた執行協力体制の強化

  1. 国際会議を通じた関係の構築

    令和4年10月開催のGPA年次総会において、「国際執行協力ワーキンググループ」主催のワークショップに登壇するなど積極的に議論に参加し、GPA参加国との関係構築に努めた。

    令和5年に我が国がG7議長国となることを念頭に、「執行協力作業部会」を主催するなどして、令和5年6月の第3回G7データ保護・プライバシー機関ラウンドテーブル会合の開催に向けて各国との調整を行った。

  2. 二国間関係を通じた関係の構築

    令和4年5月、英国のデータ保護機関である情報コミッショナーオフィス(ICO)を訪問し、執行協力体制の構築の進め方について協議を行うなど、関係強化に努めた。

    また、令和4年7月にはシンガポールのデータ保護機関である個人データ保護委員会(PDPC)を訪問し、二国間連携強化に向けた協議を行った。

    さらに、令和4年10月のGPA年次総会の際、委員及び専門委員が英国の情報コミッショナーと、委員がドイツ連邦共和国データ保護機関(BfDI)のコミッショナー、欧州データ保護監察機関(EDPS)の総裁及びフランスのデータ保護機関(CNIL)の委員長とそれぞれ面談を行い、関係強化に努めた。

Ⅳ 個人情報保護法、マイナンバー法等に共通する事務

第1節 相談受付

  1. 個人情報保護法関係
    1. 個人情報保護法相談ダイヤルにおける対応

      個人情報保護法に関する一般的な解釈や個人情報保護制度に関する一般的な質問に回答するとともに、個人情報等の取扱いに関する苦情の申出についての必要なあっせん及びその処理を行う事業者への協力等を行うための窓口として、個人情報保護法相談ダイヤルを運用している。また、AIを活用したチャットボットサービス(PPC質問チャット)について、令和3年改正法の施行に向けた改修を行い、公的部門を含めた質疑対応を常時行っている。

      • ① 個人情報保護法相談ダイヤル(民間部門)

        令和4年度は、25,055件の相談を受け付けた(付表7)。令和2年改正法の全面施行を受け、特に、事業者からの相談が増加した。 相談内容としては、令和2年改正法に関連するものとして、個人データの漏えい等事案について個人情報保護法第26条及び施行規則第7条に基づく委員会への報告を要するか否かに係る相談が多く寄せられたほか、利用停止・消去の請求の要件の緩和や個人データの接受に関する第三者提供記録についても本人が開示請求できるようになったことに伴い、開示等に関する相談が大幅に増加した。

        また、多数の破産者等の個人情報を個人情報保護法に反する態様で継続的にウェブサイトに掲載していた個人情報取扱事業者に関する情報を500件以上受け付け、当該事業者に対する監督活動への活用を図った。

      • ② 個人情報保護法相談ダイヤル(公的部門)

        デジタル社会形成整備法第50条による改正部分(行政機関及び独立行政法人等に係るもの)の令和4年4月施行に伴い、個人情報保護法相談ダイヤルにおいて公的部門に関する相談の受付を開始した。 令和4年度は、2,121件の相談を受け付けた(付表8)。このうち約7割が個人からの相談となっている。

        相談内容としては、開示請求の手続に関する質問や不開示決定に関する苦情等開示請求等に関する相談が多かった。また、デジタル社会形成整備法第51条による改正部分(地方公共団体の機関及び地方独立行政法人に係るもの)に関する相談として、施行時期に係る質問や地方公共団体等における個人情報の取扱いに関する相談が多く寄せられた。

    2. 個別の事業者への対応

      個人情報保護法相談ダイヤルに事業者の個人情報等の取扱いに関する苦情が寄せられた場合、必要に応じてあっせんの申出を受け付け、事業者の主張や対応方針等の確認を行い、申出者に対する説明を実施するほか、苦情を処理する事業者に対し助言、情報提供等を行っている。

      令和4年度は、23件のあっせんの申出を受け付けた。具体的な事例としては、事業者が個人情報を取得しているにもかかわらず、利用目的の通知がなされていないという苦情の申出について、当該事業者に対し苦情の内容を伝えるとともに、個人情報保護法第21条等の規定の説明を行い、利用目的を申出者に通知するようあっせんを行った。

  2. マイナンバー法関係
    1. マイナンバー苦情あっせん相談窓口における対応

      特定個人情報の取扱いに関する苦情の申出について必要なあっせん等を行う窓口として、マイナンバー苦情あっせん相談窓口を運用している。

      令和4年度は、1,225件の相談を受け付けた(付表9)。マイナンバーカードの普及促進の流れを受けて、特に個人からの相談が増加した。

      相談内容としては、個人からは、マイナンバーカードの取扱いに関する相談が多く寄せられ、事業者からは、事業所における特定個人情報の安全管理措置に関する相談が多く寄せられた。

    2. 個別の事業者への対応

      マイナンバー苦情あっせん相談窓口に事業者等のマイナンバーの取扱いに関する苦情が寄せられた場合、必要に応じてあっせんの申出を受け付け、事業者の主張や対応方針等の確認を行い、申出者に対する説明を実施するほか、苦情を処理する事業者に対し助言、情報提供等を行っている。

      令和4年度は、11件のあっせんの申出を受け付けた。

      具体的な事例としては、事業所における特定個人情報の管理、事務処理状況等に関して、事務担当者間における連絡体制に問題があり、特定個人情報の適切な安全管理措置が図られていないという従業員からの苦情の申出について、当委員会から事業者に事実関係を確認した上で、マイナンバー法の規定等を説明し、是正のための助言を行うなどのあっせんを行った。

第2節 広報及び啓発

  1. 個人情報保護法関係
    1. 事業者への講師派遣等

      事業者等に対して個人情報保護制度を周知するため、オンラインでの説明会を含め、事業者団体主催の説明会等(計141回、約24,000人参加)への講師派遣等を行った(付表10)。また、令和5年4月に令和3年改正法の全面施行を迎えるに当たり、委員会主催で地方公共団体を対象とする「令和3年改正個人情報保護法の施行に向けた対応並びに同法及び番号法に基づく監視・監督等に関する説明会」、地方独立行政法人等を対象とする「令和3年改正個人情報保護法の施行に向けた対応に関する説明会」をオンラインで行った。

    2. シンポジウム

      不正アクセスや、委託先事業者等による漏えい等の発生を踏まえ、個人データ・保有個人情報をどのように守るか、そして万が一、漏えい等が生じた場合の対処を周知・啓発することを目的として令和5年2月16日に「個人情報保護委員会シンポジウム」を開催した。同シンポジウムでは、学識経験者による特別講演に加えて、事業者や専門機関、行政、弁護士それぞれの立場からインシデント発生時の対応や日常における備えについてパネルディスカッションを実施したほか、委員会より民間部門の個人データ及び公的部門の保有個人情報の漏えい等の防止策と、漏えい等発生時の対応に焦点を当て、実践的な情報を提供した。

    3. パンフレット

      令和3年改正法のポイントや個人情報保護法の基本的な内容をまとめた行政機関、独立行政法人等、地方公共団体の機関及び地方独立行政法人の職員向けパンフレット(※1)及び個人情報保護法の主に開示請求手続等についての基本的な内容を解説した国民向けパンフレット(※2)を作成した。このほか、個人情報の適正な加工方法及び活用事例を解説したパンフレット「匿名加工情報 仮名加工情報」、データマッピング・ツールキットを解説したパンフレット「データマッピング・ツールキット」を作成した。

      • (※1)「行政機関・独立行政法人等・地方公共団体の機関・地方独立行政法人向け 令和3年改正個人情報保護法パンフレット」
      • (※2)「国の行政機関、独立行政法人等、地方公共団体の機関及び地方独立行政法人の個人情報保護法」
    4. マンガ及び動画コンテンツ

      地方公共団体職員及び国民に対して令和3年改正法のポイントを分かりやすく周知するためのコンテンツを、国民に対して個人情報保護のリテラシー向上を図るためのコンテンツを、それぞれアニメーション及びマンガ形式で作成した。

      また、研修等で活用できるよう、個人情報保護法の基本的な内容を分かりやすく解説した地方公共団体職員向けの動画「個人情報保護法の概要(地方公共団体職員向け)」及び「個人情報の適正な取扱いのための研修資料(安全管理措置等について)」を作成するとともに、事業者向けの動画「個人情報保護法の基本と従業員の皆様にご注意いただきたいポイント」を作成した。

    5. 多面的な情報発信

      インターネット広告、雑誌広告等幅広い媒体を通じて、令和3年改正法のポイントや医療機関における個人情報の取扱いに関する注意喚起等について情報発信を行った。

    6. 政府広報

      「これだけは知ってほしい個人情報保護10のチェックポイント(中小企業編)」及び 「名簿を作るときに知ってほしい個人情報保護のチェックポイント(マンション管理組合・PTA・自治会編)」の2種類の動画を作成し、政府インターネットテレビ及び委員会ウェブサイト上に掲載した。また、個人情報保護法の概要、個人情報や個人データを取り扱うときの基本的なルール等を分かりやすく解説するページを政府広報オンライン上に掲載した。

    7. 個人情報を考える週間

      委員会が加盟しているAPPAにおいて取り組むこととされているPrivacy Awareness Weekについて、令和4年5月30日から6月5日までの期間を「個人情報を考える週間」として設定し、個人情報の重要性等について広く国民に対し広報活動を行った。 具体的には、委員会ウェブサイト上に「個人情報を考える週間」の特設ページを設けたほか、全国の地方公共団体における啓発ポスターの掲示、駅構内におけるデジタルサイネージ広告の放映、インターネット広告による情報発信等を行った。

    8. こども向けの啓発(出前授業等)

      小学生を主な対象としたSNS等の利用の際の個人情報の適正な取扱い方を学ぶことができる動画「取扱注意!みんなの大切な個人情報~SNS・オンラインゲーム編~」及びハンドブック「みんなの大切な個人情報」を用いて、個人情報保護の大切さを伝える出前授業(計4回、約500人参加)を実施した。また、オンラインゲームや位置情報アプリの利用の際の個人情報の適正な取扱い方を学ぶことができるマンガ及び動画を作成した。

    9. 公式Twitterの運用

      委員会ウェブサイト上に掲載された新着情報、活動情報等の発信のほか、解説コンテンツ「マンガで学ぶ個人情報保護法」及び「個人情報を考える週間」と連動したクイズ発信等を委員会の公式Twitterを活用して行った。

  2. マイナンバー法関係

    令和4年度においては、動画配信も活用しつつ、特定個人情報の適正な取扱いの確保や安全管理措置の再確認を促すこと等を目的とした解説等を行った。

    具体的には、令和4年4月から同年7月までの間に他省庁と連携して実施した社会保障・税番号制度担当者説明会(動画配信も併用)、同年6月から令和5年3月までの間に開催された地方公共団体情報システム機構主催の動画配信セミナー、令和4年12月に他省庁と連携して実施した特定個人情報の安全管理措置に関する説明会及び令和5年1月に実施した「令和3年改正個人情報保護法の施行に向けた対応並びに同法及び番号法に基づく監視・監督等に関する説明会」において、新たに個人番号利用事務を実施することとなる者や地方公共団体の事務担当者に対して解説を行ったほか、個別に要望があった団体に対して、これまでの立入検査の結果等を踏まえた特定個人情報の取扱いに関する留意点等について解説を行った(付表11)。

    また、地方公共団体において、単純な事務ミスによる特定個人情報の漏えい等事案が多く発生していることを踏まえ、それらに対する防止策の着眼点をまとめた「特定個人情報の漏えい等の防止について-地方公共団体における単純な事務ミスを防止するための着眼点-」を作成し、委員会ウェブサイトに掲載するとともに、地方公共団体に周知を行った。

第3節 人材育成

委員会の所掌事務を適切に遂行すべく、多様な人材の活用と育成のため、個人情報の保護及び利活用並びにマイナンバーの取扱いに係る監視・監督並びに個人データの国際的流通枠組構築への取組等の業務運営に必要な資質・職務遂行能力の向上を主な目的として研修を実施したほか、職員を外部の専門機関等が実施する研修(情報セキュリティや語学)にも積極的に参加させるなど、委員会内外の様々な機会を通じて人材育成に努めた。

新規採用職員に対しては、メンター制度を整備し豊富な知識と業務経験を有する職員が年間を通じて個別的な支援活動を行った。また、個人情報保護に関する資格の取得を義務付けることにより、今後の委員会業務の前提となる知識の着実な定着を図った。

近年の個人情報漏えいの事件・事故は、情報システムの不備や脆弱性、サイバー攻撃によるものが増えており、これに対応する事務局職員には、特にIT・セキュリティの知見が不可欠であることから、幅広い年齢層の職員にその素養を向上させる取組を重点的に実施した。

まず、サイバーセキュリティ分野における対応能力を習得及び向上させるとともに「政府機関におけるデジタル改革に必要なIT・セキュリティ知識を有する人材の確保・育成総合強化方針(令和3年7月6日サイバーセキュリティ対策推進会議・各府省情報化統括責任者連絡会議決定)」に示された政府デジタル人材を確保・育成することを目的として、専門機関が実施するサイバーセキュリティ研修やITリテラシー・セキュリティに関する研修等へ積極的に参加させ、専門的知識の習得や政府デジタル人材のスキル認定を行った。

また、IT・セキュリティ分野でのリスキリング(知識・技術の再習得)を支援するため、経済産業省が実施する「情報処理技術者試験」の受験を推奨しており、受験者には教材の提供や有資格者からの受験指導等の支援を行った。

令和元年度から開始した、情報システム関連業務における課題解決等のスキルの習得を目的としたIT研修について、技術系の事務局職員以外にも対象者を拡大するとともに、内容についてもプログラミング演習の回数を増やすなど、より実践的なスキル向上となるよう見直しを行った上で実施した(付表12)。

付表 活動実績

  1. 個人情報の取扱いに関する監視又は監督の状況
    1. 総括

      (期間:令和4年4月1日~令和5年3月31日)

      ① 個人情報取扱事業者等に対する監督
      対応事項件数
      漏えい等事案に関する報告の処理件数 7,685件(前年度:5,846件)(※1)
      (内訳)
      委員会直接受付分:4,217件(前年度:1,042件)
      (うち域外適用分:8件(前年度:5件))
      委任先省庁経由分:3,468件(前年度:2,386件)
      〔参考〕任意の報告等:837件(※2)
      報告徴収 176件(前年度:407件(※3))
      (内訳)
      委員会実施分:81件(前年度:328件)
      委任先省庁実施分:95件(前年度:79件)(※3))(※4)
      立入検査 26件(前年度:30件(※3))(※5)
      (内訳)
      委員会実施分:1件(前年度:0件)
      委任先省庁実施分:25件(前年度:30件)(※3))(※6)
      指導及び助言 115件(前年度:217件)
      (うち域外適用分:0件(前年度:0件))
      勧告1件(前年度:3件)
      命令1件(前年度:1件)
      • (※1)前年度の件数には認定団体経由で報告された2,418件を含む。なお、令和2年改正法が令和4年4月1日に施行されたことに伴い認定団体を経由した漏えい等事案の報告制度は廃止された。
      • (※2)法令上報告が義務付けられていないものの任意に報告がなされたものや、速報提出後に法令上の報告義務対象ではないことが明らかになったもの等を計上している。
      • (※3)報告徴収及び立入検査の委任先省庁実施分の前年度の件数は、委任先省庁(総務省)から追加報告があったため、それぞれ1件から79件、4件から30件に更新し、これに伴い、合計数も併せて更新している。
      • (※4)委任先省庁実施分は、業法に基づく計画検査等と合わせて実施されたものである。
      • (※5)立入検査の件数は、立入検査開始日を基準として計上している。
      • (※6)委任先省庁実施分は、業法に基づく定期検査と合わせて実施されたものである。
      ② 行政機関等に対する監視
      対応事項件数
      漏えい等事案に関する報告の処理件数 114件
      〔参考〕任意の報告等:50件(※1)
      資料提出の求め 20件(※2)
      実地調査26件(※3)
      指導及び助言24件(※2)
      勧告0件
      勧告に基づいてとった措置についての報告の要求0件
      • (※1)法令上報告が義務付けられていないものの任意に報告がなされたものや、速報提出後に法令上の報告義務対象ではないことが明らかになったもの等を計上している。
      • (※2)資料提出の求め並びに指導及び助言の実施件数は、計画的に行われた実地調査に伴うものも含み、計画的に行われた実地調査に伴うものについては当該実地調査の開始日を基準として計上している。
      • (※3)実地調査の件数は、計画的に行われたものを含み、実地調査開始日を基準として計上している。
    2. 個人データ及び保有個人情報の漏えい等事案の状況
      • ①漏えい等した人数
        (期間:令和4年4月1日~令和5年3月31日)
          件数
        (割合)
        漏えい等した人数 漏えい等した人数 漏えい等した人数 漏えい等した人数 漏えい等した人数
          件数
        (割合)
        1,000人
        以下
        1,001~
        10,000人
        10,001~
        50,000人
        50,001人
        以上
        不明
        個人情報取扱事業者等 7,685件
        (100%)
        7,206件
        (93.8%)
        245件
        (3.2%)
        56件
        (0.7%)
        42件
        (0.5%)
        136件
        (1.8%)
        行政機関等114件
        (100%)
        109件
        (95.6%)
        5件
        (4.4%)
        0件
        (0.0%)
        0件
        (0.0%)
        0件
        (0.0%)
        7,799件
        (100%)
        7,315件
        (93.8%)
        250件
        (3.2%)
        56件
        (0.7%)
        42件
        (0.5%)
        136件
        (1.7%)
        • (注1)漏えい等事案には、「漏えい」のほか、「滅失」、「毀損」の事案及びこれらのおそれがある場合を含む。
        • (注2)「漏えい等した人数」とは、漏えい等した個人情報によって識別される特定の本人の数であり、人数が確定できない場合は、漏えい等した可能性のある本人を含む最大人数として報告を受けている。
      • ②漏えい等した情報の種類(①に計上した漏えい等事案のうち委員会に報告されたもの(以下⑤まで同じ。)に係る情報)   
        (期間:令和4年4月1日~令和5年3月31日)
          件数(割合)件数(割合) 漏えい等した情報の種類漏えい等した情報の種類
        漏えい等した情報の種類
        漏えい等した情報の種類漏えい等した情報の種類漏えい等した情報の種類
        個人情報
        取扱
        事業者
           
        顧客情報
        顧客情報
        従業員情報
        従業員情報
        その他の情報
        その他の情報
        個人情報取扱事業者等
        うち基本情報のみ
        うち基本情報のみ
        うち基本情報のみ
        うち基本情報のみ
        個人情報取扱事業者等 4,217件
        (100%)
        89件
        (2.1%)
        3,540件
        (83.9%)
        74件
        (1.8%)
        369件
        (8.8%)
        8件
        (0.2%)
        595件
        (14.1%)
        13件
        (0.3%)
        行政機関等   
        国民等の情報
        国民等の情報
        職員情報
        職員情報
        その他の情報
        その他の情報
        行政
        機関等

        うち基本情報のみ
        うち基本情報のみ
        うち基本情報のみ
        うち基本情報のみ
        行政機関等 114件
        (100%)
        4件
        (3.5%)
        99件
        (86.8%)
        4件
        (3.5%)
        12件
        (10.5%)
        0件
        (0.0%)
        10件
        (8.8%)
        0件
        (0.0%)
        • (注1)「基本情報」とは、氏名、生年月日、性別、住所を指す。
        • (注2)1つの事案で複数の情報が漏えい等した場合は、全て計上しているため、「漏えい等した情報の種類」欄の件数は合計件数を超えることがある。同様に、「漏えい等した情報の種類」欄の割合合計が100%を超えることがある。
      • ③漏えい等した情報の形態
        (期間:令和4年4月1日~令和5年3月31日、単位:件)
          件数(割合) 漏えい等した情報の形態
        漏えい等した情報の形態
        漏えい等した情報の形態 漏えい等した情報の形態
          件数(割合) 電子媒体のみ紙媒体のみ電子・紙媒体 その他
        個人情報取扱
        事業者等
        4,217件
        (100%)
        7件
        (0.2%)
        4,010件
        (95.1%)
        0件
        (0.0%)
        200件
        (4.7%)
        行政機関等 114件
        (100%)
        0件
        (0.0%)
        106件
        (93.0%)
        0件
        (0.0%)
        8件
        (7.0%)
      • ④ 報告義務該当事由
        (期間:令和4年4月1日~令和5年3月31日)
          報告義務該当事由 報告義務該当事由 報告義務該当事由 報告義務該当事由 報告義務該当事由
        個人情報取扱
        事業者等
        件数(割合)要配慮個人情報を
        含む
        財産的被害が
        生じるおそれ
        不正の目的をもって行われたおそれ本人数1000人超
        個人情報取扱
        事業者等
        4,217件
        (100%)
        3,584件
        (85.0%)
        56件
        (1.3%)
        469件
        (11.1%)
        271件
        (6.4%)
        行政機関等 件数(割合)要配慮個人情報を
        含む
        財産的被害が
        生じるおそれ
        不正の目的をもって行われたおそれ本人数1000人超
        行政機関等 114件
        (100%)
        79件
        (69.3%)
        2件
        (1.8%)
        5件
        (4.4%)
        35件
        30.7%)
        • (注)1つの事案で複数の報告義務要件に該当する場合には全て計上しているため、「報告義務該当事由」 欄の件数は合計件数を超えることがある。同様に、「報告義務該当事由」欄の割合合計が100%を超えることがある。
      • ⑤ 漏えい等元及び漏えい等原因   
        (期間:令和4年4月1日~令和5年3月31日)
         
        漏えい等元件数
        (割合)
        漏えい等元件数 (割合) 原因 原因 原因 原因 原因 原因 原因 原因
          漏えい等元件数 (割合) 漏えい等元件数 (割合) 誤交付誤送付誤廃棄紛失盗難内部不正不正アクセスその他
        個人情報取扱事業者等
        報告者 3,773件
        (89.5%)
        2,454件
        (58.2%)
        710件
        (16.8%)
        30件
        (0.7%)
        174件
        (4.1%)
        31件
        (0.7%)
        12件
        (0.3%)
        183件
        (4.3%)
        179件
        (4.2%)
        個人情報取扱事業者等 委託先 231件
        (5.5%)
        28件
        (0.7%)
        81件
        (1.9%)
        4件
        (0.4%)
        15件
        (0.4%)
        7件
        (0.2%)
        5件
        (0.1%)
        45件
        (1.1%)
        46件
        (1.1%)
        個人情報取扱事業者等 不明 213件
        (5.1%)
        3件
        (0.1%)
        10件
        (0.2%)
        0件
        (0.0%)
        18件
        (0.4%)
        4件
        (0.1%)
        0件
        (0.0%)
        138件
        (3.3%)
        40件
        (0.9%)
        行政機関等
        報告者 84件
        (73.7%)
        7件
        (6.1%)
        43件
        (37.7%)
        12件
        (10.5%)
        11件
        (9.6%)
        0件
        (0.0%)
        0件
        (0.0%)
        0件
        (0.0%)
        11件
        (9.6%)
        行政機関等 委託先 21件
        (18.4%)
        4件
        (3.5%)
        9件
        (7.9%)
        0件
        (0.0%)
        0件
        (0.0%)
        0件
        (0.0%)
        0件
        (0.0%)
        4件
        (3.5%)
        4件
        (3.5%)
        行政機関等 不明 9件
        (7.9%)
        1件
        (0.9%)
        0件
        (0.0%)
        1件
        (0.9%)
        1件
        (0.9%)
        2件
        (1.8%)
        0件
        (0.0%)
        0件
        (0.0%)
        4件
        (3.5%)
    3. 個人情報保護法に基づき計画的に行われた実地調査の結果
      <各調査項目において不備事項が認められた割合>
      (期間:令和4年4月1日~令和5年3月31日)
      (実地調査先数 行政機関等:26)
      調査項目 行政機関等
      規程の整備状況12%(3)
      組織体制の整備状況8%(2)
      漏えい等事案等発生時等の対応体制12%(3)
      教育研修46%(12)
      監査・点検31%(8)
      委託及び再委託46%(12)
      書類の保管及び廃棄8%(2)
      電子媒体の管理及び使用27%(7)
      アカウント及びアクセス権の管理42%(11)
      端末及びサーバの管理12%(3)
      ログの分析46%(12)
      その他8%(2)

      (注)( )内は不備事項が認められた実地調査の先数を計上している。

    4. 認定団体の取組状況
      (期間:令和4年4月1日~令和5年3月31日、単位:件)
      名称
      個人情報保護法第53条及び第54条に基づく措置
      個人情報保護法第53条及び第54条に基づく措置 個人情報保護法第53条及び第54条に基づく措置個人情報保護法第53条及び第54条に基づく措置 個人情報保護法第53条及び第54条に基づく措置 個人情報保護法第53条及び第54条に基づく措置その他の積極的な取組
      名称
      苦情受付説明要求資料要求指導勧告その他の措置(※1) その他の積極的な取組
      一般社団法人
      全国警備業協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者からの各種問合せに対応
      一般社団法人
      全日本指定自動車教習所協会連合会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      日本証券業協会 9 0 0 0 0 0
      • 自主規制規則に基づく協会員への監査を実施
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      一般社団法人
      生命保険協会
      21 21 0 8 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      一般社団法人
      日本損害保険協会
      12 12 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者における個人データの安全管理措置体制を点検
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      一般社団法人
      外国損害保険協会
      5 5 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      全国銀行個人情報保護協議会 122 25 0 57 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      • 対象事業者からの各種問合せに対応
      一般社団法人
      信託協会
      1 1 0 27 0 0
      • 個人情報保護指針を改定
      • 外部有識者の意見を聴取する懇談会を実施
      • 対象事業者への情報提供を実施
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      一般社団法人
      投資信託協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 委員会の担当官を招いて、法改正に係る研修会を実施したほか、有識者を招いた各種研修を実施
      一般社団法人
      日本投資顧問業協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      日本貸金業協会 1 1 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者へのeラーニングを実施
      一般社団法人
      金融先物取引業協会
      0 0 0 1 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      • 対象事業者からの各種問合せに対応
      一般財団法人
      放送セキュリティセンター
      11 3 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      • 対象事業者からの各種問合せに対応
      一般財団法人
      日本データ通信協会
      57 3 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 外部有識者を招いて、研修会を実施
      一般財団法人
      日本情報経済社会推進協会
      193 0 53 0 0 53
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • CBPR認証審査の実施のほか、CBPR認証に関連した各種業務を実施
      日本製薬団体連合会 0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      公益社団法人
      全日本病院協会
      0 0 0 34 0 0
      • 個人情報保護指針を改定
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      特定非営利活動法人
      医療ネットワーク支援センター
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      • 対象事業者からの各種問合せに対応
      一般社団法人
      国際情報セキュリティーマネジメント研究所
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への研修会を実施
      特定非営利活動法人
      日本手技療法協会
      0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      一般社団法人
      日本個人情報管理協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      一般社団法人
      全日本ギフト用品協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      一般社団法人
      日本クレジット協会
      8 3 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      公益社団法人
      東京グラフィックサービス工業会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      • 機関誌にセキュリティ関連事項等の解説記事を掲載
      一般社団法人
      日本専門店協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      公益社団法人
      日本消費生活アドバイザー・コンサルタント・相談員協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者からの各種問合せに対応
      一般社団法人
      結婚相談業サポート協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      一般社団法人
      日本結婚相手紹介サービス協議会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      株式会社IBJ
      (日本結婚相談所連盟)
      7 0 0 5 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      大阪毎日新聞販売店事業協同組合 0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      JECIA個人情報保護協会 0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      全国こころの会葬祭事業協同組合 0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者からの各種問合せに対応
      一般社団法人
      医療データベース協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      一般社団法人
      全国自動車標板協議会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修講師派遣を実施
      一般社団法人
      中小企業個人情報セキュリティー推進協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への学習教材の提供
      • 対象事業者からの各種問合せに対応
      一般社団法人
      モバイル・コンテンツ・フォーラム
      0 0 0 0 0 0
      • 対象事業者への情報提供を実施
      • 対象事業者からの各種問合せに対応
      公益社団法人
      日本通信販売協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への研修会を実施
      • 対象事業者からの各種問合せに対応
      一般社団法人
      日本情報システム・ユーザー協会
      7 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 委員会の担当官を招いて、法改正に係る研修会を実施
      • 対象事業者からの各種問合せに対応
      工業会
      日本万引防止システム協会
      0 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      特定非営利活動法人
      全国万引犯罪防止機構(※2)
      0 0 0 0 0 0
      • 特定分野型認定団体への変更を実施
      • 個人情報保護指針を改定
      • 対象事業者からの各種問合せに対応
      一般社団法人
      JAPHICマーク認証機構
      2 0 0 0 0 0
      • 個人情報保護指針を改定
      • 対象事業者への情報提供を実施
      • 対象事業者への研修会を実施
      一般社団法人
      遺伝情報取扱協会
      (※2)(※3)
      0 0 0 0 0 0
      • 個人情報保護指針を策定
      • 対象事業者への情報提供を実施
      公益社団法人
      日本防犯設備協会
      (※2)(※4)
      0 0 0 0 0 0
      • 個人情報保護指針を策定
      456 74 53 132 0 53
      • (※1)「その他の措置」とは、認定団体が、個人情報保護法第54条に基づき自ら作成及び公表した個人情報保護指針を対象事業者に遵守させるために行った措置で、「指導」及び「勧告」以外のものを指す。
      • (※2)特定分野型認定団体である団体。
      • (※3)令和4年7月20日に新たに認定した団体。
      • (※4)令和5年3月8日に新たに認定した団体。
  2. 特定個人情報の取扱いに関する監視又は監督の状況
    1. 総括
      (期間:令和4年4月1日~令和5年3月31日)
      対応事項件数等件数等件数等件数等件数等
      特定個人情報の
      漏えい等事案の
      報告の処理状況
      171件(前年度:170件)
      (うち「報告対象事態」に該当:36件(前年度:9件))(※1)
      (内訳)
      • 行政機関等 :16件(前年度:29件)

        (うち「報告対象事態」に該当:0件(前年度:0件))

      • 地方公共団体:83件(前年度:102件)

        (うち「報告対象事態」に該当:1件(前年度:3件))

      • 事業者   :72件(前年度:39件)

        (うち「報告対象事態」に該当:35件(前年度:6件))

      171件(前年度:170件)
      (うち「報告対象事態」に該当:36件(前年度:9件))(※1)
      (内訳)
      • 行政機関等 :16件(前年度:29件)

        (うち「報告対象事態」に該当:0件(前年度:0件))

      • 地方公共団体:83件(前年度:102件)

        (うち「報告対象事態」に該当:1件(前年度:3件))

      • 事業者   :72件(前年度:39件)

        (うち「報告対象事態」に該当:35件(前年度:6件))

      171件(前年度:170件)
      (うち「報告対象事態」に該当:36件(前年度:9件))(※1)
      (内訳)
      • 行政機関等 :16件(前年度:29件)

        (うち「報告対象事態」に該当:0件(前年度:0件))

      • 地方公共団体:83件(前年度:102件)

        (うち「報告対象事態」に該当:1件(前年度:3件))

      • 事業者   :72件(前年度:39件)

        (うち「報告対象事態」に該当:35件(前年度:6件))

      171件(前年度:170件)
      (うち「報告対象事態」に該当:36件(前年度:9件))(※1)
      (内訳)
      • 行政機関等 :16件(前年度:29件)

        (うち「報告対象事態」に該当:0件(前年度:0件))

      • 地方公共団体:83件(前年度:102件)

        (うち「報告対象事態」に該当:1件(前年度:3件))

      • 事業者   :72件(前年度:39件)

        (うち「報告対象事態」に該当:35件(前年度:6件))

      171件(前年度:170件)
      (うち「報告対象事態」に該当:36件(前年度:9件))(※1)
      (内訳)
      • 行政機関等 :16件(前年度:29件)

        (うち「報告対象事態」に該当:0件(前年度:0件))

      • 地方公共団体:83件(前年度:102件)

        (うち「報告対象事態」に該当:1件(前年度:3件))

      • 事業者   :72件(前年度:39件)

        (うち「報告対象事態」に該当:35件(前年度:6件))

      特定個人情報の漏えい等事案の報告の処理状況 報告対象事態
      該当事由の
      内訳(※2)
      情報提供ネット
      ワークシステム
      等上の情報
      不正の目的をもって行われたおそれ 不特定多数の者に閲覧されたおそれ 本人数100 人超
      特定個人情報の漏えい等事案の報告の処理状況 合計件数 0件 33 件 0件 14 件
      特定個人情報の漏えい等事案の報告の処理状況 (内訳)行政機関等 0件 0件 0件 0件
      特定個人情報の漏えい等事案の報告の処理状況 地方公共団体 0件 1件 0件 0件
      特定個人情報の漏えい等事案の報告の処理状況 事業者 0件 32 件 0件 14 件
      指導及び助言
      67件(前年度:17件)(※3)
      67件(前年度:17件)(※3) 67件(前年度:17件)(※3) 67件(前年度:17件)(※3) 67件(前年度:17件)(※3)
      報告徴収
      62件(前年度:74件)
      62件(前年度:74件) 62件(前年度:74件) 62件(前年度:74件) 62件(前年度:74件)
      立入検査
      63件(前年度:62件)(※4)(※5)
      (内訳)行政機関等6件、地方公共団体57件
      (前年度:行政機関等11件、地方公共団体51件)
      63件(前年度:62件)(※4)(※5) (内訳)行政機関等6件、地方公共団体57件
      (前年度:行政機関等11件、地方公共団体51件)
      63件(前年度:62件)(※4)(※5) (内訳)行政機関等6件、地方公共団体57件
      (前年度:行政機関等11件、地方公共団体51件)
      63件(前年度:62件)(※4)(※5) (内訳)行政機関等6件、地方公共団体57件
      (前年度:行政機関等11件、地方公共団体51件)
      63件(前年度:62件)(※4)(※5) (内訳)行政機関等6件、地方公共団体57件(前年度:行政機関等11件、地方公共団体51件)
      • (※1)「報告対象事態」とは、漏えい等報告規則第2条各号(ただし、令和3年度以前に発生した事案については、令和3年個人情報保護委員会規則第2号による改正前の漏えい等報告規則第2条各号)に掲げる事態であり、前年度の実績は令和3年個人情報保護委員会規則第2号による改正前の漏えい等報告規則第2条各号に掲げる事態である。
      • (※2)1つの事案で複数の報告対象事態に該当する場合には全ての該当事由に計上しているため、「報告対象事態該当事由の内訳」記載の合計件数は、「特定個人情報の漏えい等事案の報告の処理状況」欄記載の報告対象事態の件数を超えることがある。
      • (※3)報告徴収並びに指導及び助言の実施件数は、計画的に行われた立入検査に伴うものも含み、計画的に行われた立入検査に伴うものは当該立入検査開始日を基準として計上している。ただし、前年度の実績は、立入検査に伴うものも報告徴収並びに指導及び助言の実施日を基準として計上している。
      • (※4)立入検査の実施件数は、立入検査開始日を基準として計上している。
      • (※5)前年度においては電子媒体による資料徴求、電話、メール又はオンライン会議でのコミュニケーション等の手法も活用した。
    2. マイナンバー法に基づき計画的に行われた立入検査の結果
      <各検査項目において不備事項が認められた割合>
       (期間:令和4年4月1日~令和5年3月31日)
      (立入検査先数:行政機関等6、地方公共団体57)
      検査項目行政機関等 地方公共団体
      規程の整備状況17%(1) 19%(11)
      組織体制の整備状況17%(1) 44%(25)
      漏えい等事案等発生時等の対応体制0%(0) 39%(22)
      教育研修17%(1) 82%(47)
      監査17%(1) 60%(34)
      委託及び再委託0%(0) 58%(33)
      書類の保管及び廃棄0%(0) 35%(20)
      インターネット分離の対応状況0%(0) 0%(0)
      電子媒体の管理及び使用0%(0) 32%(18)
      アカウント及びアクセス権の管理33%(2) 51%(29)
      端末及びサーバの管理17%(1) 28%(16)
      ログの分析0%(0) 84%(48)
      その他0%(0) 0%(0)
      • (注)( )内は不備事項が認められた立入検査の先数を計上している。
  3. 特定個人情報保護評価書の承認日
     (期間:令和4年4月1日~令和5年3月31日)
    評価実施機関評価書名 委員会承認日
    農水産業協同組合貯金保険機構農水産業協同組合貯金保険法による貯金等に係る債権の額の把握に関する事務 全項目評価書 令和4年5月18日
    法務大臣戸籍関係情報の提供等及びオンラインによる戸籍電子証明書等の提供等に関する事務 全項目評価書 令和4年5月25日
    国税庁長官国税関係事務 全項目評価書 令和4年6月22日
    国税庁長官国税関係(受付)事務 全項目評価書 令和4年8月10日
    国税庁長官国税関係(賦課・徴収)事務 全項目評価書 令和4年8月10日
    地方公共団体情報システム機構住民基本台帳ネットワーク及び番号制度関連事務 全項目評価書 令和4年10月5日
    関東ITソフトウェア健康保険組合関東ITソフトウェア健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和4年10月5日
    社会保険診療報酬支払基金医療保険者等向け中間サーバー等における資格履歴管理、情報提供ネットワークシステムを通じた情報照会・提供及び本人確認に関する事務 全項目評価書 令和4年10月19日
    預金保険機構預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する事務 全項目評価書 令和4年10月26日
    内閣総理大臣口座登録法に基づく公金受取口座の登録等に関する事務及び預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する事務  全項目評価書 令和4年10月26日
    東京都医業健康保険組合東京都医業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和4年12月14日
    東京実業健康保険組合東京実業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和4年12月14日
    厚生労働大臣公的年金業務等に関する事務 全項目評価書 令和4年12月21日
    産業機械健康保険組合産業機械健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和5年1月25日
    東京不動産業健康保険組合東京不動産業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和5年1月25日
    東京都情報サービス産業健康保険組合東京都情報サービス産業健康保険組合 適用、給付及び徴収関係事務 全項目評価書 令和5年1月25日
    東京薬業健康保険組合東京薬業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和5年1月25日
    独立行政法人日本学生支援機構独立行政法人日本学生支援機構法による学資の貸与及び支給に関する事務 全項目評価書 令和5年3月8日
    関東百貨店健康保険組合関東百貨店健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和5年3月15日
    東京電子機械工業健康保険組合東京電子機械工業健康保険組合における適用、給付及び徴収関係事務 全項目評価書 令和5年3月15日
    日本私立学校振興・共済事業団日本私立学校振興・共済事業団における公的年金業務等に関する事務 全項目評価書 令和5年3月15日
    日本私立学校振興・共済事業団日本私立学校振興・共済事業団における短期給付に関する事務 全項目評価書 令和5年3月15日
    預金保険機構預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する事務 全項目評価書 令和5年3月29日
  4. 評価実施機関の特定個人情報保護評価書の公表状況
    (令和5年3月31日時点)
    評価実施機関 評価書を公表した機関数評価対象事務数 評価書種別評価書種別評価書種別
    評価実施機関 評価書を公表した機関数評価対象事務数 基礎項目重点項目全項目
    行政機関の長 10 20 9 0 11
    地方公共団体の長その他の機関 2,190 36,514 34,189 1,679 646
    独立行政法人等 50 57 48 1 8
    地方独立行政法人 2 2 2 0 0
    地方公共団体情報システム機構 1 1 0 0 1
    情報連携を行う事業者 644 734 608 42 84
    2,897 37,328 34,856 1,722 750
    • (注)全項目評価又は重点項目評価を実施する事務の場合は、全項目評価書又は重点項目評価書と併せて基礎項目評価書を公表することとなるが、この場合の基礎項目評価書の数は計上していない。
  5. 主な国際会議への参加
    (期間:令和4年4月1日~令和5年3月31日)
    国際会議名 開催月
    第6回OECDデジタル経済政策委員会デジタル経済データガバナンス・プライバシー作業部会(WPDGP)令和4年4月
    第86回OECDデジタル経済政策委員会(CDEP)会合令和4年4月
    OECDガバメントアクセスに関する再招集ドラフティング・グループ(計5回)令和4年4月、6月、9月、10月
    2007年OECD勧告のレビューに係る執行協力に関するエキスパート・ラウンドテーブル会合(計2回)令和4年6月、10月
    G7データ保護・プライバシー機関技術作業部会令和4年6月
    G7データ保護・プライバシー機関執行協力作業部会令和4年6月
    G7データ保護・プライバシー機関ラウンドテーブル会合準備作業部会令和4年6月
    第35回Privacy Laws and Business年次会合令和4年7月
    第57回アジア太平洋プライバシー機関(APPA)フォーラム令和4年7月
    CIPL主催CIPL-PDPC合同ラウンドテーブル令和4年7月
    第45回APECデータ・プライバシー・サブグループ会合令和4年8月
    2022年第2回APEC貿易・投資委員会デジタル経済運営グループ会合令和4年8月
    第2回G7データ保護・プライバシー機関ラウンドテーブル会合令和4年9月
    第87回OECD・CDEP会合令和4年9月
    OECDガバメントアクセスに係るステークホルダーコンサルテーション令和4年9月
    日英デジタルパートナーシップ第1回会合令和4年10月
    第11回Asia Privacy Bridge Forum令和4年10月
    第7回OECD・WPDGP令和4年10月
    日EU・EPAに「データの自由な流通に関する規定」を含めることに関する交渉令和4年10月
    第44回世界プライバシー会議(GPA)年次総会令和4年10月
    G7データ保護・プライバシー機関ラウンドテーブル会合関連会合令和4年11月
    第88回OECD・CDEP会合令和4年11月
    第58回APPAフォーラム令和4年11月
    第89回OECD・CDEP会合令和4年12月
    OECDデジタル経済に関する閣僚会合令和4年12月
    第90回OECD・CDEP会合令和4年12月
    第1回G7データ保護・プライバシー機関先端技術作業部会令和5年2月
    第46回APECデータ・プライバシー・サブグループ会合令和5年2月
    2023年第1回APEC貿易・投資委員会デジタル経済運営グループ会合令和5年2月
    第1回G7データ保護・プライバシー機関執行協力作業部会令和5年2月
    第1回G7データ保護・プライバシー機関DFFT作業部会令和5年3月
    第13回インターネットエコノミーに関する日米政策協力対話 令和5年3月
    第2回G7データ保護・プライバシー機関先端技術作業部会令和5年3月
    第2回G7データ保護・プライバシー機関DFFT作業部会令和5年3月
  6. 外国機関との対話実績
    (期間:令和4年4月1日~令和5年3月31日)
    対話の相手等 開催月
    ベトナム関係省庁との対話(計2回)令和4年4月、令和5年3月
    英国情報コミッショナーオフィス(ICO)との会合(計7回)令和4年4月、5月、9月、10月、令和5年1月、2月、3月
    シンガポール個人データ保護委員会(PDPC)との対話(計4回)令和4年5月、7月、令和5年2月、3月
    英国デジタル・文化・メディア・スポーツ省(DCMS。現在データ関連施策はDSIT(Department for Science, Innovation & Technology)に移管)との対話(計4回)令和4年5月、8月、10月、令和5年2月
    米国国務省、司法省、国家情報長官庁、商務省との対話令和4年6月
    欧州委員会司法総局との対話(計10回)令和4年6月、7月、8月、10月、12月、令和5年3月
    米国商務省、司法省、国務省、通商代表部との対話(計2回)令和4年7月、8月
    米国商務省、司法省等及び欧州委員会司法総局との対話令和4年8月
    米国、欧州委員会司法総局、英国、スイスの関係当局との対話(計3回)令和4年9月、10月
    ドイツ連邦共和国データ保護機関(BfDI)との対話(計2回)令和4年9月、10月
    米国、欧州委員会司法総局、英国の関係当局との対話(計2回)令和4年10月
    欧州データ保護監察機関(EDPS)との対話令和4年10月
    フランスデータ保護機関(CNIL)との対話令和4年10月
    OECD事務総長との会談令和4年12月
  7. 個人情報保護法相談ダイヤル(民間部門)における受付件数
    (期間:令和4年4月1日~令和5年3月31日、単位:件)
    分類件数相談主体別相談主体別相談主体別
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    分類件数事業者 個人 その他
    (※3)
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※4)
    (1件の問合せで複数の項目に該当する場合を含む。)
    苦情
    (※1)
    7,466
    (6,011)
    100
    (50)
    7,284
    (5,882)
    82
    (79)
    第三者提供利用目的 開示等安全管理措置不適正な利用の禁止
    苦情
    (※1)
    7,466
    (6,011)
    100
    (50)
    7,284
    (5,882)
    82
    (79)
    2,991
    (2,599)
    1,891
    (1,548)
    1,291
    (540)
    764
    (875)
    543
    (-)
    苦情
    (※1)
    苦情の合計のうち、あっせん申出受付の件数は23件(29件)。
    苦情の合計のうち、あっせん申出受付の件数は23件(29件)。 苦情の合計のうち、あっせん申出受付の件数は23件(29件)。 苦情の合計のうち、あっせん申出受付の件数は23件(29件)。 苦情の合計のうち、あっせん申出受付の件数は23件(29件)。 苦情の合計のうち、あっせん申出受付の件数は23件(29件)。 苦情の合計のうち、あっせん申出受付の件数は23件(29件)。 苦情の合計のうち、あっせん申出受付の件数は23件(29件)。 苦情の合計のうち、あっせん申出受付の件数は23件(29件)。
    質問 16,123
    (13,088)
    13,298
    (10,502)
    1,085
    (796)
    1,740
    (1,790)
    第三者提供利用目的 漏えい等の報告等定義安全管理措置
    質問 16,123
    (13,088)
    13,298
    (10,502)
    1,085
    (796)
    1,740
    (1,790)
    5,590
    (4,196)
    2,568
    (2,218)
    2,487
    (-)
    2,365
    (1,624)
    1,296
    (1,170)
    その他(※2) 1,466
    (2,138)
    238
    (273)
    1,193
    (1,693)
    35
    (172)
    第三者提供委員会 不適正な利用の禁止利用目的開示等
    その他(※2) 1,466
    (2,138)
    238
    (273)
    1,193
    (1,693)
    35
    (172)
    80
    (84)
    74
    (26)
    56
    (-)
    37
    (31)
    24
    (8)
    総件数 25,055
    (21,237)
    13,636
    (10,825)
    9,562
    (8,371)
    1,857
    (2,041)
    第三者提供利用目的 漏えい等の報告等定義開示等
    総件数 25,055
    (21,237)
    13,636
    (10,825)
    9,562
    (8,371)
    1,857
    (2,041)
    8,661
    (6,879)
    4,496
    (3,797)
    2,996
    (-)
    2,589
    (1,796)
    2,120
    (978)
    • (※1)事業者等における不適正な取扱い等に関する情報提供を含む。
    • (※2)法制度に関する要望等その他個人情報保護法以外の問合せをいう。
    • (※3)行政機関、地方公共団体、弁護士その他からの相談をいう。
    • (※4)上段は問合せ内容の項目、下段は当該項目に関する問合せ件数を示す。
    • (注)( )内は前年度の実績。
  8. 個人情報保護法相談ダイヤル(公的部門)における受付件数 
    (期間:令和4年4月1日~令和5年3月31日、単位:件)
    分類 件数相談主体別相談主体別相談主体別
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    分類 件数 事業者 個人 その他
    (※2)
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    問合せ内容上位5項目(※3)
    (1件の問合せで複数の項目に該当する場合を含む。)
    苦情 308 11 294 3 開示等利用及び提供の制限別表第二法人等 保有の制限等安全管理措置
    苦情 308 11 294 3 121 82 43 23 20
    質問 429 82 105 242 改正法別表第二法人等開示等定義利用及び提供の制限
    質問 429 82 105 242 141 94 80 46 30
    その他
    (※1)
    1,384 120 1,164 100 条例開示等 別表第二法人等定義安全管理措置
    その他
    (※1)
    1,384 120 1,164 100 1,050 7 6 5 5
    総件数 2,121 213 1,563 345 条例開示等 改正法 別表第二法人等利用及び提供の制限
    総件数 2,121 213 1,563 345 1,050 208 144 143 116
    • (※1)法制度に関する要望等その他個人情報保護法以外の問合せをいう(地方公共団体等における個人情報の取扱いに関する問合せを含む。)。
    • (※2)行政機関、地方公共団体、弁護士その他からの相談をいう。
    • (※3)上段は問合せ内容の項目、下段は当該項目に関する問合せ件数を示す。
  9. マイナンバー苦情あっせん相談窓口における受付件数
    (期間:令和4年4月1日~令和5年3月31日、単位:件)
    分類 件数相談主体別相談主体別相談主体別 問合せ内容上位5項目(※4)
    問合せ内容上位5項目(※4)
    問合せ内容上位5項目(※4) 問合せ内容上位5項目(※4) 問合せ内容上位5項目(※4)
    分類件数 事業者 個人 その他
    (※3)
    問合せ内容上位5項目(※4) 問合せ内容上位5項目(※4) 問合せ内容上位5項目(※4) 問合せ内容上位5項目(※4) 問合せ内容上位5項目(※4)
    苦情
    (※1)
    18
    (14)
    1
    (0)
    17
    (14)
    0
    (0)
    管理体制提供の求め・本人確認 ---
    苦情
    (※1)
    18
    (14)
    1
    (0)
    17
    (14)
    0
    (0)
    15
    (2)
    3
    (1)
    -
    (-)
    -
    (-)
    -
    (-)
    苦情
    (※1)
    苦情の合計のうち、あっせん申出受付の件数は11件(13件)。
    苦情の合計のうち、あっせん申出受付の件数は11件(13件)。 苦情の合計のうち、あっせん申出受付の件数は11件(13件)。 苦情の合計のうち、あっせん申出受付の件数は11件(13件)。 苦情の合計のうち、あっせん申出受付の件数は11件(13件)。 苦情の合計のうち、あっせん申出受付の件数は11件(13件)。 苦情の合計のうち、あっせん申出受付の件数は11件(13件)。 苦情の合計のうち、あっせん申出受付の件数は11件(13件)。 苦情の合計のうち、あっせん申出受付の件数は11件(13件)。
    質問 1,158
    (1,049)
    523
    (576)
    530
    (346)
    105
    (127)
    管理体制提供の求め・本人確認通知カード・マイナンバーカードの取扱い意見等苦情等窓口対応
    質問 1,158
    (1,049)
    523
    (576)
    530
    (346)
    105
    (127)
    433
    (441)
    226
    (225)
    137
    (87)
    133
    (125)
    90
    (33)
    その他(※2) 49
    (13)
    1
    (0)
    47
    (13)
    1
    (0)
    意見等苦情等窓口対応通知カード・マイナンバーカードの取扱い管理体制提供の求め・本人確認
    その他(※2) 49
    (13)
    1
    (0)
    47
    (13)
    1
    (0)
    25
    (1)
    16
    (5)
    4
    (7)
    2
    (0)
    1
    (0)
    総件数 1,225
    (1,076)
    525
    (576)
    594
    (373)
    106
    (127)
    管理体制提供の求め・本人確認 意見等通知カード・マイナンバーカードの取扱い苦情等窓口対応
    総件数 1,225
    (1,076)
    525
    (576)
    594
    (373)
    106
    (127)
    450
    (443)
    230
    (225)
    158
    (126)
    141
    (94)
    106
    (38)
    • (※1)事業者等における不適正な取扱い等に関する情報提供を含む。
    • (※2)マイナンバー法又はマイナンバー制度に関する意見で他機関を紹介しているものを含む。
    • (※3)行政機関、地方公共団体、弁護士その他からの相談をいう。
    • (※4)上段は問合せ内容の項目、下段は当該項目に関する問合せ件数を示す。
    • (注)( )内は前年度の実績。
  10. 個人情報保護法に関する説明会の実施状況
    (期間:令和4年4月1日~令和5年3月31日)
    説明会の分類 回数参加者数
    事業者団体等(認定団体を含む)を対象とした説明会 93回 約18,300人
    社会保障・税番号制度担当者説明会48回 約5,800人
    141回
    (131回)
    約24,000人
    (約16,400人)
    • (注1)( )内は前年度の実績。
    • (注2)参加者数は四捨五入しているため、計と内訳は一致しない。
  11. 特定個人情報の安全管理措置等についての説明会の実施状況
    (期間:令和4年4月1日~令和5年3月31日)
    説明会の名称 回数参加者数
    社会保障・税番号制度担当者説明会 48回 約5,700人
    地方公共団体情報システム機構セミナー―(※) 約1,400人
    特定個人情報の取扱いに関する留意点の説明会9回 約2,400人
    57回
    (59回)
    約9,500人
    (約9,000人)
    • (※)システム上に動画を公開しているため、回数は「―」とした。
    • (注)( )内は前年度の実績。
  12. 職員研修
    1. 委員会において主催した主なもの
      (期間:令和4年4月1日~令和5年3月31日)
      研修の名称 開催月
      新規採用職員研修令和4年4月
      相談担当職員研修令和4年4月、6月
      検査担当職員研修令和4年4月、7月
      IT研修 令和4年7月~令和5年3月
      英会話研修 令和4年9月~令和5年3月
      管理職員向けマネジメント研修 令和4年11月
      全職員向け個人情報保護法及び番号法に関する研修 令和4月11 月~12 月
      全職員向け情報セキュリティ研修 令和4年12月
      管理職員向け情報セキュリティ研修 令和4年12月
      管理職員向け公文書管理研修令和4年12月
      一般職員向け公文書管理研修令和4年12月
      委員長・委員向け情報セキュリティ研修令和5年1月
      全職員向け個人情報保護研修令和5年1月
      委員長・委員向け個人情報保護研修令和5年1月
      • (注1)上記以外に、対象職員に対し、転入者研修を実施したほか、ITパスポート、情報セキュリティマネジメント等の情報処理技術者試験、個人情報保護士認定試験の受験を支援。
      • (注2)新型コロナウイルス感染症の感染拡大予防のため、多くはオンライン形式にて実施。
    2. 外部研修として受講した主なもの
      (期間:令和4年4月1日~令和5年3月31日)
      研修の名称 開催月
      総務省統計研究研修所オンライン研修(令和4年度第1回)「統計取扱業務担当職員向け研修」(総務省)令和4年5月~6月
      令和4年度第1回NISC勉強会(内閣サイバーセキュリティセンター)令和4年4月
      令和4年度第2回NISC勉強会(内閣サイバーセキュリティセンター)令和4年7月
      令和4年度第3回NISC勉強会(内閣サイバーセキュリティセンター)令和4年9月
      3年目フォロ-アップ研修(人事院)令和4年9月~10月
      実践的サイバー防御演習CYDER(総務省、国立研究開発法人情報通信研究機構)令和4年7月~令和5年2月
      公文書管理研修Ⅰ(行政機関向け第2回)(国立公文書館) 令和4年10月
      令和4年度実務経験採用者研修(人事院)令和4年10月
      総務省統計研究研修所オンライン研修(令和4年度第3回)(総務省)令和4年10月~11月
      国家公務員の服務・懲戒制度eラーニング研修(人事院)令和4年10月~11月
      令和4年度国家公務員の再就職等規制に関するeラーニング(内閣府、内閣人事局) 令和4年10月~11月
      令和4年度人事評価(評価者向け)eラーニング(内閣人事局)令和4年10月~12月
      令和4年度CYMAT/CSIRT研修(内閣サイバーセキュリティセンター)令和4年10月~令和5年2月
      公文書管理研修Ⅱ(第2回)(国立公文書館) 令和4年11月
      令和4年度新任管理者マネジメント研修(内閣人事局)令和4年10月~令和5年1月
      令和4年度幹部・管理職員ハラスメント防止研修(人事院)令和4年12月
      「公務員倫理」及び「ハラスメント防止」研修(人事院)令和4年12月
      マネジメント能力向上のための管理職向けeラーニングコース(内閣人事局)令和4年12月~令和5年2月
      令和4年度eラーニングによる新任管理者等のためのメンタルヘルス講習及びハラスメント防止講習(内閣人事局)令和4年12月~令和5年2月
      情報システム統一研修(令和4年度第1四半期)(デジタル庁) 令和4年度第1四半期
      情報システム統一研修(令和4年度第2四半期)(デジタル庁) 令和4年度第2四半期
      情報システム統一研修(令和4年度第3四半期)(デジタル庁) 令和4年度第3四半期
      情報システム統一研修(令和4年度第4四半期)(デジタル庁) 令和4年度第4四半期