個人情報の保護に関する法律についてのQ&A(行政機関等編)
- 3 個人情報等の取扱い
【3-2 取得及び保有に関する制限】 - Q3-2-1
要配慮個人情報の取得制限を法施行条例で規定することは可能か。
- A3-2-1
要配慮個人情報の取得を制限することは、行政機関等において要配慮個人情報の取扱いについて特別の制限を設けていない法の規律に抵触する規律を定めるものであり、個人情報保護やデータ流通について直接影響をあたえる事項に当たります。一方で、法はこのような規律を定めることについて委任規定を置いていません。よって、要配慮個人情報の取得制限を法施行条例で規定することは認められません。
他方、法は、行政機関等における要配慮個人情報の取得について特別の規定を設けていませんが、行政機関等において取り扱う個人情報全般について、その保有は法令(条例を含む。)の定める所掌事務又は業務の遂行に必要な場合に限定することとし(法第 61 条第1 項)、特定された利用目的の達成に必要な範囲を超えて個人情報を保有してはならないこととしている(同条第 2 項)ほか、法第 63 条(不適正な利用の禁止)、法第 64 条(適正な取得)等の定めを置いており、要配慮個人情報の取扱いに当たってもこれらの規定を遵守する必要があります。
また、行政機関の長等の安全管理措置義務(法第 66 条)に関しても、求められる安全管理措置の内容は、保有個人情報の漏えい等が生じた場合本人が被る権利利益の侵害の大きさを考慮し、保有個人情報の取扱い状況(取り扱う保有個人情報の性質及び量を含む。)等に起因するリスクに応じて、必要かつ適切な内容とする必要があり、行政機関内部における安全管理体制の構築に当たって、取り扱う保有個人情報が要配慮個人情報に当たることを勘案することは考えられます。
(令和 4 年 4 月追加)