金融業務における特定個人情報の適正な取扱いに関するガイドライン

平成26年12月11日
(令和4年3月一部改正)
個人情報保護委員会

pdf版はこちら (PDF : 398KB)リンク先PDFファイルを別ウィンドウで開きます

目次

各論

※ 「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」は、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の「第4 各論」 に相当する部分を構成するものである。

〈参考〉「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」

目次

別冊の位置付け

「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下「事業者ガイドライン」という。)は、事業者が主として従業員等の個人番号を取り扱う事務を行うことを前提に作成されている。

一方、金融分野(個人情報保護委員会・金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野をいう。)における事業者(以下「金融機関」という。)は、番号法、「所得税法」(昭和40年法律第33号)等の規定により、税及び災害対策の分野において、顧客の個人番号を取り扱う事務も行うこととなる。

「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」は、事業者ガイドラインの別冊として、金融機関が金融業務に関連して顧客の個人番号を取り扱う事務において、特定個人情報の適正な取扱いを確保するための具体的な指針を定めるものである。

本別冊ガイドラインは、事業者ガイドラインの「第4 各論」に相当する部分を構成するものであり、「第1 はじめに」から「第3 総論」までについては、事業者ガイドラインを参照するものとする。また、金融機関が行う金融業務以外の業務については、事業者ガイドラインを適用するものとする。

本別冊ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法令違反と判断される可能性がある。一方、「望ましい」と記述している事項については、これに従わなかったことをもって直ちに法令違反と判断されることはないが、番号法の趣旨を踏まえ、可能な限り対応することが望まれるものである。

※ 特定個人情報に関し、番号法に特段の規定がなく個人情報保護法が適用される部分については、個人情報保護委員会・金融庁作成の「金融分野における個人情報保護に関するガイドライン」等を遵守することを前提としている。

1 特定個人情報の利用制限

1-⑴ 個人番号の利用制限

要点
○ 個人番号を利用できる事務については、番号法によって限定的に定められており、金融機関が金融業務に関連して個人番号を利用するのは、主として、支払調書等に顧客の個人番号を記載して税務署長に提出する場合である。→
○ また、例外的な利用について、番号法は個人情報保護法に比べ、より限定的に定めている。金融機関の場合、利用目的を超えて個人番号を利用することができるのは、①激甚災害が発生したとき等に金銭の支払をするために個人番号を利用する場合及び②人の生命、身体又は財産の保護のために個人番号を利用する必要がある場合である。→
(関係条文)
  • 番号法 第9条、第30条第2項
  • 個人情報保護法 第18条
  • 個人番号の原則的な取扱い

    個人番号( 注)は、番号法があらかじめ限定的に定めた事務の範囲の中から、具体的な利用目的を特定した上で、利用するのが原則である。

    金融機関が金融業務に関連して個人番号を利用するのは、主として、支払調書等に顧客の個人番号を記載して税務署長に提出する場合である(個人番号関係事務)。

    金融機関は、個人情報保護法とは異なり、本人の同意があったとしても、例外として認められる場合を除き参照)、これらの事務以外で個人番号を利用してはならない

    * 金融機関は、顧客の管理のために、個人番号を顧客番号として利用してはならない。

    (注)「個人番号」には、個人番号に対応して、当該個人番号に代わって用いられる番号等も含まれる(番号法第2条第8項)。例えば、数字をアルファベットに読み替えるという法則に従って、個人番号をアルファベットに置き換えた場合であっても、当該アルファベットは「個人番号」に該当することとなる。また、個人番号の一部のみを用いたものや、不可逆に変換したものであっても、個人番号の唯一無二性や悉皆性等の特性を利用して個人の特定に用いている場合等は、個人番号に該当するものと判断されることがある。一方、金融機関が、顧客を管理するために付している顧客番号等(当該顧客の個人番号を一定の法則に従って変換したものではないもの)は、「個人番号」には該当しない。

    A 個人番号関係事務(番号法第9条第4項)

    金融機関が金融業務に関連して個人番号を取り扱うこととなるのが個人番号関係事務である。具体的には、金融機関が、法令に基づき、顧客の個人番号を利子等の支払調書、特定口座年間取引報告書等の書類に記載して、税務署長に提出する事務等である。

    B 利用目的を超えた個人番号の利用禁止
    a 利用目的を超えた個人番号の利用禁止(番号法第30条第2項により読み替えて適用される個人情報保護法第18条第1項)

    金融機関は、個人番号の利用目的をできる限り特定しなければならない(個人情報保護法第17条第1項)が、その特定の程度としては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報と同様に、本人が、自らの個人番号がどのような目的で利用されるのかを一般的かつ合理的に予想できる程度に具体的に特定することが望ましい。

    番号法は、個人情報保護法とは異なり、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないと定めている。

    したがって、個人番号についても利用目的(個人番号を利用できる事務の範囲で特定した利用目的)の範囲内でのみ利用することができる。利用目的を超えて個人番号を利用する必要が生じた場合には、当初の利用目的と関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知等を行うことにより、変更後の利用目的の範囲内で個人番号を利用することができる(個人情報保護法第17条第2項、第21条第3項)。

    • * 前の保険契約を締結した際に保険金支払に関する支払調書作成事務のために提供を受けた個人番号については、後の保険契約に基づく保険金支払に関する支払調書作成事務のために利用することができると解される。
    • * 金融機関が顧客から個人番号の提供を受けるに当たり、想定される全ての支払調書作成事務等を利用目的として特定して、本人への通知等を行うことが考えられる。なお、通知等の方法としては、従来から行っている個人情報の取得の際と同様に、利用目的を記載した書類の提示等の方法が考えられる。
    b 合併等の場合(番号法第30条第2項により読み替えて適用される個人情報保護法第18条第2項)

    個人情報取扱事業者は、合併等の理由で事業を承継することに伴って、他の個人情報取扱事業者から当該事業者の顧客の特定個人情報を取得した場合には、承継前に特定されていた利用目的に従って特定個人情報を利用することができる。ただし、本人の同意があったとしても、承継前に特定されていた利用目的を超えて特定個人情報を利用してはならない

    • * 金融機関甲が、金融機関乙の事業を承継し、支払調書作成事務等のために乙が保有していた乙の顧客の個人番号を承継した場合、当該顧客の個人番号を当該顧客に関する支払調書作成事務等の範囲で利用することができる。
  • 例外的な取扱いができる場合

    番号法では、次に掲げる場合に、例外的に利用目的を超えた個人番号の利用を認めている。

    a 金融機関が激甚災害時等に金銭の支払を行う場合(番号法第9条第5項、第30条第2項により読み替えて適用される個人情報保護法第18条第3項第1号、番号法施行令( 注)第10条、激甚災害が発生したとき等においてあらかじめ締結した契約に基づく金銭の支払を行うために必要な限度で行う個人番号の利用に関する内閣府令(平成27年内閣府令第74号))

    ①銀行等の預金等取扱金融機関、②証券会社、③生命保険会社、④損害保険会社、⑤生命保険会社又は損害保険会社と同様の業務を行う共済団体は、「激甚災害に対処するための特別の財政援助等に関する法律」(昭和37年法律第150号)第2条第1項の激甚災害が発生したとき、又は「災害対策基本法」(昭和36年法律第223号)第63条第1項その他内閣府令で定める法令の規定により一定の区域への立入りを制限、禁止され、若しくは当該区域からの退去を命ぜられたときに、支払調書の作成等の個人番号関係事務を処理する目的で保有している個人番号について、顧客に対する金銭の支払を行うという別の目的のために、顧客の預金情報等の検索に利用することができる。

    (注)番号法施行令とは、「行政手続における特定の個人を識別するための番号の利用等に関する法律施行令」(平成26年政令第155号)をいう(以下同じ。)。

    b 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難である場合(番号法第30条第2項により読み替えて適用される個人情報保護法第18条第3項第2号)

    人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、支払調書の作成等の個人番号関係事務を処理する目的で保有している個人番号について、人の生命、身体又は財産を保護するために利用することができる。

    1-⑵ 特定個人情報ファイルの作成の制限

    要点
    ○ 個人番号関係事務を処理するために必要な範囲に限って、特定個人情報ファイルを作成することができる。
    (関係条文)
    • 番号法 第29条
    ● 特定個人情報ファイルの作成の制限(番号法第29条)

    金融機関が金融業務に関連して特定個人情報ファイルを作成することができるのは、個人番号関係事務を処理するために必要な範囲に限られている。 法令に基づき行う顧客の支払調書作成事務等に限って、特定個人情報ファイルを作成することができるものであり、これらの場合を除き特定個人情報ファイルを作成してはならない

    2 特定個人情報の安全管理措置等

    2-⑴ 委託の取扱い

    要点

    ○ 個人番号関係事務の全部又は一部の委託をする者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。→ A、

    「必要かつ適切な監督」には、①委託先の適切な選定、②安全管理措置に関する委託契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれる。→

    ※ 安全管理措置の具体的な内容については、「2-⑵ 安全管理措置」及び事業者ガイドラインの「(別添1)特定個人情報に関する安全管理措置(事業者編)」を参照のこと。

    ○ 個人番号関係事務の全部又は一部の「委託を受けた者」は、委託者の許諾を得た場合に限り、再委託を行うことができる。→

    再委託を受けた者は、個人番号関係事務の「委託を受けた者」とみなされ、最初の委託者の許諾を得た場合に限り、更に再委託することができる。→

    (関係条文)
    • 番号法 第10条、第11条
    • 個人情報保護法 第25条
    委託先の監督(番号法第11条、個人情報保護法第25条)
    A 委託先における安全管理措置

    個人番号関係事務の全部又は一部の委託をする者(以下「委託者」という。)は、委託した個人番号関係事務で取り扱う特定個人情報の安全管理措置が適切に講じられるよう「委託を受けた者」に対する必要かつ適切な監督を行わなければならない

    このため、委託者は、「委託を受けた者」において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない

    なお、「委託を受けた者」を適切に監督するために必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性がある。

    * 保険会社から個人番号関係事務の全部又は一部の委託を受け、個人番号を取り扱う代理店は、番号法上の「委託を受けた者」となり、委託者である保険会社は、代理店において、保険会社自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。

    B 必要かつ適切な監督

    「必要かつ適切な監督」には、①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれる。

    委託先の選定については、委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。具体的な確認事項としては、委託先の設備、技術水準、従業者( 注)に対する監督・教育の状況、その他委託先の経営環境等が挙げられる。

    委託契約の締結については、契約内容として、秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい等事案が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。また、これらの契約内容のほか、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等を盛り込むことが望ましい。

    委託先における特定個人情報の取扱状況の把握については、前記の契約に基づき報告を求めること等により、委託契約で盛り込んだ内容の実施の程度を把握した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。

    (注)「従業者」とは、金融機関の組織内にあって直接間接に金融機関の指揮監督を受けて金融機関の業務に従事している者をいう。具体的には、従業員のほか、取締役、監査役、理事、監事、派遣社員等を含む。

    再委託(番号法第10条、第11条)
    A 再委託の要件(第10条第1項)

    個人番号関係事務の全部又は一部の「委託を受けた者」は、委託者の許諾を得た場合に限り、再委託をすることができる。

    * 金融機関甲が個人番号関係事務を事業者乙に委託している場合、乙は、委託者である甲の許諾を得た場合に限り、同事務を別の事業者丙に委託することができる。

    B 再委託の効果(第10条第2項)

    再委託を受けた者は、個人番号関係事務の全部又は一部の「委託を受けた者」とみなされ、再委託を受けた個人番号関係事務を行うことができるほか、最初の委託者の許諾を得た場合に限り、その事務を更に再委託することができる。

    • * 更に再委託をする場合も、その許諾を得る相手は、最初の委託者である。

      したがって、個人番号関係事務が甲→乙→丙→丁と順次委託される場合、丙は、最初の委託者である甲の許諾を得た場合に限り、別の事業者丁に再委託を行うことができる。更に再委託が繰り返される場合も同様である。

      なお、乙は丙を監督する義務があるため、乙・丙間の委託契約の内容に、丙が再委託する場合の取扱いを定め、再委託を行う場合の条件、再委託した場合の乙に対する通知義務等を盛り込むことが望ましい。

    • * 「委託を受けた者」が、番号法第10条の規定に違反して、最初の委託者の許諾を得ずに個人番号関係事務を再委託した場合、「委託を受けた者」は同法第19条(提供制限)にも違反することとなり、当該再委託を受けた者も同法第15条(提供の求めの制限)及び第20条(収集・保管制限)に違反すると判断される可能性があるため、留意する必要がある。
    C 再委託先の監督(第11条)

    Aにおける「委託を受けた者」とは、委託者が直接委託する事業者を指すが、甲→乙→丙→丁と順次委託される場合、乙に対する甲の監督義務の内容には、再委託の適否だけではなく、乙が丙、丁に対して必要かつ適切な監督を行っているかどうかを監督することも含まれる。したがって、甲は乙に対する監督義務だけではなく、再委託先である丙、丁に対しても間接的に監督義務を負うこととなる

    2-⑵ 安全管理措置

    ● 安全管理措置(番号法第12条、個人情報保護法第23条、第24条)

    個人番号関係事務実施者である金融機関は、個人番号(生存する個人のものだけでなく死者のものも含む。)及び特定個人情報(以下「特定個人情報等」という。)の漏えい、滅失又は毀損の防止その他の特定個人情報等の管理のために、必要かつ適切な措置を講じなければならない。また、従業者(注)に特定個人情報等を取り扱わせるに当たっては、特定個人情報等の安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない

    (注)「従業者」とは、金融機関の組織内にあって直接間接に金融機関の指揮監督を受けて金融機関の業務に従事している者をいう。具体的には、従業員のほか、取締役、監査役、理事、監事、派遣社員等を含む。

    ※ 安全管理措置の具体的な内容については、事業者ガイドラインの「(別添1)特定個人情報に関する安全管理措置(事業者編)」を参照することとするが、個人情報保護委員会・金融庁作成の「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」を遵守することを前提とする。

    3 特定個人情報の提供制限等

    3-⑴ 個人番号の提供の要求

    要点
    ○ 個人番号関係事務実施者は、個人番号関係事務を処理するために必要がある場合に限って、本人又は他の個人番号関係事務実施者に対して個人番号の提供を求めることができる。
    (関係条文)
    • 番号法 第14条
    提供の要求(番号法第14条第1項)

    金融機関は、金融業務に関連する個人番号関係事務を行うため、本人又は他の個人番号関係事務実施者から個人番号の提供を受ける必要がある。番号法第14条第1項は、個人番号関係事務実施者が個人番号の提供を求めるための根拠となる規定である。

    個人番号関係事務実施者は、本条により、個人番号関係事務を処理するために必要がある場合、本人又は他の個人番号関係事務実施者に対し個人番号の提供を求めることとなる。

    A 本人に対する個人番号の提供の要求

    金融機関は、本条を根拠として、顧客に対し、支払調書作成事務等に必要な個人番号の提供を求めることとなる。

    B 他の個人番号関係事務実施者に対する個人番号の提供の要求

    金融機関は、本条を根拠として、他の個人番号関係事務実施者に対し、支払調書作成事務等に必要な個人番号の提供を求めることとなる。

    * 株式等振替制度において、株式発行者から株主名簿に関する事務の委託を受けた株主名簿管理人(信託銀行等)は、振替機関に対して、株主の個人番号の提供を求めることとなる。

    提供を求める時期

    個人番号関係事務実施者は、個人番号関係事務を処理するために必要があるときに個人番号の提供を求めることとなる。

    金融機関は、個人番号関係事務が発生した時点で個人番号の提供を求めることが原則であるが、顧客との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、契約を締結した時点等の当該事務の発生が予想できた時点で個人番号の提供を求めることが可能であると解される。なお、契約内容等から個人番号関係事務が明らかに発生しないと認められる場合には、個人番号の提供を求めてはならない

    • * 特定口座に係る所得計算等に伴う特定口座年間取引報告書の作成事務の場合は、租税特別措置法第37条の11の3第4項の規定により顧客は特定口座開設届出書を提出する時点で個人番号を告知する義務があるため、その時点で提供を求めることとなる。
    • * 先物取引の差金等決済に伴う支払調書の作成事務の場合は、所得税法第224条の5第1項及び同法施行令第350条の3第1項の規定により差金等決済をする日までに、その都度、個人番号の告知を求めることが原則であるが、先物取引等の委託に係る契約の締結時点で個人番号の提供を求めることも可能であると解される。
    • * 生命保険契約に基づく保険金等の支払に伴う支払調書の作成事務の場合は、保険契約の締結時点で保険契約者等及び保険金等受取人の個人番号の提供を求めることも可能であると解される。
    • * 協同組織金融機関の出資配当金の支払に伴う支払調書の作成事務の場合は、所得税法第224条第1項及び同法施行令第336条第1項の規定により支払の確定の都度、個人番号の告知を求めることが原則であるが、協同組織金融機関に加入する時点で個人番号の提供を求めることも可能であると解される。

    3-⑵ 個人番号の提供の求めの制限、特定個人情報の提供制限

    要点
    ○ 番号法で限定的に明記された場合を除き、個人番号の提供を求めてはならない。→
    ○ 番号法で限定的に明記された場合を除き、特定個人情報を提供してはならない。→
    (関係条文)
    • 番号法 第15条、第19条、第30条第2項
    • 個人情報保護法 第27条
    • 提供の求めの制限(番号法第15条)

      何人も、番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き、他人の個人番号の提供を求めてはならない

      金融機関が、金融業務に関連して個人番号の提供を求めることとなるのは、顧客に対し、支払調書作成事務等のために個人番号の提供を求める場合に限られる。

      * 金融機関は、支払調書作成事務等を処理する目的で、顧客に対し、個人番号の提供を求めることとなる。一方、法令で定められた支払調書作成事務等を処理する場合を除き、個人番号の提供を求めてはならない。

    • 特定個人情報の提供制限(番号法第19条)

      何人も、番号法で限定的に明記された場合を除き、特定個人情報を「提供」してはならない。

      金融機関が特定個人情報を提供できるのは、支払調書等に顧客の個人番号を記載して税務署長に提出する場合等に限られる。

      A 「提供」の意義について

      「提供」とは、法的な人格を超える特定個人情報の移動を意味するものであり、同一法人の内部等の法的な人格を超えない特定個人情報の移動は「提供」ではなく「利用」に当たり、利用制限(番号法第9条、第29条、第30条第2項)に従うこととなる。

      なお、個人情報保護法においては、特定の者との間で共同して利用される個人データが当該特定の者に提供される場合には、第三者提供に当たらないとしている(個人情報保護法第27条第5項第3号)が、番号法においては、個人情報保護法第27条第5項第3号の適用を除外している(番号法第30条第2項)ことから、この場合も通常の「提供」に当たり、提供制限(同法第14条から第16条まで、第19条、第20条、第30条第2項)に従うこととなる。

      • * 「提供」に当たらない場合

        金融機関甲の中のX部からY部へ特定個人情報が移動する場合、X部、Y部はそれぞれ甲の内部の部署であり、独立した法的人格を持たないから、「提供」には当たらない。例えば、顧客の個人番号が、営業所の担当者を通じ、支払調書を作成する目的で経理部に提出された場合には、「提供」には当たらず、法令で認められた「利用」となる。

      • * 「提供」に当たる場合

        金融機関甲から他の事業者乙へ特定個人情報が移動する場合は「提供」に当たる。 同じ系列の会社間等での特定個人情報の移動であっても、別の法人である以上、「提供」に当たり、提供制限に従うこととなるため留意が必要である。例えば、甲銀行と子会社である乙証券会社が同一の顧客と取引しており、その顧客から非公開情報の授受について書面による同意を得ている場合であっても、甲乙間で顧客の個人番号を提供又は共同利用してはならない。

      B 特定個人情報を提供できる場合(番号法第19条第1号から第17号まで)

      特定個人情報を提供できる場合として、番号法第19条各号が定めているもののうち金融業務に関わるものは、次のとおりである。

      a 個人番号関係事務実施者からの提供(第2号)

      個人番号関係事務実施者である金融機関は、個人番号関係事務を処理するために、法令に基づき、税務署長等に特定個人情報を提供することとなる。

      • * 金融機関(個人番号関係事務実施者)は、所得税法第225条第1項の規定に従って、支払調書の提出という個人番号関係事務を処理するために、税務署長に対し、顧客の個人番号が記載された支払調書を提出することとなる。
      • * 金融機関(個人番号関係事務実施者)は、租税特別措置法第37条の11の3第7項の規定に従って、特定口座年間取引報告書の提出という個人番号関係事務を処理するために、顧客の個人番号が記載された特定口座年間取引報告書を作成し、税務署長に提出することとなる。
      b 本人又は代理人からの提供(第3号)

      本人又はその代理人は、個人番号関係事務実施者である金融機関に対し、本人の個人番号を含む特定個人情報を提供することとなる。

      • * 顧客は、支払調書作成事務等のために、個人番号関係事務実施者である金融機関に対し、自己の個人番号を提供することとなる。
      c 委託、合併に伴う提供(第6号)

      特定個人情報の取扱いの全部若しくは一部の委託又は合併その他の事由による事業の承継が行われたときは、特定個人情報を提供することが認められている。

      • * 金融機関甲が金融機関乙を吸収合併した場合、吸収される乙は、支払調書作成事務等に必要な顧客の個人番号を存続する甲に提供することができる。
      • * 個人番号関係事務の委託を受けた者が、番号法第10条の規定に違反して、最初の委託者の許諾を得ずに当該個人番号関係事務を再委託した場合、当該再委託に伴う特定個人情報の提供は同法第19条第6号の提供に該当しないため、提供制限にも違反することとなる。
      d 株式等振替制度を活用した提供(第12 号、番号法施行令第23 条、第24 条)

      振替機関又は口座管理機関は、社債等の発行会社、他の振替機関又は口座管理機関に対し、各者をつなぐオンラインシステムを利用して、「社債、株式等の振替に関する法律」(平成13 年法律第75 号)の規定等に基づき、支払調書に記載されるべき個人番号として株主が振替機関又は口座管理機関に告知した特定個人情報を、その特定個人情報の安全を確保するための必要な措置( 注)を講じた上で、提供することができる。

      • * 株主→口座管理機関(証券会社X)→口座管理機関(証券会社Y)→振替機関→株式発行者→税務署長という順番で、株主の特定個人情報が提供される例でみると、証券会社X→証券会社Y、証券会社Y→振替機関、振替機関→株式発行者間の特定個人情報の提供がこれに該当する。証券会社X、証券会社Y及び振替機関は、社債、株式等の振替に関する命令第62 条の規定により特定個人情報の提供が義務付けられている。

      なお、株主→証券会社X間の特定個人情報の提供は番号法第19 条第3号(b)を、株式発行者→税務署長間の特定個人情報の提供は同条第2号(a)を根拠として行われることとなる。

      (注)特定個人情報の安全を確保するための必要な措置については、番号法施行令第24 条に次のとおり定められている。

      • ① 特定個人情報を提供する者の使用に係る電子計算機に、特定個人情報の提供を受ける者の名称、提供の日時及び主務省令で定める事項を記録し、その記録を7年間保存すること
      • ② 提供する特定個人情報が漏えいした場合において、その旨及びその理由を遅滞なく委員会に報告するために必要な体制を整備するとともに、提供を受ける者が同様の体制を整備していることを確認すること
      • ③ 主務省令によって定められた特定個人情報の安全を確保するための措置の実施を行うこと
      e 委員会からの提供の求め(第13号)

      委員会が、特定個人情報の取扱いに関し、番号法第35条第1項の規定により、特定個人情報の提出を求めた場合には、この求めに応じ、委員会に対し、特定個人情報を提供しなければならない

      f 各議院審査等その他公益上の必要があるときの提供(第15号、番号法施行令第25条、同施行令別表)

      ①各議院の審査、調査の手続、②訴訟手続その他の裁判所における手続、③裁判の執行、④刑事事件の捜査、⑤租税に関する法律の規定に基づく犯則事件の調査、⑥会計検査院の検査が行われるとき、⑦公益上の必要があるときには、特定個人情報を提供することができる。⑦の公益上の必要があるときは、番号法施行令第25条で定められており、「私的独占の禁止及び公正取引の確保に関する法律」(昭和22年法律第54号)の規定による犯則事件の調査(番号法施行令別表第2号)、「金融商品取引法」(昭和23年法律第25号)の規定による犯則事件の調査(同表第4号)、租税調査(同表第8号)、個人情報保護法の規定による報告徴収(同表第19号)、「犯罪による収益の移転防止に関する法律」(平成19年法律第22号)の規定による届出(同表第21号)等がある。

      g 人の生命、身体又は財産の保護のための提供(第16号)

      人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるときは、特定個人情報を提供することができる。

      C 個人情報保護法上の第三者提供との違い

      個人情報保護法は、個人情報取扱事業者に対し、個人データについて、本人の同意がある場合、法令の規定に基づく場合等には、第三者に提供することができることとしている。

      番号法においては、全ての事業者を対象に、同法第19条で特定個人情報を提供できる場合を限定的に定めており、特定個人情報の提供については、個人情報保護法第27条は適用されない。

      特定個人情報の提供を求められた場合には、その提供を求める根拠が、番号法第19条各号に該当するものかどうかをよく確認し、同条各号に該当しない場合には、特定個人情報を提供してはならない

      * 個人情報保護法第33条に基づく開示の請求、同法第34条に基づく訂正等の請求又は同法第35条に基づく利用停止等の請求において、本人から個人番号を付して請求が行われた場合や本人に対しその個人番号又は特定個人情報を提供する場合は、番号法第19条各号に定めはないものの、法の解釈上当然に特定個人情報の提供が認められるべき場合であり、特定個人情報を提供することができる。

    3-⑶ 収集・保管制限

    要点
    番号法第19条各号のいずれかに該当する場合を除き、特定個人情報を収集又は保管してはならない。
    (関係条文)
    • 番号法 第20条
    • 個人情報保護法 第22条
    ● 収集・保管の制限(番号法第20条)

    何人も、番号法第19条各号のいずれかに該当する場合を除き、他人の個人番号を含む特定個人情報を収集又は保管してはならない

    A 収集制限

    「収集」とは、集める意思を持って自己の占有に置くことを意味し、例えば、人から個人番号を記載したメモを受け取ること、人から聞き取った個人番号をメモすること等、直接取得する場合のほか、電子計算機等を操作して個人番号を画面上に表示させ、その個人番号を書き取ること、プリントアウトすること等を含む。一方、特定個人情報の提示を受けただけでは、「収集」に当たらない。

    • * 金融機関の支払調書作成事務担当者として個人番号関係事務に従事する者が、個人番号関係事務以外の目的で顧客の特定個人情報をノートに書き写してはならない。
    • * 金融機関が、個人番号関係事務に関係のない預金払戻し業務において、預金者から本人確認書類として個人番号カードが提示された場合、窓口担当者は個人番号カードに記載された個人番号を書き写し、又は個人番号カードの個人番号が記載された部分をコピーして、特定個人情報を収集してはならない。
    • * 金融機関の中で、単に個人番号が記載された書類等を受け取り、支払調書作成事務に従事する者に受け渡す立場の者は、独自に個人番号を保管する必要がないため、個人番号の確認等の必要な事務を行った後はできるだけ速やかにその書類を受け渡すこととし、自分の手元に個人番号を残してはならない。

      例えば、顧客から個人番号が記載された書類等を受け取る営業担当者と個人番号を管理する担当者が異なるときは、書類等を受け取る営業担当者は、個人番号を管理する担当者にできるだけ速やかにその書類を受け渡すこととし、自分の手元に個 人番号を残してはならない。

      なお、個人番号が記載された書類等を受け取る担当者も、個人番号関係事務に従事する金融機関の一部として当該事務に従事するのであるから、当該個人番号により特定される本人から当該書類等を受け取る際に、当該書類等の不備がないかどうか個人番号を含めて確認することができる。

    • * 保険会社から個人番号関係事務の全部又は一部の委託を受け、個人番号を取り扱う代理店は、委託契約に基づいて個人番号を保管する必要がない限り、できるだけ速やかに顧客の個人番号が記載された書類等を保険会社に受け渡すこととし、代理店の中に個人番号を残してはならない。
    • * 番号法第10条において、最初の委託者の許諾を得ずに個人番号関係事務の再委託を行うことは認められない点が明示されており、当該再委託に伴う特定個人情報の提供は、同法第19条各号のいずれにも該当しない。

      このため、最初の委託者の許諾を得ていることを確認せずに個人番号関係事務の再委託を受け、結果として、最初の委託者の許諾を得ていない再委託に伴って特定個人情報を収集した場合、番号法違反と判断される可能性がある。

      ただし、例えば、個人番号を取り扱う委託業務であることが委託契約書等において明らかでないなど、当該再委託が「個人番号関係事務の再委託」に該当することを、当該再委託を受ける者が認識できない状況で再委託が行われていた場合は、一般に、特定個人情報を収集したとは解されない。

    B 保管制限と廃棄

    個人番号は、番号法で限定的に明記された事務を処理するために収集又は保管されるものであるから、それらの事務を行う必要がある場合に限り特定個人情報を保管し続けることができる。また、個人番号が記載された書類等については、所管法令によって一定期間保存が義務付けられているものがあるが、これらの書類等に記載された個人番号については、その期間保管することとなる。

    一方、それらの事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければならない。なお、その個人番号部分を復元できない程度にマスキング又は削除した上で保管を継続することは可能であるが、それが個人データに該当する場合において、利用する必要がなくなったときは、その個人データを遅滞なく消去するよう努めなければならない(個人情報保護法第22条)。

    • * 金融機関は、支払調書作成事務等を処理する目的で、顧客の個人番号を保管することができる。一方、法令で定められた支払調書作成事務等を処理する場合を除き、顧客の個人番号を保管することはできない。
    • * 特定口座、非課税口座等、毎年取引報告書の提出が義務付けられている場合には、顧客から提供を受けた個人番号を取引報告書作成事務のために翌年度以降も継続的に利用する必要があることから、特定個人情報を継続的に保管できると解される。
    • * 特定口座開設届出書は、租税特別措置法施行規則第18条の13の4第1項第3号により、当該届出書に係る特定口座につき特定口座廃止届出書等の提出があった日の属する年の翌年から5年間保存することとなっていることから、当該期間を経過した場合には、当該特定口座開設届出書に記載された個人番号を保管しておく必要はなく、原則として、個人番号が記載された特定口座開設届出書をできるだけ速やかに廃棄しなければならない。

      そのため、個人番号が記載された特定口座開設届出書等の書類については、保存期間経過後における廃棄を前提とした保管体制をとることが望ましい。

    • * 支払調書作成事務のために提供を受けた特定個人情報を電磁的記録として保存している場合においても、その事務に用いる必要がなく、所管法令で定められている保存期間を経過した場合には、原則として、個人番号をできるだけ速やかに廃棄又は削除しなければならない。

      そのため、特定個人情報を保存するシステムにおいては、保存期間経過後における廃棄又は削除を前提としたシステムを構築することが望ましい。

    ※ 廃棄方法等の具体的な内容については、事業者ガイドラインの「(別添1)特定個人情報に関する安全管理措置(事業者編)」を参照のこと。

    3-⑷ 本人確認

    ● 本人確認(番号法第16条)

    本人確認については、番号法、番号法施行令、番号法施行規則( 注)及び個人番号利用事務実施者(番号法第9条第3項の規定により情報提供用個人識別符号を利用する者を除く。)が認める方法に従うこととなるため、適切に対応する必要がある。

    (注)番号法施行規則とは、「行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則」(平成26年内閣府・総務省令第3号)をいう(以下同じ。)。

    〈参考1:本人確認の概要〉

    番号法、番号法施行令及び番号法施行規則における本人確認の概要は、次のとおりである。この項目において、「法」は番号法、「令」は番号法施行令、「規」は番号法施行規則をいう(番号法施行規則第1条第1項第1号の場合は、「規1①一」と表記する。)。

    ① 本人から個人番号の提供を受ける場合
    • ⅰ 個人番号カードの提示を受ける場合

      「個人番号カード」(法16)

    • ⅱ ⅰ以外の場合
    • (ⅰ)書類の提示を受ける場合等
      •  「番号確認書類」
        (令12①一)
        └ 住民票の
        写し等
        └ 困難な場合
         (規2①)
      •  +「本人の身元確認書類」
        (令12①二)
        └ 運転免許証等(規1)
        ├─ 困難な場合(規2③)
        │  └  財務大臣等の特則(規2④)
        ├ 電話による場合(規2⑤)
        └ 特定の個人と同一の者であることが明らかな場合
        (規2⑥)         特定の個人と同一の 者であることが明らかな場合
        (規2⑥)
    • (ⅱ)電子情報処理組織を使用して個人番号の提供を受ける場合

      個人番号カードのICチップの読み取り、電子署名等の送信、個人番号利用事務実施者による地方公共団体情報システム機構への確認等(規3)

    ② 本人の代理人から個人番号の提供を受ける場合
    • ⅰ 書類の提示を受ける場合等
      • 「代理権確認書類」
        (令12②一)
        └ 戸籍謄本、
        委任状等
        (規6①一、二)
        ├ 困難な場合
        │(規6①三)
        ├ 代理人が法人の
        │ 場合(規6②)

        └ 電話による場合
         (規9③)
      • +「代理人の身元確認書類」
        (令12②二)
        └ 個人番号カード、
        運転免許証等
        (規7①)
        ├ 代理人が法人の場合
        │(規7②)
        ├ 困難な場合
        │(規9①)
        │  └財務大臣等の特則
        │  (規9②)
        ├ 電話による場合
        │(規9③)
        └  特定の個人と同一の者であることが
        明らかな場合(規9④)         特定の個人と同一の
        者であることが
        明らかな場合(規9④)
      • +「本人の番号確認書類」
        (令12②三)
        └ 本人に係る
        個人番号カード等
        (規8)
        └ 困難な場合
        (規9⑤)
    • ⅱ 電子情報処理組織を使用して個人番号の提供を受ける場合

      代理権証明情報及び代理人の電子署名等の送信、個人番号利用事務実施者による地方公共団体情報システム機構への確認等(規10)

    ※ 書面の送付により個人番号の提供を受ける場合は、上記で提示を受けることとされている書類又はその写しの提出を受けなければならない(規11)。

    〈参考2:通知カードの廃止に係る経過措置〉

    「情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るための行政手続等における情報通信の技術の利用に関する法律等の一部を改正する法律」(令和元年法律第16号。以下「デジタル手続法」という。)の一部施行により、これまで番号確認書類として利用可能であった通知カード(デジタル手続法第4条の規定による改正前の番号法第7条第1項に規定する通知カードをいう。)は廃止された。

    ただし、経過措置が設けられており、個人番号関係事務実施者が、通知カードの交付を受けている者から個人番号の提供を受けるときは、通知カードの廃止日(令和2年5月25日)以後、当該通知カードに係る記載事項に変更がない場合に限り、従来と同様に、次に掲げる方法により、通知カードを本人確認に利用することができる。なお、当該廃止日前に当該通知カードに係る記載事項に変更があった場合に、市町村長(特別区の区長を含む。)から記載事項の変更の措置を受けていなければ、当該経過措置は適用されない。

    ① 本人から個人番号の提供を受ける場合
    「通知カード」+「本人の身元確認書類」
    (旧法(注1)16)(旧規(注2)1①)
    ├ 運転免許証等(旧規1①一、二)
    │ └  困難な場合(旧規1①三)
    │    └ 財務大臣等の特則(旧規1③一から四まで)
    │      └ 困難な場合(旧規1③五)
    └ 特定の個人と同一の者であることが明らかな場合(旧規3⑥)
    ② 本人の代理人から個人番号の提供を受ける場合
    • 「代理権確認書類」
      (旧令(注3)12②一)
      └ 戸籍謄本、
      委任状等
      (旧規6①一、二)
      ├ 困難な場合
      │ (旧規6①三)
      ├ 代理人が法人の
      │ 場合(旧規6②)


      └ 電話による場合
      (旧規9③)
    • +「代理人の身元確認書類」
      (旧令12②二)
      └ 個人番号カード、
      運転免許証等
      (旧規7①)
      ├ 代理人が法人の場合
      │(旧規7②)
      ├ 困難な場合
      │(旧規9①)
      │ └ 財務大臣等の特則
      │  (旧規9②)
      ├ 電話による場合
      │(旧規9③)
      └  特定の個人と同一の者であることが明らかな場
       合(旧規9④)
    • +「本人の番号確認書類」
      (旧令12②三)
      └ 本人に係る
      通知カード
      (旧規8)

    ※ 書面の送付により個人番号の提供を受ける場合は、上記で提示を受けることとされている書類又はその写しの提出を受けなければならない(旧規11)。

    • (注1)「デジタル手続法」第4条の規定による改正前の番号法をいう。
    • (注2)「行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則の一部を改正する命令」(令和2年内閣府・総務省令第6号)による改正前の番号法施行規則をいう。
    • (注3)「行政手続における特定の個人を識別するための番号の利用等に関する法律施行令の一部を改正する政令」(令和2年政令第164号)による改正前の番号法施行令をいう。

    4 第三者提供の停止に関する取扱い

    要点
    ○ 特定個人情報を提供することができるのは、番号法第19条各号に当てはまる場合に限定されている。したがって、特定個人情報が違法に第三者に提供されていることを知った本人から、その提供の停止が求められた場合であって、その求めに理由があることが判明したときには、第三者への提供を停止しなければならない。
    ○ なお、特定個人情報を適正に取り扱っていれば、第三者への提供の停止を求められる事態は生じない。
    (関係条文)
    • 番号法 第30条第2項
    • 個人情報保護法 第35条
    ● 第三者提供の停止(番号法第30条第2項により読み替えて適用される個人情報保護法第35条第3項及び第4項)

    特定個人情報を提供することができるのは、番号法第19条各号に当てはまる場合に限定されており、それ以外の場合で特定個人情報を提供してはならない。本人は、個人情報取扱事業者に対し、保有個人データである特定個人情報が同条各号に違反して違法に第三者に提供されているときは、当該特定個人情報の第三者への提供の停止を請求することができる。個人情報取扱事業者は、当該請求を受けた場合であって、当該請求に理由があることが判明したときには、遅滞なく、当該特定個人情報の第三者への提供を停止しなければならない

    ただし、第三者への提供を停止することが困難であり、本人の権利利益を保護するために代わりの措置をとるときは、第三者への提供を停止しないことが認められており、この点は従来の個人情報保護法の取扱いと同様である。

    5 特定個人情報保護評価

    ● 特定個人情報保護評価(番号法第27条、第28条)

    特定個人情報保護評価とは、情報提供ネットワークシステムを使用して情報連携を行う事業者が、特定個人情報の漏えいその他の事態を発生させるリスクを分析し、そのようなリスクを軽減するための適切な措置を講ずることを宣言するものである。

    金融機関は、特定個人情報保護評価の実施が義務付けられていないが、任意に特定個人情報保護評価の手法を活用することは、特定個人情報の保護の観点から有益である。

    ※ 特定個人情報保護評価の詳細については、「特定個人情報保護評価に関する規則」(平成26年特定個人情報保護委員会規則第1号)及び「特定個人情報保護評価指針」(平成26年特定個人情報保護委員会告示第4号)を参照のこと。

    6 個人情報保護法の主な規定

    個人情報取扱事業者(同法第58条第2項の規定により同法第16条第2項に規定する個人情報取扱事業者とみなされる独立行政法人労働者健康安全機構を含む。)は、特定個人情報の取扱いについて、次のとおり個人情報保護法の適用を受けるので留意する必要がある(番号法第30条第2項により個人情報保護法第18条第3項第3号から第6号、第20条第2項及び第27条から第30条までの規定は適用除外 )。

    なお、個人情報保護法第58条で適用が除外されている規定はこの限りではない。

    A 利用目的の特定(個人情報保護法第17条)
    a 利用目的の特定(第1項)

    個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。

    b 利用目的の変更(第2項)

    個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

    B 利用目的の通知等(個人情報保護法第21条)
    a 利用目的の通知等(第1項)

    個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

    b 利用目的の明示(第2項)

    個人情報取扱事業者は、aの規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下bにおいて同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

    c 変更された利用目的の通知等(第3項)

    個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

    d 適用除外(第4項)

    aからcまでの規定は、ⅰ本人等の権利利益を害するおそれがある場合、ⅱ当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合、ⅲ国の行政機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、当該事務の遂行に支障を及ぼすおそれがあるとき、ⅳ取得の状況からみて利用目的が明らかであると認められる場合には、適用しない。

    C 不適正な利用の禁止(個人情報保護法第19条)

    個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

    D データ内容の正確性の確保等(個人情報保護法第22条)

    個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

    E 適正取得(個人情報保護法第20条第1項)

    個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

    F 漏えい等の報告等(個人情報保護法第26条)
    a 委員会への報告(第1項)

    個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護法施行規則第7条で定めるものが生じたときは、個人情報保護法施行規則第8条で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護法施行規則第9条で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

    b 本人への通知(第2項)

    aに規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護法施行規則第10条で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

    G 保有個人データに関する事項の公表等(個人情報保護法第32条、個人情報保護法施行令第10条)
    a 保有個人データに関する事項の公表(第1項)

    個人情報取扱事業者は、保有個人データに関し、ⅰ当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名、ⅱ全ての保有個人データの利用目的(Bdⅰからⅲまでに該当する場合を除く。)、ⅲ利用目的の通知、開示、訂正等、利用停止等による請求に応じる手続等、ⅳⅰからⅲまでに掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として個人情報保護法施行令第10条で定めるものについて、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

    b 利用目的の通知の求め(第2項)

    個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、ⅰaの規定により当該本人が識別される保有個人データの利用目的が明らかな場合、ⅱBdⅰからⅲまでに該当する場合のいずれかに該当する場合は、この限りでない。

    c 本人に対する通知(第3項)

    個人情報取扱事業者は、bの規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

    H 開示(個人情報保護法第33条)
    a 開示の請求(第1項)

    本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護法施行規則第30条で定める方法による開示を請求することができる。

    b 開示(第2項)

    個人情報取扱事業者は、aの規定による請求を受けたときは、本人に対し、aの規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより、ⅰ本人等の権利利益を害するおそれがある場合、ⅱ当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合、ⅲ他の法令に違反することとなる場合のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

    c 本人に対する通知(第3項)

    個人情報取扱事業者は、aの規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、又は当該保有個人データが存在しないとき、又はaの規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。

    d 他の法令による開示(第4項)

    他の法令の規定により、本人に対しbの本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、a及びbの規定は、適用しない。

    I 訂正等(個人情報保護法第34条)
    a 訂正等の請求(第1項)

    本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下Iにおいて「訂正等」という。)を請求することができる。

    b 訂正等(第2項)

    個人情報取扱事業者は、aの規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

    c 本人に対する通知(第3項)

    個人情報取扱事業者は、aの規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。

    J 利用停止等(個人情報保護法第35条)
    a 利用停止等の請求(第1項)

    本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが1-⑴B(利用目的を超えた個人番号の利用禁止)の規定に違反して取り扱われているとき若しくはC又はEの規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下Jにおいて「利用停止等」という。)を請求することができる。

    b 利用停止等(第2項)

    個人情報取扱事業者は、aの規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

    c 利用停止等又は第三者への提供の停止の請求(第5項)

    本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、Fに規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。

    d 利用停止等又は第三者への提供の停止(第6項)

    個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

    e 本人に対する通知(第7項)

    個人情報取扱事業者は、a若しくはcの規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は4(第三者提供の停止に関する取扱い)若しくはcの規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

    K 理由の説明(個人情報保護法第36条)

    個人情報取扱事業者は、Gc、Hc、Ic又はJeの規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。

    L 開示等の請求等に応じる手続(個人情報保護法第37条、個人情報保護法施行令第12条、第13条)
    a 開示等の請求の受付方法(第1項)

    個人情報取扱事業者は、Gbの規定による求め又はHa、Ia若しくはJa、4(第三者提供の停止に関する取扱い)若しくはJcの規定による請求(以下Lにおいて「開示等の請求等」という。)に関し、個人情報保護法施行令第12条で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。

    b 特定するに足りる事項の提示(第2項)

    個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

    c 代理人(第3項)

    開示等の請求等は、個人情報保護法施行令第13条で定めるところにより、代理人によってすることができる。

    d 本人に対する配慮(第4項)

    個人情報取扱事業者は、aからcまでの規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。

    M 手数料(個人情報保護法第38条)
    a 手数料の徴収(第1項)

    個人情報取扱事業者は、Gbの規定による利用目的の通知を求められたとき、又はHaの規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。

    b 手数料の額の定め(第2項)

    個人情報取扱事業者は、aの規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。

    N 事前の請求(個人情報保護法第39条)
    a 事前の請求(第1項)

    本人は、Ha、Ia又はJa、4(第三者提供の停止に関する取扱い)若しくはJcの規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から2週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。

    b みなす規定(第2項)

    aの請求は、その請求が通常到達すべきであった時に、到達したものとみなす。

    c 仮処分命令の申立てについての準用(第3項)

    a及びbの規定は、Ha、Ia又はJa、4(第三者提供の停止に関する取扱い)若しくはJcの規定による請求に係る仮処分命令の申立てについて準用する。

    O 苦情の処理(個人情報保護法第40条)
    a 苦情の処理(第1項)

    個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

    b 体制の整備(第2項)

    個人情報取扱事業者は、aの目的を達成するために必要な体制の整備に努めなければならない。