令和4年1月
(令和5年12月一部改正)
個人情報保護委員会
[PDF版 (PDF : 471KB) | 令和5年12月27日新旧対照表 (PDF : 80KB) ]
目次
- 1本ガイドラインの目的
- 2本ガイドラインの適用対象
- 3法の目的
- 4適用の範囲
- 4‐1法第5章の規律対象となる主体
- 4‐2法第5章の保護対象となる情報
- 5個人情報等の取扱い
- 5‐1保有に関する制限
- 5‐2取得及び利用の際の遵守事項
- 5‐2‐1利用目的の変更
- 5‐2‐2本人から書面により取得する際の利用目的の明示
- 5‐2‐3不適正な利用及び取得の禁止
- 5‐2‐4正確性の確保
- 5‐3安全管理措置等
- 5‐4漏えい等の報告等
- 5‐5利用及び提供の制限
- 5‐6利用目的以外の目的のための外国にある第三者への提供
- 5‐7個人関連情報、仮名加工情報及び匿名加工情報の取扱い
- 5‐7‐1個人関連情報の取扱い
- 5‐7‐2仮名加工情報の取扱い
- 5‐7‐3匿名加工情報の取扱い
- 6個人情報ファイル
- 7開示、訂正及び利用停止
- 7‐1開示
- 7‐1‐1開示請求の主体
- 7‐1‐2開示請求の対象となる保有個人情報
- 7‐1‐3開示請求の手続
- 7‐1‐4開示義務
- 7‐1‐5部分開示
- 7‐1‐6裁量的開示
- 7‐1‐7保有個人情報の存否に関する情報
- 7‐1‐8開示請求に対する措置等
- 7‐1‐9事案の移送
- 7‐1‐10第三者に対する意見提出の機会の付与
- 7‐1‐11開示の実施
- 7‐1‐12他の法令による開示の実施との調整
- 7‐1‐13手数料
- 7‐2訂正
- 7‐2‐1訂正請求の主体
- 7‐2‐2訂正請求の対象となる保有個人情報
- 7‐2‐3訂正請求の期限
- 7‐2‐4訂正請求の手続
- 7‐2‐5訂正義務
- 7‐2‐6訂正請求に対する措置等
- 7‐2‐7事案の移送
- 7‐2‐8保有個人情報の提供先への通知
- 7‐3利用停止
- 7‐3‐1利用停止請求の主体
- 7‐3‐2利用停止請求の対象となる保有個人情報
- 7‐3‐3利用停止請求の期限
- 7‐3‐4利用停止請求の手続
- 7‐3‐5利用停止義務
- 7‐3‐6利用停止請求に対する措置等
- 7‐4審査請求
- 7‐5第三者からの審査請求を棄却する場合等における手続
- 7‐6開示請求等の手続及び審査請求の手続に関する条例の定め
- 7‐1開示
- 8行政機関等匿名加工情報の提供等
- 9雑則
- 9‐1適用除外等
- 9‐2開示請求等をしようとする者への情報提供等
- 9‐3苦情処理
- 9‐4地方公共団体に置く審議会等への諮問
- 10委員会による監視等
- 10‐1委員会による監視
- 10‐2情報公開・個人情報保護審査会との連携
- 10‐3施行の状況の報告等
- 10‐4地方公共団体による必要な情報等の提供の求め
- 10‐5条例の届出
- 11条例との関係
- 【凡例】
- 「法」個人情報の保護に関する法律(平成15年法律第57号)
- 「政令」個人情報の保護に関する法律施行令(平成15年政令第507号)
- 「規則」個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
- 「令和3年改正法」デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)
※ なお、特に断りのない限り、本ガイドラインにおいて示す法令の条番号は、本ガイドラインの公表日(令和 5 年 12 月 27 日)時点の条番号を示すものとする。
1 本ガイドラインの目的
本ガイドラインは、行政機関、地方公共団体の機関、独立行政法人等及び地方独立行政法人における個人情報の適正な取扱いを確保することを目的として、法第4条、第8条、第 9 条、第 11 条及び第 131 条に基づき具体的な指針として定めるものである。
本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。
一方、「努めなければならない」、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはないが、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いが図られなければならない」とする法の基本理念(法第3条)を踏まえ、公益上の必要がある活動が制限されない限り対応することが望まれるものである。
本ガイドラインにおいて記述した具体例は、関係者の理解を助けることを目的として典型的なものを示したものであり、全ての事案を網羅したものでなく、記述した内容に限定する趣旨で記述したものでもない。また、記述した具体例においても、個別事案によっては別途考慮すべき要素もあり得るので注意を要する。個別事案への対応に当たっては、個人情報保護委員会(以下「委員会」という。)が別に示す関係資料がある場合には、それらも参照する必要がある。
なお、地方公共団体において、個人情報の取扱いや開示等手続に関して、法の規定の範囲で条例、規則等で独自の規定を定めている場合には、当該地方公共団体の機関又は地方独立行政法人は、個人情報の取扱いに当たり、法及び本ガイドラインに加えて、当該規定に沿った対応を行う必要がある。
また、本ガイドラインのうち、地方公共団体に適用される部分については、地方公共団体に対する技術的な助言としての性格を有するものである。
ただし、本ガイドラインの中で、「しなければならない」、「してはならない」及び「許容されない」と記述している事項については、地方公共団体の機関及び地方独立行政法人についても、これらに従わなかった場合、法違反と判断される可能性がある。
2 本ガイドラインの適用対象
本ガイドラインは、法の適用対象である次の機関及び法人並びにこれらから個人情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者に適用される。なお、当該委託を受けた者が個人情報取扱事業者、個人関連情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に該当する場合には、個人情報取扱事業者等の義務等に係る規定(法第4章)も適用されるため、個人情報取扱事業者等に適用される民間部門ガイドライン(※)も参照することが必要である。
- 行政機関(法第2条第8項)
- 地方公共団体の機関(議会を除く。)
- 独立行政法人等(同条第9項)
- 地方独立行政法人(同条第 10 項)
上記のとおり、地方公共団体の機関から議会は除外されている。これは、国会や裁判所と同様、議会においては、自律的な対応のもと個人情報の適切な取扱いが図られることが望ましいことから、法が定める規律の適用対象とされないものである。
なお、上記機関及び法人のうち次に該当するものについては、個人情報取扱事業者等の義務等に係る規定(法第4章)も適用されるため、個人情報取扱事業者等に適用される民間部門ガイドライン(※)も参照することが必要である。適用関係については4‐1‐1(行政機関等)を参照のこと。
- 独立行政法人等のうち法別表第2に掲げる法人
- 地方独立行政法人のうち地方独立行政法人法(平成 15 年法律第 118号)第 21 条第 1 号に掲げる業務(試験研究等)を主たる目的とするもの又は同条第 2 号(大学等の設置及び管理)若しくは第 3 号チ(病院事業の経営)に掲げる業務を目的とするもの
- 地方公共団体の機関であって病院若しくは診療所又は大学の運営を行うもの
- 独立行政法人労働者健康安全機構(病院の運営の業務に限る。)
(※)民間部門ガイドラインとは、次のガイドラインを指す。
- 個人情報の保護に関する法律についてのガイドライン(通則編)
- 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
- 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)
- 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)
- 個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)
3 法の目的
法は、デジタル社会の進展という状況下において、個人情報を取り扱う事業者及び行政機関等における個人情報の適正な取扱いに関する義務の遵守や個人情報の適切かつ効果的な活用に関する施策の展開を通じ、個人情報を取り扱う事業者及び行政機関等の事務及び事業の適正かつ円滑な運営を図るとともに、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としている。
また、法に基づく監督機関として設置され、権限行使の観点から高い独立性と政治的中立性を有する独立行政委員会であり、国際的制度調和や海外のデータ保護機関との執行協力等を担う委員会が、法全体を所管するとともに、官民・事業分野を横断して統一的な法の執行を担うこととされている。
官民を通じた個人情報保護制度の見直しが図られた令和3年改正法(令和 5 年 4 月に全面施行)においては、国や地方のデジタル業務改革の推進に伴い、公的部門で取り扱うデータの質的・量的な増大が不可避であることに対応するため、次の2点からなる我が国の個人情報保護制度の法体系の大幅な構造転換が行われた。
- 独立行政委員会である委員会が、民間部門に加え、公的部門における個人情報の取扱いも一元的に監視監督する体制を確立。
- 活発化する官民や地域の枠を超えたデータ利活用に対応するため、別個の法令による規律により生じていた旧法制の不均衡・不整合を是正。
令和3年改正法による法体系の構造転換により、期待される効果は、次の4点である。
- 国民が享受する行政サービスの安全性・信頼性を含めた質の向上
- 様々な行政機関等が行う事務又は事業の運営及び国民の権利保護に関する統一的基準の設定とその履行確保
- 官民連携や地域間の連携による新たな政策課題を解決する取組のために必要な環境整備
- 国際的な制度調和のための国内制度環境の整備
上記のような効果を期待して、令和3年改正法において措置された具体的な内容は次のとおりである。
- 行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)及び独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)を法に統合し、定義や基本概念については民間事業者に対する規律に統一化しつつ、全体の所管を委員会に一元化。
- 地方公共団体の個人情報保護制度についても、従来は個別の条例で規律されていたものを、統合後の法に基づく全国共通ルールとして、行政機関及び独立行政法人等に対して新たに適用されるものと同様の規律を適用し、地方公共団体に対する規律についても、解釈運用・監視監督を委員会が一元的に担う仕組みを整備。
- 法律の統合に際し、令和2年の法改正で整備された規律を含む民間事業者に対する規律を参考に、行政機関及び独立行政法人等に対する規律を充実化するとともに、引き続き公的機関等として確保すべき権利保護の仕組みは維持。
- 医療分野や学術分野に関係する公的機関に対して適用される規律は、官民連携による社会課題の解決の必要性を踏まえ、規律の不均衡の是正による円滑な官民連携の実現のために、民間事業者に対する規律に統一。
委員会は、これらの法の目的を達成すべく、本ガイドラインの策定を含め、法の規定に従って必要な措置を講じる。
4 適用の範囲
4‐1 法第5章の規律対象となる主体
法第5章の規定は、行政機関等における個人情報等の取扱いについて規律している。
法の適用対象については、2(本ガイドラインの適用対象)も参照のこと。
4‐1‐1 行政機関等
- 行政機関
「行政機関」とは、次のマル1からマル6までに記載するものをいう(法第2条第8項)。
- マル1 法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる次の機関(同項第1号)(※)
機関 法律の規定 内閣官房 内閣法(昭和22年法律第5号)第12条 内閣法制局 内閣法制局設置法(昭和27年法律第252号)第1条 デジタル庁 デジタル庁設置法(令和3年法律第36号)第2条 復興庁 復興庁設置法(平成23年法律第125号)第2条 国家安全保障会議 国家安全保障会議設置法(昭和61年法律第71号)第1条 都市再生本部 都市再生特別措置法(平成14年法律第22号)第3条 構造改革特別区域推進本部 構造改革特別区域法(平成14年法律第189号)第37条 知的財産戦略本部 知的財産基本法(平成14年法律第122号)第24条 地球温暖化対策推進本部 地球温暖化対策の推進に関する法律(平成10年法律第117号)第10条 地域再生本部 地域再生法(平成17年法律第24号)第24条 郵政民営化推進本部 郵政民営化法(平成17年法律第97号)第10条 中心市街地活性化本部 中心市街地の活性化に関する法律(平成10年法律第92号)第66条 道州制特別区域推進本部 道州制特別区域における広域行政の推進に関する法律(平成18年法律第116号)第20条 総合海洋政策本部 海洋基本法(平成19年法律第33号)第29条 宇宙開発戦略本部 宇宙基本法(平成20年法律第43号)第25条 総合特別区域推進本部 総合特別区域法(平成23年法律第81号)第59条 原子力防災会議 原子力基本法(昭和30年法律第186号)第3条の3 国土強靱化推進本部 強くしなやかな国民生活の実現を図るための防災・減災等に資する国土強靱化基本法(平成25年法律第95号)第15条 健康・医療戦略推進本部 健康・医療戦略推進法(平成26年法律第48号)第20条 水循環政策本部 水循環基本法(平成26年法律第16号)第22条 まち・ひと・しごと創生本部 まち・ひと・しごと創生法(平成26年法律第136号)第11条 サイバーセキュリティ戦略本部 サイバーセキュリティ基本法(平成26年法律第104号)第25条 特定複合観光施設区域整備推進本部 特定複合観光施設区域の整備の推進に関する法律(平成28年法律第115号)第14条 ギャンブル等依存症対策推進本部 ギャンブル等依存症対策基本法(平成30年法律第74号)第24条 アイヌ政策推進本部 アイヌの人々の誇りが尊重される社会を実現するための施策の推進に関する法律(平成31年法律第16号)第32条 新型インフルエンザ等対策推進会議 新型インフルエンザ等対策特別措置法(平成24年法律第31号)第70条の2 国際博覧会推進本部 令和七年に開催される国際博覧会の準備及び運営のために必要な特別措置に関する法律(平成31年法律第18号)第2条 人事院 国家公務員法(昭和22年法律第120号)第3条 (※)令和 5 年 12 月 27 日において存続するもの
- マル2 内閣府、宮内庁並びに内閣府設置法(平成11年法律第89号)第49条第1項及び第2項に規定する次の機関(法第2条第8項第2号)
- 公正取引委員会
- 国家公安委員会
- 個人情報保護委員会
- カジノ管理委員会
- 金融庁
- 消費者庁
- こども家庭庁
- マル3 国家行政組織法(昭和23年法律第120号)第3条第2項に規定する次の機関(これらの機関の審議会等、施設等機関、特別の機関及び地方支分部局も含む。)(法第2条第8項第3号)
省 委員会 庁 総務省 公害等調整委員会 消防庁 法務省 公安審査委員会 出入国在留管理庁、公安調査庁 外務省
財務省
国税庁 文部科学省
スポーツ庁、文化庁 厚生労働省 中央労働委員会
農林水産省
林野庁、水産庁 経済産業省
資源エネルギー庁、特許庁、中小企業庁 国土交通省 運輸安全委員会 観光庁、気象庁、海上保安庁 環境省 原子力規制委員会
防衛省
防衛装備庁 - マル4 内閣府、宮内庁並びに内閣府の外局の委員会及び庁に置かれる施設等機関及び特別の機関として政令で定める次の機関(法第2条第8項第4号及び政令第3条第1項)
- 警察庁
- マル5 各省並びに各省の委員会及び庁に置かれる施設等機関及び特別の機関として政令で定める次の機関(法第2条第8項第5号及び政令第3条第2項)
- 検察庁
- マル6 会計検査院(法第2条第8項第6号)
- マル1 法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる次の機関(同項第1号)(※)
- 独立行政法人等
「独立行政法人等」とは、独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び法別表第1に掲げる次の法人をいう(法第2条第9項)。
名称 根拠法 沖縄科学技術大学院大学学園 沖縄科学技術大学院大学学園法(平成21年法律第76号) 沖縄振興開発金融公庫 沖縄振興開発金融公庫法(昭和47年法律第31号) 外国人技能実習機構 外国人の技能実習の適正な実施及び技能実習生の保護に関する法律(平成28年法律第89号) 株式会社国際協力銀行 株式会社国際協力銀行法(平成23年法律第39号) 株式会社日本政策金融公庫 株式会社日本政策金融公庫法(平成19年法律第57号) 株式会社日本貿易保険 貿易保険法(昭和25年法律第67号) 原子力損害賠償・廃炉等支援機構 原子力損害賠償・廃炉等支援機構法(平成23年法律第94号) 国立大学法人 国立大学法人法(平成15年法律第112号) 大学共同利用機関法人 国立大学法人法 日本銀行 日本銀行法(平成9年法律第89号) 日本司法支援センター 総合法律支援法(平成16年法律第74号) 日本私立学校振興・共済事業団 日本私立学校振興・共済事業団法(平成9年法律第48号) 日本中央競馬会 日本中央競馬会法(昭和29年法律第205号) 日本年金機構 日本年金機構法(平成19年法律第109号) 農水産業協同組合貯金保険機構 農水産業協同組合貯金保険法(昭和48年法律第53号) 福島国際研究教育機構 福島復興再生特別措置法(平成24年法律第25号) 放送大学学園 放送大学学園法(平成14年法律第156号) 預金保険機構 預金保険法(昭和46年法律第34号) - 地方公共団体の機関
「地方公共団体の機関」には、知事、市区町村長、教育委員会、公安委員会、選挙管理委員会、監査委員等の執行機関のほか、公営企業管理者(病院事業管理者を含む。)、警察本部長及び消防長等がそれぞれ該当する(※1)(※2)。
「地方公共団体」には、普通地方公共団体のみではなく、一部事務組合や広域連合、財産区等の特別地方公共団体も含まれる。
地方公共団体の議会については、国会や裁判所が法による個人情報の取扱いに係る規律の対象となっていないこととの整合を図るため、基本的に地方公共団体の機関から除外され(法第2 条第 11 項第2 号)、法第5章が規定する行政機関等の個人情報の取扱いに係る義務等に関する規律の適用対象とされていないが、個人の権利利益の保護という観点からは、自律的な対応のもと個人情報の適切な取扱いが行われることが望ましい。 なお、次の規定においては、「地方公共団体の機関」に地方公共団体の議会が含まれる。
- 国及び地方公共団体の責務等を定める規定(法第2 章)
- 個人情報の保護に関する施策等を定める規定(法第3 章)
- 行政機関等が利用目的以外の目的のために保有個人情報を提供することができる事由として地方公共団体の機関に提供する場合について定める規定(法第 69 条第2 項第3 号)
- (※1)公営企業管理者、警察本部長及び消防長については、執行機関の一定の指揮監督を受け、又は管理に服するものであるが、事務の執行権や下位組織の指揮監督権を有する性格から、「地方公共団体の機関」に該当する。
- (※2)附属機関(地方自治法第 138 条の 4 第 3 項)、支所及び地方事務所(同法第 155 条第1項)等については当該附属機関が置かれる執行機関や長等が「地方公共団体の機関」となる。
- 地方独立行政法人
「地方独立行政法人」とは、地方独立行政法人法(平成 15 年法律第 118号)第 2 条第 1 項に規定する地方独立行政法人をいう(法第 2 条第 10項)。
- 行政機関等
「行政機関等」とは、次の機関及び法人をいい(法第2条第11項)、これらの主体が行う個人情報等の取扱いに対して法第5章の規律が適用される。
- マル1 行政機関(4-1-1(1)(行政機関)参照)
- マル2 地方公共団体の機関(4-1-1(3)(地方公共団体の機関)参照)
- マル3 独立行政法人等(法別表第2に掲げる法人(※)を除く。4-1-1(2)(独立行政法人等)参照)
- マル4 地方独立行政法人(地方独立行政法人法第 21 条第 1 号に掲げる業務(試験研究等)を主たる目的とするもの又は同条第 2 号(大学等の設置及び管理)若しくは第 3 号チ(病院事業の経営)に掲げる業務 を目的とするものを除く。)
なお、行政機関等が行う業務のうち、法第4章(個人情報取扱事業者等の義務等に係る規定)の規律の適用を受けるものについては、4-1-1(6)(法第4章の適用を受ける法人及び業務)を参照のこと。
(※)法別表第2に掲げる法人は次のとおりである。
名称 根拠法 沖縄科学技術大学院大学学園 沖縄科学技術大学院大学学園法 国立研究開発法人 独立行政法人通則法 国立大学法人 国立大学法人法 大学共同利用機関法人 国立大学法人法 独立行政法人国立病院機構 独立行政法人国立病院機構法(平成14年法律第191号) 独立行政法人地域医療機能推進機構 独立行政法人地域医療機能推進機構法(平成17年法律第71号) 福島国際研究教育機構 福島復興再生特別措置法 放送大学学園 放送大学学園法 - 法第4章の適用を受ける法人及び業務
次の法人については、「行政機関等」には当たらず、法第5章の規律のうち、個人情報ファイル、開示等(開示、訂正及び利用停止をいう。以下同じ。)及び匿名加工情報に関する規律については、行政機関等と同様の規律が適用されるものの、その他の個人情報等の取扱いに関しては個人情報取扱事業者等に対する規定(法第4章)が適用される(法第58条第1項並びに第125条第2項及び第3項)。
- マル1 法別表第 2 に掲げる法人(法第 58 条第 1 項第 1 号)
- マル2 地方独立行政法人のうち、試験研究を行うこと等を主たる目的とするもの、大学等の設置及び管理等を目的とするもの並びに病院事業の経営を目的とするもの(同項第 2 号)
また、行政機関等の行う次の業務については、法第5章の規律のうち、個人情報ファイル、開示等及び匿名加工情報に関する規律については、行政機関等に係る規律が適用されるものの、その他の個人情報等の取扱いに関する規律については、個人情報取扱事業者等と同様の規律が適用される(法第58条第2項並びに第125条第1項及び第3項)。
- マル1 地方公共団体の機関が行う業務のうち病院及び診療所並びに大学の運営の業務(法第 58 条第 2 項第 1 号)
- マル2 独立行政法人労働者健康安全機構が行う病院の運営の業務(同項第2 号)
4‐1‐2 行政機関の長等
「行政機関の長等」とは、行政機関の長(法第2条第8項第4号及び第5号の政令で定める機関にあっては、その機関ごとに政令で定める者)、地方公共団体の機関、独立行政法人等(法別表第2に掲げる法人を除く。)及び地方独立行政法人(地方独立行政法人法第 21 条第 1 号に掲げる業務(試験研究等)を主たる目的とするもの又は同条第 2 号(大学等の設置及び管理)若しくは第 3 号チ(病院事業の経営)に掲げる業務を目的とするものを除く。)をいう(法第63条)。
4‐2 法第5章の保護対象となる情報
4‐2‐1 個人情報
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)又は個人識別符号が含まれるものをいう(法第2条第1項)。
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は「個人情報」に該当しない(ただし、役員、従業員等に関する情報は個人情報に該当する。)。なお、「個人」は日本国民に限らず、外国人も含まれる。
法では、「個人情報」を生存する個人に関する情報に限っているところ、「個人情報」の定義の統一は、令和 3 年改正法の目的である個人情報保護法制に係る全国ルールの統一の根幹をなすものであり、これに反して死者に関する情報を条例で「個人情報」に含めることはできない。
ただし、死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報として法の保護の対象となる。
「他の情報と容易に照合することができ」るとは、行政機関等の実態に即して個々の事例ごとに判断されるべきであるが、行政機関等において通常の事務や業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の行政機関等や事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態であると考えられる。
4‐2‐2 個人識別符号
「個人識別符号」とは、当該情報単体から特定の個人を識別することができるものとして政令で定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となる(法第2条第2項)。
4‐2‐3 保有個人情報
「保有個人情報」とは、行政機関等及び法第 58 条第 1 項各号に掲げる法人の職員(独立行政法人等及び地方独立行政法人にあっては、その役員を含む。)が職務上作成し、又は取得した個人情報であって、当該行政機関等及び同項各号に掲げる法人の職員が組織的に利用するものとして、当該行政機関等及びび同項各号に掲げる法人が保有しているもののうち、次の文書(以下「行政文書等」という。)に記録されているものをいう(法第60条第1項)。
- 行政文書(行政機関の保有する情報の公開に関する法律(平成11年法律第42号。以下「行政機関情報公開法」という。)第2条第2項に規定する行政文書をいう。)
- 法人文書(独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「独立行政法人等情報公開法」という。)第2条第2項に規定する法人文書(同項第4号に掲げるものを含む。)をいう。)
- 地方公共団体等行政文書(地方公共団体の機関又は地方独立行政法人の職員が職務上作成し、又は取得した文書、図画及び電磁的記録であって、当該地方公共団体の機関又は地方独立行政法人の職員が組織的に用いるものとして、当該地方公共団体の機関又は地方独立行政法人が保有しているもの(行政機関情報公開法第 2 条第 2 項各号に掲げるものに相当するものとして政令で定めるものを除く。)をいう。)
個人情報には、紙等の媒体に記録されたものと、そうでないもの(口頭によるもの等)があるが、法の規律を安定的に運用するためには、文書、図画、電磁的記録等、個人情報が記録されている媒体がある程度固定されている必要がある。そこで、法の主な規律の適用対象となる「保有個人情報」は、行政文書等に記録されているものに限られる。
法において保有個人情報が対象となる規律は、安全管理措置(法第66条第1項)、利用及び提供の制限(法第69条)、本人からの開示等の請求等である。
4‐2‐4 個人情報ファイル
「個人情報ファイル」とは、保有個人情報を含む情報の集合体であって、マル1一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの(電子計算機処理に係る個人情報ファイル)又はマル2一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの(いわゆるマニュアル(手作業)処理に係る個人情報ファイル)をいう(法第60条第2項)。
個人情報ファイルの取扱い等については、6(個人情報ファイル)を参照のこと。
4‐2‐5 要配慮個人情報
「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして次の(1)から(11)までの記述等が含まれる個人情報をいう(法第2条第3項)。
なお、これらの情報を推知させる情報に過ぎないものは、要配慮個人情報には当たらない。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- 身体障害、知的障害、精神障害(発達障害を含む。)その他の規則で定める心身の機能の障害があること(政令第2条第1号)。
- 本人に対して医師その他医療に関連する職務に従事する者((9)において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査((9)において「健康診断等」という。)の結果(同条第2号)
- 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと(同条第3号)。
- 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く。)(同条第4号)。
- 本人を少年法(昭和23年法律第168号)第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと(政令第2条第5号)。
4‐2‐6 条例要配慮個人情報
条例要配慮個人情報とは、地方公共団体の機関又は地方独立行政法人が保有する個人情報(要配慮個人情報を除く。)のうち、地域の特性その他の事情に応じて、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する記述等として当該地方公共団体の条例で定める記述等が含まれる個人情報をいう(法第 60 条第 5 項)。
地方公共団体の機関又は地方独立行政法人についても、法第2条第3項に規定する要配慮個人情報の定義及び関係する規律が適用されるが、これとは別に、条例において上記の記述等を規定することができる。
なお、条例において上記の記述等を規定する場合には、委員会に事前に相談することが望ましい。
条例要配慮個人情報については、個人情報ファイル簿の記載事項に関する特則が置かれている(法第 75 条第 1 項及び第 4 項)。また、条例要配慮個人情報が含まれる保有個人情報の漏えい等が発生し、又は発生したおそれがある事態が生じたときは、規則で定めるところにより、当該事態が生じた旨を委員会に報告しなければならない(法第 68 条第 1 項及び規則第 43 条第 5 号)。
なお、条例要配慮個人情報となる記述等を条例で規定する場合であっても、当該条例要配慮個人情報に係る条例の規定は、当該条例を定めた地方公共団体及び当該地方公共団体が設立する地方独立行政法人が保有する個人情報にのみ適用されることとなる。
また、条例要配慮個人情報について、法に基づく規律を超えて地方公共団体による取得や提供等に関する固有のルールを付加したり、個人情報取扱事業者等における取扱いに固有のルールを設けることは、法の趣旨に照らしできない。
4‐2‐7 仮名加工情報
「仮名加工情報」とは、個人情報を、法に規定する措置を講じて他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報をいう(法第2条第5項)。
仮名加工情報の取扱いについては5-7-2(仮名加工情報の取扱い)を参照のこと。
4‐2‐8 匿名加工情報
「匿名加工情報」とは、個人情報を個人情報の区分に応じて次のいずれかの措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう(法第2条第6項)。
- 同条第1項第1号に該当する個人情報については、当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 同項第2号に該当する個人情報については、当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
匿名加工情報の取扱い等については8-3(行政機関等匿名加工情報以外の匿名加工情報の取扱いに係る義務)を参照のこと。
4‐2‐9 行政機関等匿名加工情報
「行政機関等匿名加工情報」とは、次の(1)から(3)までのいずれにも該当する個人情報ファイルを構成する保有個人情報の全部又は一部を加工して得られる匿名加工情報をいう(法第60条第3項)。
なお、行政機関等匿名加工情報は、個人の権利利益の保護に支障がない範囲で保有個人情報を加工するものであるところ、次の不開示情報が含まれる場合、これらを加工して提供することは、個人の権利利益以外の保護法益を害するおそれがあるため、当該不開示情報に該当する部分は加工対象から除外されている。
- 行政機関情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除き、同条第2号ただし書に規定する情報を含む。)
- 独立行政法人等情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除き、同条第2号ただし書に規定する情報を含む。)
- 地方公共団体の情報公開条例に規定する不開示情報であって、行政機関情報公開法第 5 条に規定する不開示情報(同条第 1 号に掲げる情報を除き、同条第 2 号ただし書に規定する情報を含む。)に相当するもの
- 法第75条第2項各号のいずれかに該当するもの又は同条第3項の規定により同条第1項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと(法第60条第3項第1号)。
- 行政機関情報公開法法、独立行政法人等情報公開法又は情報公開条例の規定により、行政機関の長等及び法第 58 条第 1 項各号に掲げる法人に対し、当該個人情報ファイルを構成する保有個人情報が記録されている行政文書等の開示の請求があったとしたならば、当該行政機関の長等及び同項各号に掲げる法人が次のいずれかを行うこととなるものであること(法第60条第3項第2号)。
- マル1当該行政文書等に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること(同号イ)。
- マル2行政機関情報公開法、独立行政法人等情報公開法又は情報公開条例の規定により意見書の提出の機会を与えること(同号ロ)。
- 行政機関等及び法第 58 条第 1 項各号に掲げる法人の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、法第116条第1項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して匿名加工情報を作成することができるものであること(法第60条第3項第3号)。
行政機関等匿名加工情報の提供等については8(行政機関等匿名加工情報の提供等)を参照のこと。
4‐2‐10 行政機関等匿名加工情報ファイル
「行政機関等匿名加工情報ファイル」とは、行政機関等匿名加工情報を含む情報の集合物であって、マル1特定の行政機関等匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの(電子計算機処理に係る行政機関等匿名加工情報)又はマル2その他の方法で特定の行政機関等匿名加工情報を容易に検索することができるように体系的に構成したものとして、政令で定めるものをいう(法第60条第4項)。
4‐2‐11 個人関連情報
「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう(法第2条第7項)。
個人に関する情報(4-2-1(個人情報)参照)のうち、氏名、生年月日その他の記述等により特定の個人を識別することができるものは、個人情報に該当するため、個人関連情報には該当しない。
また、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、個人に関する情報に該当するものではないため、個人関連情報にも該当しない。
個人関連情報の取扱いについては5-7-1(個人関連情報の取扱い)を参照のこと。
5 個人情報等の取扱い
5‐1 保有に関する制限
行政機関等においては、行政サービスの提供等のために個人情報を保有する必要がある一方で、不必要な個人情報の保有は、安全管理上問題であるのみならず、場合によっては誤った利用等がなされるおそれもある。そのため、法においては、行政機関等が個人情報を保有することができる場合について規定するとともに、個人情報を保有するときは利用目的を特定すること等を求めている。
行政機関等は、法令の定めに従い適法に行う事務又は業務を遂行するため必要な場合に限り、個人情報を保有することができる(法第61条第1項)。
事務又は業務については、行政機関等が事実上行っているというだけではなく、法令上の根拠が必要であり、行政機関等の設置の根拠となる法令において「所掌事務」等を定める条文に列挙されている事務又は業務のほか、「権限」を定める条文上で規定されている事務又は業務や、作用法上規定されている事務又は業務が含まれる。地方公共団体においては、地方自治法第 2 条第 2 項に規定する「地域における事務」もこれに含まれる。
なお、所掌事務又は業務の根拠となる法第 61 条第 1 項の「法令」には、条例が含まれるほか、規則等の地方公共団体が法令に基づき定める法規が含まれる。
また、同項の規定により、行政機関等は、個人情報の利用目的について、当該個人情報がどのような事務又は業務の用に供され、どのような目的に使われるかをできるだけ具体的かつ個別的に特定しなければならない。この際、行政機関等の恣意的な判断により利用目的の特定の程度を弱めることは許容されず、具体的な利用行為が当該利用目的の範囲内であるか否か、合理的かつ明確に判断することができるものでなければならない。
さらに、同条第2項の規定により、行政機関等は、特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。そのため、個人情報が保有される個人の範囲及び個人情報の内容は、利用目的に照らして必要最小限のものでなければならない。
5‐2 取得及び利用の際の遵守事項
行政機関等は、個人情報を適正に取得し、その利用目的の範囲内で取り扱わなければならない。他方で、新たな行政サービスの展開に対応する必要性等から、利用目的を変更せざるを得ない場合が生じることは一般に想定し得るところである。法第1条にもあるとおり、法は、個人の権利利益を保護することを目的としつつも、行政機関等の事務及び事業の適正かつ円滑な運営を図ることにも留意して、行政機関等が個人情報を取得及び利用の際の遵守事項について規定している。
5‐2‐1 利用目的の変更
行政機関等が個人情報の利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えてはならない(法第61条第3項)。
当初の利用目的に照らして、変更後の利用目的を想定することが困難であるような場合には、「変更前の利用目的と相当の関連性を有する」とは認められない。
また、「合理的に認められる」とは、社会通念上妥当であると客観的に認識されるとの趣旨であり、行政機関等の恣意的な判断による変更を認めるものではない。
5‐2‐2 本人から書面により取得する際の利用目的の明示
行政機関等は、本人から直接書面(電磁的記録を含む。)に記録された当該本人の個人情報を取得するときには、次のいずれかに該当する場合を除き、本人が認識することができる適切な方法により、本人に対し、利用目的をあらかじめ明示しなければならない(法第62条)。
- 人の生命、身体又は財産の保護のために緊急に必要があるとき(同条第1号)。
- 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき(同条第2号)。
- 利用目的を本人に明示することにより、国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき(同条第3号)。
- 取得の状況からみて利用目的が明らかであると認められるとき(同条第4号)。
なお、行政機関等に対して個人情報をその内容に含む書面が一方的に送りつけられてきたような場合には、そもそも「あらかじめ」利用目的を明示することが不可能であり、そのような場合については、同条の規定の適用を受けない。
5‐2‐3 不適正な利用及び取得の禁止
行政機関の長等(4-1-2(行政機関の長等)参照)は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならず(法第63条)、また、偽りその他不正の手段により個人情報を取得してはならない(法第64条)。
「違法又は不当な行為」とは、法その他の法令に違反する行為及び直ちに違法とはいえないものの、法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいう。
「おそれ」の有無は、行政機関の長等による個人情報の利用が、違法又は不当な行為を助長し、又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断される。
違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用する具体例としては、正当な理由なく本人に対する違法な差別的取扱いを行うために個人情報を利用する場合等が考えられる。
また、不正の手段により個人情報を取得する具体例としては、行政サービスの見返りとして本来は提供する必要のない個人情報を提供するよう強要し、これを取得する場合等が考えられる。
5‐2‐4 正確性の確保
行政機関の長等は、利用目的の達成に必要な範囲内で、保有個人情報(4-2-3(保有個人情報)参照)が過去又は現在の事実と合致するよう努めなければならない(法第65条)。
利用目的によっては、例えば、マル1過去の一定時点の事実のみで足りる場合、マル2現在の事実を必要とする場合、マル3過去の事実と現在の事実の両方を必要とする場合があり得ることから、それぞれの利用目的に応じて必要な範囲内で正確性を確保することが求められる。
なお、本条における正確性の確保の対象は「事実」にとどまり、評価・判断には及ばないが、「個人Aが○○と評価・判断された」、「評価者Bが○○と評価・判断した」という情報は事実に含まれる。
5‐3 安全管理措置等
行政機関等において個人情報の管理が十分になされておらず、又は個人情報を取り扱う者がその内容をみだりに他人に知らせるなどした場合、個人の権利利益が侵害されるおそれが増大することとなる。このような事態を防止するため、法は、行政機関等が講ずべき措置及び従事者の義務について定めている。
5‐3‐1 安全管理措置
- 行政機関の長等の安全管理措置義務
行政機関の長等は、保有個人情報の漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の保有個人情報の安全管理のため、必要かつ適切な措置(以下「安全管理措置」という。)を講じなければならない(法第66条第1項)。
安全管理措置の内容としては、例えば、保有個人情報にアクセスする権限を有する職員の範囲や権限の内容を業務に必要な最小限の範囲に限定する、あるいは保有個人情報が記録された媒体を保管する場所を定めた上で施錠等を行うといった対応が考えられる。
とりわけ、大量の保有個人情報を取り扱う行政機関等や、取り扱う保有個人情報の性質等に照らして漏えい等が生じた場合に本人の権利利益が侵害される危険が大きい行政機関等においては、本ガイドライン(5-3-1(安全管理措置))その他委員会が示す資料等を参照の上、安全管理措置を確実に講じることが求められる。
求められる安全管理措置の内容は、保有個人情報の漏えい等が生じた場合に本人が被る権利利益の侵害の大きさを考慮し、事務又は業務の規模及び性質、保有個人情報の取扱状況(取り扱う保有個人情報の性質及び量を含む。)、保有個人情報を記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
なお、「その他の保有個人情報の安全管理のために必要かつ適切な措置」には、行政機関等が取得し、又は取得しようとしている個人情報であって、保有個人情報として取り扱われることが予定されているものの漏えい等を防止するために必要かつ適切な措置も含まれる。
また、デジタル化が進むなか、安全管理措置を適切に講じるためには、サイバーセキュリティの確保も重要である。サイバーセキュリティ対策を講ずるに当たっては、サイバーセキュリティ基本法(平成26年法律第104号)第26条第1項第2号に掲げられたサイバーセキュリティに関する対策の基準等を参考として、取り扱う保有個人情報の性質等に照らして適正な水準を確保する必要がある。
個人情報の取扱いを委託する場合は、上記サイバーセキュリティに関する対策の基準等を参考に委託先によるアクセスを認める情報及び情報システムの範囲を判断する基準や委託先の選定基準を整備するとともに、委託先との契約において安全管理措置のために必要な条項(委託先における情報管理に関する条項、再委託先の選定に関する条項、委託先に対する監査に関する条項等)を盛り込んだ上で、定期的な監査を行う等、委託先に対して必要かつ適切な監督を行うことが考えられる。
また、委託先が個人情報取扱事業者(法第16条第2項)に該当する場合には、委託先において、個人データに関する安全管理措置を講ずべき義務(法第23条)も負うこととなるところ、行政機関の長等は、委託先に対する必要かつ適切な監督の一環として、法に従った個人データの適切な取扱いが確保されるように、委託先に対して必要な助言や指導を行うことが考えられる。
委託先に対して必要かつ適切な監督を行っていない場合で、委託先(再委託先を含む。)が個人情報について不適切な取扱いを行ったときは、委託元である行政機関等による法違反と判断され、行政機関等に対して必要な指導、助言、勧告等を行うことが考えられる。
- 行政機関の長等の安全管理措置義務の準用
次の者がそれぞれ次に記載する業務を行う場合には、行政機関等と同様の安全管理措置を講じなければならない(法第66条第2項)。また、これらの者が個人情報取扱事業者(法第 16 条第 2 項)に該当する場合には、個人データに関する安全管理措置の規定(法第 23 条)についても適用を受ける。
なお、個人情報の取扱いが外国において行われる場合も、同項の適用対象となる。
(1) 行政機関等から個人情報の取扱いの委託を受けた者 当該委託を受けた業務 (2) 指定管理者(地方自治法第244条の2 第 3 項) 公の施設(地方自治法第 244 条第 1 項)の管理の業務 (3) 法別表第 2 に掲げる法人 政令第 19 条第 1 項各号に掲げる業務(1) (4) 地方独立行政法人のうち地方独立行政法人法第 21 条第 1 号に掲げる業務を主たる目的とするもの又は同条第 2 号若しくは第 3 号(チに係る部分に限る。)に掲げる業務を目的とするもの 当該委託を受けた業務 (5) 地方公共団体の機関 政令第 19 条第 2 項各号 に 掲 げ る 業 務
(※2)(6) 独立行政法人労働者健康安全機構 病院の運営の業務のうち法令に基づき行う業務であって政令で定めるもの(※3) (7) (1)から(6)までの者からそれぞれに記載する業務の委託(二以上の段階にわたる委託を含む。)を受けた者 当該委託を受けた業務 (※1)政令第19条第1項各号において次の業務が掲げられている。
- マル1補助金等に係る予算の執行の適正化に関する法律(昭和30年法律第179号)の規定に基づき行う業務であって、国立研究開発法人情報通信研究機構法(平成11年法律第162号)第19条、国立研究開発法人新エネルギー・産業技術総合開発機構法(平成14年法律第145号)第18条、国立研究開発法人医薬基盤・健康・栄養研究所法(平成16年法律第135号)第16条又は国立研究開発法人日本医療研究開発機構法(平成26年法律第49号)第17条の3において準用するもの(政令第19条第1項第1号)
- マル2計量法(平成4年法律第51号)第168条の2(第9号に係る部分に限る。)又は第168条の3第1項の規定に基づき行う業務(政令第19条第1項第2号)
- マル3種苗法(平成10年法律第83号)第15条の2第1項(同法第17条の2第6項、第35条の3第3項及び第47条第3項において準用する場合を含む。)又は第63条第1項の規定に基づき行う業務(政令第19条第1項第3号)
- マル4国立研究開発法人森林研究・整備機構法(平成11年法律第198号)第14条第1項の規定に基づき行う業務(政令第19条第1項第4号)
- マル5遺伝子組換え生物等の使用等の規制による生物の多様性の確保に関する法律(平成15年法律第97号)第32条第1項の規定に基づき行う業務(政令第19条第1項第5号)
- マル6心神喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律(平成15年法律第110号)第2条第4項に規定する指定入院医療機関として同法の規定に基づき行う業務(政令第19条第1項第6号)
- マル7がん登録等の推進に関する法律(平成25年法律第111号)第23条第1項の規定に基づき行う業務(政令第19条第1項第7号)
- マル8法第 58 条第 1 項第 2 号に掲げる者が条例に基づき行う業務であって前各号に掲げる業務に類するものとして条例で定めるもの(政令第19条第1項第 8 号)
(※2)政令第 19 条第 2 項各号において次の業務が掲げられている。
- マル1心神喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律第 2 条第 4 項に規定する指定入院医療機関として同法の規定に基づき行う業務(政令第 19 条第 2 項第 1 号)
- マル2法第 58 条第 2 項第 1 号に掲げる者が同号に定める業務として条例に基づき行う業務であって前号に掲げる業務に類するものとして条例で定めるもの(政令第 19 条第 2 項第 2 号)
(※3)現時点において、政令で定められている業務はない。なお、病院の運営の業務以外の業務については、法第66条第1項の適用対象になる。
5‐3‐2 従事者の義務
次の者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない(法第67条)。
- 個人情報の取扱いに従事する行政機関等の職員又は職員であった者
- 法第66条第2項各号に定める業務(5-3-1(2)(行政機関の長等の安全管理措置義務の準用)参照)に従事している者又は従事していた者
- 行政機関等において個人情報の取扱いに従事している派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第2条第2号に規定する派遣労働者をいう。以下5-3-2(従事者の義務)及び8-1(5)(従事者の義務)において同じ。)又は従事していた派遣労働者
「みだりに他人に知らせ」るとは、正当な理由がなく個人情報の内容を他人に知らせることをいう。また、「不当な目的に利用」するとは、例えば、自己又は他人の私的利益のために個人情報の内容を利用する場合その他正当性を欠く目的のために個人情報の内容を利用することをいう。
5‐4 漏えい等の報告等
行政機関等が保有する個人情報が漏えいするなどした場合、これを放置すれば、個人の権利利益が侵害されるおそれがあり、行政機関等に対する国民の信頼も失われることとなりかねない。そこで、法は、行政機関の長等に対し、個人の権利利益を害するおそれが大きい事態が生じた場合には、委員会へ報告するとともに、本人に対して通知することを求めている。
5‐4‐1 委員会への報告
行政機関の長等は、保有個人情報について、漏えい等その他の保有個人情報の安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものとして規則で定める次の事態が生じたときは、規則で定めるところにより、当該事態が生じた旨を委員会に報告しなければならない(法第68条第1項)。
- 要配慮個人情報が含まれる保有個人情報(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下(2)から(5)までにおいて同じ。)の漏えい等が発生し、又は発生したおそれがある事態(規則第43条第1号)
- 不正に利用されることにより財産的被害が生じるおそれがある保有個人情報の漏えい等が発生し、又は発生したおそれがある事態(同条第2号)
- 不正の目的をもって行われたおそれがある当該行政機関の長等の属する行政機関等に対する行為による保有個人情報(当該行政機関の長等の属する行政機関等が取得し、又は取得しようとしている個人情報であって、保有個人情報として取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態(同条第3号)
- 保有個人情報に係る本人の数が100人を超える漏えい等が発生し、又は発生したおそれがある事態(同条第4号)
- 条例要配慮個人情報が含まれる保有個人情報の漏えい等が発生し、又は発生したおそれがある事態(地方公共団体の機関又は地方独立行政法人が法第68条第1項の報告を行う場合であって、当該地方公共団体の機関又は地方独立行政法人に適用される条例において条例要配慮個人情報について定められているときに限る。)(規則第43条第5号)
漏えい等の具体例としては、例えば、保有個人情報を含む書類・電磁的記録等について、第三者に誤送付・誤送信した場合、盗難や不正アクセス等に遭った場合、情報システムの設定ミス等によりインターネット上で閲覧が可能な状態となっていた場合、紛失し、又は誤って廃棄した場合等が考えられる。
なお、法第8条、第9条及び第11条にもあるとおり、行政機関等における個人情報の適正な取扱いを確保する必要があることから、行政機関等は、法第68条第1項の規定に基づく報告の対象とならない場合であっても、国民の不安を招きかねない事案(例えば、公表を行う漏えい等が発生したとき、個人情報保護に係る内部規程に対する違反があったとき、委託先において個人情報の適切な管理に関する契約条項等に対する違反があったとき等)については、当該事案の内容、経緯、被害状況等について、速やかに委員会へ情報提供を行うことが望ましい。
5‐4‐2 本人への通知
行政機関の長等は、委員会への報告を要する事態が生じた場合には、規則で定めるところにより、本人に対し、本人の権利利益を保護するために必要な範囲において、事態の概要、保有個人情報(規則第43条第3号に定める事態については、同号に規定する個人情報を含む。以下 5-4-2(本人への通知)において同じ。)の項目、原因、二次被害又はそのおそれの有無及びその内容並びにその他参考となる事項を通知しなければならない(法第68条第2項)。
ただし、マル1本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき、又はマル2当該保有個人情報に法第78条第1項各号に掲げる不開示情報のいずれかが含まれるときは、通知を要しない。
なお、法第68条第1項の規定に基づく報告の対象とならない場合であっても、国民の不安を招きかねない事案として委員会へ情報提供を行った事案については、本人に対し、本人の権利利益を保護するために必要な範囲において、事態の概要、保有個人情報の項目、原因、二次被害又はそのおそれの有無及びその内容並びにその他参考となる事項を通知することが望ましい。
5‐5 利用及び提供の制限
保有個人情報について、特定した利用目的以外の目的のため利用され、又は提供された場合、本人の予期しない利用及び提供による不安・懸念を生じさせるのみならず、悪用によるプライバシーの侵害や財産上の権利侵害等をもたらす危険性を増大させる。そこで、法は、原則として利用目的以外の目的のための利用及び提供を禁止した上で、例外的に利用目的以外の目的のための利用及び提供が認められる場合について規定している。
5‐5‐1 利用目的以外の目的のための利用及び提供の禁止の原則
行政機関の長等は、「法令に基づく場合」を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない(法第69条第1項)。
「法令に基づく場合」とは、法令に基づく情報の利用又は提供が義務付けられている場合のみならず、法令に情報の利用又は提供の根拠規定がおかれている場合も含むと解されるが、他方で、具体的な情報の利用又は提供に着目せず行政機関等の包括的な権能を定めている規定がある場合に当該規定のみに基づいて行う個人情報の取扱いは、「法令に基づく場合」には当たらない。例えば、行政機関等の設置の根拠となる法令において「所掌事務」等を定める条文に事務又は業務が列挙されていることのみでは、そのために行う個人情報の取扱いは、「法令に基づく場合」には当たらない。また、普通地方公共団体が「地域における事務」を担うことを定めている地方自治法第 2 条第 2 項のような、包括的な権能を定めている規定がある場合に当該規定のみに基づいて行う個人情報の取扱いも、「法令に基づく場合」には当たらない。
「法令」には、「法令」の委任に基づき定められた条例は含まれるが、それ以外の条例は含まれない。
なお、法第69条第1項は、他の法令に基づく場合は、利用目的以外の目的のための利用及び提供をし得るとするものであり、同項の規定により利用及び提供が義務付けられるものではない。
実際に利用及び提供することの適否については、それぞれの法令の趣旨に沿って適切に判断しなければならない。
5‐5‐2 例外的に利用目的以外の目的のための利用及び提供が認められる場合
行政機関の長等は、次のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を利用し、及び提供することができる。ただし、これらに該当する場合であっても、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、利用し、及び提供することができない(法第69条第2項)。
同項第 2 号及び第 3 号の「事務又は業務」には、行政機関等の設置の根拠となる法令において「所掌事務」等を定める条文に列挙されている事務又は業務のほか、「権限」を定める条文上で規定されている事務又は業務や、作用法上規定されている事務又は業務が含まれる。地方公共団体においては、地方自治法第 2 条第 2 項に規定する「地域における事務」もこれに含まれる。
また、事務又は業務の根拠となる「法令」には、条例が含まれるほか、規則等の地方公共団体が法令に基づき定める法規が含まれる。
- 本人の同意があるとき、又は本人に提供するとき(同項第1号)。
- 行政機関等が法令の定める事務又は業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当の理由があるとき(同項第2号)。
- 他の行政機関、独立行政法人等、地方公共団体又は地方独立行政法人に保有個人情報を提供する場合において、提供を受ける者が法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当の理由があるとき(同項第3号)。
- (1)から(3)までに記載する場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき(同項第4号)。
上記(2)及び(3)の「事務又は業務」については、5-1(保有に関する制限)を参照のこと。
また、上記(2)及び(3)の「相当の理由があるとき」とは、行政機関等の恣意的な判断を許容するものではなく、少なくとも、社会通念上、客観的にみて合理的な理由があることが求められる。
相当の理由があるかどうかは、保有個人情報の内容や当該保有個人情報の利用目的等を勘案して、行政機関の長等が個別に判断することとなるが、例外的に利用目的以外の目的のための利用及び提供が許容される場合について規定した趣旨から、例外としてふさわしい理由であることが求められる。
上記(4)の「本人以外の者に提供することが明らかに本人の利益になるとき」には、本人の生命、身体又は財産を保護するために必要がある場合や、本人に対する金銭の給付、栄典の授与等のために必要がある場合などが含まれ、例えば、緊急に輸血が必要な場合に本人の血液型を民間病院の医師に知らせる場合、災害や事故に遭ったときにその旨を家族に知らせる場合等が考えられる。
上記(4)の「その他保有個人情報を提供することについて特別の理由があるとき」とは、本来行政機関の長等において厳格に管理すべき保有個人情報について、法第69条第2項第3号に規定する者(他の行政機関、独立行政法人等、地方公共団体の機関又は地方独立行政法人)以外の者に例外として提供することが認められるためにふさわしい要件として、個人情報の性質、利用目的等に則して、「相当の理由」よりも更に厳格な理由が必要であるとする趣旨である。
具体的には、マル1行政機関等に提供する場合と同程度の公益性があること、マル2提供を受ける側が自ら当該保有個人情報に相当する個人情報を取得することが著しく困難であること、マル3提供を受ける側の事務が緊急を要すること、マル4当該保有個人情報の提供を受けなければ提供を受ける側の事務の目的を達成することが困難であること等の、特別の理由が必要とされる。例えば、在留外国人の安否確認の必要性から、法務省が、安否確認を実施する日本赤十字社に対して、法務省が保有する当該在留外国人の氏名等の情報を提供する場合等が考えられる。
なお、他の法令の規定により保有個人情報の利用及び提供が制限されている場合、当該他の法令の規定が適用されることとなり、法がこれに反して利用及び提供の権限を与えるものではない(同条第3項)。
さらに、行政機関の長等は、行政機関等の内部における保有個人情報の利用について、個人の権利利益を保護するため特に必要があると認めるときは、行政機関等の内部における利用目的以外の目的のための利用を特定の部局若しくは機関又は職員に限るものとされている(同条第4項)。
なお、同条第2項各号の規定により第三者に提供された保有個人情報に関する措置については5-5-3(保有個人情報の提供を受ける者に対する措置要求)を参照のこと。
5‐5‐3 保有個人情報の提供を受ける者に対する措置要求
行政機関の長等は、利用目的のために又は法第69条第2項第3号及び第4号の規定により本人の同意に基づかずに第三者に保有個人情報を提供する場合において、必要があると認めるときは、提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めなければならない(法第70条)。
「必要な制限」又は「必要な措置」としては、利用の目的又は方法の制限のほか、提供に係る保有個人情報の取扱者の範囲の限定、第三者への再提供の制限又は禁止、消去や返却等利用後の取扱いの指定、提供に係る保有個人情報の取扱状況に関する所要の報告の要求等が考えられる。
5‐6 利用目的以外の目的のための外国にある第三者への提供
行政機関の長等は、外国にある第三者に利用目的以外の目的のために保有個人情報を提供する場合には、次のいずれかに該当する場合を除き、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない(法第71条第1項)。
- 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国(※1)にある場合
- 当該第三者が、個人情報取扱事業者が講ずべきこととされている措置に相当する措置(以下「相当措置」という。)を継続的に講ずるために必要なものとして規則で定める基準(※2)に適合する体制(以下「基準適合体制」という。)を整備している場合
- 法令に基づく場合
- 法第69条第2項第4号に掲げる場合(5-5-2(例外的に利用目的以外の目的のための利用及び提供が認められる場合)参照)
- (※1)現時点において、規則で定められている国はない。
- (※2)マル1提供を受ける者における個人情報の取扱いについて、適切かつ合理的な方法により、法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること、マル2保有個人情報の提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていることのいずれかに該当することが必要である。
また、行政機関の長等は、外国にある第三者への提供を認める旨の同意を得ようとする場合には、規則で定めるところにより、あらかじめ、次の情報を本人に提供しなければならない(法第71条第2項)。
- 当該外国の名称(規則第47条第2項第1号)
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報(同項第2号)
- 当該第三者が講ずる個人情報の保護のための措置に関する情報(同項第3号)
- その他当該本人に参考となるべき情報(法第71条第2項)
さらに、行政機関の長等は、基準適合体制を整備している外国にある第三者に利用目的以外の目的のために保有個人情報を提供した場合には、法令に基づく場合及び法第69条第2項第4号に掲げる場合を除くほか、規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて、原則として規則で定める次の情報を当該本人に提供しなければならない(法第71条第3項)。
- 当該第三者による同条第1項に規定する体制の整備の方法(規則第48条第3項第1号)
- 当該第三者が実施する相当措置の概要(同項第2号)
- 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容の確認の頻度及び方法(同項第3号)
- 当該外国の名称(同項第4号)
- 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要(同項第5号)
- 当該第三者による相当措置の実施に関する支障の有無及びその概要(同項第6号)
- 上記(6)の支障に関して当該行政機関の長等が講ずる措置の概要(同項第7号)
5‐7 個人関連情報、仮名加工情報及び匿名加工情報の取扱い
令和3年改正法では、令和2年の法改正で民間部門について個人関連情報や仮名加工情報の取扱いに関する規定が設けられたことを踏まえつつ、行政機関等の特性も加味して、行政機関等における個人関連情報や仮名加工情報の取扱いについての規定が整備された。また、個人情報の定義の見直しにより、行政機関等が民間事業者等から取得した匿名加工情報が個人情報に該当しなくなることに伴い、行政機関等における匿名加工情報の取扱いについても規定が整備された。
5‐7‐1 個人関連情報の取扱い
行政機関の長等は、個人関連情報を個人情報として取得することが想定される第三者に対して当該個人関連情報を提供する場合において、必要があると認めるときは、当該第三者に対し、当該個人関連情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の適切な管理のために必要な措置を講ずることを求めなければならない(法第72条)。
「必要な制限」又は「必要な措置」としては、利用の目的又は方法の制限のほか、提供に係る個人関連情報の取扱者の範囲の限定、第三者への再提供の制限又は禁止、消去や返却等利用後の取扱いの指定、提供に係る個人関連情報の取扱状況に関する所要の報告の要求等が考えられる。
5‐7‐2 仮名加工情報の取扱い
行政機関の長等は、個人情報に当たらない仮名加工情報について、次のとおり取り扱わなければならない(法第73条)。
なお、個人情報に当たる場合の取扱いについては、5-5(利用及び提供の制限)を参照のこと。
- 法令に基づく場合を除き、当該仮名加工情報を第三者(当該仮名加工情報の取扱いの委託を受けた者を除く。)に提供してはならない(法第73条第1項)。
- 当該仮名加工情報について、漏えいの防止その他仮名加工情報の安全管理のために必要かつ適切な措置を講じなければならない(同条第2項)。
- 法令に基づく場合を除き、当該仮名加工情報の作成に用いられた個人情報の本人を識別するために、当該個人情報から削除された記述等及び個人識別符号並びに加工の方法に関する情報(削除情報等)を取得し、又は当該仮名加工情報を他の情報と照合してはならない(同条第3項)。
- 法令に基づく場合を除き、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって規則で定めるもの)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない(法第73条第4項)。
なお、上記(1)、(3)及び(4)の「法令」には、「法令」の委任に基づき定められた条例は含まれるが、それ以外の条例は含まれない。
また、行政機関の長等から個人情報に当たらない仮名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合についても、上記(1)から(4)までと同様に取り扱わなければならない(同条第5項)。
5‐7‐3 匿名加工情報の取扱い
行政機関等匿名加工情報を含む匿名加工情報の取扱いについては、8(行政機関等匿名加工情報の提供等)を参照のこと。
6 個人情報ファイル
6‐1 個人情報ファイルの保有等に関する事前通知
行政機関(会計検査院を除く。)が個人情報ファイルを保有しようとするときは、当該行政機関の長は、あらかじめ、法、政令及び規則で定められた事項を委員会に対して通知しなければならない(法第74条第1項)。
委員会に対する事前通知義務は、行政機関における法運用の統一性及び法適合性を確保する趣旨によるものであるため、行政機関等ではなく、地方公共団体の機関、独立行政法人等等及び地方独立行政法人を除いた国の行政機関のみに課せられている。
なお、令和3年改正法第50条の規定の施行日(令和4年4月1日)において、行政機関が、現に保有している個人情報ファイルについては、令和3年改正法第50条の規定の施行(令和4年4月1日)後遅滞なく改めて委員会に対して通知を行う必要がある(令和3年改正法附則第7条第14項)。
事前通知を要する事項は、具体的には、次の表1のとおりである。
(1) | 個人情報ファイルの名称(法第74条第1項第1号) |
---|---|
(2) | 個人情報ファイルを保有しようとする機関又は法人の名称及び個人情報ファイルが利用に供される事務をつかさどる組織の名称(同項第2号) |
(3) | 個人情報ファイルの利用目的(同項第3号) |
(4) | 個人情報ファイルに記録される項目(以下「記録項目」という。)及び本人(他の個人の氏名、生年月日その他の記述等によらないで検索し得る者に限る。表2(9)において同じ。)として個人情報ファイルに記録される個人の範囲(以下「記録範囲」という。)(同項第4号) |
(5) | 個人情報ファイルに記録される個人情報(以下「記録情報」という。)の収集方法(同項第5号) |
(6) | 記録情報に要配慮個人情報が含まれるときは、その旨(同項第6号) |
(7) | 記録情報を、個人情報ファイルを保有しようとする当該機関以外の者に経常的に提供する場合には、その提供先(同項第7号) |
(8) | 法第75条第3項の規定に基づき、記録項目の一部若しくは(5)若しくは(7)に記載する事項を同条第1項に規定する個人情報ファイル簿に記載しないこととするとき、又は個人情報ファイルを同項に規定する個人情報ファイル簿に掲載しないこととするときは、その旨(法第74条第1項第8号) |
(9) | 法第76条第1項、第90条第1項又は第98条第1項の規定による請求(開示請求、訂正請求又は利用停止請求)を受理する組織の名称及び所在地(法第74条第1項第9号) |
(10) | 法第90条第1項ただし書又は第98条第1項ただし書(訂正請求又は利用停止請求の対象とされた保有個人情報の訂正又は利用停止に関して他の法律又はこれに基づく命令の規定により特別の手続が定められているとき)に該当するときは、その旨(法第74条第1項第10号) |
(11) | 個人情報ファイルの保有開始の予定年月日(政令第20条第1項第1号) |
(12) | 訂正請求及び利用停止請求に関して、法第90条第1項ただし書又は第98条第1項ただし書に規定する他の法律又はこれに基づく命令の規定により特別の手続が定められているときの、当該法律又は命令の条項(規則第50条第1号) |
(13) | 法第74条第1項の規定に基づき通知をした事項を変更しようとするときの、当該変更の予定年月日(規則第50条第2号) |
委員会に既に通知した事項を変更しようとするときも、あらかじめ、委員会に対して変更する事項を通知しなければならず(法第74条第1項)、委員会に通知した事項に係る個人情報ファイルについて、その保有をやめたとき、又は同条第2項第9号に該当するに至ったときは、遅滞なく、その旨を委員会に通知しなければならない(同条第3項)。
また、行政機関の保有する個人情報ファイルの中には、国の安全等に係るもの等極めて秘匿性が高いものや短期間に消去されるもの等改めて通知する必要性の乏しいものもあることから、このような同条第2項各号に定める個人情報ファイルについては、事前通知を要しない(同項)。
事前通知を要しない個人情報ファイルは、具体的には、次の表2のとおりである。
(1) | 国の安全、外交上の秘密その他の国の重大な利益に関する事項を記録する個人情報ファイル(法第74条第2項第1号) |
---|---|
(2) | 犯罪の捜査、租税に関する法律の規定に基づく犯則事件の調査又は公訴の提起若しくは維持のために作成し、又は取得する個人情報ファイル(同項第2号) |
(3) | 当該機関の職員又は職員であった者に係る個人情報ファイルであって、専らその人事、給与若しくは福利厚生に関する事項又はこれらに準ずる事項を記録するもの(当該機関が行う職員の採用試験に関する個人情報ファイルを含む。)(同項第3号) |
(4) | 専ら試験的な電子計算機処理の用に供するための個人情報ファイル(同項第4号) |
(5) | 法第74条第1項の規定による通知に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該通知に係るこれらの事項の範囲内のもの(同条第2項第5号) |
(6) | 1年以内に消去することとなる記録情報のみを記録する個人情報ファイル(同項第6号) |
(7) | 資料その他の物品若しくは金銭の送付又は業務上必要な連絡のために利用する記録情報を記録した個人情報ファイルであって、送付又は連絡の相手方の氏名、住所その他の送付又は連絡に必要な事項のみを記録するもの(同項第7号) |
(8) | 職員が学術研究の用に供するためその発意に基づき作成し、又は取得する個人情報ファイルであって、記録情報を専ら当該学術研究の目的のために利用するもの(同項第8号) |
(9) | 本人の数が政令で定める数(1,000人)に満たない個人情報ファイル(同項第9号及び政令第20条第2項) |
(10) | (3)から(9)までに記載する個人情報ファイルに準ずるものとして政令で定める、当該機関以外の行政機関等の職員等の人事等に関する個人情報ファイル(法第74条第2項第10号及び政令第20条第3項) |
(11) | 法第60条第2項第2号に係る個人情報ファイル(マニュアル(手作業)処理に係る個人情報ファイル)(法第74条第2項第11号) |
なお、事前通知を要しない個人情報ファイルについては、これに記録されている保有個人情報は、個人情報ファイル簿の作成及び公表(6-2(個人情報ファイル簿の作成及び公表)参照)の適用除外に該当(ただし、マニュアル(手作業)処理に係る個人情報ファイルについては個人情報ファイル簿の作成・公表の対象である。)する。
事前通知の適用除外の判断は、個人情報ファイル簿の作成及び公表の適用除外の該当性に影響を及ぼすものであるため、これに該当するか否かの判断は、個人の権利利益の保護という観点から、厳格に行うことが求められる。
また、事前通知を要しない個人情報ファイルに記録されている保有個人情報は、国及び地方公共団体が講ずるべき個人情報の取扱いに関する施策を規定する法第3章第2節及び第 3 節の規律並びに法第5章の一部の規定の対象となるほか、罰則について規定する法第8章の対象となる。
6‐2 個人情報ファイル簿の作成及び公表
個人情報ファイル簿の作成及び公表は、行政機関の長等及び法第 58 条第 1 項各号に掲げる法人に対して等しく義務付けられているが、後記のとおり地方公共団体の機関及び地方独立行政法人においては、マル1条例要配慮個人情報に係る事項の個人情報ファイル簿への記載、マル2個人情報ファイル簿に加えて、任意で個人情報の保有の状況に関する事項を記載した帳簿(個人情報を取り扱う事務単位で作成された帳簿等)を作成し、公表することが可能である点に留意が必要である。
行政機関の長等及び法別表第2に掲げる法人は、当該行政機関の長等の属する行政機関等(4-1-1(5)(行政機関等)参照)及び同項各号に掲げる法人が保有する個人情報ファイルについて、その存在及び概要を明らかにすることにより透明性を図り、行政機関等及び同項各号に掲げる法人における利用目的ごとの保有個人情報の適正な管理に資するとともに、本人が自己に関する個人情報の利用の実態をより的確に認識することができるようにするために、一定の事項を記載した帳簿である個人情報ファイル簿を作成し、公表しなければならない(法第75条第1項)。
個人情報ファイル簿に記載する事項は、6-1(個人情報ファイルの保有等に関する事前通知)の【表1】のうち(8)、(11)、(12)及び(13)を除いた事項並びに次の事項である。
- 電子計算機処理に係る個人情報ファイル又はマニュアル(手作業)処理に係る個人情報ファイルの別(政令第21条第6項第1号)
- 電子計算機処理に係る個人情報ファイルについて、公表に係る電子計算機処理に係る個人情報ファイルであって、利用目的及び記録範囲が当該公表に係るこれらの事項の範囲内であるマニュアル(手作業)処理に係る個人情報ファイルがあるときは、その旨(同項第2号)
- 行政機関等匿名加工情報に関する提案の募集をする個人情報ファイルである旨(法第110条第1号)
- 行政機関等匿名加工情報に関する提案を受ける組織の名称及び所在地(同条第2号)
- 行政機関等匿名加工情報の概要として規則で定める事項(法第117条第1号)
- 作成された行政機関等匿名加工情報に関する提案を受ける組織の名称及び所在地(同条第2号)
- 作成された行政機関等匿名加工情報に関する提案をすることができる期間(同条第3号)
個人情報ファイル簿への記載及び公表を通じて、個人情報ファイルの内容を広く国民に知らしめることとなるので、個人情報ファイル簿の記載内容はできるだけ具体的に、かつ、国民に分かりやすいものとしなくてはならない。
行政機関の長等及び法第 58 条第 1 項各号に掲げる法人は、次の個人情報ファイルについては、個人情報ファイル簿の作成及び公表を行う必要がない(法第75条第2項)。ただし、これらに該当するか否かの判断は、個人の権利利益の保護という観点から、厳格に行うことが求められる。
- マル1事前通知を要しない個人情報ファイル(6-1(個人情報ファイルの保有等に関する事前通知)参照。ただし、マニュアル(手作業)処理に係る個人情報ファイルを除く。)(法第75条第2項第1号)
- マル2事前通知を要しないマニュアル(手作業)処理に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの(同項第2号)
- マル3既に個人情報ファイル簿に掲載して公表している電子計算機処理に係る個人情報ファイルに付随するマニュアル(手作業)処理に係る個人情報ファイル(同項第3号及び政令第21条第7項)
また、行政機関の長等及び法第 58 条第 1 項各号に掲げる法人は、次の内容を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができる(法第75条第3項)。
- マル1 記録項目の一部
- マル2 記録情報の収集方法(法第74条第1項第5号)
- マル3 記録情報を個人情報ファイルを保有しようとする行政機関以外の者に経常的に提供する場合における提供先(同項第7号)
地方公共団体の機関、地方独立行政法人(法第 58 条第 1 項第 2 号に掲げる法人を含む。)にも、法第 75 条第 1 項の規定により、個人情報ファイル簿の作成及び公表が義務付けられるが、地方公共団体の機関、地方独立行政法人(法第 58 条第 1 項第 2 号に掲げる法人を含む。)が作成する個人情報ファイル簿には、行政機関の長等及び同項各号に掲げる法人が作成する場合に記載しなければならない事項に加えて、記録情報に条例要配慮個人情報が含まれているときは、その旨を記載しなければならない(法第 75 条第 4 項)。
なお、地方公共団体の機関、地方独立行政法人(法第 58 条第 1 項第 2号に掲げる法人を含む。)においては、当該地方公共団体又は当該法人を設立する地方公共団体の定める条例で定めるところにより、個人情報の保有の状況に関する事項を記載した帳簿(個人情報を取り扱う事務単位で作成された帳簿等)を作成し、公表することも可能である。このような帳簿を作成・公表する場合であっても、当該地方公共団体の機関、地方独立行政法人(同号に掲げる法人を含む。)においては、個人情報ファイル簿についても作成・公表を行わなくてはならない(法第 75 条第 5 項)。
7 開示、訂正及び利用停止
法は、個人が、行政機関等が保有する自己に関する個人情報の正確性や取扱いの適正性を確保する上で重要な仕組みとして開示請求、訂正請求及び利用停止請求(以下「開示請求等」という。)の仕組みを設けており、何人も、行政機関の長等に対し、当該行政機関の長等の属する行政機関等の保有する自己を本人とする保有個人情報の開示等を請求することができる。
なお、法第125条第2項の規定により、法第5章第4節(開示、訂正及び利用停止)の規定については、法第 58 条第 1 項各号に掲げる法人による取扱いについても独立行政法人等又は地方独立行政法人による取扱いとみなして適用される。
7‐1 開示
7‐1‐1 開示請求の主体
開示請求は、日本国民のみならず外国人も含む全ての自然人が行うことが可能である。また、未成年者若しくは成年被後見人の法定代理人又は本人の委任による代理人(以下、特記のない限り「代理人」という。)による請求が認められている(法第76条第1項及び第2項)。
7‐1‐2 開示請求の対象となる保有個人情報
開示請求の対象となる情報は、「自己を本人とする保有個人情報」とされている(法第76条第1項)。
なお、自己を本人とする保有個人情報であっても、刑事事件の裁判、刑の執行等に係る保有個人情報については、法第5章第4節の規定は適用除外とされている(法第124条第1項)(9-1(適用除外等)参照)。また、行政機関情報公開法第5条、独立行政法人等情報公開法第5条又は情報公開条例に規定する不開示情報を専ら記録する行政文書等に記録された保有個人情報のうち、まだ分類その他の整理が行われていないもので、同一の利用目的に係るものが著しく大量にあるためその中から特定の保有個人情報を検索することが著しく困難であるものは、開示等に係る規定(審査請求に係るものを除く。)の適用については、行政機関等に保有されているものとみなされず、整理された段階で規律対象となる(法第124条第2項)。
また、死者に関する情報については、当該情報が同時に遺族等の生存する個人に関する情報であって、当該生存する個人を識別することができる場合に限り、当該生存する個人にとって「自己を本人とする保有個人情報」に該当し、当該生存する個人による開示請求の対象となる。
7‐1‐3 開示請求の手続
- 開示請求書
開示請求は、開示請求権の行使という重要な法律関係の内容を明確にするため、書面を提出して行わなければならない(法第77条第1項)。なお、情報通信技術を活用した行政の推進等に関する法律(平成14年法律第151号)第6条第1項の規定により、オンラインで行うことも可能とされている。
開示請求者は、次の事項を開示請求書に記載しなければならい(法第77条第1項)。
- マル1開示請求をする者の氏名及び住所又は居所(同項第1号)
- マル2開示請求に係る保有個人情報が記録されている行政文書等の名称その他の開示請求に係る保有個人情報を特定するに足りる事項(同項第2号)
これらの記載が欠けている場合には、そのままでは不適法な開示請求となり法第82条第2項の規定による不開示の決定を行うこととなるが、通常は、開示請求者に対し、欠けている事項について記載するよう法第77条第3項の規定に基づき補正を求めることとなる(7-1-3(3)(開示請求書の補正)参照)。
なお、開示請求書には、開示請求に係る保有個人情報の開示の実施の方法に関する事項を記載することができる(政令第 23 条)。
- 本人確認
開示請求をする者は、開示請求を行うに当たって、政令で定めるところにより、開示請求者が本人であること(代理人による開示請求にあっては、開示請求に係る保有個人情報の本人の代理人であること)を示す書類を提示し、又は提出しなければならない(法第77条第2項)。
本人確認に当たっては、原則として、開示請求書に記載されている開示請求をする者の氏名及び住所又は居所と同一の氏名及び住所又は居所が記載されている一定の書類であって、当該請求をする者が本人であることを確認するに足りる書類等を提示し、又は提出しなければならず、代理人が開示請求を行う場合には、当該代理人は当該開示請求に係る保有個人情報の本人の代理人であることを証明する書類を行政機関の長等に提示し、又は提出しなければならない(政令第22条第1項、第2項及び第3項)。
- 開示請求書の補正
行政機関の長等は、開示請求書に形式上の不備があると認めるときは、開示請求をした者に対し、相当の期間を定めて、その補正を求めることができる(法第77条第3項)。
「相当の期間」とは、行政手続法(平成5年法律第88号)第7条に規定する「相当の期間」と同義であり、当該補正をするのに社会通念上必要とされる期間を意味し、個別の事案に即して行政機関の長等が判断する。
外形上明白に判断し得る不備については、行政手続法第7条の規定により、速やかに補正を求めるか、請求を拒否する決定(法第82条第2項の規定による不開示の決定)をするかのいずれかを行わなければならないこととされている。
本項の規定により必ずしも行政機関の長等が補正を求めなければならないものではないが、形式上の不備の補正が可能であると認められる場合には、開示請求をする者が再度請求を行う手間を省くため、できる限り補正を求めることが望ましい。
また、行政機関の長等は、開示請求をした者に対し、補正の参考となる情報を提供するよう努めなければならない(法第77条第3項)。
7‐1‐4 開示義務
行政機関の長等は、開示請求に係る保有個人情報に不開示情報が含まれている場合を除き、当該保有個人情報を開示しなければならない(法第78条)。
不開示情報は、国の情報公開法制における不開示情報の構成に準拠するものとして、不開示とすることで保護すべき利益に着目して同条各号に類型的に定められており、ある保有個人情報を開示する場合には、て同項第 1 項各号の不開示情報のいずれにも該当しないことを確認しなければならない。
法が定める不開示情報の類型は次のとおりである(同条)。
- 開示請求者(法第76条第2項の規定により代理人が本人に代わって開示請求を行う場合には、当該本人をいう。)の生命、健康、生活又は財産を害するおそれがある情報(法第78条第1項第1号)
- 開示請求者以外の個人に関する情報(事業を営む個人の当該事業に関する情報を除く。)であって、開示請求者以外の特定の個人を識別することができるもの(他の情報と照合することにより、開示請求者以外の特定の個人を識別することができることとなるものを含む。)若しくは個人識別符号が含まれるもの又は開示請求者以外の特定の個人を識別することはできないが、開示することにより、なお開示請求者以外の個人の権利利益を害するおそれがあるもの。ただし、次の情報を除く(同項第2号)。
- マル1法令の規定により又は慣行として開示請求者が知ることができ、又は知ることが予定されている情報(同号イ)
- マル2人の生命、健康、生活又は財産を保護するため、開示することが必要であると認められる情報(同号ロ)
- マル3当該個人が公務員等である場合において、当該情報がその職務の遂行に係る情報であるときは、当該情報のうち、当該公務員等の職及び当該職務の遂行の内容に係る部分(同号ハ)
- 法人その他の団体(国、独立行政法人等、地方公共団体及び地方独立行政法人を除く。以下(3)において「法人等」という。)に関する情報又は開示請求者以外の事業を営む個人の当該事業に関する次の情報であって、人の生命、健康、生活又は財産を保護するため、開示することが必要であると認められる情報に当たらないもの(同項第3号)
- マル1 開示することにより、当該法人等又は当該個人の権利、競争上の地位その他正当な利益を害するおそれがある情報(同号イ)
- マル2 行政機関等の要請を受けて、開示しないとの条件で任意に提供されたものであって、法人等又は個人における通例として開示しないこととされている情報その他の当該条件を付することが当該情報の性質、当時の状況等に照らして合理的であると認められる情報(同号ロ)
- 行政機関の長が法第82条各項の規定による開示をする旨の決定又は開示をしない旨の決定(以下「開示決定等」という。)をする場合において、開示することにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあると当該行政機関の長が認めることにつき相当の理由がある情報(法第78条第1項第4号)
- 行政機関の長又は地方公共団体の機関(都道府県の機関に限る。)が開示決定等をする場合において、開示することにより、犯罪の予防、鎮圧又は捜査、公訴の維持、刑の執行その他の公共の安全と秩序の維持に支障を及ぼすおそれがあると当該行政機関の長又は当該地方公共団体の機関が認めることにつき相当の理由がある情報(同項第5号)
- 国の機関、独立行政法人等、地方公共団体及び地方独立行政法人の内部又は相互間における審議、検討又は協議に関する情報であって、開示することにより、率直な意見の交換若しくは意思決定の中立性が不当に損なわれるおそれ、不当に国民の間に混乱を生じさせるおそれ又は特定の者に不当に利益を与え若しくは不利益を及ぼすおそれがあるもの(同項第6号)
- 国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業に関する情報であって、開示することにより、次のおそれその他当該事務又は事業の性質上、当該事務又は事業の適正な遂行に支障を及ぼすおそれがあるもの(同項第7号)
- マル1独立行政法人等、地方公共団体の機関又は地方独立行政法人が開示決定等をする場合において、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれ(同号イ)
- マル2独立行政法人等、地方公共団体の機関(都道府県の機関を除く。)又は地方独立行政法人が開示決定等をする場合において、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障を及ぼすおそれ(同号ロ)
- マル3監査、検査、取締り、試験又は租税の賦課若しくは徴収に係る事務に関し、正確な事実の把握を困難にするおそれ又は違法若しくは不当な行為を容易にし、若しくはその発見を困難にするおそれ(同号ハ)
- マル4契約、交渉又は争訟に係る事務に関し、国、独立行政法人等、地方公共団体又は地方独立行政法人の財産上の利益又は当事者としての地位を不当に害するおそれ(同号ニ)
- マル5調査研究に係る事務に関し、その公正かつ能率的な遂行を不当に阻害するおそれ(同号ホ)
- マル6人事管理に係る事務に関し、公正かつ円滑な人事の確保に支障を及ぼすおそれ(同号ヘ)
- マル7独立行政法人等、地方公共団体が経営する企業又は地方独立行政法人に係る事業に関し、その企業経営上の正当な利益を害するおそれ(同号ト)
地方公共団体の機関及び地方独立行政法人における情報公開は、情報公開条例に基づき行われるものであるところ、マル1法が定める不開示情報に該当するものであっても情報公開条例の規定により開示することとされている情報として条例で定めるものは不開示情報から除外するとともに、マル2行政機関情報公開法第 5 条に規定する不開示情報に準ずる情報であって情報公開条例において開示しないこととされているもののうち当該情報公開条例との整合性を確保するために不開示とする必要があるものとして条例で定めるものについては、不開示情報とすることとして、情報公開条例の規定との整合を図ることを可能としている(法第 78 条第 2 項)。
開示決定等は、行政手続法に規定する申請に対する処分に該当するものであるので、各行政機関の長等は、同法第5条の規定に基づき、審査基準を策定し、各行政機関等のホームページにおいて公表する等の公にする措置を適切に講ずる必要がある。
審査基準の策定に当たっては、職員が判断しやすいものとするのみならず、開示請求をしようとする者が開示決定等についてあらかじめ想定することができる程度に明確なものとすることが望ましい。
7‐1‐5 部分開示
行政機関の長等は、次に当たる場合には、それぞれ特定の情報を除いた部分を開示しなければならない(法第79条)。
- 開示請求に係る保有個人情報に不開示情報が含まれている場合において、不開示情報に該当する部分を容易に区分して除くことができるとき(同条第1項)。
- 開示請求に係る保有個人情報に法第 78 条第 1 項第2号の情報(開示請求者以外の特定の個人を識別することができるものに限る。)が含まれている場合において、当該情報のうち開示請求者以外の特定の個人を識別することができる記述等及び個人識別符号を除くことで、開示しても、開示請求者以外の個人の権利利益が侵害されるおそれがないと認められるとき(法第79条第2項)。
7‐1‐6 裁量的開示
行政機関の長等は、開示請求に係る保有個人情報に不開示情報が含まれている場合であっても、個人の権利利益を保護するため特に必要があると認めるときは、行政機関の長等の行政的な判断により、開示することが可能である(法第80条)。
7‐1‐7 保有個人情報の存否に関する情報
開示請求に係る保有個人情報の存否を明らかにするだけで、法が規定する不開示情報を開示することとなる場合には、保有個人情報の存否を明らかにしないで開示請求を拒否することが可能である(法第81条)。
なお、開示請求を拒否することも、行政手続法に規定する申請に対する処分に該当するものであるので、各行政機関の長等は、同法第5条の規定に基づき、審査基準を策定し、各行政機関等のホームページにおいて公表する等の公にする措置を適切に講ずる必要がある(7-1-4(開示義務)参照)。
7‐1‐8 開示請求に対する措置等
行政機関の長等は、原則として開示請求があった日から30日以内(法第77条第3項の規定に基づき補正を求めた場合は、当該補正に要した日数は含まない。)に、開示請求について一部若しくは全部の開示を行う旨又は開示を行わない旨を決定し、開示請求者に対して、開示する場合にはその旨及び開示する保有個人情報の利用目的その他政令で定める事項、開示しない場合にはその旨を書面により通知しなければならない(法第82条第1項及び第2項並びに第83条第1項)。
開示決定等の期限について、事務処理上の困難その他正当な理由がある場合は30日以内に限り延長することができる(同条第2項)。 また、開示請求に係る保有個人情報が著しく大量であるため、開示請求があった日から60日以内に全てについて開示決定等をすることにより事務の遂行に著しい支障が生ずるおそれがある場合には、開示請求に係る保有個人情報のうちの相当の部分につき当該期間内に開示決定等をし、残りの保有個人情報については相当の期間内に開示決定等をすれば足りる(法第84条)。
開示決定等は、行政手続法に規定する申請に対する処分に該当するものであるので、各行政機関の長等は、同法第8条の規定に基づき処分の理由を示す必要がある。
なお、地方公共団体の機関及び地方独立行政法人が行う開示決定等も、法の規定に基づき行うものであることから、同法第 8 条の適用がある点に留意が必要である。
また、各行政機関の長等は、開示決定等において、行政不服審査法(平成26年法律第68号)第82条の規定に基づく教示(審査請求をすることができる旨等の教示)及び行政事件訴訟法(昭和37年法律第139号)第46条の規定に基づく教示(取消訴訟等の提起に関する事項の教示)をしなければならない。
7‐1‐9 事案の移送
行政機関の長等は、開示請求に係る保有個人情報が当該行政機関の長等が属する行政機関等以外の行政機関等から提供されたものであるとき、その他他の行政機関の長等において開示決定等をすることにつき正当な理由があるときは、当該他の行政機関の長等と協議の上、当該他の行政機関の長等に対し、事案を移送することができ、移送をした行政機関の長等は、開示請求者にその旨を書面により通知しなければならない(法第85条第1項)。
移送を受けた行政機関の長等は、移送を受けた事案について開示決定等をしなければならず、移送をした行政機関の長等が移送前にした行為は、移送を受けた行政機関の長等がしたものとみなされる(同条第2項)。
また、移送を受けた行政機関の長等が開示決定(法第82条第1項の決定をいう(7-1-8(開示請求に対する措置等)参照)。以下同じ。)をしたときは、移送をした行政機関の長等は、当該開示の実施に必要な協力をしなければならない(法第85条第3項)。
事案の移送は、国の行政機関及び独立行政法人等の間における場合のほか、行政機関及び地方公共団体の機関の間や、地方公共団体の機関相互の間における場合など、行政機関等の間において行うことが可能である。
なお、開示請求者との関係において、開示決定等を行うべき行政機関の長等が何度も変わること(再移送)は、適当ではなく、事案が「たらい回し」にされるなどの不適当な移送が行われることにより本人に不当な不利益が生じることがあってはならない点に留意が必要である。
7‐1‐10 第三者に対する意見提出の機会の付与
- 任意的意見聴取
開示請求に係る保有個人情報に国、独立行政法人等、地方公共団体、地方独立行政法人及び開示請求者以外の者(以下7-1-10(第三者に対する意見提出の機会の付与)、7-4-2(情報公開・個人情報保護審査会への諮問)及び7-5(第三者からの審査請求を棄却する場合等における手続)において「第三者」という。)に関する情報が含まれているときは、行政機関の長等は、開示決定等をするに当たって、当該情報に係る第三者に対し、政令で定めるところにより、当該第三者に関する情報の内容その他政令で定める事項を通知して、意見書を提出する機会を与えることができる(法第86条第1項)。
意見書にどのような内容を記載するかについては、第三者の判断に委ねられているが、単に開示に賛成か、反対かを記載するだけでは意見書を提出する意義に乏しく、反対する理由について根拠を示して記載する等できる限り行政機関の長等の開示・不開示の判断に資するような情報の提供が望まれる。
なお、開示・不開示の判断を行うに当たって、行政機関等による法第86条第1項の規定に基づく資料の収集、意見の聴取等は、任意に、適宜の方法で行うことは可能であるが、当該第三者が反対意見書を提出した場合において、開示決定をするときは、同条第3項の規定による反対意見書の提出があった場合の手続によらなければならない(7-1-10(3)(反対意見書を提出した場合の手続)参照)。
- 必要的意見聴取
開示請求に係る保有個人情報が不開示情報に該当するにもかかわらず、人の生命、健康、生活又は財産を保護するため必要があること等を理由として開示しようとする場合や、法第80条の規定(裁量的開示)により開示しようとする場合は、当該第三者に意見書提出の機会を与えなければならない(法第86条第2項)。
なお、意見書提出においては、できる限り行政機関等の開示・不開示の判断に資するような情報の提供が望まれることは、任意的意見聴取(7-1-10(1)(任意的意見聴取)参照)と同様である。
- 反対意見書を提出した場合の手続
行政機関の長等は、意見書の提出の機会を与えられた第三者(7-1-10(1)(任意的意見聴取)及び(2)(必要的意見聴取)参照)が当該第三者に関する情報の開示に反対の意思を表示した意見書を提出した場合において、開示決定をするときは、開示決定の日と開示を実施する日との間に少なくとも2週間を置かなければならず、開示決定後直ちに当該第三者に対して開示決定をした旨及びその理由並びに開示を実施する日を書面により通知しなければならない(法第86条第3項)。
なお、個別の事案に応じ、2週間を超える期間を置く場合においては、開示請求者が速やかに開示を受けられる利益を不当に害することのないよう、第三者の利益と開示請求者の利益との比較衡量が必要である。
7‐1‐11 開示の実施
保有個人情報の開示は、当該保有個人情報が記録されている状態等に応じて、文書又は図画に記録されているときには閲覧又は写しの交付により、電磁的記録に記録されているときには行政機関等が定める方法により行わなければならない(法第87条第1項)。
行政機関等は、電磁的記録による開示を行うことも可能だが、電磁的記録についての開示の方法に関する定めを一般の閲覧に供しなければならない(同条第2項)。
また、開示決定に基づき保有個人情報の開示を受ける者は、開示決定の通知があった日から原則として30日以内に、政令で定めるところにより、当該開示決定をした行政機関の長等に対し、求める開示の実施方法その他の政令で定める事項を申し出なければならない(同条第3項及び第4項)。
なお、開示請求者の希望する方法により開示を実施することができる場合には、開示請求者は、開示請求書により申し出た当該方法を変更しないのであれば、改めて開示の実施方法を申し出る必要はない(政令第 26 条第 2 項)。
7‐1‐12 他の法令による開示の実施との調整
他の法令において開示請求者に対する特定の保有個人情報の開示規定(※1)があり、その開示の方法が法第87条第1項本文に規定する開示の方法(文書又は図画に記録されているときには閲覧又は写しの交付により、電磁的記録に記録されているときには行政機関等が定める方法)と同一の内容である場合(※2)には、法に基づく方法による開示を重ねて認める必要がないことから、当該他の法令で認められた同一の方法による限度で、法による開示を行わないこととしている(法第88条)。
- (※1)一定の場合に開示をしない旨の定めがないものに限る。
- (※2)開示の期間が定められている場合にあっては、当該期間内に限る。
7‐1‐13 手数料
開示請求をする者は、行政機関の長に対して請求を行う場合には政令の定めにより、地方公共団体の機関に対して請求を行う場合には条例の定めにより、独立行政法人等又は地方独立行政法人に対して請求を行う場合には当該独立行政法人等又は当該地方独立行政法人の定めにより、実費の範囲内で、手数料を納めなければならない(法第89条)。
地方公共団体の機関においては、手数料に関する条例において、算定方法を工夫した適当な額とすること(例えば、従量制とすること。)や手数料を徴収しないこととすること(手数料の額を無料とすること。)も可能である。
7‐2 訂正
7‐2‐1 訂正請求の主体
何人も、自己を本人とする一定の保有個人情報の内容が事実でないと思料するときは、当該保有個人情報の訂正請求を行うことができる。また、代理人による請求が認められている(法第90条第1項及び第2項)。
7‐2‐2 訂正請求の対象となる保有個人情報
訂正請求の対象となる情報は、「自己を本人とする保有個人情報」のうち、次の情報に限られる(法第90条第1項)。
- 開示決定に基づき開示を受けた保有個人情報(同項第1号)
- 開示決定に係る保有個人情報であって、法第88条第1項の他の法令の規定により開示を受けた情報(法第90条第1項第2号)
なお、「自己を本人とする保有個人情報」のうち法第5章第4節の規定が適用除外とされているもの等については、7-1-2(開示請求の対象となる保有個人情報)も参照のこと。
7‐2‐3 訂正請求の期限
訂正請求は、保有個人情報の開示を受けた日から90日以内にしなければならない(法第90条第3項)。
7‐2‐4 訂正請求の手続
- 訂正請求書
訂正請求は、書面を提出して行わなければならない(法第91条第1項)(7‐1‐3(1)(開示請求書)参照)。
訂正請求者は、次の事項を訂正請求書に記載しなければならない(同項)。
- マル1 訂正請求をする者の氏名及び住所又は居所(同項第1号)
- マル2 訂正請求に係る保有個人情報の開示を受けた日その他当該保有個人情報を特定するに足りる事項(同項第2号)
- マル3 訂正請求の趣旨及び理由(同項第3号)
これらの記載が欠けている場合には、そのままでは不適法な訂正請求となり法第93条第2項の規定による訂正をしない旨の決定を行うこととなるが、通常は、訂正請求者に対し、欠けている事項について記載するよう法第91条第3項の規定に基づき補正を求めることとなる(7-2-4(3)(訂正請求書の補正)参照)。
- 本人確認
訂正請求をする者は、訂正請求を行うに当たって、政令で定めるところにより、訂正請求者が本人であること(代理人による訂正請求にあっては、訂正請求に係る保有個人情報の本人の代理人であること)を示す書類を提示し、又は提出しなければならない(法第91条第2項)(7-1-3(2)(本人確認)参照)。
- 訂正請求書の補正
行政機関の長等は、訂正請求書に形式上の不備があると認めるときは、訂正請求をした者に対し、相当の期間を定めて、その補正を求めることができる(法第91条第3項)(7-1-3(3)(開示請求書の補正)参照)。
なお、訂正請求においては、補正の参考となる情報提供の努力義務(開示請求について、法第77条第3項参照)については規定していない点に留意が必要である。
7‐2‐5 訂正義務
行政機関の長等は、訂正請求に理由があると認めるときは、当該訂正請求に係る保有個人情報の利用目的の達成に必要な範囲内で、当該訂正請求に係る保有個人情報を訂正しなければならない(法第92条)。
訂正をする旨の決定又は訂正をしない旨の決定(以下「訂正決定等」という。)は、行政手続法に規定する申請に対する処分に該当するものであるので、各行政機関の長等は、同法第5条の規定に基づき、審査基準を策定し、各行政機関等のホームページにおいて公表する等の公にする措置を適切に講ずる必要がある(7-1-4(開示義務)参照)。
7‐2‐6 訂正請求に対する措置等
行政機関の長等は、原則として訂正請求があった日から30日以内(法第91条第3項の規定に基づき補正を求めた場合は、当該補正に要した日数は含まない。)に、訂正を行う旨又は訂正を行わない旨を決定し、訂正請求者に対して、その旨を書面により通知しなければならない(法第93条第1項及び第2項並びに第94条第1項)。
訂正決定等の期限について、事務処理上の困難その他正当な理由がある場合は30日以内に限り延長することができる(同条第2項)。 また、訂正決定等に長期間を要すると認めるときは、法第94条の規定にかかわらず、相当の期間内に訂正決定等をすれば足りるが、その場合は、30日以内に、訂正請求者に対し、次の事項を書面により通知しなければならない(法第95条)。
- 同条の規定(訂正決定等の期限の特例)を適用する旨及びその理由(同条第1号)
- 訂正決定等をする期限(同条第2号)
訂正決定等は、行政手続法に規定する申請に対する処分に該当するものであるので、各行政機関の長等は、同法第8条の規定に基づき処分の理由を示す必要がある。
また、各行政機関の長等は、訂正決定等において、行政不服審査法第82条の規定に基づく教示(審査請求をすることができる旨等の教示)及び行政事件訴訟法第46条の規定に基づく教示(取消訴訟等の提起に関する事項の教示)をしなければならない(7-1-8(開示請求に対する措置等)参照)。
7‐2‐7 事案の移送
行政機関の長等は、訂正請求に係る保有個人情報が法第85条第3項の規定(開示請求の事案の移送)により移送を受けた他の行政機関の長等において開示決定がされた開示に係るものであるとき、その他他の行政機関の長等において訂正決定等をすることにつき正当な理由があるときは、当該他の行政機関の長等と協議の上、当該他の行政機関の長等に対し、事案を移送することができる(法第96条第1項)(7-1-9(事案の移送)参照)。
移送を受けた行政機関の長等は、移送を受けた事案について訂正決定等をしなければならず、移送をした行政機関の長等が移送前にした行為は、移送を受けた行政機関の長等がしたものとみなされる(同条第2項)。
また、移送を受けた行政機関の長等が訂正決定(法第93条第1項の決定をいう(7-2-6(訂正請求に対する措置等)参照)。以下同じ。)をしたときは、移送をした行政機関の長等は、当該訂正決定に基づき訂正の実施をしなければならない(法第96条第3項)。
7‐2‐8 保有個人情報の提供先への通知
行政機関の長等は、訂正決定に基づく保有個人情報の訂正の実施をした場合において、提供に係る保有個人情報の内容や提供先における利用目的を勘案して個別に判断した上で必要があると認めるときは、当該保有個人情報の提供先に対し、遅滞なく、その旨を書面により通知しなければならない(法第97条)。
7‐3 利用停止
7‐3‐1 利用停止請求の主体
何人も、自己を本人とする一定の保有個人情報が、利用目的の達成に必要な範囲を超えて保有されているとき、違法若しくは不当な行為を助長し、若しくは誘発するおそれがある方法により利用されているとき、偽りその他不正の手段により取得されているとき又は所定の事由に該当しないにもかかわらず利用目的以外の目的のために利用され、若しくは提供されていると思料するときは、当該保有個人情報の利用の停止、消去又は提供の停止(以下「利用停止」という。)の請求を行うことができる。また、代理人による請求が認められている(法第98条第1項及び第2項)。
7‐3‐2 利用停止請求の対象となる保有個人情報
利用停止請求の対象となる情報は、「自己を本人とする保有個人情報」のうち、開示決定その他法令の規定により開示を受けたものに限られる(法第90条第1項及び第98条第1項)。
なお、「自己を本人とする保有個人情報」のうち法第5章第4節の規定が適用除外とされているもの等については、7-1-2(開示請求の対象となる保有個人情報)も参照のこと。
7‐3‐3 利用停止請求の期限
利用停止請求は、保有個人情報の開示を受けた日から90日以内にしなければならない(法第98条第3項)。
7‐3‐4 利用停止請求の手続
- 利用停止請求書
利用停止請求は、書面を提出して行わなければならない(法第99条第1項)(7-1-3(1)(開示請求書)参照)。
利用停止請求者は、次の事項を利用停止請求書に記載しなければならない(同項)。
- マル1利用停止請求をする者の氏名及び住所又は居所(同項第1号)
- マル2利用停止請求に係る保有個人情報の開示を受けた日その他保有個人情報を特定するに足りる事項(同項第2号)
- マル3利用停止請求の趣旨及び理由(同項第3号)
これらの記載が欠けている場合には、そのままでは不適法な利用停止請求となり法第101条第2項の規定による利用停止をしない旨の決定を行うこととなるが、通常は、利用停止請求者に対し、欠けている事項について記載するよう法第99条第3項の規定に基づき補正を求めることとなる(7-3-4(3)(利用停止請求書の補正)参照)。
- 本人確認
利用停止請求をする者は、利用停止請求を行うに当たって、政令で定めるところにより、利用停止請求者が本人であること(代理人による利用停止請求にあっては、利用停止請求に係る保有個人情報の本人の代理人であること)を示す書類を提示し、又は提出しなければならない(法第99条第2項)(7-1-3(2)(本人確認)参照)。
- 利用停止請求書の補正
行政機関の長等は、利用停止請求書に形式上の不備があると認めるときは、利用停止請求をした者に対し、相当の期間を定めて、その補正を求めることができる(法第99条第3項)(7-1-3(3)(開示請求書の補正)参照)。
なお、利用停止請求においては、補正の参考となる情報提供の努力義務(開示請求について、法第77条第3項参照)については規定していない点に留意が必要である。
7‐3‐5 利用停止義務
行政機関の長等は、利用停止請求に理由があると認めるときは、当該行政機関の長等の属する行政機関等における個人情報の適正な取扱いを確保するために必要な限度で、当該利用停止請求に係る保有個人情報の利用停止をしなければならない(法第100条)。
利用停止請求に理由があるかの判断は、当該請求に係る行政機関等の所掌事務等、保有個人情報の利用目的及び法の趣旨を勘案して、事実を基に客観的に行われる必要がある。
なお、利用停止請求に理由があることが判明した場合であっても、当該保有個人情報の利用停止をすることにより、当該保有個人情報の利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認められるとき(利用停止を行うことにより保護される本人の権利利益と損なわれる公共の利益との比較衡量を行った結果、後者が勝るような場合)には、行政機関の長等は利用停止をする義務を負わない(法第100条ただし書)。
利用停止をする旨の決定又は利用停止をしない旨の決定(以下「利用停止決定等」という。)は、行政手続法に規定する申請に対する処分に該当するものであるので、各行政機関の長等は、同法第5条の規定に基づき、審査基準を策定し、各行政機関等のホームページにおいて公表する等の公にする措置を適切に講ずる必要がある(7-1-4(開示義務)参照)。
7‐3‐6 利用停止請求に対する措置等
行政機関の長等は、原則として利用停止請求があった日から30日以内(法第99条第3項の規定に基づき補正を求めた場合は、当該補正に要した日数は含まない。)に、利用停止を行う旨又は利用停止を行わない旨を決定し、利用停止請求者に対して、その旨を書面により通知しなければならない(法第101条及び第102条第1項)。
利用停止決定等の期限について、事務処理上の困難その他正当な理由がある場合は30日以内に限り延長することができる(同条第2項)。
また、利用停止決定等に長期間を要すると認めるときは、法第102条の規定にかかわらず、相当の期間内に利用停止決定等をすれば足りるが、その場合は、30日以内に、利用停止請求者に対し、次の事項を書面により通知しなければならない(法第103条)。
- 同条の規定(利用停止決定等の期限の特例)を適用する旨及びその理由(同条第1号)
- 利用停止決定等をする期限(同条第2号)
利用停止決定等は、行政手続法に規定する申請に対する処分に該当するものであるので、各行政機関の長等は、同法第8条の規定に基づき処分の理由を示す必要がある。
また、各行政機関の長等は、利用停止決定等において、行政不服審査法第82条の規定に基づく教示(審査請求をすることができる旨等の教示)及び行政事件訴訟法第46条の規定に基づく教示(取消訴訟等の提起に関する事項の教示)をしなければならない(7-1-8(開示請求に対する措置等)参照)。
7‐4 審査請求
7‐4‐1 審理員による審理手続に関する規定の適用除外等(行政機関の長及び独立行政法人等関係)
行政機関の長等(地方公共団体の機関及び地方独立行政法人を除く。)に対する開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求については、行政不服審査法における審理員による審理手続等に関する規定(同法第9条(審理員)、第17条(審理員となるべき者の名簿)、第24条(審理手続を経ないでする却下裁決)、第2章第3節(審理手続)及び第4節(行政不服審査会等への諮問)並びに第50条第2項の規定(行政不服審査会等への諮問を要しない場合の審理員意見書の添付))は、適用しないこととされている(法第104条第1項)。
また、行政不服審査法において審理員が行うこととされているもののうち、上記の適用除外規定を受けて、開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求について必要なものは読み替えることとしている(同条第2項)。
7‐4‐2 情報公開・個人情報保護審査会への諮問(行政機関の長及び独立行政法人等関係)
審査請求を受けた行政機関の長等(7-4-1(審理員による審理手続に関する規定の適用除外等(行政機関の長及び独立行政法人等関係))参照)は、開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求について、次のいずれかに該当する場合を除き、情報公開・個人情報保護審査会(会計検査院にあっては、別に法律で定める審査会)に諮問しなければならない(法第105条第1項)。
- 審査請求が不適法であり、却下する場合(同項第1号)
- 裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の全部を開示することとする場合(当該保有個人情報の開示について反対意見書が提出されている場合を除く。)(同項第2号)
- 裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の訂正をすることとする場合(同項第3号)
- 裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の利用停止をすることとする場合(同項第4号)
また、上記の諮問をした行政機関の長等は、次の者に諮問をした旨を通知しなければならない(同条第2項)。
- 審査請求人及び参加人(同項第1号)
- 開示請求者、訂正請求者又は利用停止請求者(同項第2号)
- 当該審査請求に係る保有個人情報の開示について反対意見書を提出した第三者(同項第3号)
7‐4‐3 審理員による審理手続に関する規定の適用除外等(地方公共団体の機関及び地方独立行政法人関係)
地方公共団体の機関又は地方独立行政法人に対する開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求については、審理員による審理手続等に関する規定(行政不服審査法第 9 条第 1 項から第 3 項まで、第 17 条、第 40 条、第42 条、第 2 章第 4 節及び第 50 条第 2 項)は適用しない(法第 106 条第 1項)。
また、行政不服審査法において審理員が行うこととされているもののうち、上記の適用除外規定を受けて、開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求について必要なものは読み替えることとしている(同条第 2 項)。
7‐4‐4 行政不服審査法第 81 条第 1 項又は第 2 項の機関に対する諮問(地方公共団体の機関及び地方独立行政法人関係)
地方公共団体の機関又は地方独立行政法人は、開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為に係る審査請求について、法第 105 条第 1 項各号のいずれかに該当する場合を除き、行政不服審査法第 81 条第 1 項又は第 2 項の機関に対して諮問しなければならない(法第 105 条第 1 項及び第 3 項)。
なお、行政不服審査法第 81 条第 1 項又は第 2 項の機関は、地方公共団体において、一つの機関しか置けないこととはされていないことから、同各項の機関として既に設置している行政不服審査会等とは別に、個人情報保護審査会等を同各項の機関として設置し、諮問機関とすることは可能である。
7‐5 第三者からの審査請求を棄却する場合等における手続
行政機関の長等は、次のいずれかに該当する場合には、法第86条第3項の規定を準用し、開示決定の日と開示を実施する日との間に少なくとも2週間を置かなければならず、また、裁決後直ちに当該第三者に対して裁決をした旨及びその理由並びに開示を実施する日を書面により通知しなければならない(法第107条第1項)。
- 開示決定に対する第三者からの審査請求を却下し、又は棄却する裁決(同項第1号)
- 審査請求に係る開示決定等(開示請求に係る保有個人情報の全部を開示する旨の決定を除く。)を変更し、当該審査請求に係る保有個人情報を開示する旨の裁決(第三者である参加人が当該第三者に関する情報の開示に反対の意思を表示している場合に限る。)(同項第2号)
地方公共団体の機関又は地方独立行政法人は、開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為についての審査請求について、条例で定めるところにより、行政不服審査法第 4 条の規定の特例を設けることができる(法第 107 条第 2項)。
7‐6 開示請求等の手続及び審査請求の手続に関する条例の定め
保有個人情報の開示、訂正及び利用停止の手続並びに審査請求の手続に関する事項について、法や行政不服審査法の規定に反しない限り、地方公共団体が条例で必要な規定を定めることは妨げられない(法第 108 条)。
- 【条例で定めることが想定される例】
-
- 開示等の請求の処理を迅速かつ適切に行うため、請求書の記載事項に必要な事項を追加するもの
- 開示等の請求の処理期限を法の規定より短い期間とするもの
8 行政機関等匿名加工情報の提供等
行政機関等における行政機関等匿名加工情報の提供等については、法第5章第5節において規定されている。なお、法第125条第2項の規定により、同節の規定については、、法第 58 条第 1 項各号に掲げる法人による取扱いについても独立行政法人等又は地方独立行政法人による取扱いとみなして適用される。
8‐1 行政機関等匿名加工情報の取扱いに係る義務
- 行政機関等匿名加工情報の作成
行政機関の長等は、行政機関等匿名加工情報(行政機関等匿名加工情報ファイル(4-2-10(行政機関等匿名加工情報ファイル)参照)を構成するものに限る。以下8(行政機関等匿名加工情報の提供等)において同じ。)を作成する場合には、法第5章第5節の規定(行政機関等匿名加工情報の提供等)に従わなければならない(法第109条第1項)。
行政機関等匿名加工情報の作成に当たっては、特定の個人を識別することができないように、かつ、その作成に用いる保有個人情報を復元することができないようにするために、規則で定める基準に従って保有個人情報を加工しなければならない(法第116条第1項)。行政機関等は、行政機関等匿名加工情報の作成の全部又は一部を委託することができる(同条第2項)。
- 行政機関等匿名加工情報の提供
行政機関の長等は、次のいずれかに該当する場合でなければ、行政機関等匿名加工情報を提供してはならない(法第109条第2項)。
- マル1法令に基づく場合(法第5章第5節の規定(行政機関等匿名加工情報の提供等)に従う場合を含む。)(同項第1号)
- マル2行政機関の長等が利用目的のために保有個人情報を第三者に提供することができる場合において、当該保有個人情報を用いて作成した行政機関等匿名加工情報を当該第三者に提供する場合(同項第2号)
「法令に基づく場合」については、行政機関等匿名加工情報をその用に供して行う事業に係る提案募集制度に従って提供する場合(8-2(行政機関等匿名加工情報をその用に供して行う事業に係る提案募集)参照)を含む。
行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために削除情報(行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。)のうち、保有個人情報に該当するものを自ら利用し、又は提供してはならない(法第109条第3項及び第4項)。
行政機関等は、作成した行政機関等匿名加工情報について、これを提供する前に、適正に加工されていることを確認しなければならない。
- 行政機関等匿名加工情報に関する事項の個人情報ファイル簿への記載
行政機関の長等は、作成された行政機関等匿名加工情報について、作成に用いた保有個人情報を含む個人情報ファイルが掲載されている個人情報ファイル簿に次の事項を記載しなければならない(法第117条)。
- マル1行政機関等匿名加工情報の概要として規則で定める事項(同条第1号)
- マル2法第118条第1項の提案を受ける組織の名称及び所在地(法第117条第2号)
- マル3法第118条第1項の提案をすることができる期間(法第117条第3号)
なお、作成された行政機関等匿名加工情報については、行政機関等匿名加工情報の特定に資するよう、法第117条及び規則で定める事項のほか、当該行政機関等匿名加工情報の名称を各行政機関等のホームページなどで公表することが望ましい。
- 識別行為の禁止等
行政機関の長等は、行政機関等匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該行政機関等匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該行政機関等匿名加工情報を他の情報と照合してはならない(法第121条第1項)。
また、行政機関等匿名加工情報、法第109条第4項に規定する削除情報及び法第116条第1項の規定により行った加工の方法に関する情報については、漏えいを防止するために必要なものとして規則で定める基準に従い、これらの情報の適切な管理のために必要な措置を講じなければならない(法第121条第2項)。
これらの同条第1項及び第2項の規定は、行政機関等から行政機関等匿名加工情報等の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合についても準用される(同条第3項)。
- 従事者の義務
次の者は、その業務に関して知り得た行政機関等匿名加工情報等の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない(法第122条)。
- マル1行政機関等匿名加工情報等の取扱いに従事する行政機関等の職員又は職員であった者
- マル2行政機関等から行政機関等匿名加工情報等の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた業務に従事している者又は従事していた者
- マル3行政機関等において行政機関等匿名加工情報等の取扱いに従事している派遣労働者又は従事していた派遣労働者
8‐2 行政機関等匿名加工情報をその用に供して行う事業に係る提案募集
法においては、個人の権利利益の保護及び行政機関等の事務又は事業の適正かつ円滑な運用に支障がない範囲内において、行政機関等の保有する個人情報を加工して作成する行政機関等匿名加工情報を事業の用に供しようとする者に提供するための提案募集の仕組みが設けられている。
なお、行政機関の長等は原則として定期的に提案の募集を行わなければならない(法第 111 条)が、都道府県及び指定都市以外の地方公共団体の機関並びに地方独立行政法人については、当分の間、行政機関等匿名加工情報をその用に供して行う事業に係る提案募集の実施は任意とされている(法附則第 7 条)。任意で募集を行う場合は、提案募集に関する各規定の適用を受けるほか、法第 110 条の規定に従い、提案を募集する個人情報ファイルについて個人情報ファイル簿に記載しなければならない。
- 提案の募集に関する事項の個人情報ファイル簿への記載
行政機関の長等は、当該行政機関の長等の属する行政機関等が保有している個人情報ファイルについて、当該個人情報ファイルが法第60条第3項各号のいずれにも該当し提案の募集対象になると認めるときは、次の事項を個人情報ファイル簿に記載しなければならない(法第110条)。
- マル1提案の募集をする個人情報ファイルである旨(同条第1号)
- マル2提案を受ける組織の名称及び所在地(同条第2号)
行政機関の長等は、法第60条第3項各号への該当性を適切に判断した上で、提案の募集対象となる個人情報ファイルを選定しなければならない。
同項各号については、4-2-9(行政機関等匿名加工情報)を参照のこと。
- 提案の募集及び提案
行政機関の長等は、規則で定めるところにより、行政機関等匿名加工情報をその用に供して行う事業について、定期的に提案の募集を行わなければならない(法第111条)。
提案募集に応じて行政機関等匿名加工情報をその事業の用に供しようとする者は、規則の定めるところにより、法第112条第2項各号に掲げる事項を記載した書面(同条第3項及び規則で定める書類を添付したもの)を行政機関の長等に提出し、当該事業に関する提案をすることができる(同条)。
また、個人情報ファイル簿に記載された行政機関等匿名加工情報をその事業の用に供しようとする者は、行政機関の長等に対し、当該事業に関する提案をすることができる(法第118条第1項)。この場合においては、法第112条第2項及び第3項並びに第113条から第115条までの規定について、法第118条第2項に規定する読替えを行った上で準用される(同項)。
なお、次のいずれかに該当する者は、法第112条第1項の提案をすることができない(法第113条)。
- マル1 未成年者(同条第1号)
- マル2 心身の故障により法第112条第1項の提案に係る行政機関等匿名加工情報をその用に供して行う事業を適正に行うことができない者として規則で定めるもの(法第113条第2号)
- マル3 破産手続開始の決定を受けて復権を得ない者(同条第3号)
- マル4 禁錮以上の刑に処せられ、又は法の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から起算して2年を経過しない者(同条第4号)
- マル5 法第120条の規定により行政機関等匿名加工情報の利用に関する契約を解除され、その解除の日から起算して2年を経過しない者(法第113条第5号)
- マル6 法人その他の団体であって、その役員のうちにマル1からマル5までのいずれかに該当する者があるもの(同条第6号)
また、提案をしようとする者が容易かつ的確に提案することができるよう、提案に資する情報の提供その他提案をしようとする者の利便を考慮した適切な措置を講じなければならない(法第127条)。
情報の提供等については、9-2(開示請求等をしようとする者への情報提供等)も参照のこと。
- 提案の審査及び審査結果の通知
行政機関の長等は、行政機関等匿名加工情報をその用に供して行う事業に関する提案を受け付けた場合、次の審査基準への適否を審査し、その結果を通知しなければならない(法第114条)。なお、当該審査及び通知については、行政手続法第7条の規定の趣旨も踏まえて、速やかに行わなければならない。
- マル1法第112条第1項の提案をした者が法第113条各号のいずれにも該当しないこと(法第114条第1項第1号)。
- マル2 法第112条第2項第3号の提案に係る行政機関等匿名加工情報の本人の数が、行政機関等匿名加工情報の効果的な活用の観点からみて規則で定める数以上であり、かつ、提案に係る個人情報ファイルを構成する保有個人情報の本人の数以下であること(法第114条第1項第2号)。
- マル3 法第112条第2項第3号及び第4号に掲げる事項により特定される加工の方法が法第116条第1項の基準に適合するものであること(法第114条第1項第3号)。
- マル4 法第112条第2項第5号の事業が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであること(法第114条第1項第4号)。
- マル5 法第112条第2項第6号の期間が行政機関等匿名加工情報の効果的な活用の観点からみて規則で定める期間を超えないものであること(法第114条第1項第5号)。
- マル6 法第112条第2項第5号の提案に係る行政機関等匿名加工情報の利用の目的及び方法並びに同項第7号の措置が当該行政機関等匿名加工情報の本人の権利利益を保護するために適切なものであること(法第114条第1項第6号)。
- マル7 マル1からマル6までに記載するもののほか、規則で定める基準に適合するものであること(同項第7号)。
- 契約の締結及び作成
審査基準に適合する旨の通知を受けた者は、規則で定めるところにより、行政機関の長等との間で、行政機関等匿名加工情報の利用に関する契約を締結することができる(法第115条)。
行政機関の長等は、行政機関等匿名加工情報の利用に関する契約を締結後、契約に基づき、規則で定める基準に従って、行政機関等匿名加工情報を作成しなければならない(法第116条第1項)。
- 契約の解除等
行政機関の長等は、法第115条の規定により行政機関等匿名加工情報の利用に関する契約を締結した者(8-2(4)(契約の締結及び作成)参照)が、次のいずれかに該当するときは、契約を解除することができる(法第120条)。
- マル1偽りその他不正の手段により当該契約を締結したとき(同条第1号)。
- マル2法第113条各号(法第118条第2項において準用する場合を含む。)のいずれかに該当することとなったとき(法第120条第2号)。
- マル3当該契約において定められた事項について重大な違反があったとき(同条第3号)。
また、行政機関等は、次に該当する場合には、行政機関等匿名加工情報の提案募集制度の適切な運用確保の観点から、その旨を直ちに委員会に報告しなければならない。
- マル1行政機関等匿名加工情報の提供を受けた事業者との契約を法第120条の規定により解除しようとするとき及び解除した場合
- マル2行政機関等匿名情報の提供を受けた事業者が法に対する違反その他契約違反を行ったと判断した場合その他必要と判断した場合
8‐3 行政機関等匿名加工情報以外の匿名加工情報の取扱いに係る義務
行政機関等は、匿名加工情報(行政機関等匿名加工情報を除く。以下8-3(行政機関等匿名加工情報以外の匿名加工情報の取扱いに係る義務)において同じ。)を第三者に提供するときは、法令に基づく場合を除き、規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない(法第123条第1項)。
行政機関等は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、次のいずれの対応も行ってはならない(同条第2項)。
- マル1当該個人情報から削除された記述等若しくは個人識別符号又は法第43条第1項の規定により行われた加工(個人情報取扱事業者による規則で定める基準に従った個人情報の加工)の方法に関する情報を取得すること。
- マル2当該匿名加工情報を他の情報と照合すること。
行政機関等は、匿名加工情報の漏えいを防止するために必要なものとして規則で定める基準に従い、匿名加工情報の適切な管理のために必要な措置を講じなければならない(法第123条第3項)。
なお、同条第2項及び第3項の規定は、行政機関等から匿名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合についても準用される(同条第4項)。
9 雑則
9‐1 適用除外等
次の者に関する保有個人情報(当該裁判、処分若しくは執行を受けた者、更生緊急保護の申出をした者又は恩赦の上申があった者に係るものに限る。)については、法第 5 章第 4 節(開示、訂正及び利用停止)の規定は適用されない(法第124 条第 1 項)。
- 刑事事件又は少年の保護事件に係る裁判を受けた者
- 検察官、検察事務官又は司法警察職員が行う処分を受けた者
- 刑又は保護処分の執行を受けた者
- 更生緊急保護の申出又は恩赦の上申があった者
行政機関等及び法第 58 条第 1 項各号に掲げる法人において、分類・整理が未了であり、同一の利用目的に係るものが著しく大量にあるために検索することが著しく困難である保有個人情報(行政機関情報公開法第5条、独立行政法人等情報公開法第 5 条又は情報公開条例に規定する不開示情報を専ら記録する行政文書等に記録されているものに限る。)については、法第5章第4節第4款(審査請求)を除く同節(開示、訂正及び利用停止)の規定は適用されない(法第124条第2項)。
なお、これらの保有個人情報はいずれ分類・整理されることが予定されているものであり、分類・整理された段階で法第5章第4節の規定が適用されることとなるが、行政機関等及び法第 58 条第 1 項各号に掲げる法人においては速やかに分類・整理することが望ましい。
9‐2 開示請求等をしようとする者への情報提供等
行政機関の長等及び法第 58 条第 1 項各号に掲げる法人は、開示請求等をしようとする者が容易かつ的確に開示請求等をすることができるように、適切な措置を講じなければならない(法第127条)。
開示請求においては、開示請求者は開示請求書に「開示請求に係る保有個人情報が記録されている行政文書等の名称その他の開示請求に係る保有個人情報を特定するに足りる事項」を記載することとされているが(法第77条第1項第2号)、本人にとって自己に関する情報が行政機関等及び法第 58 条第 1 項各号に掲げる法人でどのように記録されているかを知ることは容易ではない。このように、本人が法に規定する開示請求その他の権利を行使するに当たり、必要な情報を自力で入手することが困難な場合においては、行政機関の長等及び同項各号に掲げる法人は、容易かつ的確に法第127条に規定する請求権を行使することができるように適切な措置を講じる必要がある。
同条の「開示請求等をしようとする者の利便を考慮した適切な措置」としては、請求窓口や案内窓口の整備、請求に係る手続等の教示等が考えられる。
9‐3 苦情処理
行政機関等においては、個人情報の利用及び提供等に関する様々な苦情が寄せられることが考えられるが、このような苦情については、簡易迅速に解決を図ることが、個人情報の保護及び行政機関等における個人情報の取扱いに対する国民の信頼確保のために重要である。
そこで、行政機関の長等は、個人情報等の取扱いに関する苦情について、個人情報等の取扱いに関する苦情の窓口の設置及び国民への周知、苦情処理に係る組織体制の整備等を行うことにより、適切かつ迅速な処理に努める必要がある(法第128条)。
9‐4 地方公共団体に置く審議会等への諮問
地方公共団体の機関は、個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要である場合には、条例で定めるところにより、審議会等に諮問することができる(法第 129 条)。
「特に必要な場合」とは、個人情報保護制度の運用やその在り方についてサイバーセキュリティに関する知見等の専門的知見を有する者の意見も踏まえた審議が必要であると合理的に判断される場合をいう。
この点、個人情報の取得、利用、提供、オンライン結合等について、類型的に審議会等への諮問を要件とする条例を定めてはならない。
令和 3 年改正法では、社会全体のデジタル化に対応した個人情報の保護とデータ流通の両立の要請を踏まえて、地方公共団体の個人情報保護制度についても、法の規律を適用して解釈を委員会が一元的に担う仕組みが確立されたところ、地方公共団体の機関において、個別の事案の法に照らした適否の判断について審議会等への諮問を行うことは、法の規律と解釈の一元化という令和 3 年改正法の趣旨に反するものである。
なお、法及びガイドライン等の適正な運用をもって個人情報の保護が図られることとなることに加え、地方公共団体は、法第 166 条の規定に基づき、専門性を有する委員会に助言を求めることも可能であることから、個別の事案について重ねて審議会等の意見を聴くことが必要となる場面は少なくなると考えられる。
なお、令和 3 年改正法の施行前の条例に基づく審議会等による答申を根拠とした運用については、令和 3 年改正法の施行後においては、改正後の法に則ったものであるか否かにつき再整理した上で、法の規定に従い適切な取扱いを確保する必要がある。
10 委員会による監視等
10‐1 委員会による監視
令和3年改正法により、社会全体のデジタル化に対応した個人情報の保護とデータ流通の両立の要請を踏まえ、独立規制機関である委員会が公的部門を含め個人情報の取扱いを一元的に監視監督する体制が確立された。これにより、委員会は、法第5章の規定の円滑な運用を確保するために必要な場合には、行政機関の長等(会計検査院を除く。)及び法第 58 条第 1 項各号に掲げる法人に対して、資料の提出の要求及び実地調査(法第156条)、指導及び助言(法第157条)並びに勧告(法第158条)を行う。
委員会は、個人情報保護法の一元的な解釈権限を有することから、地方公共団体の機関及び地方独立行政法人が行う個人情報等の取扱いのうち、条例に基づくものであっても、法第 5 章の円滑な運用が図られていないと判断した場合には、「資料の提出の要求及び実地調査」、「指導及び助言」並びに「勧告」を行うことがある。
なお、条例で制定することのできる事項等については、11(条例との関係)を参照のこと。
10‐2 情報公開・個人情報保護審査会との連携
委員会は、情報公開・個人情報保護審査会(以下「審査会」という。)への諮問の内容とそれに対する答申の内容についての共有を審査会から受けつつ、審査会と連携して、法の円滑な施行の確保に努める。
10‐3 施行の状況の報告等
委員会は、各行政機関の長等及び法第 58 条第 1 項各号に掲げる法人から、法律の施行の状況についての報告を求めることができ、毎年度、当該報告を取りまとめて概要を公表する(法第165条)。
委員会による行政機関等及び法第 58 条第 1 項各号に掲げる法人における法の施行状況の把握は、監視措置の実効性を担保するために不可欠であり、また、法の施行状況等を広く国民に明らかにして透明性を高め、法及びその運用に関して正確な理解を深めることは個人情報の保護に資するものであることから、行政機関等及び同項各号に掲げる法人においては、委員会に対して必要な情報を正確に報告することが求められる。
また、法の適切な運用の確保のために、委員会は、毎年、国会に対して所掌事務の処理状況を報告するとともに、その概要を公表しなければならない(法第168条)。
10‐4 地方公共団体による必要な情報等の提供の求め
地方公共団体は、地方公共団体の機関、地方独立行政法人、その区域内の事業者及び住民による個人情報の適正な取扱いを確保するために必要があると認めるときは、委員会に対し、必要な情報の提供又は技術的な助言を求めることができる(法第 166 条第 1 項)。
地方公共団体においては、個人情報の適正な取扱いを確保するために情報提供又は助言が必要であると判断した場合には、速やかに委員会に連絡することが望ましい
10‐5 条例の届出
地方公共団体の長は、法の規定に基づき個人情報の保護に関する条例を定めたときは、遅滞なく、規則で定めるところにより、その旨及びその内容を委員会に届け出なければならない(法第 167 条第 1 項)とされており、法の規定に基づき定めた全ての条例(条例で定めることを妨げるものではないとされているもの及び個人情報保護やデータ流通に直接影響を与えない事項について条例で独自の規定を定める場合を含む。)の制定及び改廃が届出の対象となる。
届出が必要な条例か否かは、当該条例の名称等の形式的事項ではなく、当該条例の各規定について、法の趣旨・目的に照らして実質的に判断する必要がある。
委員会は、条例を定めた旨及びその内容の届出があったときは、当該届出に係る事項をインターネットの利用その他適切な方法で公表する(同条第 2 項)。
地方公共団体においては、個人情報の保護に関する条例を定めるに当たり、個人情報の適正な取扱いを確保するために情報提供又は助言が必要であると判断した場合には、委員会に連絡することが望ましい(10-4(地方公共団体による必要な情報等の提供の求め)を参照のこと。)。 条例で定めることが想定される事項については、11(条例との関係)を参照のこと
11 条例との関係
令和 3 年改正法は、活発化する官民や地域の枠を超えたデータ利活用に対応するため、別個の法律や条例による規律により生じていた旧法制の不均衡・不整合を是正し、個人情報等の適正な取扱いのために必要な全国的な共通ルールを法律で設定することを目的としている。
こうした令和 3 年改正法の趣旨を踏まえて、法においては、条例で定めることが想定される次の事項について、委任規定が設けられている。
- 開示等請求における手数料(法第 89 条第 2 項)
- 行政機関等匿名加工情報の利用に関する契約における手数料(法第119 条第 3 項及び第 4 項)
また、条例による独自の保護措置に関する規定である法第 60 条第 5 項(条例要配慮個人情報)を含む次の規定において、一定の事項について条例で定めることが許容されている。
- 「条例要配慮個人情報」の内容(同項)
- 個人情報取扱事務登録簿の作成・公表に係る事項(法第 75 条第 5項)
- 開示等請求における不開示情報の範囲(法第 78 条第 2 項)
- 開示請求等の手続(法第 107 条第 2 項及び第 108 条)
- 個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要があると認めるときの審議会等への諮問(法第129 条)
一方、個人情報保護やデータ流通について直接影響を与えるような事項であって、法に委任規定が置かれていないもの(例:オンライン結合に特別の制限を設ける規定、個人情報の取得を本人からの直接取得に限定する規定)について、条例で独自の規定を定めることは許容されない。
ただし、単なる内部の手続に関する規律にすぎない事項など、個人情報保護やデータ流通に直接影響を与えない事項については、条例で独自の規定を置くことも考えられる。
また、法と重複する内容の規定を条例で定めることは、同一の取扱いについて適用されるべき規定が法と条例とに重複して存在することとなるため、法の解釈運用を委員会が一元的に担うこととした令和3 年改正法の趣旨に照らし、許容されない。
法第 167 条第1 項の規定により、地方公共団体の長は、個人情報の保護に関する条例を定めたときは、遅滞なく、その旨及びその内容を委員会に届け出なければならない。委員会への届出が必要な条例については、10‐5(条例の届出)も参照のこと。