前回は、特定個人情報ガイドラインに基づいて、第1区分の「特定個人情報の利用制限」について、具体的に「しなければならない」ことや「してはならない」ことなどをお話ししました。今回は、第2区分の「特定個人情報の提供制限等」について、お話しします。
「特定個人情報の提供制限等」について、主な保護措置は以下の通りです。
事業者は、個人番号関係事務に必要な場合以外は個人番号の提供を求めること禁止しています。
また、事業者が特定個人情報を提供できるのは、社会保障、税及び災害対策に関する行政等の事務(個人番号利用事務)に協力するために従業員等の特定個人情報を行政機関等及び健康保険組合等に提供する場合に限られています。
例えば、複数の医療法人や社会福祉法人、介護事業等を統括して運営している医療・福祉・介護グループでは、グループ内の各法人間の出向又は転籍による異動の際に、医療法人Aから社会福祉法人Bに当該職員の特定個人情報を受け渡しした場合は、特定個人情報の提供の制限に関する違反になります。また、医療・福祉・介護グループで一元管理している人事・労務システムで、医療法人Aの職員が、社会福祉法人Bの職員の特定個人情報が閲覧できる場合も特定個人情報の提供の制限に関する違反になります。
また、個人情報保護法においては、個人データを特定の者との間で共同して利用する場合には、第三者提供に当たらないとしている(個人情報保護法第23条第4項第3号)が、マイナンバー法においては、共同利用の適用を除外している(番号法第29条第3項)ことから、この場合も通常の「提供」に当たり、提供制限(同法第14条から第16条まで、第19条、第20条、第29条第3項)に従うこととなるため、要注意です。
したがって、グループ内の各法人の職員情報を一元管理して共有している場合は、既存の人事・労務システムで職員の特定個人情報を管理する為の情報システム改修にあたっては、以下の点を考慮する必要があります。
一方、特定個人情報の収集又は保管についても、事業者は、個人番号関係事務に必要な場合以外は個人番号の収集又は保管することを禁止しています。
例えば、医療機関が外部の医師に講師をお願いして講演料を支払う場合において、講師から個人番号が記載された書類等を受け取る教育研修担当者と支払調書作成事務を行う経理担当者が異なるときは、書類等を受け取る教育研修担当者は、支払調書作成事務を行う経理担当者にできるだけ速やかにその書類を受け渡すこととし、自分の手元に個人番号を残してはならない。
また、支払調書等の作成事務のために提供を受けた特定個人情報を情報システムに保存している場合においては、所管法令で定められている保存期間を経過した場合には、原則として、個人番号をできるだけ速やかに削除しなければならない。
そのため、特定個人情報を保存するシステムにおいては、保存期間経過後の削除を前提としたシステムを構築することが求められます。
ところで、特定個人情報の収集時に、本人確認を義務付けています(同法第16条)。
本人確認の要件は、「個人番号の確認」且つ「身元確認」です。例えば、「個人番号カード」であれば、裏面で「個人番号の確認」ができ、表面で「身元確認」が出来ます。(図表1)
図表1:個人番号カードの機能と期待される活用方法(画像をクリックすると拡大表示します)
出所:厚生労働省「医療等分野における番号制度の活用等に関する研究会」中間まとめ資料より
一方、「通知カード」であれば、「個人番号の確認」のみなので、「身元確認」として、運転免許証等の確認が必要になります。(但し、雇用関係にある等により、人違いでないことが明らかな場合には省略可。)
尚、職員から扶養親族の個人番号を扶養控除等申告書に記載して提出を受ける場合は、当該職員が個人番号関係事務実施者として扶養親族から個人番号の提供を受けて提出する為、本人確認義務は当該職員に課せられ、事業者での本人確認は不要です。
以上、第2区分の「特定個人情報の提供制限等」について、具体的に「しなければならない」ことや「してはならない」ことなどをお話ししました。
次回は、第3区分の「特定個人情報の安全管理措置等」を含め、マイナンバー実務対応導入プロセスについて、お話ししますので、皆様のご参考になれば幸いです。
