ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

【マイナンバーQ&A】利用と提供は規制が違うのですか、なぜ違うのですか

マイナンバーの「利用」と「提供」は規制が違うのでしょうか。違うのであれば、なぜ違うのでしょうか。


マイナンバー法では、利用規制と提供規制を分けて規定しています。規制の内容も異なります。
利用に該当すれば目的内利用が原則で、目的外利用はごく限定的場面しか許されません。
提供に該当すれば目的内か外かを問わず、番号法19条各号に該当する場合しか、提供が許されません。


1.利用と提供

では、利用と提供とは何が違うのでしょうか。

「利用」とは、同一法人格の中で特定個人情報を使うことをいいます。
個人であれば一人の人、会社であれば一つの法人をいいます。
したがって、同一会社内で営業部から人事部にマイナンバーがやりとりされても、「提供」ではなく「利用」に該当します。一方で、グループ会社でも子会社でも別会社であれば法人格が違うので、「利用」ではなく「提供」に当たります。


行政機関であれば省庁単位ですので、課や局をまたいでも提供ではなく利用に当たります。

一方で、地方公共団体は機関単位ですので、機関をまたげば、同一団体内でも利用ではなく提供に当たります。
首長部局の税務課と福祉課で情報をやりとりすることは利用に該当しますが、首長部局と教育委員会マイナンバーをやりとりすることは提供に該当します。


2.利用規制と提供規制の違い

「利用」に該当した場合は、マイナンバー法個人情報保護法と同様に、目的内利用/目的外利用概念があります。
目的内利用が原則で、目的外利用は厳格に限定されています。
特定された利用目的の他に使うことはほぼ禁止されているということです。

では、自治体が所得額情報を首長部局税務課と福祉課で使う場合は、目的内利用でしょうか、目的外利用でしょうか。 

ここで目的内/目的外とは何かという問題が出てきます。
当たり前のことですが、確認しておくと、目的内利用とは事前に特定された利用目的通りに情報を使うことをいい、目的外利用とはそれ以外の利用をいいます。

利用目的は複数あってはいけないわけではなく、現に会社が個人情報の利用目的を特定する場合は、複数定めるのが一般的です。したがって、税と福祉の複数事務でマイナンバーを取り扱う場合でも、それだけで目的外利用に該当するわけではありません。
複数あってもそれが事前に特定されていて、その目的の範囲内での使われ方であれば、目的内利用になります。


次に「提供」に該当した場合は、マイナンバー法では個人情報保護法とは異なり、目的内提供/目的外提供の規制概念はありません(論理的にはありますが…)。
したがって、今やるべき提供が目的内なのか外なのか考える必要はなく、マイナンバー法19条各号に該当するか否かを考えることになります。

マイナンバー法では、個人情報保護法とはことなり、本人同意があっても自由な提供は認められず、19条各号に該当する場合以外は提供が許されません。また共同利用もオプトアウトも認められず、19条各号に該当する場合以外は提供が許されません。


3.自分がしたいことが適法かどうか確認する

では、自分がしたいことが適法かどうか確認する方法をまとめたいと思います。

(1)まず自分のしたいことが、法人格をまたぐかどうか、「利用」に該当するのか「提供」に該当するのか考えます
(2)「利用」に該当する場合は、事前に特定された目的は何か確認し、その範囲内の利用かどうか考えます。範囲内であればOKですが、範囲外であれば、基本的に生命・身体・財産の保護などの緊急時以外は許されません。
(3)「提供」に該当する場合は、個人情報保護法ではなく、マイナンバー法19条各号を見ます。そのどれかに該当するか考え、該当しない場合は提供が許されません。


4.なぜ利用と提供で規制が違うのか

それは、個人情報保護法行政機関個人情報保護法独立行政法人個人情報保護法自体が、利用と提供とで規制を分けているからです。マイナンバー法はこれらの特別法であるため、一般法の規制の形態を維持しているからです。

では、一般法はなぜ利用と提供を分けているのでしょうか。それは、外部に出ていく場合と内部にとどまるのとで、リスクが異なるからだと思われます。
なんで利用と提供とが違うのか、面倒くさいという意見も聞かれますが、リスクの違いが規制の違いに結びついているのではないかと思われ、そうするとこういった規制形態も仕方ないのかなと私としては思います。外に出ていけば、そこから転々流通する恐れすらあるわけで、別法人を監視するというのは難しいですからね…。