※非常にマニアックな内容で、一般の方が求める内容ではないと思います。

 

マイナンバーも個人情報保護法35条に基づき利用停止請求をすることができます。マイナンバーの利用停止請求をめぐっては、個人情報保護法26条、35条5項、番号法29条の4、30条2項に関する解釈が難しいため、このブログに記載することで自分の考え方の現状を整理したいと思います。

• １．前提（利用停止等又は第三者提供停止請求が可能な場合）
• ２．委員会へ報告要となる漏えい等事態
  • （１）論点
  • （２）考え：個人情報保護法26条1項は特定個人情報の漏えい等にも適用されるか
  • （３）番号法29条の4と個人情報保護法26条1項の差異
• ３．利用停止等又は第三者提供停止ができる事態

 

１．前提（利用停止等又は第三者提供停止請求が可能な場合）

• 保有個人データは、漏えい等（個人情報保護法26条1項事態等）が生じたら利用停止等又は第三者提供停止を請求できる（個人情報保護法35条5項）
• 特定個人情報も、個人情報保護法が概ね適用されるが、番号法30条2項で読み替えは適用除外が規定されている。利用停止等又は第三者提供停止について番号法では、番号法30条2項にて読み替えが少し規定されているだけ。したがって、特定個人情報についても、個人情報保護法35条5項は、番号法30条2項にて少し読み替えられただけで適用され、個人情報保護法26条1項事態等が生じたら利用停止等又は第三者提供停止を請求できる。
• 個人情報保護法35条5項

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。

• 番号法30条2項

個人情報保護法第三十五条第三項にある「第二十七条第一項又は第二十八条」を「行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条」と読み替える旨が定められている。個人情報保護法35条5項に関しては読み替えなし。

読み替え後を書き下すと次の通り（やや意訳）。

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データに該当する特定個人情報を当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに該当する特定個人情報に係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データに該当する特定個人情報の取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データに該当する特定個人情報の利用停止等又は第三者への提供の停止を請求することができる。

 

２．委員会へ報告要となる漏えい等事態

（１）論点

• 前提１で確認できたこととしては、個人情報保護法35条5項の利用停止請求等又は第三者提供停止請求は、保有個人データ、特定個人情報ともに、
  ①利用する必要がなくなった場合か、
  ②個人情報保護法26条1項事態その他保有個人データ（特定個人情報）の取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合
  に可能。
• ①利用する必要がなくなった場合については、そのままの意味となるが、②が解釈上疑問。

• 個人情報の漏えい等で個人情報保護委員会に報告しなければならない事態が個人情報保護法26条1項に規定されているわけだが、特定個人情報については漏えい等で個人情報保護委員会に報告しなければならない事態は番号法29条の4に規定されている。
• 論点としては、特定個人情報の漏えい等については個人情報保護法26条1項は適用されずに番号法29条の4だけが適用されるのか否か。

（２）考え：個人情報保護法26条1項は特定個人情報の漏えい等にも適用されるか

• 番号法で個人情報保護法の特則を定めている場合について、その特則の元となる個人情報保護法は適用されない。例えば、特定個人情報の場合、提供制限は番号法19条で個人情報保護法の特則が定められているので、個人情報保護法27条といった第三者提供の制限規定は適用されない（番号法30条2項柱書にもその旨明記されている）。
• これに対し、漏えい等報告については、個人情報保護法26条1項と番号法29条の4があり、番号法が特則ではあるものの、番号法32条2項では個人情報保護法26条1項が適用除外されていない。
• 個人情報保護委員会Q&Aを見ると、特定個人情報の漏えい等についても、個人情報保護法26条1項と番号法29条の4がそれぞれ適用され、個人情報保護法26条1項が適用されないわけではないようにも読める。
  https://www.ppc.go.jp/files/pdf/guidelineqa_1.pdf
  「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」及び 「（別冊）金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するＱ＆Ａ 
  

  Ｑ17－23 個人番号を含む個人データの漏えい等が発生し、番号法第29条の４の報告対象に該当するとともに、個人情報保護法第26条第１項の報告対象にも該当する場合には、どのように報告を行えばよいですか。
  Ａ17－23 番号法第29条の４の報告対象と、個人情報保護法第26条第１項の報告対象はそれぞれ個別に判断するため、双方の報告対象に該当する場合は、双方の法に基づく報告を行う必要があります。この場合、個人情報保護委員会のホームページにおいて双方の法に基づく報告を一括して行うためのフォームを設置していますので、これを利用することが考えられます。（令和４年４月追加） 

• ただ、上記Q&Aの設例は、個人番号を含む個人データなので、個人番号部分は番号法29条の4を、個人番号以外の個人データは個人情報保護法26条1項を適用するという風に考えられなくもない。しかし、番号法30条2項＆読み替えられた後の個人情報保護法35条5項の書きぶり的に、特定個人情報については、番号法29条の4だけでなく個人情報保護法26条1項も合わせて適用になると考えられるのではないか。

（３）番号法29条の4と個人情報保護法26条1項の差異

• 法律の条文自体に差異はない

番号法２９条の４第１項

個人番号利用事務等実施者は、特定個人情報ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を委員会に報告しなければならない。ただし、当該個人番号利用事務等実施者が、他の個人番号利用事務等実施者から当該個人番号利用事務等の全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人番号利用事務等実施者に通知したときは、この限りでない。

個人情報保護法26条1項

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

• 差異は、規則側＝要報告の事態を定めている部分

行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等に関する報告等に関する規則

（個人の権利利益を害するおそれが大きいもの）
第二条　法第二十九条の四第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一　次に掲げる特定個人情報（高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下同じ。）の漏えい、滅失若しくは毀損（以下「漏えい等」という。）が発生し、又は発生したおそれがある事態
イ　情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報
ロ　個人番号利用事務実施者が個人番号利用事務を処理するために使用する情報システムにおいて管理される特定個人情報
ハ　行政機関、地方公共団体、独立行政法人等及び地方独立行政法人が個人番号関係事務を処理するために使用する情報システム並びに行政機関、地方公共団体、独立行政法人等及び地方独立行政法人から個人番号関係事務の全部又は一部の委託を受けた者が当該個人番号関係事務を処理するために使用する情報システムにおいて管理される特定個人情報
二　次に掲げる事態
イ　不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、又は発生したおそれがある事態
ロ　不正の目的をもって、特定個人情報が利用され、又は利用されたおそれがある事態
ハ　不正の目的をもって、特定個人情報が提供され、又は提供されたおそれがある事態
三　個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧され、又は閲覧されるおそれがある事態
四　次に掲げる特定個人情報に係る本人の数が百人を超える事態
イ　漏えい等が発生し、又は発生したおそれがある特定個人情報
ロ　法第九条の規定に反して利用され、又は利用されたおそれがある個人番号を含む特定個人情報
ハ　法第十九条の規定に反して提供され、又は提供されたおそれがある特定個人情報

 

個人情報保護法施行規則

（個人の権利利益を害するおそれが大きいもの）
第七条　法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一　要配慮個人情報が含まれる個人データ（高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。）の漏えい、滅失若しくは毀損（以下この条及び次条第一項において「漏えい等」という。）が発生し、又は発生したおそれがある事態
二　不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
三　不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
四　個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

• 完全に「個人情報保護法＜番号法」ではない

完全に「個人情報保護法＜番号法」ならば、番号法の要件を満たしているかを考えさえすれば、個人情報保護法26条1項事態かは考えなくてもよかったが、そうではなくて残念です。やはり、個別にそれぞれ見ていく必要がありそう。

とはいえ、「個人情報保護法＜番号法」の部分が多いので、例外的と言える「個人情報保護法＞番号法」の部分を見ていけばよいかなあ。

• 「個人情報保護法＞番号法」の部分

＊要配慮個人情報が含まれる個人データの漏えい、滅失若しくは毀損（「漏えい等」）が発生し、又は発生したおそれがある事態
→番号法だと要配慮かどうかという観点はなく、漏えい等については100人を超えるか、デジタル方法により不特定多数に閲覧される場合でないと要報告とならない（情報提供ネットワークシステムや個人番号利用事務、公的機関の受託者、不正目的などがない場合）。
→例としては、個人番号と病歴情報が一緒にあって漏えいした場合、番号法だと比較的大きな漏えいでないと要報告でないが、個人情報保護法だと1件でも要報告となる。

＊上記以外は、「個人情報保護法＜番号法」となるかと思われる。

 

３．利用停止等又は第三者提供停止ができる事態

• 疑問）特定個人情報についても、番号法29条の4ではなく、個人情報保護法26条1項事態等が生じたら利用停止等又は第三者提供停止を請求できることになっているが、それで足りるのか。
• 上記２の要配慮以外については、要報告事態である「個人情報保護法26条1項事態＜番号法29条の4」。なのに、それで足りるか疑問ではある。
  例えば、情報提供ネットワークシステムに記録された特定個人情報の漏えいがあれば1件でも不正の恐れ等がなくても番号法29条の4では要報告である。これに対し個人情報保護法26条1項では、こういったものは要報告とはならない。
  情報提供ネットワークシステムに記録された特定個人情報の漏えいがあって、利用停止請求したいと思っても、特定個人情報についても利用停止請求等又は第三者提供停止請求については、個人情報保護法35条5項がそのまま適用されるので、利用停止請求できないという解釈にならないのか？
• もっとも、個人情報保護法35条5項では「本人は、個人情報取扱事業者に対し、（中略）当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。」とあるので、前者の個人情報保護法26条1項本文事態ではいけなくても、後者の「本人の権利利益が害されるおそれ」で読み込むということも可能ではあるだろう。しかしながら、情報提供ネットワークシステムに記録された特定個人情報の漏えいが1件あったとしても、役所側としては後者の「本人の権利利益が害されるおそれ」が認められるとは言わないようにも思われ、やや疑問が残る。
• 立法論としては、特定個人情報の利用停止等又は第三者提供停止請求ができる事由を個人情報保護法26条1項本文事態だけでなく、番号法29条の4事態も合わせて規定することが望ましいと考えられる。
• とはいえ、このような法改正がされたとしても、実務上は結局、請求はできたとしても、請求通りにやらなくてもよいという例外である、「ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。」で処理される場合が多いとも思われる。
• すごく複雑な検討になってしまった。
• 立法論としてあと言えることとしては、特則を別の法律で定めた場合に、特則の元となる一般法部分のどこを適用しないかをきちんと明記すべきではないか。法制局に言わせると「当たり前だから書かない」とはなりそうだが、法制局にとって当たり前でも、世間一般にとっては誰もわからないので。