個人情報保護士試験(課題I)対策
個人情報保護士試験(課題I)受験用のノートです。
個人情報保護法の制定と改正の経緯
1980年 OECD8原則公表
個人情報保護法が公布されたのは2003年。全面施行は2005年4月。注)全面施行まで2年かかっている点がポイント
個人情報保護法は3年ごとに見直しがされる。
2015(平成27)年:個人情報保護委員会、個人識別符号、匿名加工情報、5000件要件廃止など
2020(令和2)年改正:仮名加工情報、個人関連情報など
プライバシーマーク制度
認証単位:法人単位(「部門単位」ではない)
保護の対象:個人情報(「情報資産」ではない)
有効期間:2年。2年ごとに更新審査。
注)ISMS適合性評価制度との混同に注意
個人情報の定義
2つ(個人情報保護法2条1項1号と2号)ある。
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)。
生存する個人に関する情報であって、個人識別符号が含まれるもの。
識別できるかどうかがポイント。プライバシー(通常公開されることを望まない事柄)とは観点が違う。
死者に関する情報は個人情報には該当しない。
「個人に関する情報」には事実だけでなく評価も含まれる。
「その他の記述等」とは、画像、動画、音声など。紙に印刷されたものだけが個人情報なのではない。
インターネット等で公表されているからといって個人情報でなくなるわけではない。
暗号化しても個人情報でなくなるわけではない。
メールアドレスが個人情報に該当するかどうかは場合によりけり。
個人識別符号
情報そのものから特定の個人を識別できる符号(文字、番号、記号、それらの組み合わせ)を個人識別符号という(2条2項)。
個人識別符号にも2つの類型がある。ひとつは生体認証データ、もうひとつは個人に提供されるサービスの利用等に関して割り当てられる符号である。
前者の具体例は、DNAを構成する塩基配列、顔認証データ、指紋、声紋など。
後者の具体例は、パスポート番号、基礎年金番号、マイナンバーなど。
注)クレジットカード番号や携帯電話の番号は個人識別符号ではない。法人契約もあるので必ずしも個人と結びつくわけではないから。
要配慮個人情報
要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述が含まれる個人情報をいう(2条3項)。
人種とは、民族的、種族的出身。国籍や「外国人であること」は人種に含まれない。肌の色は人種を推知させる情報にすぎないので人種には含まれない。
特定の機関紙を購読していることは、信条を推知させる事実にすぎず「信条」に該当しない。
社会的身分とは、本人の力では容易に脱することのできない地位。
無罪判決を受けた事実は「犯罪の経歴」に含まれる。
犯罪の被害者となった事実も要配慮個人情報。例えば特殊詐欺の被害者は繰り返し標的にされるから不利益が生じうる。
その他の要配慮個人情報としては、障がいがあることを特定させる情報、健康診断等の結果、診療が行われたこと、逮捕・捜索が行われた事実などがあげられている。
要配慮個人情報の取得には原則として本人の同意が必要。第三者提供にも本人の同意が必要。しかも、オプトアウト方式による同意の取得は不可。
匿名加工情報
匿名加工情報とは、他の情報と照合しない限り特定の個人を識別できないように、かつ、復元することもできないように加工した個人に関する情報(2条6項)。
2015年改正で創設された。
外部へ提供することが想定されている。
要配慮個人情報をもとに匿名加工情報を作成することは禁止されていない。
匿名加工情報を再加工することは匿名加工情報の作成に該当しない。
個人情報ではないので、仮に漏洩しても報告しなくてよい。利用目的の特定も不要。
匿名加工情報を作成する事実は公表する必要がある。
第三者提供は認められている。
仮名加工情報
仮名加工情報とは、他の情報と照合しない限り特定の個人を識別できないように加工した個人に関する情報(2条5項)。
2020年改正で創設された。匿名加工情報は、復元不可能な加工基準で加工することが求められているため活用が容易ではなく活用しにくかった。
事業所内での分析作業に利用することが想定されている。
仮名加工情報が個人情報に該当する場合もありうる。例:事業承継により仮名加工情報の提供を受けた事業者が削除情報(仮名加工情報に加工する前の個人情報から削除した情報)を保有し、照合できる場合
個人識別符号を含む個人情報を仮名加工情報に加工するためには、個人識別符号の全部を削除する必要がある。
仮名加工情報を作成する事実は公表しなくてよい。
第三者提供は法令に基づく場合を除くほか認められない。
個人関連情報
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいう(2条7項)。
個人の属性情報(性別、年齢、職業など)や個人の興味・関心を示す情報(ウェブサイトの閲覧履歴、位置情報など)が該当する。
個人情報取扱事業者
個人情報取扱事業者とは、個人情報データベースを事業の用に供している者をいう。ただし、国の機関等は除く(16条7項)。
法人格は問わない。法人格がなくても(PTAなど)個人情報取扱事業者に該当しうる。
営利・非営利の別も不問。NPOも個人情報取扱事業者に該当しうる。
取り扱っている個人が組織の構成員であるかどうかも不問。自社の個人情報のみを扱っている会社も個人情報取扱事業者に該当しうる。
個人情報データベース
個人情報データベースとは、個人情報を含む情報の集合体であって、検索することができるように体系的に構成したものをいう(16条1項)。
分類整理されていないアンケートの戻りハガキは、特定の個人情報を検索できるように体系的に構成されていないので個人情報データベースに該当しない。
議事録は会議出席者の氏名が記録されていても、特定の個人情報を検索できるように体系的に構成されていないので個人情報データベースに該当しない。
個人情報データベースに入力する前の帳票等であっても、五十音順に整理されている場合は、特定の個人情報を検索できるように体系的に構成されているといえるので個人情報データベースに該当する。
不特定多数の者に販売することを目的として作成されたものは、法律に違反して発行されたものを除き個人情報データベースから除外されている。例:電話帳、住宅地図、カーナビシステムなど
個人データ
個人情報データベースを構成する個人情報を個人データという(16条3項)。
個人情報データベースに入力する前の個人情報は、個人情報データベースを構成しているとはいえないので個人データではない。
個人情報データベースを構成する個人情報は、外部記録媒体に保存されたり、紙に出力されたりしても個人データでなくなるわけではない。
市販の電話帳は個人情報データベースではないので、そこに掲載されている個人情報は個人データに該当しない。
保有個人データ
保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう(16条4項)。
開示要求に応じると個人の権利が侵害されたり、公益が害されたりする場合は保有個人データに該当しない(開示要求に応じなくてもよい)とされている。
具体的には、DV被害者支援団体が保有するDV被害者の個人データ、不当要求被害を防止するため事業者が保有する悪質クレーマーに関する個人データ、防衛設備開発者の個人データ、警備会社が保有する行動予定等の個人データ、警察から契約者情報等について捜査関係事項照会を受けた事業者が保有する照会受理簿に記載されている個人データなど
【要するに】保有個人データは開示請求や削除請求の対象。開示したり削除したりする権限のない人に請求してもしかたがないのでそのような権限を有する個人データを保有個人データと呼ぶ。また、開示請求等に応じるとまずいことがおきることもありえるので、そういうことのないように保有個人データの範囲を調整している。
個人情報の利用目的の特定と変更
個人情報の利用目的はできる限り特定しなければならない(17条1項)。
本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされている。個人情報がどのように利用されるのか、利用する側ではなく利用される側が理解できるかどうかが重要。
利用目的を変更することは可能。ただし、変更前の利用目的と「関連性のある範囲」に限られる(17条2項)。
2015年改正前は「相当の関連性のある範囲」とされていた。「相当の」が削除され許される変更の幅が広くなった。
個人情報の利用目的の制限
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない(18条)。
「本人」が未成年者の場合は法定代理人から同意を得る。
例外は下記のとおり
法令に基づく場合(国税調査対応、弁護士照会、警察の捜査関係事項照会対応など)
人の生命、身体または財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき(急病対応など)
公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合で、本人の同意を得ることが困難であるとき(児童虐待のある家庭事情を児相、警察、病院で共有する場合など)
国の機関、地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合で、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき
学術研究機関が、個人情報を学術研究目的で取り扱う必要があるとき
学術研究機関等に個人データを提供する場合で、学術研究機関等が学術研究目的で取り扱う必要があるとき
個人情報の不適正な利用の禁止
個人情報取扱事業者は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない(19条)。
2022年(令和4年)4月施行の改正法で追加された個人情報取扱事業者の義務。
不当な行為の助長・誘発のおそれがある利用も禁止されているので、違法とはいえなくてもモラルに反する利用も禁止。
個人情報の適正取得
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない(20条1項)。
名簿業者からの取得は適法。
要配慮個人情報の取得
個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない(20条2項)。
例外は下記。本人の同意を得ずに利用目的の達成に必要な範囲を超えて個人情報を利用できる場合とほぼ同一。少しだけ広い。
法令に基づく場合(労働安全衛生法に基づく健康診断など)
人の生命、身体または財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき
公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
国の如何、地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合で、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき
学術研究機関等が要配慮個人情報を学術研究目的で取り扱うとき
学術研究機関等が要配慮個人情報を学術研究目的で取得する場合
要配慮個人情報が、本人、国の機関、地方公共団体等により公開されている場合
利用目的の通知又は公表
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し又は公表しなければならない(21条1項)。
個人情報を直接取得する場合(例:契約書に記載してもらう場合など)は、人の生命、身体または財産の保護のために緊急の必要がある場合をのぞき、あらかじめ本人に利用目的を明示しなければならない(21条2項)。
ただし、下記の場合は利用目的の公表、通知は不要(21条4項)。
利用目的を本人に通知または公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
利用目的を本人に通知または公表することにより事業者の権利または正当な利益を害するおそれがある場合
国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合で、利用目的を本人に通知または公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき(例:警察から受け取った被疑者に関する個人情報)
取得の状況からみて利用目的が明らかであると認められる場合(例:名刺交換、保証書に記入した個人情報)
データ内容の正確性の確保
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない(22条)。
「努めなければならない」なので努力義務。保有するすべての個人データを一律に、常に最新の状態にすることまでは求められていない。
安全管理措置
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない(23条)。
安全管理措置の具体的内容は、事業の規模や性質、リスクの大小に応じて変わってくる。
個人情報保護法ガイドライン(通則編)には、電子媒体を持ち運ぶ場合の漏えい防止措置が定められている。ここで「持ち運ぶ」とは事業所内の移動を含むものとされている。
従業者、委託先の監督
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない(24条)。
「従業者」とは、雇用関係のある者に限定されない。派遣労働者や役員も含まれる。
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない(25条)。
委託は第三者提供ではないので本人の同意は不要。
「必要かつ適切な監督」であるかどうかは、事業の規模・性質や取り扱う個人情報の内容等によって変わってくる。したがって、常に必ず委託先の立ち入り検査をしなければならないわけではない。
再委託は事前承認を要するとしておくことが望ましい。
個人データ漏えい時の対応
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれがおおきいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない(26条)。
個人データを第三者に閲覧されないうちに全てを回収した場合は「漏えい」に該当しない。
廃棄や紛失したものと内容の同じデータが他に保管されている場合は「滅失」に該当しない。
復元不可となったものと内容の同じデータが他に保管されている場合は「毀損」に該当しない。
個人情報保護委員会への報告対象となる事態はつぎのとおり
要配慮個人情報が含まれる個人データの漏えい等が発生または発生したおそれがある事態
不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生または発生したおそれがある事態
不正の目的をもって行われたおそれがある個人データの漏えい等が発生または発生したおそれがある事態
個人データの数が1000人を超える漏えい等が発生または発生した恐れがある場合
ただし、高度な暗号化など個人の権利利益を保護するために必要な措置が講じられている場合は報告不要。
個人データの第三者提供
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない(27条1項)。
本人の知らないところで個人情報が流通すると悪用により本人の権利利益が害されるおそれがあるため、原則として同意が必要。
除外事由は下記のとおりで利用目的を超えて利用する場合と同じ。
法令に基づく場合(国税調査対応、弁護士照会、警察の捜査関係事項照会対応など)
人の生命、身体または財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき(急病対応など)
公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合で、本人の同意を得ることが困難であるとき(児童虐待のある家庭事情を児相、警察、病院で共有する場合など)
国の機関、地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合で、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき
学術研究機関が、個人情報を学術研究目的で取り扱う必要があるとき
学術研究機関等に個人データを提供する場合で、学術研究機関等が学術研究目的で取り扱う必要があるとき
オプトアウトによる第三者提供
個人情報取扱事業者は、所定の事項を本人に通知または本人が容易に知りうる状態に置くとともに、個人情報保護委員会に届け出た場合には、あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができる(27条2項)。
オプトアウトによる第三者提供とは、本人から停止の申し出がない限り第三者提供をするということ。
要配慮個人情報および不正の手段により取得した個人情報をオプトアウトにより第三者提供することは認められていない(27条2項但し書き)。
「第三者」に該当しない場合
27条5項において、①委託 ②事業の承継 ③共同利用 により個人データの提供を受けた者は「第三者」に該当しないものとされている。
委託:手足として事務処理をしているだけ。個人データを流通させたとは評価しない。
事業の承継:個人データを保有する主体は変更されているものの、権限と責任も承継されているので本人の権利利益が害されるおそれはない。
共同利用:複数の主体の集合体が個人データを共同管理していると考えると、集合体の中での個人データの授受によって本人の権利利益が害されるおそれはない。
共同利用により個人データの提供を受ける者が第三者から除外されるのは、共同利用する旨、共同利用する個人データの項目、共同利用する者の範囲、利用目的、個人データの管理責任者について、あらかじめ、本人に通知しまたは本人が容易に知りうる状態においているときに限られる。個人情報保護委員会に届け出ることは要件となっていない。
外国にある第三者への提供の制限
外国にある第三者に個人データを提供する場合には、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない(28条1項)。
例外は、「提供先の国の個人情報保護の水準が我が国と同等であると認められる場合」と「第三者が相当措置を継続的に講ずるために必要な体制を整備している場合」である。
外資系企業が外国にある親会社に個人データを提供する場合、当該親会社は「第三者」に該当する。
外国政府も「第三者」に該当する。
外国に設置し、自ら管理するサーバに個人データを保存する行為は第三者への提供に該当しない。
第三者提供に係る記録の作成
個人情報取扱事業者は、個人データを第三者に提供したときは、原則として、記録を作成しなければならない(29条1項)。
トレーサビリティ(追跡ができること)を確保するための記録作成義務なので、形式的には第三者提供に該当しても実質的に記録義務を課する必要性に乏しい場合は記録義務の対象外とされている。
第三者提供を受ける際の確認
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、原則として、①第三者の氏名又は名称及び住所並びに法人にあってはその代表者の氏名 ②当該第三者による当該個人データの取得の経緯を確認しなければならない(30条1項)。
例外は27条1項各号(法令に基づく場合等第三者提供にあたり本人の同意を得なくてもよいとされている場合)、27条5項各号(委託、事業の承継、共同利用)の場合(30条1項但書)。
提供者がホームページで個人データの取得の経緯を公表している場合は、その内容を確認することも適切な確認方法とされている。
複数回にわたって同一「本人」の個人データの授受をする場合は、当該事項の確認を省略することができる。
記録は3年間(契約書等の書面の場合は1年間)保管しなければならない。
保有個人データの利用目的の公表・通知
個人情報取扱事業者は、保有個人データに関し所定の事項を本人の知りうる状態におかなければならない(32条1項)。
個人情報取扱事業者は、保有個人データについて本人から利用目的の通知を求められたときは遅滞なく通知しなければならない(32条2項)。個人情報がどのように利用されているのか知る権利があるということ。
ただし、32条1項の措置から利用目的が明らかな場合と21条4項で取得に際して利用目的を通知しなくてもよいとされている場合(例えば、利用目的を通知することにより個人情報取扱事業者の権利が侵害されるおそれがある場合)は通知しなくてよい。その場合は、利用目的を通知しない決定したことを通知しなければならない(32条3項)。
利用目的の通知をもとめられたときは手数料を徴収できる(手数料を定めたときは公表しておく)。いやがらせなど不当な目的で通知請求をする人もいるのでこれを防止する趣旨。
保有個人データの開示
本人は、個人情報取扱事業者に対し、個人情報保護委員会規則で定める方法による個人データの開示を請求することができる(33条1項)。つまり、個人情報を保有しているかどうか、保有されている個人情報が正しいかどうかをチェックすることができるということ。
ただし、開示することにより①本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 ②個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 ③他の法令に違反することとなる場合は、全部または一部を開示しないこととすることができる(33条2項)。
「一部を開示しない」とは、支障のない範囲で開示するということ。
本人が指定したファイル形式による開示が困難な場合は、対応可能なファイル形式で開示すればたりる。
開示請求を受けた個人データが存在しないときはその旨通知する(33条3項)。
保有個人データの訂正等
本人は、個人情報取扱事業者に対し、保有個人データの内容が真実でないときは、訂正、追加または削除を請求することができる(34条1項)。
訂正等の請求を受けた個人情報取扱事業者は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、訂正等を行わなければならない(34条2項)。
訂正等の対象はあくまで事実であって評価ではない。もっとも、評価の前提となっている事実が保有個人データにあって、その内容に誤りがある場合は訂正等を行わなければならない。
利用目的の通知や開示の請求に対しては手数料を徴収することができるが、訂正等について手数料を徴収することは認められていない。個人情報取扱事業者側に落ち度があるからである。
保有個人データの利用停止等
本人は、個人情報取扱事業者に対し、保有個人データが利用目的外で利用されている場合(18条違反)、違法・不当な行為を助長・誘発するおそれがある方法で所得された場合(19条違反)、不正の手段により取得された場合(20条違反)、当該保有個人データの利用の停止または消去を請求することができる(35条1項)。
多額の費用を要するなど、利用停止等を行うことが困難な場合は、本人の権利利益を保護するために必要な措置をとることで代えることも認められている(35条2項)。
適用除外
個人情報取扱事業者であっても下記の場合については個人情報取扱事業者の義務の規定は適用されない(57条1項)。憲法で保障されている表現の自由、信教の自由、政治活動の自由を制限しない趣旨。
報道機関(報道を業として行う個人を含む)による報道活動
著述を業として行う者による著述活動
宗教団体による宗教活動とそれに付随する活動
政治団体による政治活動とそれに付随する活動
3と4は主体が「団体」に限定されている点に注意。そうしないと適用除外の範囲が無限定に広がってしまう。
安全管理措置等を講ずべき努力義務は課されている(57条3項)。
個人情報保護委員会
委員は8名。両議院の同意を得て、内閣総理大臣が任命する(134条)。
任期は5年(135条)。
立入検査をする権限がある(146条1項)。ただし、個人情報保護委員会は捜査機関ではないので、立入検査の権限は犯罪捜査のために認められたものと解釈してはならない(146条3項)。
マイナンバー法の用語
個人番号:番号法の規定により住民票コードを変換して得られる12桁の番号。一定の法則に従ってアルファベットに置き換えるなどしても個人番号でなくなるわけではない。
特定個人情報:個人番号をその内容に含む個人情報
個人番号利用事務:行政事務を処理する者が、保有している個人情報の検索、管理のために個人番号を利用する事務
個人番号関係事務:個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務(例:事業者が給与所得の源泉徴収票に従業員の個人番号を記載して税務署長に提出する事務)
マイナンバーの生成と通知
マイナンバーは地方公共団体情報システム機構が住民票コードをもとに生成して市区町村長に通知し、市区町村長が指定する。市区町村長は、個人番号を個人番号通知書で住民に通知する。注)機構が直接通知するわけではない。
住民票コードをもとに生成するものなので、外国人であっても住民票に記載されている場合はマイナンバーが生成される。反対に、日本人であっても海外に居住していて住民票に記載されていない場合はマイナンバーは生成されない。
マイナンバーの変更
基本的に生涯不変。死亡してもその番号が別人の番号として再利用されることはない。
マイナンバーが漏えいして不正に用いられるおそれがあると認められるときに限り変更を申請することができる。
不正利用されるおそれがあっても本人が放置する場合もありうることから、市区町村長が職権により変更することも可能となっている。
マイナンバーの利用範囲
マイナンバーは利用範囲が厳格に決められている。たとえば、税務のために利用するとして取得したマイナンバーを健康保険の届出事務に利用することも許されていない。
目的外利用が許されるのは、①激甚災害の場合における金融機関による目的外利用(9条5項)と②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難である場合(9条6項)。
本人確認の措置
個人番号利用事務実施者は、個人番号の提供を受けるときは、当該提供をする者から個人番号カードの提示を受けることその他その者が本人であることを確認するための措置として政令で定める措置をとる必要があります(16条)。
本人確認としては、①個人番号が正しいこと(番号確認)と②提供者がその番号の持ち主であること(身元確認)の2つが必要。
番号確認は、住民票の写し(個人番号記載あり)などで行う。
身元確認は、写真付きの身元確認資料(運転免許証、旅券など)か写真無の身元確認資料(健康保険証、印鑑証明書など)2つで行う。
マイナンバーカードの提示を受けるとそれら二つが同時に確認できるので、マイナンバーカードの提示だけで十分。
マイナンバーカード
有効期間は発行日から10回目の誕生日まで(18歳以上の者)。
ICチップ内にプライバシー性の高い個人情報は記録されていない。
法人番号
国税庁長官が指定して通知する。
13桁
個人情報ではないので利用範囲の制限はなく、流通も自由。
ネットで検索可能(国税庁「法人番号公表サイト」)
国の機関にも法人番号がある。