特定個人情報保護制度

ページID：001220 更新日：2025年9月1日更新印刷ページ表示

特定個人情報保護制度とは

　個人番号（マイナンバー）をその内容に含む個人情報を「特定個人情報」と呼び、その保護のために、特定個人情報を保有しようとする行政機関などには、「特定個人情報保護評価」を行うことが義務付けられています。

特定個人情報保護評価

　特定個人情報ファイルを保有しようとするまたは保有する国の行政機関や地方公共団体などが、個人のプライバシーなどの権利利益に与える影響を予測したうえで特定個人情報の漏えいその他の事態を発生させるリスクを分析し、そのようなリスクを軽減するための適切な措置を講ずることを宣言するものです。

　特定個人情報ファイルの対象人数、取扱者数、過去1年以内における特定個人情報に関する重大事故の発生の有無に基づいて「しきい値判断」を行い、その結果に基づいて「基礎項目評価」「重点項目評価」「全項目評価」のいずれかを実施します。

しきい値判断の流れ画像。詳細は以下。

　しきい値判断は対象人数が何人かからスタートします。
　1,000人未満の場合は特定個人情報保護評価が義務付けられません。
　30万人以上の場合は全項目評価を実施し、基礎項目評価書と全項目評価書を作成します。
　10万人以上30万人未満の場合は、特定個人情報ファイルの取扱者数が500人以上であれば、全項目評価を実施し、基礎項目評価書と全項目評価書を作成します。
　10万人以上30万人未満の場合でも、特定個人情報ファイルの取扱者数が500人未満であれば、過去1年以内に特定個人情報に関する重大事故を発生させた場合は、全項目評価を実施し、基礎項目評価書と全項目評価書を作成しますが、重大事故の発生が無かった場合は、重点項目評価を実施し、基礎項目評価書と重点項目評価を作成します。
　1万人以上10万人未満の場合は、特定個人情報ファイルの取扱者数が500人以上であれば、重点項目評価を実施し、基礎項目評価書と重点項目評価を作成します。
　1万人以上10万人未満の場合でも、過去1年以内に特定個人情報に関する重大事故を発生させた場合は、基礎項目評価書と重点項目評価を作成しますが、重大事故の発生が無かった場合は、基礎項目評価のみを実施し、基礎項目評価書を作成します。
　1,000人以上1万人未満の場合は、基礎項目評価のみを実施し、基礎項目評価書を作成します。