（１）はじめに

企業が個人情報を取り扱うに当たっては、原則として個情法が適用される。そこで、各々の企業は、同法が要求する安全管理措置義務とはどのようなものであるかを把握したうえで具体的な対応を行うことが求められる。

個情法第23条では、安全管理措置として「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定しており、同規定は、取り扱う個人情報の内容、規模及び個人情報の取扱い態様に関わらず、個人情報取扱事業者に対して一律に課されるものであることから、実際に個人情報を取り扱う現場における「必要かつ適切」であると言えるための安全管理の水準設定と、具体的な措置内容を精査し、判断することが必要となる。

ここにいう「個人データ」とは、個人情報データベース等²を構成する個人情報のことをいう（個情法第16条第1項、第3項）。例えば、名刺が束のまま未整理の状態（他人には容易に検索できない独自の分類方法により分類された状態を含む）で保管されている場合は、名刺に記載された情報は、個人情報には当たるが個人データには当たらない。一方で、名刺の情報が名刺管理ソフト等で入力・整理されている場合は、特定の個人情報を検索することができるよう体系的に構成されているとして、名刺に記載された情報³は、個人データに該当する⁴。

以下では、企業が個人データの安全管理措置義務に対応するため、また、対応の実施に際して必要となる内部規程・ガイドライン等の策定、体制整備、技術的対策等の具体的な措置について確認する。また、これらに関連するものとして、個人情報の保存・消去、本人からの訂正・消去等の請求について確認しつつ注意点に触れることとする。

（２）個情法における安全管理措置

個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならない。個情法ガイドライン（通則編）は、「個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。」としており、また、同ガイドラインにある手法例については、必ずしも全てに対応する必要はなく、また、適切な手法はこれらの例示の内容に限られないとしている（同ガイドライン「10（別添）講ずべき安全管理措置の内容」参照）。

同ガイドラインでは、具体的な措置として、①基本方針の策定、②個人データの取扱いに係る規律の整備、③組織的安全管理措置、④人的安全管理措置、⑤物理的安全管理措置、⑥技術的安全管理措置を列挙している。さらに、令和2年の個情法改正を踏まえたガイドラインの改正により、安全管理措置の内容として⑦「外的環境の把握」が追加された。安全管理措置は、組織的に取り組むことが肝要であるところ、具体的な措置を講じる前提として、①基本方針の策定を行うことが重要であり、同ガイドラインでは、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等を含めた基本方針を策定することが挙げられている⁵。②個人データの取扱いに係る規律の整備を行うに当たっては、組織的安全管理措置（③）、人的安全管理措置（④）、物理的安全管理措置（⑤）及び技術的安全管理措置（⑥）の内容を織り込むことが重要である。

③組織的安全管理措置を行うに当たっては、組織体制の整備（責任者の設置及び責任の明確化等）、個人データの取扱いに係る規律に従った運用、個人データの取扱状況を確認するための手段の整備、漏えい等の事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直しといった措置を講じることが求められる。

④人的安全管理措置を行うに当たっては、従業者に対して適切な教育を行うことが求められる。

⑤物理的安全管理措置としては、個人データを取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止、個人データの削除及び機器、電子媒体等の廃棄が求められる。

⑥技術的安全管理措置としては、アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報システムの仕様に伴う漏えい等の防止が求められる。

⑦外的環境の把握としては、外国において個人データを取り扱う場合、当該外国の個人情報保護制度を把握した上で、安全管理措置を講じることが求められる。

具体的な手法の例については、同ガイドラインのほか、個情法QA「1-10 講ずべき安全管理措置の内容」（Q10-1～Q10-25）等を参照されたい⁶。

（３）保有個人データに関する安全管理措置の公表等

保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいい、取り扱う情報がこの保有個人データに該当する場合には、事業者は、本人の求めに応じて遅滞なく回答する場合も含め、一定の事項を本人の知り得る状態に置かなければならない（以下「公表等」という。）。令和2年個情法改正に伴い、どのような安全管理措置が講じられているかについて、本人が把握できるようにする観点から、公表等すべき事項が一部追加され、保有個人データの安全管理のために講じた措置（上記（２）の①～⑦）についても公表等すべきこととなった（個情法第32条1項4号、同法施行令第10条1号。ただし、保有個人データの安全管理のために講じた措置のうち、公表等することにより保有個人データの安全管理に支障を及ぼすおそれがあるものは、同号カッコ書きにより、公表等の対象から除かれている。）。①～⑦の中で、特に⑦の「外的環境の把握」との関係については留意すべきであり、外国において個人データを取り扱う場合、当該外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を公表等する必要がある⁷。

「本人の知り得る状態」とは、本人が知ろうとすれば知ることができる状態に置くことをいい、常にその時点での正確な内容を知り得る状態に置かなければならないと考えられている。そのため、必ずしもウェブサイトへの掲載や事務所等の窓口等へ掲示すること等が継続的に行われることまで必要ではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。

上記のとおり、「公表等」は、必ずしもウェブサイトへの掲載を求められるものではないが、実務上は、自社ウェブサイトに設置しているプライバシーポリシーにおいて公表する例が多いため、安全管理措置についてもここで公表することが考えられる。なお、公表等すべき事項の一部をウェブサイトに掲載して公表し、残りの事項は本人の求めに応じて遅滞なく回答する、という対応も可能である。

（４）個人データの保存・消去、本人からの訂正・消去等の請求

個人データの漏えい等を防止するためには、保有する個人データの正確性、最新性を確保しつつ、利用する合理的な必要性が直ちには存在しない個人データを保持しないことが重要である。個情法上も、個人データは、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならず、また、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならないとされており（個情法第22条）、遅滞なく消去することは、個人データの漏えい等を防止する観点からも重要である。

なお、本人は、個人情報取扱事業者に対して、当該本人が識別される「保有個人データ」（個情法第16条第4項））⁸の開示を請求することができる（同法第33条第1項）。

加えて、保有個人データについては、その内容が事実でない場合、利用目的の達成に必要な範囲内において、本人からの訂正等の請求に応じる義務もある（同法第34条第1項、第2項）。

このほか、本人は、個人情報取扱事業者に対し、個情法に規定された事由（目的外利用、不正取得等）がある場合に、保有個人データの利用停止等又は第三者への提供の停止を請求することができる。令和2年個情法改正により、そのような事由として、保有個人データを利用する必要がなくなった場合、保有個人データに係る報告対象事態（Q7参照）が生じる場合、その他本人の権利又は正当な利益が害されるおそれがある場合が追加されている（個情法第35条第5項）。

（５）サイバーセキュリティ対策との関係

サイバーセキュリティ基本法第2条にいう「サイバーセキュリティ」の定義（Q1参照）には、情報の安全管理のための措置をとり、それが適切に維持管理されていることが含まれており、その点では個情法に基づく個人データの安全管理措置義務と法文上類似する。

ただし、サイバーセキュリティは、個人データに限らず、不正競争防止法（平成5年法律第47号）にいう営業秘密や価値あるデータ（限定提供データ）など、「情報」を全般的に対象とするものである。また、サイバーセキュリティの定義には、情報の安全管理のみならず、情報システム及び情報通信ネットワークの安全性・信頼性も明示的に定義に含んでいる点で、個情法に基づく個人データの安全管理措置義務とは異なるといえる。

なお、企業等におけるサイバーセキュリティ対策の実効性担保のため仕組み⁹としては、情報セキュリティマネジメントの規格として、ISMS¹⁰要求事項を記したISO/IEC27001（JIS Q 27001）を挙げることができる。また、個人情報を対象とする日本産業規格として、JIS Q 15001（個人情報保護マネジメントシステム－要求事項）があり、一般財団法人日本情報経済社会推進協会（JIPDEC）は、当該要求事項に基づく個人情報保護マネジメントシステムを定めていること等を条件としてプライバシーマーク（Pマーク）を付与する制度を運営している。更に、PIA¹¹については、国際標準として、ISO/IEC 29134が、PIAの実施プロセス及びPIA報告書の構成・内容についてのガイドラインを提供しており、これの日本産業規格として、JIS X 9251がある。

（１）考え方

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託¹する場合は、委託先において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督を行わなければならない（個情法第25条）。

「全部又は一部を委託」とされているとおり、一部を委託する場合、すなわち委託元の個人データの取扱いの一部を委託先に処理させる場合はもちろん、取扱いの全部を委託する場合でも、委託元には委託先への監督責任が生じる。

具体的には、個人情報取扱事業者は、個情法第23条に基づき自らが講ずべき安全管理措置（個人データの漏えい、滅失、又は毀損の防止等）と同等の措置が講じられるよう、必要かつ適切な監督を行うものとされている。

なお、個人データの第三者提供に当たっては原則として本人の事前同意が必要だが（個情法第27条第1項）、個人データの取扱いの委託に伴って当該個人データを委託先に提供する場合には、委託先は「第三者」に該当しないとされるため、本人の事前同意を得ることなく委託先に個人データを提供することが可能である（同法第27条第5項第1号）²。

（２）委託先を監督する責任の内容

委託先の監督責任の内容は、個情法ガイドライン（通則編）3-4-4によれば、委託業務の内容に対して必要のない個人データを提供しないことをはじめとして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等（漏えい、滅失又は毀損）をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じた、必要かつ適切な措置を講じることとされている。

具体的には、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握等が考えられる。

（３）適切な委託先の選定

委託先の選定に当たっては、委託先の安全管理措置が、少なくとも個情法第23条及び個情法ガイドライン（通則編）において委託元に求められるものと同等であることを確認するため、同ガイドライン「10（別添）講ずべき安全管理措置の内容」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。

（４）委託契約の締結

委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。

（５）委託先における個人データの取扱状況の把握

委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。

また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受けること又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が個情法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。

個情法ガイドライン（通則編）「10（別添）講ずべき安全管理措置の内容」において明確に委託に言及しているものとして以下のものが挙げられる。

• 組織的安全管理措置のうち、個人データの取扱いに係る規律に従った運用の手法例として、「個人情報データベース等の削除・廃棄の状況（委託した場合の消去・廃棄を証明する記録を含む。）」が挙げられている。
• 物理的安全管理措置について、「個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要である。」とされている。

（６）委託先の監督責任に関する留意点

委託先の監督責任に関しては、上記のとおり個情法第25条が問題となるが、それ以外の法令が問題となる場合があるため、同法はもちろん、他の法令に適合しない対応にならないよう注意すべきである。

例えば、具体的には、優越的地位にある者が委託元の場合、委託先に不当な負担を課す場合や、従業者等から取得する個人情報に関する誓約書において損害賠償額の予定や違約金を定めることなどが労働基準法第16条に違反する場合等が挙げられる。また、いわゆるサプライチェーン・リスクに関してはQ47も参照されたい。

（７）外国における個人データの取扱い

個人情報取扱事業者は、外国において個人データを取り扱う場合³には、「外的環境の把握」として、当該外国の個人情報保護制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない（個情法第23条、個情法ガイドライン（通則編）10-7）。

委託先（再委託先を含む）が外国において個人データを取り扱う場合も同様であって、委託元は、当該外国の個人情報保護に関する制度等を把握した上で、委託先の監督その他の安全管理措置を講じる必要がある。その上で、「保有個人データの安全管理のために講じた措置」として、当該外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要がある（個情法QA10-24）。

（１）クラウドサービスと個情法

（１）従来の法体系

我が国の個人情報保護法制は、個人情報を取り扱う主体によって、適用される法令が異なっていた。具体的には、個人情報取扱事業者については、個情法の具体的な義務規定、国の行政機関については行個法、独立行政法人等については独個法、地方公共団体については各々の地方公共団体が定める個人情報保護に関する条例（以下「個人情報保護条例」という。）が適用されていた。したがって、個人情報を取り扱う上では、まずは適用対象となる法令が何かという点に留意する必要があった。

このように、個人情報保護制度上は、個人情報を取り扱う主体ごとに適用される法令に基づき安全管理措置義務の対象となる個人情報の範囲が異なるため、個人情報を取り扱う上では、適用対象となる法令が何かという点に留意する必要があった。

（２）令和3年改正後の情報の安全管理に関する規定について

令和3年に成立したデジタル社会形成整備法により、個情法、行個法、独個法とバラバラであった個人情報の適正な取扱いに関する法制が、個情法に統合される形で一本化され、法所管が個情委に一本化された。また、地方公共団体の機関及び地方独立行政法人についても、国の行政機関や独立行政法人等と同じ規律が適用されることとなった。なお、学術研究分野に関しては、規制を統一するため、国公立の病院、大学等に原則として民間の個人情報取扱事業者と同等の規律が適用されることとなった（詳細はQ14を参照）。

ただし、官民で全く同じ規律が適用されるというわけではなく、個情法の中に民間事業者向けの規律と行政機関等向けの規律の双方が置かれている。例えば、個人情報の安全管理に関する規定については、個人情報取扱事業者には「個人データ」についての安全管理措置義務（個情法第23条）が課される² 一方で、国の行政機関、独立行政法人等、地方公共団体の機関及び地方独立行政法人（以下「行政機関等」という。）には「保有個人情報」についての安全管理措置義務が課される（個情法第66条1項）³⁴。保有個人情報とは、行政機関等の職員が職務上作成し、又は取得した個人情報であって、当該行政機関等の職員が組織的に利用するものとして当該行政機関等が保有しているもののうち、行政文書等⁵に記録されているものをいう（個情法第60条第1項）。したがって、データベース化などされておらず散在する個人情報（いわゆる散在情報）も、安全管理措置義務の対象となる保有個人情報に該当しうる。

一方で、個人情報取扱事業者については、散在情報に関する安全管理措置義務は課されていない。ただし、散在情報の漏えい等が発生した場合、同法が定める安全管理措置義務違反にはならないとしても、同法に関する各業種別のガイドラインに反する場合があるほか、それらの情報が個人のプライバシーに属する情報に該当する場合には、不法行為法上の責任を負う可能性がある。

（３）具体的な安全管理措置の手法

個人情報取扱事業者は、個情法ガイドライン（通則編）に記載された安全管理措置の手法の例などを参照しながら、個人データの安全管理措置を実施する必要がある。加えて、令和2年の個情法ガイドライン（通則編）の改正により、個人情報取扱事業者は、外国において個人データを取り扱う場合、安全管理措置の一環として、外的環境の把握⁶が必要となり、また、保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければならないこととなった（詳細はQ10、Q11を参照）。

一方で、行政機関等は、個人情報の保護に関する法律についてのガイドライン（行政機関等編）や、「個人情報の保護に関する法律についての事務対応ガイド（行政機関等向け）」⁷を参照しながら保有個人情報に関する安全管理措置を実施することとなる。デジタル化の進展とともに、安全管理措置を適切に講じるためにサイバーセキュリティの確保が重要であるとされ、サイバーセキュリティ基本法第26条第1項第2号で掲げられたサイバーセキュリティに関する対策の基準等、すなわち、サイバーセキュリティ戦略本部及びNISCが定める政府機関等統一基準群を参考として、適正な水準を確保する必要があるとされている。

（４）漏えい等発生時の対応

個人情報取扱事業者は、一定の条件を満たす個人データの漏えい等又はそのおそれのある事案が発生した場合（報告対象事態）に、個情委への報告及び本人通知を行う必要がある（個情法第26条）。

行政機関等においても、デジタル社会形成整備法による改正により、一定の条件を満たす保有個人情報の漏えい等又はそのおそれのある事案が発生した場合に個情委への報告と本人通知を行う義務が措置された（個情法第68条）。個人情報取扱事業者に対する義務との主な相違点として、以下のものが挙げられる。

まず、漏えい等発生時に対応が必要となるのは、個人データではなく保有個人情報であり、安全管理措置と同様、散在情報も含まれている。

次に、個情委への報告等が必要となる事態について、民間では、事態の一つとして、1,000人を超える個人データの漏えいが定められているが（個情法施行規則第7条）、行政機関等においては、100人を超える保有個人情報の漏えい等が発生した場合には報告等が必要となる（同規則第43条）。

なお、令和5年度より、地方公共団体の機関又は地方独立行政法人も個人情報保護法の適用対象となっているところ、これらについては、条例要配慮個人情報⁸が含まれる保有個人情報の漏えい等が発生し、又は発生したおそれがある事態も報告対象となる（規則第43条第5号）。

（１）従前の規律

従来、我が国の個人情報保護法制は、民間部門と公的部門で適用される法令が異なり（Q13参照）、国立大学、公立大学、私立大学それぞれの適用法令が次のとおり異なっていた。このことは、民間部門と公的部門との垣根を超えた共同研究等の実施を躊躇させる一因となっているとの指摘があった。

（２）デジタル社会形成整備法による改正後の規律

デジタル社会形成整備法による個情法改正等により、上記民間部門における学術研究機関等による学術研究の用に供する目的についての適用除外が廃止され、他の民間事業者と同様、個情法が適用され、安全管理措置（個情法第23条）や本人からの開示等請求への対応（同法第33条等）等に関する義務が課されることとなった。一方で、学術研究機関等が学術研究目的で個人情報を取り扱う場合について、利用目的による制限（同法第18条）、要配慮個人情報の取得制限（同法第20条第2項）、個人データの第三者提供の制限（同法第27条）等に関する例外規定が設けられた（同法第18条第3項第5号、同項第6号、第20条第2項第5号、同項第6号、第27条第1項第5号、同項第6号、同項第7号等）。

例えば、学術研究機関等は、個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合²及び共同して学術研究を行う第三者³に個人データを学術研究目的⁴で提供する必要がある場合⁵には、本人の同意なく当該個人データを第三者に提供することができ（同項第5号、第6号）、個人データを学術研究目的で取り扱う必要がある場合⁶には、本人の同意なく当該個人データの提供を受けることができる（第27条第1項第7号⁷）。

また、デジタル社会形成整備法により、民間部門・公的部門における個人情報の取扱いを規律する根拠法令が個情法に一本化され、国立大学法人や国立研究開発法人等の個人情報の取扱いに関して民間部門と差を設ける必要性の乏しい法人（以下、「個情法別表第二法人」という）については、個情法上、「個人情報取扱事業者」として扱われることとなった（同法第16条第2項第3号、同法第2条第9項、同条第11項第2号括弧書き、同法別表第二参照）⁸。そして、個情法別表第二法人のうち学術研究機関等における個人情報の取扱いについては、研究機関としての特性を踏まえ、基本的に上記民間部門の研究機関と同じ規律が適用されることとなった（個情法ガイドライン（通則編）2-18（※1））。

なお、個情法別表第二法人には原則として「個人情報取扱事業者」としての安全管理措置に係る個情法第23条が適用される。もっとも、個情法別表第二法人が法令に基づき行う業務のうち、公権力の行使に当たる行為を含むものを行う場合における個人情報の取扱いについては、公的部門としての安全管理措置に係る同法第66条第1項が準用される（同条第2項、同法施行令第18条各号）ため、行政機関等に係る安全管理措置義務が重ねて課されることとなる。

そして、公的な性質を有する個情法別表第二法人の特性を踏まえ、開示請求等に係る制度等については、従前と同様、公的部門における規律（同法第60条、第75条、第5章第4節等）が適用されることとなった（同法第125第2項）。そのため、保有個人データに関する事項の公表等に係る同法第32条は、個情報別表第二法人には適用されない（個情法第58条第1項）。

個情法別表第二法人は、一定の事項を記載した帳簿である個人情報ファイル簿を作成し、公表しなければならない（同法第75条第1項）ため、一定の範囲の情報は公表されるが、同法第32条第1項各号及び同法施行令第10条各号の定める公表等事項のうち、安全管理措置並びに苦情の申出先（これらに相当する事項を含む）は個人情報ファイル簿に記載されないため、個情法別表第二法人は、これらの事項を公表等する義務を負わないこととなる。

もっとも、個人情報の保護に関する基本方針において、「必要に応じて安全管理措置の内容を公表する等の透明性と信頼性を確保する取組を行うことが重要である⁹。」とされているところであるので、公表をすることを含め、透明性・信頼性確保に向けた取組が望まれる。

なお、地方公共団体等が設置・運営する公立大学等の研究機関¹⁰についても、個情法別表第二法人と同様、原則として民間部門の研究機関における個人情報の取扱いに係る規律が適用される一方で、開示請求等に係る制度等については、公的部門における規律が適用されることとなった（もっとも、デジタル社会形成整備法のうち、地方公共団体及び地方独立行政法人等に係る規律を改正する第51条の施行日は、令和5年4月1日である）。

（１）データの加工について

企業が保有する個人データ¹を含むデータについては、データベースから一定の条件を満たすデータ等を抽出し、加工を施す等して社内外で利活用することも考えられる。

このうち、個人データを加工するという場合、①安全管理のため氏名等を削除するといった加工を施すケース、②仮名加工情報へ加工するケースや、③匿名加工情報へ加工するケース、④統計情報へ加工するケースが考えられる²。

いずれの場合も、事業者が保有する個人データを元に加工を行うこととなるが、データの加工にあたっては、個情法ガイドライン（通則編）「10（別添）講ずべき安全管理措置の内容」を踏まえ、データ加工に関する手続等を含め、個人データの取扱いにかかる規律の整備などの措置を講じる必要がある。また、②の仮名加工情報及び③の匿名加工情報の場合には、個情委「個人情報の保護に関する法律ガイドライン（仮名加工情報・匿名加工情報編）」（以下、本項において「個情法ガイドライン（仮名加工情報・匿名加工情報編）」という。）及び個情委事務局「個人情報保護委員会事務局レポート：仮名加工情報・匿名加工情報　パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」（以下「事務局レポート」という。）により、仮名加工情報・匿名加工情報の作成・利活用をサポートする情報発信がなされており、これらを踏まえて適切に加工を行う必要がある。

（２）安全管理のための加工

名簿等の個人データから、安全管理のために氏名等を削除する等の加工を施す場合がある。

個情法においては、当該情報単体で特定の個人を識別できる場合はもちろん、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」（同法第2条第1項第1号）場合も個人情報に該当するため、加工前のデータをはじめ、他の情報と容易に照合でき、それにより特定の個人を識別することができるのであれば、加工後のデータの個人データ該当性を失われず、加工後のデータについても、同法第23条に基づく安全管理措置義務が課されることとなる。

当該安全管理措置については、「個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容」³とすることが必要である。

（３）仮名加工情報への加工

（４）匿名加工情報への加工

（５）統計情報への加工

統計情報とは、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に把握するものである。

したがって、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、「個人に関する情報」に該当せず、個情法の規制の対象外と整理されている²⁴。

したがって、例えば、第三者提供における本人同意（個情法第27条第1項）が不要であるなど、データの利活用を推進することが可能となり、また、同法第23条に基づく安全管理措置義務も課されない。

ただし、法的な義務がないからといって何らの対策も行わなくてよいものではなく、こうしたデータが漏えい等した場合に、企業に対する風評被害が生じるなど社会的責任を問われる可能性や、当該漏えい等に関して損害賠償責任等の法的責任を問われる可能性があるため、統計情報についても、適切な管理を行うことが重要であると考えられる。

（１）クレジットカードに関するセキュリティ確保の重要性

クレジットカードによる決済は、利用可能な店舗等が拡大しており、現在社会的なインフラとなっており、キャッシュレス化の推進に伴い、クレジットカード決済のより一層の進展が見込まれている。重要インフラ行動計画においても、クレジット分野は、重要インフラ分野¹の一つとして位置付けられており、セキュリティ強化の更なる取組みが求められている。

一方、クレジットカード情報の漏えいやクレジットカード情報の不正利用も発生しており、こうした不正利用に対する対策の必要性に鑑み、割賦販売法は、クレジットカード番号等の適切な管理に関する規定や、クレジットカード番号等の不正な利用の防止に関する規定を置いている。

（２）クレジットカード番号等の適切な管理

割賦販売法では、クレジットカード等購入あっせん業者、立替払取次業者、決済代行業者、コード決済事業者、コード決済事業者の受託者、加盟店及びECモール事業者等の決済システムの中で大量のクレジットカード番号等の取扱いを受託する事業者等（これらを併せて以下「クレジットカード情報取扱事業者」という。）に対して、割賦販売法施行規則に定められた基準に従い、クレジットカード番号の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講ずることを求めている（割賦販売法第35条の16第1項）。

具体的な基準は、以下のとおりである（割賦販売法施行規則第132条第1号～第5号）。

1. クレジットカード番号等の漏えい、滅失、毀損その他のクレジットカード番号等の管理に係る事故（以下、本項において「漏えい等の事故」という。）を防止するため必要かつ適切な措置を講ずること。
2. 漏えい等の事故が発生し、又は発生したおそれがあるときは、直ちに事故の状況を把握し、事故の拡大を防止するとともに、その原因を究明のために必要な調査（当該事故に係るクレジットカード番号等の特定を含む。）を行うこと。
3. 漏えい等の事故が発生し、又は発生したおそれがあるときは、当該事故の対象となったクレジットカード番号等を利用者に付与したクレジットカード等購入あっせん業者は、不正利用されることを防止するために必要な措置を講ずること。
4. 漏えい等の事故が発生し、又は発生したおそれがあるときは、類似の漏えい等の事故の再発防止のために必要な措置を講ずること。
5. クレジットカード番号等をクレジットカード取引の健全な発達を阻害し、又は利用者若しくは購入者等の利益の保護に欠ける方法により取り扱わないこと。

また、クレジットカード情報取扱事業者は、クレジットカード情報の取扱いを委託した事業者（以下「受託業者」という。）に対して、クレジットカード番号等の適切な管理が図られるよう、受託業者に対する指導その他の適切な措置を講じなければならない（割賦販売法第35条の16第3項）。

これらの措置に関しては、ガイドラインを実務上の指針としており、このガイドラインに掲げる措置又はそれと同等以上の措置を講じている場合には、法令上の基準となる「必要かつ適切な措置」を満たしているとされている²。

令和4年に公表されたガイドライン3.0版においては、クレジットカード番号等の漏えい防止措置として、クレジットカード等購入あっせん業者、立替払取次業者、決済代行業者及びコード決済事業者等に対して、国際ブランド（VISA、Mastercard、JCB、American Express、Discover）が定めたクレジットカード情報についてのセキュリティの国際基準であるPCI DSS（Payment Card Industry Data Security Standard）³の準拠が求められている。また、加盟店については、クレジットカード決済の際にクレジットカード情報を通過・保持しない方法（非保持化）を推奨しており、クレジットカード番号等を保持する場合にはPCI DSS準拠が求められている。ただし、非保持化を実現した場合であっても、ウェブサイトの開発・運用段階での対応が不十分であるとクレジットカード情報が漏えいするリスクがあることから、自社システムの定期的な点検や追加的な対策の実施等が重要である。また、不正犯の攻撃手口も巧妙化していることから、新たな攻撃手口への速やかな対応が必要となる。同ガイドラインは、令和5年3月に4.0版が公表されており、加盟店について、上記、クレジットカード情報の非保持又はPCI DSSに加えて、一定の対策を取ることが求められている⁴ので、留意を要する。

経済産業大臣は、クレジットカード等購入あっせん業者、立替払取次業者、決済代行業者又はコード決済事業者等が講じるクレジットカード番号等の適切管理に係る措置が法令上の基準に適合しないと認めるときは業務改善命令を発出することができる（割賦販売法第35条の17）。

（３）クレジットカード番号等の不正な利用の防止

加盟店は、施行規則に定められた基準に従って、クレジットカード番号等の不正な利用を防止するために必要な措置を取らなければならない（割賦販売法第35条の17の15）。

具体的な基準は、以下のとおりである（割賦販売法施行規則第133条の14）。

1. クレジットカード番号等の通知を受けたとき、当該通知が正当な利用者によるものかについての適切な確認その他の不正利用を防止するために必要かつ適切な措置を講ずること。
2. 加盟店において不正利用されたときは、その発生状況を踏まえ、類似の不正利用を防止するために必要な措置を講ずること。

これらの措置の実務上の指針であるガイドラインにおいては、対面加盟店における偽造カードによる不正利用防止策として、クレジットカードのIC化及び加盟店の決済端末のIC対応を求めており、また、非対面加盟店におけるなりすまし等による不正利用防止策として、パスワードによる本人認証（EMV3-D）、セキュリティコードによる券面認証、不正検知システムによる不正取引判断等の措置をリスクに応じて多面的・重層的に導入することを求めている。

（１）「労働者の心身の状態に関する情報」と個情法

事業者（個人情報取扱事業者）は、事業活動を行うために労働者を雇用し、その雇用する労働者について、氏名、年齢、性別など基本的な情報に加え、給与の額、勤務状況、勤務成績など多くの情報を保有している。これらの労働者の情報は、個人情報（個情法第2条第1項）に該当し、個情法に基づいた取扱いを行わなければならない。また、労働者の情報には、労働者の病歴や健康診断の結果、健康診断の結果に基づき医師から指導等を受けたこと、すなわち労働者の心身の状態に関する情報も含まれる。このような労働者の心身の状態に関する情報のほとんどが、要配慮個人情報（個情法第2条第3項）に該当しうる。個情委・厚労省「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」（平成29年5月29日）⁵（以下、本項において「留意事項」という。）によれば、例えば、労働安全衛生法の諸規定に基づく健康診断の結果やストレスチェックの結果等が要配慮個人情報にあたるとされている。要配慮個人情報に該当する場合には、その取得に当たって原則として本人同意を得る必要がある（同法第20条第2項）、オプトアウトによる第三者提供は認められない（同法第27条第2項）など、要配慮個人情報としての取扱いに係る規律に留意しなければならない。要配慮個人情報に該当する具体例を含め、個情法に基づく具体的な取扱いの方法については、留意事項を参照されたい。

（２）「労働者の心身の状態に関する情報」と労働安全衛生法

事業者は労働者に対して安全配慮義務を負っており、この履行として労働者の健康管理活動を行う必要がある（労働契約法第5条、最判昭和50年2月25日民集29巻2号143頁）。また、労働安全衛生法は、労働者の安全と健康を確保するとともに、快適な職場環境の形成を促進する目的で、事業者に様々な労働者の健康管理措置を行うことを求めている（労働安全衛生法第66条以下）。同法にいう事業者とは、「事業を行う者で、労働者を使用するものをいう。」と定義されており（同法第2条第3号）、業種や分野、法人格の有無を問わない。法人企業であれば当該法人（法人の代表者ではない。）、個人企業であれば事業経営主を指し、事業経営の利益の帰属主体そのものを義務主体としている⁶。

したがって、労働者の健康管理活動や健康確保措置を行うため、事業者は労働者の心身の状態に関する情報を取得する必要がある。もっとも、労働者側としては自身の心身の状態についての情報により不利益な取扱いを受けるという懸念があり、自身の心身の情報について、事業者に対して、取得、利用、管理のそれぞれの場面に応じた適切な管理を望んでいる。

このような観点から、平成30年改正労働安全衛生法は、事業者は、労働者の心身の状態の情報を収集、保管、又は使用するに当たっては、労働者の健康の確保に必要な範囲内で収集し、当該収集の目的の範囲内でこれを保管し、使用しなければならないとしている（労働安全衛生法第104条第1項）。加えて、労働者の心身の状態に関する情報を適正に管理するために必要な措置を講じなければならないとしている（同条第2項）⁷。

このように「労働者の心身の状態に関する情報」には、健康診断の結果などの要配慮個人情報も含まれ、さらに労働安全衛生法によっても事業者に適切な取扱いが要請される情報でもある。したがって、その取扱いに当たっては、個情法や労働安全衛生法との関係に留意することが必要である。このうち、要配慮個人情報を含む個人情報の取扱いに関しては、留意事項を、また、労働者安全衛生法による労働者の心身の状態に関する情報の取扱いについては、「労働者の心身の状態に関する情報の適正な取扱いのために事業者が講ずべき措置に関する指針」（以下、本項において「指針」という。労働安全衛生法第104条第3項参照）を参照されたい。

（３）労働者の心身の状態に関する情報の適正な取扱いのために事業者が講ずべき措置に関する指針

労働者の心身の状態の情報をどのように取扱うかについては、指針において具体的に示されている。

指針においては、まず、心身の状態の情報の取扱いに関する原則として、①取扱いの目的は労働者の健康確保や安全配慮義務の履行のためであり、そのために必要な情報を適正に収集し、活用すること、②事業者による労働者の健康確保措置が十全に行われるよう事業所における取扱規程を定めること、③心身の状態の情報を取扱う目的や取扱い方法、取扱者、取扱う情報の範囲などを取扱規程に定めること、④取扱規程については、労使関与の下で定めるとともに労働者へ周知すること、⑤情報取扱者の制限や情報の加工など適正な取扱いのための体制を整備すること、⑥情報の収集に当たって本人同意の取得や利用目的、取扱い方法の周知を行うこと、⑦労働者に対する不利益な取扱いを防止することなどが定められている。

また、同様に、心身の状態の情報の適正管理（労働安全衛生法第104条第2項関係）の方法についても示されている。具体的には、①心身の状態の情報の適正管理のための規程として、心身の状態の情報の正確性の確保、安全管理措置、適切な消去等について、事業場ごとに取扱規程に定めること、②労働者からの開示請求、訂正等に適切に対応することなどが定められている。

（４）健康診断等の事務を実施した者の守秘義務等について

その他、労働安全衛生法に基づく労働者の心身の状態に関する情報の取扱いに関しては、同法第105条にも留意を要する。同条は、同法に基づく健康診断、面接指導、ストレスチェック等の実施事務に従事した者に対して、その実施に関して知り得た労働者の秘密を漏らしてはならない旨を規定するものであり、これに違反した者に対しては、6月以下の懲役又は50万円以下の罰金が科せられる（同法第119条第1号）⁸⁹。これに関連して、個人の健康診断結果や服薬歴等の健診等情報を電子記録として本人や家族が正確に把握するための仕組み（Personal Health Record、以下「PHR」という。）について、適切に民間PHRサービスが利活用されるための民間PHR事業者におけるルール整備等が必要であるとされたことを受け、PHRサービスを提供する民間事業者が遵守すべき事項について、総務省、厚労省、経産省から、「民間PHR事業者による健診等情報の取扱いに関する基本的指針」が公表された。同指針には、①健診等情報を取り扱うに当たって、その漏えい、滅失又は毀損の防止その他の安全管理のためにPHR事業者が講じなければならない措置の内容・具体例、②PHR事業者が健診等情報を取り扱うに当たって、法規制に基づいて遵守しなければならない事項、同指針に基づき遵守しなければならない事項の内容等が示されている。また、別紙には、同指針に係るチェックリストも付属しており、参考になる。

（５）補論・職業安定法と個人情報

労働者の心身の状態に関する情報では必ずしもないが、近年、内定辞退率を提供するサービス¹⁰に関連して、職業安定法と個人情報についても話題になったことから、これについても簡単に記載しておく。

職業安定法は、第5条の5第1項において、公共職業安定所等¹¹は、求職者等の個人情報を収集し、保管し、又は使用するに当たっては、その業務の目的の達成に必要な範囲内で求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない旨を定め、第2項において、公共職業安定所等は、求職者等の個人情報を適正に管理するために必要な措置を講じなければならない旨を定めている。

そして、第51条第1項では、職業紹介事業者等¹²の守秘義務を、第2項では、そのほかその業務に関して知り得た個人情報その他厚生労働省令で定める者に関する情報を、みだりに他人に知らせてはならない旨を定めている。

この第51条に関して、前述の内定辞退率を提供するサービスに端を発して、厚生労働省職業安定局長通達が出されており、そこでは、「本人の同意なく、あるいは仮に同意があったとしても同意を余儀なくされた状態で、学生等の他社を含めた就職活動や情報収集、関心の持ち方などに関する状況を、本人があずかり知らない形で合否決定前に募集企業に提供する事は、募集企業に対する学生等の立場を弱め、学生等の不安を惹起し、就職活動を萎縮させるなど学生等の就職活動に不利に働く恐れが高い。このことは本人同意があっても直ちに解消する問題ではなく、職業安定法第51条第2項に違反する恐れもあるため、今後、募集情報等提供事業や職業紹介事業等の本旨に立ち返り、このような事業を行わないようにすること」とされた¹³。

（１）マイナンバー制度の趣旨と個人情報との相違

マイナンバー制度は、行政運営の効率化と国民の利便性の向上を図り、公平・公正な社会を実現する基盤となるものである（番号利用法第1条参照）が、全ての住民に指定される個人識別のための番号である（同法第2条第5項参照）ことから、安全かつ適正な取扱いを担保するため、企業がマイナンバーを取り扱う際には、以下のとおり、個情法に規定する「個人情報」¹には見られない対応が求められる。

（２）利用主体や利用範囲を法律で限定

マイナンバーは、番号利用法に定められた、①社会保障・税・災害対策等分野の行政事務（個人番号利用事務。番号利用法第2条第10項参照。）²、②個人番号利用事務に関して行われている事務（個人番号関係事務。番号利用法第2条第11項参照。）の範囲内に限り、利用が認められる。本人の同意を得たとしても、この範囲を超えて利用することはできない。

企業においては、例えば、雇用保険被保険者資格取得届や源泉徴収票の作成等の個人番号関係事務に必要な限度で、個人番号関係事務実施者として、マイナンバーの利用が認められる。

（３）厳格な本人確認

個人番号利用事務実施者及び個人番号関係事務実施者は、本人からマイナンバーの提供を受けるときは、なりすましを防止するため、本人確認（番号確認と身元確認）措置をとらなければならない（番号利用法第16条参照）。

企業においては、例えば、雇用保険被保険者資格取得届や源泉徴収票の作成等の個人番号関係事務に当たり、従業員等本人からマイナンバーの提供を受けるときは、マイナンバーカード等による本人確認を行う必要がある。

（４）提供等の制限

マイナンバーを含む個人情報³については、番号利用法で定められた一定の場合を除き、提供の求め・提供・収集・保管が禁止される（番号利用法第15条、第19条、第20条参照）。本人の同意を得たとしても、番号利用法で定められた場合に該当しない限り、提供等は認められない。

また、（２）の事務（個人番号利用事務・個人番号関係事務）を第三者に委託することは可能であるが、再委託に当たっては、委託元の許諾が必要となる（番号利用法第10条第1項参照）。

（５）安全管理措置

個人番号関係事務実施者又は個人番号利用事務実施者である事業者は、個人番号及び特定個人情報（以下「特定個人情報等」という。）の漏えい、滅失又は毀損の防止その他の特定個人情報等の管理のために、必要かつ適切な措置を講じなければならない（番号利用法第12条、個情法第23条）。

安全管理措置の具体的な内容については、個情委「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」の「（別添１）特定個人情報に関する安全管理措置（事業者編）」が参考になる。また、特定個人情報の漏えい等が発生した場合の個情委への報告等については、Q7を参照。

（１）マイナンバーカード

マイナンバーカード（個人番号カード）とは、券面に氏名、生年月日、性別、住所及びマイナンバーが記載されたプラスチック製のICカードであり、申請者に対して、市区町村が厳格な本人確認を実施した上で交付している。マイナンバーカードの全国の人口に対する保有枚数率は、令和5年6月末時点で70.0%となっており¹、マイナンバーカードの普及率は向上しつつある。

マイナンバーカードには、①マイナンバーの提示書類、②顔写真付き本人確認書類、③オンラインでの確実な本人確認という3つの活用方法がある。その他、令和3年3月からマイナンバーカードを健康保険証として利用することが可能となり、また、令和6年度末にはマイナンバーカードと運転免許証との一体化が予定される²など、活用範囲の拡大が図られている。

（２）マイナンバーカードの活用方法①　マイナンバーの提示書類

マイナンバーカードは裏面にマイナンバーが記載されており、マイナンバーの提示書類として活用できる。

マイナンバーを使う手続の際に必要となるマイナンバーの確認は、マイナンバーが記載された住民票の写しなどによって行うことができるが、その場合は、別途本人確認のために顔写真付き本人確認書類等の提示が必要になる一方、マイナンバーカードを活用すれば、マイナンバーの確認と本人確認を1枚で行うことができる。

（３）マイナンバーカードの活用方法②　顔写真付き本人確認書類

会員登録や銀行口座の開設など対面での本人確認が求められる様々な場面で、顔写真付き本人確認書類としてマイナンバーカードを活用できる。

ただし、身分証明書として利用すると偽って、カード裏面のマイナンバーを盗み見たり、書き取ったりすることは違法である。身分証明書を確認する際に、例えば、運転免許証であれば、運転免許証番号を別途メモ等にとることがあるが、マイナンバーカードの場合はマイナンバーを別途メモ等にとることはできない点に注意する必要がある。

（４）マイナンバーカードの活用方法③　オンラインでの確実な本人確認

マイナンバーカードのICチップに搭載された電子証明書を用いることで、オンラインでの確実な本人確認を行うことができる。

ICチップに搭載されている電子証明書には、以下の2種類がある。

署名用電子証明書

インターネット等で電子文書を作成・送信する際に利用するものであり、当該電子文書が、利用者が作成した真正なものであり、利用者が送信したものであることを証明できる。例えば、e-Taxによる確定申告等のオンライン申請で利用することができる。

利用者証明用電子証明書

インターネットサイトやコンビニ等のキオスク端末等にログインする際に利用するものであり、ログインした者が利用者本人であることを証明することができる。例えば、マイナポータルへのログインや、コンビニでの証明書交付サービスなどで利用することができる。

また、マイナンバーカードのICチップの空き領域を活用し、カードアプリケーションを搭載することにより、例えば、物理的な入退室管理カード、チケット購入、ポイント付与等に活用することも可能である³。

（５）マイナンバーの利用制限とマイナンバーカード

マイナンバーの利用範囲は、番号利用法において、行政機関等に限定されている⁴が、マイナンバーカードの利用については番号利用法上、基本的に利用範囲に制限がなく、民間企業も上記の機能を利用することができる。

なお、マイナンバーカードの利用とマイナンバーそのものの利用とは法的性質を異にする。マイナンバーカードは、裏面にマイナンバーが記載されているものの、カードの利用は、マイナンバーそのものを利用しない限りは、マイナンバーの利用とはみなされない。マイナンバーそのものを利用するとは、①マイナンバーの提示書類としての機能のように、マイナンバーカードに記載されたマイナンバーの確認、コピー、又はマイナンバーカードのICチップ内に記録されたマイナンバーの読み取り等を指す。これに対して、②顔写真付き本人確認書類、③オンラインでの確実な本人確認の場合は、マイナンバーそのものを確認・取得等することなく、マイナンバーカードを利用しているだけであるので、マイナンバーの利用にはあたらない。