「個人情報保護法」「マイナンバー法」「プライバシーマーク制度」 実務に関わる「個人情報」の取り扱いについて

（1）利用目的の制限

【個人情報保護法】

『個人情報』の利用範囲に特に制限はないが、その利用目的をできる限り特定しなければならない。また、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて取り扱ってはならないとされており、特定された利用目的の範囲を超えて取り扱う場合は、本人の同意が必要となる。

【マイナンバー法】 『特定個人情報』の利用範囲は「税・社会保障・災害対策」に限定されており、その範囲内で利用目的を特定しなければならない。また、特定された利用目的の達成に必要な範囲を超えて取り扱ってはならないとされており、本人の同意があったとしても、特定された利用範囲を超えて取り扱うことはできない。

（2）不要となった情報の取り扱い

【個人情報保護法】

『個人データ』を利用する必要がなくなったときは、遅滞なく消去するよう努めなければならない。

【マイナンバー法】 『特定個人情報』は、番号法第9条に該当する場合を除き、特定個人情報の収集又は保管をしてはならない。事務処理をする必要がなくなった場合で、定められている保存期間を経過した場合は、個人番号をできるだけ速やかに廃棄又は削除しなければならない。

（3）第三者提供できる場合

【個人情報保護法】

『個人データ』は本人の同意があれば第三者に提供できる。また、法令に基づく場合や人の生命・身体・財産の保護に必要な場合等は、本人の同意を得ずに提供できる。

【マイナンバー法】 『特定個人情報』は、個人情報保護法第27条「第三者提供の制限」を適用除外とした上で、本人の同意の有無は関係なく、マイナンバー法第19条各号に該当する場合のみ提供することができる。

（4）第三者に提供する際／提供を受ける際の記録義務

【個人情報保護法】

●『個人データ』を第三者に提供する 当該個人データを提供した年月日・当該第三者の氏名又は名称、その他の個人情報保護委員会規則で定める事項に関する記録を作成し保存しなければならない。 ●『個人データ』を第三者から提供を受ける 当該第三者の氏名又は名称、住所（法人の場合はその代表者の氏名も）、当該個人データの取得経緯等を確認し、記録を作成し保存しなければならない。

【マイナンバー法】 『特定個人情報』は第三者に提供できる場合が限定されているので、記録の作成等は義務付けられていない。

（5）委託

【個人情報保護法】

『個人データ』の取扱いを委託する場合は、委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

【マイナンバー法】 『特定個人情報』は左記に加え、再委託する場合は、最初の委託者の許諾が必要である。

（6）安全管理措置

「個人情報保護法」が求める安全管理措置と「マイナンバー法」が求める安全管理措置、また、ガイドラインが求める安全管理措置についても、基本的な要素は共通している。

• 個人情報保護法の定める安全管理措置
• マイナンバー法の定める安全管理措置