• 全情協TOP
• 個人情報保護士
• 個人情報保護実務検定
• マイナンバー実務検定
• 情報セキュリティ管理士
• 情報セキュリティ初級
• 企業危機管理士

• インバウンド実務主任者
• 働き方マスター試験
• ワークスタイルコーディネーター
• 労働法務士
• 会社法務士
• 民法債権法務士
• ストレスチェック検定

• ＢＱＭ個人会員
• ＢＱＭ法人会員
• ハラスメント認証制度

参考資料

「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」及び
「（別冊）金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するＱ＆Ａ

１：個人番号の利用制限

Ｑ１−１個人番号の利用目的を特定して、本人への通知等を行うに当たり、個人番号の提出先を具体的に示す必要がありますか。

Ａ１−１個人番号関係事務は、本人から個人番号の提供を受けて、その個人番号を個人番号利用事務実施者に提供する事務であり、通常これらの事務を利用目的として示せば提供先も明らかになっているものと解されますので、必ずしも個々の提出先を具体的に示す必要はありません。

Ｑ１−２利用目的の特定の事例として「源泉徴収票作成事務」が記載されていますが、「源泉徴収票作成事務」には、給与支払報告書や退職所得の特別徴収票も含まれると考えてよいですか。

Ａ１−２給与支払報告書、退職所得の特別徴収票は、源泉徴収票と共に統一的な書式で作成することとなることから、「源泉徴収票作成事務」に含まれるものと考えられます。

Ｑ１−３複数の個人番号関係事務で個人番号を利用する可能性がある場合において、個人番号の利用が予想される全ての目的について、あらかじめ包括的に特定して、本人への通知等を行ってよいですか。

Ａ１−３事業者と従業員等の間で発生が予想される事務であれば、あらかじめ複数の事務を利用目的として特定して、本人への通知等を行うことができます。

Ｑ１−４本人から個人番号の提供を受けるに当たり、利用目的について本人の同意を得る必要がありますか。

Ａ１−４個人番号の利用目的については、本人の同意を得る必要はありません。

Ｑ１−５個人番号の利用目的の通知等は、どのような方法で行うことが適切ですか。

Ａ１−５個人番号の利用目的の通知等の方法は、書類の提示のほか社内ＬＡＮにおける通知が挙げられますが、個人情報保護法第18条及び主務大臣のガイドライン等に従って、従来から行っている個人情報の取得の際と同様の方法で行うことが考えられます。

Ｑ１−６従業員等から、その扶養親族の個人番号が記載された扶養控除等申告書の提出を受ける際、個人番号の利用目的を従業員等に社内ＬＡＮや就業規則により特定・通知等していれば、扶養親族に対しても、従業員等（個人番号関係事務実施者）から同様の内容が特定・通知等されているものと考えてよいですか。

Ａ１−６個人情報保護法第15条（利用目的の特定）、同法第18条（取得に際しての利用目的の通知等）は、個人情報取扱事業者が個人情報を取り扱う際に適用があるものです。

当該個人情報の取得は当該本人から直接取得する場合に限られず、他人から取得する場合も含まれます。他人から当該本人の個人情報を取得する場合であっても、利用目的の通知等を行わなければなりません。

通知等の方法としては、個人情報保護法第18条及び主務大臣のガイドライン等に従って、従来から行っている個人情報の取得の際と同様の方法で行うことが考えられます。

Ｑ１−７次の�@�A�Bの場合は、個人番号関係事務に係る一連の作業範囲として、利用目的の範囲内での利用と考えてよいですか。 �@ 収集した個人番号を特定個人情報ファイルへ登録し、登録結果を確認するために個人番号をその内容に含む情報をプリントアウトする場合 �A 個人番号関係事務を処理する目的で、特定個人情報ファイルに登録済の個人番号を照会機能で呼び出しプリントアウトする場合 �B 個人番号関係事務以外の業務を処理する目的（例えば、顧客の住所等を調べる等）で照会した端末の画面に、特定個人情報ファイルに登録済の情報が表示されており、これをプリントアウトする場合

Ａ１−７

�@ 個人番号関係事務実施者が個人番号関係事務を処理する目的で、収集した個人番号を特定個人情報ファイルへ登録し、登録結果を確認するために個人番号をその内容に含む情報をプリントアウトしますので、個人番号関係事務の範囲内での利用といえます。

�A 個人番号関係事務実施者が個人番号関係事務を処理する目的で、特定個人情報ファイルに登録済の個人番号を照会機能で呼び出しプリントアウトしますので、�@と同様に個人番号関係事務の範囲内での利用といえます。

�B 個人番号関係事務の範囲外での利用になりますので、個人番号をプリントアウトしないように工夫する必要があります。

Ｑ１−８支払調書の中には、支払金額が所管法令の定める一定の金額に満たない場合、税務署長に提出することを要しないとされているものがあります。支払金額がその一定の金額に満たず、提出義務のない支払調書に個人番号を記載して税務署長に提出することは、目的外の利用として利用制限に違反しますか。

Ａ１−８支払金額が所管法令の定める一定の金額に満たず、税務署長に提出することを要しないとされている支払調書についても、提出することまで禁止されておらず、支払調書であることに変わりはないと考えられることから、支払調書作成事務のために個人番号の提供を受けている場合には、それを税務署長に提出する場合であっても利用目的の範囲内として個人番号を利用することができます。

Ｑ１−９個人情報保護法が適用されない個人番号取扱事業者は、個人番号の利用目的の特定をする必要がありますか。

Ａ１−９個人情報保護法が適用されない個人番号取扱事業者は、個人情報保護法第15条に従って利用目的の特定を行う義務はありませんが、個人番号を「個人番号関係事務又は個人番号利用事務を処理するために必要な範囲内」で利用しなければならない義務が課されます（番号法第32条）。個人番号を「個人番号関係事務又は個人番号利用事務を処理するために必要な範囲内」で利用するに当たっては、個人番号をどの事務を処理するために利用するのかを決めることとなりますので、事実上、利用目的の特定を行うことになると考えられます。なお、利用目的の本人への通知等を行う必要はありません。

Ｑ１−10行政機関等から個人番号利用事務の委託を受けた事業者が、「委託に関する契約の内容に応じて、『特定個人情報の適正な取扱いに関するガイドライン（行政機関等・地方公共団体等編）』が適用されることとなる。」とは、どういうことですか。

Ａ１−10行政機関等から個人番号利用事務の委託を受けた者は、委託を受けた業務において、行政機関等に求められる安全管理措置を講ずる必要があることから、行政機関等・地方公共団体等編ガイドラインの適用を受けることとしています。

また、委託を受けた業務内容（例えば、申請書の受付業務、業務システムへの入力業務、通知書等の発送業務等）により、講ずべき安全管理措置等も変わってくることから、「委託に関する契約の内容に応じて」と記述しています。

Ｑ１−11従業員等が個人番号関係事務実施者として扶養親族の個人番号を扶養控除等申告書に記載して、勤務先である事業者に提出する場合に、事業者は番号法上の監督義務を負いますか。

Ａ１−11従業員等は自ら個人番号関係事務実施者として扶養親族の個人番号の提供を受け、扶養控除等申告書を事業者に提出するものであることから、事業者が番号法上の監督義務を負うものではありません。

Ｑ１−12従業員等が、国民年金法の第３号被保険者（第２号被保険者である従業員等の配偶者）に関する届出を行うことは個人番号関係事務に該当しますか。

Ａ１−12国民年金法の第３号被保険者（第２号被保険者である従業員等の配偶者）に関する届出については、国民年金法第12条第５項及び第６項の規定に従って、第３号被保険者本人が事業者に提出することとなっています。したがって、第２号被保険者である従業員等が第３号被保険者の届出を提出する場合には、第３号被保険者本人の代理人として提出することとなり、個人番号関係事務に該当しません。

２：特定個人情報ファイルの作成の制限

Ｑ２−１次の�@〜�Dのケースについては、個人番号関係事務を処理するために必要な範囲内として、特定個人情報ファイルを作成することはできますか。 �@ 社内資料として過去の業務状況を記録するため、特定個人情報ファイルを作成すること �A 個人番号関係事務又は個人番号利用事務の委託先が、委託者に対して業務状況を報告するために特定個人情報ファイルを作成すること �B 個人番号の安全管理の観点から個人番号を仮名化して保管している場合において、その仮名化した情報と元の情報を照合するための照合表として特定個人情報ファイルを作成すること �C 提出書類間の整合性を確認するため、専ら合計表との突合に使用する目的で個人番号を記載した明細表を作成すること �D 障害への対応等のために特定個人情報ファイルのバックアップファイルを作成すること

Ａ２−１

�@ 単に社内資料として過去の業務状況を記録する目的で特定個人情報ファイルを作成することは、個人番号関係事務を処理するために必要な範囲に含まれるとはいえませんので、作成することはできません。

�A 委託先への監督の一環として、業務状況を報告させる場合には、特定個人情報ファイルを作成することはできますが、委託された業務に関係なく特定個人情報ファイルを作成することはできません。

�B・�C 個人番号関係事務の範囲内で、照合表や明細書を作成することは認められます。

�D バックアップファイルを作成することはできますが、バックアップファイルに対する安全管理措置を講ずる必要があります。

Ｑ２−２既存のデータベースに個人番号を追加することはできますか。

Ａ２−２既存のデータベースに個人番号を追加することはできますが、個人番号関係事務以外の事務で個人番号を利用することができないよう適切にアクセス制御等を行う必要があります。

Ｑ２−３個人番号をその内容に含むデータベースを複数の事務で用いている場合、個人番号関係事務以外の事務で個人番号にアクセスできないよう適切にアクセス制御を行えば、その個人番号関係事務以外の事務においては、当該データベースが特定個人情報ファイルに該当しないと考えてよいですか。

Ａ２−３個人番号関係事務以外の事務において、個人番号にアクセスできないよう適切にアクセス制御を行えば、特定個人情報ファイルに該当しません。

Ｑ２−４個人番号が記載された書類等を利用して、個人番号関係事務以外の事務で個人情報データベース等を作成したい場合は、どのように作成することが適切ですか。

Ａ２−４個人情報保護法においては個人情報データベース等の作成に制限を設けていないことから、個人番号部分を復元できないようにマスキング処理をして個人情報保護法における個人情報とすることにより、個人情報保護法の規定に従って個人情報データベース等を作成することができます。

３：委託の取扱い

Ｑ３−１「個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。」としていますが、委託先において、番号法が求める水準の安全管理措置が講じられていればよく、委託者が実際に講じている安全管理措置と同等の措置まで求められているわけではないと考えてよいですか。

Ａ３−１委託先は番号法が求める水準の安全管理措置を講ずるものであり、委託者が高度の措置をとっている場合にまで、それと同等の措置を求めているわけではありません。ただし、安全管理措置の検討に当たっては、番号法だけではなく、個人情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドライン等を遵守する必要があります。

Ｑ３−２特定個人情報に係る委託先の監督について、個人情報保護法に加えて求められる監督義務の内容は何ですか。

Ａ３−２委託者は、委託先において、番号法で求められている安全管理措置が講じられているかを監督する義務があります。本ガイドラインの安全管理措置特有なものとしては、主に、「個人番号を取り扱う事務の範囲の明確化」、「特定個人情報等の範囲の明確化」、「事務取扱担当者の明確化」、「個人番号の削除、機器及び電子媒体等の廃棄」が挙げられます。

Ｑ３−３特定個人情報の取扱いを国外の事業者に委託する場合に、委託者としての安全管理措置を担保する上で、国内で実施する場合に加えて考慮するべき追加措置等はありますか。

Ａ３−３国内外を問わず、委託先において、個人番号が漏えい等しないように、必要かつ適切な安全管理措置が講じられる必要があります。なお、必要かつ適切な監督には、本ガイドラインのとおり、�@委託先の適切な選定（具体的な確認事項：委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等）、�A委託先に安全管理措置を遵守させるために必要な契約の締結、�B委託先における特定個人情報の取扱状況の把握が含まれます。

Ｑ３−４特定個人情報を取り扱う委託契約を締結する場合、個人情報の取扱いと特定個人情報の取扱いの条項を分別した契約とする必要がありますか。

Ａ３−４番号法上の安全管理措置が遵守されるのであれば、個人情報の取扱いと特定個人情報の取扱いの条項を分別する必要はありません。

Ｑ３−５既存の委託契約で、本ガイドラインと同等の個人情報の取扱いの規定がある場合、特定個人情報も包含していると解釈して、委託契約の再締結はしなくてもよいですか。

Ａ３−５既存の契約内容で必要な番号法上の安全管理措置が講じられているのであれば、委託契約を再締結する必要はありません。

Ｑ３−６「委託先に安全管理措置を遵守させるために必要な契約の締結」について、実態として安全管理措置に係る委託者と委託先の合意が担保できる方法であれば、契約の締結以外の方法（例えば、誓約書や合意書の作成）も認められますか。

Ａ３−６委託者・委託先双方が安全管理措置の内容につき合意をすれば法的効果が発生しますので、当該措置の内容に関する委託者・委託先間の合意内容を客観的に明確化できる手段であれば、書式の類型を問いません。

Ｑ３−７委託先・再委託先との業務委託契約を締結するに当たり、業務委託契約書等に、特定個人情報の取扱いを委託する旨の特段の記載が必要になりますか。

Ａ３−７業務委託契約を締結する場合には、通常、委託する業務の範囲を特定することとなります。番号法においては、個人番号の利用範囲が限定的に定められていることから、委託先・再委託先との業務委託契約においても番号法で認められる事務の範囲内で委託する業務の範囲を特定する必要があります。

Ｑ３−８再委託（再々委託以降を含む。）を行うに当たり、最初の委託者から必ず許諾を得る必要がありますか。

Ａ３−８再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるため設けられたものであり、番号法第10条第１項により明示されています。したがって、最初の委託者の許諾を得る必要があります。

なお、委託先や再委託先から個人番号や特定個人情報が漏えい等した場合、最初の委託者は、委託先に対する監督責任を問われる可能性があります。

Ｑ３−９実務負荷の軽減のため、再委託を行う前に、あらかじめ委託者から再委託の許諾を得ることはできますか。

Ａ３−９再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるため設けられたものです。したがって、委託者が再委託の許諾をするに当たっては、再委託を行おうとする時点でその許諾を求めるのが原則です。その際、再委託先が特定個人情報を保護するための十分な措置を講じているかを確認する必要があります。

しかしながら、委託契約の締結時点において、再委託先となる可能性のある業者が具体的に特定されるとともに、適切な資料等に基づいて当該業者が特定個人情報を保護するための十分な措置を講ずる能力があることが確認され、実際に再委託が行われたときは、必要に応じて、委託者に対してその旨の報告をし、再委託の状況について委託先が委託者に対して定期的に報告するとの合意がなされている場合には、あらかじめ再委託の許諾を得ることもできると解されます。

Ｑ３−10再委託（再々委託以降を含む。）に係る委託者の許諾の取得方法について、書面、電子メール、口頭等方法の制限はありますか。

Ａ３−10委託者の許諾の方法について、制限は特段ありませんが、安全管理措置について確認する必要があることに鑑み、書面等により記録として残る形式をとることが望ましいと考えられます。

Ｑ３−11委託契約に定めれば、委託先が、委託者の従業員等の特定個人情報を直接収集することはできますか。

Ａ３−11個人番号の収集を委託すれば、委託先が収集することができます。

Ｑ３−12特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。

Ａ３−12当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。

当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。

なお、上記における個人番号をその内容に含む電子データは、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであり、個人番号として取り扱われます。

Ｑ３−13クラウドサービスが番号法上の委託に該当しない場合、クラウドサービスを利用する事業者が、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。

Ａ３−13クラウドサービスが番号法上の委託に該当しない場合、委託先の監督義務は課されませんが、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にあるデータについて、適切な安全管理措置を講ずる必要があります。

Ｑ３−14特定個人情報を取り扱う情報システムの保守の全部又は一部に外部の事業者を活用している場合、番号法上の委託に該当しますか。また、外部の事業者が記録媒体等を持ち帰ることは、提供制限に違反しますか。

Ａ３−14当該保守サービスを提供する事業者がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には、個人番号関係事務又は個人番号利用事務の一部の委託に該当します。一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人番号関係事務又は個人番号利用事務の委託に該当しません。

保守サービスを提供する事業者が、保守のため記録媒体等を持ち帰ることが想定される場合は、あらかじめ特定個人情報の保管を委託し、安全管理措置を確認する必要があります。

Ｑ３−15委託の取扱いについて、個人情報保護法と番号法の規定の違いはありますか。

Ａ３−15委託先の監督義務について、個人情報保護法では、委託者が個人情報取扱事業者に該当する場合に委託先の監督義務を負います（個人情報保護法第22条）。また、委託先が再委託を行う場合において、その委託先が個人情報取扱事業者に該当する場合は再委託先の監督義務を負いますが、個人情報取扱事業者に該当しない場合には再委託先の監督義務は負いません。

これに対して、番号法では、委託者が個人情報取扱事業者に該当するか否かに関係なく、個人番号関係事務又は個人番号利用事務の全部又は一部を委託する者であれば、委託先に対し監督義務を負うこととなります。

また、委託先が再委託を行う場合の要件について、個人情報保護法では特段の規定はありませんが、番号法では、再委託以降の全ての段階の委託について、最初の委託者の許諾を得ることを要件としています。

４：個人番号の提供の要求

Ｑ４−１事業者は、「内定者」に個人番号の提供を求めることはできますか。

Ａ４−１いわゆる「内定者」については、その立場や状況が個々に異なることから一律に取り扱うことはできませんが、例えば、「内定者」が確実に雇用されることが予想される場合（正式な内定通知がなされ、入社に関する誓約書を提出した場合等）には、その時点で個人番号の提供を求めることができると解されます。

Ｑ４−２不動産の使用料等の支払調書の提出範囲は、同一人に対するその年中の支払金額の合計が所得税法の定める一定の金額を超えるものとなっていますが、その一定の金額を超えない場合は個人番号の提供を求めることはできませんか。

Ａ４−２不動産の賃貸借契約については、通常、契約内容で一か月当たりの賃料が定められる等、契約を締結する時点において、既にその年中に支払う額が明確となっている場合が多いと思われます。したがって、契約を締結する時点で、契約内容によってその年中の賃料の合計が所得税法の定める一定の金額を超えないことが明らかな場合には、支払調書の提出は不要と考えられますので、契約時点で個人番号の提供を求めることはできません。

一方、年の途中に契約を締結したことから、その年は支払調書の提出が不要であっても、翌年は支払調書の提出が必要とされる場合には、翌年の支払調書作成・提出事務のために当該個人番号の提供を求めることができると解されます。

Ｑ４−３親会社が、子会社の従業員に対しストックオプションを交付している場合、親会社は、従業員が子会社に入社した時点で個人番号の提供を求めることはできますか。

Ａ４−３子会社の従業員等となった時点で、子会社との雇用関係に基づいて親会社からストックオプションの交付を受けることが予想されるのであれば、個人番号関係事務を処理する必要性があるものと認められますので、親会社においてはその時点で個人番号の提供を受けることができると解されます。

Ｑ４−４従業員持株会は、従業員が所属会社に入社した時点で、その従業員に個人番号の提供を求めることはできますか。また、所属会社経由で個人番号の提供を受けることはできますか。

Ａ４−４従業員等がまだ株主となっていない時点では、個人番号関係事務の処理のために必要がある場合とはいえませんので、持株会が従業員等に個人番号の提供を求めることはできません。従業員等が株主となり持株会に入会した時点で、当該従業員等に対し、個人番号の提供を求めることとなります。

また、持株会が個人番号の収集・本人確認事務を所属会社に委託している場合は、持株会が所属会社経由で従業員等の個人番号の提供を受けることができます。

Ｑ４−５人材派遣会社は、派遣登録を行う時点で、登録者の個人番号の提供を求めることはできますか。

Ａ４−５人材派遣会社に登録したのみでは、雇用されるかどうかは未定で個人番号関係事務の発生が予想されず、いまだ給与の源泉徴収事務等の個人番号関係事務を処理する必要性が認められるとはいえないため、原則として登録者の個人番号の提供を求めることはできません。

ただし、登録時にしか本人確認をした上で個人番号の提供を求める機会がなく、実際に雇用する際の給与支給条件等を決める等、近い将来雇用契約が成立する蓋然性が高いと認められる場合には、雇用契約が成立した場合に準じて、個人番号の提供を求めることができると解されます。

５：個人番号の提供の求めの制限、特定個人情報の提供制限

Ｑ５−１「他人」の定義における「同一の世帯」とは、住民票上における同じ世帯と解釈してよいですか。

Ａ５−１「世帯」とは、住居及び生計を共にする者の集まり又は独立して住居を維持する単身者と定義されています（国勢調査令第２条第２項参照）。番号法においては前者を指すものと解されます。

Ｑ５−２従業員等本人に給与所得の源泉徴収票を交付する場合において、その従業員等本人や扶養親族の個人番号を表示した状態で交付してよいですか。また、従業員等本人は、個人番号が記載された給与所得の源泉徴収票を使用する場面はありますか。

Ａ５−２本人交付用の給与所得の源泉徴収票については、所得税法施行規則第93条に基づいて、その本人及び扶養親族の個人番号を記載することになります。したがって、その本人及び扶養親族の個人番号を表示した状態で本人に交付することとなります。

個人番号が記載された給与所得の源泉徴収票を使用する場面としては、所得税の確定申告で使用することが考えられます。また、その際の本人確認に関する資料として、その源泉徴収票が利用される予定です（本人確認に関する手続は、内閣官房「社会保障・税番号制度」ホームページ「よくある質問（ＦＡＱ）」（Ｑ４−３−１、２）参照）。

Ｑ５−３住宅の取得に関する借入れ（住宅ローン）等で個人番号が記載された給与所得の源泉徴収票を使用することはできますか。

Ａ５−３給与所得の源泉徴収票は、住宅の取得に関する借入れ（住宅ローン）等で使用することが想定されますが、そのような場合は、番号法第19条各号において認められている特定個人情報の提供に該当しません。

したがって、そのような場合に、給与所得の源泉徴収票を使用する場合には、個人番号部分を復元できない程度にマスキングする等の工夫が必要となります。

Ｑ５−４所得税法等により本人に交付することが義務付けられている支払通知書（配当等とみなす金額に関する支払通知書等）にも個人番号を記載することになっていますが、本人に交付することは提供制限に違反しますか。

Ａ５−４支払通知書は、所得税法等によって個人番号を記載して本人に交付することが義務付けられており、その法律の規定に従って本人に交付することも個人番号関係事務に該当します。したがって、番号法第19条第２号の規定により、個人番号が記載された支払通知書を本人に交付することとなります。

Ｑ５−５公認会計士又は監査法人が、監査手続を実施するに当たって、監査を受ける事業者から特定個人情報の提供を受けることは、提供制限に違反しますか。

Ａ５−５会社法第436条第２項第１号等に基づき、会計監査人として法定監査を行う場合には、法令等の規定に基づき特定個人情報を取り扱うことが可能と解されます。

一方、金融商品取引法第193条の２に基づく法定監査等及び任意の監査の場合には、個人番号関係事務の一部の委託を受けた者として番号法第19条第５号により、特定個人情報の提供を受けることが可能と解されます。

Ｑ５−６財産形成住宅貯蓄・財産形成年金貯蓄の非課税に関する申込書は、法令に基づき、勤務先等を経由して金融機関に提出されることとなっています。この場合、勤務先等及び金融機関がそれぞれ個人番号関係事務実施者となり、勤務先等は本人から提供を受けた特定個人情報を、金融機関に対して提供すると考えてよいですか。

Ａ５−６個人番号が記載された申込書が、法令に基づき、勤務先等を経由して金融機関に提出される場合、勤務先等及び金融機関がそれぞれ個人番号関係事務実施者となり、勤務先等は本人から提供を受けた特定個人情報を、金融機関に対して提供することとなります。なお、本人確認の措置は、勤務先等が本人から個人番号の提供を受ける際に実施することとなります。

Ｑ５−７個人情報取扱事業者でない個人番号取扱事業者であっても、本人の開示の求めに応じて、本人に特定個人情報を提供することはできますか。

Ａ５−７個人情報取扱事業者でない個人番号取扱事業者が、本人からの求めに応じて任意に特定個人情報の開示を行う場合には、特定個人情報の提供が認められるものと考えられます。

Ｑ５−８支払調書等の写しを本人に送付することはできますか。

Ａ５−８個人情報保護法第25条に基づいて開示の求めを行った本人に開示を行う場合は、支払調書等の写しを本人に送付することができます。その際の開示の求めを受け付ける方法として、書面による方法のほか、口頭による方法等を定めることも考えられます。なお、当該支払調書等の写しに本人以外の個人番号が含まれている場合には、本人以外の個人番号を記載しない措置や復元できない程度にマスキングする等の工夫が必要となります。

Ｑ５−９番号法第19条各号のいずれにも該当しない特定個人情報の提供の求めがあった場合、どのように対応することが適切ですか。

Ａ５−９特定個人情報の提供の求めが第19条各号に該当しない場合には、その特定個人情報を提供することはできません。なお、その特定個人情報のうち個人番号部分を復元できない程度にマスキング又は削除すれば個人情報保護法における個人情報となりますので、個人情報保護法第23条に従うこととなります。

６：収集・保管制限

Ｑ６−１個人番号が記載された書類等を受け取る担当者が、その特定個人情報を見ることができないようにする措置は必要ですか。

Ａ６−１個人番号が記載された書類等を受け取る担当者に、個人番号の確認作業を行わせるかは事業者の判断によりますが、個人番号の確認作業をその担当者に行わせる場合は、特定個人情報を見ることができないようにする措置は必要ありません。個人番号の確認作業をその担当者に行わせない場合、特定個人情報を見ることができないようにすることは、安全管理上有効な措置と考えられます。

Ｑ６−２番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類（個人番号カード、通知カード、身元確認書類等）をコピーして、それを事業所内に保管することはできますか。

Ａ６−２番号法上の本人確認の措置を実施するに当たり、個人番号カード等の本人確認書類のコピーを保管する法令上の義務はありませんが、本人確認の記録を残すためにコピーを保管することはできます。

なお、コピーを保管する場合には、安全管理措置を適切に講ずる必要があります。

Ｑ６−３収集・提供した個人番号に誤りがあった場合、個人番号関係事務実施者である事業者に責任は及びますか。

Ａ６−３個人番号に誤りがあった場合の罰則規定はありませんが、番号法第16条により、本人から個人番号の提供を受けるときは、本人確認（番号確認と身元確認）が義務付けられており、また、個人情報保護法第19条により、正確性の確保の努力義務が課されています。

Ｑ６−４所管法令によって個人番号が記載された書類を一定期間保存することが義務付けられている場合には、その期間、事業者が支払調書を作成するシステム内で個人番号を保管することができますか。

Ａ６−４所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、支払調書の再作成等の個人番号関係事務を行うために必要があると認められるため、当該書類だけでなく、支払調書を作成するシステム内においても保管することができると解されます。

Ｑ６−５個人番号の廃棄が必要となってから、廃棄作業を行うまでの期間は、どの程度許容されますか。

Ａ６−５廃棄が必要となってから廃棄作業を行うまでの期間については、毎年度末に廃棄を行う等、個人番号及び特定個人情報の保有に係る安全性及び事務の効率性等を勘案し、事業者において判断してください。

Ｑ６−６個人番号の利用が想定される複数の目的について、あらかじめ特定して、本人への通知等を行った上で個人番号の提供を受けている場合、個人番号の廃棄が必要となるのは、当該複数の目的の全てについて個人番号を保管する必要がなくなったときですか。

Ａ６−６複数の利用目的を特定して個人番号の提供を受けている場合、事務ごとに別個のファイルで個人番号を保管しているのであれば、それぞれの利用目的で個人番号を利用する必要がなくなった時点で、その利用目的に係る個人番号を個別に廃棄又は削除することとなります。

一方、個人番号をまとめて一つのファイルに保管しているのであれば、全ての利用目的で個人番号関係事務に必要がなくなった時点で廃棄又は削除することとなります。

Ｑ６−７支給が数年に渡り繰延される賞与がある場合、退職後も繰延支給が行われなくなることが確認できるまで個人番号を保管することはできますか。

Ａ６−７退職後に繰延支給される賞与が給与所得に該当し、支払調書の提出が必要な場合には、繰延支給が行われなくなることが確認できるまで個人番号を保管することができると解されます。

Ｑ６−８個人番号を削除した場合に、削除した記録を残す必要がありますか。

Ａ６−８事業者ガイドラインの別添「特定個人情報に関する安全管理措置」において、

個人番号を削除した場合は、削除した記録を保存することとしています。なお、その削除の記録の内容としては、特定個人情報ファイルの種類・名称、責任者・取扱部署、削除・廃棄状況等を記録することが考えられ、個人番号自体は含めないものとしています。

Ｑ６−９個人番号の保存期間の時限管理を回避するために、契約関係が終了した時点で個人番号を削除することはできますか。

Ａ６−９所管法令により一定期間保存が義務付けられているものについては、契約関係が終了した時点で削除することはできないと考えられます。

Ｑ６−10個人番号を削除せず、取引再開時まで個人番号にアクセスできないようアクセス制御を行うという取扱いは許容されますか。

Ａ６−10アクセス制御を行った場合でも、個人番号関係事務で個人番号を利用する必要がなくなり、個人番号を保管する必要性がなくなった場合には、個人番号をできるだけ速やかに削除しなければなりません。不確定な取引再開時に備えて、個人番号を保管し続けることはできません。

Ｑ６−11現在業務ソフトウェアを運用している筐体と同一筐体内、かつ同一データベース内で個人番号を管理することはできますか。

Ａ６−11個人番号を同一筐体内、かつ、同一データベース内で管理することはできますが、個人番号関係事務と関係のない事務で利用することのないように、アクセス制御等を行う必要があります。

７：個人情報保護法の主な規定

Ｑ７−１個人番号は変更されることもありますが、保管している個人番号について、定期的に最新性を確認する必要がありますか。

Ａ７−１個人情報取扱事業者は、個人情報保護法第19条に基づいて、データ内容の正確性の確保に努めることが求められていますし、個人情報取扱事業者でない個人番号取扱事業者についても正確性の確保に努めることが望ましいと考えられます。したがって、個人番号が変更されたときは本人から事業者に申告するよう周知しておくとともに、一定の期間ごとに個人番号の変更がないか確認することが考えられます。

８：個人番号利用事務実施者である健康保険組合等における措置等

Ｑ８−１行政機関等及び健康保険組合等から個人番号利用事務の全部又は一部の委託を受けた事業者が、情報提供ネットワークシステムに接続された端末を操作して情報照会等を行うことはできますか。

Ａ８−１行政機関等及び健康保険組合等から個人番号利用事務の全部又は一部の委託を

受けた事業者が、情報提供ネットワークシステムに接続された端末を操作して情報照会等を行うことはできません。

９：その他

Ｑ９−１個人番号には、死者の個人番号も含まれますか。

Ａ９−１個人番号には、生存する個人のものだけでなく、死者のものも含まれます。番号法の規定のうち、個人番号を対象としている規定（利用制限、安全管理措置等）については、死者の個人番号についても適用されます。

【（別添）安全管理措置】

10：安全管理措置の検討手順

Ｑ10−１「事務取扱担当者の明確化」は、役割や所属等による明確化のように個人名による明確化でなくてもよいですか。

Ａ10−１部署名（○○課、○○係等）、事務名（○○事務担当者）等により、担当者が明確になれば十分であると考えられます。ただし、部署名等により事務取扱担当者の範囲が明確化できない場合には、事務取扱担当者を指名する等を行う必要があると考えられます。

11：講ずべき安全管理措置の内容

Ｑ11−１２に示す安全管理措置を講じれば十分ですか。

Ａ11−１保有する特定個人情報等の性質、情報漏えい・滅失・毀損等による影響等の検討に基づき、事案発生の抑止、未然防止及び検知並びに事案発生時の拡大防止等の観点から、適切に判断してください。

Ｑ11−２「中小規模事業者」の定義における従業員には誰を含みますか。また、いつの従業員の数ですか。

Ａ11−２従業員とは、中小企業基本法における従業員をいい、労働基準法第20条の規定により解雇の予告を必要とする労働者と解されます。なお、同法第21条の規定により第20条の適用が除外されている者は従業員から除かれます。具体的には、日々雇い入れられる者、２か月以内の期間を定めて使用される者等が除かれます。

中小規模事業者の判定における従業員の数は、事業年度末（事業年度が無い場合には年末等）の従業員の数で判定し、毎年同時期に見直しを行う必要があります。

Ｑ11−３中小規模事業者でない事業者が、中小規模事業者に業務を委託する場合、当該中小規模事業者には【中小規模事業者における対応方法】を遵守させることになるのですか。

Ａ11−３委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者は、中小規模事業者に該当しません。委託先における安全管理措置については、委託する事務の内容等に応じて、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行う必要があります。

12：基本方針の策定

Ｑ12−１既に個人情報の取扱いに係る基本方針を策定している場合、新たに特定個人情報等に係る基本方針を策定する必要がありますか。それとも、既存の個人情報の取扱いに係る基本方針の一部改正で十分ですか。

Ａ12−１特定個人情報等の取扱いに係る基本方針は、既存の個人情報の取扱いに関する基本方針（個人情報保護方針等）を改正する方法又は別に策定する方法いずれでも差し支えありません。

Ｑ12−２基本方針を公表する必要がありますか。

Ａ12−２基本方針の公表を義務付けるものではありません。

13：取扱規程等の策定

Ｑ13−１新たに特定個人情報の保護に係る取扱規程等を作成するのではなく、既存の個人情報の保護に係る取扱規定等を見直し、特定個人情報の取扱いを追記する形でもよいですか。

Ａ13−１既存の個人情報の保護に係る取扱規程等がある場合には、特定個人情報の取扱いを追記することも可能と考えられます。

14：組織的安全管理措置

Ｑ14−１「ｂ 取扱規程等に基づく運用」におけるシステムログ又は利用実績の記録の項目及び保存期限は、どのように考えることが適切ですか。

Ａ14−１記録を保存することは、取扱規程等に基づく確実な事務の実施、情報漏えい等の事案発生の抑止、点検・監査及び情報漏えい等の事案に対処するための有効な手段です。記録として保存する内容及び保存期間は、システムで取り扱う情報の種類、量、システムを取り扱う職員の数、点検・監査の頻度等を総合的に勘案し、適切に定めることが重要であると考えます。

Ｑ14−２「ｂ 取扱規程等に基づく運用」及び「ｃ 取扱状況を確認する手段の整備」の【中小規模事業者における対応方法】における「取扱状況の分かる記録を保存する」とは、どのように考えることが適切ですか。

Ａ14−２「取扱状況の分かる記録を保存する」とは、例えば、以下の方法が考えられます。

・ 業務日誌等において、例えば、特定個人情報等の入手・廃棄、源泉徴収票の作成日、本人への交付日、税務署への提出日等の、特定個人情報等の取扱い状況を記録する。

・ 取扱規程、事務リスト等に基づくチェックリストを利用して事務を行い、その記入済みのチェックリストを保存する。

Ｑ14−３「ｅ 取扱状況の把握及び安全管理措置の見直し」における≪手法の例示≫の２つ目にある、「外部の主体による他の監査活動と合わせて、監査を実施することも考えられる。」とは、具体的にどのようなことですか。

Ａ14−３例えば、個人情報保護又は情報セキュリティに関する外部監査等を行う際に、特定個人情報等の保護に関する監査を合わせて行うこと等が考えられます。

15：物理的安全管理措置

Ｑ15−１「ａ 特定個人情報等を取り扱う区域の管理」における「座席配置の工夫」とは、具体的にどのような手段が考えられますか。

Ａ15−１例えば、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等が考えられます。

Ｑ15−２「ｄ 個人番号の削除、機器及び電子媒体等の廃棄」における「容易に復元できない手段」とは、具体的にどのような手段が考えられますか。

Ａ15−２データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない場合には、容易に復元できない方法と考えられます。

Ｑ15−３「ｄ 個人番号の削除、機器及び電子媒体等の廃棄」における書類等の廃棄に係る復元不可能な手段として焼却又は溶解が挙げられていますが、他の手段は認められますか。

Ａ15−３例えば、復元不可能な程度に細断可能なシュレッダーの利用又は個人番号部分を復元できない程度にマスキングすること等が考えられます。

【（別冊）金融業務】

16：個人番号の利用制限

Ｑ16−１顧客の個人番号を適法に保管している場合であっても、新しい契約を締結するごとに改めて個人番号の提供を求める必要がありますか。

Ａ16−１適法に保管している個人番号は、当初特定した利用目的の範囲内であれば、改めて個人番号の提供を受けることなく、新しい契約に基づいて発生する個人番号関係事務に利用することができます。

Ｑ16−２顧客から契約ごとに個人番号の提供を受けた場合、個人番号が一致することによって結果的に顧客が同一人物であることを認識することとなりますが、それ自体は利用制限に違反しますか。また、個人番号が一致した顧客について、契約ごとに管理されている顧客情報（商品購入履歴、資産情報等）を、個人番号を利用して連携させることは利用制限に違反しますか。

Ａ16−２個人番号関係事務を実施するために必要な範囲で名寄せを行うことはでき、個人番号が一致することによって結果的に同一人物であることを認識すること自体は利用制限に違反しませんが、個人番号関係事務以外の事務で事業者独自に顧客情報（商品購入履歴、資産情報等）を検索・管理するために個人番号を利用することはできません。

Ｑ16−３金融機関が顧客から個人番号の提供を受ける際に、「激甚災害時等に金銭の支払を行う事務」を利用目的として特定して、本人への通知等を行う必要がありますか。

Ａ16−３激甚災害時等に金銭の支払を行う場合には、法律の規定に基づき当初特定した利用目的を超えた個人番号の利用が認められているものであるため、当該事務を利用目的として特定して、本人への通知等を行う必要はありません。

なお、激甚災害時等に金銭の支払を行うために個人番号を利用することは、番号法の認めた例外であり、個人番号関係事務又は個人番号利用事務のどちらにも該当しないため、当該事務を利用目的として特定し、個人番号の提供を受けることはできません。

Ｑ16−４税務調査において、個人番号を指定した調査要求があった場合、その個人番号に基づいて資料の検索を行うことはできますか。

Ａ16−４税務当局が、番号法第19条第12号並びに番号法施行令第26条及び別表第８号の規定に従って、租税法令に基づき、納税者の個人番号を指定して資料の提出要求を行った場合、提出要求に対応する範囲で、個人番号に基づいて資料の検索を行うこと自体は法令に基づく適法な行為と解されます。

17：個人番号の提供の要求

Ｑ17−１契約の締結時点で支払金額が定まっておらず、支払調書の提出要否が明らかでない場合、その契約の締結時点で個人番号の提供を求めることができますか。

Ａ17−１顧客との法律関係等に基づいて、個人番号関係事務の発生が予想される場合として、契約の締結時点で個人番号の提供を受けることができると解されます。その後、個人番号関係事務が発生しないことが明らかになった場合には、できるだけ速やかに個人番号を廃棄又は削除する必要があります。

Ｑ17−２株式や投資信託の取引を行うために、特定口座ではなく、いわゆる「一般口座」（証券口座・投資信託口座）を開設する場合、その口座開設時点で個人番号の提供を求めることができますか。

Ａ17−２株式や投資信託の取引を行うために証券口座や投資信託口座を開設するのであり、その口座開設時点で将来株式や投資信託の取引に基づいて個人番号関係事務が発生することが想定されますので、いわゆる「一般口座」についても、口座開設時点に個人番号の提供を求めることができると解されます。

Ｑ17−３保険代理店では、複数の損害保険会社・生命保険会社の商品を同一代理店で販売していますが、複数の保険会社を連名にして同一の機会に個人番号の提供を受けることはできますか。

Ａ17−３複数の保険会社が同一の保険代理店を通じて同一の機会に個人番号の提供を受けることはあり得ますが、保険代理店は、あくまでも各保険会社の代理店として契約ごとに別個に個人番号の提供を受けることとなります。したがって、個人番号の利用・保管は保険会社ごとに別個に行うこととなり、共同で利用することはできません。

Ｑ17−４生損保にまたがる保険商品の場合、一方の保険会社が代表して個人番号の提供を受けることはできますか。

Ａ17−４一方の保険会社が他方の会社から委託を受ければ、代理して個人番号の提供を受けることができます。

Ｑ17−５死亡保険金の支払に伴って提出する支払調書に記載する保険契約者の個人番号について、保険契約者が死亡しているケースが想定されますが、その場合どのような対応が適切ですか。

Ａ17−５保険契約者が死亡している場合であっても、支払調書には保険契約者の個人番号を記載することとなっています。

死者の個人番号については番号法上の提供制限は及びませんので、保険契約者の個人番号を知っている者に適宜提供を求めることとなります。

Ｑ17−６金融機関の顧客が個人番号の提供を拒んだ場合、どのような対応が適切ですか。

Ａ17−６社会保障や税の決められた書類にマイナンバーを記載することは、法令で定められた義務であることを周知し、提供を求めてください。それでも提供を受けられないときは、書類の提出先の機関の指示に従ってください（内閣官房「社会保障・税番号制度」ホームページ「よくある質問（ＦＡＱ）」（Ｑ４−２−５）参照）。

Ｑ17−７内国税の適正な課税の確保を図るための国外送金等に係る調書の提出等に関する法律（以下「国外送金等調書法」という。）では、送金金額が同法の定める一定の金額以下の場合に支払調書の提出は不要となっていますが、個人番号が記載された告知書の提出については、送金金額による提出省略基準はありません。支払調書の提出が不要となる場合、個人番号が記載された告知書の提供を受けることは提供制限に違反しますか。

Ａ17−７国外送金等調書法の規定に従って個人番号が記載された告知書の提供を受けることも個人番号関係事務に該当します。したがって、支払調書の提出が不要となる場合であっても、番号法第19条第３号の規定により、国外送金等調書法の規定に従って個人番号が記載された告知書の提供を受けることができます。

Ｑ17−８財産形成住宅貯蓄・財産形成年金貯蓄の非課税に関する申込書は、法令に基づき、勤務先等を経由して金融機関に提出されることとなっています。この場合、勤務先等及び金融機関がそれぞれ個人番号関係事務実施者となり、金融機関は勤務先等に対し、個人番号の提供を求めると考えてよいですか。

Ａ17−８個人番号が記載された申込書が、法令に基づき、勤務先等を経由して金融機関に提出される場合、勤務先等及び金融機関がそれぞれ個人番号関係事務実施者となり、金融機関は勤務先等に対し個人番号の提供を求めることとなります。なお、本人確認の措置は、勤務先等が本人から個人番号の提供を受ける際に実施することとなります。

Ｑ17−９保険会社から個人番号関係事務の委託を受けた保険代理店（保険窓販を行う銀行等を含む。）は、保険会社が既に顧客から個人番号の提供を受け、適法に保管している場合であっても、保険契約の都度個人番号の提供を求める必要がありますか。

Ａ17−９保険会社が、前の保険契約を締結した際に支払調書作成事務のために提供を受けた個人番号は、後の保険契約に基づく支払調書作成事務のために利用することができると解されますので、保険契約の都度個人番号の提供を求める必要はありません。なお、保険代理店（保険窓販を行う銀行等を含む。）は、個人番号関係事務の委託を受けた保険会社が顧客から既に個人番号の提供を受けているか確認できる手法・システムを構築することが考えられます。

18：個人番号の提供の求めの制限、特定個人情報の提供制限

Ｑ18−１所得税法等により本人に交付することが義務付けられている支払通知書にも個人番号を記載することになっていますが、本人に交付することは提供制限に違反しますか。

Ａ18−１支払通知書は、所得税法等によって個人番号を記載して本人に交付することが義務付けられており、その法律の規定に従って本人に交付することも個人番号関係事務に該当します。したがって、番号法第19条第２号の規定により、個人番号が記載された支払通知書を本人に交付することとなります。

Ｑ18−２犯罪による収益の移転防止に関する法律（以下「犯罪収益移転防止法」という。）に基づく取引時確認を実施する際に、本人確認書類として個人番号カードの提示を受けた場合、本人確認書類を特定するに足りる事項として、個人番号を記録することはできますか。

Ａ18−２個人番号カードは、犯罪収益移転防止法に基づく本人確認書類として用いることができますが、犯罪収益移転防止法上の取引時確認記録に、本人確認書類を特定するに足りる事項として、個人番号を記録することは、番号法第19条各号、番号法施行令第34条、別表のいずれにも該当しませんので、法令上認められません。

Ｑ18−３株式等振替制度を活用して特定個人情報の提供を受けることができる株式発行者から株主名簿に関する事務の委託を受けた株主名簿管理人は、株式発行者と同様に、番号法第19条第10号に従って特定個人情報の提供を受けることができますか。

Ａ18−３番号法第19条第10号及び番号法施行令第24条において、「社債等の発行者に準ずる者」として株主名簿管理人が定められていますので、株式発行者と同様に番号法第19条第10号に従って、特定個人情報の提供を受けることができます。

19：安全管理措置

Ｑ19−１国外送金等調書の作成・提出に係る事務処理については、外国為替業務に係るシステム処理の一環として行われていますが、その中で個人番号関係事務を限定し、個人番号を取り扱う従業者を限定する必要がありますか。

Ａ19−１個人番号関係事務に関連する一連の業務の中で、個人番号関係事務と他の事務を区別し、個人番号関係事務実施者を限定する必要はありません。事業者が適切に「事務の範囲の明確化」、「事務取扱担当者の明確化」を行った上で、その明確化した事務・担当者の範囲を超えて個人番号の利用等ができないようアクセス制御等を行い、必要かつ適切な監督・教育を行えば十分であるという趣旨です。

出典：特定個人情報保護委員会
http://www.ppc.go.jp/files/pdf/261211qanda.pdf