特定個人情報保護評価に関する規則 発令 :平成26年4月18日号外特定個人情報保護委員会規則第1号 最終改正:令和6年3月22日号外個人情報保護委員会規則第1号 改正内容:令和6年3月22日号外個人情報保護委員会規則第1号[令和6年4月1日] ○特定個人情報保護評価に関する規則 〔平成二十六年四月十八日号外特定個人情報保護委員会規則第一号〕 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二十七条〔現行=二八条=平成 二七年九月法律六五号により改正〕第一項及び第二項の規定に基づき、並びに同法を実施するため、特定個人情報保護評価に関する規則を次の ように定める。 特定個人情報保護評価に関する規則 (特定個人情報保護評価の実施) 第一条 行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「法」という。)第二十七条第一項に規定する特定個 人情報保護評価(以下単に「特定個人情報保護評価」という。)は、法第二十八条の規定、行政手続における特定の個人を識別するための番 号の利用等に関する法律施行令(平成二十六年政令第百五十五号)第三十一条の規定及びこの規則の規定並びに法第二十七条第一項の規定に 基づき個人情報保護委員会が定める指針(以下単に「指針」という。)に基づいて実施するものとする。 (定義) 第二条 この規則において使用する用語は、法において使用する用語の例によるほか、次の各号に掲げる用語の意義は、それぞれ当該各号に定 めるところによる。 一 基礎項目評価書 法第二条第十四項に規定する行政機関の長等(以下単に「行政機関の長等」という。)が、指針で定めるところにより、 法第二十八条第一項第一号から第四号までに掲げる事項及び特定個人情報ファイルに記録された特定個人情報を保護するための主な措置の 実施状況を評価した結果を記載し、又は記録した書面又は電磁的記録をいう。 二 重点項目評価書 行政機関の長等が、指針で定めるところにより、法第二十八条第一項第一号から第六号までに掲げる事項及び特定個人 情報ファイルの取扱いにより個人の権利利益を害する可能性のある要因の概要を評価した結果を記載し、又は記録した書面又は電磁的記録 をいう。 三 地方公共団体等 行政機関の長等のうち、地方公共団体の機関及び地方独立行政法人をいう。 (特定個人情報保護評価の計画等を記載した書面等の提出) 第三条 行政機関の長等は、法及びこの規則の規定に基づき、基礎項目評価書、重点項目評価書又は法第二十八条第一項に規定する評価書を個 人情報保護委員会に提出するときは、当該行政機関の長等が実施する特定個人情報保護評価の計画その他指針で定める事項を記載し、又は記 録した書面又は電磁的記録を併せて提出するものとする。 (法第二十八条第一項の特定個人情報ファイル) 第四条 法第二十八条第一項の個人情報保護委員会規則で定める特定個人情報ファイルは、次に掲げるものとする。 一 個人情報の保護に関する法律(平成十五年法律第五十七号。以下本号及び次号において「個人情報保護法」という。)第七十四条第二項 第三号若しくは個人情報の保護に関する法律施行令(平成十五年政令第五百七号)第二十条第三項に規定する個人情報ファイルであって行 政機関等(法第二条第四項に規定する行政機関等をいう。以下本号及び次号において同じ。)が保有するもの又は行政機関等以外の者の役 員若しくは職員若しくはこれらの職にあった者若しくはこれらの者の被扶養者若しくは遺族に係る個人情報保護法第十六条第一項に規定す る個人情報データベース等であって、専らその人事、給与若しくは福利厚生に関する事項若しくはこれらに準ずる事項を記録するもののう ち、当該行政機関等以外の者が保有するものに該当する特定個人情報ファイル 二 個人情報保護法第六十条第二項第二号に規定する個人情報ファイルであって行政機関等が保有するもの又は個人情報保護法第十六条第一 項第二号に規定する個人情報データベース等であって行政機関等以外の者が保有するものに該当する特定個人情報ファイル 三 行政機関の長等が特定個人情報ファイル(第一号、前号又は次号から第七号までのいずれかに該当するものを除く。以下本号において同 じ。)を取り扱う事務において保有する全ての特定個人情報ファイルに記録される本人の数の総数が千人未満である場合における、当該特 定個人情報ファイル 四 健康保険法(大正十一年法律第七十号)第十一条第一項の規定により設立された健康保険組合の保有する被保険者若しくは被保険者であ った者又はその被扶養者の医療保険に関する事項を記録する特定個人情報ファイル 五 国家公務員共済組合、国家公務員共済組合連合会、地方公務員共済組合、全国市町村職員共済組合連合会、地方公務員共済組合連合会、 厚生年金保険法等の一部を改正する法律(平成八年法律第八十二号)附則第三十二条第二項に規定する存続組合、同法附則第四十八条第一 項の規定により指定された指定基金、地方公務員等共済組合法の一部を改正する法律(平成二十三年法律第五十六号)附則第二十三条第一 項第三号に規定する存続共済会又は地方公務員災害補償基金の保有する組合員若しくは組合員であった者又はその被扶養者の共済に関する 事項を記録する特定個人情報ファイル 六 法第十九条第八号に規定する情報照会者(行政機関の長、地方公共団体の機関、独立行政法人等及び地方独立行政法人を除く。)の保有 する特定個人情報ファイルであって、法別表第二の第二欄に掲げる事務において保有するもの以外のもの及び法第十九条第八号に規定する 情報提供者(行政機関の長、地方公共団体の機関、独立行政法人等及び地方独立行政法人を除く。)の保有する特定個人情報ファイルであ って、当該情報提供者が個人番号を用いる事務において保有するもの(法別表第二の第四欄に掲げる特定個人情報を記録するものに限る。) 以外のもの並びに法第十九条第九号に規定する条例事務関係情報提供者の保有する特定個人情報ファイルであって、当該条例事務関係情報 提供者が個人番号を用いる事務において保有するもの(法別表第二の第四欄に掲げる特定個人情報であって当該事務の内容に応じて個人情 報保護委員会規則で定めるもの(条例事務関係情報提供者の保有する特定個人情報ファイルに記録されたものに限る。)をいう。)以外の もの 七 会計検査院が検査上の必要により保有する特定個人情報ファイル 八 行政機関の長等が、次条第二項の規定による基礎項目評価書の公表を行った場合であって、当該基礎項目評価書に係る特定個人情報ファ イルを取り扱う事務が次のいずれかに該当するときにおける、当該基礎項目評価書に係る特定個人情報ファイル イ 行政機関の長等が特定個人情報ファイル(第一号から前号までのいずれかに該当するものを除く。以下本号、次条及び第六条において 同じ。)を取り扱う事務において保有する全ての特定個人情報ファイルに記録される本人の数の総数が千人以上一万人未満であるとき。 ロ 行政機関の長等が特定個人情報ファイルを取り扱う事務において保有する全ての特定個人情報ファイルに記録される本人の数の総数が 一万人以上十万人未満である場合であって、当該事務に従事する者の数が五百人未満であるとき(当該行政機関の長等において過去一年 以内に特定個人情報の漏えいその他の事故(重大なものとして指針で定めるものに限る。以下「特定個人情報に関する重大事故」という。) が発生したとき又は当該行政機関の長等が過去一年以内に当該行政機関の長等における特定個人情報に関する重大事故の発生を知ったと きを除く。)。 九 行政機関の長等が、第六条第三項の規定による重点項目評価書の公表及び当該重点項目評価書に係る特定個人情報ファイルを取り扱う事 務について次条第二項の規定による基礎項目評価書の公表を行った場合における、当該重点項目評価書及び基礎項目評価書に係る特定個人 情報ファイル 十 地方公共団体等が、第七条第六項の規定による評価書の公表及び当該評価書に係る特定個人情報ファイルを取り扱う事務について次条第 二項の規定による基礎項目評価書の公表を行った場合における、当該評価書及び基礎項目評価書に係る特定個人情報ファイル (基礎項目評価) 第五条 行政機関の長等は、特定個人情報ファイルを保有しようとするときは、当該特定個人情報ファイルを保有する前に、基礎項目評価書を 個人情報保護委員会に提出するものとする。当該特定個人情報ファイルについて、次条第一項、第七条第一項及び法第二十八条第一項の規定 により重要な変更を加えようとするときも、同様とする。 2 行政機関の長等は、前項の規定により基礎項目評価書を提出したときは、速やかに当該基礎項目評価書を公表するものとする。この場合に おいては、第十条第一項の規定を準用する。 (重点項目評価) 第六条 行政機関の長等は、特定個人情報ファイルを保有しようとする場合であって、当該特定個人情報ファイルを取り扱う事務が次の各号の いずれかに該当するときは、当該特定個人情報ファイルを保有する前に、重点項目評価書を個人情報保護委員会に提出するものとする。当該 特定個人情報ファイルについて、第十一条に規定する重要な変更を加えようとするときも、同様とする。 一 行政機関の長等が特定個人情報ファイルを取り扱う事務において保有する全ての特定個人情報ファイルに記録される本人の数の総数が一 万人以上十万人未満である場合であって、当該事務に従事する者の数が五百人以上であるとき又は当該行政機関の長等において過去一年以 内に特定個人情報に関する重大事故が発生したとき若しくは当該行政機関の長等が過去一年以内に当該行政機関の長等における特定個人情 報に関する重大事故の発生を知ったとき。 二 行政機関の長等が特定個人情報ファイルを取り扱う事務において保有する全ての特定個人情報ファイルに記録される本人の数の総数が十 万人以上三十万人未満である場合であって、当該事務に従事する者の数が五百人未満であるとき(当該行政機関の長等において過去一年以 内に特定個人情報に関する重大事故が発生したとき又は当該行政機関の長等が過去一年以内に当該行政機関の長等における特定個人情報に 関する重大事故の発生を知ったときを除く。)。 2 第十四条第三項の規定により準用する同条第二項の規定による公表をした基礎項目評価書に係る特定個人情報ファイルが、前項第一号又は 第二号に該当するとき(当該特定個人情報ファイルが、第十四条第三項の規定により準用する同条第一項の規定による修正前においては、第 四条第八号イ又はロに該当していた場合に限る。)は、行政機関の長等は、重点項目評価書を個人情報保護委員会に提出するものとする。 3 行政機関の長等は、前二項の規定により重点項目評価書を提出したときは、速やかに当該重点項目評価書を公表するものとする。この場合 においては、第十条第一項及び第二項の規定を準用する。 (地方公共団体等による評価) 第七条 地方公共団体等は、特定個人情報ファイル(第四条第一号から第九号までのいずれかに該当するものを除く。)を保有しようとすると きは、当該特定個人情報ファイルを保有する前に、法第二十八条第一項に規定する評価書を公示し、広く住民その他の者の意見を求めるもの とする。当該特定個人情報ファイルについて、第十一条に規定する重要な変更を加えようとするときも、同様とする。 2 第十四条第三項の規定により準用する同条第二項の規定により地方公共団体等が公表した基礎項目評価書に係る特定個人情報ファイルが、 第四条第八号イ若しくはロ又は前条第一項第一号若しくは第二号のいずれにも該当しないとき(当該特定個人情報ファイルが、第十四条第三 項の規定により準用する同条第一項の規定による修正前においては、第四条第八号イ若しくはロ又は前条第一項第一号若しくは第二号に該当 していた場合に限る。)は、地方公共団体等は、法第二十八条第一項に規定する評価書を公示し、広く住民その他の者の意見を求めるものと する。 3 前二項の規定による評価書の公示については、第十条第一項及び第二項の規定を準用する。 4 第一項前段及び第二項の場合において、地方公共団体等は、これらの規定により得られた意見を十分考慮した上で当該評価書に必要な見直 しを行った後に、当該評価書に記載された特定個人情報ファイルの取扱いについて、個人情報の保護に関する学識経験のある者を含む者で構 成される合議制の機関、当該地方公共団体等の職員以外の者で個人情報の保護に関する学識経験のある者その他指針に照らして適当と認めら れる者の意見を聴くものとする。当該特定個人情報ファイルについて、第十一条に規定する重要な変更を加えようとするときも、同様とする。 5 地方公共団体等は、前項の規定により意見を聴いた後に、当該評価書を個人情報保護委員会に提出するものとする。 6 地方公共団体等は、前項の規定により法第二十八条第一項に規定する評価書を提出したときは、速やかに当該評価書を公表するものとする。 この場合においては、第十条第一項及び第二項の規定を準用する。 (行政機関の長等による評価) 第八条 第十四条第三項の規定により準用する同条第二項の規定により行政機関の長等(地方公共団体等を除く。以下この条において同じ。) が公表した基礎項目評価書に係る特定個人情報ファイル(当該特定個人情報ファイルが、第十四条第三項の規定により準用する同条第一項の 規定による修正前においては、第四条第八号イ若しくはロ又は第六条第一項第一号若しくは第二号に該当していた場合に限る。)が、第四条 第八号イ若しくはロ又は第六条第一項第一号若しくは第二号のいずれにも該当しないときは、行政機関の長等は、法第二十八条第一項前段、 第二項前段及び第三項に規定する手続を経て、同条第四項に規定する公表を行うものとする。この場合においては、第十条第一項及び第二項 の規定を準用する。 (公示の時期) 第九条 行政機関の長等は、法第二十八条第一項の規定による評価書の公示を行うに当たっては、指針で定めるところにより、当該評価書に係 る特定個人情報ファイルが電子情報処理組織により取り扱われるものであるときは、当該特定個人情報ファイルを取り扱うために使用する電 子情報処理組織を構築する前に、当該評価書に係る特定個人情報ファイルが電子情報処理組織により取り扱われるものでないときは、当該特 定個人情報ファイルを取り扱う事務を実施する体制その他当該事務の実施に当たり必要な事項の検討と併せて行うものとする。第五条第一項 の規定による基礎項目評価書の提出、第六条第一項の規定による重点項目評価書の提出及び第七条第一項の規定による評価書の公示を行う場 合も、同様とする。 2 前項の規定にかかわらず、災害その他やむを得ない事由により緊急に特定個人情報ファイルを保有する又は特定個人情報ファイルに重要な 変更を加える必要がある場合は、行政機関の長等は、当該特定個人情報ファイルを保有した後又は当該特定個人情報ファイルに重要な変更を 加えた後速やかに法第二十八条第一項の規定による評価書の公示を行うものとする。第五条第一項の規定による基礎項目評価書の提出、第六 条第一項の規定による重点項目評価書の提出及び第七条第一項の規定による評価書の公示を行う場合も、同様とする。 (公示の方法) 第九条の二 法第二十八条第一項(第八条の規定による評価書の公示を含む。)並びに第七条第一項及び第二項に規定する評価書の公示は、イ ンターネットの利用その他の適切な方法によるものとする。 (公示の特例) 第十条 行政機関の長等は、法第二十八条第一項に規定する公示を行うに当たり、当該公示に係る評価書が犯罪の捜査、租税に関する法律の規 定に基づく犯則事件の調査又は公訴の提起若しくは維持のために保有する特定個人情報ファイルを取り扱う事務に係るものであるときは、そ の全部又は一部を公示しないことができる。 2 前項の場合を除くほか、行政機関の長等は、法第二十八条第一項に規定する評価書に記載した事項を公示することにより、特定個人情報の 適切な管理に著しい支障を及ぼすおそれがあると認めるときは、評価書に記載する事項の一部を公示しないことができる。 (重要な変更) 第十一条 法第二十八条第一項及び第二項の個人情報保護委員会規則で定める重要な変更は、本人として特定個人情報ファイルに記録される個 人の範囲の変更その他特定個人情報の漏えいその他の事態の発生の危険性及び影響が大きい変更として指針で定めるものとする。 (記載事項) 第十二条 法第二十八条第一項第七号の個人情報保護委員会規則で定める事項は、特定個人情報ファイルの取扱いにより個人の権利利益を害す る可能性のある要因とする。 (評価書の公表) 第十三条 法第二十八条第四項の規定による評価書の公表については、第十条第一項及び第二項の規定を準用する。 (評価書の修正) 第十四条 行政機関の長等は、少なくとも一年ごとに、法第二十八条第四項の規定による公表をした評価書(第八条の規定による公表をした場 合は、同条の規定による公表をした評価書)に記載した事項の見直しを行うよう努めるものとし、行政機関の長等が重大事故を発生させた場 合その他当該評価書に記載した事項に変更があった場合(法第二十八条第一項に規定する重要な変更に該当する場合を除く。)は、速やかに 当該評価書を修正し、個人情報保護委員会に提出するものとする。 2 行政機関の長等は、前項の規定による提出をしたときは、速やかに当該評価書を公表するものとする。この場合においては、第十条第一項 及び第二項の規定を準用する。 3 前二項の規定は、第五条第二項の規定による公表をした基礎項目評価書、第六条第三項の規定による公表をした重点項目評価書及び第七条 第六項の規定による公表をした評価書に準用する。 (一定期間経過後の特定個人情報保護評価) 第十五条 行政機関の長等は、指針で定めるところにより、第五条第二項の規定による公表をした日、第六条第三項の規定による公表をした日、 第七条第六項の規定による公表をした日又は法第二十八条第四項の規定による公表をした日(第八条の規定による公表をした場合は、同条の 規定による公表をした日)から一定期間を経過するごとに、それぞれの規定による公表をした基礎項目評価書、重点項目評価書又は法第二十 八条第一項に規定する評価書に係る特定個人情報ファイルを取り扱う事務について、再び特定個人情報保護評価を実施するよう努めるものと する。 (事務の実施をやめた旨の通知) 第十六条 行政機関の長等は、第五条第二項の規定による公表をした基礎項目評価書、第六条第三項の規定による公表をした重点項目評価書、 第七条第六項の規定による公表をした評価書及び法第二十八条第四項の規定による公表をした評価書(第八条の規定による公表をした場合は、 同条の規定による公表をした評価書)に係る特定個人情報ファイルを取り扱う事務の実施をやめたときは、遅滞なく、個人情報保護委員会に 対しその旨を通知するものとする。 附 則 この規則は、法附則第一条第三号に掲げる規定の施行の日〔平成二六年四月二〇日〕から施行する。 附 則〔平成二七年一二月二二日特定個人情報保護委員会規則第四号〕 この規則は、個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法 律〔平成二七年九月法律第六五号〕附則第一条第二号に掲げる規定の施行の日(平成二十八年一月一日)から施行する。 附 則〔平成二九年四月二七日個人情報保護委員会規則第三号〕 この規則は、個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法 律〔平成二七年九月法律第六五号〕の施行の日(平成二十九年五月三十日)から施行する。 附 則〔平成三〇年五月二一日個人情報保護委員会規則第二号〕 (施行期日) 第一条 この規則は、平成三十一年一月一日から施行する。 (経過措置) 第二条 この規則の施行の際現に改正前の特定個人情報保護評価に関する規則(以下「旧規則」という。)第五条第二項又は旧規則第十四条第 三項の規定により準用する同条第二項の規定により公表されている旧規則第二条第一号に規定する基礎項目評価書については、この規則によ る改正に伴う変更について、この規則の施行の日から起算して六月を経過する日までの間は、旧規則第十四条第三項の規定により準用する同 条第一項及び第二項の規定にかかわらず、修正、提出及び公表することを要しない。 附 則〔令和三年八月二五日個人情報保護委員会規則第三号〕 この規則は、デジタル庁設置法〔令和三年五月法律第三六号〕及びデジタル社会の形成を図るための関係法律の整備に関する法律〔令和三年 五月法律第三七号〕の施行の日(令和三年九月一日)から施行する。 附 則〔令和四年三月三一日個人情報保護委員会規則第三号〕 この規則は、デジタル社会の形成を図るための関係法律の整備に関する法律〔令和三年五月法律第三七号〕第五十条の規定の施行の日〔令和 四年四月一日〕から施行する。 附 則〔令和五年三月二九日個人情報保護委員会規則第二号〕 この規則は、デジタル社会の形成を図るための関係法律の整備に関する法律〔令和三年五月法律第三七号〕第五十一条の規定の施行の日(令 和五年四月一日)から施行する。 附 則〔令和六年三月二二日個人情報保護委員会規則第一号〕 この規則は、令和六年四月一日から施行する。