特定個人情報保護評価指針 発令 :平成26年4月18日号外特定個人情報保護委員会告示第4号 最終改正:令和6年3月22日号外個人情報保護委員会告示第1号 改正内容:令和6年3月22日号外個人情報保護委員会告示第1号[令和6年4月1日] ○特定個人情報保護評価指針 〔平成二十六年四月十八日号外特定個人情報保護委員会告示第四号〕 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二十六条〔現行=二七条=平成 二七年九月法律六五号により改正〕第一項の規定に基づき、特定個人情報保護評価指針を次のように定め、平成二十六年四月二十日から適用す る。 特定個人情報保護評価指針 目次 第1 特定個人情報保護評価の意義 1 特定個人情報保護評価の基本理念 2 特定個人情報保護評価の目的 (1) 事前対応による個人のプライバシー等の権利利益の侵害の未然防止 (2) 国民・住民の信頼の確保 3 特定個人情報保護評価の内容 第2 定義 第3 特定個人情報保護評価の実施主体 1 特定個人情報保護評価の実施が義務付けられる者 2 実施が義務付けられる者が複数いる場合等の特定個人情報保護評価 第4 特定個人情報保護評価の対象 1 基本的な考え方 2 特定個人情報保護評価の単位 3 特定個人情報ファイル 4 特定個人情報保護評価の実施が義務付けられない事務 (1) 実施が義務付けられない事務 (2) 特定個人情報保護評価以外の番号法の規定の適用 第5 特定個人情報保護評価の実施手続 1 特定個人情報保護評価計画管理書 (1) 特定個人情報保護評価計画管理書の作成 (2) 特定個人情報保護評価計画管理書の提出 2 しきい値判断 3 特定個人情報保護評価書 (1) 基礎項目評価書 (2) 重点項目評価書 (3) 全項目評価書 (4) 特定個人情報保護評価書の公表 4 特定個人情報保護評価書の見直し 5 特定個人情報保護評価を実施した事務の実施をやめたとき等の通知 第6 特定個人情報保護評価の実施時期 1 新規保有時 (1) システム用ファイルを保有しようとする場合の実施時期 (2) その他の電子ファイルを保有しようとする場合の実施時期 2 新規保有時以外 (1) 基本的な考え方 (2) 重要な変更 (3) しきい値判断の結果の変更 (4) 一定期間経過 3 規則第9条第2項の規定(緊急時の事後評価)の適用について (1) 新規保有時 (2) 重要な変更 第7 特定個人情報保護評価書の修正 1 基礎項目評価書 2 重点項目評価書・全項目評価書 第8 個人情報保護法及び番号法に基づく事前通知 第9 特定個人情報保護評価の評価項目 1 基本的な考え方 2 評価項目 (1) 基礎項目評価書 (2) 重点項目評価書 (3) 全項目評価書 第10 委員会の関与 1 特定個人情報保護評価書の承認 (1) 承認対象 (2) 審査の観点 2 承認の対象としない特定個人情報保護評価書の確認 第11 特定個人情報保護評価書に記載した措置の実施 第12 特定個人情報保護評価に係る違反に対する措置 1 特定個人情報保護評価の未実施に対する措置 2 特定個人情報保護評価書の記載に反する特定個人情報ファイルの取扱いに対する措置 別表 様式1 特定個人情報保護評価計画管理書 様式2 特定個人情報保護評価書(基礎項目評価書) 様式3 特定個人情報保護評価書(重点項目評価書) 様式4 特定個人情報保護評価書(全項目評価書) この指針は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。) 第27条第1項の規定に基づく指針であって、行政機関の長等が、番号法第28条の規定に基づき特定個人情報の漏えいその他の事態の発生の危 険性及び影響に関する評価(以下「特定個人情報保護評価」という。)を自ら実施し、これらの事態の発生を抑止することその他特定個人情 報を適切に管理するために講ずべき措置を定めるものである。 第1 特定個人情報保護評価の意義 1 特定個人情報保護評価の基本理念 番号法によって導入される社会保障・税番号制度(以下「番号制度」という。)は、社会保障制度、税制、災害対策その他の分野におけ る行政運営の効率化を図り、国民にとって利便性の高い、公平・公正な社会を実現するための社会基盤として導入されるものである。一方 で、番号制度の導入に伴い、個人のプライバシー等の権利利益の保護の観点からは、国家による個人情報の一元管理、特定個人情報の不正 追跡・突合、財産その他の被害等への懸念が示されてきた。個人情報の適正な取扱いという観点からは、個人情報の保護に関する法律(平 成15年法律第57号。以下「個人情報保護法」という。)等の個人情報保護法令が整備されているが、これに加え、番号制度においては、こ のような懸念に対して、個人情報保護委員会(以下「委員会」という。)による監視・監督その他の制度上の保護措置を定めるとともに、 特定個人情報の提供には原則として情報提供ネットワークシステムを使用するなどシステム上の安全措置を講ずることとしている。 特定個人情報保護評価は、このような番号制度の枠組みの下での制度上の保護措置の1つであり、特定個人情報ファイルの適正な取扱い を確保することにより特定個人情報の漏えいその他の事態の発生を未然に防ぎ、個人のプライバシー等の権利利益を保護することを基本理 念とするものである。特定個人情報保護評価の実施により、評価実施機関が個人情報保護法令の趣旨を踏まえ、より主体的な措置を講ずる ことで、個人のプライバシー等の権利利益の保護につながることが期待される。 2 特定個人情報保護評価の目的 特定個人情報保護評価は、次に掲げることを目的として実施するものである。 (1) 事前対応による個人のプライバシー等の権利利益の侵害の未然防止 情報の漏えい、滅失、毀損や不正利用等により個人のプライバシー等の権利利益が一度侵害されると、拡散した情報を全て消去・修正 することが困難であるなど、その回復は容易でない。したがって、個人のプライバシー等の権利利益の保護のためには、事後的な対応で はなく、事前に特定個人情報ファイルの取扱いに伴う特定個人情報の漏えいその他の事態を発生させるリスクを分析し、このようなリス クを軽減するための措置を講ずることが必要である。特定個人情報保護評価は、このような事前対応の要請に応える手段であり、これに より個人のプライバシー等の権利利益の侵害を未然に防止することを目的とするものである。 事前対応を行うことで、事後の大規模なシステムの仕様変更を防ぎ、不必要な支出を防ぐことも期待される。 (2) 国民・住民の信頼の確保 番号制度の導入に対して示されてきた個人のプライバシー等の権利利益が侵害されることへの懸念を払拭する観点からは、特定個人情 報ファイルを取り扱う者が、入手する特定個人情報の種類、使用目的・方法、安全管理措置等について国民・住民に分かりやすい説明を 行い、その透明性を高めることが求められる。特定個人情報保護評価は、評価実施機関が、特定個人情報ファイルの取扱いにおいて個人 のプライバシー等の権利利益の保護に取り組んでいることを自ら宣言し、どのような措置を講じているかを具体的に説明することにより、 国民・住民の信頼を確保することを目的とするものである。 3 特定個人情報保護評価の内容 特定個人情報保護評価は、評価実施機関が、特定個人情報ファイルを取り扱う事務における当該特定個人情報ファイルの取扱いについて 自ら評価するものである。評価実施機関は、特定個人情報ファイルを保有しようとする又は保有する場合は、当該特定個人情報ファイルの 取扱いが個人のプライバシー等の権利利益に与え得る影響を予測した上で特定個人情報の漏えいその他の事態を発生させるリスクを分析し、 このようなリスクを軽減するための適切な措置を講じていることを確認の上、基礎項目評価書、重点項目評価書又は全項目評価書(以下「特 定個人情報保護評価書」と総称する。)において自ら宣言するものである。 特定個人情報保護評価は、諸外国で採用されているプライバシー影響評価(Privacy Impact Assessment:PIA)に相当するものであり、個人のプライバシー等の権利利益の保護のために必要最小限の措置を講じているか否かについてのチェック にとどまらず、評価実施機関が自らの取組について積極的、体系的に検討し、評価することが期待される。 また、評価実施機関には、個人情報又はプライバシーの保護に関する技術の進歩、社会情勢の変化等に対応し、特定個人情報の漏えいそ の他の事態を発生させるリスクを軽減するための取組を継続的に実施することが期待される。 4 特定個人情報保護評価の実施体制 評価実施機関は、特定個人情報保護評価を適切に実施するための体制整備を行うことが望ましい。例えば、①複数の特定個人情報保護評 価書を作成する評価実施機関において、部署横断的な特定個人情報保護評価書の内容の確認等を行う総括的な部署を設置すること、②個人 情報の取扱いに関して、部署横断的・専門的な立場から各部署・従業員の指導等を行う個人情報の取扱いに関する責任者を設置すること等 が考えられる。 第2 定義 この指針において使用する用語は、番号法及び特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号。以下 「規則」という。)において使用する用語の例によるほか、次の定義に従うものとする。 1 評価実施機関 番号法第28条及び規則の規定に基づき特定個人情報保護評価を実施する番号法第2条第14項に規定する行政機関の長等 (行政機関の長、地方公共団体の機関、独立行政法人等、地方独立行政法人及び地方公共団体情報システム機構並びに番号法第19条第8号 に規定する情報照会者及び情報提供者並びに同条第9号に規定する条例事務関係情報照会者及び条例事務関係情報提供者)をいう。 2 行政機関等 評価実施機関のうち、行政機関の長、独立行政法人等、地方公共団体情報システム機構並びに番号法第19条第8号に規定す る情報照会者及び情報提供者(規則第2条第3号に規定する地方公共団体等(以下単に「地方公共団体等」という。)を除く。)をいう。 3 特定個人情報保護評価計画管理書 規則第3条に規定する、評価実施機関が保有する特定個人情報ファイルについての特定個人情報保護 評価の計画、実施状況等を記載し、又は記録した書面又は電磁的記録をいう。 4 全項目評価書 番号法第28条第1項各号に掲げる事項を評価した結果を記載し、又は記録した書面又は電磁的記録(行政機関等において は番号法第28条第4項及び規則第8条の規定、地方公共団体等においては規則第7条第6項の規定に基づく公表の対象となるもの)をいう。 5 情報連携 行政機関の長等の間の情報提供ネットワークシステムを使用する特定個人情報の提供の求め又は提供をいう。 6 特定個人情報に関する重大事故 評価実施機関が法令に基づく安全管理措置義務を負う特定個人情報に関する事態であって、次の(1)又 は(2)のいずれかに該当するもの(配送事故等のうち当該評価実施機関の責めに帰さない事由によるものを除く。)をいう。 (1) 行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の 漏えい等に関する報告等に関する規則(平成27年特定個人情報保護委員会規則第5号)第2条第1号から第3号までの各号に掲げる事態 (当該事態における当該特定個人情報に係る本人が当該評価実施機関の従業者であるものを除く。)のいずれかに該当するもの (2) 同条第4号に掲げる事態のうち、当該特定個人情報に係る本人(当該評価実施機関の従業者を除く。)の数が100人を超えるもの 7 個人情報に関する重大事故 評価実施機関が法令に基づく安全管理措置義務を負う個人情報に関する事態であって、次の(1)から(3)ま でのいずれかに該当するもの(配送事故等のうち当該評価実施機関の責めに帰さない事由によるものを除く。)又は特定個人情報に関する 重大事故に該当するものをいう。 (1) 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第7条第1号から第3号までの各号又は第43条第 1号から第3号までの各号若しくは第5号に掲げる事態(当該事態における当該個人情報に係る本人が当該評価実施機関の従業者である ものを除く。)のいずれかに該当するもの (2) 同規則第7条第4号に掲げる事態のうち、当該個人情報に係る本人(当該評価実施機関の従業者を除く。下記(3)において同じ。) の数が1,000人を超えるもの (3) 同規則第43条第4号に掲げる事態のうち、当該個人情報に係る本人の数が100人を超えるもの 8 特定個人情報の入手 特定個人情報ファイルに記録されることとなる特定個人情報を、特定個人情報保護評価の対象となる事務において 用いるために取得することをいう。 9 特定個人情報の使用 特定個人情報ファイルに記録された特定個人情報を特定個人情報保護評価の対象となる事務において用いることを いう。 10 特定個人情報の移転 評価実施機関内において、特定個人情報ファイルに記録された特定個人情報を特定個人情報保護評価の対象となる 事務以外の事務を処理する者の使用に供することをいう。 11 システム用ファイル 電子計算機で取り扱われる特定個人情報ファイルであって、要件定義、基本設計、詳細設計、プログラミング及び テストの段階を経て運用に供される電子情報処理組織で保有される特定個人情報ファイルをいう。 12 その他の電子ファイル 電子計算機で取り扱われる特定個人情報ファイルであって、システム用ファイル以外のものをいう。 第3 特定個人情報保護評価の実施主体 1 特定個人情報保護評価の実施が義務付けられる者 次に掲げる者のうち、特定個人情報ファイルを保有しようとする者又は保有する者は、この指針に基づき、特定個人情報保護評価の実施 が義務付けられる。 (1) 行政機関の長 (2) 地方公共団体の長その他の機関 (3) 独立行政法人等 (4) 地方独立行政法人 (5) 地方公共団体情報システム機構 (6) 情報連携を行う事業者(番号法第19条第8号に規定する情報照会者及び情報提供者のうち、上記(1)から(5)までに掲げる者以外の ものをいう。下記第4の4(1)カにおいて同じ。) 2 実施が義務付けられる者が複数いる場合等の特定個人情報保護評価 上記1に掲げる者が特定個人情報保護評価を実施する際に、特定個人情報ファイルを保有しようとする者又は保有する者が複数存在する 場合は、特定個人情報ファイルの取扱いの実態やリスク対策を把握し、記載事項に責任を負う立場にある者が特定個人情報保護評価の実施 を取りまとめる。 また、特定個人情報ファイルを保有しようとする者又は保有する者以外に特定個人情報ファイルに関わる者が存在する場合は、その者は、 特定個人情報保護評価が適切に実施されるよう協力するものとする。 第4 特定個人情報保護評価の対象 1 基本的な考え方 特定個人情報保護評価の対象は、番号法、番号法以外の国の法令又は番号法第9条第2項の規定に基づき地方公共団体が定める条例の規 定に基づき特定個人情報ファイルを取り扱う事務とする。 2 特定個人情報保護評価の単位 特定個人情報保護評価は、原則として、法令上の事務ごとに実施するものとする。番号法の別表第一に掲げる事務については、原則とし て、別表第一の各項の事務ごとに実施するものとするが、各項の事務ごとに実施することが困難な場合は、1つの項に掲げる事務を複数の 事務に分割して又は複数の項に掲げる事務を1つの事務として、特定個人情報保護評価の対象とすることができる。別表第一以外の番号法 の規定、番号法以外の国の法令又は地方公共団体が定める条例に掲げる事務についても、評価実施機関の判断で、特定個人情報保護評価の 対象となる事務の単位を定めることができる。 3 特定個人情報ファイル 特定個人情報保護評価の対象となる事務において取り扱う特定個人情報ファイルとは、個人番号をその内容に含む個人情報ファイルをい い(番号法第2条第9項)、個人情報を含む情報の集合物であって、特定個人情報を検索することができるように体系的に構成したもので ある。 特定個人情報ファイルの単位は、特定個人情報ファイルの使用目的に基づき、評価実施機関が定めることができる。特定個人情報保護評 価の対象となる1つの事務において複数の特定個人情報ファイルを保有することもできる。 4 特定個人情報保護評価の実施が義務付けられない事務 (1) 実施が義務付けられない事務 特定個人情報ファイルを取り扱う事務のうち、次に掲げる事務(規則第4条第1号から第7号までに掲げる特定個人情報ファイルのみ を取り扱う事務)は特定個人情報保護評価の実施が義務付けられない。次に掲げる事務であっても、特定個人情報保護評価の枠組みを用 い、任意で評価を実施することを妨げるものではない。 ア 職員又は職員であった者等の人事、給与、福利厚生に関する事項又はこれらに準ずる事項を記録した特定個人情報ファイルのみを取 り扱う事務(規則第4条第1号) イ 手作業処理用ファイルのみを取り扱う事務(規則第4条第2号) ウ 特定個人情報ファイルを取り扱う事務において保有する全ての特定個人情報ファイルに記録される本人の数の総数(以下「対象人数」 という。)が1,000人未満の事務(規則第4条第3号) エ 1つの事業所の事業主が単独で設立した健康保険組合又は密接な関係を有する2以上の事業所の事業主が共同若しくは連合して設立 した健康保険組合が保有する被保険者若しくは被保険者であった者又はその被扶養者の医療保険に関する事項を記録した特定個人情報 ファイルのみを取り扱う事務(規則第4条第4号及び第5号) オ 公務員若しくは公務員であった者又はその被扶養者の共済に関する事項を記録した特定個人情報ファイルのみを取り扱う事務(規則 第4条第5号) カ 情報連携を行う事業者が情報連携の対象とならない特定個人情報を記録した特定個人情報ファイルのみを取り扱う事務(規則第4条 第6号) キ 会計検査院が検査上の必要により保有する特定個人情報ファイルのみを取り扱う事務(規則第4条第7号) また、特定個人情報保護評価の対象となる事務において複数の特定個人情報ファイルを取り扱う場合で、その一部が上記(ウを除く。) に定める特定個人情報ファイルである場合は、その特定個人情報ファイルに関する事項を特定個人情報保護評価書に記載しないことがで きる。 (2) 特定個人情報保護評価以外の番号法の規定の適用 上記(1)に定める特定個人情報保護評価の実施が義務付けられない事務であっても、特定個人情報保護評価以外の番号法の規定が適用 され、当該事務を実施する者は、番号法に基づき必要な措置を講ずることが求められる。 第5 特定個人情報保護評価の実施手続 1 特定個人情報保護評価計画管理書 (1) 特定個人情報保護評価計画管理書の作成 評価実施機関は、最初の特定個人情報保護評価を実施する前に、特定個人情報保護評価計画管理書(様式1参照)を作成するものとす る。 特定個人情報保護評価計画管理書は、特定個人情報保護評価を計画的に実施し、また、特定個人情報保護評価の実施状況を適切に管理 するために作成するものである。評価実施機関で実施する特定個人情報保護評価に関する全ての事務及びシステムについて記載するもの とし、評価実施機関単位で作成するものとする。 特定個人情報保護評価計画管理書の記載事項に変更が生じたときは、特定個人情報保護評価計画管理書を速やかに更新するものとする。 (2) 特定個人情報保護評価計画管理書の提出 評価実施機関は、規則第3条の規定に基づき、最初の特定個人情報保護評価書の委員会への提出の際に、特定個人情報保護評価計画管 理書を併せて提出するものとする。その後、評価実施機関が特定個人情報保護評価書を委員会へ提出する際は、その都度、特定個人情報 保護評価計画管理書を更新し、併せて提出するものとする。 特定個人情報保護評価計画管理書の公表は、不要とする。 2 しきい値判断 特定個人情報ファイルを取り扱う事務について特定個人情報保護評価を実施するに際しては、①対象人数、②評価実施機関の従業者及び 評価実施機関が特定個人情報ファイルの取扱いを委託している場合の委託先の従業者のうち、当該特定個人情報ファイルを取り扱う者の数 (以下「取扱者数」という。)、③評価実施機関における規則第4条第8号ロに規定する特定個人情報に関する重大事故の発生(評価実施 機関が重大事故の発生を知ることを含む。以下同じ。)の有無に基づき、次のとおり、実施が義務付けられる特定個人情報保護評価の種類 を判断する(以下「しきい値判断」という。)。 しきい値判断の結果、基礎項目評価のみで足りると認められたものについても任意で重点項目評価又は全項目評価を実施することができ、 重点項目評価の実施が義務付けられると判断されたものについても任意で全項目評価を実施することができる。なお、重点項目評価の実施 が義務付けられると判断されたものについて、任意で全項目評価を実施した場合は、重点項目評価を併せて行ったものとして取り扱う。 (1) 対象人数が1,000人以上1万人未満の場合は、基礎項目評価(番号法第28条第1項並びに規則第4条第8号イ及び第5条) (2) 対象人数が1万人以上10万人未満であり、かつ、取扱者数が500人未満であって、過去1年以内に評価実施機関における特定個人情報 に関する重大事故の発生がない場合は、基礎項目評価(番号法第28条第1項並びに規則第4条第8号ロ及び第5条) (3) 対象人数が1万人以上10万人未満であり、過去1年以内に評価実施機関における特定個人情報に関する重大事故の発生があった場合 は、基礎項目評価及び重点項目評価(番号法第28条第1項並びに規則第4条第9号、第5条並びに第6条第1項第1号及び第3項) (4) 対象人数が1万人以上10万人未満であり、かつ、取扱者数が500人以上の場合は、基礎項目評価及び重点項目評価(番号法第28条第1 項並びに規則第4条第9号、第5条並びに第6条第1項第1号及び第3項) (5) 対象人数が10万人以上30万人未満であり、かつ、取扱者数が500人未満であって、過去1年以内に評価実施機関における特定個人情報 に関する重大事故の発生がない場合は、基礎項目評価及び重点項目評価(番号法第28条第1項並びに規則第4条第9号、第5条並びに第 6条第1項第2号及び第3項) (6) 対象人数が10万人以上30万人未満であり、過去1年以内に評価実施機関における特定個人情報に関する重大事故の発生があった場合 は、基礎項目評価及び全項目評価(行政機関等については番号法第28条及び規則第5条、地方公共団体等については番号法第28条第1項 並びに規則第4条第10号並びに第7条第1項及び第3項から第6項まで) (7) 対象人数が10万人以上30万人未満であり、かつ、取扱者数が500人以上の場合は、基礎項目評価及び全項目評価(行政機関等について は番号法第28条及び規則第5条、地方公共団体等については番号法第28条第1項並びに規則第4条第10号並びに第7条第1項及び第3項 から第6項まで) (8) 対象人数が30万人以上の場合は、基礎項目評価及び全項目評価(行政機関等については番号法第28条及び規則第5条、地方公共団体 等については番号法第28条第1項並びに規則第4条第10号並びに第7条第1項及び第3項から第6項まで) 3 特定個人情報保護評価書 しきい値判断の結果に従い、評価実施機関は特定個人情報保護評価を実施し、次のとおり、特定個人情報保護評価書を作成し、委員会に 提出するものとする。その際、特定個人情報保護評価書の記載事項を補足的に説明する資料を作成している場合は、必要に応じて、当該特 定個人情報保護評価書に添付する。 (1) 基礎項目評価書 評価実施機関は、規則第5条第1項の規定に基づき、特定個人情報保護評価の実施が義務付けられる全ての事務について基礎項目評価 書(様式2参照)を作成し、委員会へ提出するものとする。上記2に定めるしきい値判断の結果は、基礎項目評価書に記載するものとす る。 (2) 重点項目評価書 評価実施機関は、規則第6条第1項の規定に基づき、上記2(3)、(4)又は(5)の場合は、重点項目評価書(様式3参照)を作成し、 委員会へ提出するものとする。 (3) 全項目評価書 ア 行政機関等の場合 行政機関等は、上記2(6)、(7)又は(8)の場合は、全項目評価書(様式4参照)を作成するものとする。 また、行政機関等は、全項目評価書を作成後、番号法第28条第1項の規定に基づき、全項目評価書を公示して広く国民の意見を求め、 これにより得られた意見を十分考慮した上で全項目評価書に必要な見直しを行うものとする。ただし、公表しないことができる全項目 評価書又は項目(下記(4)参照)については、この限りではない(規則第10条)。 全項目評価書を公示し国民からの意見を聴取する期間は原則として30日以上とする。ただし、特段の理由がある場合には、全項目評 価書においてその理由を明らかにした上でこれを短縮することができる。 また、全項目評価書の公示の方法については、規則第9条の2の規定に基づき、インターネットの利用その他の適切な方法によるも のとする。 行政機関等は、番号法第28条第2項の規定に基づき、公示し国民の意見を求め、必要な見直しを行った全項目評価書を委員会へ提出 し、委員会による承認を受けるものとする。 イ 地方公共団体等の場合 地方公共団体等は、上記2(6)、(7)又は(8)の場合は、全項目評価書を作成するものとする。 また、地方公共団体等は、全項目評価書を作成した後、規則第7条第1項の規定に基づき、全項目評価書を公示して広く住民等の意 見を求め、これにより得られた意見を十分考慮した上で全項目評価書に必要な見直しを行うものとする。ただし、公表しないことがで きる全項目評価書又は項目(下記(4)参照)については、この限りではない(規則第7条第3項)。 全項目評価書を公示し住民等からの意見を聴取する期間は原則として30日以上とする。ただし、特段の理由がある場合には、全項目 評価書においてその理由を明らかにした上でこれを短縮することができる。 また、全項目評価書の公示の方法については、規則第9条の2の規定に基づき、インターネットの利用その他の適切な方法によるも のとする。 なお、地方公共団体等が条例等に基づき住民等からの意見聴取等の仕組みを定めている場合は、これによることもできる。 地方公共団体等は、公示し住民等の意見を求め、必要な見直しを行った全項目評価書について、規則第7条第4項の規定に基づき、 第三者点検を受けるものとする。第三者点検の方法は、原則として、条例等に基づき地方公共団体が設置する個人情報保護審議会又は 個人情報保護審査会による点検を受けるものとするが、これらの組織に個人情報保護や情報システムに知見を有する専門家がいないな ど、個人情報保護審議会又は個人情報保護審査会による点検が困難な場合には、その他の方法によることができる。ただし、その他の 方法による場合であっても、専門性を有する外部の第三者によるものとする。第三者点検の際は、点検者に守秘義務を課すなどした上 で、公表しない部分(下記(4)参照)を含む全項目評価書を提示し、点検を受けるものとする。第三者点検においては、下記第10の1(2) に定める審査の観点を参考にすることができる。 地方公共団体等は、規則第7条第5項の規定に基づき、第三者点検を受けた全項目評価書を委員会へ提出するものとする。 (4) 特定個人情報保護評価書の公表 行政機関等は、基礎項目評価書及び重点項目評価書については委員会に提出した後速やかに、全項目評価書については委員会の承認を 受けた後速やかに、公表するものとする(番号法第28条第4項並びに規則第5条第2項、第6条第3項及び第8条)。 地方公共団体等は、特定個人情報保護評価書を委員会に提出した後速やかに、公表するものとする(規則第5条第2項、第6条第3項 及び第7条第6項)。 特定個人情報保護評価書及びその添付資料は、原則として、全て公表するものとする。ただし、規則第13条の規定に基づき、公表する ことにセキュリティ上のリスクがあると認められる場合は、評価実施機関は、公表しない予定の部分を含む特定個人情報保護評価書及び その添付資料の全てを委員会に提出した上で、セキュリティ上のリスクがあると認められる部分を公表しないことができる。この場合で あっても、期間、回数等の具体的な数値や技術的細目に及ぶ具体的な方法など真にセキュリティ上のリスクのある部分に、公表しない部 分を限定するものとする。 犯罪の捜査、租税に関する法律の規定に基づく犯則事件の調査及び公訴の提起又は維持のために保有する特定個人情報ファイルを取り 扱う事務に関する特定個人情報保護評価については、評価実施機関は、規則第13条の規定に基づき、公表しない予定の部分を含む特定個 人情報保護評価書及びその添付資料の全てを委員会に提出した上で、その全部又は一部を公表しないことができる。 4 特定個人情報保護評価書の見直し 評価実施機関は、少なくとも1年に1回、公表した特定個人情報保護評価書の記載事項を実態に照らして見直し、変更が必要か否かを検 討するよう努めるものとする(規則第14条)。 5 特定個人情報保護評価を実施した事務の実施をやめたとき等の通知 評価実施機関は、特定個人情報保護評価を実施した事務の実施をやめたとき等は、規則第16条の規定に基づき、遅滞なく委員会に通知す るものとする。評価実施機関は、事務の実施をやめるなどした日から少なくとも3年間、その事務の実施をやめたこと等を記載するなど所 要の修正を行った上で、特定個人情報保護評価書を公表しておくものとする。 第6 特定個人情報保護評価の実施時期 1 新規保有時 行政機関の長等は、特定個人情報ファイルを新規に保有しようとする場合、原則として、当該特定個人情報ファイルを保有する前に特定 個人情報保護評価を実施するものとする。 (1) システム用ファイルを保有しようとする場合の実施時期 規則第9条第1項の規定に基づき、プログラミング開始前の適切な時期に特定個人情報保護評価を実施するものとする。 (2) その他の電子ファイルを保有しようとする場合の実施時期 事務処理の検討段階で特定個人情報保護評価を実施するものとする。 2 新規保有時以外 (1) 基本的な考え方 評価実施機関は、過去に特定個人情報保護評価を実施した特定個人情報ファイルを取り扱う事務について、下記(2)又は(3)の場合に は、特定個人情報保護評価を再実施するものとし、下記(4)の場合には、再実施するよう努めるものとする。 再実施に当たっては、委員会が定める特定個人情報保護評価書様式中の変更箇所欄に変更項目等を記載するものとする。下記(2)から (4)まで以外の場合に特定個人情報保護評価を任意に再実施することを妨げるものではない。 (2) 重要な変更 特定個人情報ファイルに対する重要な変更(規則第11条に規定する特定個人情報の漏えいその他の事態の発生の危険性及び影響が大き い変更として指針で定めるもの)とは、重点項目評価書又は全項目評価書の記載項目のうちこの指針の別表に定めるものについての変更 とする。ただし、個人のプライバシー等の権利利益に影響を与え得る特定個人情報の漏えいその他の事態を発生させるリスクを相当程度 変動させるものではないと考えられる変更又は当該リスクを明らかに軽減させる変更は、重要な変更には当たらないものとする。 この指針の別表に定めるとおり、重大事故の発生それ自体が直ちに重要な変更に当たるものではないが、特定個人情報に関する重大事 故の発生に伴い評価実施機関がリスク対策等を見直すことが想定され、この場合は、重要な変更に該当する。 評価実施機関は、保有する特定個人情報ファイルに重要な変更を加えようとするときは、当該変更を加える前に、特定個人情報保護評 価を再実施するものとする。 ア システムの開発を伴う場合の実施時期 上記1(1)に準ずるものとする。 イ システムの開発を伴わない又はその他の電子ファイルを保有する場合の実施時期 事務処理の変更の検討段階で特定個人情報保護評価を実施するものとする。 (3) しきい値判断の結果の変更 上記第5の4に定める特定個人情報保護評価書の見直しにおいて、対象人数又は取扱者数が増加したことによりしきい値判断の結果が 変わり、新たに重点項目評価又は全項目評価を実施するものと判断される場合、評価実施機関は、速やかに特定個人情報保護評価を再実 施するものとする(規則第6条第2項及び第3項、第7条第2項から第6項まで、第8条及び第14条)。 また、評価実施機関における特定個人情報に関する重大事故の発生によりしきい値判断の結果が変わり、新たに重点項目評価又は全項 目評価を実施するものと判断される場合、評価実施機関は、当該特定個人情報に関する重大事故の発生後速やかに特定個人情報保護評価 を再実施するものとする(規則第6条第2項及び第3項、第7条第2項から第6項まで、第8条及び第14条)。 なお、対象人数又は取扱者数が減少したことによりしきい値判断の結果が変わり、全項目評価から重点項目評価若しくは基礎項目評価 に、又は重点項目評価から基礎項目評価に変更になった場合については、特定個人情報保護評価書の修正として、委員会に提出した上で 公表するものとする。 (4) 一定期間経過 評価実施機関は、規則第15条の規定に基づき、直近の特定個人情報保護評価書を公表してから5年を経過する前に、特定個人情報保護 評価を再実施するよう努めるものとする。 3 規則第9条第2項の規定(緊急時の事後評価)の適用について (1) 新規保有時 規則第9条第2項の規定に基づき、災害その他やむを得ない事由により緊急に特定個人情報ファイルを保有する必要がある場合は、特 定個人情報ファイルを保有した後速やかに特定個人情報保護評価を実施(以下第6の3(1)において「事後評価」という。)することと されている。 ただし、特定個人情報保護評価の目的が事前対応による個人のプライバシー等の権利利益の侵害の未然防止及び国民・住民の信頼の確 保であることを踏まえ、例えば、評価実施機関が新たに特定個人情報ファイルを保有する事務を行う場合において当該事務と本人の範囲 及び特定個人情報ファイルを取り扱うプロセスが類似する事務を過去に反復して実施しているとき等、既に個人番号利用事務等として定 着している事務を実施する場合は、当該特定個人情報ファイルの保有に一定の緊急性があるときであっても、原則どおり、特定個人情報 ファイルを保有する前に特定個人情報保護評価を実施(以下第6の3(1)において「事前評価」という。)するものとする。 また、事前評価が困難である場合についても、特定個人情報保護評価を実施することが困難であった状態が解消された時点などの適切 な時期において、可及的速やかに事後評価を行うものとする。 (2) 重要な変更 規則第9条第2項の規定に基づき、災害その他やむを得ない事由により緊急に特定個人情報ファイルに重要な変更を加える必要がある 場合は、特定個人情報ファイルに重要な変更を加えた後速やかに特定個人情報保護評価を再実施(以下第6の3(2)において「事後評価」 という。)することとされている。 ただし、特定個人情報保護評価の目的が事前対応による個人のプライバシー等の権利利益の侵害の未然防止及び国民・住民の信頼の確 保であることを踏まえ、例えば、評価実施機関が特定個人情報ファイルに重要な変更を加える必要がある事務を行う場合において当該事 務と本人の範囲及び特定個人情報ファイルを取り扱うプロセスが類似する事務を過去に反復して実施しているとき等、既に個人番号利用 事務等として定着している事務を実施する場合は、当該特定個人情報ファイルに対して加える重要な変更に一定の緊急性があるときであ っても、原則どおり、特定個人情報ファイルに重要な変更を加える前に特定個人情報保護評価を再実施(以下第6の3(2)において「事 前評価」という。)するものとする。 また、事前評価が困難である場合についても、特定個人情報保護評価を再実施することが困難であった状態が解消された時点などの適 切な時期において、可及的速やかに事後評価を行うものとする。 第7 特定個人情報保護評価書の修正 1 基礎項目評価書 基礎項目評価書の記載事項に、上記第6の2(3)のしきい値判断の結果の変更に該当しない変更が生じた場合、評価実施機関は、規則第 14条の規定に基づき、基礎項目評価書を速やかに修正し、委員会に提出した上で公表するものとする。修正に当たっては、委員会が定める 特定個人情報保護評価書様式中の変更箇所欄に変更項目等を記載するものとする。 2 重点項目評価書・全項目評価書 重点項目評価書又は全項目評価書の記載事項に、上記第6の2(2)の重要な変更に当たらない変更が生じた場合、評価実施機関は、規則 第14条の規定に基づき、重点項目評価書又は全項目評価書を速やかに修正し、委員会に提出した上で公表するものとする。修正に当たって は、委員会が定める特定個人情報保護評価書様式中の変更箇所欄に変更項目等を記載するものとする。 この場合は、特定個人情報保護評価の実施に該当せず、全項目評価の場合であっても、国民(地方公共団体等にあっては住民等)からの 意見の聴取及び委員会による承認又は第三者点検は必要ない。評価実施機関の任意の判断で、国民(地方公共団体等にあっては住民等)か らの意見の聴取又は第三者点検を行うことを妨げるものではない。 第8 個人情報保護法及び番号法に基づく事前通知 個人情報保護法第74条第1項の規定に基づき、会計検査院を除く行政機関が個人情報ファイルを保有しようとするときは、当該行政機関 の長は、同項各号に規定する事項(以下「事前通知事項」という。)をあらかじめ委員会に通知しなければならず、また、事前通知事項を 変更しようとするときも同様に通知しなければならない(以下「事前通知」と総称する。)。行政機関が、特定個人情報保護評価を実施し、 全項目評価書を公表した場合、又は保有する特定個人情報ファイルに重要な変更を加えようとするときに特定個人情報保護評価を再実施し、 事前通知事項を変更した全項目評価書を公表した場合は、番号法第28条第5項の規定により、それぞれ事前通知を行ったものとみなす。 また、行政機関が、特定個人情報保護評価を実施し、重点項目評価書を提出・公表した場合、保有する特定個人情報ファイルに重要な変 更を加えようとするときに特定個人情報保護評価を再実施し、事前通知事項を変更した重点項目評価書を提出・公表した場合、保有する特 定個人情報ファイルに重要な変更に当たらない変更を加えようとするときに事前通知事項を変更した全項目評価書又は重点項目評価書を変 更前に提出・公表した場合等は、それぞれ事前通知等を併せて行ったものとして取り扱う。 第9 特定個人情報保護評価の評価項目 1 基本的な考え方 特定個人情報保護評価を実施するに当たって、評価実施機関は、特定個人情報ファイルを取り扱う事務の特性を明らかにした上で、特定 個人情報ファイルの取扱いが個人のプライバシー等の権利利益に影響を与え得る特定個人情報の漏えいその他の事態を発生させるリスクに ついて認識又は分析し、このようなリスクを軽減するための適切な措置を講じていることを確認の上、特定個人情報保護評価書において宣 言するものとする。 評価実施機関は、リスクを軽減するための措置を検討する際には、特定個人情報の安全管理に関する基本方針、特定個人情報の取扱規程 等を策定することが望ましい。また、リスクを軽減するための措置には、物理的安全管理措置、技術的安全管理措置、組織的安全管理措置 及び人的安全管理措置があり、評価実施機関は、基本方針、取扱規程等を踏まえ、評価実施機関の規模及び事務の特性に応じた適切な措置 を講ずるものとする。 なお、技術の進歩に伴うクラウドサービス等の新たなサービス、開発手法等を導入する場合には、当該サービス、開発手法等の特性を考 慮した上で、適切な安全管理措置を講ずるものとする。 2 評価項目 (1) 基礎項目評価書 規則第2条第1号に規定する基礎項目評価書の記載事項は、次のとおりとする。 ア 基本情報 特定個人情報保護評価の対象となる事務の概要、当該事務において使用するシステムの名称、特定個人情報ファイルの名称、当該事 務を対象とする特定個人情報保護評価の実施を担当する部署及び所属長の役職名、当該事務において個人番号を利用することができる 法令上の根拠等を記載するものとする。また、当該事務において情報連携を行う場合にはその法令上の根拠を記載するものとする。 イ リスク対策 特定個人情報ファイルを取り扱うプロセスにおいて個人のプライバシー等の権利利益に影響を与え得る特定個人情報の漏えいその他 の事態を発生させるリスクを認識し、このうち主なリスクを軽減するための措置の実施状況について記載するものとする。 また、自己点検・監査、従業者に対する教育・啓発等のリスク対策の実施状況についても記載するものとする。 これらのリスク対策を踏まえ、評価実施機関は、リスクを軽減するための適切な措置を講じていることを確認の上、宣言するものと する。 (2) 重点項目評価書 規則第2条第2号に規定する重点項目評価書の記載事項は、次のとおりとする。 ア 基本情報 特定個人情報保護評価の対象となる事務の内容、当該事務において使用するシステムの機能、当該事務において取り扱う特定個人情 報ファイルの名称、当該事務を対象とする特定個人情報保護評価の実施を担当する部署及び所属長の役職名、当該事務において個人番 号を利用することができる法令上の根拠等を記載するものとする。また、当該事務において情報連携を行う場合にはその法令上の根拠 を記載するものとする。 イ 特定個人情報ファイルの概要 特定個人情報ファイルの種類、対象となる本人の数・範囲、記録される項目その他の特定個人情報保護評価の対象となる事務におい て取り扱う特定個人情報ファイルの概要を記載するものとする。また、特定個人情報の入手及び使用の方法、特定個人情報ファイルの 取扱いの委託の有無及び委託する場合にはその方法、特定個人情報の提供又は移転の有無及び提供又は移転する場合にはその方法、特 定個人情報の保管場所その他の特定個人情報ファイルを取り扱うプロセスの概要を記載するものとする。 ウ リスク対策 特定個人情報ファイルを取り扱うプロセスにおいて個人のプライバシー等の権利利益に影響を与え得る特定個人情報の漏えいその他 の事態を発生させる主なリスクについて分析し、このようなリスクを軽減するための措置について記載するものとする。重点項目評価 書様式は主なリスクのみを示しているが、その他のリスクについても分析し、そのようなリスクを軽減するための措置についても記載 することが推奨される。 また、自己点検・監査、従業者に対する教育・啓発等のリスク対策についても記載するものとする。 これらのリスク対策を踏まえ、評価実施機関は、リスクを軽減するための適切な措置を講じていることを確認の上、宣言するものと する。 エ その他 特定個人情報の開示・訂正・利用停止請求、特定個人情報ファイルの取扱いに関する問合せ等について記載するものとする。 (3) 全項目評価書 法第28条第1項各号及び規則第12条に規定する全項目評価書の記載事項は、次のとおりとする。 ア 基本情報 特定個人情報保護評価の対象となる事務の詳細な内容、当該事務において使用するシステムの機能、当該事務において取り扱う特定 個人情報ファイルの名称、当該事務を対象とする特定個人情報保護評価の実施を担当する部署及び所属長の役職名、当該事務において 個人番号を利用することができる法令上の根拠等を記載するものとする。また、当該事務において情報連携を行う場合にはその法令上 の根拠を記載するものとする。 イ 特定個人情報ファイルの概要 特定個人情報ファイルの種類、対象となる本人の数・範囲、記録される項目その他の特定個人情報保護評価の対象となる事務におい て取り扱う特定個人情報ファイルの概要を記載するものとする。また、特定個人情報の入手及び使用の方法、特定個人情報ファイルの 取扱いの委託の有無及び委託する場合にはその方法、特定個人情報の提供又は移転の有無及び提供又は移転する場合にはその方法、特 定個人情報の保管及び消去の方法その他の特定個人情報ファイルを取り扱うプロセスの概要を記載するものとする。 ウ リスク対策 特定個人情報ファイルを取り扱うプロセスにおいて個人のプライバシー等の権利利益に影響を与え得る特定個人情報の漏えいその他 の事態を発生させる多様なリスクについて詳細に分析し、このようなリスクを軽減するための措置について記載するものとする。全項 目評価書様式に示すもの以外のリスクについても分析し、そのようなリスクを軽減するための措置についても記載することが推奨され る。 また、自己点検・監査、従業者に対する教育・啓発等のリスク対策についても記載するものとする。 これらのリスク対策を踏まえ、評価実施機関は、リスクを軽減するための適切な措置を講じていることを確認の上、宣言するものと する。 エ 評価実施手続 行政機関等は、上記第5の3(3)アにより実施した国民からの意見の聴取の方法、主な意見の内容等、下記第10の1に定める委員会 による承認のために全項目評価書を委員会に提出した日、委員会による審査等について記載するものとする。 地方公共団体等は、上記第5の3(3)イにより実施した住民等からの意見の聴取及び第三者点検の方法等について記載するものとす る。 オ その他 特定個人情報の開示・訂正・利用停止請求、特定個人情報ファイルの取扱いに関する問合せ等について記載するものとする。 第10 委員会の関与 1 特定個人情報保護評価書の承認 (1) 承認対象 委員会は、上記第5の3(3)アに基づき行政機関等から委員会に提出された全項目評価書を審査し、承認するものとする。 委員会は、基礎項目評価書、重点項目評価書、地方公共団体等から提出された全項目評価書及び任意で提出された全項目評価書の承認 は行わないものとする。 (2) 審査の観点 委員会は、全項目評価書の承認に際し、適合性及び妥当性の2つの観点から審査を行う。 ア 適合性 この指針に定める実施手続等に適合した特定個人情報保護評価を実施しているか。 ・しきい値判断に誤りはないか。 ・適切な実施主体が実施しているか。 ・公表しない部分は適切な範囲か。 ・適切な時期に実施しているか。 ・適切な方法で広く国民の意見を求め、得られた意見を十分考慮した上で必要な見直しを行っているか。 ・特定個人情報保護評価の対象となる事務の実態に基づき、特定個人情報保護評価書様式で求められる全ての項目について検討し、 記載しているか。 等 イ 妥当性 特定個人情報保護評価の内容は、この指針に定める特定個人情報保護評価の目的等に照らし妥当と認められるか。 ・記載された特定個人情報保護評価の実施を担当する部署は、特定個人情報保護評価の対象となる事務を担当し、リスクを軽減させ るための措置の実施に責任を負うことができるか。 ・特定個人情報保護評価の対象となる事務の内容の記載は具体的か。当該事務における特定個人情報の流れを併せて記載しているか。 ・特定個人情報ファイルを取り扱うプロセスにおいて特定個人情報の漏えいその他の事態を発生させるリスクを、特定個人情報保護 評価の対象となる事務の実態に基づき、特定しているか。 ・特定されたリスクを軽減するために講ずべき措置についての記載は具体的か。 ・記載されたリスクを軽減させるための措置は、個人のプライバシー等の権利利益の侵害の未然防止、国民・住民の信頼の確保とい う特定個人情報保護評価の目的に照らし、妥当なものか。 ・個人のプライバシー等の権利利益の保護の宣言は、国民・住民の信頼の確保という特定個人情報保護評価の目的に照らし、妥当な ものか。 等 委員会は、提出された全項目評価書の審査の結果、必要と認めるときは、番号法の規定に基づく指導・助言、勧告・命令等を行い、 全項目評価書の再提出その他の是正を求めるものとする。 2 承認の対象としない特定個人情報保護評価書の確認 委員会は、評価実施機関から委員会に提出された特定個人情報保護評価書であって上記1による委員会の承認の対象としないものについ ては、必要に応じて、その内容を精査し、適合性及び妥当性について確認するものとする。 委員会は、提出された特定個人情報保護評価書の精査の結果、必要と認めるときは、番号法の規定に基づく指導・助言、勧告・命令等を 行い、特定個人情報保護評価の再実施その他の是正を求めるものとする。 第11 特定個人情報保護評価書に記載した措置の実施 評価実施機関は、個人のプライバシー等の権利利益に影響を与え得る特定個人情報の漏えいその他の事態を発生させるリスクを軽減する ための措置として特定個人情報保護評価書に記載した全ての措置を講ずるものとする。 第12 特定個人情報保護評価に係る違反に対する措置 1 特定個人情報保護評価の未実施に対する措置 特定個人情報保護評価を実施するものとされているにもかかわらず実施していない事務については、情報連携を行うことが禁止される(番 号法第21条第2項第2号、第28条第6項)。特定個人情報保護評価を実施するものとされているにもかかわらず実施していない評価実施機 関に対して、委員会は、必要に応じて、番号法の規定に基づく指導・助言、勧告・命令等を行い、特定個人情報保護評価の速やかな実施そ の他の是正を求めるものとする。 2 特定個人情報保護評価書の記載に反する特定個人情報ファイルの取扱いに対する措置 特定個人情報ファイルの取扱いが特定個人情報保護評価書の記載に反している場合、委員会は、必要に応じて、番号法の規定に基づく指 導・助言、勧告・命令等を行い、是正を求めるものとする。 前 文〔抄〕〔平成二七年一二月二二日特定個人情報保護委員会告示第四号〕 平成二十八年一月一日から施行する。 前 文〔抄〕〔平成二九年四月二七日個人情報保護委員会告示第八号〕 平成二十九年五月三十日から施行する。 附 則〔平成三〇年五月二一日個人情報保護委員会告示第二号〕 (施行期日) 第一条 この告示は、平成三十一年一月一日から施行する。ただし、第6の1(1)の規定並びに第9の2(1)ア、同(2)ア及び同(3)ア中「部 署」を「部署及び所属長の役職名」に改める部分並びに様式2Ⅰの5、様式3Ⅰの6及び様式4Ⅰの7中「所属長」を「所属長の役職名」に 改める部分については、公布の日から施行する。 (経過措置) 第二条 この告示による変更後の特定個人情報保護評価指針(以下「新指針」という。)第9の2(1)イの規定及びこの告示の施行の際現に変 更前の特定個人情報保護評価指針(以下「旧指針」という。)の規定により公表されている変更前の様式2(Ⅰの5を除く。)については、 この告示の施行の日から起算して六月を経過する日までの間は、変更後の規定にかかわらず、なお従前の例によることができる。 2 新指針第9の2(1)ア、(2)ア及び(3)アの規定並びに附則第一条ただし書に規定する規定の施行の際現に旧指針の規定により公表されて いる変更前の様式2Ⅰの5、様式3Ⅰの6及び様式4Ⅰの7中「所属長」を「所属長の役職名」に改める部分については、所属長の役職名及 び氏名に変更がない限りにおいて、この告示の施行の日から起算して六月を経過する日までの間は、変更後の規定にかかわらず、なお従前の 例によることができる。 附 則〔令和三年二月五日個人情報保護委員会告示第一号〕 この告示は、令和三年四月一日から施行する。 附 則〔令和三年八月二五日個人情報保護委員会告示第一一号〕 この告示は、デジタル社会の形成を図るための関係法律の整備に関する法律〔令和三年五月法律第三七号〕の施行の日(令和三年九月一日) から施行する。 附 則〔令和四年三月二三日個人情報保護委員会告示第三号〕 この告示は、デジタル社会の形成を図るための関係法律の整備に関する法律〔令和三年五月法律第三七号〕第五十条の規定の施行の日(令和 四年四月一日)から施行する。 附 則〔令和六年三月二二日個人情報保護委員会告示第一号〕 (施行期日) 第一条 この告示は、令和六年四月一日から施行する。ただし、様式2の改正規定については、令和六年十月一日から施行する。 (経過措置) 第二条 この告示の施行前に発生した特定個人情報に関する重大事故であってこの告示による改正前の特定個人情報保護評価指針(以下「旧指 針」という。)第2の6に該当しないものに対する第5の2(3)及び(6)の適用については、この告示による改正後の特定個人情報保護評価 指針(以下「新指針」という。)第2の6の規定にかかわらず、なお従前の例による。 2 この告示の施行前に発生した個人情報に関する重大事故であって旧指針第2の6に該当しないものについては、新指針第2の7の規定にか かわらず、様式3Ⅲの7②の欄又は様式4Ⅲの7⑨の欄にこれを記載することを要しない。 3 前条ただし書に規定する改正規定の施行の際現に旧指針の規定(第5の5後段の規定を除く。)により公表されている基礎項目評価書につ いては、当該改正規定の施行の日から起算して一年六月を経過する日までの間は、新指針の様式2にかかわらず、なお従前の例によることが できる。 4 前条ただし書に規定する改正規定の施行の際現に旧指針第5の5後段の規定により公表されている基礎項目評価書については、新指針の様 式2にかかわらず、なお従前の例による。 別表(第6の2(2)関係) 特定個人情報保護評価書の名称 重要な変更の対象である記載項目 1 重点項目評価書 1 個人番号の利用 2 情報提供ネットワークシステムによる情報連携 3 特定個人情報ファイルの種類 4 特定個人情報ファイルの対象となる本人の範囲 5 特定個人情報ファイルに記録される主な項目 6 特定個人情報の入手元 7 特定個人情報の使用目的 8 特定個人情報ファイルの取扱いの委託の有無 9 特定個人情報ファイルの取扱いの再委託の有無 10 特定個人情報の保管場所 11 リスク対策(重大事故の発生を除く。) 2 全項目評価書 1 特定個人情報ファイルを取り扱う事務の内容 2 個人番号の利用 3 情報提供ネットワークシステムによる情報連携 4 特定個人情報ファイルの種類 5 特定個人情報ファイルの対象となる本人の範囲 6 特定個人情報ファイルに記録される主な項目 7 特定個人情報の入手元 8 特定個人情報の使用目的 9 特定個人情報の使用部署 10 特定個人情報の使用方法 11 特定個人情報の突合 12 特定個人情報の統計分析 13 特定個人情報の使用による個人の権利利益に影響を与え得る決定 14 特定個人情報ファイルの取扱いの委託の有無 15 取扱いを委託する特定個人情報ファイルの対象となる本人の範囲 16 特定個人情報ファイルの取扱いの再委託の有無 17 特定個人情報の保管場所 18 特定個人情報ファイルの取扱いプロセスにおけるリスク対策(重大事故の発 生を除く。) 19 その他のリスク対策