委員会は、特定個人情報の適正な取扱いを確保するため、特定個人情報ファイルを保有しようとする者が、特定個人情報保護評価(特定個人情報の漏えいその他の事態の発生の危険性 及び影響に関する評価をいう。)を自ら実施し、これらの事態の発生を抑止すること その他特定個人情報を適切に管理するために講ずべき措置を定めた指針(次項 及び次条第三項において単に「指針」という。)を作成し、公表するものとする。
行政手続における特定の個人を識別するための番号の利用等に関する法律
第一節 特定個人情報保護評価等
委員会は、個人情報の保護に関する技術の進歩 及び国際的動向を踏まえ、少なくとも三年ごとに指針について再検討を加え、必要があると認めるときは、これを変更するものとする。
行政機関の長等は、特定個人情報ファイル(専ら当該行政機関の長等の職員 又は職員であった者の人事、給与 又は福利厚生に関する事項を記録するものその他の個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)を保有しようとするときは、当該特定個人情報ファイルを保有する前に、個人情報保護委員会規則で定めるところにより、次に掲げる事項を評価した結果を記載した書面(以下この条において「評価書」という。)を公示し、広く国民の意見を求めるものとする。
当該特定個人情報ファイルについて、個人情報保護委員会規則で定める重要な変更を加えようとするときも、同様とする。
前各号に掲げるもののほか、個人情報保護委員会規則で定める事項
前項前段の場合において、行政機関の長等は、個人情報保護委員会規則で定めるところにより、同項前段の規定により得られた意見を十分考慮した上で評価書に必要な見直しを行った後に、当該評価書に記載された特定個人情報ファイルの取扱いについて委員会の承認を受けるものとする。
当該特定個人情報ファイルについて、個人情報保護委員会規則で定める重要な変更を加えようとするときも、同様とする。
委員会は、評価書の内容、第三十五条第一項の規定により得た情報 その他の情報から判断して、当該評価書に記載された特定個人情報ファイルの取扱いが指針に適合していると認められる場合でなければ、前項の承認をしてはならない。
行政機関の長等は、第二項の規定により評価書について承認を受けたときは、速やかに当該評価書を公表するものとする。
前項の規定により評価書が公表されたときは、個人情報保護法第七十四条第一項の規定による通知があったものとみなす。
行政機関の長等は、評価書の公表を行っていない特定個人情報ファイルに記録された情報を第十九条第八号 若しくは第九号の規定により提供し、又は当該特定個人情報ファイルに記録されることとなる情報の提供をこれらの規定により求めてはならない。
個人番号利用事務等実施者 その他個人番号利用事務等に従事する者は、第十九条第十三号から第十七号までのいずれかに該当して特定個人情報を提供し、又はその提供を受けることができる場合を除き、個人番号利用事務等を処理するために必要な範囲を超えて特定個人情報ファイルを作成してはならない。
行政機関の長等は、特定個人情報ファイルを保有し、又は保有しようとするときは、特定個人情報ファイルを取り扱う事務に従事する者に対して、政令で定めるところにより、特定個人情報の適正な取扱いを確保するために必要なサイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。第三十二条において同じ。)の確保に関する事項 その他の事項に関する研修を行うものとする。
個人番号利用事務等実施者は、特定個人情報ファイルに記録された特定個人情報の漏えい、滅失、毀損 その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を委員会に報告しなければならない。
ただし、当該個人番号利用事務等実施者が、他の個人番号利用事務等実施者から当該個人番号利用事務等の全部 又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人番号利用事務等実施者に通知したときは、この限りでない。
前項に規定する場合には、個人番号利用事務等実施者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。
ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。