講演

小池百合子顧問社労士

内閣大臣補佐官～マイナンバー福田峰之代議士と親交

個人情報保護規程（マイナンバー法・ストレスチェック網羅版）

評価実施機関が複数存在する場合等の特定個人情報保護評価【指針】

①　特定個人情報ファイルを保有しようとする者又は保有する者が複数存在するケース

イ　行政機関が特定個人情報を取り扱う個人番号利用事務に係る権限を法令に基づき他の行政機関に委任している場合や、都道府県が権限を法令に基づき市町村に委任している場合（１つの事務において特定個人情報ファイルの保有者である評価実施機関が複数存在する場合）

ロ　請負契約や準委任契約などの委託によって他の機関に事務の一部を実施させている場合（この場合、一般的に委託元において特定個人情報ファイルを保有していると考えられるため、委託元が特定個人情報保護評価を実施し、特定個人情報保護評価書の委託に関する項目の中に、当該委託について記載をすることになる）

②　１つの事務において特定個人情報ファイルの保有者である評価実施機関が複数存在する場合

イ　評価書を主体的に作成する評価実施機関の選定基準と役割

(1) 特定個人情報ファイルの取扱いの実態やリスク対策を把握し、当該特定個人情報ファイルの取扱いに関する記載事項に責任を負う立場にある評価実施機関が特定個人情報保護評価書の作成を監修する。責任を負えない評価項目については、他の評価実施機関から情報の提供を受けて記載する。

(2) 意見聴取・第三者点検に際し、責任を負えない事項については、他の評価実施機関から回答に必要となる情報の提供を受けて対応する。

(3) 特定個人情報保護評価書の表紙に記載する「評価実施機関名」には、取りまとめを行う評価実施機関の名称のみ記載し、他の評価実施機関の名称は「他の評価実施機関」の欄に記載する。

ロ　システムやアプリケーションの設計・開発等の調達を実施する者が存在するなど、特定個人情報ファイルに関わる者が存在する場合

(1) 特定個人情報ファイルの保有者が特定個人情報保護評価を実施し、特定個人情報ファイルの保有者では変更することのできないシステムやアプリケーションの仕様などに関わる部分については、システムやアプリケーションの設計・開発等を行った者が、特定個人情報保護評価が適切に実施されるよう協力する。

(2) 意見聴取や第三者点検においてシステムやアプリケーションの仕様などについて質問や意見があった場合には、その回答についての情報を特定個人情報ファイルの保有者に提供する。

(3) 特定個人情報保護評価書の表紙に記載する「評価実施機関名」には、特定個人情報ファイルの保有者である評価実施機関の名称のみを記載し、協力する機関の名称は記載しないこととなる。