個人情報保護委員会は国家行政組織法第3条に規定されている三条委員会の一つです。三条委員会には公正中立性や独立性が要求され、国家公安委員会や公正取引委員会なども三条委員会です。個人情報保護委員会の業務として、特定個人情報の取扱者(行政機関や事業者等)に対する指導・助言や立入検査、勧告・命令等があります。
○指導及び助言
○勧告→勧告に従わない場合、命令→命令違反があった場合、2年以下の懲役又は50万円以下の罰金
○命令→命令違反があった場合、2年以下の懲役又は50万円以下の罰金
○必要な報告又は資料の提出を求める→虚偽の報告又は虚偽の資料提出があった場合、1年以下の懲役又は50万円以下の罰金
○立入検査→検査忌避があった場合、1年以下の懲役又は50万円以下の罰金
平成27年8月28日、9月3日に、個人情報保護法及びマイナンバー法の改正案が、参議院と衆議院において可決されました。この改正により、内閣府の外局として個人情報保護委員会が新設され(マイナンバー法の特定個人情報保護委員会が改組され)、現行の主務大臣の権限を集約するほか、立入検査の権限等が追加される(報告徴収及び立入検査の権限は事務所管大臣等に委任可)こととなりました。
マイナンバー法の特定個人情報保護委員会に関する第6章(第36条~第57条)が個人情報保護法に移行することとなり、また、特定個人情報保護委員会は改組され、個人情報保護委員会という名称になりました。
マイナンバー法の逐条解説の「第50条(指導及び助言)」には、同じ執務室内で同じ管理権者の下で保管されている給与関係ファイル(マイナンバーが含まれる)と人事関係ファイル(マイナンバーが含まれない)が存在する場合、後者も確認の上で指導や助言を行う旨が記されています。漏えいを防ぐため、業務フローに沿った管理が要求されています。
第50条(指導及び助言)
委員会は、この法律の施行に必要な限度において、個人番号利用事務等実施者に対し、特定個人情報の取扱いに関し、必要な指導及び助言をすることができる。この場合において、特定個人情報の適正な取扱いを確保するために必要があると認めるときは、当該特定個人情報と共に管理されている特定個人情報以外の個人情報の取扱いに関し、併せて指導及び助言をすることができる。
マイナンバーを利用する者には、例えば事業者でいえば、大企業から零細企業に至るまで幅広い形態の者が含まれることとなり、その中には、特定個人情報の取扱いについての知識を有せず、指導・助言を必要としている者がいると思われる。委員会は、そのような者などに対する助言・指導を行うことにより、特定個人情報の適切な取り扱いを実現することが求められており、本条はそれを規定するものである。
1.対象
○個人番号利用事務実施者
○個人番号関係事務実施者
2.指導・助言
例えば、どのような安全確保措置を講じるべきかにつき、扱う特定個人情報の性質、利用形態等を踏まえ、物理的保護措置(保管庫の施錠・立入制限等)、組織的保護措置(職員に対する教育・研修の実施等)、技術的保護措置(アクセス制限等)などの観点より、指導・助言することが想定される。
対象者からの要請に応じて指導・助言を行う場合と、特定個人情報保護委員会がその必要性を感知したことで自ら行う場合が考えられる。また、自己のマイナンバーが不当に取り扱われている旨の苦情を受けた場合、これを契機として指導・助言を行うことも想定される。
3.特定個人情報以外の個人情報に対する指導・助言
特定個人情報への指導・助言と併せて「特定個人情報と共に管理されている特定個人情報以外の個人情報」に対する指導・助言も行うことができる。具体的には、ある事業者に対する立入検査を実施する過程で、当該検査の直接の対象ではない部署において、同一の執務室内で同一の管理権者の下で保管されている給与関係ファイル(源泉徴収事務に用いるためマイナンバーを含む)と人事関係ファイル(職歴、人事評価等が記録されておりマイナンバーを含まない)のうち、人事関係ファイル(特定個人情報ではない)がずさんな管理の下に置かれていることが発覚したケースなどである。このケースにおいて、人事関係ファイル(特定個人情報ではない)に対する指導・助言を行うことは、共に管理されている給与関係ファイル(特定個人情報である)の漏えいを防ぐ効果を有し、特定個人情報の適正な取扱いの確保に役立つ。