なお、個人情報取扱事務の委託時における委託基準及び同基準の運用について(令和4年4月1日付け達(県サ、会)第203号。以下「旧通達」という。)は、令和5年4月1日で廃止する。

記

1　趣旨

現在、個人情報保護制度は「福島県個人情報保護条例」に基づき運用しているところであるが、令和5年4月1日から、条例を廃止し、「個人情報の保護に関する法律」(平成15年法律第57号。以下「法」という。)に基づいて制度を運用することになる。

これに伴い、「福島県個人情報取扱事務委託基準」及び「福島県個人情報取扱事務委託基準の運用について」(以下「県委託基準等」という。)が別添のとおり改正されることから、本通達を制定したもの。

2　委託時の措置

個人情報を取り扱う事務を委託する場合は、県委託基準等に基づき当該委託先と契約するものとする。

なお、当該事務の一部を委託する場合であっても、同様とする。

3　県委託基準等の改正要点

(1)　規定の根拠となる条項の条例から法への置き換え

(2)　委託契約の相手方について、法及び国の個人情報保護委員会が定める「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」等に基づく安全管理措置(保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために講じる必要かつ適切な措置)が適切に講じられるよう助言や指導を行う必要性の追加

(3)　漏えい事案の報告等における留意点の追加

4　留意事項

(1)　契約締結前の入札通知又は見積徴取通知の施行等に当たり、個人情報の保護に係る措置の内容を十分に確認するとともに、改正後の個人情報取扱特記事項(以下「改正後特記事項」という。)を適切に活用すること。

(2)　個人情報の保護に係る措置の内容を十分に確認するとともに、改正後特記事項の契約書への添付等について、適切に対応すること。

(3)　来年度継続する契約についても、契約内容の変更又は別紙とする特記事項の変更が必要となるので留意すること。

福島県個人情報取扱事務委託基準

(平成7年2月10日総務部長通知)

(趣旨)

第1　この基準は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第66条第1項の規定に基づき、実施機関が個人情報を取り扱う事務を実施機関以外のものに委託する場合において講ずべき措置について必要な事項を定めるものとする。

(委託)

第2　この基準において「委託」とは、実施機関が個人情報の取扱いを伴う事務を実施機関以外のものに委託する契約の全てをいう。

したがって、一般に委託契約と称されるもののほか、印刷、筆耕、翻訳等に係る契約を含み、また、公の施設の管理の委託及び収納の委託などの公法上の契約を含むものとする。ただし、県の事務の一部を他の地方公共団体に委託する場合(地方自治法(昭和22年法律第67号)第252条の14から第252条の16まで)は、含まれない。

(委託に当たっての留意事項)

第3　委託に当たっては、次の事項に留意するものとする。

(1)　委託先を選定するときは、法及び「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」等に基づき内部規程が整備されているか確認する等、当該事業者の個人情報保護に係る安全管理措置が十分講じられているかに留意し、個人番号(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条第5項に規定する個人番号をいい、死者に係るものを含む。以下同じ。)を含まない個人情報の委託業務にあっては別記(その1)「個人情報取扱特記事項」により、個人番号を含む個人情報の委託業務にあっては別記(その2)「(特定個人情報を含む)個人情報取扱特記事項」により、委託業務の内容に応じて実施機関が定める事項(以下これらを「別記特記事項」という。)を遵守できるものを慎重に選定すること。

なお、特定個人情報(番号法第2条第8項に規定する特定個人情報をいう。以下同じ。)に関する内容を含む委託をする場合には、委託先の選定に際し、委託先において番号法、「特定個人情報の適正な取扱いに関するガイドライン(行政機関等編)」(以下「番号法ガイドライン」という。)本文、「番号法ガイドライン(別添1)特定個人情報に関する安全管理措置(行政機関等編)」等の規定により実施機関が果たすべき安全管理措置と同等の措置を講じることができることをあらかじめ確認しなければならない。

(2)　入札の方法による契約にあっては入札の前、また、随意契約にあっては見積書を徴するときに、次に掲げる事項を相手方に周知するとともに、法の委託に関する規定(法第66条、同第67条、同第176条、同第180条、同第183条及び同第184条)を抜粋し交付すること。

ア　契約内容に個人情報の保護に関する特記事項があり、委託事務の遂行に当たっては、当該特記事項を遵守しなければならないこと

イ　法第66条第2項第1号で準用する同条第1項に基づき、受託者は個人情報の適切な取扱いのために必要な措置を講じる義務を負うこと

ウ　法第67条に基づき、受託した事務に従事している者又は従事していた者は、その事務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない義務を負うこと

エ　受託した事務に従事している者又は従事していた者が、正当な理由なく個人情報ファイル等を提供したときは、法第176条の罰則の対象となること

オ　受託した事務に従事している者又は従事していた者が、保有個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、法第180条の処罰の対象となること

カ　法第183条の規定により、同第176条及び法第180条の規定は、日本国外においてこれらの条の罪を犯した者にも適用されること

キ　法第184条の規定により、法人(法人でない団体で代表者又は管理人の定めのあるものを含む)の代表者や従業者等が違反行為をした場合、当該法人も罰則の対象となること

(3)　特定個人情報に関する内容を含む事務(以下「個人番号利用事務等」という。)に係る契約にあっては、(2)の規定のほか、次に掲げる事項を相手方に周知するとともに、番号法の委託(再委託)に関する規定(番号法第10条、同第11条、同第12条、同第48条、同第49条、同第56条及び同第57条)を抜粋し、交付すること。

ア　個人番号利用事務等に係る委託を受けた者は、番号法第2条第12項に規定する個人番号利用事務実施者又は番号法第2条第13項に規定する個人番号関係事務実施者となり、番号法の規定の適用を受けること

イ　番号法第10条第1項の規定に基づき、個人番号利用事務等に係る委託を受けた者が、当該事務を別の事業者に委託(再委託)しようとする場合には、委託者である実施機関の許諾を得た場合に限り、再委託をすることができること

ウ　番号法第10条第2項の規定に基づき、個人番号利用事務等に係る委託について再委託を受けた者は、実施機関から個人番号利用事務等に係る委託を受けた者とみなされ、個人番号番号利用事務等を行うことができるほか実施機関の許諾を得た場合には、更に当該事業の再委託をすることができること

エ　番号法第11条の規定に基づき、個人番号利用事務等に係る委託を受けた者(受託者から委託を受けるものを含む。以下同じ。)は、特定個人情報の安全管理について委託者である実施機関の監督を受けること

オ　番号法第12条の規定に基づき、個人番号利用事務等に係る委託を受けた者は、個人番号の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならないこと

カ　個人番号利用事務等に係る委託を受けた者及び当該委託を受けた事務に従事している者又は従事していた者は、番号法第48条及び番号法第49条の罰則の対象となること

キ　番号法第56条の規定により、同第48条及び同第49条の規定は、日本国外においてこれらの条の罪を犯した者にも適用されること

ク　番号法第57条に規定により、法人(法人でない団体で代表者や管理人の定めののあるものを含む)の代表者や従業者等が違反行為をした場合、当該法人も罰則の対象となること

(契約に当たっての措置)

第4　委託契約の締結に当たっては、次の措置を講じるものとする。

契約書中に、受託者が別記特記事項(個人番号を含まない個人情報の委託業務にあっては別記(その1)「個人情報取扱特記事項」、個人番号を含む個人情報の委託業務にあっては別記(その2)「(特定個人情報を含む)個人情報取扱特記事項」)を遵守する旨を記載すること又は契約書中に別記特記事項の内容を記載すること。

特に、個人番号利用事務等に係る委託契約においては、番号法第11条の規定により、個人番号利用事務等の全部又は一部の委託をする者は、当該委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならないとされていることから、契約書の内容の確認を行うこと。

なお、契約書の作成を省略できる契約の締結に当たっては、別記特記事項を契約事項として交付すること。

(契約書記載例)

(委託の実施に当たっての措置)

第5　委託の実施に当たっては、次の措置を講じるものとする。

(1)　保有個人情報の漏えいによる被害発生のリスクを低減する観点から、委託先に提供する個人情報は、委託に係る事務の目的の範囲内で必要最小限のものとすること。

また、必要に応じ、特定の個人を識別することができる記載の全部若しくは一部を削除し、又は別の記号等に置き換えること。

(2)　実施機関は、委託事務に係る個人情報の適切な取扱いを確保するために、受託者の個人情報の取扱い状況等について、必要に応じて実地に調査し、又は受託者に対して必要な書類の提出を求めるなど委託先に対する必要かつ充分な監督を行うこと。

また、委託先が個人情報取扱事業者(法第16条第2項)に該当する場合には、委託先において、個人データに関する安全管理措置を講ずべき義務(法第23条)も負うこととなるところ、実施機関は委託先に対する必要かつ適切な監督の一環として、法に従った個人データの適切な取扱いが確保されるように、委託先に対して必要な助言や指導を行うこと。

なお、委託先に対して必要かつ適切な監督を行っていない場合で、委託先(再委託先を含む。)が個人情報について不適切な取扱いを行ったときは、委託元である実施機関による法違反と判断されることがある点に留意すること。

(漏えい等の報告)

第6　個人情報の漏えい等の事案が発生した場合の対応に当たっては、次の事項に留意すること。

(1)　法第68条第1項の規定により、実施機関は、個人情報の漏えい、滅失等の事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの(法施行規則第43条)が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

個人情報の取扱いを実施機関以外のものに委託している場合において、委託先において漏えい、滅失等の事態が発生した場合の取扱いについては、委託元(実施機関)と委託先の双方が個人情報保護委員会に報告する義務(委託先においては法第26条第1項)を負うことになるが、委託先が、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を委託元(実施機関)に通知したときは、委託先は、当該事案に係る個人情報保護委員会への報告義務が免除されることに留意すること。

(2)　番号法第29条の4の規定により、実施機関(個人番号利用事務等実施者)は、特定個人情報ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの(番号法第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則第2条)が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

特定個人情報の取扱いを実施機関以外のものに委託している場合において、委託先において漏えい、滅失等の事態が発生した場合の取扱いについては、委託元(実施機関)と委託先の双方が個人情報保護委員会に報告する義務を負うことになるが、委託先が、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を委託元(実施機関)に通知したときは、委託先は、当該事案に係る個人情報保護委員会への報告義務が免除されることに留意すること。

個人情報取扱特記事項

(基本的事項)

第1　乙は、この契約による業務(以下「業務」という。)を行うに当たっては、個人の権利利益を侵害することのないよう個人情報を適正に取り扱わなければならない。

(秘密の保持)

第2　乙は、業務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。なお、この契約が終了した後においても、同様とする。

2　乙は、業務に従事している者に対し、当該業務に関して知り得た個人情報をその在職中及び退職後においてみだりに他人に知らせ、又は不当な目的に使用してはならないことなど個人情報の保護に関して必要な事項を周知させるものとする。

(収集の制限)

第3　乙は、業務を行うために個人情報を収集するときは、当該業務の目的を達成するために必要な範囲内で、適法かつ公正な手段により収集しなければならない。

(目的外利用・提供の禁止)

第4　乙は、甲の指示又は承諾があるときを除き、業務に関して知り得た個人情報を契約の目的以外に利用し、又は第三者に提供してはならない。

(安全管理措置)

第5　乙は、甲より個人情報の取扱いの委託を受けた場合、行政機関等と同様の安全管理措置を講ずる必要があることから、業務に関して知り得た個人情報の漏えい、滅失及びき損の防止その他の個人情報の適切な管理のために、個人情報の保護に関する法律(平成15年法律第57号)及び「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」に基づき必要かつ適切な措置を講じなければならない。

(複写・複製の禁止)

第6　乙は、甲の承諾があるときを除き、業務を行うために甲から引き渡された個人情報が記録された資料等を複写し、又は複製してはならない。

(作業場所の指定等)

第7　乙は、業務のうち個人情報を取り扱う部分(以下「個人情報取扱事務」という。)について、甲の指定する場所で行わなければならない。

2　乙は、甲の指示又は承諾があるときを除き、前項の場所から業務に関し取り扱う個人情報が記録された資料等を持ち出してはならない。

(資料等の返還等)

第8　乙は、業務を行うために甲から提供を受け、又は自らが収集した個人情報が記録された資料等をこの契約の終了後直ちに甲に返還し、若しくは引き渡し、又は消去し、若しくは廃棄しなければならない。ただし、甲が別に指示したときは、この限りでない。

2　乙は、前項の規定により電子記録媒体に記録された個人情報を消去又は廃棄する場合は、当該個人情報が復元できないように確実に消去又は廃棄しなければならない。

3　乙は、第1項の規定により個人情報を消去又は廃棄した場合は、当該個人情報の消去又は廃棄を行った日時、担当者名及び方法を記載した報告書を甲に提出し、確認を受けなければならない。

(事故発生時における報告等)

第9　乙は、個人情報の漏えい、滅失、毀損その他の事態及びこの契約に違反する事態が生じ、又は生ずるおそれがあることを知ったときは、速やかに甲に報告しなければならない。

2　乙は、前項により報告を行う場合には、併せて被害の拡大防止等の必要な措置を講じるとともに、情報漏えい等に係る対応について甲の指示に従うものとする。

(調査監督等)

第10　甲は、乙における契約内容の遵守状況等について実地に調査し、又は乙に対して必要な報告を求めるなど、乙の個人情報の管理について必要な監督を行うことができる。

2　乙は、前項における報告について、甲が定期的な報告を求める場合にはこれに応じなければならない。

(指示)

第11　甲は、乙が業務に関し取り扱う個人情報の適切な管理を確保するために必要な指示を行うことができる。

(再委託の禁止)

第12　乙は、甲の承諾があるときを除き、個人情報取扱事務を第三者(再委託先が子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合を含む。以下次項において同じ。)に委託してはならない。

2　乙は、甲の承諾に基づき個人情報取扱事務を第三者に委託するときは、この契約により乙が負う個人情報の取扱いに関する義務を再委託先にも遵守させなければならない。

(労働者派遣契約)

第13　乙は、保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記しなければならない。

(損害賠償)

第14　乙又は乙の従事者(乙の再委託先及び乙の再委託先の従事者を含む。)の責めに帰すべき事由により、業務に関する個人情報の漏えい、不正利用、その他の事故が発生した場合、乙はこれにより第三者に生じた損害を賠償しなければならない。

2　前項の場合において、甲が乙に代わって第三者の損害を賠償した場合には、乙は遅滞なく甲の求償に応じなければならない。

(契約解除)

第15　業務に関する個人情報について、乙による取扱いが著しく不適切であると甲が認めたときは、甲はこの契約の全部又は一部を解除することができる。この場合の違約金は契約書本文の定めるところによる。

注

1　「甲」は実施機関を、「乙」は受託者を指す。

2　委託業務の実態に則し適宜必要な事項を追加し、不要な事項は削除するものとする。また、契約書本文の定めとの関係に応じ、必要な文言の整備を行うものとする。

(特定個人情報を含む)個人情報取扱特記事項

(基本的事項)

第1　乙は、この契約による業務(以下「業務」という。)を行うに当たっては、個人の権利利益を侵害することのないよう個人情報を適正に取り扱わなければならない。

(秘密の保持)

第2　乙は、業務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。なお、この契約が終了した後においても、同様とする。

2　乙は、業務に従事している者に対し、当該業務に関して知り得た個人情報をその在職中及び退職後においてみだりに他人に知らせ、又は不当な目的に使用してはならないことなど個人情報の保護に関して必要な事項を周知するものとする。

3　乙は、特定個人情報(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条第8項に規定する特定個人情報をいう。以下同じ。)に関する内容を含む業務を行うに当たっては、当該業務に従事する者を明確化し、当該従事者以外の者には特定個人情報を扱わせないこととするとともに、当該従業者に特定個人情報の保護に関する研修等を行うなど、適切な教育を施すものとする。

(収集の制限)

第3　乙は、業務を行うために個人情報を収集するときは、当該業務の目的を達成するために必要な範囲内で、適法かつ公正な手段により収集しなければならない。

(目的外利用・提供の禁止)

第4　乙は、甲の指示又は承諾があるときを除き、業務に関して知り得た個人情報(特定個人情報を除く。)を契約の目的以外に利用し、又は第三者に提供してはならない。

2　乙は、業務を行うために収集した特定個人情報については、番号法第19条各号(第8号を除く。)に掲げられたものについて甲が第三者への提供を指示した場合を除き、いかなるときであっても契約の目的以外に利用し、又は第三者に提供してはならない。

(安全管理措置)

第5　乙は、甲より個人情報の取扱いの委託を受けた場合、行政機関等と同様の安全管理措置を講ずる必要があることから、業務に関して知り得た個人情報の漏えい、滅失及びき損の防止その他の個人情報の適切な管理のために、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)及び「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」等に基づき必要かつ適切な措置を講じなければならない。

2　乙は、甲より特定個人情報の取扱いの委託を受けた場合、業務に関して知り得た特定個人情報の漏えい、滅失及び毀損の防止その他の特定個人情報の適切な管理のために法、「特定個人情報の適正な取扱いに関するガイドライン(行政機関等編)」及び「同ガイドライン(別添1)特定個人情報に関する安全管理措置(行政機関等編)」の規定に基づき必要な措置を講じるとともに、当該特定個人情報を扱う従業者に対する必要かつ適切な監督を行わなければならない。

(複写・複製の禁止)

第6　乙は、甲の承諾があるときを除き、業務を行うために甲から引き渡された個人情報が記録された資料等を複写し、又は複製してはならない。

(作業場所の指定等)

第7　乙は、業務のうち個人情報(特定個人情報を除く。次項において同じ。)を取り扱う部分(以下「個人情報取扱事務」という。)について、甲の指定する場所で行わなければならない。

2　乙は、甲の指示又は承諾があるときを除き、前項の場所から業務に関し取り扱う個人情報が記録された資料等を持ち出してはならない。

3　乙は、業務において特定個人情報を取り扱う場合は、甲の指定する場所で業務を行うとともに、漏えいすることがないよう厳重に保管しなければならない。

4　乙は、甲の指示により特定個人情報を持ち出しをする場合又は災害発生時その他の緊急かつやむをえない場合を除き、いかなる場合も甲の指定する場所から特定個人情報を持ち出してはならない。

(資料等の返還等)

第8　乙は、業務を行うために甲から提供を受け、又は自らが収集した個人情報が記録された資料等をこの契約の終了後直ちに甲に返還し、若しくは引き渡し、又は消去し、若しくは廃棄しなければならない。ただし、甲が別に指示したときは、この限りでない。

2　乙は、前項の規定により電子記録媒体に記録された個人情報を消去又は廃棄する場合は、当該個人情報が復元できないように確実に消去又は廃棄しなければならない。

3　乙は、第1項の規定により個人情報を消去又は廃棄した場合は、当該個人情報の消去又は廃棄を行った日時、担当者名及び方法を記載した報告書を甲に提出し、確認を受けなければならない。

(事故発生時における報告等)

第9　乙は、個人情報(特定個人情報を含む)の漏えい、滅失、毀損その他の事態及びこの契約に違反する事態が生じ、又は生ずるおそれがあることを知ったときは、速やかに甲に報告しなければならない。

2　乙は、前項により報告を行う場合には、併せて被害の拡大防止等の必要な措置を講じるとともに、情報漏えい等に係る対応について甲の指示に従うものとする。

3　前項の場合において、甲が「特定個人情報の適正な取扱いに関するガイドライン(行政機関等編)」及び「同ガイドライン(別添2)特定個人情報の漏えい等に関する報告等(行政機関等編)」等に基づき必要な措置を講ずる場合には、乙は、甲の指示に従うものとする。

(調査監督等)

第10　甲は、乙における契約内容の遵守状況等について実地に調査し、又は乙に対して必要な報告を求めるなど、乙の個人情報の管理について必要な監督を行うことができる。

2　乙は、前項における報告について、甲が求める場合には定期的に報告をしなければならない。

3　特定個人情報の管理状況等の調査については、甲は第7の第3項の規定により指定した場所等に立入って調査を行うことができる。

(指示)

第11　甲は、乙が業務に関し取り扱う個人情報の適切な管理を確保するために必要な指示を行うことができ、乙はこの指示に従わなければならない。

(再委託の禁止)

第12　乙は、甲の承諾があるときを除き、個人情報取扱事務を第三者(再委託先が子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合を含む。以下次項において同じ。)に委託してはならない。

2　乙は、甲の承諾に基づき個人情報取扱事務を第三者に委託するときは、この契約により乙が負う個人情報の取扱いに関する義務を再委託先にも遵守させなければならない。

(労働者派遣契約)

第13　乙は、保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記しなければならない。

(損害賠償)

第14　乙又は乙の従事者(乙の再委託先及び乙の再委託先の従事者を含む。)の責めに帰すべき事由により、業務に関する個人情報の漏えい、不正利用、その他の事故が発生した場合、乙はこれにより第三者に生じた損害を賠償しなければならない。

2　前項の場合において、甲が乙に代わって第三者の損害を賠償した場合には、乙は遅滞なく甲の求償に応じなければならない。

(契約解除)

第15　業務に関する個人情報について、乙による取扱いが著しく不適切であると甲が認めたときは、甲はこの契約の全部又は一部を解除することができる。この場合の違約金は契約書本文の定めるところによる。

注

1　「甲」は実施機関を、「乙」は受託者を指す。

2　委託業務の実態に則し適宜必要な事項を追加し、不要な事項は削除するものとする。また、契約書本文の定めとの関係に応じ、必要な文言の整備を行うものとする。

福島県個人情報取扱事務委託基準の運用について

第1　委託先の選定について

1　福島県個人情報取扱事務委託基準(以下「基準」という。)第3(1)前段に関して、委託先を選定するときに参考にする個人情報保護に係る安全管理措置の内容は次のとおりであり、これらが十分講じられているか並びに基準別記(その1)及び基準別記(その2)個人情報取扱特記事項(以下「特記事項」という。)を遵守できるか等に留意し慎重に選定すること。

(1)　組織的安全管理措置

個人情報保護について従業者の責任と権限を明確に定め、規程や手順書を整備運用し、その実施状況を確認すること。

(2)　人的安全管理措置

従業者に対する、業務上秘密と指定された個人情報の非開示契約の締結や教育・研修等を行うこと。

(3)　物理的安全管理措置

入退館(室)の管理、個人情報の盗難の防止等の措置を講じること。

(4)　技術的安全管理措置

個人情報及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置を講じること。

また、保有個人情報の性質等に照らして適正なサイバーセキュリティの水準を確保すること。

2　基準第3(1)後段に関しては、特定個人情報の取扱いの委託について個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)の規定に加え行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)の規定も適用されることから、1に加え、基準第3(1)後段に記載しているガイドライン等の規定による安全管理措置が講じられることをあらかじめ確認すること。

3　基準第3(2)及び3(3)に基づく周知については、別紙1又は別紙2により周知すること。

第2　契約について

1　対象となる委託契約の類型について

委託業務の性質により、個人情報保護のために講じるべき措置は異なるため、委託業務における個人情報の取扱いに応じた委託契約の代表的な類型を次のとおり整理する。

(1)　個人情報処理型

主に個人情報を処理することを目的として、県の保有する個人情報を受託者に引き渡すもの

【例】データエントリー業務、システム開発業務、通知書等作成業務、名簿等印刷業務

(2)　個人情報収集型

県の保有する個人情報は引き渡さないが、受託者が個人情報を収集し取り扱うことが予定されているもの

【例】世論調査(アンケート)実施業務、研修会運営業務

(3)　付随取扱型

県の保有する個人情報は引き渡さないが、業務の遂行に付随して、個人情報を取り扱うことが想定されるもの

【例】庁舎警備業務、情報システム保守点検業務

2　契約上の措置について

基準第4に基づき、委託業者が守るべき義務について、個人情報取扱特記事項を遵守するよう契約書に記載すること、又は契約書中に特記事項の事項のうち必要な事項を記載すること。

(1)　業務内容に応じて特記事項に追加する事項の例

ア　個人情報管理責任者等の指定

第○　乙は、業務に関する個人情報の管理責任者を定め、甲に報告しなければならない。

2　乙は、業務に関し個人情報を取り扱う事務に従事する者を必要最小限の者に限定し、当該従事者を甲に報告しなければならない。

3　乙は、前二項の者以外に、業務に関し個人情報を取り扱う事務を行わせてはならない。

イ　保管場所又は保管方法の指定

第○　乙は、甲が指定する保管場所及び保管方法により、個人情報を保管しなければならない。

ウ　個人情報の運搬

第○　乙は、業務の処理に伴い、個人情報が記録された資料、成果物等を運搬する必要があるときは、個人情報の漏えい、紛失又は滅失等を防止するために必要な措置を講じなければならない。

エ　電子計算機に関する制限

第○　乙は、業務に使用する電子計算機を、情報漏えい等の対策が十分なされたものに限定しなければならない。

2　乙は、従事者の所有に帰する電子計算機を業務に使用させてはならない。

(2)　契約書本文との関係により特記事項の整備を行う場合の例

ア　再委託の禁止

(ア)　契約書本文で再委託を一切禁止している場合

特記事項第12を削除すること

(イ)　契約書本文に再委託を禁止する条項がない場合

特記事項第12のとおりとすること

(ウ)　契約書本文に、再委託を禁止するが甲の承諾があれば認める趣旨の条項がある場合

特記事項第12を次例のように変更すること

イ　契約の解除

(ア)　契約書本文に契約解除の定めがない場合、又は契約解除に伴う違約金の定めがない場合

特記事項第15中「この場合の違約金は契約書本文の定めるところによる。」を削除すること。

(イ)　契約書本文に定める場合

契約書本文に追加して定める場合は、特記事項第15を削除した上で次例のようにすること。

第3　漏えい等の報告等について

委託業者において、個人情報(特定個人情報を含む)の漏えい等の事案(個人の権利利益を害するおそれが大きいもの(※1)が発生した場合には、委託業者から委託元である実施機関に漏えい等発生の報告がなされることになるが、この場合には、委託元である実施機関から個人情報保護委員会に当該事態が生じた旨を報告しなければならないこと(※2)(※3)。

このため、報告に必要となる状況を把握するとともに、被害の拡大防止等の措置について委託先に指示すること。

なお、特定個人情報の漏えい等の場合については、番号法の規定等(※4)により報告等を行うこと。

※1　[個人情報の保護に関する法律施行規則(以下「法施行規則」という。)第43条]

法第68条第1項の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。

1　要配慮個人情報が含まれる保有個人情報(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第1項において「漏えい等」という。)が発生し、又は発生したおそれがある事態

2　不正に利用されることにより財産的被害が生じるおそれがある保有個人情報の漏えい等が発生し、又は発生したおそれがある事態

3　不正の目的をもって行われたおそれがある保有個人情報の漏えい等が発生し、又は発生したおそれがある事態

4　保有個人情報に係る本人の数が100人を超える漏えい等が発生し、又は発生したおそれがある事態

5　条例要配慮個人情報が含まれる保有個人情報の漏えい等が発生し、又は発生したおそれがある事態(地方公共団体の機関又は地方独立行政法人が法第68条第1項の報告を行う場合であって、当該地方公共団体の機関又は地方独立行政法人に適用される条例において条例要配慮個人情報について定められているときに限る。)

※2　[法施行規則第44条]

行政機関の長等は、法第68条第1項の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。)を報告しなければならない。

一　概要

二　漏えい等が発生し、又は発生したおそれがある保有個人情報の項目

三　漏えい等が発生し、又は発生したおそれがある保有個人情報に係る本人の数

四　原因

五　二次被害又はそのおそれの有無及びその内容

六　本人への対応の実施状況

七　公表の実施状況

八　再発防止のための措置

九　その他参考となる事項

2　前項の場合において、行政機関の長等は、当該事態を知った日から30日以内(当該事態が前条第3号に定めるものである場合にあっては、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。

※3　[個人情報の保護に関する法律第26条]

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

※4　[番号法第29条の4]

個人番号利用事務等実施者は、特定個人情報ファイルに記録された特定個人情報の漏えい、滅失、毀損その他の特定個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を委員会に報告しなければならない。ただし、当該個人番号利用事務等実施者が、他の個人番号利用事務等実施者から当該個人番号利用事務等の全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人番号利用事務等実施者に通知したときは、この限りでない。

法第29条の4第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。

一　次に掲げる特定個人情報(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下同じ。)の漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、又は発生したおそれがある事態

イ　情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報

ロ　個人番号利用事務実施者が個人番号利用事務を処理するために使用する情報システムにおいて管理される特定個人情報

ハ　行政機関、地方公共団体、独立行政法人等及び地方独立行政法人が個人番号関係事務を処理するために使用する情報システム並びに行政機関、地方公共団体、独立行政法人等及び地方独立行政法人から個人番号関係事務の全部又は一部の委託を受けた者が当該個人番号関係事務を処理するために使用する情報システムにおいて管理される特定個人情報

二　次に掲げる事態

イ　不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、又は発生したおそれがある事態

ロ　不正の目的をもって、特定個人情報が利用され、又は利用されたおそれがある事態

ハ　不正の目的をもって、特定個人情報が提供され、又は提供されたおそれがある事態

三　個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧され、又は閲覧されるおそれがある事態

四　次に掲げる特定個人情報に係る本人の数が100人を超える事態

イ　漏えい等が発生し、又は発生したおそれがある特定個人情報

ロ　法第9条の規定に反して利用され、又は利用されたおそれがある個人番号を含む特定個人情報

ハ　法第19条の規定に反して提供され、又は提供されたおそれがある特定個人情報

[特定個人情報の報告等規則第3条]

個人番号利用事務実施者及び個人番号関係事務実施者(以下「個人番号利用事務等実施者」という。)は、法第29条の4第1項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。

一　概要

二　特定個人情報の項目

三　特定個人情報に係る本人の数

四　原因

五　二次被害又はそのおそれの有無及びその内容

六　本人への対応の実施状況

七　公表の実施状況

八　再発防止のための措置

九　その他参考となる事項

2　前項の場合において、個人番号利用事務等実施者は、当該事態を知った日から30日以内(当該事態が前条第2号に定めるものである場合にあっては、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。

3　法第29条の4第1項本文の規定による報告は、個人情報保護委員会に対して、電子情報処理組織(個人情報保護委員会の使用に係る電子計算機と報告をする者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織をいう。以下この項において同じ。)を使用する方法(電気通信回線の故障、災害その他の理由により電子情報処理組織を使用することが困難であると認められる場合にあっては、別記様式による報告書を提出する方法)により行うものとする。

[特定個人情報の報告等規則第4条]

個人番号利用事務等実施者は、法第29条の4第1項ただし書の規定による通知をする場合には、第2条各号に定める事態を知った後、速やかに、前条第1項各号に定める事項を通知しなければならない。

第4　個人情報取扱特記事項の運用について

1　第4関係「甲の指示又は承諾があるとき」について

一般に、受託者において業務に関する個人情報を契約目的外に利用又は第三者提供する必要はなく、仮に受託者において契約目的外に利用又は第三者提供する必要が生じた場合も、原則として実施機関がその必要性を判断して自ら行うこととするが、実施機関ではなく受託者が行うことに相当の理由があるときは次により判断すること。

(1)　当該利用または提供を実施機関が行うとすれば法第69条第2項に適合し、かつ行政サービスの向上等、実施機関の行う事務事業に資する場合。

(2)　当該提供が、法第27条第1項第4号に該当する場合。

2　第5関係　安全管理措置について

個人情報保護委員会による「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」及び「同(通則編)」等に基づき、行政機関等と同等のレベルの安全管理措置を講ずるよう指導すること。

また、特定個人情報の取扱いの委託をする場合は、これに加えて、「特定個人情報の適正な取扱いに関するガイドライン(行政機関等編)」等特記事項記載の規定に基づき必要な安全管理措置を講ずるとともに、委託先において従業者に対する適切な監督を行うよう指導すること。

3　第6関係「甲の承諾があるとき」について

複写又は複製を承諾する場合の留意点は次のとおり。

(1)　複写又は複製の作成が、契約目的の達成のために必要かつやむを得ないものであること。

(2)　複写又は複製の範囲が必要最小限であること。

(3)　複写物又は複製物が原本同様に管理されること。

(4)　利用目的の達成後、複写物又は複製物が確実に廃棄され、又は返還されること。

4　第7関係

本項は、業務の性質及び取り扱う個人情報の秘匿性等により必要に応じて措置すること。

「甲の指定する場所」とは、委託者である担当課(所)が属する庁舎内等、担当課(所)の管理が及ぶ場所を原則とするが、事業者において個人情報の保護のための十分な措置がなされた作業場所が確保できると認められるときは、当該場所を指定することができる。

5　第8関係

個人情報の消去又は廃棄した場合には、当該作業にかかる報告書を受領するとともに、作業結果について必要な確認を行い記録を作成すること。

6　第9関係

委託先において、個人情報の漏えい、滅失、毀損その他の事態及び契約に違反する事態が生じ、又は生じるおそれがある場合には、速やかに甲に報告しなければならないことを十分に指導すること。実施機関は、この報告に基づき個人情報保護委員会へ報告する義務があること。

7　第10関係

調査又は報告徴収事項の例は次のとおり。

(1)　受託者における個人情報管理体制

(2)　個人情報資産の保管場所等、管理方法

(3)　再委託の状況又は再委託先に対する監督状況

(4)　作業場所における入退室管理、電子計算機又は外部記録装置の持ち込み・持ち出しの制限措置等の情報漏えい対策の措置状況

(5)　業務従事者への教育・研修の実施状況

(6)　その他業務の性質に応じ必要となる事項

8　第12関係　「甲の承諾があるとき」について

個人情報取扱事務を再委託することは原則として認められないが、例外的に再委託を承諾する場合の留意点は次のとおり。

(1)　再委託が、業務を達成する上で必要かつやむを得ないものであること。

(2)　再委託を行う範囲が必要最小限であること。

(3)　再委託先について、個人情報保護対策が十分になされていること。

(4)　個人情報の保護に関し受託者が負う義務と同等の義務を再委託先に課していること。

(5)　再々委託を禁じていること。

なお、再委託する場合の第三者には子会社を含むものであること。

9　第13関係

ここで定める損害賠償責務は、個人情報の漏えい等の事故により、第三者(個人情報の本人又は関係者等)に損害を与えたことに起因する賠償責任について定めるものであり、当事者間の一般的な損害賠償責務は、契約書本文において、必要に応じて措置されることに留意すること。

10　第14関係

「業務に関する個人情報について、乙による取扱いが著しく不適切であると甲が認めたとき」とは、個人情報の漏えい、不正利用等の重大な事故が発生し、受託者に業務を継続させることが、業務の適正な履行の確保の観点から不適当と認められる場合等をいう。

個人情報の保護に関する留意事項

本件業務を受託した場合は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)及び本件業務委託契約に基づき、本件業務を通じて取り扱う個人情報の保護に関し、下記の義務を負うことに留意してください。

記

1　契約内容には別記(その1)個人情報取扱特記事項が含まれており、又は契約書に個人情報取扱特記事項のうち必要な事項が規定されており、委託事務の遂行に当たっては、これらを遵守しなければならないこと

2　法第66条第2項で準用する同条第1項に基づき、受託者は個人情報の漏えい、滅失又は毀損の防止その他の安全管理のために必要かつ適切な措置を講じる義務を負うこと

3　法第67条に基づき、受託した事務に従事している者又は従事していた者は、その事務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない義務を負うこと

4　受託者及び従業者等は法第179条の罰則の対象となること

5　受託した事務に従事している者又は従事していた者は、法第176条若しくは同第180条の罰則の対象となること

6　代表者や従事者等が違反行為をした場合には、行為者のほか法人(法人でない団体で代表者又は管理人の定めのあるものを含む)も法第184条の罰則の対象となること

(教示)個人情報の保護に関する法律

(安全管理措置)

第66条　行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。

2　前項の規定は、次の各号に掲げる者が当該各号に定める業務を行う場合における個人情報の取扱いについて準用する。

(1)　行政機関等から個人情報の取扱いの委託を受けた者当該委託を受けた業務

(2)　指定管理者(地方自治法(昭和22年法律第67号)第244条の2第3項に規定する指定管理者をいう。)　公の施設(同法第244条第1項に規定する公の施設をいう。)の管理の業務

(3)　第58条第1項各号に掲げる者　法令に基づき行う業務であって政令で定めるもの

(4)　第58条第2項各号に掲げる者　同項各号に定める業務のうち法令に基づき行う業務であって政令で定めるもの

(5)　前各号に掲げる者から当該各号に定める業務の委託(2以上の段階にわたる委託を含む。)を受けた者　当該委託を受けた業務

(従事者の義務)

第67条　個人情報の取扱いに従事する行政機関等の職員若しくは職員であった者、前条第2項各号に定める業務に従事している者若しくは従事していた者又は行政機関等において個人情報の取扱いに従事している派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第2条第2号に規定する派遣労働者をいう。以下この章及び第176条において同じ。)若しくは従事していた派遣労働者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

第8章　罰則

第176条　行政機関等の職員若しくは職員であった者、第66条第2項各号に定める業務若しくは第73条第5項若しくは第121条第3項の委託を受けた業務に従事している者若しくは従事していた者又は行政機関等において個人情報、仮名加工情報若しくは匿名加工情報の取扱いに従事している派遣労働者若しくは従事していた派遣労働者が、正当な理由がないのに、個人の秘密に属する事項が記録された第60条第2項第1号に係る個人情報ファイル(その全部又は一部を複製し、又は加工したものを含む。)を提供したときは、2年以下の懲役又は100万円以下の罰金に処する。

第179条　個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第184条第1項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。

第180条　第176条に規定する者が、その業務に関して知り得た保有個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。

第183条　第176条、第177条及び第179条から第181条までの規定は、日本国外においてこれらの条の罪を犯した者にも適用する。

第184条　法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。

(1)　第178条及び第179条1億円以下の罰金刑

(2)　第182条同条の罰金刑

2　法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。

※　第184条第1項における法人には、法人でない団体で代表者又は管理人の定めのあるものを含む(第179条)。

特定個人情報を含む個人情報の保護に関する留意事項

本件業務を受託した場合は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び本件業務委託契約に基づき、本件業務を通じて取り扱う個人情報(番号法第2条第8項に規定する特定個人情報を含む。以下同じ。)の保護に関し、下記の義務を負うことに留意してください。

記

1　契約内容には別記(その2)個人情報取扱特記事項が含まれており、又は契約書に個人情報取扱特記事項のうち必要な事項が規定されており、委託事務の遂行に当たっては、これらを遵守しなければならないこと

2　法第66条第2項で準用する同条第1項に基づき、受託者は個人情報の漏えい、滅失又は毀損の防止その他の安全管理のために必要かつ適切な措置を講じる義務を負うこと

3　法第67条に基づき、受託した事務に従事している者又は従事していた者は、その事務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない義務を負うこと

4　番号法、特定個人情報の適正な取扱いに関するガイドライン(行政機関等編)(以下「番号法ガイドライン」という。)本文、番号法ガイドライン(別添1)特定個人情報に関する安全管理措置(行政機関等編)等の規定により、実施機関が果たすべき安全管理措置と同等の措置を講じることができること

5　番号法第11条の規定に基づき、個人番号利用事務等に係る委託を受けた者(受託者から委託を受けるものを含む。以下同じ。)は、特定個人情報の安全管理について委託者である実施機関の監督を受けること

6　番号法第12条の規定に基づき、個人番号利用事務等に係る委託を受けた者は、個人番号(番号法第2条第5項に規定する個人番号。生存する個人のものだけでなく、死者のものも含む。以下同じ。)の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならないこと

7　本件業務の受託者は法第179条の罰則の対象となること

8　受託した事務に従事している者又は従事していた者は、法第176条若しくは同第180条の罰則の対象となること

9　代表者や従事者等が違反行為をした場合には、行為者のほか法人(法人でない団体で代表者又は管理人の定めのあるものを含む)も法第184条の罰則の対象となること

10　特定個人情報の取扱いを含む受託した事務に従事している者又は従事していた者は、番号法第48条、同第49条、同第56条及び同第57条の罰則の対象となること

(教示)個人情報の保護に関する法律

(安全管理措置)

第66条　行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。

2　前項の規定は、次の各号に掲げる者が当該各号に定める業務を行う場合における個人情報の取扱いについて準用する。

(1)　行政機関等から個人情報の取扱いの委託を受けた者　当該委託を受けた業務

(2)　指定管理者(地方自治法(昭和22年法律第67号)第244条の2第3項に規定する指定管理者をいう。)　公の施設(同法第244条第1項に規定する公の施設をいう。)の管理の業務

(3)　第58条第1項各号に掲げる者　法令に基づき行う業務であって政令で定めるもの

(4)　第58条第2項各号に掲げる者　同項各号に定める業務のうち法令に基づき行う業務であって政令で定めるもの

(5)　前各号に掲げる者から当該各号に定める業務の委託(2以上の段階にわたる委託を含む。)を受けた者　当該委託を受けた業務

(従事者の義務)

第67条　個人情報の取扱いに従事する行政機関等の職員若しくは職員であった者、前条第2項各号に定める業務に従事している者若しくは従事していた者又は行政機関等において個人情報の取扱いに従事している派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第2条第2号に規定する派遣労働者をいう。以下この章及び第176条において同じ。)若しくは従事していた派遣労働者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

第8章　罰則

第176条　行政機関等の職員若しくは職員であった者、第66条第2項各号に定める業務若しくは第73条第5項若しくは第121条第3項の委託を受けた業務に従事している者若しくは従事していた者又は行政機関等において個人情報、仮名加工情報若しくは匿名加工情報の取扱いに従事している派遣労働者若しくは従事していた派遣労働者が、正当な理由がないのに、個人の秘密に属する事項が記録された第60条第2項第1号に係る個人情報ファイル(その全部又は一部を複製し、又は加工したものを含む。)を提供したときは、2年以下の懲役又は100万円以下の罰金に処する。

第179条　個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第184条第1項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。

第180条　第176条に規定する者が、その業務に関して知り得た保有個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。

第183条　第176条、第177条及び第179条から第181条までの規定は、日本国外においてこれらの条の罪を犯した者にも適用する。

第184条　法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。

(1)　第178条及び第179条　1億円以下の罰金刑

(2)　第182条同条の罰金刑

2　法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。

※　第184条第1項における法人には、法人でない団体で代表者又は管理人の定めのあるものを含む(第179条)。

行政手続における特定の個人を識別するための番号の利用等に関する法律

(委託先の監督)

第11条　個人番号利用事務等の全部又は一部の委託をする者は、当該委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならない。

(個人番号利用事務実施者等の責務)

第12条　個人番号利用事務実施者及び個人番号関係事務実施者(以下「個人番号利用事務等実施者」という。)は、個人番号の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならない。

第9章　罰則

第48条　個人番号利用事務等又は第7条第1項若しくは第2項の規定による個人番号の指定若しくは通知、第8条第2項の規定による個人番号とすべき番号の生成若しくは通知若しくは第14条第2項の規定による機構保存本人確認情報の提供に関する事務に従事する者又は従事していた者が、正当な理由がないのに、その業務に関して取り扱った個人の秘密に属する事項が記録された特定個人情報ファイル(その全部又は一部を複製し、又は加工した特定個人情報ファイルを含む。)を提供したときは、4年以下の懲役若しくは200万円以下の罰金に処し、又はこれを併科する。

第49条　前条に規定する者が、その業務に関して知り得た個人番号を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、3年以下の懲役若しくは150万円以下の罰金に処し、又はこれを併科する。

第56条　第48条から第52条の3までの規定は、日本国外においてこれらの条の罪を犯した者にも適用する。

第57条　法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者若しくは管理人又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して次の各号に掲げる違反行為をしたときは、その行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。

一　第48条、第49条及び第53条　1億円以下の罰金刑

二　第51条及び第53条の2から第55条の2まで　各本条の罰金刑

2　法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。