特定個人情報の提供制限

マイナンバー法第19条は、「何人も、マイナンバー法で限定的に明記された場合を除き、特定個人情報を提供してはならない」としている。

　事業者が特定個人情報を提供できるのは、社会保障、税、災害対策に関する特定の事務のために従業員などの特定個人情報を行政機関や健康保険組合などに提供する場合などに限られる（なお、改正マイナンバー法の施行によって、銀行口座情報や健康記録などとの結合も今後は可能になる）。

　この「提供」とは、法的な人格を超える特定個人情報の移動のことであり、同一法人内、つまり同じ会社内を超えない特定個人情報の移動は「提供」ではなく「利用」になり、利用制限に従うことになる。

　「提供」にあたるかどうかの判断について、ガイドラインの具体例は次のとおりである。

「提供」にあたらない場合

　Ａ社のある部署から別の部署へ特定個人情報が移動する場合、それぞれの部署はＡ社の社内の部署であり、独立した法的人格を持たないから、特定個人情報の「提供」にはならない。

　たとえば、営業部に所属する従業員などの個人番号が、営業部庶務課を通じ、給与所得の源泉徴収票を作成する目的で同じ社内の経理部に提出された場合には、「提供」にはならず、法令で認められた「利用」となる。

「提供」にあたる場合

　Ａ社からＢ社に特定個人情報が移動する場合は「提供」にあたる。

　たとえば、同じ系列の会社間などの特定個人情報の移動であっても、別の法人である以上は「提供」になり、提供が制限される。

　また、ある従業員がＡ社からＢ社に出向で異動し、Ｂ社が給与支払者（給与所得の源泉徴収票の提出義務者）になった場合には、Ａ社とＢ社の間で従業員の個人番号を受け渡すことはできず、Ｂ社はあらためて本人から個人番号の提供を受けなければならない。

系列会社でデータベースを共有している場合

　同じ系列の会社間などで従業員などの個人情報を共有データベースで保管しているような場合、従業員が現在就業している会社のファイルにのみその個人番号を登録し、他の会社がその個人番号を参照できないようなシステムを採用していれば、共有データベース

に個人番号を記録することはできる。

　しかし、従業員などの出向に伴って、本人を介在させずに共有データベース内で自動的にアクセス制限を解除するなどして出向元の会社のファイルから出向先の会社のファイルに個人番号を移動させることは提供制限の違反となるので、留意する必要がある。

　一方で、共有データベースに記録された個人番号を出向者本人の意志による操作で出向先に移動させれば、本人が新たに個人番号を出向先に提供したとみなせるので、提供制限には違反しない。なお、この場合は、本人の意志に反した不適切な個人番号の提供が行われないように、本人のアクセスと識別について安全管理措置を講ずる必要がある。

　また、本人確認については、内閣府のマイナンバー法施行規則に従って手続きを整備しておけば、本人確認の事務を効率的に行うことができる。

（※　平成27年11月時点で執筆しております。その後の法改正にご留意ください。）