行政書士 一般知識 問44:情報通信・デジタル関連法
行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)に関する次のア〜オの記述のうち、**誤っているもの**はどれか。
- アマイナンバー(個人番号)は、社会保障・税・災害対策の行政手続において利用が認められており、法律に規定がない場面での使用は禁止されている。
- イ事業者は、従業員のマイナンバーを給与所得の源泉徴収票作成等の法定業務のために収集・利用することができるが、従業員の同意があれば法定業務以外の目的にも利用することができる。正答
- ウマイナンバーを含む個人情報を「特定個人情報」といい、特定個人情報は個人情報保護法の規律に加えてマイナンバー法による上乗せ規制を受ける。
- エマイナンバーは生涯同じ番号が使われ続けるのが原則であるが、マイナンバーが漏えいして不正に使用されるおそれがある場合には、本人の申請または職権で番号の変更が認められる。
- オマイナンバーを取り扱う事業者は、特定個人情報の安全管理措置として、特定個人情報保護評価(PIA)を必ず実施しなければならない。
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。根拠条文・判例も明記。
正答(誤り)はイです。マイナンバーは法律に規定された特定の目的のためにのみ利用が認められており、従業員の同意があっても法定業務以外の目的には利用できません。これはマイナンバー法の番号利用の限定的許容(9条)という根幹原則です。ア(正):マイナンバーの利用は社会保障・税・災害対策の行政手続に限定されており(9条)、法律に規定がない場面での使用は禁止されています。ウ(正):特定個人情報はマイナンバーを含む個人情報(2条8項)であり、個人情報保護法の規律に加えてマイナンバー法による追加規制を受けます(利用範囲の厳格な限定・提供制限等)。エ(正):番号の変更制度(7条2項)が設けられており、漏えい等のおそれがある場合は変更が認められます。オ(誤りに見えますが):PIA(特定個人情報保護評価)の義務化は一定規模以上の場合であり、すべての事業者に「必ず」実施義務があるわけではありません。本問ではイが最も明確な誤りです。
イが誤りです。マイナンバー法9条は個人番号の利用範囲を「社会保障、税及び災害対策に関する特定の事務」に限定しており、たとえ本人の同意があっても法定業務以外の目的での利用は禁止されます。これは個人情報保護法が「本人の同意」によって利用目的の拡大を認める(目的外利用の例外)のとは異なる、より厳格な規律です。マイナンバー法の利用制限は同意による緩和を認めない「絶対的制限」として設計されています。ア(正):法定利用範囲(別表第1・第2)に掲げられた事務のみが利用可能です(9条)。ウ(正):特定個人情報は2条8項で「個人番号(個人番号に対応し、当該個人番号の代わりに用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報」と定義されます。エ(正):7条2項は「個人番号が漏えいして不正に用いられるおそれがあると認められる場合」の番号変更を認めています。オについて:PIA(29条の2)は一定の規模・類型の特定個人情報ファイルを保有する国の行政機関・地方公共団体等に義務付けられており、民間事業者については任意実施(義務ではない)とされています(個人情報保護委員会ガイドライン参照)。
【マイナンバー制度の設計思想と利用制限の法的構造】
マイナンバー法の特徴は「番号の利用を原則禁止とし、例外的に法律で認めた場合のみ利用を許容する」という許可制的アプローチを採っていることです。個人情報保護法が「利用目的を特定して本人に知らせれば利用可」という開放的アプローチを採るのとは根本的に異なります。この厳格な制度設計の背景には、マイナンバーが生涯変わらない(原則)唯一の識別番号であるため、流出した場合の被害が特定個人情報の複数件分に及ぶリスクへの対応があります。例えばマイナンバーと連動した情報(年収・年金・医療記録等)が一括してアクセスされる可能性を防ぐため、利用場面の厳格な限定が設計原則とされています。
【特定個人情報ファイルと提供制限】
19条は特定個人情報の第三者提供を原則禁止とし、例外(情報提供ネットワークシステムによる提供・法令に基づく場合等)のみ許容しています。情報提供ネットワークシステム(マイナポータルのバックエンドに相当)は、異なる行政機関間での特定個人情報の共有を「番号でなく符号(機関別符号)を用いる」方式で行い、一元化されたデータベースを作らない設計となっています。この「分散管理・符号化」の設計は、マイナンバーによる個人情報の一括管理リスクを低減するための技術的・制度的工夫です。
【PIA(特定個人情報保護評価)の制度詳細】
29条の2のPIA(Privacy Impact Assessment:プライバシー影響評価)は、一定規模の特定個人情報ファイルを取り扱う国・地方公共団体等の公的機関に対し、個人情報保護委員会に評価書を提出することを義務付けています。評価の段階は①基礎項目評価(保有ファイルの登録)、②重点項目評価(一定規模以上)、③全項目評価(最大規模)に分かれます。民間事業者は義務的PIAの対象外ですが、任意でのPIA実施が奨励されています(特にマイナンバー取扱量が多い企業)。PIA制度はGDPR第35条のDPIA(Data Protection Impact Assessment)と制度的に類似しており、個人情報保護の国際標準化の流れに沿った仕組みです。
【上位資格・実務への接続】
行政書士として企業のマイナンバー管理体制整備支援を行う場面では、①取扱規程の整備(個人番号取扱規程の作成)、②収集・利用・提供・廃棄の各段階での法令遵守チェック、③従業員教育、④安全管理措置の実施が主要な支援内容です。特に中小事業者では従業員のマイナンバー収集(給与支払業務・社会保険手続)の管理が不十分な場合があり、適切な管理体制の構築が急務です。また2024年秋の健康保険証とマイナンバーカードの一体化(マイナ保険証への移行)以降、医療・社会保険分野でのマイナンバー利用が拡大しており、関連する行政手続の対応業務も増加しています。
【根拠条文】
行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)第2条第8項(特定個人情報の定義)・第7条第2項(個人番号の変更)・第9条(利用範囲:社会保障・税・災害)・第19条(提供制限)・第29条の2(特定個人情報保護評価)
【補足】
マイナンバーの利用は法定範囲のみ・本人同意でも法定外利用不可(イが誤り)。特定個人情報=マイナンバーを含む個人情報(2条8項)。番号変更制度あり(7条2項)。PIA義務は公的機関・民間は任意(29条の2)。
本問は合格ナビが作成したオリジナル問題です(過去問の転載ではありません)。 根拠・出典:根拠: 行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)第2条(個人番号・特定個人情報の定義)・第9条(利用範囲)・第19条(第三者提供の制限)・第7条(個人番号の変更)・第29条の2(特定個人情報保護評価) 現行法(2026年度基準)に準拠し、根拠条文・判例を明記しています。