特定個人情報保護評価書提出

何のための制度か

特定個人情報保護評価（PIA）は、行政機関や地方公共団体、一定の事業者がマイナンバー（個人番号）を含む個人情報＝特定個人情報を取り扱う事務を始める前に、情報漏えいその他のリスクを自ら点検し、その対策を宣言する手続きです。番号法第27条に基づき、評価書を作成して個人情報保護委員会に提出・公表することが義務づけられています。許認可のように「許可されて初めて事業ができる」性質ではなく、リスク評価を事前に行い公表することで国民の信頼を確保する制度である点が特徴です。

対象となる者・事務

評価の実施義務があるのは、マイナンバーを含む個人情報ファイルを保有しようとする国の行政機関・地方公共団体・独立行政法人等、および情報提供ネットワークシステムを使う一部の事務です。民間事業者は、原則としてこの評価書提出の義務者ではありません（民間は番号法上の安全管理措置の対象ではあっても、PIAの実施義務者ではない）。地方公共団体が住民税・国民健康保険・児童手当などマイナンバー利用事務のシステムを新設・改修する場合が代表例です。

評価の3つのしきい値

対象人数とリスクに応じて、作成すべき評価書の重さが3段階に分かれます。

• 基礎項目評価：取扱対象が原則1,000人以上の事務で実施。最も簡易な様式
• 重点項目評価：対象が10万人以上、または過去に重大事故があった等の場合
• 全項目評価：対象が30万人以上などリスクが特に高い場合。住民の意見聴取や第三者点検（個人情報保護委員会の点検）が必要

人数のしきい値は事務の規模で変わるため、自らの保有予定人数を先に確定させることが出発点になります。

申請（提出）の流れ

• 対象事務と保有人数を確定し、しきい値判定でどの評価書が必要かを決める
• 評価書様式に沿って、取り扱う情報の範囲・フロー・リスク対策を記載する
• 全項目評価ではパブリックコメント等による住民の意見聴取を行う
• 個人情報保護委員会の「マイナンバー保護評価Web」システムを通じて評価書を提出・公表する
• 全項目評価は委員会の第三者点検を受け、指摘があれば修正する

費用は提出手数料という意味では無料ですが、システム改修やセキュリティ対策、外部点検支援を委託する場合の実務コストが実質的な負担になります。

つまずきやすい点

• しきい値判定の誤り：対象人数を過小評価して必要な評価区分を取り違えるケースが最も多い
• 情報フロー図の不備：どの部署・システム間でマイナンバーが移動するかが特定できていないと差し戻される
• リスク対策の記載が抽象的：「適切に管理する」では不十分で、具体的な技術的・組織的措置の記述が求められる
• 公表後の更新漏れ：事務やシステムを変更したのに評価書を見直していない

変更・再評価の注意

評価書は一度提出すれば終わりではありません。少なくとも概ね1年に1回は記載内容を見直すことが求められ、システムの大幅な改修や取扱事務の変更があれば、その都度評価書を修正・再提出します。重要な変更を行う場合は事前の再評価が原則であり、変更後に追認する運用は避けるべきです。委員会の様式・運用は更新されることがあるため、提出前に最新の様式と指針を必ず確認してください。