国税庁が定める「国税庁の保有する個人情報の適切な管理に関する訓令」(国税庁訓令第3号)の全文を掲載します。国税・税務署が保有する個人情報の管理体制・職員の責務・アクセス制限・漏えい対応・委託先管理など、国税庁における個人情報保護の実務ルールを定めた訓令です。

国税庁が定める「国税庁の保有する個人情報の適切な管理に関する訓令」(国税庁訓令第3号)の全文を掲載します。国税・税務署が保有する個人情報の管理体制・職員の責務・アクセス制限・漏えい対応・委託先管理など、国税庁における個人情報保護の実務ルールを定めた訓令です。

訓令の基本情報

国税庁訓令第3号

 国税庁の保有する個人情報の適切な管理に関する訓令を次のように定める。

 平成17年3月28日
 改正 平17国税庁訓令第18号
 改正 平19国税庁訓令第10号
改正 平23国税庁訓令第3号
改正 平27国税庁訓令第1号
改正 平27国税庁訓令第19号
改正 平29国税庁訓令第17号
改正 令元国税庁訓令第5号
改正 令4国税庁訓令第1号

国税庁長官 大武 健一郎

国税庁の保有する個人情報の適切な管理に関する訓令

目次

第1章 総則(第1条~第3条)
第2章 管理体制(第4条・第5条)
第3章 教育研修(第6条)
第4章 職員の責務(第7条)
第5章 保有個人情報等の取扱い(第8条~第18条)
第6章 情報システムによる保有個人情報等の管理(第19条~第35条)
第7章 保有個人情報等の提供及び業務の委託等(第36条・第37条)
第8章 保有個人情報等の適切な管理のための措置の評価及び改善(第38条・第39条)
第9章 漏えい等事案への対応(第40条・第41条)
第10章 保有個人情報等の管理の評価(第42条)
第11章 独立行政法人に対する指導等(第43条)
附則

第1章 総則

(目的)
第1条 この訓令は、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号。以下「個人情報保護法」という。)及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)の趣旨にのっとり、国税庁(国税局及び税務署を含む。以下同じ。)の保有する個人情報(以下「保有個人情報等」という。)の適切な管理を確保するための措置を定め、もって個人の権利利益の保護に資することを目的とする。

第2章 管理体制

(管理体制)
第4条 国税庁に、保有個人情報等の管理を統括する総括保護管理者を置き、長官をもって充てる。
2 国税庁、国税局(沖縄国税事務所を含む。以下同じ。)及び税務署の各部局に保護管理者及び保護担当者を置く。
3 保護管理者は、各個人情報取扱課における保有個人情報等を適切に管理する任に当たる。保有個人情報等を情報システムで取り扱う場合、保護管理者は、セキュリティ実施規則で定める情報システムセキュリティ責任者又は課室情報セキュリティ責任者と連携して、その任に当たる。また、次に掲げる事項を指定する。
 一 特定個人情報等を取り扱う職員(以下「特定個人情報等取扱者」という。)及びその役割
 二 特定個人情報等取扱者が取り扱う特定個人情報等の範囲
4 保護担当者は、保護管理者を補佐し、各個人情報取扱課における保有個人情報等の管理に関する事務を担当する。
5 事務監察責任者は、保有個人情報等の管理の状況について、その事務を監察する任に当たる。

(保有個人情報等の適切な管理のための委員会)
第5条 総括保護管理者は、保有個人情報等の管理に係る重要事項の決定、連絡・調整等を行うため必要があると認めるときは、関係職員を構成員とする委員会を設け、定期に又は随時に開催する。

第3章 教育研修

(教育研修)
第6条 総括保護管理者は、保有個人情報等の取扱いに従事する職員(非常勤職員及び派遣労働者を含む。以下同じ。)に対し、保有個人情報等の取扱いについて理解を深め、個人情報及び特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。

第4章 職員の責務

(職員の責務)
第7条 職員は、個人情報保護法及び番号法の趣旨にのっとり、関連する法令及び規程等の定め並びに総括保護管理者、保護管理者及び保護担当者の指示に従い、保有個人情報等を取り扱わなければならない。

第5章 保有個人情報等の取扱い

(アクセス制限)
第8条 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、当該保有個人情報等にアクセスする権限を有する職員の範囲及び権限の内容を、当該職員が業務を行う上で必要最小限の範囲に限る。
2 アクセス権限を有しない職員は、保有個人情報等にアクセスしてはならない。
3 職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報等にアクセスしてはならない。

(複製等の制限)
第9条 職員が業務上の目的で保有個人情報等を取り扱う場合であっても、保護管理者は、次に掲げる行為については、当該保有個人情報等の秘匿性等その内容に応じて、当該行為を行うことができる場合を限定し、職員は、保護管理者の指示に従い行う。
 一 保有個人情報等の複製
 二 保有個人情報等の送信
 三 保有個人情報等が記録されている媒体の外部への送付又は持ち出し
 四 その他保有個人情報等の適切な管理に支障を及ぼすおそれのある行為

(誤りの訂正等)
第10条 職員は、保有個人情報等の内容に誤りを発見した場合には、事務処理手順が明確に定められているときは、その手順により、それ以外のときは、保護管理者の指示に従い、訂正等を行う。

(媒体の管理等)
第11条 職員は、保護管理者の指示に従い、保有個人情報等が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火書庫又は耐火金庫への保管、施錠等を行う。
2 保護管理者は、職員が特定個人情報等が記録された媒体の持ち出し又は送付を行う場合には、容易に個人番号が判明しないよう安全な方策を講ずる。
3 職員は、保有個人情報等が記録されている媒体の紛失・盗難等に留意する。

(廃棄等)
第12条 職員は、保有個人情報等又は保有個人情報等が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が文書管理規則で定める保存期間を満了し不要となった場合には、保護管理者の指示に従い、当該保有個人情報等の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を確実に行う。
2 保護管理者は、特定個人情報等を消去した場合又は特定個人情報等が記録されている媒体を廃棄した場合には、消去又は廃棄した記録を保存する。

(保有個人情報等の取扱状況の記録)
第13条 保護管理者は、保有個人情報の秘匿性等その内容に応じて、台帳等を整備して、当該保有個人情報の利用及び保管等の取扱いの状況について記録する。
2 保護管理者は、特定個人情報ファイルの取扱状況を確認する手段を整備して、当該特定個人情報等の利用及び保管等の取扱状況について記録する。

(個人番号の利用の制限)
第14条 保護管理者は、個人番号の利用に当たり、番号法があらかじめ限定的に定めた事務に限定する。

第6章 情報システムによる保有個人情報等の管理

(アクセス状況の記録)
第20条 保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報へのアクセス状況を記録し、その記録を一定の期間保存し、定期的に分析するために必要な措置を講ずる。
2 保護管理者は、特定個人情報等へのアクセス状況を記録し、その記録を一定の期間保存し、定期に又は随時に分析するために必要な措置を講ずる。

(外部からの不正アクセスの防止)
第23条 保護管理者は、保有個人情報等を取り扱う情報システムへの「不正アクセス行為の禁止等に関する法律」(平成11年法律第128号)第2条第4項各号に規定する不正アクセス行為その他の外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずる。

(情報システム室等の管理)
第35条 保護管理者は、外部からの不正な侵入に備え、情報システム室等に施錠装置、警報装置、監視設備の設置等の措置を講ずる。
2 保護管理者は、災害等に備え、可能な限り、情報システム室等に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずる。

第7章 保有個人情報等の提供及び業務の委託等

(保有個人情報等の提供)
第36条 保護管理者は、個人情報保護法第69条第2項第3号及び第4号の規定に基づき行政機関及び独立行政法人等以外の者に保有個人情報を提供する場合には、次による。
一 原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について書面を取り交わす。
二 安全確保の措置を要求するとともに、必要があると認めるときは、提供前又は随時に実地の調査等を行い措置状況を確認し、その結果を記録するとともに、改善要求等の措置を講ずる。
2 保護管理者は、個人情報保護法第69条第2項第3号の規定に基づき行政機関又は独立行政法人等に保有個人情報を提供する場合において、必要があると認めるときは、前項に規定する措置を講ずる。
3 保護管理者は、番号法で限定的に明記された場合を除き、特定個人情報等を提供してはならない。

(業務の委託等)
第37条 保有個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有する者を委託先として選定し、委託先の適切な監督を確保するために必要な措置を講ずる。

第9章 漏えい等事案への対応

(漏えい等事案の報告)
第40条 職員は、保有個人情報等の漏えい、滅失又は毀損(以下「漏えい等事案」という。)を発見した場合及びそのおそれがある場合には、直ちに保護管理者に報告する。
2 保護管理者は、前項の報告を受けた場合及び自ら漏えい等事案を認識した場合には、直ちに被害の最小化及び拡大防止のための措置を講ずるとともに、速やかに総括保護管理者に報告する。

(漏えい等事案発生後の措置)
第41条 総括保護管理者は、漏えい等事案が発生した場合には、その原因を分析し、再発防止のための措置を講ずる。

第11章 独立行政法人に対する指導等

(独立行政法人に対する指導等)
第43条 国税庁は、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定)4に基づき、所管する独立行政法人に対して、その業務運営における自主性に配慮しつつ、個人情報及び個人番号の保護に関し必要な指導、助言を行う。

附則

1 この訓令は、平成17年4月1日から施行する。

2 この訓令は、平成17年11月8日から施行する。

3 この訓令は、平成19年7月10日から施行する。

4 この訓令は、平成23年4月1日から施行する。

5 この訓令は、平成27年4月1日から施行する。

6 この訓令は、平成27年10月5日から施行する。

7 この訓令は、平成29年7月10日から施行する。

8 この訓令は、令和元年7月10日から施行する。

9 この訓令は、令和4年4月1日から施行する。

国税庁の保有する個人情報の適切な管理に関する訓令(附則)

📌 この訓令のポイント

  • 管理体制:総括保護管理者(長官)を頂点に、国税庁・国税局・税務署の各部局に保護管理者・保護担当者を置き、保有個人情報等の適切な管理を統括。
  • アクセス制限:職員のアクセス権限は業務上必要最小限の範囲に限定。権限のない職員はアクセス禁止、権限があっても業務目的以外のアクセスは禁止。
  • 漏えい対応:漏えい等事案発見時は職員→保護管理者→総括保護管理者の順に即報告。原因分析・再発防止措置を実施。
  • 委託先管理:業務委託時は個人情報の適切な管理能力を有する者を選定し、委託先への適切な監督確保措置を講ずる。
  • 特定個人情報:番号法で限定された事務に限定して利用。特定個人情報等の提供は番号法で限定的に明記された場合を除き禁止。

📋 実務上の留意点

  • 不正アクセス対策:情報システムへの不正アクセス防止のためファイアウォール設定等の措置が必要。情報システム室等には施錠装置・警報装置・監視設備の設置等が求められる。
  • 媒体の廃棄・消去:保存期間満了後の個人情報は復元・判読が不可能な方法で消去または廃棄し、特定個人情報等については消去・廃棄の記録を保存。

よくある質問

Q1. 国税庁(税務署を含む)の個人情報管理の責任者は誰ですか?

この訓令では、国税庁に保有個人情報等の管理を統括する総括保護管理者を置き、長官をもって充てることとされています。また、国税庁・国税局・税務署の各部局に保護管理者及び保護担当者が置かれます。

Q2. 国税・税務署の職員は個人情報にどのような制限でアクセスできますか?

第8条では、保護管理者は保有個人情報等の秘匿性等その内容に応じて、アクセス権限を有する職員の範囲及び権限の内容を業務上必要最小限の範囲に限ることとされています。アクセス権限を有しない職員はアクセスしてはならず、権限を有する場合でも業務目的以外のアクセスは禁止されています。

Q3. 個人情報の漏えいが発生した場合、国税庁・税務署ではどう対応しますか?

第40条・第41条に定められています。職員は漏えい等事案を発見した場合には直ちに保護管理者に報告し、保護管理者は被害の最小化・拡大防止のための措置を講ずるとともに速やかに総括保護管理者に報告します。総括保護管理者は原因を分析し再発防止措置を講じます。

Q4. 国税庁が保有する個人情報を外部に委託する場合の要件は?

第37条では、保有個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有する者を委託先として選定し、委託先の適切な監督を確保するために必要な措置を講ずることとされています。

関連記事