この通知文書の内容は、次のとおりです。
これらのうち「中間サーバーに関する特定個人情報保護評価の実施に当たって」には次の記載があります。地方公共団体は、中間サーバーの管理責任を負わされながら、中間サーバーの詳細内容が決定されていない段階で、主体的に評価するのに必要な充分な情報の提供を受けていないため、事実上、国(総務省)が示す記載例をそのまま書き写すことを余儀なくされています。特定個人情報保護評価(Information Protection Assessment)なるものが、プライバシー影響評価(Privacy Impact Assessment)とは似ても似つかないものであることの何よりの証左です。
全項目評価書記載事項のうち、「中間サーバー・ソフトウェア」(※1)及び「中間サーバー・プラットフォーム」(※2)において対策を行っている事項については、記載例を示しているので、参考にされたい(別紙参照)。
- ※1 中間サーバー・ソフトウェア
- 番号法令に基づく、情報提供ネットワークシステムを使用した情報連携を実施するため、地方公共団体(情報照会機関)からの特定個人情報の照会、及び地方公共団体(情報提供機関)による特定個人情報の提供それに付随する業務を行うアプリケーション(プログラム)群を指す(ハードウェアを含まない。)
- ※2 中間サーバー・プラットフォーム
- 各地方公共団体の経費節減、セキュリティ、運用の安定性の確保の観点から、クラウドの積極的な活用により共同化・集約化を図るため、地方公共団体情報システム機構により整備・運用される中間サーバーの拠点。
【「中間サーバーに関する特定個人情報保護評価の実施に当たって」4ページ】
世田谷区長が実施した特定個人情報保護評価のうち、第三者点検を要する全項目評価の評価書には、点検を行った世田谷区情報公開・個人情報保護審議会のきわめてまっとうな意見が記載されています。
この第三者点検の指摘を踏まえ、「Ⅳその他のリスク対策」の「3.その他のリスク対策」の項目には「中間サーバについて、地方公共団体にとって必要な意見を国やJ−LISに上げていく」という1項目が追加されています。
特定個人情報保護評価書(全項目評価書)Ⅵ 評価実施手続3.第三者点検
- ①実施日
- 平成27年2月10日(火)、平成27年2月28日(土)
- ②方法
- 世田谷区情報公開・個人情報保護審議会による点検
- ③結果
①第三者点検における指摘事項は以下のとおり。
平成27年2月4日付諮問第645号により依頼のあった「特定個人情報保護評価における第三者点検について」に関しては、審議会において、数回にわたり多角的に審議を行った。
審議においては、番号制度についての国民・区民の認知度が低いこと、個人情報保護のチェック体制確立やトラブル発生時の対応窓口設置が必要なこと、国の中間サーバーのセキュリティについての懸念があることなど、特定個人情報保護評価書以外の事項についても様々な意見が出された。
これらのことから、審議の過程で出された、今後区において留意されたい事項についての主な意見の要旨を下記に示すので、世田谷区としては、これらの意見を真摯に受け止め、区民の信頼を得られるよう、個人情報保護の徹底と制度の構築及び運営に取り組むことや、国等への意見具申なども含め、適切に対処されたい。
【制度について】
- 仮にマイナンバー制度にメリットがあるとしても、それよりもリスクが大きいように感じられることから、区民の目線に立った制度運営をされたい。
- 韓国やアメリカの類似のシステムでは、成り済ましの事件が起きており、このままでは区民が被害を被るおそれがあることを考慮されたい。なお、その場合において、成り済まし被害の実態の調査、被害の防止対策の検討や危険性の区民周知などの必要性についても考慮されたい。
- 国が定めた制度であるとしても、区が何らかの措置を行う必要があるということを考慮されたい。
- 共通番号の今後の民間利用の可能性から、大きな危険性が想定されることを考慮されたい。
- 警察や公安機関での特定個人情報の利用についての懸念があることを考慮されたい。
【中間サーバーについて】
- 中間サーバーの中身が決定していない段階では、情報漏えいの危険性の危惧を払拭することができないことから、非常に強い懸念があることを考慮されたい。
- 中間サーバーの状況が明確になり、地方自治体の対応ができる環境になるまではしばらく制度実施を保留又は延期するよう、区が国に要求する必要性などについても考慮されたい。
- 特定個人情報保護評価書の中間サーバーのリスク対策の記載は、国の情報のみに頼ることなく、J−LIS(地方公共団体情報システム機構)がどのようなチェックを経ているのかなど、区の意見を、国やJ−LISに上げる必要性などについても考慮されたい。
- 中間サーバーの安全性について疑義が生じた場合には、マイナンバーの利用停止なども含め、根幹に遡って議論し直す必要があることを考慮されたい。
【広報について】
- マイナンバー制度についての周知・広報活動が必ずしも十分ではない(本年2月19日付で公表された内閣府調査によれば「内容まで知っていた」と回答したのは国民の28.3%にとどまる)ことから、区として広報の充実を図ることを検討されたい。
- セキュリティリスク回避のためには、制度そのものへの区民の理解を深めるとともに、区民自らの意識の向上が不可欠である。そのためのわかりやすい説明の例として、区が、「せたがやプライバシー宣言」のようなものを示し、区民並びに区及び区職員にとっての行動基準とすることなどについても考慮されたい。
【区におけるセキュリティ対策について】
- セキュリティ等については、第三者機関又は監査といったシステムを明確につくることを検討されたい。
- セキュリティ監査等は、より客観的な評価が必要である。よって、内部評価、外部評価を併せた形でしっかりと監査体制を整える必要があることなどを考慮されたい。
- 監査とは別に事後評価の体制をつくることを検討されたい。
- 今後、民間利用が検討されていく中で、国がつくった基準だけでよいのか検討されたい。
- 特定個人情報の取扱いに関しての、何らかのガイドラインを区が区民に示していくことについて検討されたい。
- 安全性をより確実に担保するため、区独自のファイアーウォールを設置することについて検討されたい。
- 恒常的に第三者機関のチェックを受ける体制を整備することを検討されたい。
- 物理的な情報・リスク管理システムの充実のみならず、運用現場の制度理解、情報管理及びリスクに対する意識向上を図られたい。
【その他】
- 特定個人情報保護評価書の公表後も、今後のセキュリティ体制の検討結果などについて、区から審議会に報告を行うとともに、審議会として継続的にチェックしていくことについて考慮されたい。
- マイナンバー制度について、日常生活の上での区民の苦情や、情報漏洩が生じた場合に備え、これらに対応できる制度や区独自の相談・対応窓口及び苦情処理機関をつくることを検討されたい。なお、当該機関は、単に苦情を受け付けるだけではなく、独自に調査する権限、改善策、責任者の処分等について独自に意見を具申する権限を与えることが重要であることについて考慮されたい。また、これらの体制についての広報を充実することに関して考慮されたい。
- 個人番号の通知カードの送付にあたっては、DV被害者など、様々な方々への送付にあたっての必要な対策を講じられたい。
- 区として、区内民間事業者への番号制度の周知徹底など、必要な対策を講じられたい。
- 特定個人情報の取扱いに対する自己情報コントロール権の保障など、制度面の保護措置の必要性などについて考慮されたい。その場合において、特定個人情報の利用中止等の請求権などに関しての区民周知等についても徹底を図られたい。
②第三者点検の指摘を踏まえた評価書修正事項は以下のとおり。
「Ⅳその他のリスク対策」の1.監査A監査の項目にて、「より客観的な評価ができる監査を実施し」に修正。
「Ⅳその他のリスク対策」の3.その他のリスク対策の項目にて、「中間サーバについて、地方公共団体にとって必要な意見を国やJ−LISに上げていく」を追加。
【世田谷区長「特定個人情報保護評価書(全項目評価書)」】2016-2017 やぶれっ!住基ネット市民行動
公開日:2016年08月06日、最終更新日:2017年12月27日
http://yabure.kokuseki.info/cns/false-assessment/ このページへのwebリンクはご自由にどうぞ.