地方自治体によるマイナンバー保護評価における第三者点検に必要な５つのステップ

今年度からいよいよ国民に通知されて利用が始まるマイナンバー制度。

３月末には新聞全国各紙に折り込み広告として、広報紙も配布されました。
その中で「安心・安全な仕組みづくり」として以下の７項目が紹介されています。

個人情報は分散管理 一元管理しないことで、芋づる式の情報漏えいを防ぎます。 成りすまし防止 行政手続などで、マイナンバーのみの本人確認は行いません。 システムへの接続制限 各機関で情報連携を行う際は、接続できる人を制限。通信の暗号化も行います。 マイナンバー保護評価 各機関がマイナンバーのシステム開発や改修を行う前に、実施します。 アクセス記録の確認 自宅のパソコンで、自分の個人情報にアクセスした行政機関を確認できます。 第三者機関の新設 制度の運用を厳しく監視する、特定個人情報保護委員会を設置しました。 罰則の強化 マイナンバーの漏えいや目的外の収集には刑事罰が科せられる場合があります。

この中で「マイナンバー保護評価」以外については、内容がだいたい推定できる見出しになっており、さらに、それら見出しの下に、内容の説明が書いてあって、細かなことはわからなくても、なんとなくわかるようになっています。
ところが「マイナンバー保護評価」については、見出しの語感からは何のことかわからない上に、その下の文は
　「各機関がマイナンバーのシステム開発や改修を行う前に、実施します」
と書いてあるだけで、説明になっていません（苦笑）。

そんなマイナンバー保護評価ですが、それを地方自治体で実施するときに注意した方がよいことを紹介します。

最初に紹介した広報は国から届いたものを紹介しましたが、マイナンバー保護評価は、マイナンバーを取り扱う機関、たとえば住んでいるところの市や区といった地方自治体でも実施されます。

広報誌では「マイナンバー保護評価」と書かれていますが、正式名称は「特定個人情報保護評価」で、それをキーワードにしてネット検索などをすると関連情報を見つけることができます。
自分の住んでる自治体が、すでにその評価をしているかは、自治体のホームページや、特定個人情報保護評価書検索サイトで検索できます。

特定個人情報保護評価書検索 http://www.ppc.go.jp/mynumber/evaluationSearch/

評価をすることは、マイナンバー法（行政手続における特定の個人を識別するための番号の利用等に関する法律）第２６条及び第２７条で以下のとおり定められています。

行政手続における特定の個人を識別するための番号の利用等に関する法律（平成二十五年法律第二十七号） 第五章　特定個人情報の保護 第一節　特定個人情報保護評価 （特定個人情報ファイルを保有しようとする者に対する指針） 第二十六条 　特定個人情報保護委員会は、特定個人情報の適正な取扱いを確保するため、特定個人情報ファイルを保有しようとする者が、特定個人情報の漏えいその他の事態の発生の危険性及び影響に関する評価（以下「特定個人情報保護評価」という。）を自ら実施し、これらの事態の発生を抑止することその他特定個人情報を適切に管理するために講ずべき措置を定めた指針（次項及び次条第三項において単に「指針」という。）を作成し、公表するものとする。 ２ 　特定個人情報保護委員会は、個人情報の保護に関する技術の進歩及び国際的動向を踏まえ、少なくとも三年ごとに指針について再検討を加え、必要があると認めるときは、これを変更するものとする。 （特定個人情報保護評価） 第二十七条 　行政機関の長等は、特定個人情報ファイル（専ら当該行政機関の長等の職員又は職員であった者の人事、給与又は福利厚生に関する事項を記録するものその他の特定個人情報保護委員会規則で定めるものを除く。以下この条において同じ。）を保有しようとするときは、当該特定個人情報ファイルを保有する前に、特定個人情報保護委員会規則で定めるところにより、次に掲げる事項を評価した結果を記載した書面（以下この条において「評価書」という。）を公示し、広く国民の意見を求めるものとする。当該特定個人情報ファイルについて、特定個人情報保護委員会規則で定める重要な変更を加えようとするときも、同様とする。 　一 　特定個人情報ファイルを取り扱う事務に従事する者の数 　二 　特定個人情報ファイルに記録されることとなる特定個人情報の量 　三 　行政機関の長等における過去の個人情報ファイルの取扱いの状況 　四 　特定個人情報ファイルを取り扱う事務の概要 　五 　特定個人情報ファイルを取り扱うために使用する電子情報処理組織の仕組み及び電子計算機処理等（電子計算機処理（電子計算機を使用して行われる情報の入力、蓄積、編集、加工、修正、更新、検索、消去、出力又はこれらに類する処理をいう。）その他これに伴う政令で定める措置をいう。）の方式 　六 　特定個人情報ファイルに記録された特定個人情報を保護するための措置 　七 　前各号に掲げるもののほか、特定個人情報保護委員会規則で定める事項 ２ 　前項前段の場合において、行政機関の長等は、特定個人情報保護委員会規則で定めるところにより、同項前段の規定により得られた意見を十分考慮した上で評価書に必要な見直しを行った後に、当該評価書に記載された特定個人情報ファイルの取扱いについて特定個人情報保護委員会の承認を受けるものとする。当該特定個人情報ファイルについて、特定個人情報保護委員会規則で定める重要な変更を加えようとするときも、同様とする。 ３ 　特定個人情報保護委員会は、評価書の内容、第五十二条第一項の規定により得た情報その他の情報から判断して、当該評価書に記載された特定個人情報ファイルの取扱いが指針に適合していると認められる場合でなければ、前項の承認をしてはならない。 ４ 　行政機関の長等は、第二項の規定により評価書について承認を受けたときは、速やかに当該評価書を公表するものとする。 ５ 　前項の規定により評価書が公表されたときは、第二十九条第一項の規定により読み替えて適用する行政機関個人情報保護法第十条第一項の規定による通知があったものとみなす。 ６ 　行政機関の長等は、評価書の公表を行っていない特定個人情報ファイルに記録された情報を第十九条第七号の規定により提供し、又は当該特定個人情報ファイルに記録されることとなる情報の提供を同号の規定により求めてはならない。

それが、なぜ、国の広報紙にある「安心・安全な仕組みづくり」になるのかというと、
(a) 評価項目について行政機関自らが評価した結果を公示し、(法第２７条１項）
(b) 広く国民の意見を求め、(法第２７条１項）
(c) 得られた意見を十分考慮して見直しを行った後、(法第２７条２項）
(d) 特定個人情報保護委員会が評価書の内容等について指針に適合していることを承認し(法第２７条２項及び第３項）
(e) 承認を受けた評価書を公表する(法第２７条４項）
ということにより、マイナンバーの取り扱いを行う役所自身が作成する評価書について、国民からの意見を聞き、その意見の反映内容について第三者が承認することで、「安心・安全な仕組みづくり」を目指したということです。

評価で何をするかというと、特定個人情報保護評価に関する規則にしたがって評価をしており、一連のことは、特定個人情報保護委員会のホームページに掲載されています。

特定個人情報保護評価 http://www.ppc.go.jp/enforcement/assessment/

上記ページに用意されている評価書の最後の部分は、
(1) 役所自身が記入する「基礎項目評価」という欄に続けて、
(2) 「国民・住民等からの意見の聴取」という欄に、意見聴取の結果とそれの反映を記入しなければならず、
(3) それを受けて「第三者点検」という欄に、第三者が点検結果を記入し、
(4) 「特定個人情報保護委員会の承認」として同委員会による審査結果が記入され承認される
という様式になっています。

評価書の作成に際しては、(1)と(2)については、マイナンバーの行政事務を実施する側が、上記ページ内の規則や指針などに従って、様式として用意されている計画管理書や評価書に必要事項を記入しながら作業します。
そこまでは、役所における従来の他の事務と同様のものとなります。
従来より厳格になっているのは、(3)と(4)ということになるので、重要なことは、第三者の立場として点検や承認する「第三者点検」と「特定個人情報保護委員会の承認」が何をするのか？ということになります。

この評価書様式の記入欄に「第三者点検」という名称が出てきます。

これについては、特定個人情報保護評価に関する規則（http://www.ppc.go.jp/files/pdf/kisoku.pdf）第７条及び第８条

特定個人情報保護評価に関する規則 （地方公共団体等による評価） 第七条 地方公共団体等は、特定個人情報ファイル（第四条第一号から第九号までのいずれかに該当するものを除く。）を保有しようとするときは、当該特定個人情報ファイルを保有する前に、法第二十七条第一項に規定する評価書を公示し、広く住民その他の者の意見を求めるものとする。当該特定個人情報ファイルについて、第十一条に規定する重要な変更を加えようとするときも、同様とする。 ２ 第十四条第三項の規定により準用する同条第二項の規定により地方公共団体等が公表した基礎項目評価書に係る特定個人情報ファイルが、第四条第八号イ若しくはロ又は前条第一項第一号若しくは第二号のいずれにも該当しないとき（当該特定個人情報ファイルが、第十四条第三項の規定により準用する同条第一項の規定による修正前においては、第四条第八号イ若しくはロ又は前条第一項第一号若しくは第二号に該当していた場合に限る。）は、地方公共団体等は、法第二十七条第一項に規定する評価書を公示し、広く住民その他の者の意見を求めるものとする。 ３ 前二項の規定による評価書の公示については、第十条第一項及び第二項の規定を準用する。 ４ 第一項前段及び第二項の場合において、地方公共団体等は、これらの規定により得られた意見を十分考慮した上で当該評価書に必要な見直しを行った後に、当該評価書に記載された特定個人情報ファイルの取扱いについて、個人情報の保護に関する学識経験のある者を含む者で構成される合議制の機関、当該地方公共団体等の職員以外の者で個人情報の保護に関する学識経験のある者その他指針に照らして適当と認められる者の意見を聴くものとする。当該特定個人情報ファイルについて、第十一条に規定する重要な変更を加えようとするときも、同様とする。 ５ 地方公共団体等は、前項の規定により意見を聴いた後に、当該評価書を特定個人情報保護委員会に提出するものとする。 ６ 地方公共団体等は、前項の規定により法第二十七条第一項に規定する評価書を提出したときは、速やかに当該評価書を公表するものとする。この場合においては、第十条第一項及び第二項の規定を準用する。 （行政機関等による評価） 第八条 第十四条第三項の規定により準用する同条第二項の規定により行政機関の長等（地方公共団体等を除く。以下この条において同じ。）が公表した基礎項目評価書に係る特定個人情報ファイル（当該特定個人情報ファイルが、第十四条第三項の規定により準用する同条第一項の規定による修正前においては、第四条第八号イ若しくはロ又は第六条第一項第一号若しくは第二号に該当していた場合に限る。）が、第四条第八号イ若しくはロ又は第六条第一項第一号若しくは第二号のいずれにも該当しないときは、行政機関の長等は、法第二十七条第一項前段、第二項前段及び第三項に規定する手続を経て、同条第四項に規定する公表を行うものとする。この場合においては、第十条第一項及び第二項の規定を準用する。

で、行政機関等を地方公共団体等とそれ以外に２分しており、地方自治体等による評価を規定した上記規則第７条の中の第４項を改めて抜粋すると、

特定個人情報保護評価に関する規則 （地方公共団体等による評価） 第七条 ４ 第一項前段及び第二項の場合において、地方公共団体等は、これらの規定により得られた意見を十分考慮した上で当該評価書に必要な見直しを行った後に、当該評価書に記載された特定個人情報ファイルの取扱いについて、個人情報の保護に関する学識経験のある者を含む者で構成される合議制の機関、当該地方公共団体等の職員以外の者で個人情報の保護に関する学識経験のある者その他指針に照らして適当と認められる者の意見を聴くものとする。当該特定個人情報ファイルについて、第十一条に規定する重要な変更を加えようとするときも、同様とする。

と規定されており、この文中の
「当該地方公共団体等の職員以外の者」が「第三者」に、
「意見を聴く」が「点検」に置き換えられて組み合わされて、
「第三者点検」になったものと考えられます。

第三者点検は地方公共団体等による評価に規定されており、行政機関等には規定されておらず、特定個人情報保護評価指針の解説（http://www.ppc.go.jp/files/pdf/explanation.pdf）の別添５にさらに別添があり、その187ページ注釈に「任意で第三者点検を受けた場合は、記載することができます。」と書いてあります。

つまり、第三者点検について、地方公共団体等は必須で、地方公共団体等以外の行政機関等は任意ということです。

「特定個人情報保護委員会の承認」における審査については、特定個人情報保護評価指針（http://www.ppc.go.jp/files/pdf/shishin.pdf）第１０の１「特定個人情報保護委員会の承認」の（２）「審査の観点」があり説明されています。
さらに、特定個人情報保護評価指針の解説（http://www.ppc.go.jp/files/pdf/explanation.pdf）
に別添５「特定個人情報保護評価指針第１０の１（２）に定める「審査の観点における主な考慮事項」（PDFの189ページから）があって、審査作業の詳細が解説されています。

しかし、それらに相当するような詳細について、地方自治体等における第三者点検についての説明は国の資料としては見当たりません。
これは、「第三者点検」は地方自治体等が主として実施するものであり、地方自治体等が第三者に依頼して点検する内容を、国が一意に定めたり方向づけたりすると、地方自治の独立性を損なうと批判されかねないことへの配慮だったからかもしれません。
いずれにせよ、結果として、地方自治体がマイナンバー保護評価を実施する際に、その中の第三者点検の点検作業内容については、すぐに参照できるような解説書がありません。
そもそも、国は、第三者を誰にするかについてを、特定個人情報保護委員会として厳格に設置しているわけですが、地方自治体は、それを誰にするかから始めないとなりません。
ところが、それについてだけ、特定個人情報保護評価指針（http://www.ppc.go.jp/files/pdf/shishin.pdf）第５の３（３）（イ）（紙面の9ページ）の中盤から

特定個人情報保護評価指針第５の３（３）（イ）（紙面の9ページ）の中盤から 「第三者点検の方法は、原則として、条例等に基づき地方公共団体が設置する個人情報保護審議会又は個人情報保護審査会による点検を受けるものとするが、これらの組織に個人情報保護や情報システムに知見を有する専門家がいないなど、個人情報保護審議会又は個人情報保護審査会による点検が困難な場合には、その他の方法によることができる。ただし、その他の方法による場合であっても、専門性を有する外部の第三者によるものとする。」

と書いています。
この内容は、点検の方法というよりも、点検の実施者のことになっています。
文章としては、実施者の条件として、文末のただし書きにある「専門性を有する外部の第三者によるものとする。」を主にして、その例として「個人情報保護審議会又は個人情報保護審査会」を示すべきところを、なぜか、そちらの方に「原則として」と書いたために、多くの自治体が、既設の個人情報保護審議会等に第三者点検を依頼してしまったようです。

依頼された側としては、詳細な説明や解説などなく、最終的に依頼された結果を記入する様式である評価書には「第三者点検」という言葉だけがある状態になってしまいました。
本来は、規則第７条第４項の表現は「意見を聴く」ですから、「第三者意見」でもよかったのでしょうが、依頼された側からすれば、「点検をしないといけない」と受け止めてしまいそうです。
そうなると、意見するのと、点検するのでは、語感としては結果に対する責任の認識が変わり、身構え方も変わってしまいます。
つまり、マイナンバーの取り扱いという作業実施に対して、意見を述べるのであれば、その作業実施の結果責任は実施者に主としてありそうですが、点検するとなると、作業の結果責任について点検者にも、ある程度の責任がありそうなので、「第三者点検」を重責だと受け止めてしまうかもしれません。
すると、従来の個人情報保護審議会による審議とは異質のものだという混乱が起こりかねません。

地方自治体によるマイナンバー保護評価における第三者点検は、
本来は、既設の個人情報保護審議会が第三者点検をすることは原則ではないはずですが、仮に同審議会が担うならば、
次のようなステップで審議を進行させるのがよいものと思います。

地方自治体によるマイナンバー保護評価における 第三者点検の準備に必要な５つのステップ ステップ　１． 特定個人情報保護評価に関する規則（http://www.ppc.go.jp/files/pdf/kisoku.pdf）の第７条と第８条の差を紹介し、 特定個人情報保護評価書の「第三者点検」の記入欄を示しながら、 地方自治体では第三者点検を、国などは特定個人情報保護委員会の承認を記入するという流れであることを説明します。 ステップ　２． この第三者点検が、個人情報保護審議会に托された理由について、特定個人情報保護評価指針（http://www.ppc.go.jp/files/pdf/shishin.pdf）第５の３（３）（イ）（9ページ）の中盤から 　「第三者点検の方法は、原則として、条例等に基づき地方公共団体が設置する個人情報保護審議会又は個人情報保護審査会による点検を受けるものとするが、これらの組織に個人情報保護や情報システムに知見を有する専門家がいないなど、個人情報保護審議会又は個人情報保護審査会による点検が困難な場合には、その他の方法によることができる。ただし、その他の方法による場合であっても、専門性を有する外部の第三者によるものとする。」 と書かれていることを紹介し、まずは審議会で審議するが、それ以外の方法を検討することもできることを説明します。 ステップ　３． 「第三者点検」ですべきことは、呼び方が「点検」と「審査」で異なっているが、 (1) 「特定個人情報保護委員会の承認」のうちの一部である「特定個人情報保護委員会による審査」に相当する作業であることを説明し、 (2) かつ「点検」という呼び方であるが、規則第７条は「意見を聴く」という表現なので、 「点検」という言葉の印象だけで作業内容を考えなくてもよいことを説明します。 ステップ　４． 本来は、第三者点検として作業内容をどうするかを審議会として考えないとならないが、その参考として、国が実施する特定個人情報保護委員会による審査について、 (1) 特定個人情報保護評価指針（http://www.ppc.go.jp/files/pdf/shishin.pdf）第１０の１の（２） (2) 及び特定個人情報保護評価指針の解説（http://www.ppc.go.jp/files/pdf/explanation.pdf）別添５「特定個人情報保護評価指針第１０の１（２）に定める「審査の観点における主な考慮事項」 の内容に目を通すことを促します。（審議会の席上でするよりも、次回までに読んで来てもらうことを依頼するという方法が現実的かもしれません） ステップ　５． 国が実施する審査内容をまずは知識として踏まえた上で、本審議会が実施する第三者点検内容を、国と異なる内容に変更する必要があるかどうかから審議を開始します。 仮に、国と異なる内容にすべきという意見があった場合には、仮にそうするとして、少なくとも国がやることを下回ってもよいかを審議します。 下回るという変え方でないならば、まずは、国と同等の作業をすることについてを決め、その範囲から作業を開始しつつ、追加事項の審議を継続するという進め方が考えられます。 逆に、下回ってもよい、すなわち、国がやることほどやらなくてもよいということであれば、白紙から考える覚悟を決めることになります。

以上の前振りをしないで、「第三者点検」をどうしましょうか？と切り出してしまうと、先に述べたような混乱が起きてしまうかもしれません。

上記のように進行させると、実際には、ステップ４で、リスク評価についての専門性がある程度求められていることを知ることになり、結局は、個人情報保護審議会による従来の審議とは異質のものであると感じることになるかもしれません。

この点は、規則第７条が「学識経験のある者」と書いてあるのに、指針では、それをさらっと、「専門性を有する（者）」に言い換えていることと関係しています。

しかし、上記のステップ１～５の流れを作っておけば、ステップ５のところで、審議会委員以外に誰かに協力をもらうべきなのではないか？という、ステップ２で紹介した指針に書いてある
　「これらの組織に個人情報保護や情報システムに知見を有する専門家がいないなど、個人情報保護審議会又は個人情報保護審査会による点検が困難な場合には、その他の方法によることができる。」
に、自然につなぐことができそうです。