地方自治体によるマイナンバー保護評価における第三者点検に必要な5つのステップ
今年度からいよいよ国民に通知されて利用が始まるマイナンバー制度。
3月末には新聞全国各紙に折り込み広告として、広報紙も配布されました。
その中で「安心・安全な仕組みづくり」として以下の7項目が紹介されています。
|
この中で「マイナンバー保護評価」以外については、内容がだいたい推定できる見出しになっており、さらに、それら見出しの下に、内容の説明が書いてあって、細かなことはわからなくても、なんとなくわかるようになっています。
ところが「マイナンバー保護評価」については、見出しの語感からは何のことかわからない上に、その下の文は
「各機関がマイナンバーのシステム開発や改修を行う前に、実施します」
と書いてあるだけで、説明になっていません(苦笑)。
そんなマイナンバー保護評価ですが、それを地方自治体で実施するときに注意した方がよいことを紹介します。
最初に紹介した広報は国から届いたものを紹介しましたが、マイナンバー保護評価は、マイナンバーを取り扱う機関、たとえば住んでいるところの市や区といった地方自治体でも実施されます。
広報誌では「マイナンバー保護評価」と書かれていますが、正式名称は「特定個人情報保護評価」で、それをキーワードにしてネット検索などをすると関連情報を見つけることができます。
自分の住んでる自治体が、すでにその評価をしているかは、自治体のホームページや、特定個人情報保護評価書検索サイトで検索できます。
特定個人情報保護評価書検索 http://www.ppc.go.jp/mynumber/evaluationSearch/ |
評価をすることは、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)第26条及び第27条で以下のとおり定められています。
行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)
第五章 特定個人情報の保護 第一節 特定個人情報保護評価 (特定個人情報ファイルを保有しようとする者に対する指針) (特定個人情報保護評価) |
それが、なぜ、国の広報紙にある「安心・安全な仕組みづくり」になるのかというと、
(a) 評価項目について行政機関自らが評価した結果を公示し、(法第27条1項)
(b) 広く国民の意見を求め、(法第27条1項)
(c) 得られた意見を十分考慮して見直しを行った後、(法第27条2項)
(d) 特定個人情報保護委員会が評価書の内容等について指針に適合していることを承認し(法第27条2項及び第3項)
(e) 承認を受けた評価書を公表する(法第27条4項)
ということにより、マイナンバーの取り扱いを行う役所自身が作成する評価書について、国民からの意見を聞き、その意見の反映内容について第三者が承認することで、「安心・安全な仕組みづくり」を目指したということです。
評価で何をするかというと、特定個人情報保護評価に関する規則にしたがって評価をしており、一連のことは、特定個人情報保護委員会のホームページに掲載されています。
特定個人情報保護評価 http://www.ppc.go.jp/enforcement/assessment/ |
上記ページに用意されている評価書の最後の部分は、
(1) 役所自身が記入する「基礎項目評価」という欄に続けて、
(2) 「国民・住民等からの意見の聴取」という欄に、意見聴取の結果とそれの反映を記入しなければならず、
(3) それを受けて「第三者点検」という欄に、第三者が点検結果を記入し、
(4) 「特定個人情報保護委員会の承認」として同委員会による審査結果が記入され承認される
という様式になっています。
評価書の作成に際しては、(1)と(2)については、マイナンバーの行政事務を実施する側が、上記ページ内の規則や指針などに従って、様式として用意されている計画管理書や評価書に必要事項を記入しながら作業します。
そこまでは、役所における従来の他の事務と同様のものとなります。
従来より厳格になっているのは、(3)と(4)ということになるので、重要なことは、第三者の立場として点検や承認する「第三者点検」と「特定個人情報保護委員会の承認」が何をするのか?ということになります。
この評価書様式の記入欄に「第三者点検」という名称が出てきます。
これについては、特定個人情報保護評価に関する規則(http://www.ppc.go.jp/files/pdf/kisoku.pdf)第7条及び第8条
特定個人情報保護評価に関する規則
(地方公共団体等による評価) (行政機関等による評価) |
で、行政機関等を地方公共団体等とそれ以外に2分しており、地方自治体等による評価を規定した上記規則第7条の中の第4項を改めて抜粋すると、
特定個人情報保護評価に関する規則
(地方公共団体等による評価) |
と規定されており、この文中の
「当該地方公共団体等の職員以外の者」が「第三者」に、
「意見を聴く」が「点検」に置き換えられて組み合わされて、
「第三者点検」になったものと考えられます。
第三者点検は地方公共団体等による評価に規定されており、行政機関等には規定されておらず、特定個人情報保護評価指針の解説(http://www.ppc.go.jp/files/pdf/explanation.pdf)の別添5にさらに別添があり、その187ページ注釈に「任意で第三者点検を受けた場合は、記載することができます。」と書いてあります。
つまり、第三者点検について、地方公共団体等は必須で、地方公共団体等以外の行政機関等は任意ということです。
「特定個人情報保護委員会の承認」における審査については、特定個人情報保護評価指針(http://www.ppc.go.jp/files/pdf/shishin.pdf)第10の1「特定個人情報保護委員会の承認」の(2)「審査の観点」があり説明されています。
さらに、特定個人情報保護評価指針の解説(http://www.ppc.go.jp/files/pdf/explanation.pdf)
に別添5「特定個人情報保護評価指針第10の1(2)に定める「審査の観点における主な考慮事項」(PDFの189ページから)があって、審査作業の詳細が解説されています。
しかし、それらに相当するような詳細について、地方自治体等における第三者点検についての説明は国の資料としては見当たりません。
これは、「第三者点検」は地方自治体等が主として実施するものであり、地方自治体等が第三者に依頼して点検する内容を、国が一意に定めたり方向づけたりすると、地方自治の独立性を損なうと批判されかねないことへの配慮だったからかもしれません。
いずれにせよ、結果として、地方自治体がマイナンバー保護評価を実施する際に、その中の第三者点検の点検作業内容については、すぐに参照できるような解説書がありません。
そもそも、国は、第三者を誰にするかについてを、特定個人情報保護委員会として厳格に設置しているわけですが、地方自治体は、それを誰にするかから始めないとなりません。
ところが、それについてだけ、特定個人情報保護評価指針(http://www.ppc.go.jp/files/pdf/shishin.pdf)第5の3(3)(イ)(紙面の9ページ)の中盤から
特定個人情報保護評価指針第5の3(3)(イ)(紙面の9ページ)の中盤から
「第三者点検の方法は、原則として、条例等に基づき地方公共団体が設置する個人情報保護審議会又は個人情報保護審査会による点検を受けるものとするが、これらの組織に個人情報保護や情報システムに知見を有する専門家がいないなど、個人情報保護審議会又は個人情報保護審査会による点検が困難な場合には、その他の方法によることができる。ただし、その他の方法による場合であっても、専門性を有する外部の第三者によるものとする。」 |
と書いています。
この内容は、点検の方法というよりも、点検の実施者のことになっています。
文章としては、実施者の条件として、文末のただし書きにある「専門性を有する外部の第三者によるものとする。」を主にして、その例として「個人情報保護審議会又は個人情報保護審査会」を示すべきところを、なぜか、そちらの方に「原則として」と書いたために、多くの自治体が、既設の個人情報保護審議会等に第三者点検を依頼してしまったようです。
依頼された側としては、詳細な説明や解説などなく、最終的に依頼された結果を記入する様式である評価書には「第三者点検」という言葉だけがある状態になってしまいました。
本来は、規則第7条第4項の表現は「意見を聴く」ですから、「第三者意見」でもよかったのでしょうが、依頼された側からすれば、「点検をしないといけない」と受け止めてしまいそうです。
そうなると、意見するのと、点検するのでは、語感としては結果に対する責任の認識が変わり、身構え方も変わってしまいます。
つまり、マイナンバーの取り扱いという作業実施に対して、意見を述べるのであれば、その作業実施の結果責任は実施者に主としてありそうですが、点検するとなると、作業の結果責任について点検者にも、ある程度の責任がありそうなので、「第三者点検」を重責だと受け止めてしまうかもしれません。
すると、従来の個人情報保護審議会による審議とは異質のものだという混乱が起こりかねません。
地方自治体によるマイナンバー保護評価における第三者点検は、
本来は、既設の個人情報保護審議会が第三者点検をすることは原則ではないはずですが、仮に同審議会が担うならば、
次のようなステップで審議を進行させるのがよいものと思います。
第三者点検の準備に必要な5つのステップ ステップ 1. ステップ 2. ステップ 3. ステップ 4. ステップ 5. |
以上の前振りをしないで、「第三者点検」をどうしましょうか?と切り出してしまうと、先に述べたような混乱が起きてしまうかもしれません。
上記のように進行させると、実際には、ステップ4で、リスク評価についての専門性がある程度求められていることを知ることになり、結局は、個人情報保護審議会による従来の審議とは異質のものであると感じることになるかもしれません。
この点は、規則第7条が「学識経験のある者」と書いてあるのに、指針では、それをさらっと、「専門性を有する(者)」に言い換えていることと関係しています。
しかし、上記のステップ1~5の流れを作っておけば、ステップ5のところで、審議会委員以外に誰かに協力をもらうべきなのではないか?という、ステップ2で紹介した指針に書いてある
「これらの組織に個人情報保護や情報システムに知見を有する専門家がいないなど、個人情報保護審議会又は個人情報保護審査会による点検が困難な場合には、その他の方法によることができる。」
に、自然につなぐことができそうです。
4月 1, 2015 | Permalink | コメント (0) | トラックバック (0)
最近のコメント