WEBマガジン

「マイナンバー対応に向けて “その1” -PIA評価の勘所-」

2015.04.08 株式会社オージス総研  礒部 大

Keywords:マイナンバー、特定個人情報、PIA評価、Privacy Impact Assessment

マイナンバー対応は進んでいますでしょうか?一部調査ではマイナンバーの認知度は低いという結果だそうです。大部分の人は、"マイナンバー"という言葉は聞いたことがあるが内容等は知らないのだとか…。

今回は行政機関を想定して、マイナンバー対応のポイントのひとつであるPIA評価を紹介します。

・マイナンバーにおけるPIA評価とは?

PIA評価の根拠条文は、「行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年5月31日制定 平成26年6月25日改正 平成28年4月1日施行)」の第26条1項(第5章「特定個人情報保護評価」第1節「特定個人情報ファイルを保持しようとする者に対する指針」に記載 注:括弧による表記は筆者。以下、条文番号等の表記も同じ)では、以下のように定めています。

『特定個人情報保護委員会は、特定個人情報の適正な取扱いを確保するため、特定個人情報ファイルを保有しようとする者が、特定個人情報の漏えいその他の事態の発生の危険性及び影響に関する評価(以下「特定個人情報保護評価」という。)を自ら実施し、これらの事態の発生を抑止することその他特定個人情報を適切に管理するために講ずべき措置を定めた指針(次項及び次条第三項において単に「指針」という。)を作成し、公表するものとする。』
つまり…
  • マイナンバーを保有しようとする組織は保護評価を自ら実施する。
  • その保護評価の指針は特定個人情報保護委員会が作成し公開する。
続く第27条「特定個人情報保護評価」の1項では、さらに次の通り定めています。
『行政機関の長等は、特定個人情報ファイルを保有しようとするときは、当該特定個人情報ファイルを保有する前に、特定個人情報保護委員会規則で定めるところにより、次に掲げる事項を評価した結果を記載した書面(「評価書」)を公示し、広く国民の意見を求めるものとする。』
『次に掲げる事項』とは…
  1. 特定個人情報ファイルを取り扱う事務に従事する者の数
  2. 特定個人情報ファイルに記録されることとなる特定個人情報の量
  3. 行政機関の長等における過去の個人情報ファイルの取扱いの状況
  4. 特定個人情報ファイルを取り扱う事務の概要
  5. 特定個人情報ファイルを取り扱うために使用する電子情報処理組織の仕組み及び電子計算機処理等の方式
  6. 特定個人情報ファイルに記録された特定個人情報を保護するための措置
  7. 前各号に掲げるもののほか、特定個人情報保護委員会規則で定める事項

これらを網羅する形で、第26条1項目にあった「特定個人情報保護委員会が作成し公開する指針」として、「特定個人情報保護評価に関する規則・指針・解説」が同委員会のWebサイト(http://www.ppc.go.jp/enforcement/assessment/下図は同サイト該当ページの画像です)で公開されています。

特定個人情報保護委員会 Webサイト
図1 「特定個人情報保護委員会 Webサイト」

ちなみに、特定個人情報保護委員会とは同法第6章「特定個人情報保護委員会」第37条で以下のように任務が定められた所謂"三条(さんじょう)委員会"です。

注:国家行政組織法第3条に基づいて設置される庁と同格の第三者組織。その他の三条委員会としては、わが国の警察機構を管理する国家公安委員会や、市場の独占を監視する公正取引委員会等があります。
委員会は、国民生活にとっての個人番号その他の特定個人情報の有用性に配慮しつつ、その適正な取扱いを確保するために必要な個人番号利用事務等実施者に対する指導及び助言その他の措置を講ずることを任務とする。』

第27条1項では『次に掲げる事項』以外にも、「評価書」の公示という大切なことも定めています。保護評価を終えた組織は、評価結果を「評価書」という形でまとめて、特定個人情報保護委員会のWebサイト(http://www.ppc.go.jp/mynumber/下図は同サイト該当ページの画像です)で公示します。

特定個人情報保護委員会 Webサイト
図2 「特定個人情報保護委員会 Webサイト」

さらには、先に紹介した第27条1項以降では以下の通り定めています。

2前項前段の場合において、行政機関の長等は、特定個人情報保護委員会規則で定めるところにより、同項前段の規定により得られた意見を十分考慮した上で評価書に必要な見直しを行った後に、当該評価書に記載された特定個人情報ファイルの取扱いについて特定個人情報保護委員会の承認を受けるものとする。当該特定個人情報ファイルについて、特定個人情報保護委員会規則で定める重要な変更を加えようとするときも、同様とする。
3特定個人情報保護委員会は、評価書の内容、第五十二条第一項の規定により得た情報その他の情報から判断して、当該評価書に記載された特定個人情報ファイルの取扱いが指針に適合していると認められる場合でなければ、前項の承認をしてはならない。
4行政機関の長等は、第二項の規定により評価書について承認を受けたときは、速やかに当該評価書を公表するものとする。』
つまり、マイナンバーを保有しようとする組織の長は…
  • 公示した評価書へ寄せられた意見により保護評価を見直す。
  • 見直した保護評価について特定個人情報保護委員会の承認を得る。
  • 承認された評価書を公表する。
以上を時系列的にまとめると、つぎのようになります。

組織がマイナンバーを保有する際の流れ
図3 「組織がマイナンバーを保有する際の流れ」

・PIA評価の実施に向けて

上記の「特定個人情報保護評価に関する規則・指針・解説」(http://www.ppc.go.jp/enforcement/assessment/)は一般的にはPIA評価(プライバシー影響評価;Privacy Impact Assessment評価)と言われるものです。具体的には特定個人情報保護委員会から3種類の評価方法が書式とともに提供されているので、その組織・業務が実施すべき評価方法を、対象人数、マイナンバー取扱う者の数等による「しきい値判断」により選択します。下図は「しきい値判断」を含む評価の進め方を説明した資料「特定個人情報保護評価について(概要版)」(http://www.ppc.go.jp/files/pdf/syousai.pdf)から、「しきい値判断」の説明図を抜粋したものです。

しきい値判断
図4 「しきい値判断」

この中で最も厳密性の高い評価である全項目評価書は、下図に一部を示すような書式で、その組織でマイナンバーをどのように取り扱うかを図示したり、処理する情報システムの諸元を記述する箇所もあります。

情報システムの諸元を記述するための書式
図4 「情報システムの諸元を記述するための書式」

かなり業務内容は勿論、当該情報システムへの理解が必要になる場合もあると思われます。また、このような評価に習熟していないと何から始めれば良いか悩むこともあるかも知れません。
そのような時に、一般的な参考文献(瀬戸洋一,「実践的プライバシー評価技法」,近代科学社,2014年)や現在プライバシーマーク制度やISMS認証に実績があるJIPDEC(日本情報経済社会推進協会 旧:日本情報処理開発協会)では「地方公共団体のための番号法PIA研修」等の支援メニューを提供していますが、同サイトを活用すると以下のように「指針の解説」ばかりでなく"審査対策の手引き"ともいうべき資料が提供されています。

そればかりでなく、審査が承認された(つまり"合格"した)評価書がhttp://www.ppc.go.jp/mynumber/evaluationSearch/から検索することが出来るので、"お手本"とすると良いでしょう。下図は同サイトで公表されている厚生労働省の公的年金業務の全項目評価書の一部です。

厚生労働省の公的年金業務の全項目評価書の一部
図5 「厚生労働省の公的年金業務の全項目評価書の一部」

・PIA評価に活用できる弊社の技術と実績

勿論、これらの参考資料でも対応できない複雑な業務、情報システムの場合、または、通常業務が繁忙で外部人材を活用して対応したい場合等もあると思います。弊社ではこのような評価書作成に活用できる技術が以下のように豊富に蓄積され、実績も多数あります。マイナンバーの対応でお困り、お悩みがあられましたら、本ページ中の〔お問い合わせ〕から、ご連絡頂ければ幸いです(本記事へのご意見、ご質問等でも結構です)。

最後に、本稿では冒頭でお断りしたとおり行政機関を想定しましたが、民間企業でも金融機関のように取り扱う企業、従業員の納税申告のために取り扱う企業でも、勿論厳正な管理が求められます。その詳細は、また今度。

執筆者について
礒部大 公認システム監査人(CISA),中小企業診断士,元国立公文書館CIO補佐官
株式会社オージス総研 コンサルティング・サービス部 所属

*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。

『WEBマガジン』に関しては下記よりお気軽にお問い合わせください。