公立大学法人首都大学東京 産業技術大学院大学 教授 瀬戸 洋一
政府は、2015年度予算として1183億円を計上し(ITpro 2015年2月4日)制度の啓発・広報のほかマイポータルの開発にあてることになっています。
今回は先行する行政機関・自治体の取り組みを紹介します。
図に示すように、個人に付与されるマイナンバーは、種々の情報と連携するため、漏洩した場合、行政機関などで保有しているすべての個人情報が危険にさらされるため、システム構築および業務運用において今まで以上に注意が必要となっています。
特定個人情報ファイルを利用する行政機関・自治体システムとしては、例えば住民基本台帳、社会保険関連システムなど、多数の業務システムが対象となります。
このため、番号法では、マイナンバーを含む特定個人情報ファイルを保有・変更しようとする際に、特定個人情報保護評価の実施を義務付けています。
これは海外で実施されているPrivacy Impact Assessment(プライバシー影響評価)に倣うものですが、特定個人情報保護評価とPIAとは大きく異なるものと言えます。例えば、PIAは個人情報を扱うシステムに対し構築前に、中立的専門的組織が評価するものですが、特定個人情報保護評価は、事務(運用)に重点を置いていることと、行政機関などが自ら実施するなど自己評価となっています。
1度流出した情報は回収が困難であり、プライバシー侵害は信頼の回復が容易ではありません。事後的な対応にとどまらず、プライバシーに対する影響やリスクについて事前に分析を行い、かかる影響やリスクを軽減するための合理的措置を事前に講じる必要があります。これが特定個人情報保護評価です。
国民のプライバシーなどの権利利益保護にどのように取り組んでいるかについて、各機関が自身で宣言し、国民の信頼を獲得することが必要です。
特定個人情報保護評価は、保有する個人情報の数、扱う職員数に従い、「しきい値評価」を実施し、「基礎項目評価書」をまとめます。ここで問題なしと評価されれば、「基礎項目評価書」のみで終了となります。しきい値評価によってさらに詳細な検討・評価が必要と判定された場合には、「重点項目評価」を実施するものと「全項目評価」を実施するものに分類します。これらの評価は所定のフォーマットを記入することで実施します。
また、作成した「全項目評価書」に対して国民(住民)の意見を求め、得られた意見を考慮して「全項目評価書」の見直しを行う必要があります。「しきい値評価書」「重点項目評価書」「全項目評価書」は、特定個人情報保護委員会に提出します。
特定個人情報保護委員会は、2014年1月に設置された、マイナンバー制度の個人番号などの適正な取り扱いを確保するために必要な措置を担う独立性が高い第三者機関です。特定個人情報の取り扱いに関する監視・監督や、情報保護評価ガイドラインなどの開発、特定個人情報の保護についての広報・啓発、調査・研究、国際協力などを行う組織です。
図.行政機関・自治体における情報連携のイメージ
特定個人情報保護委員会
参考URL:http://www.ppc.go.jp/index.html
「中小企業家しんぶん」 2015年 3月 15日号より
