講演:年度内に自治体のセキュリティ監視を強化
上田 紘嗣氏
特定個人情報保護委員会 事務局 総務課 課長補佐

 「特定個人情報の適正な取扱いに関するガイドライン」に記載された「安全管理措置」は、番号法第12条に定められた義務である。特に、特定個人情報の複製や送信、特定個人情報が保存されている電子媒体の外部への送付・持ち出しについては、責任者の指示に従うことをルールとしてきちんと定めることが重要だ。日本年金機構も、ここをしっかりできていれば、情報漏えいは防げたのではないか。

 特定個人情報保護評価(PIA)は、プライバシーへ与える影響を予測した上で漏えいリスクなどを分析し、適切な措置を講ずることを宣言するものである。PIAの実施が義務付けられない事務は、「職員・職員であった者の人事、給与、福利厚生に関する事項またはこれらに準ずる事項を記録した特定個人情報ファイルのみを取り扱う事務」だけ。言い換えれば、それ以外については実施は義務となる。

 特定個人情報保護評価書は、7月末時点で自治体の1936機関から1万7668点が公表されている。特に住民基本台帳システム関係は100%である。次は地方税関係のPIAを実施する予定なので、引き続き協力をお願いしたい。特定個人情報ファイルの取り扱いの実態が、公表した評価内容と異なる場合は、特定個人情報保護委員会の指導・助言、勧告・命令等の対象となり得るので留意してほしい。

 6月30日に閣議決定された「日本再興戦略 改訂2015」には、日本年金機構の事件を受け、マイナンバー制度の円滑な導入に向けた対策を強化することが盛り込まれた。自治体でのマイナンバーのセキュリティ監視機能を十分に発揮させる観点から、2015年度中をめどに特定個人情報保護委員会が内閣サイバーセキュリティセンター(NISC)や総務省などと連携して、専門的・技術的な知見を持つ体制を整備するとともに、監視・監督方針を策定することになっている。自治体の声を聞きながら、実現可能性のあるものを検討していきたい。(談)