マイナンバーはいらない

post by nonumber-tom at 2018.1.31 #207
特別徴収税額通知書 事業者 個人番号 特定個人情報保護評価

個人情報保護委員会へ質問書を提出しました

 2018年1月30日、共通番号いらないネットは個人情報保護委員会に、マイナンバー制度の個人情報保護について公開質問をしました。大量の漏えいを引き起こした特別徴収税額決定通知書へのマイナンバー記載について委員会がどのような対応をしたのか、情報提供ネットワークシステムの利用開始にともなう個人情報保護措置について委員会がその役割を果たしているのか、明らかにするよう求めています。

»質問書の趣旨説明(解説)

2018年1月30日


個人情報保護委員会
委員長 堀部政男 様

共通番号・カードの廃止をめざす市民連絡会
(共通番号いらないネット)

マイナンバー制度の個人情報保護についての
質問書

 私たちは共通番号に反対する市民・議員・研究者・医療関係者・弁護士などにより結成された、共通番号制度の廃止をめざす緩やかなネットワークです。

 政府はマイナンバー制度に対して、個人情報の大量漏洩、成りすまし犯罪への利用、個人情報の差別的利用、国家による個人情報の一元管理などの「国民の懸念」があることを認め、その個人情報保護措置として独立性の担保された第三者機関として個人情報保護委員会を設置したとしています。マイナンバー制度の違憲性が争われている裁判では、国はこれら「懸念」は主観的な不安感ではなく、何らの個人情報保護措置も講じなかった場合に「客観的な危険性が生じ得る」と認めながら、個人情報保護委員会による監視・監督等の個人情報保護措置を講じているので「具体的危険性」ではない、と説明しています。

 しかし特別徴収税額通知書の問題や情報連携の開始にあたっての貴委員会の対応について、私たちは個人情報の保護機関として疑問を抱いております。つきましては下記3項目について確認させていただきたいと思いますので、ご多忙とは思いますが2月13日までに末尾記載の連絡先まで、文書でご回答をお願いいたします。また回答についての説明及び意見交換の場の設定もお願いいたします。なお質問書および回答は、末尾記載の私たちのサイトに公開を予定しています。

[1]特別徴収税額通知書の漏洩等問題についての対応

 貴委員会の平成29年度上半期における活動実績によれば、特定個人情報の漏えい事案等が前年比で4倍の273件発生し、その主なものは特別徴収税額決定通知書の誤送付等(152件)であると報告されています。

 私たちは本年度からはじまったこの特別徴収税額通知書への個人番号(マイナンバー)の記載ついて、誤送付等による漏洩や通知先の事業者による漏洩・不正利用などの危険性を指摘し、中止を求めてきました。しかし政府は通知に記載を強行し、大量の漏洩を引き起こしました。その後政府は各界からの批判をうけ、来年度からは書面での通知には個人番号を記載しないことを12月に決定しています。

 この特別徴収税額通知書に対する貴委員会の対応についてうかがいます。
(1)報告を受け付けた152件について、その市町村名、誤送付等の事業所数および配達人数、送付後の市町村の対応(個人番号の変更の有無等)を明らかにしてください。
(2)市町村、都道府県および所管官庁である総務省に対して、貴委員会が行った指導・助言や報告徴収・立入検査などの監視・監督を、昨年5月の通知以前と、通知による漏洩の発生後のそれぞれについて明らかにしてください。
(3)貴委員会の議事概要では、この特別徴収税額通知書による漏洩についての議事の記録がありません。どのような議論が行われたか、明らかにしてください。
(4)総務省は郵送時の漏洩リスクについて、市町村の特定個人情報保護評価書に基づき適切な方法で送付されると説明してきました。貴委員会の「マイナンバー法に基づく報告」(平成29年12月6日第49回個人情報保護委員会)では、この市町村の特定個人情報保護評価書について、「リスク対策について、おおむね必要な措置が講じられている」と評価しています。
 特別徴収税額決定通知書の誤送付により「誤った相手・情報を提供・移転してしまうリスク」が各地で現実になっているにもかかわらず、「おおむね必要な措置が講じられている」と判断した理由を明らかにしてください。
(5)総務省がそれにより適切な方法で送付されるとした「特定個人情報保護評価書」は、個人情報保護委員会の規則および特定個人情報保護評価指針により、評価対象事務の対象人数が10万人未満の場合は、特定個人情報ファイルの取扱者が500人以上などでなければ全項目評価・重点項目評価は行われず、取り扱う事務や所管等を示す基礎項目評価のみとなっています。
 人口10万人以上の市区町村は16%にすぎず、その他84%の市区町村ではどのようなリスク対策を行っているか公表されず、個人情報保護委員会も把握できません。このような特定個人情報保護評価制度では、「事前対応による個人のプライバシー等の権利利益の侵害の未然防止、国民・住民の信頼の確保」というその目的は達成できないと考えますが、見解をお示しください。
(6)総務省は特別徴収税額通知書の送付にあたり自治体に対して、個人番号の適切な管理を行うため事業者の個人情報を取り扱う部署や担当者を把握し正確な宛て先とするよう技術的な助言を通知していました(平成29年3月2日付事務連絡「平成29年度分以降の個人住民税に係る特別徴収税額決定通知書(特別徴収義務者用)の送付に関する留意事項について」)。
 この通知先の把握と通知への記載について、全国の市区町村における実施状況を貴委員会が調査されているか、調査されている場合はその状況について明らかにしてください。
(7)私たちはメディアの報道や議会報告などにより誤送付等の情報を収集し、104市町村で279事業所、688人の誤送付等があったことを把握していますが、貴委員会の平成29年度上半期における活動実績からは、その他にも誤送付があったと推測されます。
 貴委員会の「行政機関における特定個人情報の漏えい事案等が発生した場合の対応について」では、事実関係及び再発防止策等について速やかに公表するよう定められていますが、貴委員会に報告された152件について市区町村の公表の有無および公表の方法を上記(1)にあわせて明らかにしてください。
(8)貴委員会の「行政機関における特定個人情報の漏えい事案等が発生した場合の対応について」では、漏えい事案が発生した場合、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置くことが定められています。152件について市区町村が本人への連絡等の対応をどのように行っているか、上記(1)にあわせて明らかにしてください。
(9)特別徴収税額通知書については誤送付等とともに、安全管理措置が不十分・未整備な事業者に通知することにより、事業者からの漏洩や不正利用のおそれが指摘されています。
 たとえば平成30年度の通知に向けていちはやく個人番号の不記載を公表した藤沢市では、誤送付による漏洩の防止策を講じたうえで個人番号を記載する通知の送付を諮問した市に対して、市の個人情報保護制度運営審議会は「特別徴収義務者についても、個人番号を記載した通知の取扱いに係る必要な措置が未だ講じられているとは必ずしも言い難い状況と思われることから、個人番号を記載した通知書を特別徴収義務者に送付することは、時期尚早である」として、記載を認めませんでした(答申第893号)。
 貴委員会は平成29年2月16日の衆議院総務委員会において、事業者(特別徴収義務者)の安全管理措置の実施状況について「中小企業の数というのが四百万社近くございますので、安全管理措置の実施状況を網羅的に把握することは困難」と、調査していないことを答えられています。
 その後事業者の安全管理措置の実施状況を調査されたか、もしくは今後調査される予定があれば、お示しください。また通知により危惧される不正利用や漏洩について、どのような対策を考えておられるか、見解をお示しください。
(10)総務省は、来年度以降、書面により送付する特別徴収税額通知書には、当面、マイナンバーの記載を行わないこととしたものの、eLTAXや光ディスク等により電子的に送付する場合はマイナンバーを記載するとしています。
 事業者、税理士、経済団体などからは、住民税の特別徴収事務では特別徴収税額通知書への個人番号の記載は必要なく、事業者にとって安全管理措置の対象となる書類が増えるだけで過重な負担が強いられることが指摘されています。個人番号提供の法的根拠とされる番号法第19条1では、個人番号利用事務を処理するために必要な限度で提供を認めているにすぎず、実務上の必要性が疑わしい提供は法令違反です。
 個人番号を通知する必要性が明らかでなく、事業者の安全管理措置の状況が確認できない状態では、書面であれ電子的であれ、事業者への個人番号の通知は中止すべきであると考えますが、貴委員会の見解をお示しください。

[2]事業者の取得した個人番号の利用目的変更のQ&Aについて

 貴委員会の『「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&A』についてうかがいます。

 貴委員会は平成29年3月29日に「特別徴収税額決定通知書(特別徴収義務者用)」に記載されている個人番号の利用についてのQ&Aを追加し、利用目的を特定し本人に通知等していれば、その範囲内で地方税事務以外の健康保険事務等でも利用できること(Q1-3-2)、本人以外から提供を受けた個人番号も、個人番号の提供元ごとに利用目的を特定する必要はないこと(Q1-3-3)を示しました。また従来より、個人番号の利用目的については本人の同意を得る必要はないことを記載しています(Q1-4)。
(1)「Q&Aの追加・更新一覧」には、この追加を行った更新理由が記されていません。追加した理由を説明してください。
(2)この追加の前の3月2日に総務省は、市町村が特別徴収義務者に提供する個人番号の取扱いについて、Q&Aと同様の変更を通知しています。  総務省は平成28年11月25日事務連絡では「通知書により提供を受けた従業員の個人番号については、地方税に関する事務以外の事務に利用することはできません」としていたものを廃止し、平成29年3月2日事務連絡で、利用目的を番号法第9条第3項に規定する個人番号関係事務の範囲で本人に通知又は公表している場合は、事業者はその範囲内で特別徴収税額決定通知書により通知された個人番号を他事務で利用することが可能と変更しています。
 私たちは、貴委員会が総務省の解釈変更に追随して見解を変更したのではないか、と疑問を抱いています。Q&A追加にあたり総務省とどのような協議が行われたのか、明らかにしてください。また貴委員会がQ&Aで見解を示す前に、総務省が自治体に対して取扱いの変更を通知したことについてどのように考えるか、見解をお示しください。
(3)本人から個人番号の提供をうけるときは、身元確認と番号確認を行うことが必要とされています。個人番号を特別徴収税額決定通知書で本人以外から提供をうけた場合には、身元確認と番号確認を行わずに利用できる理由を示してください。
 また特別徴収税額決定通知書に記載の個人番号に誤りがあった場合、本人から個人番号の提供を受けていない事業者は誤りを察知できず、このQ&Aにより他の事務に誤った個人番号を記載して手続きを行うおそれがあり、これは番号制度の趣旨に反すると思われますが、見解をお示しください。
(4)内閣府・総務省は2017年11月8日付の「情報連携の本格運用開始に関するQ&A」において「申請者がマイナンバーの提供を明示的に拒否する場合は、情報連携を行わず、申請者に添付書類の提出を求めることが適切」と説明しています。このQ&Aにより、個人番号の提供を本人から受けられなかった場合、他の番号利用事務で得た特定個人情報を使いまわしてよいか、との自治体からの問合せに対して、使い回しは不適当で事務毎に添付書類の提出を求めるよう回答しています。
 この解釈と、事業者に番号提供をしていない場合も特別徴収税額通知によって通知された番号を転用してよいという貴委員会のQ&Aの取扱いは矛盾すると思われますが、見解をお示しください。
(5)貴委員会は、本年1月から個人番号の任意提供がはじまった預貯金口座についても同様に、個人番号の提供を受けた時点で利用目的として特定されていなかった「預貯金口座への付番に関する事務」のために、証券口座など他の利用目的で提供を受けた個人番号を利用することも、利用目的を変更して変更された利用目的を本人に通知や公表すれば認められるとするQ&Aを、平成29年7月追加に追加しています(【(別冊)金融業務】Q16-5)。
 この追加を行った理由および追加にあたって金融機関とどのような協議が行われたか、明らかにしてください。
(6)従業員や顧客が個人番号の提供を拒むのは、事業者における個人番号の管理・利用への不安や、マイナンバー制度により基本的人権が侵害されることへの懸念等が理由です。そのため政府も、個人番号の提供を拒む場合も手続きは行うよう関係機関に説明しています。
 これらQ&Aの追加により、従業員や顧客が個人番号の提供を拒んでいるにも関わらず、事業者が市区町村からの通知や他事務で取得した個人番号を流用・転用することが認められることになります。またQ&Aでは、利用目的について本人の同意は不要としています。
 このようなQ&Aは自己情報コントロール権を侵害し、「国民の権利を守り、国民が自己情報をコントロールできる社会」の実現を理念としたマイナンバー制度の趣旨に反すると考えますが、見解をお示しください。
 またこのような流用・転用を認めることは、事業者内での不正利用を助長するおそれがあると思いますが、なぜ利用目的ごとに目的を明示した番号の取得を徹底しないのか、理由をお示しください。

[3]情報提供ネットワークシステムの特定個人情報保護評価について

 特定個人情報保護評価は、番号制度に対する懸念(国家による個人情報の一元管理、特定個人情報の不正追跡・突合、財産その他の被害等)を踏まえた制度上の保護措置の一つとして、事前対応による個人のプライバシー等の権利利益の侵害の未然防止及び国民・住民の信頼の確保を目的とすると説明されています。また番号法第27条6で評価書の公表を行っていない特定個人情報を、情報提供ネットワークシステムで提供したり照会することは禁止されています。評価書は貴委員会に提出され、全項目評価では貴委員会が第三者点検を行い、公表しています。

 2017年7月18日から「試行運用」、11月13日から「本格運用」が開始された情報提供ネットワークシステムについて、会計検査院が2017年7月26日に公表した「国の行政機関等における社会保障・税番号制度の導入に係る情報システムの整備等の状況について」の報告では、この特定個人情報保護評価が適正に実施されていない実態等が指摘されています。

 報告では、貴委員会の定めた規則・指針で原則として情報システムの要件定義の終了までに評価を実施すべきところを、132機関の134システムのうち116件(104機関の105システム)で実施されておらず、さらに遅くともプログラミング開始前に実施すべきところを、プログラミング開始後に実施されたものが104件に及ぶとされています。中にはシステム構築後に実施されたものが31件あったとのことです。

 要件定義は「情報システムが備えるべき機能、性能を具体的に定めて明確化する極めて重要な工程」(会計検査院報告書20頁)とされていますが、そもそもこの要件定義書が適切に作成されていない実態も会計検査院は指摘しています。

 これでは事前対応にならず、プライバシー等の権利利益の侵害は未然防止されず、国民・住民の信頼の確保することはできず、番号制度に対する懸念(危険性)を防ぐことはできません。この会計検査院報告書についての貴委員会の対応についてうかがいます。
(1)会計検査院は合理性、経済性、効率性、有効性等の観点からの指摘を行っていますが、会計検査院の指摘する実態に対する個人情報保護機関としての貴委員会の見解をお示しください。
(2)貴委員会の定めた規則・指針に沿って実施されていない機関に対し、どのような指導・助言や報告徴収・立入検査などを行ったか、明らかにしてください。
(3)会計検査院報告では情報連携におけるタイムラグにより、照会時期によっては古く誤った情報が提供される事態が指摘されています。
 内閣官房はデータベースの正本を登録・更新した日の翌々開庁日の業務開始前までに、情報連携用の中間サーバーに記録保存されている副本データに反映させることを基準としていますが、事情がある場合はそれ以外の反映期限を認めています。その結果、検査対象で情報連携を行う37の特定個人情報のうち14件は、基準より遅い副本データの更新となっています。しかしこのようなタイムラグについて情報照会機関・情報提供機関がとるべき手続き等が周知されず、誤った事務処理が生じるおそれを指摘しています。
 様々な行政機関の広範な事務について複雑な仕組みで情報を連携する情報提供ネットワークシステムでは、このようなタイムラグは避けられません。特定個人情報保護評価では「入手した特定個人情報が不正確であるリスク」「誤った情報を提供してしまうリスク」「特定個人情報が古い情報のまま保管され続けるリスク」等が評価項目となっていますが、特定個人情報の利用機関でこのリスクの発生の危険性と影響がどのように評価されているか明らかにしてください。
(4)特定個人情報保護評価指針等の再検討を行うことが、2017年8月7日第42回委員会で明らかにされています。見直しの論点として、評価の実施時期の検討、運用実態に合わせた明確な表現への見直しや評価書の記載事項の検討、評価書の記載における事務の負担軽減等があげられていますが、上記のような実態に指針等を合わせていけば、番号制度に対する懸念(危険性)に対する制度上の保護措置としてますます機能しなくなるのではないかと危惧します。再検討の内容を御説明ください。

以上


   回答および問合せは以下にお願いします。
   (事務局連絡先)  略
   
   
   共通番号いらないネットサイト http://www.bango-iranai.net/index.php

Note
twitter@iranai_mynumber facebook@bango-iranai
次の記事 « » 前の記事