共通番号いらないネットは、昨年の住民税特別徴収税額通知書の大量漏えいや情報連携開始にあたって会計検査院が指摘した問題など、マイナンバー制度の安心・安全に関わる重要な問題への個人情報保護委員会の対応について、1月30日質問をしましたが、4月4日「個別の事案に関する質問なので回答しない」と回答を拒否されました¹。この説明責任を放棄した不当な回答に対して、抗議声明を送りました。

　共通番号いらないネットは、5月29日、個人情報保護委員会に対し以下の抗議声明をまとめ、翌日委員会に送付しました²。

　この質問書の提出後も、個人情報保護委員会が個人情報保護の役割を果たしているのか、疑問を感じさせる事態が起きています。

　3月には日本年金機構がマイナンバーを含む個人情報の作業を委託した会社が、機構に無断で再委託していたことが発覚しました。これは機構と委託会社の間の再委託禁止の契約に違反しているだけではありません。厚生労働省と機構が私たちに対して、マイナンバー取り扱い事務を説明する「特定個人情報保護評価書」で、「再委託は行わない」と表明していることにも違反しています。

　この特定個人情報保護評価書は、マイナンバー制度の危険性に対する制度上の保護措置であり、事前対応による個人のプライバシー等の権利利益の侵害の未然防止及び国民・住民の信頼の確保を目的とする重要な制度です。

　数百万人のマイナンバーが漏洩したかもしれないこの重大な年金機構の違反について、個人情報保護委員会は1月22日に年金機構から連絡を受けていながらそのことを公表せず、勧告・命令を行ったとの報道もありません。この事件は2月の年金支給額が控除漏れで減少したことで発覚しましたが、もしこの年金支給額の誤りが表面化しなければ私たちは知らないままだったかもしれません。

　私たちは1月30日の質問書で、情報連携の開始にあたり多くの機関で特定個人情報保護評価を個人情報保護委員会が定めた「要件定義」までに実施していない、と会計検査院が指摘したことへの見解をたずね、また関連して個人情報保護委員会が特定個人情報保護評価指針等の再検討をしていることについて説明するよう求めました。

　ところが個人情報保護委員会はこれらに応えないまま、指針等を2点変更する案を2月23日に示し、3月25日までパブリックコメントを行い、5月21日に結果を公表しました³。

　問題は(2)です。システムの開発は、要件定義→基本設計→詳細設計→プログラミング→テスト→システム運用開始、の流れで行われます。会計検査院は、個人情報保護委員会の指針等では特定個人情報保護評価は原則として要件定義終了まで実施することになっているにもかかわらず、終えていない機関が数多く見受けられたと報告していました。会計検査院は「要件定義は、情報システムが備えるべき機能・性能を具体的に定めて明確化する極めて重要な工程であり、明確な要件定義を行えない場合、計画の遅延や情報システムの機能・性能が要求水準に満たないものとなる事態等が発生するおそれが高まる」（「国の行政機関等における社会保障・税番号制度の導入に係る情報システムの整備等の状況についての報告書」 p.20-21⁴）と指摘し、要件定義までに評価を行わないと、情報システムの事後の大規模な仕様変更等によるコストの増加やスケジュールの遅延が生ずるおそれがあると指摘しています。

　ところが個人情報保護委員会は、保護評価の実施を「プログラミング開始前」まで遅らせる指針等の変更をし、5月21日から施行しました。パブリックコメントでの意見に対して、システムの設計中においても関係機関等との調整が必要となることから要件定義終了までに評価を実施することが困難となっていると、説明しています。

　指針等が守られない現状に合わせて指針等を変更していくようでは、マイナンバー制度における安心・安全の確保はおぼつかなくなります。

＊個人情報保護委員会に対する共通番号いらないネットの取組みについては、共通番号いらないネットのサイトの「個人情報保護委員会関連投稿リンク集」⁵ を参照してください。