post by nonumber-tom at 2018.9.14 #234
個人情報保護委員会 ヒアリング
個人情報保護委員会へのヒアリング報告 (3)
情報提供ネットワークシステムの監視は行われているか?
情報提供ネットワークシステムの運用開始前に、会計検査院はシステム構築のための特定個人情報保護評価が適正に行われていなかったり、情報連携のタイムラグや非効率などさまざまな問題を報告しています。
個人情報保護委員会がこれらの問題に、どのような調査や指導監視をしているのか質しましたが、システムの監視をする姿勢は感じられませんでした。
(3)情報提供ネットワークシステムの監視は行われているか?
情報提供ネットワークシステムは2017年7月18日に試行運用を始め、11月13日に「本格運用」を開始しましたが、予定した事務の半分程度しか利用されていません1 。
利用開始前の7月26日に会計検査院が「国の行政機関等における社会保障・税番号制度の導入に係る情報システムの整備等の状況について」の報告を公表しました2 。
会計検査院は多額の費用がかかっているマイナンバーのシステムについて、
- ・システム整備は関係法令等の趣旨に沿って適切に行われているか
- ・各機関による情報の管理が効率化されるよう情報連携の仕組みは適切に整備されているか
- ・システム整備に当たり、特定個人情報保護評価は情報管理の適正を確保するよう適切に実施されているか
などを、合規性、経済性、効率性、有効性等の観点から検査し、さまざまな問題を報告しています。
この報告が指摘している問題について、個人情報保護の観点から個人情報保護委員会がどのようにとらえているかを、とくにシステムに対する特定個人情報保護評価について質問しました。
委員会作成の「指針」に沿って実施しなくても問題ない ?!
個人情報保護委員会が決めた「特定個人情報保護評価指針」では、システム構築の「要件定義→基本設計→詳細設計→プログラミング→テスト→システム運用開始」というプロセスのなかで、評価の実施時期について「システムの要件定義の終了までに実施することを原則とするが、評価実施機関の判断で、プログラミング開始前の適切な時期に特定個人情報保護評価を実施することができる」としていました。
指針が求める期間内に特定個人情報保護評価がされていなかった
会計検査院はこの要件定義について「情報システムが備えるべき機能・性能を具体的に定めて明確化する極めて重要な工程であり、明確な要件定義を行えない場合、計画の遅延や情報システムの機能・性能が要求水準に満たないものとなる事態等が発生するおそれが高まる」としています3 。
しかし会計検査院の調査では、132機関171件の特定個人情報保護評価のうち116件は要件定義の終了までに実施されておらず、このうち要件定義の終了後から詳細設計の開始前までの実施が1件、詳細設計からプログラミング開始前までの実施が11件、プログラミング開始からテストの開始前までの実施が13件、テストの開始から構築完了までの実施が60件、構築完了後に実施されていたものは31件と報告されています4 。
指針に沿って実施していなくても問題ない ?!
委員会の指針に沿って実施されていないこの実態に対して、どのような指導助言や報告聴取・立入検査を行ったのか質問しました。
委員会の回答は、実施時期の原則は要件定義終了までだが、評価実施機関の判断等によりプログラミングの開始前の適切な時期に実施することも認めてきたので、要件定義前に実施していないことに関しては制度上問題となることではないというものでした。
しかし会計検査院の報告では、多くの機関がプログラミングの「開始後」に実施しており、指針が守られていないことは明らかです。にもかかわらず指導助言等や調査を行ったという説明はありませんでした。
守れない実態にあわせて「指針」を緩和 ?!
特定個人情報保護評価は、重要な個人情報保護措置
特定個人情報保護評価は、番号制度に対する懸念(国家による個人情報の一元管理、特定個人情報の不正追跡・突合、財産その他の被害等)を踏まえた制度上の保護措置の一つであり、事前対応による個人のプライバシー等の権利利益の侵害の未然防止及び国民・住民の信頼の確保を目的とすると説明されています5 。
評価書は「特定個人情報保護評価指針」によって、公示して広く国民の意見を求め、得られた意見を十分考慮した上で評価書に必要な見直しを行うこととされています6 。また保護評価を実施していない事務は、番号法28条6項および21条2項2号が、情報連携を行うことを禁止しています7 。
要件定義前に「特定個人情報保護評価」を実施することが必要
特定個人情報保護評価の結果を受けて、当初予定していた特定個人情報ファイルの取扱いやシステム設計を変更しなければならない場合も想定されるため、対応に要する時間を考慮して評価は十分な時間的余裕をもって実施する必要があります8 。
そのために「情報システムが備えるべき機能・性能を具体的に定めて明確化する極めて重要な工程」である要件定義前に実施することが必要です。システム設計が固まってから意見を言っても見直しは困難になり、保護評価制度の役割は果たせなくなります。
実態に合わせて保護評価の実施時期を遅らせてしまった
ところが個人情報保護委員会は、今年(2018年)5月21日に特定個人情報保護評価の規則・指針を改正し、特定個人情報保護評価の実施時期を「システムの要件定義の終了前」から「プログラミング開始前」に変更しました9 。
変更した理由の説明を求めたところ、委員会の回答は保護評価はシステムの具体的な運用面を含めたリスク対策の評価を求めており、運用面はシステムの設計中においても関係機関との調整が必要となってくる事実があったので、要件定義終了までに実施することが困難となっていたため、というものです。つまり指針に従って実施されていなかったため、実態に指針を合わせたということです。
「要件定義の重要性は変わらない」なら、なぜ改悪したのか
それでも要件定義の重要性は変わりませんから、大規模な変更が生じないように明確な要件定義を行うよう指針の解説等で周知を図っていると説明がありましたが、要件定義前に実施することと、明確な要件定義を行うことは違います。
さらに要件定義の後の詳細設計の段階でリスクを把握し、プログラミングでリスク対策を実装できれば間に合うという考え方で、基本的には従来と変わらないとも説明しています。詳細なリスク対策を修正・実装すればいいという考え方は、市民の意見により特定個人情報ファイルの取扱いやシステム設計そのものを変更するという保護評価制度の趣旨を忘却しています。
指針が守られなかったのは理解の不足が原因
ちなみに会計検査院の報告では、評価の実施が遅延した理由は
- ・評価の準備や評価書の作成作業に時間を要した 43.9%
- ・厚労省の手引きで実施時期を誤って示していた 30.1%
- ・実施時期について理解が不足していた 9.4%
- ・要件定義後の工程で評価書の記載項目をより詳細に検討する必要があった 2.5%
となっています。
委員会の説明する理由で遅延したのは2.5%で、大部分は特定個人情報保護評価制度の理解不足が原因です。委員会は遅延した理由を調査し保護評価制度の周知と評価書作成への支援を行うべきだったにもかかわらず、指針が守られていない実態にあわせて改正しています。
このような改正をしているようでは、特定個人情報保護評価制度は形骸化していきます。
情報連携の「タイムラグ」の問題を調査していない ?!
副本データ更新のタイムラグで古い情報が提供の可能性
会計検査院報告では、中間サーバーの副本データの更新のタイムラグにより、照会時期によっては古く誤った情報が提供される事態が指摘されています10 。
特定個人情報保護評価では「入手した特定個人情報が不正確であるリスク」「誤った情報を提供してしまうリスク」等が評価項目となっているが、このタイムラグをどのように評価しているか質問しました。
委員会の回答は情報提供ネットワークシステムを所管しているのは総務省で、そこで得た情報として、タイムラグは会計検査院報告に記載された1件以外には同様の事態が起きている事実は把握していないと聞いているというものです。そして評価については評価機関が自分の行う事務に対してリスクを把握して評価するもので、委員会としては審査の観点に合わせて承認を淡々と進める形になっているとのことです。
委員会として調査はしておらず総務省から情報を得ているだけ ?!
説明を聞くかぎり、個人情報保護委員会が会計検査院の指摘している実態について情報提供ネットワークシステムの調査はしておらず、総務省から情報を聞いたり、書類審査を淡々と進めているようです。
番号法では委員会の行う監督等として、指導及び助言、勧告及び命令、報告及び立入検査を規定していますが、それに加えて特に第37条として情報システムについての「措置の要求」を規定し、機能の安全性・信頼性を確保するよう総務大臣その他の関係行政機関に必要な措置を実施するよう求めることができるとしています。
これは「大量の特定個人情報を流通させる仕組みである情報提供ネットワークシステムや関連する情報システムに関して、個人情報保護の観点からシステム構築及び維持管理の一層の適正化を図るため、これらのシステム構築及び維持管理に関して特定個人情報保護委員会の監視の対象とし、総務大臣及び行政機関の長に対して、必要な措置を講ずることを求めることができる旨を規定」したものです11 。
情報提供ネットワークシステムの監視は、番号法からみても個人情報保護委員会のもっとも重要な仕事ですが、行われていないと思わざるをえません。
いまこそ情報提供ネットワークシステムの検証が必要
情報項目が極めて多いことが延期の理由の一つだったという指摘
情報提供ネットワークシステムについては、年金機構の不正再委託にともなう年金情報の情報連携の延期においても、年金制度は複雑であり、かつ、年金額に関する情報については情報連携で提供される情報項目が極めて多く、その解釈も難しいことによる地方公共団体等の情報照会機関における事務運用上の懸念があることが、延期の理由の一つとなっています12 。
部局間の情報共有の仕組みを見直す必要性の指摘
マイナンバー制度導入を一貫して担当している向井治紀内閣官房審議官も、「情報連携ではデータの提供者と照会者が違うので、データを提供する側の部局がデータの定義を細かく伝えるようにしないと、データをもらう方の部局には役立たない」と、データを利用する部局の業務内容や事務手順を提供元の部局があらかじめ理解できるよう、部局間の情報共有の仕組みを見直す必要があることを指摘したと、昨年12月に報じられています13 。
基本的な情報の開示や評価検証の仕組みの構築も求められている
8月3日の経済同友会のマイナンバー制度に対する提言でも、情報連携が実施された件数は想定の数百分の1程度との見方もあるが評価指標となりうる数字が公表されていないと指摘し、情報連携の実施件数など基本的な情報の開示や評価検証の仕組みの構築を求めています14 。
運用開始1年のいまこそ情報提供ネットワークシステムの検証が必要になっていますが、説明を聞くかぎりでは、個人情報保護委員会がシステムの監視をする姿勢は感じられませんでした。
個人情報保護委員会 ヒアリング
