マイナンバーはいらない

post by nonumber-tom at 2017.4.14 #168

マイナンバー制度の要=J-LIS(地方公共団体情報システム機構)法
II.J-LIS改正法案の概要と問題点

原田富弘
 
 J-LIS法改正法案は、3つの関連法の改正です。主要に、法制度による「ガバナンスの強化」、「総務大臣の権限強化」、「J-LISによる本人確認情報の利用」のための改正です。ここでは、こうした改正法案の4つの問題点について指摘します。

J-LIS法改正法案の概要

 J-LIS法改正法案(地方公共団体情報システム機構法等改正法案)における、3つの法律のおもな改正のポイントは以下の通りです。  

(1)地方公共団体情報システム機構法の一部改正

  1. ・ 代表者会議による理事長に対する是正措置命令の対象範囲及び機構の役員の解任事由を拡大
  2. ・ 業務方法書への内部統制規定(役員の職務の執行が法令又は定款に適合し、適正に行われることを確保)の明記
  3. ・ 機構処理事務特定個人情報等保護委員会の設置

(2)番号利用法の一部改正

  1. ・ 機構処理事務管理規程の策定、策定・変更における総務大臣の認可及び総務大臣による変更命令の規定
  2. ・ 機構処理事務特定個人情報等の安全確保措置
  3. ・ 機構処理事務に関する帳簿の備付け及び報告書の作成・公表、総務大臣の機構に対する監督命令・報告要求・ 立入検査の規定、帳簿の備付け・報告要求・立入検査に不履行等があった場合の罰則規定

(3)住民基本台帳法の一部改正

  1. ・ 機構保存本人確認情報の利用
     「機構が、一定の機構処理事務に機構保存本人確認情報を利用することができることとする。」(改正法案概要より)
 この提案理由は、個人番号制度の一層の円滑な運用を図るとともに、番号利用法の規定により地方公共団体情報システム機構が処理する事務の適正な実施を確保するため、というものです。

問題点1 システムトラブルへの対応として妥当か

トラブル発生の原因の説明

 マイナンバーカード交付システムのトラブルの発生原因・背景や原因の特定に長時間を要した要因としてJ-LISは、事前のテストや適合性評価の不足、OS仕様の理解不足、住基ネットの安定稼働実績への過信、システム構築をした5社の代表事業者と中継サーバを担当した事業者間での連携の不足などを説明しています(J-LIS、6月22日付「カード管理システムの中継サーバに生じた障害等について」:下記 b. を参照)。
 このような基本的な原因で大きなトラブルが発生したことは、今後の情報連携システムなどへの不安につながります。
 

責任回避をしてきた総務省

 これらの原因についてJ-LISは個別に改善策を講じていますが、はたして総務大臣の監督権限の強化により改善するのか、疑問です。
 マイナンバーカードの交付は、番号利用法で国の事務(法定受託事務)とされています。またJ-LISに対しては総務大臣が認可権をもっています。しかし総務省は2016年5月31日に公表した「マイナンバーカード交付促進マニュアル」で、マイナンバーカードの交付遅延があたかも市町村の不手際によって発生しているかのような、以下の説明をしています。
 総務省「マイナンバーカード交付促進マニュアル」より
  1. ・ 新制度であるマイナンバーカードの交付申請の予測の見込みが容易ではなく、結果としてその見込みが過少であった市区町村においては、交付にかかる人員体制・統合端末の確保が不十分であったと考えられること
  2. ・ J-LISが運用するカード管理システムに1月以降、複数回にわたって障害が発生したこと
  3. ・ マイナンバーカードの交付の本格化と3月から始まる住民異動の繁忙期が重なり、来庁者が非常に多いなかで、市区町村は通常の窓口業務に忙殺されるとともに、カード管理システムに情報処理の通信が集中し、窓口で申請者を待たせる事象が発生したこと
 そして高市総務大臣は2016年4月28日の記者会見で、「法的には、マイナンバーカードの交付につきましては市区町村の業務でございます。また、j-LISも地方共同法人ということでございますので、そのガバナンスや人事に対して、私どもが何か権限を持っているものではございません。」などと、総務省の責任回避をしてきました。
 自らの責任を認めようとしない総務省の監督権限を強化しても、今後のトラブルの防止に役立つとは思えません。

カード交付トラブルの背景に総務省の性急なカード普及方針

 そもそもこのマイナンバーカード交付システムのトラブルが起きた背景には、総務省の無理なマイナンバーカード交付計画があります。総務省は当初、2016年1月から3月で1000万枚交付の予算措置をしていました。これ自体無理な計画ですが、さらに補正予算で1500万枚を追加し2500万枚の交付を目指しました。この無謀な計画の結果、J-LISも自治体も対応できなくなったのが原因です。
*J-LISは次のように総点検結果を報告しています。
 (「カード管理・委託発行システムの総点検結果(平成28年6月30日)」より)
  「地方公共団体情報システム機構 第11回経営審議委員会 」(p.9「資料2」として収録)
 これまでの運用実績(サーバの処理実績等)を踏まえると、開発着手時の要件(カード発行・交付数:1000 万枚/年)については運用に耐えられる性能実績を有しているが、3か月間に1000万枚のカード発行を行うという追加要件に対して、カード発行については問題無く対応できたものの、交付数の増加については交付時間帯の平準化(波動の谷間の時間帯の活用)で対応が可能といった検討であり、その情報が団体に連携されないまま推移した結果、転出入が大幅に増えた3月の繁忙期以降、交付前設定の時間帯抑制を行うなど、能力不足の状態が発生した。
 共通番号いらないネットは2016年5月25日にJ-LISに「マイナンバー関連システムについての質問書」を提出しました。その中で1月に2回(19日、25日)原因と対処を公表したがそれで解消せずトラブルは続いたことについて、「原因不明な状態でなぜカード発行業務を停止せずに継続したのか」と質問したところ、「市区町村における個人番号カード関連業務に極力影響がでないよう努めたところです。」という回答でした。
  総務省とJ-LISは、トラブル防止よりカード普及を優先した結果、さらにカード発行の遅延を拡大させてしまいました。

 カード交付トラブルへの対応としては、まず総務省が自らの責任を認め、性急なマイナンバー制度推進を見直すことからはじめるべきです。

問題点2 なぜ住基ネットや公的認証ではすでにある規定を、いま新設するのか

 改正法案による総務大臣の監督強化や安全確保措置は、以下のようにすでに住基ネットや公的個人認証サービスについて規定されているものを、「機構処理事務特定個人情報等」に適用する規定の新設が大部分です。
 なぜ「機構処理事務特定個人情報等」では、住基ネットや公的個人認証サービスでは講じられている保護措置などの規定がなかったのか、疑問です。

(1)機構処理事務特定個人情報等保護委員会の新設

 住基ネットでは「本人確認情報保護委員会」が、公的個人認証サービスでは「認証業務情報保護委員会」が当初から設置されていました。今回の改正案で、機構処理事務特定個人情報等の保護委員会が新設されます(地方公共団体情報システム機構法第27条)。
 機構処理事務特定個人情報の保護に関する事項を調査審議したり意見を述べることができるようになります。

(2)機構処理事務管理規程の新設

 住基ネットでは「本人確認情報管理規程」が、公的個人認証サービスでは「認証事務管理規程」が、当初からありました。今回の改正案で、機構処理事務の管理規定が作られます(番号利用法第41条の2)。
 J-LISの管理規程が不適当な場合、総務大臣がJ-LISに変更を命じることができるようになります。

(3)機構処理事務特定個人情報等の安全確保規程の新設

 住基ネットでは「本人確認情報の安全確保」の規程が、公的個人認証サービスでは「認証業務情報の安全確保」の規程が、当初からありました。今回の改正案で、機構処理事務特定個人情報等の安全確保規程が作られます(番号利用法第41条の3)。
 機構処理事務特定個人情報の漏洩、滅失、毀損の防止その他の適切や管理のために必要な措置を講じることが、初めて規程されます。

(4)帳簿の備付けの新設

 住基ネットの住民基本台帳法や公的個人認証サービスの公的個人認証法ではすでに「帳簿の備付け」が義務となっていました。
 今回の改正案で、機構処理事務の帳簿の備付けが義務化されます(番号利用法第41条の4)。

(5)報告書の作成・公表の新設

 住民基本台帳法では機構保存本人確認情報や住民票コードの提供状況について、公的個人認証法でも電子証明書失効情報等の提供状況について、少なくとも年1回報告書を作成し公表することが義務となっていました。
 今回の改正案で、機構処理事務の実施の状況について少なくとも年1回報告書を作成し公表することが義務付けられます(番号利用法第41条の5)。

(6)総務大臣の監督命令の新設

 住民基本台帳法では本人確認情報処理事務の適正な実施のため、公的個人認証法でも認証事務の適正な実施のために、総務大臣は監督上必要な命令をすることができると規定されていました。
 今回の改正案で機構処理事務の適正な実施のために監督上必要な命令をすることができることになります(番号利用法第41条の6)。

(7)総務大臣の報告及び立入検査の新設

 住民基本台帳法では本人確認情報処理事務に対して、公的個人認証法では認証事務に対して、総務大臣は報告を求め立入検査できると規定されていました。また番号利用法では個人情報保護委員会が特定個人情報を取り扱う者に報告を求め立入検査できると規定されていました。
 今回の改正案で総務大臣が機構処理事務の適正な実施を確保するために報告を求め立入検査できる規定が新設されます(番号利用法第41条の7)。

(8)罰則の新設

 住民基本台帳法や公的個人認証法では、帳簿への未記載や虚偽記載、虚偽報告や検査を拒んだ場合などに30万円以下の罰金の規定がありますが、今回の改正案で同様の規定が新設されます(番号利用法第58条の2)。

問題点3 「機構処理事務特定個人情報等」とは何か

利用する個人情報の範囲が法律として規定されていない

 これら保護規定等が新設される「機構処理事務特定個人情報等」とはいったい何か。改正される番号利用法では、この法律の規定により機構が処理する事務を「機構処理事務」とし(番号利用法第41条の2)、機構処理事務において取り扱う特定個人情報その他の総務省令で定める情報を「機構処理事務特定個人情報等」としています(番号利用法第41条の3)。
 これだけでは、いったい何を「機構処理事務特定個人情報等」として利用しようとしているのか不明で、その内容は総務省令にゆだねられています。

どのように利用しようとしているのかを明らかにすべき

 保護規定等の新設は、新たに「機構処理事務特定個人情報等」の利用を進めるためでしょうか。そうであるなら、総務省がJ-LISの保有する特定個人情報をどのように利用しようとしているのか、まず明らかにすべきです。もし従来からJ-LISで処理している事務を対象としているのであるなら、その保護規定等がないままマイナンバー制度をスタートしたこと自体が問題です。

住基法で厳格に制限されている本人確認情報の利用が、
改正法案では曖昧なまま拡大される

 また改正法のなかの住民基本台帳法改正では、住基ネットにより機構が保存している本人確認情報を、従来の個人番号の生成(番号利用法第8条第二項)のほかに、「番号利用法第41条の2第一項に規定する機構処理事務のうち総務省令で定めるものに利用することができる」という規定が追加されています。
 本人確認情報(住所・氏名・生年月日・性別・住民票コード・個人番号・変更情報)の利用は、住基法で厳格に規定されている場合だけ認められていますが、今回、総務省令で規定する「機構処理事務」によって、内容が曖昧な事務に利用を拡大しようとしています。総務省の一存でどのように利用されるかわかりません(住基法第30条の15第4項)。

 J-LISは全住民登録者の膨大なセンシティブ情報を管理しています。今後マイナンバー制度の利用が進めば、さらに保存する個人情報は増大します。「機構処理事務特定個人情報等」とは何か、それを何に利用しようとしているのか、将来どのような利用が可能になるのか、明確にされなければなりません。

問題点4 情報公開や個人情報保護の権利が法定されていない

 国の行政機関に対しては情報公開法が、独立行政法人に対しては独立行政法人情報公開法があり、地方自治体にはそれぞれ情報公開条例があり、国民には行政文書や法人文書の開示請求が権利として保障されています。
 また行政機関や独立行政法人にはそれぞれ個人情報保護法があり、地方自治体では個人情報保護条例があり、本人への自己情報の開示や訂正、利用停止などが権利として保障されています。
 これらの権利が侵害された場合、不服審査請求をする権利が保障されています。

「機構処理事務特定個人情報等」に対する
開示請求や訂正、利用停止等の規定がない

 しかしJ-LISにはこれらの法律は適用されません。適用されるのは、一般の民間事業者を対象とした個人情報保護法です。
 また住民基本台帳法により本人確認情報の本人への開示請求が、公的個人認証法により認証業務情報の本人への開示請求が規定されていますが、「機構処理事務特定個人情報等」に対する開示請求や訂正、利用停止等の規定は、改正法案にありません。

情報公開はJ-LISの内規だけ

 共通番号いらないネットが2016年5月25日にJ-LISに提出した質問書では、J-LISの情報公開について以下の質問をしました。 「私たちが2月12日に各省庁との話し合いをした際に、総務省からは「独立行政法人の情報公開法の規定に従った形で規定を設けて情報公開に対応している」と説明されている。情報公開の規定と手続きについて説明されたい。」
 2016年10月13日に J-LISから回答 がありましたが、回答は「当機構は、行政機関の保有する情報の公開に関する法律及び独立行政法人等の保有する情報の公開に関する法律に準じた情報公開に関する規程を整備し、当該規程に基づく手続きにより運用しているところです。」というものです。

個人番号カード発行の個人情報を警察から照会されたら

 また質問書ではJ-LISが管理する個人番号カード発行のために保管されている個人情報について、以下の質問をしました。
 総務省が2015年9月29日に自治体に通知した「通知カード及び個人番号カードの交付等に関する事務処理要領に係る質疑応答集」の問9で、個人番号カードの交付申請書に関する自己の情報に係る開示請求や捜査関係事項照会があった場合、「個人番号カードの交付申請書の受付及び保存は、市町村から機構に委任されているため、当該開示請求や当該捜査関係事項照会は機構に対して行なうよう、当該請求等の相手方に教示することとなる」と回答している。
共通番号いらないネットからJ-LISへの質問の抜粋
質問全文([3]の(1)参照)
  1. 1) 貴機構に開示請求や捜査関係事項照会があった場合の対応について説明されたい
  2. 2) 捜査関係事項照会の有無について自己情報開示請求をした場合の対応を説明されたい
  3. 3) 自己情報の開示請求の方法について、市民に説明をしているか
  4. 4) 個人番号カード発行のために提供される顔写真の記録方法について、単なる画像として管理されるのか、顔認証に利用が可能なデータとして管理されるのか
 この質問に対する回答は、
  1. 1)と2)に対して
    「個人情報保護法その他関係法令に基づき適正に対応いたします。」
  2. 3)について
    「機構のホームページ及びマイナンバーカード総合サイトに開示請求の方法を掲載しています。」
  3. 4)について
    「個人番号カード交付申請書に貼付されている顔写真は、個人番号カード管理システムにおいて、画像データとして保存されます。」
というものでした。

市民の権利を法律で保障すべき

 J-LISは2016年9月8日の第14回代表者会議で定款を変更し、以下の情報公開及び個人情報保護の規定を新設し、J-LIS設立時に内規で対応していたものを定款で明文化しました。  
J-LISの「定款」より
 定款全文はこちら

第9章 情報公開及び個人情報保護

第39条(情報公開) 機構が保有する情報の公開に関し必要な事項は、行政機関の保有する情報の公開に関する法律(平成11年法律第42 号)の趣旨にのっとり、理事長が定める。

第40条(個人情報保護) 機構が保有する個人情報の保護に関し必要な事項は、個人情報の保護に関する法律(平成15年法律第57号)及び行政手続における特定の個人を識別するための番号の利用等に関する法律の規定に基づき、理事長が定める。

 しかしJ-LISの情報公開は、法律の趣旨にのっとり対応をしているということであり、市民の権利が法的に保障されているわけではありません。個人情報保護も適用されるのは民間事業者を対象とした個人情報保護法です。

 地方公共団体情報システム機構法のなかに、情報公開と個人情報保護についての市民・住民の権利を規定すべきです。