ページの本文へ

Hitachi

自治体ICT 応援サイト CyberGovernment Online

番号制度(3)特定個人情報保護評価(PIA)

読んでナットク!自治体ICT

特定個人情報保護評価(PIA=Privacy Impact Assessment、以下PIA)とは

番号法では、個人番号を含む特定個人情報ファイルを保有・変更しようとする際に、PIAの実施を義務付けています。PIAとは特定個人情報ファイルの保有・変更にあたり、プライバシーや特定個人情報へ及ぼす影響を事前に評価し、その保護のための措置を講じる仕組みです。すなわち、PIAは個人情報だけでなく、個人のプライバシーを保護する仕組みということです。PIAを実施することで、どのようなリスクがあり、そのリスクに対してどのような措置を講ずるべきかなどの検討・評価を体系的に行うことができます。

<PIAの目的>

  1. 事後的な対応にとどまらない、積極的な事前対応を行うこと一度流出した情報は回収が困難であり、プライバシー侵害は信頼の回復が容易ではありません。事後的な対応にとどまらず、プライバシーに対する影響やリスクについて事前に分析を行い、かかる影響やリスクを軽減するための合理的措置を事前に講じる必要があります。
  2. 国民のプライバシーなどの権利利益保護にどのように取り組んでいるかについて、各機関が自身で宣言し、国民の信頼を獲得すること
  3. 1と2の厳格な実施を担保すること

PIA実施のタイミング

PIAは特定個人情報保護ファイルを保有しようとする前、および特定個人情報ファイルの取扱いを変更する場合に実施します。PIAの結果を受け、当初予定していた特定個人情報ファイルの取扱いやシステム設計を変更しなければいけない事態も想定されるため、特定個人情報保護ファイルを保有する直前ではなく、システム開発前の要件定義段階で実施することが望ましいとされています。

PIAの流れ

PIAの実施方法についても簡単に紹介します。
始めにプライバシーへの影響度を振り分けるために行う「しきい値評価」を実施します。ここで問題なしと評価されれば、「しきい値評価」のみで終了となります。

しきい値評価によってさらに詳細な検討・評価が必要と判定された場合には、その影響度によって「重点項目評価」を実施するものと「全項目評価」を実施するものに分類します。影響度が高いと判定された場合に実施する「全項目評価」には国民の意見を反映する手順が組み込まれています。作成した「全項目評価書」に対して国民の意見を求め、得られた意見を考慮して「全項目評価書」の見直しを行う必要があります。なお、PIAで作成する「しきい値評価書」「重点項目評価書」「全項目評価書」は、特定個人情報保護委員会に提出し、また、積極的に公開することとなっています。

特定個人情報の取り扱いの監視・監督、また、PIAのための助言、評価書の承認などの役割を担う特定個人情報保護委員会は2014年1月頃に設置される予定です。
委員会設置後、委員会規則や特定個人情報保護評価指針が作成されますので、PIAを実施するのはその後ということになります。とはいえ、あまり時間はありません。PIAの実施対象となる業務・システムを整理したり、実施体制を整備するなど、PIAに必要な検討を事前に実施しておくことが重要です。

日立グループでは、番号制度導入にかかるさまざまなシーンで抱える自治体の課題を解決するために、「自治体向け番号制度導入支援ソリューション」をご用意しております。お困りのことがあれば、日立グループ営業にお声がけください。

(2013年9月11日)

  • * 記事の内容は配信時点での情報をもとに作成しているため、その後の動向により、記載内容に変更が乗じている可能性があります。

[リンク]自治体向け番号制度導入支援ソリューションのページへ

自治体での論点整理を始め、影響調査や導入計画策定を支援するサービスも設けておりますので、お困りのことがあれば日立グループ営業にお声がけください。

関連記事

[リンク]番号制度 まとめページへ

テーマ別まとめ

注目キーワードに関連した記事をまとめました。

何をお探しですか?

製品・ソリューションや、電子行政用語集などを検索することができます。

配信を希望される方へ

自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。

ご登録はこちらから