ページの本文へ

Hitachi

自治体ICT 応援サイト CyberGovernment Online

2014年4月18日に特定個人情報保護委員会から「特定個人情報保護評価に関する規則」、「特定個人情報保護評価指針」(以下、「指針」)、「特定個人情報保護評価指針の解説」(以下、「解説」)が公表されました。そして、2014年4月20日から特定個人情報保護評価が実施可能となっています。

過去にも本メールマガジンで、内閣官房案に基づく「特定個人情報保護評価」をお届けしましたが、今回はこの確定版の「指針」「解説」で明確になった部分を中心にお届けします。

特定個人情報保護評価の目的と留意すべき事項

特定個人情報保護評価の目的は、事前対応による個人のプライバシー等の権利利益の侵害の未然防止と、情報保有機関が特定個人情報ファイルの取り扱いにおいて個人のプライバシー等の権利利益の保護に取り組んでいることを自ら宣言・説明することにより、国民・住民の信頼を確保することです。

自治体は、特定個人情報ファイルを取り扱う事務を所管する機関であるため、特定個人情報保護評価を事務単位で実施する必要があります。事務単位で評価を行うに当たっては、各事務の具体的な運用を把握する必要があり、各業務主管課の保護評価作業への積極的な関与が必須となります。また、取り纏め課の選定や自治体として事務単位で作成する評価書間の記載レベルや品質を合わせておく必要があるなど、さまざまな課題があります。

中間サーバーの評価は誰がする?

特定の事務に依存しない、統合宛名システムや、中間サーバーに関する評価の考え方についても今回公表された「指針」「解説」で明確に示されました。
例えば中間サーバーは、システムやサーバー単独で評価するのではなく、自治体が事務ごとに作成する特定個人情報保護評価書の中において、特定個人情報の提供や移転(※)等の方法として記載することが明記されています。

また、中間サーバーのソフトウェアや「中間サーバープラットフォーム(仮称)」を利用する場合については総務省が特定個人情報保護委員会の了承を得た上で特定個人情報保護評価書の作成に必要な情報を自治体に提供する旨も明記されています。

※特定個人情報の移転
評価実施機関内において、特定個人情報ファイルに記録された特定個人情報を特定個人情報保護評価の対象となる事務以外の事務を処理する者の使用に供すること。

特定個人情報保護評価の流れとしきい値判断

特定個人情報保護評価の大きな流れは、下記の通りです。

(1)特定個人情報保護評価計画管理書の作成
(2)基礎項目評価書の作成(しきい値判断)
(3)しきい値判断結果に応じて重点項目評価書、または全項目評価書の作成
(4)国民・住民の意見聴取(全項目評価書の場合は必須、重点項目評価の場合は任意)
(5)第三者点検(全項目評価書の場合は必須、重点項目評価の場合は任意)
(6)特定個人情報保護委員会への提出、公表
(7)実施後の再評価等

特定個人情報保護評価の対象となった事務では、この流れに従い評価を進め必要書類を作成します。特定個人情報保護評価計画管理書と基礎項目評価書は必ず作成することになりますが、重点項目評価書もしくは全項目評価書の作成要否を判断するのが(2)の中で行う「しきい値判断」です。
この(2)のしきい値となる各業務・システムで扱う人数などについても「解説」の中でその考え方が示されています。例えば対象人数は、事務で経常的に取り扱う特定個人情報の本人の数でよいと明記されました。

▼特定個人情報保護評価の実施手続特定個人情報保護評価の(1)から(7)までの流れを図示化しました。
[イメージ]特定個人情報保護評価の実施手続

評価書の非公開が認められるケース

各評価書は、先ほど述べた流れの「(6)特定個人情報保護委員会への提出、公表」にあるように広く国民に公表する必要があります。しかし、特定個人情報保護評価書およびその添付資料を公表することにより、違法行為を助長したりセキュリティ上のリスクを高める懸念がある場合には、特定個人情報保護評価書の全体または記載内容の一部を非公表とすることも認められています。

パターンごとの実施時期も明示

今回公表された「解説」では、これまでに述べてきた評価をいつ実施すべきなのか、さまざまなパターンを例にあげ、明示されました。以前から公表されていたシステム用ファイルに係る実施時期、システム用ファイルに係る実施時期の経過措置、その他の電子ファイルを保有しようとする場合の実施時期に加えて、パッケージシステムをノンカスタマイズで適用する場合や、パッケージシステムをカスタマイズする場合も示されています。

▼パターンごとの実施時期
特定個人情報保護評価の実施時期をパターンごとに図示化しました。

ケース ケース(図解) 実施事項
システム用ファイルに係る実施時期 [イメージ]図解_システム用ファイルに係る実施時期
  • システム要件定義の終了までに実施することが望ましい
  • 遅くともプログラミング開始前の適切な時期に実施
システム用ファイルに係る実施時期の経過措置

※指針の適用日から半年を超えない範囲(10月20日)でシステム開発におけるプログラミングを開始する場合

[イメージ]図解_システム用ファイルに係る実施時期の経過措置 プログラミング開始後、特定個人情報ファイルを保有する前までに実施
その他の電子ファイルを保有しようとする場合の実施時期 [イメージ]図解_その他の電子ファイルを保有しようとする場合の実施時期 事務処理の検討段階で実施
ノンカスタマイズでパッケージシステムを適用する場合 [イメージ]図解_ノンカスタマイズでパッケージシステムを適用する場合
  • 業務要件の検討やカスタマイズの必要性の分析を行う時期(=要件定義)までに実施することが望ましい
  • 遅くともシステムへの「適用(※)」を実施する前までに実施
  • ※パラメータ設定などサーバー等に直接的に変更を加えること

パッケージシステムをカスタマイズする場合 [イメージ]図解_パッケージシステムをカスタマイズする場合 カスタマイズ開発を実施するまでに実施

番号制度に対応するためのシステム改修に多くの時間を要することを考えると、システム改修の準備、計画、着手を急がなければなりません。
すなわちそれは、システム改修の前提となる特定個人情報保護評価も早期に着手する必要があるということを指します。
日立グループでは、「自治体向け番号制度導入支援ソリューション」の中で自治体での特定個人情報保護評価の導入を支援するサービスも設けております。
お困りのことがあれば日立グループ営業にお声がけください。

番号制度に関するこれまでの記事は以下をご覧ください。

(2014年6月25日)

  • * 記事の内容は配信時点での情報をもとに作成しているため、その後の動向により、記載内容に変更が乗じている可能性があります。

[リンク]自治体向け番号制度導入支援ソリューションのページへ

自治体での論点整理を始め、影響調査や導入計画策定を支援するサービスも設けておりますので、お困りのことがあれば日立グループ営業にお声がけください。

関連記事

[リンク]番号制度 まとめページへ

テーマ別まとめ

注目キーワードに関連した記事をまとめました。

何をお探しですか?

製品・ソリューションや、電子行政用語集などを検索することができます。

配信を希望される方へ

自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。

ご登録はこちらから