今度こそ個人番号汚染に対する(私の関与する)行政機関の対応

はじめに

前回のブログ記事「個人番号汚染に対する(私の関与する)行政機関の対応」で尻切れトンボになってしまった、行政機関の対応について書いておく。
なお、その前の記事は、これ。(順番に読むとよいと思います)

個人番号による「情報の汚染」を防げ

繰り返し書いておくけど、私は無用な混乱は避けたいし、無用な投資も避けたいので、この考え方が何かの参考になれば幸いである。
#今回はちょっと長文です。

これまでの検討内容から導き出される方針

これまで検討した内容から、少なくとも次の方針が導かれる。

庁内で取り扱う特定個人情報の削減

一般的なセキュリティ対策のセオリーだけど、保護対象情報そのものの総体的な価値を高めない工夫を最初に行うべきで、個々の対策はその後の話。
これは以前のブログでも指摘しているところ。

セキュリティ投資モデルについて考えてみた(2015.5.13)

具体的には情報システムで保有する情報の中に個人番号を含まない(法の定義による)ようにすることだろう。例えば、個人番号を使う場面として想定できるのは「個人番号の提供」か「個人番号による突合」ぐらいしかないのである。それ以外は代替手段があるはずだし、そもそも個人番号を永続的に保有する必然性を疑うべきだろう。

特定個人情報ファイルの局所化

やむなく特定個人情報ファイルとして保有しなければならなくなった場合、それらが遍在していると実態把握が困難になるので、他の情報から隔離した上で集約して管理することを検討すべきだろう。
この「隔離」と「集約」は物理、論理を問わず行うものである。これは情報分類ごとの取り扱い基準を設定している組織ならば、すでにやっていることなので理解しやすいだろう。要は、扱う情報の重要度により、情報の保管、管理場所をセキュリティ管理者が指定するという方法だ。
実はこのあたりの作業は前述した「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」の中にも記されているのだ。ただ、日本全国の行政機関が元々一律の整備をしているわけではないので、対応のプロセスも異なるし、結果として対応のレベルも大きく乖離が生じている。

安全管理措置の適用

特定個人情報ファイルを局所化した後に、安全管理措置の適用を検討することになる。物理的安全管理措置は物理的な隔離の措置を伴うものなので、局所化の時点で完了しているはずだ。
問題は、技術的安全管理措置である。少なくとも各業務システムが特定個人情報ファイルを取り扱うのであれば、システム利用時の認証と認証結果に基づく利用範囲の識別と、利用範囲に応じた機能の制限、そしてロギングまでを実装しなければならず、システム改修は一手間かかるものと予想される。
基礎自治体は業務システムにパッケージ・ソフトウェアを使っている場合が多いため、パッケージベンダー側にこれらの対応を委ねることになるが、現段階でも対応(パッケージのバージョンアップ)時の仕様を決めかねているベンダーもいるだろう。残念ながら全てが後手後手に回っている印象を受ける。
また、職員の運用を想定した技術的安全管理措置も必要となる。具体的には、業務システムによらず、直接中間サーバ、あるいは団体内統合宛名システムを操作し、情報照会、情報提供用のデータ配置などの処理を行うというものである。
中間サーバは国のほうから一律の仕様を満たしたソフトウェアが提供されるが、団体内統合宛名システムは自治体ごとに個別の購入である。まぁ、中間サーバを操作する時点になって中間サーバ自体に技術的安全管理措置が施されていないということはありえない(もしそうならば、この制度はその時点で終わり)ので検討から除外するが、団体内統合宛名システムは行政機関ごとに整備するものなので、アクセス制御、認証は必須の機能となるだろう。(後述するが、実はこのあたりの考え方がシステム全体に影響を与えることになる)
ここまでが、法律(番号法)とガイドラインを中心にした対応の方針だ。

DigitalPMOのFAQ

ところが、ここで話は少しややこしくなる。
一般の市民には公開されていないが、マイナンバー関係の国からの情報は、DigitalPMOという行政機関向けのサイトの中で逐次公表されている。
そもそも私たちが守るべきルールの順番は、

法律(番号法)→ 政令、規則 → ガイドライン

というものだと認識しており、一般的にはガイドラインを参照して法律、政令、規則までを遵守するべく対応方針を考えるのが本来の姿なのだと思う。
ところが、DigitalPMOではガイドラインの解釈について各行政機関から問い合わせがあったものをFAQという形で共有しており、このFAQがマイナンバー対応システムの構築を進める上で、混乱を招いている要素のひとつではないかと感じているのだ。
苦言であることを承知で書いておくと、この番号制度は社会保障、税関係の行政事務や行政手続の現状をあまり深く検討しないまま制度設計を進めている印象を受ける。そもそも日本の法律は法体系そのものがキレイであるとは言えないし、社会保障分野の住民サービスはイレギュラー対応がかなり多いので、その上で制度設計する苦労は理解できなくもないが、それでも行政機関の現場から見れば「ほころび」があるのだ。
そして法の施行日や運用開始の日が決められてしまった現場では、とにかく「間に合わせる」ことを最優先事項として取り組むことになる。
現場は不安だ。検討してみたら制度と辻褄が合わないと感じることも出てくる。その都度、国に問い合わせる。早く回答が出ないと対応できなくなるからだ。国も一生懸命回答を出す。しかしその回答が現場の対応にどのような影響を及ぼすのかを想像することは困難だ。
質問の内容も、具体的な対応内容に影響を与えるぐらい限定的な範囲のものが多く寄せられる。それが異なる立場から同時に寄せられた時、それまで答えてきた回答の内容と矛盾するようなことが含まれると、お互いがその回答の解釈に頭を悩ますことになる。
また、ある個別事象における対応の可否を問うた場合、国も安全サイドに解釈しがちであるので、質問の回答で「厳しい」方向での対応を求められ、利用に制限が加わったり、対応に時間が掛かったりと現場の負担が増す傾向にあるようだ。(もちろん、これは国民に不利益を及ばさないという観点では妥当であるとも言える)
さらに外的状況がガイドラインの解釈に影響を与えている節もある。例えば年金機構の情報漏洩問題以降、特定個人情報の取り扱いルールに関する解釈が幾分か厳しくなっているように感じるのは気のせいだろうか。

プリンシプルの合意

現場の行政機関の職員は非常に真面目なので、FAQに書かれていることは「絶対」であるとして行動する。というか、FAQでダメと書かれていることに逆らって取り組むと、その説明責任を問われてしまうのだ。
一方で、DigitalPMOのFAQには「○月○日 時点のFAQであり、内容について変更が生じる場合があるので、常に最新のFAQをご確認ください」とあり、その内容が「絶対」でないことを示している。
この関係も非常に悩ましい。うっかりFAQに質問したばかりに、様々な後付ルールが適用されて身動きが取れなくなってしまっているようにも見える。システムは流動的に整備できないため、事後の方針変更は現場にダメージが加わるのだが。
なぜ、そのようなことになるのだろうか。
私は「原則(プリンシプル)の合意がなされていない」ことが、そもそもの問題ではないかと考えている。
ちょっと長いけど、番号法の第3条、第4条、第5条を引用しておく。

(基本理念)
第三条  個人番号及び法人番号の利用は、この法律の定めるところにより、次に掲げる事項を旨として、行われなければならない。
一  行政事務の処理において、個人又は法人その他の団体に関する情報の管理を一層効率化するとともに、当該事務の対象となる者を特定する簡易な手続を設けることによって、国民の利便性の向上及び行政運営の効率化に資すること。
二  情報提供ネットワークシステムその他これに準ずる情報システムを利用して迅速かつ安全に情報の授受を行い、情報を共有することによって、社会保障制度、税制その他の行政分野における給付と負担の適切な関係の維持に資すること。
三  個人又は法人その他の団体から提出された情報については、これと同一の内容の情報の提出を求めることを避け、国民の負担の軽減を図ること。
四  個人番号を用いて収集され、又は整理された個人情報が法令に定められた範囲を超えて利用され、又は漏えいすることがないよう、その管理の適正を確保すること。
2  個人番号及び法人番号の利用に関する施策の推進は、個人情報の保護に十分配慮しつつ、行政運営の効率化を通じた国民の利便性の向上に資することを旨として、社会保障制度、税制及び災害対策に関する分野における利用の促進を図るとともに、他の行政分野及び行政分野以外の国民の利便性の向上に資する分野における利用の可能性を考慮して行われなければならない。
3  個人番号の利用に関する施策の推進は、個人番号カードが第一項第一号に掲げる事項を実現するために必要であることに鑑み、行政事務の処理における本人確認の簡易な手段としての個人番号カードの利用の促進を図るとともに、カード記録事項が不正な手段により収集されることがないよう配慮しつつ、行政事務以外の事務の処理において個人番号カードの活用が図られるように行われなければならない。
4  個人番号の利用に関する施策の推進は、情報提供ネットワークシステムが第一項第二号及び第三号に掲げる事項を実現するために必要であることに鑑み、個人情報の保護に十分配慮しつつ、社会保障制度、税制、災害対策その他の行政分野において、行政機関、地方公共団体その他の行政事務を処理する者が迅速に特定個人情報の授受を行うための手段としての情報提供ネットワークシステムの利用の促進を図るとともに、これらの者が行う特定個人情報以外の情報の授受に情報提供ネットワークシステムの用途を拡大する可能性を考慮して行われなければならない。
(国の責務)
第四条  国は、前条に定める基本理念(以下「基本理念」という。)にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用を促進するための施策を実施するものとする。
2  国は、教育活動、広報活動その他の活動を通じて、個人番号及び法人番号の利用に関する国民の理解を深めるよう努めるものとする。
(地方公共団体の責務)
第五条  地方公共団体は、基本理念にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用に関し、国との連携を図りながら、自主的かつ主体的に、その地域の特性に応じた施策を実施するものとする。

第4条で国の責務について書かれており、この制度の主体であることに疑いの余地はないだろう。そして第5条の地方公共団体の責務では「国との連携を図りながら、自主的かつ主体的に、その地域の特性に応じた施策を実施」することが求められている。正直なところ、非常に微妙な立ち位置である。国に従えとは書かれていない。むしろ、従うべきは第3条の基本理念であるはずだ。しかしながら補助金や交付税措置であることを根拠にどうしても国の下請のような立場になっている感はあるし、自主性や主体性を主張できるほどの財源もない。その前に、私たち地方自治体の現場は、この基本理念を理解しているのだろうか。
また、国も同様に、基本理念を理解しているのだろうか。いや、理解していると思うのだが、その割にはやっていることがちぐはぐな印象を受けるのだ。まぁ、ステークホルダーが大勢いる中で取り組むのは大変であるのは理解できるけど、それでも税以外は中途半端な取り組みになってしまっている。
個々のFAQが積み上がっているのを見ると、地方自治体の自主性、主体性が弱くなっていること(国に質問し、国の回答に従うのが自分たちの立場だと思っている?)と、基本理念の理解が不足していること、国も「基本理念に沿っている限り、地方自治体の裁量の範囲」という覚悟をしておらず、さらに基本理念に沿うべき様々な環境整備が十分でなかったことなど、これらのツケが現在の状況を招いているのではないかと考えてしまう。
断っておくが誰かを責める意図はない。いかなる場合でも、その中でも最善を目指すのが私たちの役目なのだ。

私が関与する行政機関が目指す姿

思いっきり話が脱線したので、元に戻す。
現在の私は基礎自治体と都道府県の行政機関に関与している。
扱う業務が違うので、それぞれ同じような取り組みをしているわけではなく、保有するリソースを元に対応方針を決め、その上で長期的に無駄な投資にならないよう5年先、10年先の行政機関の姿を思い浮かべながら打ち手を指示(支援)する立場にある。
基礎自治体では(多くの基礎自治体がそうであるように)共通基盤システムを採用している。この共通基盤では、個別システム(住民記録、国民健康保険、国民年金、地方税、福祉など)の情報を互いに連携するためのデータ連携機能、共通データベース、統合認証機能、稼働監視機能などが含まれている。また、共通基盤の中で住登外の方の登録・管理を含む「統合宛名管理機能」が稼働している所も多い。
一方、都道府県の中で共通基盤システムを採用しているところは、それほど多くない。特にダウンサイジングが遅れているところはその傾向が強い。また自身で住民記録システムを管理しているわけではないので、全ての個人情報が住登外者であると言える。
番号制度に対応し、中間サーバに接続するために、どの行政機関も団体内統合宛名システムを整備しているのだが、私の関与する基礎自治体では、ここで共通基盤システムや統合宛名管理機能を拡張して整備するという方針を採用しなかった
既存の共通基盤を温存して、それとは別に番号制度用の団体内統合宛名システムを導入することにしたのだ(正確には既存のソフトウェア資源を流用し、足りない部分を中間サーバ連携システムとして新規に構築することにした)。その結果、各業務システムは共通基盤システムと団体内統合宛名システムのそれぞれに対して連携インタフェースを設けることになる。

電子自治体推進パートナーズ_マイナンバー導入対策セミナー講演資料_川口弘行図.中間サーバ・中間サーバ連携システム(2015.3.27講演資料より)

この狙いは、上述した「特定個人情報ファイルの局所化」にある。番号制度で必要な情報連携や符号の管理は中間サーバ連携システムで行い、既存の情報連携には手を加えない。
また団体内統合宛名番号は番号制度と関係なく(これまでの内部管理番号から派生させて)独自に付番し、庁内で個人を一意に特定するための番号として運用させる。つまり庁内では個人番号をキーにした紐づけは行わない仕組みとなる。
ただ正確にはこの仕組みだけでは特定個人情報ファイルの局所化は行えない。各業務システム上で個人番号を保有しなければならないものもあるだろうし、その場合、団体内統合宛名番号でシステム間を紐づけたとしても、業務システムのデータベースは個人番号汚染されているわけだから、全体が特定個人情報ファイルだという解釈をされてしまう。ということで、アクセス制御と認証の仕組みは必須となる。
今後、個人番号保有の要否を継続的に確認しながら、個人番号を保有しないような業務フローやシステム設計を行い、連携する情報もレベル分けをして取り扱いを変えていくことになるのだろう。現在はここまで整備したうえで様子見になるだろうという状態である。
一方の都道府県だが、情報連携機能を有する共通基盤システムが存在しない。その上で団体内統合宛名システムを導入することになるのだが、この団体内統合宛名システムを拡張しつつ、最終的には分離して、庁内汎用的な情報連携機能を整備していくことを考えている。つまり、基礎自治体とは逆の流れで両方のシステムを整備することになる。
また、基礎自治体と比較して、情報連携の頻度や件数がさほど多くないので、端末を使った個別照会運用で対応する方法も検討されていた。しかし、運用端末の安全管理措置にも相応の投資が必要であることと、情報照会のレスポンスの即時性が期待できないことから、業務フローの見直しを含めて改めて検討している途中である。
システム間の情報連携機能を基礎自治体並みに整備して端末照会の頻度を減らし、運用端末の台数を減らすことで、職員起因の事故のリスクを低減させることはできるだろう。
ただ、即時対応を希望している住民に対して「照会のレスポンスが遅いので明日また来てください」とは言えないので、結局のところそういうケースでは添付書類の提出をお願いせざるを得ないのではないか、それって本当に番号制度の基本理念に沿っているのか? と個人的には悩むところである。実装が足を引っ張るパターンだ。

まとめ

それぞれの行政機関における私の役割は、組織が本質的に抱える課題を情報技術の面から解決し、職員の負担を軽減し、職員が本来担うべき行政サービスの質を向上させるよう道筋をつけることである。
どの組織にいる時も、何をどうすればいいのかというプランとゴールを私自身は持っているのだが、そのプランの中には番号制度は入っていない。
番号制度を無視しているのではない。番号制度により得られるベネフィットは不確定かつ限定的であり、私が目指すゴールはその先にあるのだ。あくまでもひとつの要素(あるいは制約条件)として受けとめている。そのため情報化投資を行う場合でも、長期的に意義があるか否かで判断するし、それは番号制度においても例外ではない。
番号制度を取り巻く関心事は、番号カードの多目的利用や銀行口座への付番など見栄えがする(つまり派手な)施策に移りがちだし、内部の情報の取り扱いや職員負担軽減策、行政コストの削減など地味な話題は考えたくもないのかもしれない。けれどもいくら見栄えのする施策をやってもそれらを下支えする仕組みが不安定なままでは、結局何をやってもうまくいかないと思うのだ。
また機会を見つけて、私の考えや取り組みをお知らせします。