個人番号汚染に対する(私の関与する)行政機関の対応

はじめに

先日書いたブログの記事「個人番号による「情報の汚染」を防げ」の続き。
前回は、従来から取り扱っていた個人情報に個人番号(マイナンバー)が紐づけられることで特定個人情報に成長(?)する様子を「個人番号汚染」という言葉で解説した。
断っておくが、私は無責任に不安をあおろうという意思はない。法や運用やシステムに不安を抱くのは誰もが同じ。ただ、事実を客観的に把握したうえで、なるべく楽に、なるべく事故を起こさない方法を模索したいだけだ。

特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)

特定個人情報の適正な取扱いに関するガイドラインは事業者編と行政機関等・地方公共団体等編に分かれている。
今回は行政機関等・地方公共団体等編について考えてみよう。民間事業者と異なり、行政機関(特に地方自治体)では、個人番号の収集、管理だけでなく、特定個人情報の提供と照会という事務が加わる。
また、特定個人情報の提供と照会は、中間サーバ(行政機関が管理するとされる、情報提供、照会の窓口となるサーバ)や情報提供ネットワークシステム(行政機関同士を仲立ちするシステム)を経由して行うこととされている。
この中間サーバ、情報提供ネットワークについては、以前もブログで解説した。

マイナンバーにおける情報連携についてあれこれ
情報連携ネットワークにおける情報連携の仕組み(既出?)

fig3図. 情報連携ネットワークの概要

地方自治体の責務で留意すぺきポイントを書いておこう。

個人番号の利用制限について

事業者向けのガイドラインにも同じようなことが書かれているが、個人番号(マイナンバー)はその利用範囲に制限がある。ざっくりいうと、社会保障、税、災害の分野に限定され、しかもそれらは法律の別表に限定列記されている。
また、当初は「独自利用」と言って、社会保障、税、災害に関する分野であれば、個人番号を広範囲に活用し、行政サービスの向上に資するという考えをそれぞれの自治体が持っていたのだが、実際には利用範囲の制限が厳しく解釈され、別表の業務に派生するものしか独自利用として認められない(3つの条件があるのよ)という形に落ち着いた。
ガイドラインの当該ページには個人番号の定義に関する解釈が記されているので、引用しておく。この解釈が後から意味を持ってくるので。

「個人番号」には、個人番号に対応して、当該個人番号に代わって用いられる番号等も含まれる(番号法第2条第8項)。
例えば、数字をアルファベットに読み替えるという法則に従って、個人番号をアルファベットに置き換えた場合であっても、当該アルファベットは「個人番号」に該当することとなる。
一方、基礎年金番号、システムで使用している住民番号、職員番号等(個人番号を一定の法則に従って変換したものではないもの)は、「個人番号」には該当しない。
(特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編), p14)

この解釈から考えると、団体内統合宛名番号は個人番号に含まれないことになる。当然だよね。庁内でのみ使用する独自の番号なんだから。
また、ガイドラインに条例制定の要否についても記されているので、長くなるけどこれも引用しておく。

都道府県及び市町村(特別区を含む。以下同じ。)は、地域の総合的な行政主体として社会保障、地方税又は防災に関する複数の事務を同一の機関で処理しており、個人情報保護条例の規定の下、複数の事務間において相互に個人情報の授受がなされているところもある。これと同様に、特定個人情報についても、番号法別表第1に掲げられている事務を処理するために必要な場合に複数の事務間で特定個人情報を移転し、その検索、管理を行うために個人番号を利用する場合が想定される。このような場合には、同一機関内であっても複数事務間で特定個人情報の移転を行うこととなることから、同法第9条第2項に基づく条例を定める必要があると解されている。
なお、地方公共団体において、同法第9条第2項に基づき、条例で個人番号を利用することができることとした事務について、当該事務の根拠を定める条例において書面の提出を義務付けている場合があるが、この場合であって、同項に基づく特定個人情報の移転に係る条例を定める場合に、当該特定個人情報と同一の内容の情報を含む書面の提出を不要と判断するときは、当該書面の提出を義務付けている条例等を改正等する必要がある。
(特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編), p15)

ここで重要なのは、これは「特定個人情報に関する移転の話題」であるというところだ。つまり特定個人情報でなければ、この話は関係ない。条例だけでなくシステムの実装に影響があるので、留意しておく必要がある。

特定個人情報の安全管理措置について

安全管理措置については、ガイドラインの別添として外に出されているので、これを見てみよう。事業者向けのものと項目としては差がない。
厄介なものの一つは、物理的安全管理措置だろう。地方自治体は日常的に住民情報を扱うので、元々適切な管理をしている。もちろん業務に必要な範囲で部署をまたいで情報の照会を行うことはある。そうしないと縦割り行政に逆戻りしちゃうからね。
ちなみに、この行為の根拠は地方自治体が個別に制定している個人情報保護条例だ。つまり条例を根拠にして、あらかじめ本人の同意を得て運用している。
いくつかの地方自治体の条例を見てみたけど、物理的安全管理措置について明確に示されたものは見つけられなかった。つまり、従来の個人情報保護法の体系の中では物理的安全管理措置という概念自体が存在しないのだ。(実際はセキュリティポリシなどで定められている可能性はある)
ところが、これらの個人情報が個人番号汚染により特定個人情報、特定個人情報ファイルとなった場合に、今まで意識していなかった物理的安全管理措置を講ずる必要が出てくるのだ。
物理的安全管理措置自体は妥当なもので、基本的には異論はないのだけど、「特定個人情報等を取り扱う区域の管理」あたりは、取り扱いが職員の業務用端末に及ぶことになるので、執務室への入退室管理を今まで以上に厳格にしなければならない。
民間企業なら当たり前の入館証による入退室管理も「開かれた行政」を標榜する地方自治体では実現できていないことも多い。もちろん予算の問題もある。
そしてもう一つ、技術的安全管理措置も厄介である。この中には情報システムにおけるアクセス制御、認証、不正アクセス防止、情報漏えい防止が含まれる。
不正アクセス防止、情報漏えい防止は、一般的なセキュリティ対策なので、すでに実施済みだが、アクセス制御、認証については、その対応レベルにバラつきがある。
基礎自治体において住民情報を取り扱う部署では、ICカードとパスワードによる二要素認証と厳格な権限管理、そしてログの取得により十分な対策が施されているだろう。しかし、それは最高レベルの対策であり、あらゆる業務システムが全てそのレベルで管理されているかというと、そうとは言い切れない。
誤解されるといけないので丁寧に補足しておくと、アクセス制御、認証は「庁内の担当職員であるか否か」の識別であり、庁外からのアクセス制御、認証は情報セキュリティ対策の範囲として、それ以前に制御されている。つまり、このアクセス制御、認証は「職場の同僚でさえ全面的に信用していない」という前提に立って構築されている。
これが個人番号汚染されると、技術的安全管理措置も(究極的には)最高レベルの対策を要求される。これまで十分な対策だと考えられていたものでも、さらに上を要求されるのは、財政状態が心もとない地方自治体にとって厳しい要求となる。

特定個人情報の提供制限について

そして最後に特定個人情報の提供に関する制限である。提供の範囲も番号法別表に基づく限定列記なので、対象業務についての疑義点はない。
ポイントは、同一組織内で特定個人情報を移転する場合には、提供事務には該当せず利用事務になるということ。その際、上述したとおり条例制定が必要となるところだ。
そして、繰り返すけど、この提供制限はあくまでも特定個人情報の話なので、従来の個人情報は対象外(別の法令や条例に依拠する)である。

まとめ

今回で一気に結論まで持っていきたかったんだけど、引用が多すぎて長くなったので、一旦まとめておく。

  • 団体内統合宛名番号は個人番号とは異なるものである。したがって、団体内統合宛名番号で紐づけられた個人情報は特定個人情報に該当しない。
  • 安全管理措置について、特定個人情報であるか否かでその取扱いのレベルが大きく変わる。すべてを満たす措置を行うための財政的な負担は案外大きい。(ついでに言っておくと、こういう財政的な負担を含めて、本当にこの制度で投資対効果を得られているのかは、事後に検証すべきだと思う)
  • 特定個人情報の提供の対象は、そもそも番号法別表による限定列記である。同一組織内での特定個人情報の移転は提供ではなく利用だが、利用に際しても社会保障、税、災害の分野に限定されるうえに、条例制定が必要となる。

うっかりしていると、個人番号汚染が深刻になるので、それらを防ぐ仕組みが必要になるのだろう。次回こそ、その事例を紹介する。