2024.12.16
レポート
マイナンバーの利活用と特定個人情報保護評価
一般財団法人日本情報経済社会推進協会
電子情報利活用研究部 主査 須永 卓也
1.特定個人情報保護評価とは
JIPDECでは、特定個人情報保護評価に関する支援業務を行っています。「特定個人情報保護評価」とは、行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)第28条で規定されている1もので、行政機関がマイナンバーを取り扱う事務において、その取り扱いに関するリスクを事前に分析し、そのリスクを軽減するための措置を講じているかを確認し、自ら宣言するものです。特定個人情報、つまりマイナンバーに関するもので、諸外国のプライバシー影響評価(Privacy Impact Assessment:PIA)に相当するものであることから、マイナンバーPIAなどとも呼ばれています。
特定個人情報保護評価の根本的な目的・意義として、行政機関におけるマイナンバー取り扱い事務を対象としたものであることから、個人の権利利益の侵害を事前に防止すること、また国民・住民の信頼を確保することとされています2。したがって、特定個人情報保護評価においては、権利利益の侵害を未然に防ぐために、事後的な対応ではなく事前防止の観点で自ら実施し、またその取り扱いの内容やリスク対策、措置がどのようなものかを国民・住民に広く開示するとしており、リスク分析・リスク対策といった安全管理措置そのものの適切性だけでなく、マイナンバーの取り扱いそのものが適切かを事前に知らしめることが求められています。
つまり、事務の現場で適切に厳格に取り扱っているというだけではなく、その事務においてマイナンバーを取り扱うことでどういったリスクがあり、そのリスクに対してどのような対策を行っているかをきちんと国民・住民に理解してもらうことが必要となります。
行政機関および関係機関のマイナンバー取り扱いを対象にと言うのは簡単ですが、対象となる機関・システムは膨大なものとなり、すべての取り扱いをもれなく精査することは現実的ではありません3。したがって、特定個人情報保護評価に関する規則4では、その取り扱いのリスクに応じて実施すべき特定個人情報保護評価の要否や実施内容を定めており、取り扱うマイナンバーの件数、およびマイナンバーを取り扱う者の数、重大事故の発生の有無からしきい値判断を行い、「全項目評価」「重点項目評価」「基礎項目評価」のいずれを実施する必要があるかを定めています。
2.マイナンバーの利用促進と指針改正
行政機関における特定個人情報の取り扱いを定める「特定個人情報の適正な取扱いに関するガイドライン」および特定個人情報保護評価の実施事項を定める「特定個人情報保護評価指針」は、社会変化等に対応し定期的に改正が行われています。直近では、2024年5年27日に改正5されました。主な改正点としては、マイナンバー紐づけ誤りおよびマイナ総点検の影響により、人的ミス防止対策に関する規定・様式変更と、マイナンバー・マイナンバーカードの利用促進に関するマイナンバー法改正に対応する改正が行われました。
このマイナンバー・マイナンバーカードの利用促進によって、これまで税・社会保険関連等の事務で用いられていたマイナンバーが、国家資格や自動車登録等の事務でも用いられることとなり、特定個人情報保護評価の対象となる事務が一気に増えることになります。6,7
先に述べたように、特定個人情報保護評価は実際に取り扱う前に実施することが求められるものであること、またマイナンバーの利用促進は地方公共団体ごとの取り組みではなく、日本全体での悉皆性のある取り組みであることから、多くの地方公共団体でマイナンバーの取り扱いに関する対応、また特定個人情報保護評価は急務と言える状況にあります。
3.今後の特定個人情報保護評価
マイナンバーの利用促進だけでなく、ガバメントクラウドの導入や自治体情報システムの三層分離構造の見直し等、行政機関におけるマイナンバーの取り扱いや情報セキュリティに関する状況は、技術や社会の変化に応じ大きく変化していくこととなります。また、現状では同様の事務であっても地方公共団体の規模によって評価基準が異なってくることや、多くの事務が対象となる基礎項目評価の意義等について、特定個人情報保護評価制度自体をより実効性のある制度として見直すことも必要となるでしょう。
JIPDECでは、行政機関の特定個人情報保護評価の支援を通じ、より安全、安心な情報化社会を実現していきます。
- 著者
- JIPDEC 電子情報利活用研究部 主査 須永 卓也
プライバシーマーク制度運営、インシデント対応等に従事
2024年度より、地方自治体の特定個人情報保護評価支援業務に従事