レポート

JIPDEC 番号法PIA支援サービスのご紹介
JIPDEC マイナンバー対応プロジェクト室 主席研究員 山田 拡

印刷用

サービス開始の背景

 2013年5月に成立した「行政手続における特定の個人を識別するための番号の利用等に関する法律(番号法)」において、2016年から国民に個人番号を付与するとして、全ての地方公共団体に特定個人情報(個人番号を含む個人情報)を保有する前に特定個人情報保護評価を実施することが義務付けられた。プライバシーマーク制度の運営や個人情報の保護と利活用に係る研究を行っているJIPDECには、地方公共団体の方々より、この法律成立前後から、特定個人情報保護評価について、具体的に何を行えばよいのか、効率的に実施する方法はないか、職員研修を行ってもらえないかといったお問い合わせをいただくことが増えていた。
 JIPDECは、例えば住居移転の際に転出先で番号が漏れるといったことがないよう、全ての地方公共団体で特定個人情報が均質に取り扱われるべきだと考える。そこで、地方公共団体が特定個人情報保護評価を円滑に実施できるよう支援を行えないだろうかと考え、2013年度にマイナンバー対応プロジェクト室を設置し、サービスの検討を進めてきた。

特定個人情報保護評価(PIA)とは

 政府の指針では、特定個人情報保護評価とは、アメリカ、カナダ、ニュージーランド、韓国等で行われているプライバシー影響評価(Privacy Impact Assessment)に相当するものとされている。また、対象となる人数の規模や、しきい値評価を用いて判断するリスクの程度により、全項目評価、重点項目評価、基礎項目評価に分類され、全項目評価は第三者点検を行う必要があるとされた。
 諸外国で行われているPIAは、個人情報の保有により生じるリスクとその軽減・緩和策を自ら評価し、公表するものである。具体的には、(1)必要最低限の個人情報が取り扱われているか、(2)安全な運用ルールが策定されて取り扱われるか、(3)ルールおよび技術の面でその時考えられるベストエフォートなセキュリティ対策が採られているかという主に3つの要点について、既存の国際標準や、規格、法令等からの確認により目的以外には使われないことが明らかになると、総じてプライバシーが守られると宣言できるとされている。
 日本における標準として考えられるものとしては、JIS Q 15001(個人情報の取扱いに関するリスクを適正に管理するシステム(個人情報保護マネジメントシステム:PMS)を構築するための要件)、ISO/IEC 27000 シリーズ(情報セキュリティリスク(プライバシー、機密、情報技術など)を評価する基準)、CC(Common Criteria:ISO15408)(IT製品や情報システムのセキュリティ機能を評価するための評価方法の基準)などがある。これらと番号法27条1項等の政府指針の評価事項を照合したところ、かなりの部分で対応付けを行うことができた。そこでJIPDECでは、これらの標準を参照して特定個人情報保護評価を実施できると考えた。

東京都等の地方公共団体での試行

 このような照合に基づいて実際に特定個人情報保護評価を行えるかどうかについて、JIPDECでは、2013年度に東京都等の地方公共団体にご協力いただき、試行を行った。具体的には、各地方公共団体に、対象業務を選定いただき、要件定義書/データフロー/業務手順/規程類等の書類を準備いただき、全項目評価書を作成した。また、作成した評価書の「適合性・妥当性」について、プライバシーマーク等の第三者認証に携わる審査員による再確認を行った。
 試行を終えて、各地方公共団体からは、このような評価の進め方を行い、第三者点検前に確認を受けることができると安心してシステム設計に取り組めそうだとのご意見をいただいた。
そこで、試行成果のご紹介を進めるとともに、2014年4月より、「JIPDEC番号法PIA支援サービス」の提供を開始することとした。

JIPDECで番号法PIA支援サービス

 特定個人情報保護評価のプロセスとして、各地方公共団体は、特定個人情報を扱うシステムの企画・設計の段階で、リスク特定・分析とその対策措置の検討を行い、評価書を作成し、第三者点検を受ける。このなかで、地方公共団体にはこれまでにあまり経験のない作業や、具体的な方法に関する悩みがあるのではないかと考え、JIPDECでは、地方公共団体による特定個人情報保護評価の円滑な実施を支援する3つのサービスを提供する。

■特定個人情報保護評価研修サービス:実施計画策定、対象システムの分析、特定個人情報の特定、リスク分析、評価書作成といった実施の方法について、集合型研修形式で説明する。

■特定個人情報保護評価事前チェックサービス:地方公共団体が作成した特定個人情報保護評価書について、第三者点検前に、リスク分析・評価の経験を持つプライバシーマーク審査員等が、「適合性・妥当性」の確認を行い、「評価確認書」を発行する。(全項目評価・重点項目評価が対象)

■特定個人情報保護評価実施支援サービス:具体的な実施方法、評価書作成方法に関する個別相談、研修等のご要望に合わせた支援を包括的に行う。

 本サービスについてご関心をお持ちの方には是非お問合せいただきたい。

[サービスのご紹介・パンフレット]
(JIPDEC Webページ『番号法PIA支援サービスご紹介』)

  • 2014年4月17日 第38回電子情報利活用セミナー「電子情報の安心・安全な利活用促進に向けて」