編集長の佐藤(@akihirosato1975)です。
前半戦に続き、第2回情報法制研究会の後半戦のレポートです。
第2部
第2部はマイナンバー法周りの概要と問題点について。正直マイナンバー法については個人的にはあまり業務で関わりがないのでそれほど詳しくないため、レポートが間違ってたらすみません。
水町雅子弁護士
(資料はこちら)
水町先生からはマイナンバー法の概要の説明。細かい点については資料のほうを参照していただくとして、このレポートではそれ以外の点を中心にまとめます。
冒頭水町先生は「昔は『国が振る番号』というと『危険』というイメージがあった」として、いわゆる『国民総背番号制』の時代から現代に至るまでの世の中の変化の流れについて「最初はいわゆる『省庁統一コード』(注:1960年代の佐藤栄作内閣時代に導入が検討された個人識別コード)の議論から始まり、住基ネットにおける住民の異動情報を経てマイナンバーに至った」「番号の効果や性質はいずれも一緒」と振り返ります。それに対して「当時は民間とは比べ物にならないぐらいプライバシーへのインパクトがあったが、今は民間(が使う個人識別コード)の領域が肥大化して、国による番号管理の重要性が相対的に高くなくなった」と語り、本質的な重要性は変わらないものの民間で類似のコードが普及したことでマイナンバーの導入が可能になったという認識を示しました。一方で「あくまでマイナンバーは『この人だというものを把握しやすくする』ツールに過ぎない」「これをどう使うかは別の政策判断」とも語っています。
マイナンバーを取り扱う上で重要なポイントとして水町先生が挙げたのは「何のために」「どのように」取得するかという2点。まず前者については「あくまで基本は今までやっている作業がベース」と前置きした上で、マイナンバーが使われる領域が当面社会保険と税関係に限られることから「法定調書と社会保険関係書類を洗い出せばよい」としています。また「どのように」については「ここで安全管理措置が出てくる」としながらも「そこまで身構えるほどのことではない」と語り、一般的な企業秘密・個人情報と同程度の管理を行えば問題ない、との認識を示していました。
ただ注意すべきなのが「不必要に(マイナンバーを)取得すると法令違反の可能性が出てくる」ことで、「個人情報は一度取得してしまえば(あらかじめ告知した利用目的の範囲であれば)自由に使えるが、マイナンバーはそもそも使える場面が限定されている(必要ない場面で使ってはいけない)点が異なる」点に注意が必要、と注意を促しています。
あとはマイナンバー法の立法過程に関わった立場からの裏話として、「元々はマイナンバーの提供制限は特別定められておらず、(上位法である)個人情報保護法と同じ扱いになるはずだった」ものの、「情報の性質を考えると、提供制限がないと(マイナンバー法で新たに設けられる)情報提供ネットワークシステムが意味を成さない」という事情から提供制限条項が追加された、という話も披露。「提供制限は法文が非常に書きづらい」「具体列挙の形にすると、法令協議のときに各省が文句をいう」「いろいろ不満があるとは思いますが、あれは(各省の)血みどろの戦いを経ている」と、霞ヶ関側の内情をちょっとだけ暴露し、「法律を読んでもよくわからない技術的な条文になってしまった」「一般法がいっぱいある上に乗ってしまった」「本当はやめたかったがあれ以外に方法がなかった」など、起草に関わった側として反省?している様子を示していました。
個人情報保護法制全般についても、本来なら「誰の個人情報をどうやって取り扱って守るかを明らかにすれば良いので、もっと簡単な形にできるはず」としつつも、現在は「行政機関法・独立行政法人法・一般法である個人情報保護法がそれぞれ微妙に違う」という状況のため、将来的には「一体化して、読み手が読みやすい法律に変えていくべき」「どこが誤解されているのか、どこがわかりにくいとされているのかを調査して見直していくべき」と、将来構想を語っています。
あとは元アプリケーションエンジニアという立場から、「法律を順守したシステムを作るスキームがない」ことも問題視。「例えばある(マイナンバーを取り扱う)パッケージが違法な状態だと、そのパッケージを使うユーザ側も違法になってしまうが、そこに国が関与するチャンスがなかなか無い」として、具体的な方法への言及は避けたものの、国が何らかの方法で「法律を順守したパッケージソフト」の開発を手助けするべきではないか、との意見も出していました。
上原哲太郎先生@立命館大
続いて上原先生は、NPO法人情報セキュリティ研究所(セキュリティ業界では毎度おなじみ白浜シンポジウムの主催者ですな)で和歌山県内の自治体のマイナンバー対応に実際に関与している立場から、実際にシステムをマイナンバー対応させようとする際にはまりやすい点、特にプライバシー影響評価(PIA)について解説します。
まずマイナンバー法で各自治体がPIAを行う際に、まずその評価の基本となる「特定個人情報ファイル」について、「エンジニアの立場からすると『ファイル』『データベース』という言葉に引きずられがちだが、実際はファイル・データベースの種別に関係なく『個人番号にアクセスできる人が、個人番号に紐づけてアクセスできる全てのデータ』を指す」「例えば物理DBが複数に分かれていたとしても、それらをリンクしてアクセスできる場合は、全体で一つの『ファイル』扱いとなる」と、言葉の定義から注意が必要であることをアピール。
またややこしいのが、「画面上個人番号を表示していない場合でも、内部で検索キーとして個人番号を使っていたら『特定個人情報ファイル』にあたる」一方で、「既存番号と個人番号のマッピングがDB内に格納されているようなシステムで、紐付け(検索キー)として既存番号を使っていて、個人番号にはアクセス制限がかかっていてアクセス出来ない場合は『特定個人情報ファイル』ではない」という点。「個人番号をそのままではなく、ハッシュ化・暗号化等『一定の法則により生成した』番号は個人番号と同等の扱い」という話もあるそうで、一般的なWebシステムの技術者の感覚でPIAを行うと痛い目に遭うようです。
特に面倒なのが、複数のシステムで同一のDBを参照するようなケースで、その場合「アクセス制御の範囲によって『特定個人情報ファイル』か否かが変わる」という点。言い換えれば「アクセス制限等で、個人番号を保存しているテーブルに参照権限がないシステムから見た場合は『特定個人情報ファイル』ではないが、他の参照権限があるシステムから見た場合は『特定個人情報ファイル』となる」ケースがあるということで、余計に話がややこしくなってます。
また実務屋とエンジニアの認識の差として、上原先生は「システムのデザイナーの立場では『DBをまるごとぶっこ抜かれる』ことを心配して、1件ずつ情報を取られることはあまり心配しない(注:なぜなら日常業務で1件ずつデータを参照するのは当たり前だから)」「ただ『特定個人情報ファイル』は業務側の立場から定義されていて、1件でも情報が漏洩したらアウト」という差があることを示し、そのズレを認識することが重要であることを強調していました。
PIAへの対応として、上原先生は「業務ごとにアクセスが必要な情報の範囲を洗い出して、個人情報が必要な局面を調べて愚直にアクセス権限を設定していく」しかない、と語るものの、現場でよくある問題として「運用上システム管理者が必要だが、システム管理者はマイナンバー見ちゃいけない」という権限設定がされるケースを挙げ、「でもシステム管理上、どうしてもマイナンバーを見なきゃいけない場合が出てくるが、その場合どうする?」という問題を語っていました(注:ただ、この件についての明確な回答はないようです)。
あとは実際にPIAを行う場合の問題点として、「一番必要なのは業務ワークフローの洗い出しで、それは業務をやっている現場が一番詳しいのに、現場は(PIAを)情報担当に押し付けたがる」「しかも実際のシステムの中身はベンダ任せで、結局はコピペ的な評価書が出来上がる」という点を挙げ、特に「社会保障分野は一番自治体間が差別化を図る部分なので、必ずカスタマイズが入っている」のに評価書がコピペなのはおかしい、という点を指摘。また「最後は第三者評価を受けないといけないことになっているが、そのための人員が確保できない」という問題も指摘して話を締めていました。
湯淺墾道先生@情報セキュリティ大学院大
(資料はこちら)
トリは個人的にもお世話になっている湯淺先生。やはり神奈川県内の自治体のシステム関係に関わっている立場から、地方公共団体における個人情報保護及びマイナンバー法対応の問題点を解説します。
個人情報保護全般の話
最初は一般的な個人情報保護の観点の話で、まず湯淺先生が問題にしたのは、いわゆる「指定管理者」を務める民間事業者。一般的に指定管理者を務めるような事業者は複数の自治体から管理業務を受託することが多いわけですが、その場合その事業者は「地方公共団体の定める個人情報保護条例に従わなければならない」(湯淺先生)。またその条例自体が各自治体で微妙に内容が異なるのが普通で、厳密にやるなら「自治体ごとに小分けして(それぞれの条例に従って)管理しないといけないが、とてもそれができているとは思えない」。
そしてもう一つが、広域事務組合のような特別地方公共団体。基本的には特別地方公共団体はそこに参加する自治体とは別個の存在なので、個人情報保護条例も当該団体が独自に制定しないといけないわけですが、なんとこの条例が未制定という団体があるそうで「神奈川県内で調査してみたところ、全部で24団体あるうち条例制定済のところは7団体のみ」。さらに地方公共団体の場合は一般法としての個人情報保護法の適用もないので「個人情報保護のための法令が全く存在しない」状態となってしまい、斎場を運営する広域事務組合の例では「申込時に(おそらく祭壇設営の都合で)宗派を記入する欄があり、それこそ信仰する宗教の情報はセンシティブデータにあたるレベルの情報だが、法令がないので当該情報の第三者提供すらできる可能性がある」というとんでもない状況であることを指摘。
マイナンバー法対応の問題点
このような背景があることを踏まえた上で、マイナンバー法については「地方自治体でも個人情報保護法の定義を使うことになっている」ため、少なくとも通常の個人情報のような「自治体によって『個人情報』の定義が異なる」事態は生じない、と湯淺先生は解説。ところがやはりプライバシー影響評価(PIA)のところで様々な問題が生じているとのこと。
まず問題点その1は、PIAを行った後の最終段階で行う必要がある「第三者点検」について。これについては特定個人情報保護評価に関する規則、並びに特定個人情報保護評価指針が根拠となっているとのことですが、規則の方では「第三者の『意見を聴くものとする』」という定義になっているため、点検で問題点を指摘されたにも関わらず「第三者の意見は一応聞いた」としてPIAを終わらせてしまう自治体が存在するといいます。
問題点その2は業務主管。実際PIAを行う場合には「文書法制系の部署と情報システム系の部署のどちらかが主管になる事が多い」ものの、文書法制系の部署が主管になった場合は「業務フローや準拠すべき法律等はわかるものの技術(的な問題点)がわからない」一方で、情報システム系の部署の場合は「技術はわかるものの、(マイナンバー法の)条文をどうシステムに落としこむかがわからない」という問題が起きがちだとします。
問題点その3はズバリ「費用」。PIAの報告書を各自治体の職員だけで作成するのは現実的に厳しいため、実際には民間のコンサルタントの手を借りることが多いかと思いますが、そうなると最低でも数百万円単位の出費が発生します。ところがほとんどの自治体はその費用が捻出できず、中には「第三者点検のための委員報酬(せいぜい数千円程度)が出せないので、点検は一回で終わらせたい」という自治体すらあると湯淺先生は言います。しかもPIA業務は「自治業務になるので国費による補助がない」ということで、余計にお金が出しづらい状況となっている模様。
そして最後の問題は、湯淺先生曰く「後出しジャンケン」。当初から言われている通りマイナンバーは基本的に「社会保障及び税金」の分野でのみ使用することになっていますが、その中でも当初マイナンバーを使わない予定だった業務(ex. 固定資産不服審査会、住基ネット経由のコンビニでの住民票交付)でもマイナンバーを使うとされる業務が後から追加されるといった話が出てきてしまっており、既にPIAを終わらせている自治体も「これらの追加・変更が『重要な変更』に当たる場合はPIAをやり直さなければならない可能性がある」。これは実際きついと思われます。
あと直接は自治体側の問題ではないものの厄介なのが、住基ネットを管理する地方公共団体情報システム機構(JLIS、旧地方自治情報センター(LASDEC))の扱い。
普通に考えたらJLISは完全に特殊法人(地方共同法人)なのに、なぜか「独立行政法人個人情報保護法上、別表の法人一覧に含まれていないので民間事業者扱い」(湯淺先生)。実際JLISは民間事業者としてPマークを取得してたりします。しかもJLISは「セキュリティを理由にシステムの詳細を公表しない」ため、本来第三者点検では「秘密保持契約等を結んだ上で全項目評価書を提示し点検する」ことになっているのに、住基ネット絡みの部分は評価が困難という状況で、結果として「同じシステムを使っているのに、自治体によってリスク評価の結果にばらつきが出る」状況とのこと。
上記でも問題になった特別地方公共団体についてはまた別の問題が有り、本来特別地方公共団体が扱っている事務については「各自治体には窓口業務を委任しているだけなので、窓口部分も含めた全体について特別地方公共団体側でPIAを行わないといけない」のに、実際は窓口業務は各自治体に丸投げで「実際に特別地方公共団体側で行っている業務しか評価できていない」そうな。しかも一部事務組合については、総務省自治行政局からの「謎の通知」(湯淺先生)により、「(自治体側に)元々あった部署に成り代わり事務を行うので、『同一地方公共団体内の内部利用』とみなして利用できる」というよくわからない事態になっており、湯淺先生も「板倉先生等と(通知を)読んであぜんとした」と語るほど。
これにより、一部事務組合側では「個人情報の利用を『内部利用とみなす』ため」PIA評価を行わず、一方で各自治体側では「(委託した業務については)自治体内部の執行機関が消滅しているのでPIAを行う必要がない」と判断する可能性があり、「PIAが全く行われない領域が発生する可能性がある」(湯淺先生)。というわけでマイナンバーでも(上記の個人情報保護一般と同様の)空白域が出現する可能性がある、という問題点を指摘されていました。
最後に問題にしていたのが「特定個人情報の開示請求に対する対応が自治体により異なる」恐れについて。特に特定個人情報の場合、一般の個人情報と異なり死者に関する情報も保護対象となるという違いがあるわけですが、その開示請求は「現実には各地方公共団体の条例規定を使うことになる」ため、開示請求をかけた相手方によっては開示結果が異なる可能性があり「せっかくマイナンバー法で『特定個人情報』の定義を統一した意味がなくなる恐れがある」(湯淺先生)。ただこれも結局は「もし開示請求が却下された場合は不服審査を申し立てることになるので、その実務待ちになるのではないか」との見込みを示されていました。