第2回川口市情報公開・個人情報運営審議会結果
更新日:2018年02月28日
会議名 | 平成26年度第2回川口市情報公開・個人情報保護運営審議会 |
---|---|
開催日時 | 平成27年3月10日(火曜日)午前10時から午前11時10分まで |
開催場所 | 川口市役所 議会第3委員会室 (所在:川口市青木2-1-1) |
出席者 | (会長)早川和宏会長、(副会長)小森貴浩委員、高橋英明委員、近藤智明委員、今井初枝委員、井上太郎委員、中塩照美委員、加藤和委員、高木輝久委員、佐藤喜代子委員、井上春江委員 事務局:大津総務部長、山崎行政管理課長、川野情報公開文書係長、漆原主査、木村主事 関係者(事業課):大山情報政策課長、森岡情報政策係長、舩津主任 |
議題 | 審議事項 「特定個人情報保護評価書の第三者点検について」 |
公開または非公開の別 | 公開 |
非公開の理由 | |
傍聴人の数 | 0名 |
会議資料 | 会議資料(8610KB) |
会議録 |
|
問い合わせ先 | 川口市総務部行政管理課情報公開文書係(本庁舎2階) 電話048-258-1110(代表) 内線2141、2142 |
その他 | |
関連リンク | 川口市の審議会等トップページ ├審議会等の会議開催のお知らせ └委員を公募している審議会等 |
会議録(審議事項)
「特定個人情報保護評価書の第三者点検について」
(注意)住民基本台帳に関する事務における実施機関がおこなった「特定個人情報保護評価書(全項目評価書)」の評価の適合性・妥当性について第三者の立場で点検を行った。
会長
今回の議題である審議事項「特定個人情報保護評価書の第三者点検について」、事務局に説明を求める。
事務局
審議対象とした経緯について、この度の諮問は、特定個人情報保護評価に関する規則第7条第4項の規定に基づく特定個人情報保護評価書(全項目評価書)の評価の適合性・妥当性について、川口市情報公開・個人情報保護運営審議会条例第2条第1項第1号における「情報公開制度及び個人情報保護制度の運営に関する重要事項」に該当するため諮問されたもの。
なお、業務の名称は、「住民基本台帳に関する事務」であり、その住民基本台帳に関する事務における実施機関が評価をおこなった「特定個人情報保護評価書(全項目評価書)」の評価の適合性・妥当性を審議いただくもので、まずは「特定個人情報保護評価の実施について」担当課よりご説明させていただく。
担当課
番号制度における「特定個人情報保護評価の実施について」の概要を説明。
事務局
審議する内容として、「特定個人情報保護評価書(全項目評価書)」の適合性・妥当性における評価においては、資料1-5「第三者点検」の特定個人情報保護評価指針第10の1(2)アの「適合性」及びイの「妥当性」の各項目(計12項目)において審査を行う必要があり、別表の「特定個人情報保護評価における第三者点検チェック表」を使用し、担当課からの説明も踏まえて審議いただきたい。
担当課
適合性の項目は6点あり、指針に定める実施手続等に適合した保護評価を実施しているかについて審議いただきたい。
また、妥当性の観点の項目も6点あり、保護評価の内容が指針に定める保護評価の目的等に照らし、妥当と認められるかについて審議いただきたい。
最初に適合性の1点目「しきい値判断に誤りはないか」においては、全項目評価の要件は、対象人数30万以上となっており、本市人口589,205人(平成27年1月1日現在)であり全項目評価となる(評価書69ページ参照)。
会長
1点目について何か質問はあるか。
委員
(なし)
担当課
2点目「適切な実施主体が実施しているか」においては、地方公共団体の長である川口市長が実施している。
会長
2点目について何か質問はあるか。
委員
(なし)
担当課
3点目「公表しない部分は適切な範囲か」においては、今回の評価書に非公開部分はない。
会長
3点目について何か質問はあるか。
委員
(なし)
担当課
4点目「適切な時期に実施しているか」においては、特定個人情報の取扱い前であり、住基システムの番号制度対応改修前(平成27年10月に個人番号が付番され、平成28年1月から運用開始)に実施している。
会長
4点目について何か質問はあるか。
委員
(なし)
担当課
5点目「適切な方法で広く住民等の意見を求め、得られた意見を十分考慮した上で必要な見直しを行っているか」においては、パブリックコメントを31日間実施したもの。ただし意見等の提出は無かった。
会長
5点目について何か質問はあるか。
委員
パブリックコメントをどのように実施したのか。
担当課
市ホームページへの掲載や市政情報コーナーで意見募集の周知を実施した。
会長
他に何か質問はあるか。
委員
(なし)
担当課
6点目「特定個人情報保護評価の対象となる事務の実態に基づき、特定個人情報保護評価書様式で求められる全ての項目について検討し、記載しているか」においては、事務の実態に基づき、特定個人情報保護評価書様式で求められる全ての項目について検討し、記載している。
会長
6点目について何か質問はあるか。
委員
事務の実態に基づくとはどういうことか。
担当課
評価書を作成する上で実際に事務を行っている市民課と協議し、事務におけるリスク等を具体的に検討した結果ということである。
委員
事務の手順を法令や条例に基づいて行っているということか。
担当課
そのとおりである。
会長
他に何か質問はあるか。
委員
(なし)
担当課
次からは妥当性についてとなるが、7点目の「記載された特定個人情報保護評価の実施を担当する部署は、特定個人情報保護評価の対象となる事務を担当し、リスクを軽減させるための措置の実施に責任を負うことができるか」においては、事務の所管課である市民課及び、システムの所管である情報政策課において、それぞれの範囲でリスク軽減措置を評価書3(44ページ)のとおり検討した。
会長
7点目について何か質問はあるか。
委員
海外のような成りすましはないのか。
担当課
海外と異なり、日本の番号制度では、厳格な本人確認の義務付けや、利用範囲の法律での限定などの措置を講じている。
委員
情報漏えいがあった場合、番号によってさまざまな情報が紐付けされてしまうのではないのか。
担当課
個人番号は適切なアクセス制御により、法により個人番号を使用することが定められた業務以外はアクセスできないようになっている。
また、情報提供ネットワークシステムで流通する情報は暗号化されるとともに、情報の管理にあたっては、それぞれの各情報保有機関で管理し、必要な情報を必要な時だけやりとりする「分散管理」の仕組みを採用している。さらに情報連携においては個人番号を使用せず、情報保有機関ごとに異なる符号により連携するしくみであるため、情報漏えいがあった場合でも個人番号が紐付けできない仕組みとなっている。
委員
分散管理ということだが、情報連携はいわゆるアクセス・トークンと考えて良いか。
担当課
技術的な面としてアクセス・トークン方式である。お互いの認証が確認できなければ情報のやり取りができない仕組みを技術的におこなっており、勝手に別の場所にある情報を取得できないというものである。
委員
サイバー攻撃は大丈夫なのか。
担当課
通信回線としてはLG-WANとういう公共機関で使用しているクローズなネットワークのため、インターネット回線が繋がっていないことからサイバー攻撃をうけない。
委員
評価書50ページで中間サーバプラットフォームにUTM等を導入とあるが、LG-WANでしかもVPN接続なのにUTMがなぜ必要なのか。
担当課
中間サーバプラットフォームは地方公共団体情報システム機構が一括して管理・運営を行っているが、クローズドネットワークとはいえ全国の自治体の状況はさまざまであり、直接サイバー攻撃は受けなくとも標的型攻撃やマルウェア(悪意をもったプログラム)の進入の可能性がゼロではないため、そのような脅威を未然に防ぐ必要性からUTMを導入するものである。
委員
評価書44ページの対象者以外の情報の入手を防止するための措置の内容に記載のある対象者以外の情報の入手の防止について、これからの高齢化により後見人制度が普及されることが予想されるが、本制度導入により後見人が個人番号カードを提示すれば、被後見人の住民票などを発行してもらえるようになるのか。
担当課
原則本人以外使用できないものであるが、後見人からの代理請求にも対応できるものである。しかしながら、カードの内容に関しては、そのまま情報を読み取ることができないもので、必ずパスワード認証がされないと参照できない仕組みであると共に、ICチップを内蔵しており多くの情報を入れておけるが、各申請等が必要な場面での認証が必要な仕組みが構築されている。
委員
評価書45ページ内の特定個人情報の使用の記録における具体的な方法の1点目「アクセスログにおける記録を残している」という記載があり、また評価書53ページの同様の項目にある特定個人情報の使用の記録の具体的な方法の1点目、こちらは「操作履歴(アクセスログ・操作ログ)」であり記載に相違があるのはなぜか。
担当課
特に違いはない。アクセスログとは、操作ログもあるが操作をしなくてもシステム的に個人番号にアクセスしたかという履歴的なログなどをまとめて表現している。評価書53ページの内容は、よりシステム的に表現した内容である。
委員
記載が違うと中身が違うように感じられるので統一を望む。
会長
他に何か質問はあるか。
委員
(なし)
担当課
8点目「特定個人情報保護評価の対象となる事務の内容の記載は具体的か。また、当該事務における特定個人情報の流れを併せて記載しているか」においては、評価書9ページから12ページにおいて、事務における特定個人情報の流れと特定個人情報保護評価の対象となる事務の内容を具体的に記載している。
会長
8点目について何か質問はあるか。
委員
中間サーバコアシステムはどこの組織に属するのか。民間に任せられるのかを説明いただきたい。
担当課
それぞれの機関同士で情報提供ネットワークシステムが使われているが、それを制御するコアシステムと、またそれと機関同士が連携する中間サーバというものがある。これらについては、評価書9ページに記載されている地方公共団体情報システム機構が管理運営を行っている。また、中間サーバは自治体が整備をすることとなっているが、全国的にクラウドとして集中的に管理をする方法を全国の自治体で採用しているので管理の主体としては各自治体となるが、実際のサーバの所在は地方公共団体情報システム機構となる。
委員
地方公共団体情報システム機構に委託する際の市からの経費は発生するのか。
担当課
サーバの運営管理費やシステム管理費においては支出が生じるものだが、全額国庫補助の対象となる。運用経費は未だ示されていないが、開発経費については今年度約440万円、来年度約2,800万円が国庫補助の対象となる見込みである。
会長
他に何か質問はあるか。
委員
(なし)
担当課
9点目「特定個人情報ファイルを取り扱うプロセスにおいて特定個人情報の漏えいその他の事態を発生させるリスクを、特定個人情報保護評価の対象となる事務の実態に基づき、特定しているか」においては、評価書3のリスク対策(評価書44ページ~)のとおり、事務の実態に基づきリスクの特定を行っている。
会長
9点目について何か質問はあるか。
委員
(なし)
担当課
10点目「特定されたリスクを軽減するために講ずべき措置についての記載は具体的か」においては、目的外の入手が行われるリスクでは、「情報の登録の際に、届出・申請等の窓口において届出・申請内容や本人確認書類(身分証明書等)の確認を厳格に行い、対象者以外の情報の入手の防止に努める」など、具体的に記載している。
会長
10点目について何か質問はあるか。
委員
評価書46ページの外部委託業者の記載箇所にある情報保護管理体制の確認欄の契約時には本契約書とは別に秘密保持契約書を取り交わし業務従事者名簿を提出することとあるが、契約書の内容はどうなっているのか。
担当課
本契約とは別に秘密保持契約書を取り交わしている。これは、本市の情報セキュリティポリシィを順守し、また知り得た個人情報を漏らさない等の個人情報関係の記載をすることとしている。
会長
他に何か質問はあるか。
委員
(なし)
担当課
11点目「記載されたリスクを軽減させるための措置は、個人のプライバシー等の権利利益の侵害の未然防止、住民の信頼の確保という特定個人情報保護評価の目的に照らし、妥当なものか」においては、国の第三者機関である特定個人情報保護委員会より公表されている「特定個人情報の適正な取扱いに関するガイドライン行政機関等・地方公共団体等編」に則した対応を記載している。
会長
11点目について何か質問はあるか。
委員
(なし)
担当課
12点目「個人のプライバシー等の権利利益の保護の宣言は、住民の信頼の確保という特定個人情報保護評価の目的に照らし、妥当なものか」においては、評価書表紙のとおり、住民の信頼確保のため、特定個人情報の漏えい等のリスクを軽減するため適切な措置を講じていることを宣言している。
会長
何か質問はあるか。
委員
(なし)
会長
全体を通して何かあるか。
委員
10点目にあった特定されたリスクというもの以外に、想定されていないリスクも今後あると思うので後手に回ることなく対応していただきたい。
委託するに当たってベネッセの個人情報の漏えいの事件のように外部の人間が情報をもち出しておきることもあるため、性善説は大事であるがそういった想定されるリスクを考えて対応していただきたい。
担当課
想定されていないリスクについては、昨今の情報通信技術の進歩が速く、ウイルス等への対応がイタチごっことなっているのが現状である。新たな脅威には、本市情報セキュリティポリシーへ追記するなど随時対応したい。
なお、評価書の見直しも年1回実施するため更新を行っていく。
次に委託業者における漏えい対策は、技術的な対策として通常の作業用のパソコンを与えず、シンクライアントというパソコンの中に情報が残らない作業環境で行ってもらう。また、ICカード管理をして必ず職員が対応していくことで、データのコピーができないようにする。なお、人的対応としては、作業予定表を提出させること及び作業後に何の作業をしたのかを報告させ厳格に行う。
委員
後見人の話もあったが昨今の高齢化や認知症の問題も含めて、個人番号カードを無くしてしまった等の場合において、真に必要な家族が情報を取得したい場合において、この制度が施行されることで、取得できない状況に至るなど逆にそういった方達の弊害にとなってしまう恐れも想定されるが、この点について考えを説明いただきたい。
担当課
現在、総務省等で課題として検討されており、番号法では、カードの取り扱いや本人確認については施行規則で示されているが、更に具体的な内容については現状では示されていない。おって総務省から説明があると思われる。
会長
他に何か質問はあるか。
委員
(なし)
会長
他に意見がなければ審議事項についての可否を取る。諮問事項については承認することでよろしいか。
委員
(異議なし)
会長
当審議会としては、諮問された「特定個人情報保護評価書の第三者点検について」として住民基本台帳に関する事務における実施機関が評価をおこなった「特定個人情報保護評価書(全項目評価書)」の評価における適合性・妥当性を第三者の立場で点検した結果、評価は適正であると認める。
また、この諮問に対する答申については、審議・検討すべきことは終了し、答申の作成のためだけに次回の審議会を開く必要性が低いことから、この場で答申についても審議したいと考えるがいかがか。
委員
(異議なし)
会長
では、事務局で答申に関する資料の準備はあるか。
事務局
たたき台として用意した資料を配布させていただき説明させていただく。
(答申に関する資料を配付し、資料に基づき答申案について説明する)
会長
何か意見はあるか。
委員
(なし)
会長
無ければこの答申案について可否を取る。この内容でよろしいか。
委員
(異議なし)
会長
それでは、当審議会として、この答申案により、誤字脱字がないかも含めて、事務局と微調整のうえ答申を行うこととする。微調整の内容については正・副会長に一任いただきたい。
委員
(異議なし)
会長
それでは、そのように決定させていただく。
会議録(その他)
会長
次にその他として、事務局から何かあるか。
事務局
当審議会は、個人情報取扱業務登録についての報告を年に1回もしくは2回程度行う。そのうち1回は情報公開・個人情報保護制度の運用状況について報告する。
その他に両制度の運営に関する重要事項や、実施機関が当審議会に諮問する案件について、また今回の諮問事項の特定個人情報保護評価の審議等について、評価対象事務が生じた場合、適宜、開催させていただく。
また、当審議会は、必要に応じ、両制度の重要事項について建議、提案できるものとなっている。
これら審議、報告事項がある場合は、事務局から事前に連絡をする。
会長
その他事項の中で何か意見はあるか。
委員
(なし)
会長
特に無いようなので、本日の会議は以上で終了とする。
- お問い合わせ
-
行政管理課 情報公開文書係
所在地:〒332-8601川口市青木2-1-1(第一本庁舎4階)
電話:048-258-1641(直通)
電話受付時間:8時30分~17時15分(土曜日、日曜日、祝日、休日、年末年始を除く)
ファックス:048-258-1209
メールでのお問い合わせはこちら