第1回第2部川口市情報公開・個人情報運営審議会結果

会長

今回の議題である審議事項「特定個人情報保護評価書の第三者点検について」、事務局に説明を求める。

事務局

審議対象とした経緯について、この度の諮問は、特定個人情報保護評価に関する規則第7条第4項の規定に基づく特定個人情報保護評価書（全項目評価書）の評価の適合性・妥当性について、川口市情報公開・個人情報保護運営審議会条例第2条第1項第1号における「情報公開制度及び個人情報保護制度の運営に関する重要事項」に該当するため諮問されたものである。
 なお、業務の名称は、諮問の概要にあるとおり「個人住民税の課税に関する事務」、「地方税の収納・滞納整理に関する事務」及び「国民健康保険に関する事務」があり、その各事務における実施機関が評価を行った「特定個人情報保護評価書（全項目評価書）」の評価の適合性・妥当性をご審議いただくものであり、まずは「特定個人情報保護評価の実施について」担当課より説明させていただく。

担当課

番号制度における「特定個人情報保護評価の実施について」の概要を説明。

事務局

審議する内容として、「特定個人情報保護評価書（全項目評価書）」の適合性・妥当性における評価においては、別表の「特定個人情報保護評価における第三者点検チェック表」を使用し、担当課からの説明も踏まえて審議いただきたい。

担当課

適合性の項目は6点あり、指針に定める実施手続等に適合した保護評価を実施しているかについての審議をいただきたい。
 また、妥当性の観点の項目も6点あり、保護評価の内容が指針に定める保護評価の目的等に照らし、妥当と認められるかについて審議をいただきたい。

担当課

1点目（適合性）「しきい値判断に誤りはないか」について説明。

会長

1点目について何か質問はあるか。

委員

全項目評価とあるが、それ以外の評価は何か。

担当課

対象人数が10万人以上30万人以下の場合は、重点項目評価、10万人以下は基礎項目評価となる。

会長

他に何か質問はあるか。

委員

（なし）

担当課

2点目「適切な実施主体が実施しているか」について説明。

会長

2点目について何か質問はあるか。

委員

（なし）

担当課

3点目「公表しない部分は適切な範囲か」について説明。

会長

3点目について何か質問はあるか。

委員

（なし）

担当課

4点目「適切な時期に実施しているか」について説明。

会長

4点目について何か質問はあるか。

委員

（なし）

担当課

5点目「適切な方法で広く住民等の意見を求め、得られた意見を十分考慮した上で必要な見直しを行っているか」について説明。

会長

5点目について何か質問はあるか。

委員

パブリックコメントは、市外の人も意見を提出できるのか。

担当課

パブリックコメントの要綱の規定に則っており、意見を提出できる。

会長

他に何か質問はあるか。

委員

（なし）

担当課

6点目「特定個人情報保護評価の対象となる事務の実態に基づき、特定個人情報保護評価書様式で求められる全ての項目について検討し、記載しているか」について説明。

会長

6点目について何か質問はあるか。

委員

（なし）

担当課

7点目（妥当性）の「記載された特定個人情報保護評価の実施を担当する部署は、特定個人情報保護評価の対象となる事務を担当し、リスクを軽減させるための措置の実施に責任を負うことができる者か」について説明。

会長

7点目について何か質問はあるか。

委員

（なし） 8点目「特定個人情報保護評価の対象となる事務の内容の記載は具体的か。また、当該事務における特定個人情報の流れを併せて記載しているか」について説明。

会長

8点目について何か質問はあるか。

委員

事業の内容について、特定個人情報を扱うことで今回新たに加わった事務をそれぞれ説明求む。

担当課

申請書に個人番号を記入させるという作業が加わるため、個人番号の真正性と本人確認の事務が加わる。また、目に見えない部分では、情報提供ネットワークシステムでの情報提供が行われることから、自動的に中間サーバから照会先の相手方に通知されるようになる。その他の詳細については、主務省令までは出ているが、より詳細な事務処理要領が明らかになっていない。明らかになれば、どの部分で使うかがよりはっきりと整理していける。

委員

地方税の収納滞納事務において、事務の流れ図の中では、各課税システムの一部の税目についてしか特定個人情報の連携が記載されていないが、他の税目については対象にならないのか。

担当課

地方税については、固定資産税、法人市民税等は現在も連携されている。その連携が特定個人情報を含んだ連携に変わるだけである。よって、事務の手順は変わらないが、確認の手順は厳格にしなければならないと考えている。
 補足として、法人税は法人番号と紐づくため特定個人情報ではない。その他の課税は個人番号と紐付く特定個人情報として扱うことが想定できる。しかし、庁内では今までも使っていた宛名番号で連携するため、特定個人情報として連携するのは他市とのやり取りの際が主である。

委員

他市とのやり取りはどのようなときに必要になるのか。

担当課

例えば、川口市に住んでいない住民登録外の者が川口市に固定資産を持っている場合の収納滞納確認の際に必要となる。

会長

他に何か質問はあるか。

委員

（なし）

担当課

9点目「特定個人情報ファイルを取り扱うプロセスにおいて特定個人情報の漏えいその他の事態を発生させるリスクを、特定個人情報保護評価の対象となる事務の実態に基づき、特定しているか」について説明。

会長

9点目について何か質問はあるか。

委員

国税連携システムがあるところでリスク管理を厳重にしなければならないと思うがどうか。

担当課

LGWAN回線で入手するシステム上のリスクとして、不正なものを入手してしまうリスクがあるが、対策としてはID・パスワードを設定する、インターネットと繋がっていない端末を使用する、又は他システムと混在させない等である。人的対策としては、担当者以外は扱わない等である。

委員

基本オンラインなのか。

担当課

そうである。しかし、情報の入手自体は随時ではなくファイルでの連携となる。

委員

「地方税の収納・滞納整理に関する事務」における特定個人情報保護評価書30ページの「突合」という文言について、他の評価書では使われていないようだが、表現としては他のものの表現と同様の意味と考えてよいのか。

担当課

そうである。担当課で評価書を作成しているため表現が異なっているだけで、同様である。

委員

国保連合会とのデータの個人番号のやりとりはあるのか。

担当課

国保連合会とはLGWANではなく専用線で繋がっているが、個人番号を利用して連携を行うには情報提供ネットワークを介すこととなっているため、（専用線での）連携は行わない。

委員

ファイル連携の際に、使ったファイルは残さず削除するということでよいか。

担当課

削除する決まりになっている。

委員

年金機構のようにPCに個人情報等を置いてしまうことはないのか。

担当課

人のやることなので削除し忘れや複写してしまうことは絶対ないとは言い切れない。そのため現在重点的に番号制度に関する研修を実施し特定個人情報の取り扱いなど周知徹底を図っている。

委員

関係者本人が意図的に情報を削除することはできるのか。

担当課

認められておらず、削除できない。中間サーバに記録が残る。

委員

eLTAXや国税連携について、他市町村への回送はシステム内と紙に保存するとあるが、どういうことか。

担当課

あまりないケースではあるが、システムで回送を誤った場合など、紙で保存している情報と確認を行うため、データと紙で保存をしているものである。

委員

個人住民税の目的外の入手が行われるリスクについての対象者以外の情報の入手を防止するための措置の内容の箇所で、申請者が代理人の場合の記載があるが、どのようなことがあるか。

担当課

市民税の申告書記載の場合、委任があれば、例えば父親が子の申告をすることができるが、その際に子の番号を書くところ、誤って自分の番号を書いてしまっていないかという誤記入のチェックをしなければならないという記載である。

会長

他に何か質問はあるか。

委員

（なし）

担当課

10点目「特定されたリスクを軽減するために講ずべき措置についての記載 は具体的か」について説明。

会長

10点目について何か質問はあるか。

委員

委託業者の選定基準はどのようなものか。

担当課

JIPDECが認証しているプライバシーマークや、情報セキュリティマネジメントシステム（ISMS）の国際規格の認証を取得していることなどを参考に、事業者を選定するようにし、それ以外の業者は選定しないよう努める。

委員

保管の仕方について伺いたい。

担当課

紙媒体は、資料（申請書）毎にまとめて市民税課の鍵つき書庫へ保存。その鍵は市民税課長が管理している。

委員

「国民健康保険に関する事務」における特定個人情報保護評価書30ページ3-2-リスク1、2他部署からの入手に「処理番号」とあるが、これは他の評価書でいう宛名番号のことか。

担当課

そうである。

会長

他に質問はあるか。

委員

（なし）

担当課

11点目「記載されたリスクを軽減させるための措置は、個人のプライバシー等の権利利益の侵害の未然防止、住民の信頼の確保という特定個人情報保護評価の目的に照らし、妥当なものか」について説明。

会長

11点目について何か質問はあるか。

委員

市の危機管理について、評価書に書かれていないものを伺いたい。

担当課

市としての対策は、緊急時対応計画を作成し対応の指導を行っている。 個人番号事務については、基幹系と情報系は物理的に遮断されているが、年金機構は個人番号を基幹系のパソコンから情報系のパソコンへ複写をしてしまったために流出してしまった例である。そのため、8月・9月で実施している番号制度実施における情報セキュリティ研修の中で、パソコンに特定個人情報を複写してはならないこと、異常があった際は情報政策課へ速やかに連絡をするよう指導するとともに、同様の通知も行っている。
 根本的に、インターネットからの切断やトータルセキュリティを導入したとしても完全ではないため、研修などにより人的セキュリティ対策を行っていく。

委員

委託先についての研修・指導はどう考えているか。

担当課

委託先に対しては予告なく立ち入り調査ができる旨を情報セキュリティポリシーに記載している。再委託についても委託先と同様の安全管理措置を求めている。
 また、契約書には委託先も情報セキュリティポリシーを遵守することが規定されており、特定個人情報を扱う委託では、特定個人情報ガイドラインに示す安全管理措置を図られなければいけないことから、委託先がそれらに違反した際は、契約違反であるとともに番号法の違反にもなり、処罰の対象になる。

委員

想定として再委託はあると思うが、現状において再委託をしているケースはあるのか。

担当課

情報政策課においては、再委託をしている。他課に対しても安全管理を周知徹底していきたい。

会長

他に質問はあるか。

委員

（なし）

担当課

12点目「個人のプライバシー等の権利利益の保護の宣言は、住民の信頼の確保という特定個人情報保護評価の目的に照らし、妥当なものか」について説明。

会長

12点目について何か質問はあるか。

委員

研修ではなくて、市で実際にウイルスを使った演習をしたことはあるか。

担当課

標的型攻撃対策訓練を実施すべく現在検討中である。

委員

慣れてきたときに緊張が解けるので、そのようなときに抜き打ち訓練をすることが重要であると感じる。

担当課

研修だけでなく、訓練で体験していくことが有効だと感じるので、そうしていくことを考えている。

委員

以前所属していた省庁でそのような訓練を年約3回実施していたこともあるため、ぜひ本市においても実施していただきたい。

担当課

標的型攻撃メールはターゲットを絞って巧妙に送付されるため、ファイルを開かないという対応を常に取ることは難しい。ファイルを開かないことに越したことはないが、開いてしまった場合にいかに迅速に対応するか、職員の意識の徹底をしていくことが重要であると考えている。
 トータルセキュリティを導入するには時間も費用もかかるため、まずはこのような人的セキュリティの強化から実施していきたい。

会長

何か質問はあるか。

委員

（なし）

会長

欠席委員から、事前に意見はあったか。

事務局

なかった。

会長

1点目から12点目までの審議が終わったが、全体を通して何かあるか。

委員

評価の見直し時期を教えてほしい。

担当課

1年に1回見直し（大きな変更は随時）、5年に1回再評価を実施する。

委員

法改正があるがそれによりこの評価に影響はあるのか。

担当課

今回の法改正は予防接種や銀行での個人番号の取り扱いが主となっているため、影響はないと思われる。もし、影響があり評価書の内容等が変更することとなれば、再実施を行いもう一度第三者点検により審議いただくものである。

会長

他に何か意見や質問はあるか。

委員

評価書の図においては、矢印の表記など今後統一をしていってほしい。

担当課

統一するよう調整する。

委員

全般的にまだ不透明な部分があるため、安心安全な措置を講じることについて、今後も調査研究を重ねていくべきであると要望する。

会長

他に何か質問はあるか。

委員

（なし）

会長

他に意見がなければ審議事項についての可否を取る。諮問事項については承認することでよろしいか。

委員

（異議なし）

会長

当審議会としては、諮問された「特定個人情報保護評価書の第三者点検について」として「個人住民税の課税に関する事務」、「地方税の収納・滞納整理に関する事務」及び「国民健康保険に関する事務」における実施機関が評価を行った「特定個人情報保護評価書（全項目評価書）」の評価における適合性・妥当性を第三者の立場で点検した結果、評価は適正であると認める。
 また、この諮問に対する答申については、審議・検討すべきことは終了し、答申の作成のためだけに次回の審議会を開く必要性が低いことから、この場で答申についても審議したいと考えるがいかがか。

委員

（異議なし）

会長

では、事務局で答申に関する資料の準備はあるか。

事務局

たたき台として用意した資料を配布させていただき説明させていただく。
 （答申に関する資料を配付し、資料に基づき答申案を説明）

会長

何か意見はあるか。

委員

（異議なし）

会長

無ければこの答申案について可否を取る。この内容でよろしいか。

委員

（異議なし）

会長

それでは、当審議会として、この答申案により、誤字脱字がないかも含めて、事務局と微調整のうえ答申を行うこととする。微調整の内容については正・副会長に一任いただきたいがよろしいか。

委員

（異議なし）

会長

それでは、そのように決定させていただく。

会長

次にその他として、事務局から何かあるか。

• 次回の日程については、改めて別途ご連絡差し上げる。

会長

その他事項の中で何か意見はあるか。

委員

次回の審議会で審議するような案件はあるのか。

事務局

今のところこの度のような諮問案件はないため、定例的な個人情報取扱業務登録の報告を行う予定である。

会長

他に何か意見はあるか。

委員

（なし）

会長

本日の会議は以上で終了とする。