特定個人情報保護評価
この記事は特に記述がない限り、日本国内の法令について解説しています。また最新の法令改正を反映していない場合があります。 |
特定個人情報保護評価(とくていこじんじょうほうほごひょうか、英: Specific Personal Information Protection Assessment )とは、番号法の枠組みの下での制度上の保護措置の1つで、特定個人情報ファイルを所有しようとする又は保有する国の行政機関や地方公共団体等が、個人のプライバシー等の権利利益に与える影響を予測した上で特定個人情報の漏洩その他の事態を発生させるリスクを分析し、そのようなリスクを軽減するための適切な措置を講ずることを宣言するものである[5]。特定個人情報保護評価制度を導入するに当たって、特定個人情報保護委員会が特定個人情報保護評価指針を作成及び公表する。また、評価実施機関は、規則第15条の規定に基づき、直近の特定個人情報保護評価書を公表してから5年を経過する前に、特定個人情報保護評価を再実施するよう努めるものとする[7]。
特定個人情報保護評価
[編集]目的
[編集]特定個人情報保護評価は番号制度に対する懸念、例えば、国家による個人情報の一元管理、特定個人情報の不正追跡・突合、財産その他の被害等を踏まえた制度上の保護措置の一つであり、目的は次の2点である[4][5]。
- 事前対応により個人のプライバシー等権利利益侵害を未然に防止する
- 国民・住民の信頼を確保する
法的根拠
[編集]特定個人情報の管理の適正確保という基本理念を具体化するため、特定個人情報保護評価の法的根拠は、番号法第26条及び第27条に定められている[5]。また、番号法36条では、内閣府の外局の委員会として特定個人情報保護委員会を設置するとし、番号法57条では、特定個人情報保護委員会が「特定個人情報保護委員会規則を制定することができる」旨を定めている[6]。 特定個人情報は個人番号を含むため、個人番号を検索キーとした不正な個人情報の照合等を行われる恐れがあり、その適正な扱いを確保する必要性が特に大きいと考えられている。そこで、番号法では、特定個人情報保護評価制度の導入を定めている。
番号法第26条では、特定個人情報保護委員会が、特定個人情報の漏えい、その他事態の発生を抑止し、特定個人情報を適切に管理するための措置を定めた指針を作成、公表することとしている。また、個人情報保護に関する技術の進歩や国際的な動向を踏まえ3年ごとに指針を再検討し、必要な見直しを行うことを定めている[1]。
1項では、特定個人情報保護評価制度を導入するに当たって、統一的な基準を設け、各実施者によって評価の深度にばらつきを設けず、統一的・効率的・実効的な評価制度とするために、特定個人情報保護委員会が特定個人情報保護評価指針を作成及び公表することとしている[6]。
2項では、プライバシーは、社会の変容により 変化し得る概念であり、また、プライバシーを保護するための技術も日進月歩で進化することが予想され、プライバシー保護のための技術が向上すれば、プライバシーへの影響を抑止するための措置も大きく変わることが予想される。また、特定個人情報保護委員会が情報保護評価を実施していくに当たって、諸外国のプライバシー影響評価を踏まえ、国際的レベルの評価を行っていくことで、日本の政府や企業における個人情報保護について国際的信頼を獲得することができるものと考えられる。このようなことから、情報保護評価の制度の重要な基礎となる情報保護評価のための指針について、必要な見直しを行うこととするものである[6]。
番号法27条では、特定個人情報を取り扱う前に個人の権利利益に与える影響を評価し、その影響を軽減する措置をあらかじめ講ずるために特定個人保護評価の実施について規定している。評価実施対象者としての行政機関の長、地方公共団体の機関等は、その公的性格に鑑み、プライバシー保護の取組について各実施機関自ら宣言し、国民の信頼を確保することが求められている[1]。
実施主体と評価対象
[編集]特定個人情報保護評価の実施主体は、行政機関の長、地方公共団体の機関、独立行政法人等、地方独立行政法人、地方公共団体情報システム機構のうち特定個人情報ファイルを保有しようとする者又は保有する者とされる。なお、評価実施機関の単位のうち「地方公共団体の機関」では「執行機関」に都道府県知事、市町村長、教育委員会、公安委員会等が、「執行機関の付属機関」に審査会、審議会等が、その他では議会が含まれており、これらが評価の実施主体となる。またその他、いわゆる民間の組織では、情報提供ネットワークシステムを使用した情報連携を行う事業者のうち、特定個人情報ファイルを保有しょうとする者又は所有する者とされている評価実施機関は下記となる。
評価の実施主体
- 国の行政機関の長
- 地方公共団体の長その他の機関
- 独立行政法人等
- 地方独立行政法人
- 地方公共団体情報システム機構(平成26年4月1日設置)
- 情報ネットワークを使用した情報連携を行う事業者(健康保険組合等)
評価対象
- 特定個人情報保護評価の対象は、特定個人情報ファイルを取り扱う事務。原則として法令上の事務ごと、番号法別表第一に掲げる事務ごとに実施する。評価実施機関の判断で法令上の事務を分割又は統合した事務の単位で実施することも可である。ただし、職員の人事給与等に関する記録した特定個人情報ファイルのみを取り扱う事務、対象人数の総数が1000人未満の事務等については特定個人情報保護評価の実施が義務付けられない[5]。
実施手続き
[編集]しきい値判断
[編集]しきい値判断では、特定個人情報の取り扱い状況に応じて、評価の実施要否および評価が必要な事務においては、以降の評価の重み付け(「基礎項目評価」「重点項目評価」「全項目評価」)を定義する。
しきい値判断基準
[編集]しきい値の判断にあたっては、以下の指標および基準が採用される。
(1)しきい値判断の指標
- 1. 事務の対象人数
- 2. 特定個人情報ファイルの取扱者数
- 3. 特定個人情報に関する重大事故発生の有無
(2)しきい値判断の基準
実施後の手続き
[編集]特定個人情報ファイルの取扱いに重要な変更を加えようとするとき、または、特定個人情報に関する重大事故の発生等によりしきい値判断の結果が変わり新たに重点項目評価又は全項目評価を実施するものと判断されたときは、特定個人保護評価を再実施。 少なくとも1年に1回は評価書の見直しを行うよう努め、その他の変更が生じたときは、評価書を修正。一定期間(5年)経過前に特定個人情報保護評価を再実施するよう努める[4]。
特定個人情報保護評価書
[編集]しきい値判断の結果に従い、評価実施機関は特定個人情報保護評価を実施し、特定個人情報保護評価書を作成し、特定個人情報保護委員会に提出する。特定個人情報保護評価書の記載事項を補足的に説明する資料を作成している場合は、必要に応じて、報告書に添付する。
評価書の種類
- 基礎項目評価書
- 重点項目評価書
- 全項目評価書
提出方法
(1) 基礎項目評価書
- 規則第5条第1項の規定に基づき、評価実施機関は、特定個人情報保護評価の実施が義務付けられる全ての事務について基礎項目評価書を作成し、特定個人情報保護委員会へ提出する。
(2) 重点項目評価書
- 規則第6条第1項の規定に基づき、重点項目評価の対象となる評価実施機関は、重点項目評価書を作成し、特定個人情報保護委員会へ提出する。
(3) 全項目評価書
- ア 行政機関等の場合
- 全項目評価の対象となる行政機関等は、全項目評価書を作成後、評価書を公示して広く国民の意見を求め、これにより得られた意見を十分考慮した上で必要な見直しを行うものとする。必要な見直しを行った全項目評価書を特定個人情報保護委員会へ提出し、承認を受ける。
- イ 地方公共団体等の場合
- 全項目評価の対象となる地方公共団体等は、全項目評価書を作成した後、評価書を公示して広く住民等の意見を求め、これにより得られた意見を十分考慮した上で必要な見直しを行うものとする。必要な見直しを行った全項目評価書は第三者点検を受けるものとする。第三者点検を受けた(承認はしない)全項目評価書を委員会へ提出する。
特定個人情報保護委員会と第三者点検組織
[編集]特定個人情報保護委員会
[編集]特定個人情報保護委員会は、番号法において、内閣府の外局の委員会として設置された第三者機関である(36条〜57条)。 全項目評価の承認に際し、適合性および妥当性の2つの観点の審査を行う。適合性は、適切な実施主体による実施、適切な時期、項目記載などが合法的か確認し、妥当性は、事務の内容の具体性、リスクの特定、リスクへの対策が技術的に適正か確認する。 委員会は、全項目評価の審査の結果、必要と認めるときに指導助言、勧告・命令等を行い、報告書の再提出、是正を求める。
第三者点検組織
[編集]第三者点検を実施するにあたり、地方公共団体等は点検委員会を組織する必要がある。指針では、原則として地方公共団体等が条例に基づき設置した個人情報保護審議会又は個人情報保護審査会が第三者点検を実施することとされているが、前述の専門性を有する者がいない等、審議会等による点検が困難な場合は、審議会等に外部の専門家を追加する、又は外部の専門家で構成する点検委員会を組織するなどして専門性を確保する。指針への適合性や評価内容の妥当性を担保しうる専門性や、評価対象事務やシステムに関する利害関係に対し中立性を確保できるかという観点から、点検委員会の組織形態を決定する[1][7]。
プライバシー影響評価と特定個人情報保護評価の相違点
[編集]特定個人情報保護評価について、特定個人情報保護指針では、「特定個人情報保護評価は、諸外国で採用されているプライバシー影響評価(Privacy impact Assessment: PIA)に相当するものであり、(中略)、評価実施機関が自らの取組みについて積極的、体系的に検討し、評価することが期待されている。」とされている[7]。そこで以下表にプライバシー影響評価と特定個人情報保護評価の比較を示す。
評価の独立性
[編集]プライバシー影響評価における評価主体は、中立性、専門性のある第三者組織を要求される。一方、特定個人情報保護評価は、システム構築運用する組織による自己評価となっている。国の資料によれば、「特定個人情報保護評価の実施主体は評価実施機関であり、特定個人情報保護評価の内容を決定するのは評価実施機関です。」とある[5]。 評価を実施する評価者の能力もプライバシー影響評価の国際基準規格ISO22307では明確に義務付けられているが、特定個人情報保護評価では定められていない。
実施根拠
[編集]プライバシー影響評価は、国により実施根拠が異なる。米国や韓国は個別法により規定されている。一方、カナダ、オーストラリアなどの英国連邦の国々は、プライバシーコミッショナー制度のもと、ガイドラインに基づき実施している[1]。 特定個人情報保護評価は、番号法第27条で実施を義務付けられている。
評価対象
[編集]プライバシー影響評価は、個人情報を扱うシステムについて実施する[1]。 一方、特定個人情報保護評価は事務に対し実施し、システムではないという記述がある。種々の資料が発行されており記述内容も不明確であるが、事務(運用とシステム)について実施する。一例として、国の資料によれば、「特定個人情報保護評価の対象は、システムやサーバそのものでなく、それらを用いて特定個人情報ファイルを取り扱う事務である。このため、システムやサーバ単独で評価するのではなく、(中略)、事務に対し評価を行う」とある[5]。
実施時期
[編集]プライバシー影響評価は、システムを構築改修前に実施し、評価が適正な場合、システム構築が許可される[1]。特定個人情報保護評価も同様にシステム構築前に実施されるが、5年ごとに再評価が義務付けられている[7]。つまり運用に関し評価を実施する。
報告書の承認公開
[編集]プライバシー影響評価は、一般的に公的なシステムに対し実施したものはプライバシーコミッショナーなどの内容確認後に公開される。一方、民間の場合は非公開が一般的である。 特定個人情報保護評価の報告書は、公示が法的に義務付けられているが、国の資料によれば、「特定個人情報保護評価の実施主体は評価実施機関であり、特定個人情報保護評価の内容を決定するのは評価実施機関です。第三者点検は、(中略)、具体的な議論の内容は各評価実施機関の判断で委ねられています。」とある[5]。 プライバシー影響評価では、報告書は中立な専門家が、情報セキュリティ監査報告書に準じた書式に則り、簡潔に事実と評価結果をまとめる。 特定個人情報保護評価では、行政機関や地方自治体の職員が、指定された書式、リスク項目に則り記述する。 以上に示すように、評価の対象、評価の主旨などがプライバシー影響評価とかなり異なるものであり、特定個人情報保護評価は、プライバシー影響評価とは別の日本独自の制度と捉える必要がある[1]。
関連制度
[編集]- 番号法 第26条・27条
- 特定個人情報保護評価に関する規則
- 特定個人情報保護評価指針
関連項目
[編集]- プライバシー影響評価
- 行政手続における特定の個人を識別するための番号の利用等に関する法律
- 個人番号
- 法人番号
- 情報提供ネットワークシステム
- 個人情報保護法
- プライバシーマーク
- 情報セキュリティマネジメントシステム
参考情報
[編集]- [1]瀬戸洋一監修: 自治体のための特定個人情報保護評価実践ガイドライン,ぎょうせい, 2015.6.
- [2]瀬戸洋一、六川浩明ほか: プライバシー影響評価PIAと個人情報保護, 中央経済社, 2010.3.
- [3]瀬戸洋一: 実践的プライバシーリスク評価技法, 近代科学社, 2014.4.
- [4]特定個人情報保護委員会:特定個人情報保護評価について(概要版)
- [5]特定個人情報保護委員会:特定個人情報保護評価について(詳細版)
- [6]内閣官房:行政手続における特定の個人を識別するための番号の利用等に関する法律
- [7]特定個人情報保護委員会:特定個人情報保護評価指針 平成26年4月20日