第70回審議の概要

第70回　奈良県個人情報保護審議会　会議の概要

日時

平成27年3月3日（火曜日）14時00分～16時30分

場所

奈良婦人会館　中研修室（3）

出席者

審議会委員…佐伯会長、石黒委員、上田委員、杵崎委員、松本委員、森委員
評価実施機関…行政経営課　阪本課長、鳴神主査
税務課　枡井課長、岡本課長補佐、和田係長
情報システム課　野田課長、鎌仲課長補佐
市町村振興課　高垣係長、岡村主査
事務局：総務部総務課　森藤課長、水島参事、新谷係長、井岡主査、金山主任主事

議事

第71号諮問事案「特定個人情報保護評価書（全項目評価書）について」の審議
※会議資料一覧

• （1）第71号諮問事案
  資料1　諮問書
  資料2　住民基本台帳ネットワークに係る本人確認情報の管理及び提供等に関する事務　全項目評価書
  資料3　税務統合システム　全項目評価書
  資料4　特定個人情報保護評価指針（平成26年4月18日特定個人情報保護委員会告示第4号）
  資料5　特定個人情報保護評価指針第10の1（2）に定める審査の観点における主な考慮事項参考資料
• （2）奈良県個人情報保護条例の一部改正の概要

公開・非公開の別

公開（傍聴者なし）

議事概要

第71号諮問事案の審議

• 1　諮問実施機関から特定個人情報保護評価書についてパブリックコメント終了後の修正点及び審議会からの意見等があった部分を中心に説明があった後、質疑及び審議が行われた。
  • （1）「住民基本台帳ネットワークに係る本人確認情報の管理及び提供等に関する事務全項目評価書」について
    • ア　諮問実施機関の説明の概要
      評価書の37ページ、「4.-1 監査　2.監査　具体的な内容」について、大量の特定個人情報を取り扱うシステムについては従前よりもチェック体制を強化する必要があると考えており、他所属の職員を監査員とする内部監査を年1回実施したいと考えている。評価書には「県職員による自己監査は毎年定期的に行うこととしている」と記載する。
      外部監査については、平成25年度に11システムを対象に実施しており、今後5年ごとに実施していく予定である。評価書には「外部監査は5年ごとを目処に定期的に行うこととしている。」という文言を追加したい。
      「自己監査」と、「自己点検」の意味の違いについては、「自己監査」は、内部監査のことで、情報セキュリティ監査ができる職員が他部署の情報システムについて監査を実施するものである。「自己点検」は、住民基本台帳ネットワークシステムの端末を設置している職場が各自で点検を行っているものである。
      「現地監査」については、システム管理者である市町村振興課が、システム設置部署の旅券事務所、建築課などに対して、現地へ赴き、監査を実施している。
    • イ　質疑の概要
      （委員）「自己監査」と「自己点検」の違いについて、「自己監査」は情報セキュリティ監査ができる職員が実施する。つまり実際に現場でシステムを操作している人ではない人が監査するということか。
      （諮問実施機関）そうです。
      （委員）誰が現地監査するのかを評価書に書いた方が望ましいのではないか。
      （諮問実施機関）分かりました。
  • （2）「税務総合システム　全項目評価書」について
    • ア　諮問実施機関の説明の概要
      評価書の5ページ「1.-4　特定個人情報ファイルを扱う理由1.事務実施上の必要性」及び評価書の7ページ「2.-2　基本情報　その必要性」の部分について、県民にとっての利点を具体的に説明する。現在は、納税通知書等が返戻された場合、その送付先調査等に多くの労力と時間を要するとともに、一部は納期限変更を行い再送付することとなり、納期内に納めた者との間に不公平感が生じるが、個人番号を保有することによって、確実に納税通知書等が納税者に送付できるようになり、事務の効率化が図られるとともに、公平公正な課税が実現することとなる。このことは、県民にとっての利点にもつながるものと考えている。また、障害者減免においては、障害者の生存確認が確実にできるようになり、不正な減免申請を防止することができるようになる。このことは直接的ではないが、県民にとっての利点にもつながるものと考えている。一人の者に複数税目の課税がされているケースで、それぞれが別人の情報として管理されている場合、一つの税目で還付が発生し、他税目に未納があるにもかかわらず還付してしまうことが起こり得るが、個人番号を保有することによって、確実な名寄せが実現し、還付金の適切な処理が可能となる。このことにより、公平公正な課税が実現でき、また、納税者にとっても、未納額に充当されることによって余分な延滞金が発生しないなどの利点があると考えている。
      評価書の12ページ「2.-6　1.保管場所」の部分について、「管理職など責任のある者」に訂正する。
      評価書の12ページ「2.-6　2.保管期間　その妥当性」の部分について、「県税の賦課、徴収権限が切れるまで、及び訴訟への対応や、課税誤りへ対応するため。」と記載を訂正する。
      評価書の59ページ「3.-2 リスク1：目的外の入手が行われるリスク　対象者以外の情報の入手を防止するための措置の内容」の部分について、個人情報利用者が利用目的を報告し、承認を受ける「職場管理者」とは、県税事務所及び自動車税事務所の管理職員を想定している。
      評価書の61ページ「3.-3 アクセス権限の発効・失効の管理　具体的な管理方法」の部分について、人事異動が発生した場合、定期異動、随時異動にかかわらず、財務会計システムや総務事務システムなどの全庁利用のシステムについては、異動発令の都度、アクセス権限の発行と失効のメンテナンス作業を行っており、統合宛名システムも同じタイミングで更新作業を行う予定である。税務総合システムに関しても、定期異動、随時異動の際、アクセス権限の発行・失効についてメンテナンス作業を行っており、マイナンバーにアクセスする権限についても、同様に同じタイミングで更新作業を行う予定である。
      評価書の66ページ「3.-6　リスク1：目的外の入手が行われるリスク　リスクに対する措置の内容」の部分の「操作ログを記録することで、不適切な利用を抑制する。」との記載については、問題が生じた場合、ログを確認することは当然であるが、ログを保存する本来の目的は、不正な情報取得や閲覧に対する抑止力を働かせることにあると考えている。
      評価書の71ページ「4.-2　従業者に対する教育・啓発　具体的な方法」の部分について、職員に対して以下の研修を実施しているので、実施内容を評価書に追記する。新規採用職員については必ず毎年研修を実施し、日々雇用職員については、採用の都度、年20回程度セキュリティ研修を行っている。また、文書主任・セキュリティ主任研修を年1回実施している。さらに職場内研修を毎年行っている。職場内研修は各所属のセキュリティ主任が管理職、日々雇用職員を含む所属職員全員を対象に実施するもので、情報システム課がテキスト等を提供し、研修を実施する。研修実施後は、研修実施報告書を県の情報セキュリティ委員会へ提出するよう義務付けている。e-ラーニング研修については、セキュリティ主任及び情報システム担当者について受講を義務付けている。平成27年度以降は、特定個人情報を扱う所属については、管理職を含め関係職員に対してe-ラーニングの受講を義務付ける予定である。
    • イ　質疑の概要
      （委員）例えば、障害者減免に関して、税務の窓口で端末を操作する人は、団体内統合宛名システムを介して身障手帳システムの情報にアクセスすることははできるのか。
      （諮問実施機関）アクセスすることはできない。連携については、基本的に、統合宛名システムは、それぞれ異なる業務番号から、外部に出るときに奈良県で1つの宛名番号を選ぶためにつなぐものであって、税のシステムから統合宛名を介して身障手帳のデータを持ってくるという使い方ではない。あくまでも他の団体に対して照会するときに奈良県としては宛名番号何番の人の照会をお願いしますという形で使うので、統合宛名システムで名寄せしているように見えるが、そうではなくこれはあくまでも番号を1つにするためのシステムであって、各システムで持っている個人情報を統合宛名システムを介してやり取りすることはない。
      （委員）評価書の66ページ「3.-6　リスク1：目的外の入手が行われるリスク　リスクに対する措置の内容」の部分について、ログをセキュリティの管理者等がある程度定期的に監視することは不正が行われることを防ぐこと、あるいは不正が早い段階で発覚して大きな問題になる前に止められるというところにも意味があるように思う。
      （諮問実施機関）　評価書に定期的にログのチェックを行う旨、記載する。
  • （3）審議の概要
    「住民基本台帳ネットワークに係る本人確認情報の管理及び提供等に関する事務全項目評価書」及び「税務総合システム　全項目評価書」について、諮問実施機関の説明内容を審議した結果、概ね妥当であると認められた。

お問い合せ先

総務部法務文書課 県政情報公開係

お問い合わせ先