...

特定個人情報保護評価の概要

by user

on
Category: Documents
10

views

Report

Comments

Transcript

特定個人情報保護評価の概要
資料4
特定個人情報保護評価の概要について
1
情報保護評価の概要
(1) 情報保護評価について
情報保護評価とは、マイナンバー法案第 15 条の規定に基づき、特定個人情報ファイル(マ
イナンバーをその内容に含む個人情報ファイル)が取り扱われる前に個人プライバシー等に与
える影響を予測・評価し、軽減する措置をあらかじめ講じるために実施するものです。
なお、特定個人情報ファイルを保有することで次の①②について具体的な検討・評価を体系
的に実施する必要があります。
①具体的にどのようなリスクがあるか
②個人情報保護及びプライバシー等保護のために具体的にどのような措置を講ずるべきか
(2) 評価対象・保護対象について
情報保護評価による保護の対象は、個人情報の保護に留まらず、法的に保護されるプライバ
シーの保護や、財産権など法的に保護される権利利益など、より一層の保護措置を追及するも
のです。
(3) 情報保護評価の目的について
情報保護評価の目的として次の①~③が挙げられます。
①事後的な対応にとどまらない、積極的な事前対応を行うこと
②情報管理者自身が宣言し、国民の信頼を獲得すること
③各実施機関から独立した機関が評価・確認し、情報保護評価の厳格な実施を担保すること
2
情報保護評価の義務付け対象者及び保護対象について
(1) 評価の義務付け対象者について
特定個人情報保護の対象としては、プライバシーとその他権利利益を保護の対象としますが、
評価を義務付けられる対象者は次のとおりです。
義務付け対象者
行政機関の長
独立行政法人等
地方公共団体情報システム機構
情報提供ネットワークシステムを使用する業者
地方公共団体の長その他の機関
地方独立行政法人
非義務付け対象者
情報提供ネットワークシステムを使用しない事業者
裏面あり
(2) 情報保護評価の対象について
情報保護評価については、検索性を有する特定個人情報である「特定個人情報ファイル」
(個
人情報保護法第2条第2項に規定)を対象としますが、具体的には個人情報データベース等で
あって、個人番号をその内容に含むものです(個人情報保護法第2条第4項及び第8項に規定)
。
また、地方公共団体の個人情報保護条例で「特定個人情報ファイル」に該当する定義が設け
られていない場合でも、マイナンバー法及び個人情報保護法により情報保護評価の義務付けが
課せられます。
なお、対象となるファイルは次の①~③のとおりです。
①システム用ファイル及び手作業用ファイルを対象とする。
②地方公共団体の個人情報保護条例でシステムファイルのみを個人情報ファイルとして定
義している場合でも、手作業ファイルも情報保護評価の対象となる。
③使用者と被用者の関係に基づく内部的な情報である人事・給与・福利厚生等の情報は情報
保護評価の対象外。
(ただし、マイナンバー法及び個人情報保護法の規制は及ぶ)
(3) マイナンバー制度における特定個人情報保護評価の流れについて
ア
実施時期について
特定個人情報保護評価の実施時期については、次の①②のとおりです。
①制度、施策の設計段階
⇒
任意で実施
②システムの要件定義段階、手作業処理の設計段階
イ
⇒
実施を義務付け
評価の流れについて
特定個人情報ファイルを保有する場合は、しきい(閾)値(※)評価を実施(マイナン
バー法案第 15 条に基づく委員会規則)する必要があります。実施の仕組みの概要は別紙
1のとおりです。
※しきい(閾)値:その値を境にして、動作や意味などが変わる値のこと。
3
今後の対応について
(1) 情報保護評価に係る個人情報保護条例改正の要否
地方公共団体においては、条例改正を行わずとも、マイナンバー法第 15 条に基づき地方公
共団体に対し個人情報保護評価が義務付けられます。
条例改正を行う必要がある場合については次の①②のとおりです。
①個人情報保護審議会等へ諮問を行うに際し、所掌事務を追加する場合
②マイナンバー法に定められたもの以上の措置を、地方公共団体等に義務づけるような場合
など
(2) 今後の国からの情報提供について
マイナンバー法案については、平成 24 年 11 月の衆議院の解散により廃案となったため、今
後の法案提出時期及び内閣府及び総務省からの情報提供に基づき、情報保護評価や、地方公共
団体におけるマイナンバーに係る条例の改正の要否等について検討していきます。
別紙1
しきい(閾)値評価の流れ
しきい値評価
特定個人情報ファイルを保有しようとする場合は、しきい値評価を実施
しきい値
委員会=個人番号情報保護委員会(国が設置)
評価書
公表
承認者=地方公共団体の長
しきい値評価のみで足りるか?
はい
しきい値評価のみでよいとされる主な条件
・過去1年以内に個人情報の漏えい等に関する重大事故を発生させていない
いいえ
・特定個人情報を取り扱う職員・外部委託先・第三者提供先が 10,000 人未満
・対象人数が 1,000 人未満
・行政処分の対象となる特定個人情報を取り扱わない場合
重点項目評価
全項目評価
・過去1年以内に個人情報の漏えい等に関する重大事
・過去1年以内に個人情報の漏えい等に関する
故を発生させていない
重大事故を発生させている
・特定個人情報を取り扱う職員・外部委託先・第三者
・特定個人情報を取り扱う職員・外部委託先・
第三者提供先が 10,000 人以上
提供先が 10,000 人未満
・対象人数は 10,000 人以上 100,000 人未満
・対象人数が 100,000 人以上
・行政処分の対象となる特定個人情報を取り扱う場合
全項目評価書作成
重点項目評価書作成
当該地方公共団体の設
承認者へ提出
意見聴取・見直し
置する個人情報保護審
議会等の諮問機関に報
承認者へ提出
当該地方公共団体の設
置する個人情報保護審
議会等の諮問機関に諮
告
問(審査)
諮問機関が抽出・点検
承認者が承認
委員会へ提出・公表
委員会へ提出・公表
Fly UP