▲やぶれっ!住基ネット市民行動著『マイナンバーは監視の番号 ─ 徹底批判まやかしの共通番号制度 ─』緑風出版。情報保護評価については148〜151ページで批判的に解説。
自治体で実施がはじまった特定個人情報保護評価に対する取り組みの提案です。
※30万人以下の人口でも、任意で全項目評価を行うことができます。
※基礎項目評価という、対象事務のリストアップ及び簡易な評価書の作成・公表は、すべての自治体に義務づけられています。対象人員1,000人未満の事務や職員対象の事務、紙ファイルのみの事務は対象外ですが、その事務で個人番号を利用していなくても、利用する事務と連携して番号が参照できれば、対象事務になります。
利用事務のシステムのプログラミングを始めるまでに、特定個人情報保護委員会への提出と公表まで完了させなければならないため、自治体のパブリックコメントが一斉に始まっています。
ネットでざっと見たところ市町村では、尼崎市、豊田市、郡山市、江戸川区、柏市、北九州市で終了し、現在、福島市、松山市、金沢市、仙台市、姫路市、久留米市、大和市、杉並区で実施されています。
住民基本台帳事務でのパブリックコメントは必須で、そのほか税務、国民年金などで実施されています。
また都道府県では、住基ネット事務のパブリック・コメントはすべてで行われ、そのほか税務(税金の賦課・徴収事務)などが考えられます。
栃木県が2014年11月6日しめきりで実施。山口県で税務が終了しています。
一般的にパブリック・コメントには、意見を言っても反映されない、という諦めはありますが、この番号制度においては、唯一の公的な意見表明の場です。制度的な不備など多々不満はありますが、自治体に対する取り組みの重要なステップです。
しかも特定個人情報保護評価の指針では、自治体に対し下記のように求めています。
国民の「懸念」を払拭するため、事前のリスク分析と対応をおこない、番号制度への信頼を積極的・主体的に確保すること
パブリック・コメントで得られた意見を十分考慮して必要な見直しを行うこと
そしてこれをきちんと実施していないと、情報連携をすることができません(番号法第21条第2項第2号、第27条第6項)。この段階で自治体を追及しておくことが、その後の番号制度実施段階での自治体への運動にもつながります。またこの特定個人情報保護評価の結果は、かならず国の特定個人情報保護委員会に提出されるので、国に対する働きかけにもなります。
すべて確認したわけではありませんが、いままで実施された保護評価書をみる限りでは、おそらく業者委託したのでしょうが所定の項目を埋めただけで、指摘してきた以下のような問題点の解決に取り組むところは見当たりません。パブリック・コメントを通して、自治体に問題意識と主体的な問題解決の姿勢をもたせる必要があります。
特定個人情報保護評価は、特定個人情報ファイルの適正な取扱いを確保することにより、国民が「懸念」する国家による個人情報の一元管理、特定個人情報の不正追跡・突合、財産その他の被害等の発生を未然に防ぎ、個人のプライバシー等の権利利益を保護することを基本理念とするものです。
プライバシー等の権利利益が一度侵害されると、その回復は容易でないため、事後的な対応ではなく事前にリスクを分析し、このようなリスクを軽減するための措置を講ずることが必要であることから作られた制度です。
懸念を払拭するために、特定個人情報ファイルを取り扱う者が、入手する特定個人情報の種類、使用目的・方法、安全管理措置等について国民・住民にわかりやすい説明を行い、その透明性を高めることで、国民・住民の信頼を確保することが目的と説明されています(特定個人情報保護評価指針、第1、1及び2)。
実施は、まず対象事務をリストアップした「特定個人情報保護評価管理書」を作成し、3段階の実施レベル(基礎項目評価のみ、重点項目評価、全項目評価)に仕分けます。
全項目評価では、次のような流れで処理を行います。
この全項目評価は、「地方公共団体等は…全項目評価書を公示して広く住民等の意見を求め、これにより得られた意見を十分考慮した上で全項目評価書に必要な見直しを行う」と定められ、実施期間は「意見を聴取する期間は原則として30日以上とする。ただし、特段の理由がある場合には、全項目評価書においてその理由を明らかにした上でこれを短縮することができる」とされています(特定個人情報保護評価指針、第5、3、(3)、イ)。
「特定個人情報保護評価で市区町村に要望を」の「自治体に要望しましょう」で市区町村に対する要求として、次のような提案をしました。
番号制度開始時には、任意で、すべての利用事務についてパブリックコメントを実施させる。
特定個人情報保護評価の第一段階として作成される「特定個人情報保護評価計画管理書」を公開(広報紙やウェブサイトに掲載)させて、どんな事務で番号制度が利用されるのか住民に明らかにさせる。
※福祉関係事務など対象人数が少ない事務だと、パブリック・コメントが行われず、さらに1,000人以下だと「計画管理書」にも載らないので、利用されないと市民が誤解する虞れがあるので、利用事務の全体像を周知させることが必要です。
さらにパブリック・コメントについて、以下の提案です。
すべての都道府県で、住基ネット事務の利用についてはパブリック・コメントが行われます(「特定個人情報保護評価指針の解説」の「第3 特定個人情報保護評価の実施主体」8枚目、ページ表示22ページ)。人口30万人以下の市町村の方は、この都道府県のパブリック・コメントに意見を集中してはどうでしょうか。
意見聴取期間が30日未満のところがあれば、市民意見聴取の軽視を追及すべきです(既実施自治体はみな30日間)。
番号制度の「リスク」として、問題点を指摘します。
わかりやすい説明がされているか、透明性が確保されているか、番号制度への信頼・安心がそれで実現するのか、追及します。
所定の書式はわかりにくいので、特定個人情報保護評価の趣旨をふまえて、番号制度の問題、懸念、危険性、不安などを書式にこだわらず指摘して、リスク分析の不十分さを追及する必要があります。
実施後、寄せられた意見にどう対処しているか、意見を十分考慮して必要な見直しを行っているか確認します。
現実には、下記のような問題点を解決する見直しはいまの番号制度を前提としたら不可能なので、その改善・改正を国にきちんと要望しているかの確認をし、さらに実施段階ではこれらの問題点の解決がされていないことを追及していきます。
情報連携開始時(国は2017年1月予定、地方公共団体は2017年7月予定)に、連携対象のすべての事務について特定個人情報保護評価が完了しているか確認します。実施していない事務は情報連携が禁止されます。
治安利用・国家管理について
利用事務として、番号法第19条第12号で刑事事件捜査が、そして政令で破防法など治安立法での利用が認められ、今後、特定秘密保護法の適性評価での利用も検討されているのに、これらに提供されることがふれられていない(「【緊急要請・拡散歓迎】共通番号の治安利用を進める政令案に反対の意見を」参照)。
警察や公安機関が利用する特定個人情報の保護の規定がまったくない。国家による管理の「懸念」への対策が不十分。
番号法で個人情報保護措置を講じても、特定秘密保護法などによりテロ対策等で情報提供を求められたときに、秘密のうちに提供されないか。
住民情報の複製を保管管理する「中間サーバー」の集中化共同化を利用するのか。利用する場合、そこから大量に漏えいしたり、警察などが住民情報を閲覧したりする虞れを、どう防止するのか。
個人番号カードについて
住基カードでも起きた成りすまし取得をどう防止するのか
地方公共団体情報システム機構に発行を委任するのか。委任した場合、機構に提供した顔写真データの管理はどうなるのか。
番号通知、通知カードについて
本人に確実に届く方法、特に住民登録を動かさずにDVから逃げている被害者のカードが、加害者の手にわたらない方法をどう講じるか。
DVやストーカーで住民票情報の閲覧を制限していても、住基ネットから特定個人情報利用機関に最新の住民情報を提供した場合、そこから加害者側に伝わる可能性がないか。それをどう防止するか。
番号付き個人情報の提供・利用について本人の選択権がない。提供先で、本人に不利益となる扱いや差別的扱いの危険性を感じても、拒否できない。
戸籍、医療情報、預貯金情報などへの番号制度適用を検討中。将来どこまで利用されるのか全体像がわからないのでリスクも分析できない。法律に利用事務の限定がない。利用してはいけない事務の規定がない。
民間への利用拡大が既定方針になっているが、民間利用が拡大すると個人番号やカードの成りすまし詐欺被害が広がり、法律で防ぐことは困難。
将来、個人単位の福祉サービス利用抑制や医療提供の制限、扶養義務履行の強化などに使われる虞れがある。
住民登録のない人、認知症行方不明者など住所や戸籍の不明な人、住民登録と異なる所で生活している人などに、住基ネットを基礎とした番号制度でどう把握してサービス提供するのか不明確
マイ・ポータルについて
アクセスできない人の不利益や情報過疎への対応、他人が成り済ましたり代理で不正な情報閲覧や手続きを行ったりする危険をどう防止するか。
複雑な情報連携システムのなかで、個人情報の突合のミスやコンヒュータシステムの不具合によって誤った個人情報の結合や情報連携がされる可能性はないか。
民間委託して、ベネッセのような漏えい事件が防止できるか。
税務(税金の賦課・徴収事務)のパブリック・コメントでは
地方税関係情報の提供については、地方税法第22条に規定する守秘義務に抵触しないようにする必要がある。
市町村の税務当局から情報提供ネットワークシステムを通じて所得情報を提供する社会保障分野の事務については、情報提供の必要性が認められ本人の権利利益に悪影響を与えない以下a、bのいずれかに該当する場合に限定して番号法の別表第二に規定していると説明されている(2013年7月17日第1回番号制度に係る地方税業務システム検討会資料3「地方税務システムの構築に係るガイドラインについて」9枚目、ページ表示7ページ)。
a 利用事務の根拠法律において、本人が行政機関に対して報告を行う義務が規定されており、本人にとってはその行政機関に情報が伝わることは秘密として保護される位置づけにないと解される場合
b 利用事務が申請に基づく事務であり本人の同意により秘密性が解除される場合
しかし申請や本人同意がなく本人の権利利益に悪影響を与える精神保健及び精神障害者福祉法による強制入院措置などでも地方税情報の提供が規定されており(番号法別表第二、23)、地方税法違反である。
特定個人情報保護評価については、以下の資料を参照してください。
(2014年11月5日記)
Privacy International Japan