答弁本文情報
平成二十八年十一月二十二日受領答弁第一三八号
内閣衆質一九二第一三八号
平成二十八年十一月二十二日
衆議院議長 大島理森 殿
衆議院議員本村賢太郎君提出特定個人情報保護評価の運用状況に関する質問に対し、別紙答弁書を送付する。
衆議院議員本村賢太郎君提出特定個人情報保護評価の運用状況に関する質問に対する答弁書
一及び二について
行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号。以下「番号利用法」という。)第二十七条において、行政機関の長等(番号利用法第二条第十四項に規定する行政機関の長等をいう。以下同じ。)は、特定個人情報ファイル(番号利用法第二条第九項に規定する特定個人情報ファイルをいう。以下同じ。)を保有しようとするときは特定個人情報保護評価を実施することとされている。また、特定個人情報保護評価指針(平成二十六年特定個人情報保護委員会告示第四号。以下「指針」という。)において、特定個人情報(番号利用法第二条第八項に規定する特定個人情報をいう。以下同じ。)に関する重大事故の発生に伴い、行政機関の長等がリスクの分析及びリスクを軽減する措置(以下「リスク対策等」という。)を見直す場合等においては、特定個人情報ファイルについて重要な変更(番号利用法第二十七条第一項に規定する重要な変更をいう。以下同じ。)を加えようとするときに該当し、特定個人情報保護評価を再実施することとされている。一方、評価書(番号利用法第二十七条第一項に規定する評価書をいう。以下同じ。)の修正については、特定個人情報保護評価に関する規則(平成二十六年特定個人情報保護委員会規則第一号。以下「規則」という。)第十四条において、行政機関の長等が重大事故を発生させた場合その他当該評価書に記載した事項に変更があった場合(重要な変更に該当する場合を除く。)は、速やかに当該評価書を修正する旨、規定されている。政府としては、行政機関の長等は、それぞれの実態に照らし、適切に特定個人情報保護評価の実施又は修正を行うものと認識している。
厚生労働大臣は、日本年金機構における個人番号利用事務(番号利用法第二条第十項に規定する個人番号利用事務をいう。以下同じ。)の開始に向け、平成二十七年三月に特定個人情報保護評価を実施したところである。同年五月には、同機構において不正アクセスによる情報流出事案が発生したが、同機構は、当該情報流出事案を受けて「業務改善計画」を取りまとめ、年金個人情報の適切な保護及び管理を確保するための組織面、技術面並びに業務運営面での情報セキュリティ対策の強化に取り組んでいるところである。同大臣は、同機構において、当該取組により、実質的に当該特定個人情報保護評価における個人番号利用事務の開始に向けたリスク対策等を確実に実行できる体制が整備されたことから、当該特定個人情報保護評価について、その再実施を行う必要はないと判断したものである。
一方で、同大臣は、同機構が情報提供ネットワークシステムを利用した情報照会及び情報提供(番号利用法第十九条第七号の規定に基づく特定個人情報の提供の求め及び提供をいう。)等を開始することに向けたリスク対策等についての特定個人情報保護評価の再実施及び規則第十四条に基づく当該情報流出事案についての評価書の修正を速やかに行う予定である。当該再実施においては、同機構における情報セキュリティ対策の強化の取組の内容についても、適切に反映する予定である。今後とも、引き続き、番号利用法等に基づき、個人番号(番号利用法第二条第五項に規定する個人番号をいう。以下同じ。)の適切な利用に努めてまいりたい。
不正アクセス防止対策を含め、特定個人情報の漏えい等を防止するための措置については、指針において、評価書の記載事項として、特定個人情報を入手する際の漏えい又は紛失に係る「リスクに対する措置の内容」や、特定個人情報が漏えい、滅失又は毀損するリスクに対する「技術的対策」等、リスク対策等に係る項目が定められている。
当該項目は、事故発生の有無にかかわらず、リスク対策等の検討の際に用いられる項目となっていることから、日本年金機構において発生した不正アクセスによる情報流出事案等を踏まえて行政機関の長等が特定個人情報保護評価を見直す際においても、引き続き適切な項目であると考えており、指針の見直しを行うことは考えていない。
お尋ねの「不正アクセス等のセキュリティ事故が発生した事業主体等に対する安全管理措置の再確認は誰が行うこととなっているのか」の意味するところが必ずしも明らかではないが、番号利用法第十二条の規定に基づき、個人番号利用事務等実施者(同条に規定する個人番号利用事務等実施者をいう。以下同じ。)は、個人番号の適切な管理のために必要な措置(以下「安全管理措置」という。)を講じなければならないとされている。また、漏えい等が発生した場合、個人情報保護委員会(平成二十七年十二月三十一日以前は特定個人情報保護委員会。以下「委員会」という。)は、番号利用法第二十八条の四等の規定に基づき、個人番号利用事務等実施者等から、漏えい等が発生した原因、安全管理措置を含む再発防止策等についての報告を受けているところであり、平成二十七年度は八十三件、平成二十八年四月から九月までの間は六十六件が報告されているところである。また、委員会は、個人番号利用事務等実施者への立入検査や、苦情あっせん相談窓口を通じた情報の収集等により、安全管理措置の実施状況を含む特定個人情報の取扱いに関する実態を把握しており、これらを踏まえ、必要に応じて指導等を行っているところである。
また、委員会は、特定個人情報の適正な取扱いに関するガイドライン(事業者編)(平成二十六年特定個人情報保護委員会告示第五号)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(平成二十六年特定個人情報保護委員会告示第六号)を策定及び公表しているほか、特定個人情報の適正な取扱いについて、平成二十七年度及び平成二十八年四月から九月までの間において、経済団体、地方公共団体等が主催する説明会等(以下「説明会等」という。)に講師の派遣を行っており、説明会等の回数は合計三百八十六回であり、説明会等の参加者は合計約五万九千人である。さらに、特定個人情報の適正な取扱いについての分かりやすい資料、参考となる事例等を委員会のホームページに掲載している。
引き続き、委員会がこのような取組を行って、安全管理措置の実施状況を含む特定個人情報の取扱いについての実態の把握並びに特定個人情報の適正な取扱いについての周知及び指導等を行うことを通じて、政府として、特定個人情報の漏えい等の発生の防止が行われるよう取り組んでまいりたい。
お尋ねの「共通的な基盤」、「具体的な責任者」及び「情報システムの導入」の意味するところが必ずしも明らかでないため、お答えすることは困難である。
災害対策に関する個人番号の利用については、番号利用法第九条の規定において、災害救助法(昭和二十二年法律第百十八号)による救助又は扶助金の支給に関する事務、災害対策基本法(昭和三十六年法律第二百二十三号)による被災者台帳の作成に関する事務及び被災者生活再建支援法(平成十年法律第六十六号)による被災者生活再建支援金の支給に関する事務が掲げられており、地方公共団体がこれらの事務に関し個人番号を利用することにより、行政事務の効率化や国民の利便性向上等の効果が期待されるところである。
政府としては、地方公共団体の状況を見ながら、平成二十八年熊本地震におけるこれらの事務について、個人番号の利用を促してまいりたい。