1
会
議
録
会議の名称 平成28年度第2回つくば市情報公開・個人情報保護審査会 開催日時 平成29年3月14日 開会14:00 閉会15:00
開催場所 つくば市役所 2階 204会議室 事務局 総務部総務課
出 席 者
委員 川島 宏一,関 和也,中村 紀一,横田 由美子
事務局 総務課:木村課長,根本課長補佐,伊藤係長,大坪主査
特定個人情報 保護評価書担 当課
国民健康保険課:吉原課長,中川課長補佐,飯塚係長, IT推進課:杉山課長,塚本課長補佐,家中主任,澤田主事,
藤本主事
公開・非公開の別 □公開 □非公開 □一部公開 傍聴者数 0名 非公開の場合はそ
の理由
内容に個人情報が含まれるため。
議題 特定個人情報保護評価書に関する第三者点検
国民健康保険に関する事務 (重点項目評価書)
会議録署名人 確定年月日
会 議 次 第
1 開会
2 特定個人情報保護評価書(国民健康保険に関する事務)の諮問に係る 答申(案)について
3 特定個人情報保護評価書(国民健康保険に関する事務)の修正について 4 その他
様式第1号
2
1 開会
事務局:それでは,ただいまから平成28年度第2回つくば市情報公開・個人情 報保護審査会を開催いたします。
本日は,お忙しいところ,御出席くださいまして,誠にありがとうございま す。
本日の審査会ですが,お手元に配布しております次第にしたがって,進めて いきたいと思います。
今回は,前回の審査会において,委員の皆様に点検をお願いし,御意見等を いただきました特定個人情報保護評価書に関する,審査会からの答申(案)につ いて御確認いただきます。
限られたお時間ではありますが,よろしくお願いいたします。 それでは,本日の資料を確認いたします。
【資料確認】
以上,資料の方はお揃いでしょうか。不足しているものがございましたらお 申し付けください。
それでは,次第の2に移らせていただきます。以降の議事進行は会長にお願 いしたいと思います。
また,会議の座長につきましては,つくば市情報公開・個人情報保護審査会 条例第6条第3項に「会議の座長は,事案ごとに委員の互選による」とありま す。本日の案件につきましては,前回からの継続案件となりますので, 前回 に引き続き会長に座長を務めていただければと思います。
それでは,会長よろしくお願いいたします。
2 特定個人情報保護評価書の諮問に係る答申(案)について
3
今回は,前回の審査会において,委員の皆様に点検をお願いし,御意見等 をいただきました特定個人情報保護評価書に関する,審査会からの答申(案) について御確認いただきます。
座長につきましては,前回からの引き続きの案件となりますので,私の方で 務めさせていただきます。よろしくお願いいたします。
座長:それでは,配布された資料に沿って評価書に対する審査会からの答申 (案)について進めていきたいと思います。「特定個人情報保護評価書の諮問 に係る答申(案)について」事務局から御説明をお願いします。
事務局:それでは,事務局から説明させていただきます。 【答申(案)について事務局から説明】
座長:ありがとうございました。
ただいま事務局から説明がありましたが,質問,確認事項がございましたら お願いします。
委員:異議なし(一同賛成)
3 特定個人情報保護評価書(国民健康保険に関する事務)の修正について 座長:それでは,次に「特定個人情報保護評価書の修正について」担当の国民
健康保険課から御説明をお願いします。
国民健康保険課:国民健康保険課より説明させていただきます。 【国民健康保険に関する事務 重点項目評価書の修正について説明】 座長:ありがとうございました。
ただいま国民健康保険課から説明がありましたが,評価書や事務の内容等につ いて質問,確認事項がありましたらお願いします。
今日欠席された委員は,この資料を読まれて何か訂正等はございましたか。 事務局:ございませんでした。
様式第1号
4
加する点などあればお願いします。
委員:指摘内容について対応していただきまして御苦労様でした。どんなに平易 に記載しようとしても内容が難しいので,内容をわかりやすく記載するには限 界はあるのかなと思います。ですので,なおさらこの審査会の役割が重く感じ ます。
全体の確認ですが,これまで市町村単位で管理していた資格情報等が都道府 県単位で管理することになることに伴い,つくば市から転出したとしても茨城 県内であれば,資格が継続されるということですね。
逆 に い うと , こ れ ま で 市 が 管理 し て い た 業 務 を 県単 位 で 行 う こ と と なる の で,全体のリスクでいうと,県の方が上がって,市の方は下がっているように 思いますが。市としてあまり敏感に反応すべきことでもないと思いますが,業 務内容が非常に細かいところなので複雑でわかりづらいところではあります。
一番気になる点は,市町村が共同して国保連合会に委託するのであって,県 が委託するわけではないということです。県に管理業務が移るのではなくて, あくまで都道府県単位で情報管理をすることになるということですね。そうす ると責任関係と受委託関係が法律上そうなっているのかなと思うのですが,そ のような理解でよろしいですか。
事務局:はい。県に業務が移るわけではなく,あくまで,これまで市町村単位で 管理していた資格情報等を平成 30 年度からは県単位で管理することになると いうことです。そして,その業務を県内全市町村は共同して国保連合会に委託 することになります。
委員:あくまで県単位の管理になるだけであって,つくば市としては一委託者と 理解しました。
5
思いますが,この資料について何か意見ございますか。
委員:平たく言うと,市町村単位では財政が厳しいので,平準化するために県単 位にするということですね。それが「財政運営の責任主体が平成 30 年度から 都道府県単位になります。」という言葉になっているのですね。
座長:背景としてあるのは,安定的な財政運営と効率的な事業の確保ということ があって,それがこのような形に変わるので,再評価を実施するということが, この資料を読んで,背景とその理由,主な変更点が分かれば概要の頭出しとし ては良いのではないでしょうか。
委員:正確に知りたい市民の方を思えば,例えば「○○法の改正により」という よ うな 制 度 的 な 変更 に 基づ い て い る こと を 根拠 法 な ど で 示す と さら に わ か り やすいのではないでしょうか。
国民健康保険課:根拠法につきましては,社会保障改革プログラム法というもの がございまして,正式名称は少し長い名称なので正確には承知しておりません が,法律名を記載するということであれば「持続可能な社会保障制度の推進に 関する法律に基づき」という表記になろうかと思います。
委員:追記できるのであれば,法令根拠を書いていただいた方が市民の方が詳し く理解できるかなと思います。
国民健康保険課:追記する箇所は,背景として,財政的に脆弱な市町村や高齢者 等が多く,社会保障費の支出が高い市町村などは単独では保険制度がもたない ので,財政運営を大きな団体にしてやっていこうというのが大きな考えですの で,このようなことを1の背景に記載させていただくことでよろしいでしょう か。
委員:よろしいかと思います。
座長:その他修正等含めて,御意見等ございますか。
様式第1号
6
局で調整させていただいてよろしいでしょうか。 各委員:はい。
座長:ありがとうございました。 委員:一点よろしいですか。 座長:どうぞ。
委員:共同で行うことで,決して無責任にならないようにお願いします。共同で 委託することによって,ダイレクト委託ではなくなることで,責任の所在が薄 まらないように,あくまで共同で行うことにはなるが,つくば市民の情報管理 の委託者としての責任は,つくば市にあることは注意していただきたいと思い ます。
座長:その点については,重点項目評価書の宣言の欄に記載されているとおりで す。
それでは第3番目の議題が終わりましたので,その他のところに入りたいと 思います。その他については,審査請求に関することと伺っていまして,個人 情報が含まれておりますので,これ以降の審査会については非公開とさせてい ただきたいと思いますが,よろしいでしょうか。
各委員:はい。
座長:傍聴人の方は,今日はお見えになっておりませんが,事務局以外の職員の 方は退席をお願いします。御苦労様でした。
【委員,事務局除き退席】
4 その他
審査請求について
5 閉会
7
次回の審査会は,3月30日(木)を予定しておりますので,お忙しいとは 存じますが,委員の皆様の御出席をお願いいたします。
進行を事務局にお返しします。
事務局:本日は長時間にわたり,御意見をいただきありがとうございました。 今後も,特定個人情報保護評価書の公表及び情報公開・個人情報保護審査 会の適正な運用に,御理解と御協力を賜りますようお願い申し上げます。
それでは,これをもちまして平成28年度第2回つくば市情報公開・個人情 報保護審査会を閉会いたします。
平成 28年第2 回つ くば 市情報 公開 ・個人 情報 保護 審査会 次第
日時 平成 29年3月14日( 火)午後2時00分~ 場所 つく ば市役所 2階 204会議室
1 開 会
2 特定個人情 報保護評価書( 国民健康保険に 関する事務)の 諮問に係る答申( 案) について
3 特定個人情 報保護評価書( 国民健康保険に 関する事務)の 修正について
4 その他
国民健康保険に関する事務 重点項目評価書
委員 A
委員 B
委員 C
委員 D
委員E委員F 委員
G
評価書Ⅰ2 システム10
システムについて、具体的に分 かりやすく記載しているか。
○ △ ○ ◎ ◎ ○ ○
①「資格継続業務」及び「高額該当回数の引き継ぎ業務」 とは,どのような情況において何のために行うものなのか 市民にわかりやすい言葉で丁寧に説明すべき。
②業務の概要図においては,新旧で変化している部分を明 確にわかるよう示すべき。
もう少し平易な表現でわかりやすくすべき。 変更部分をわかりやすくし,リスクやそれに対する 策,さらにその趣旨をわかりやすくしてほしい。
詳細に記載されているが概要図を見ながら読ま ないと理解できない。
変更概要(内容・メリット・デメッリット)からシス テム概要(10ページ)の説明するという形式の方が分 かりやすいか。
2 委託に関しての記載は具体的か。
評価書Ⅱ4
委託事項6 委託事項7
何をどこに委託するのかが,分 かりやすく記載されているか。ま た,再委託の有無と再委託を行 う場合の具体的な条件が分かり やすく記載されているか。
◎ △ ○ ◎ ◎ ○ ○ 再度委託先の事業者名も明示すべき。
3 リスク対策について
どのようなリスクが想定される か,分かりやすく記載されている か。
○ ○ ○ △ ◎ ○ ○
一般的なことも必要であるが,何となく現実感が感じられ ない。具体性がないからか。
想定されるリスクにどのようなものがあるかはわかっ たが,具体的にどういうリスクかは分からない。防止 策から判断するということか。
国保総合システム自体にリスク対策がされてい ることを説明した方が良いのではないか。
リスクを軽減するために講じてい る対策を具体的に記載している か。(システムや人的作業ごとに おけるリスク対策が記載されて いるか。)
○ ○ ○ ◎ ◎ ○ ◎
一般的なことはわかる。具体例などを示せばわかりやすく なるのかもしれない。
具体的に記載されている。 ただし,
①評価書32ページ赤枠の最初の*の段落と「必要な情 報(以下略)」との間に1行空白を入れると見やす い。
②同ページ赤枠2つ目の*の下から2行目「国保総 合」が2つ重なっている。
③32ページの赤枠では「誤った入手を防止している」 や「必要な情報以外を入手することはない」と強く言 い切っているが,33ページの赤枠では,「リスクを軽 減している。」とリスク発生が前提となっているのは なぜか。
接続に専用線を用いていることはとても良いと 思います。
国保総合システム自体にリスク対策がされていること を説明した方が良いのではないか。
どのようなリスクが想定される か,分かりやすく記載されている か。
○ ○ ○ △ ◎ ◎ ○
一般的なことはわかる。具体例などを示せばわかりやすく なるのかもしれない。
想定されるリスクにどのようなものがあるかはわかっ たが,具体的にどういうリスクかは分からない。防止 策から判断するということか。
リスクを軽減するために講じてい る対策を具体的に記載している か。(システムや人的作業ごとに おけるリスク対策が記載されて いるか。)
○ ○ ○ ◎ ○ ○ ○
一般的なことはわかる。具体例などを示せばわかりやすく なるのかもしれない。
具体的に記載されている。
ただし,評価書32ページの赤枠では「誤った入手を防 止している」や「必要な情報以外を入手することはな い」と強く言い切っているが,34ページの赤枠では, 「リスクを軽減している。」とリスク発生が前提と なっているのはなぜか。
GUIによるデータ抽出機能は,国保総合PC にのみ搭載されないものなのか,他のシステム にもあるなら,その部分と整合性を図る。
どのようなリスクが想定される か,分かりやすく記載されている か。
○ ○ ○ △ ◎ ◎ ○
一般的なことはわかる。具体例などを示せばわかりやすく なるのかもしれない。
想定されるリスクにどのようなものがあるかはわかっ たが,具体的にどういうリスクかは分からない。防止 策から判断するということか。
リスクを軽減するために講じてい る対策を具体的に記載している か。(システムや人的作業ごとに おけるリスク対策が記載されて いるか。)
◎ ○ ○ ◎ ○ ◎ ○
一般的なことはわかる。具体例などを示せばわかりやすく なるのかもしれない。
具体的に記載されている。
ただし,評価書32ページの赤枠では「誤った入手を防 止している」や「必要な情報以外を入手することはな い」と強く言い切っているが,34ページの赤枠では, 「リスクを軽減している。」とリスク発生が前提と なっているのはなぜか。
①ログインした状態で離席した場合は一定の時 間で自動シャットダウンが望ましい。 ②ログアウトとログオフは同意語ですが統一し た方が良いのでは。
評価結果 評価内容
評価書Ⅲ3 リスク1
委 員 付 言 評価書記載部分
目的外の入手が 行われるリスク
目的を超えた紐付 け,事務に必要の ない情報との紐付 けが行われるリス ク
評価書Ⅲ2
1 評価対象事務の記載内容(特定個人情報保護評価の対象となる事務の内容の記載は具体的か。当該事務における特定個人情報の流れを併せて記載しているか。)
評価書Ⅲ3 リスク2
権限のないもの (元職員,アクセス 権限のない職員 等)によって不正 に使用されるリス ク
つくば市情報公開・個人情報保護審査会委員付言
国民健康保険に関する事務 重点項目評価書
委員 A
委員 B
委員 C
委員 D
委員E委員F 委員
G
評価結果
評価内容 委 員 付 言
評価書記載部分
3 リスク対策について
どのようなリスクが想定される か,分かりやすく記載されている か。
○ ○ ○ △ ◎ ◎ ○ 一般的なことはわかる。具体例等で説明してほしい。
想定されるリスクにどのようなものがあるかはわかっ たが,具体的にどういうリスクかは分からない。防止 策から判断するということか。
リスクを軽減するために講じてい る対策を具体的に記載している か。
◎ ○ ○ ○ ◎ ◎ ○ 一般的なことはわかる。具体例等で説明してほしい。
民間との規定内容と国保連合会との規定内容に差があ るのはなぜか。
評価書Ⅲ7
特定個人情報の 漏えい・滅失・毀 損リスク
リスクを軽減するために講じてい る対策を具体的に記載している か。
◎ ○ ○ ◎ ◎ ◎ ◎ 一般的なことはわかる。具体例等で説明してほしい。
評価書Ⅲ7
特定個人情報が 古いまま保管され 続けるリスク
リスクを軽減するために講じてい る対策を具体的に記載している か。
◎ ○ ○ ◎ ◎ ◎ ◎ 一般的なことはわかる。具体例等で説明してほしい。
4 従業者に対する教育・啓発
評価書Ⅲ9
リスクを軽減するために講じてい る対策を具体的に記載している か。
◎ △ ○ ◎ ○ ◎ ○
教育頻度・方法・対象については,もっと具体的に説明す る必要がある。
一般的なことはわかる。具体例等で説明してほしい。
①「<サイバーセキュリティ(以下略)>」の 段落中,教育事項の2行目と3行目にスペース があるので削除。また,教育方法が未定とはど ういうことか。
②42ページの赤枠の下段*はどこにかかってい るのか。
具体的な研修頻度など示すとなお良い。
5 特記事項
その他特筆すべき事項がある場 合
評価書Ⅲ4
委託先における不 正な使用等のリス ク
①評価書本体については,変更箇所がわかりやすく示され ていると思います。これに対し概要版パワーポイントです と,変更箇所がわかりにくいように少し感じます。 ②概要版パワーポイントの10ページ目までが「ですます」 調で以降「である」調なので,統一した方が良いと思いま す。
③概要版パワーポイントの標題に「(1)」「(2)国保 連合会への対応」とありますが,「(1)自庁」「(2) 国保総合システムにおける対応」等とした方が適切な標記 だと思います。
④概要版パワーポイントの業務の詳細は,今般の国保総合 システムに係る部分のみ記載されているようです。それに 対して,その他の箇所は概して国保事務全般について記載 されているように見えます。そうであれば,その旨を注記 した方が適切だと思います(業務の詳細といいながら,業 務概要図全体が説明されているわけではない点の説明が あった方が良いと思うため)。
今回の見直しを行う背景・理由及び見直しの概要につ いて,数段落で市民にわかりやすい表現で提示する必 要がある。
①「個人」情報が大上段にあるため,「個人」 は一義的に使用したほうがよいのでは。 ②個人ごとのID→担当者ごとのID
概要版,概要図等,丁寧に工夫されてまとめられてい ます。それでも私を含め情報機器に弱い一般市民に とっては少し難しいと思います。
①概要版34ページ下から3行目「突合(とつごう) し」コンピュータ関係者には周知の言葉のようです。 でも,同じ意味になるなら「突き合わせ」の方が市民 にはわかりやすい。
②概要版38ページ下から4行目,2行目「GUI」, 「CSV」何の略語か。意味は。
③概要版56ページ上から5行目「外部からの脅威」, これでもわかるけれど,「外部からの不適切な接続等 の脅威」等にするとより具体的になる。
④概要版63ページ上から4行目「棒か壁」→「防火 壁」
なお,今回の評価を市民に公表するにあたって,追 加の評価の背景,意義などについて前文を付したら市 民の理解がより深まるのではとの意見が委員の多くか ら出たことを書き加えておきます。
2 8 つ く ば 情 審 第 号
平 成2 9年 月 日
つくば市長 五 十 嵐 立 青 様
つく ば市情報公開 ・個人情報保護 審査会
会長 中 村 紀 一
つくば市 情報公開・個人 情報保護審査会 条例第2条の規 定に基づく
審査につ いて(答申)
平成29年1月 10日付け28つく ば国保第1373号 による諮問(行 政手続における 特定
の個人を識別す るための番号等 の利用に関する 法律第28条の規 定に基づく特定 個人
情 報 保 護 評 価 ( 国 民 健 康 保 険 に 関 す る 事 務 重 点 項 目 評 価 書 )) に つ い て , 下 記 の
とおり答申しま す。
記
1 審査会の結 論
「国民健康 保険に関する事 務 重点項目評 価書」は,特定 個人情報保護評 価指
針(平成26年 4月20日 特定 個人情報保護評 価委員会作成) の審査の観点に 照ら
し,適合性及 び妥当性ともに おおむね基準を 満たしていると 判断するが,別 紙の
意見を参照し ,記載内容の充 実に更に努める ことを期待する 。
ただし,市 民に公表するに 当たっては,今 回の特定個人情 報保護評価の再 実施
に至った背景 や理由等を明記 した概要を付し ,市民の理解が より深まるよう 配慮
する必要があ ると考える。
2 審査会委員 の付言
資料2- 1
特定個人 情報保護評価 (国民健康保険 に関する事務) の再実施の背景 等
1 背景
国民健康保 険においては, 安定的な財政運 営や効率的な事 業の確保等の観 点に
基づき,平成 30年度から都道 府県が財政運営 の責任主体とな ります。
2 理由
平成30年度 から市町村ごと に保有する資格 情報等は,新た に導入する国保 総合
(国保集約) システムにより 都道府県単位で 管理することと なります。なお ,当
該業務につい ては,茨城県内 全ての市町村が 共同して,茨城 県国民健康保険 団体
連合会に委託 し,実施します。(再委託先:茨 城県計算センタ ー)
特定個人情 報保護評価書へ の委託(再委託 を含む)先の追 加及びシステム 導入
に伴うリスク 対策は,別紙記 載の特定個人情 報保護指針に定 める重要な変更 (該
当 す る 記 載 項 目 の 番 号 : 8 , 9 ,1 1) に な る こ と か ら , 特 定 個 人 情 報 保 護 評 価 を
再実施するも のです。
3 特定個人情 報保護評価書の 主な変更内容
(1) システム の内容に,国保 総合(国保集約 )システムを追 加
(2) 委託事項 に「資格継続業 務,高額該当回 数の引継ぎ業務 」を追加
(3) 上記に付 随するリスク対 策に関する内容 を追加
平成29年3 月 日
つくば市保 健医療部
特定個人情 報保護評価指針 (平成26年4月 20日)第6の2 (2)に定める 重要
な変更の対象 である記載項目
特定個人情報 保護 重要 な変更の対象で ある記載項目
評価書の名称
重点項目評価 書 1 個人番 号の利用
2 情報提 供ネットワーク システムによる 情報連携
3 特定個 人情報ファイル の種類
4 特定個 人情報ファイル の対象となる本 人の範囲
5 特定個 人情報ファイル に記録される主 な項目
6 特定個 人情報の入手元
7 特定個 人情報の使用目 的
8 特定個 人情報ファイル の取扱いの委託 の有無
9 特定個 人情報ファイル の取扱いの再委 託の有無
10 特定個 人情報の保管場 所
