［158］地方自治体に求められる内部統制を前提とした個人情報保護

2008.10.16

　前回は，内閣府が発表した「平成19年度個人情報保護法の施行状況」から，民間事業者の状況を取り上げた。今回は，地方自治体の状況について考えてみたい。

外部の厳しい視線に直面する自治体の情報漏えい対策

　2008年7月15日，総務省は「個人情報の保護に関する条例の制定状況（平成20年4月1日現在）」を発表した。2008年4月1日現在，すべての都道府県・市区町村が個人情報保護条例を制定しているが，条例の規定内容で，年々強化されているものに罰則規定がある。「個人情報の保護に関する条例の制定状況（平成16年4月1日現在）」と比較すると，罰則規定を設けている地方自治体の比率は，2003年4月1日時点で10.6％，2004年4月1日時点で17.7％であったのが，2008年4月1日時点で69.8％になっている。

　このような各自治体の罰則強化策の影響は，最近の個人情報漏えい事件報道にも及んでいる。例えば，検索サイトで，「個人情報」をキーワードにニュース検索を行うと，民間企業よりも，地方自治体や傘下の公的機関（公立学校など）の個人情報漏えい事件の報道が増えていることに気付くだろう。最近は，外部への情報開示の観点から，「懲戒処分は原則公表」をルール化する地方自治体が増えていることから，減給，戒告など，個人情報漏えいに起因する懲戒処分の報道も増えている。

　自治体の個人情報漏えいの原因として挙げられるものに，「個人情報の無断持ち出し」「外部記録媒体の管理不備」「外部委託先の管理不十分」があり，個人情報漏えいに起因する懲戒処分を見ると，紛失や盗難が発端となったケースが大半を占めている。これらは，「官」のみならず「民」でも，再発防止対策上の重要テーマとなっているものばかりだ。個人情報保護法の本格施行後の民間企業では，類似した情報漏えい事故の頻発により，企業全体を管理監督する経営者の責任が問われるケースが目立った。当然，自治体においても，個人情報漏えいに関わる情報開示が進めば進むほど，“経営責任”の担い手の対応状況に外部の視線が向けられることになる。

総務省の研究会が自治体への内部統制制度の適用を提言

　民間企業では，会社法や金融商品取引法で規定された内部統制制度が導入されている。地方自治体でも，総務省が2007年10月に「地方公共団体における内部統制のあり方に関する研究会を設置して，地方自治体への内部統制導入に向けた検討を行ってきた。今年の4月14日には，「地方公共団体における内部統制のあり方に関する研究会＜中間報告（論点整理）＞」が公表されている。

　中間報告では，「近年の民間部門における会計監査制度の充実及び企業の内部統制の強化に係る取組が参考となるものと考えられる」という研究会の視点を踏まえ，金融庁企業会計審議会の「財務報告に係る内部統制の評価及び監査の基準（基準）」「財務報告に係る内部統制の評価及び監査に関する実施基準（実施基準）」の定義を，地方自治体に適用して差し支えないという考え方を示しており，地方自治体ならではの要素が出てきた場合は適宜検討することになっている。

　民間企業の場合，第152回で触れた個人向け電子商取引（B2C-EC）のように，財務諸表監査の重点項目に個人情報管理が入っているケースや，金融機関，通信キャリアのように，会社法の内部統制システムに個人情報管理が組み込まれるケースはある。だが，「基準」「実施基準」に基づく日本版SOX法対策として，個人情報管理が取り上げられることはあまりなかった。

　ここで注目すべきは，前述の中間報告の「ITへの対応」で，地方自治体ならではの要素として，個人情報管理の問題が具体的に指摘されている点だ。第101回，第122回で取り上げたように，現実に起きた住民基本台帳からの情報漏えい事件は，ハイテクを駆使した外部からの不正アクセスなどではなく，外部委託先の不注意に起因するものだった。その後の総務省や経済産業省の対応を見れば，外部委託管理を含めた地方自治体の個人情報保護対策の重要性が分かるだろう。

　「地方公共団体における内部統制のあり方に関する研究会」では，内部統制の具体的内容，導入時期などの論議まで至っていないが，地方自治体の間では，不正再発防止の観点から，コンプライアンス・マニュアルを導入するところが増えている。また，米国サブプライムローンに端を発した世界的金融危機は，各国の地方債市場にも影響を及ぼしつつあり，上場企業並みの財務情報開示で，海外を含む投資家を引き付けることが，日本の自治体にも求められている。財政難からの脱却を図る地方自治体は，直近の課題として，内部統制の導入を前提に個人情報保護の重要性を認識し，IT利活用による効率化を推進する必要があるのではなかろうか。

　次回は，中央官庁，独立行政法人などの個人情報保護推進策を取り上げてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/