議論の最後は特定個人情報保護評価注2)について。事前アンケートでは、評価が各団体の基準に委ねられており、達成すべきセキュリティレベルが不明確な点を多数の団体が問題点として指摘した。「住民基本台帳ネットワークシステムセキュリティ基準」(総務省告示)のようにレベルを明確化し、特定個人情報保護委員会注3)が評価指標・判断基準・指針を提示することが強く望まれている。
これに対し同委員会事務局の松元照仁総務課長は、あくまでシステムの保有者である自治体が決めるべきとした。「本来の趣旨は、自治体が主体的に評価をして住民に示し理解してもらうこと。委員会としては一律の基準は出すべきではないと決めた。書き方を拘束するような指針も出さない」。指針では一定の安全監視措置に触れてはいるが、「委員会が細則を提示することはない」。
これに対し秋田県の寺尾氏は、「長期にわたる修正で、各自治体には個別のシステムが出来つつある。このため全国的な仕様変更の際に大きな費用の差が生じる。今回も各自治体の判断を許すと、個別システムができかねない。大まかな指針を示して各自治体がそれから外れないようにする仕組みにしないと、将来大きな無駄が生じる」と懸念を示した。
熊本県の島田政次情報企画課情報企画監は、「山口県の税務システムの評価書を参考例に挙げたが、それが基準やよりどころになってしまわないか」と指摘した。
委員会事務局の松元氏は、「システムの現況が自治体ごとに違うし、今後採用するシステムにも違いがある。中身が違えば当然リスク対策も違ってくる。指針はあくまで参考にとどめてほしい」と応じた。加えて、「全項目評価や第三者点検に関して詳細な項目を出してほしいとの要望もあるが、一定の項目は公表済み。現在は地方公共団体情報システム機構(J-LIS)の全項目評価を審議しており、今後さらに詳細化したものも公表する」と説明した。
大分県の倉原浩志情報政策課長は、「円滑なシステム導入のために最低限ここまでやっておけばいい、期限に間に合わせるのに評価はここまででいいという内容を、デジタルPMO注4)で公開してもらえるか」と単刀直入に質問した。
松元氏は「法律の本則より、かなりレベルを落とした形で指針や規則を作っている。書き方を助言できるような体制は整えていきたい。間に合わないから簡単にというのではなく、時間が限られた中でどこまでできるか考えてほしい」と答えた。
倉原氏は「中間サーバーは、知事部局と教育委員会で別々に持つ形になることが最近分かった。特定個人情報保護評価をどうしていけばいいか。期限に間に合うか」と重ねて質問。松元氏は「総務省と連携して、どんな問題点があるのか把握したい。期限が決まっているので大変だとは思うが、評価は自治体で判断して実行ほしい」と答えた。
