企業でも対応が本格化しつつあるマイナンバー制度(行政手続番号法)。いま、この制度を揺るがしかねない問題が発生している。マイナンバーにひも付ける個人情報(特定個人情報)に関わるリスクやメリットを評価する「特定個人情報保護評価」を、他の評価書のコピペやベンダーへの丸投げで済ませようとする行政機関や地方公共団体が少なからずあるというのだ。
特定個人情報保護評価は、マイナンバー制度におけるプライバシー保護を支える重要な柱の一つ。行政機関や地方公共団体に対して早急に正しい手続きで評価するよう徹底し、制度の信頼性を確保する必要がありそうだ。
特定個人情報に関わる評価書を提出
マイナンバー制度は、マイナンバーを扱う行政機関や地方公共団体に対して特定個人情報保護評価の実施を義務付けている。マイナンバーにひも付ける個人情報、特定個人情報を抱えるメリット(例えば、行政手続きの効率化など)、さらに不正利用などプライバシー侵害に関わるリスクなどを洗い出し、リスクへの対応策を示すことを指す。
評価はマイナンバーを扱うシステム開発を始める前に、介護保険や生活保護などマイナンバーを取り扱う事務の単位ごとに実施する。評価方法は3段階あり、特定個人情報を扱う対象人数が1万人未満の場合は基礎項目評価だけでよい。対象人数が30万人以上の場合は全項目に関して評価し、パブリックコメントを実施する必要がある(図)。
図●「特定個人情報保護評価書(全項目評価書)」の記載例。自治体の「公営住宅管理」での情報の流れを図示している
出所:特定個人情報保護委員会
[画像のクリックで拡大表示]
結果は評価書にまとめて、マイナンバー制度の監督・監視を担う特定個人情報保護委員会に提出する。
