平成２７年４月１７日特定個人情報保護評価点検部会議事録

大阪府個人情報保護審議会特定個人情報保護評価点検部会議事録

１．と　き　平成２７年４月１７日（金曜日）午後３時１０分から午後４時２５分まで

２．ところ　大阪府庁　新別館北館１階　会議室兼防災活動スペース２

３．出席者　渡邊部会長、正木部会長代理、春名委員

４．議題

（１）部会の体制について

（２）「住民基本台帳ネットワークシステムに係る本人確認情報の管理及び提供等に関する事務」における特定個人情報保護評価書について（新規諮問）

（３）その他

 ５．議事概要

（１）部会の体制について

　ア　部会長・部会長代理の指名

　　　・事務局より全体会議において渡邊委員が部会長に指名されたこと及び部会長代理の指名について説明した。

　　　・渡邊部会長より正木委員が部会長代理に指名された。

　イ　会議の公開・非公開について

　　　・渡邊部会長より会議の公開・非公開について説明した。

　　　・部会の会議について、原則公開することを決定した。

（２）「住民基本台帳ネットワークシステムに係る本人確認情報の管理及び提供等に関する事務」における特定個人情報保護評価書について

　ア　事務局による概要説明

　イ　実施機関による諮問内容の説明

　ウ　質疑（主な内容）

　　　（委　　  員）　　リスクへの対策についてすべてが「十分である」との評価であるが、何か基準はあるのか。

　　　（実施機関）　  住民基本台帳ネットワークのセキュリティチェックリストで年１回チェックを行っているが、チェック項目ですべてが満点ではないため、「十分である」
　　　　　　　　　　　としている。

　　　（委　　　員）　　「過去３年以内に、評価実施機関において、個人情報に関する重大事故が発生したのか」の項目で、審査の観点における考慮事項では、すべて
　　　　　　　　　　　記載されているかとなっているが、記載されているものですべてか。

　　　（事  務  局）　　記載漏れがあるので追加で記載する。

　　　（委　　　員）　　保存期間が、１５０年間となっているが、１５０年間同じ機器を使用することはないかと思われるが、どこかのタイミングで機器の更新があると思うが、
　　　　　　　　　　　そういったことへの見通しはあるか。

　　　（実施機関）　　機器の更新はある。サーバーが古くなるので、更新は数年に１回行われる。更新時には、古いサーバーの情報については、新しいサーバー
　　　　　　　　　　　に引継ぎ、必要な情報は保存されている。

　　　（委　　　員）　　４（評価書ではローマ数字）その他のリスク対策の２、従業者に対する教育・啓発について、審査の観点における主な考慮事項では、「違反行為
　　　　　　　　　　　をした従業者等に対する措置について具体的に記載しているか」となっているが、そのことについて記載がない。違反した場合には、どのように
　　　　　　　　　　　なるか。

　　　（実施機関）　　住基ネットで不正アクセス等した場合、法令により、処罰の対象となる。本事務のみで独自に罰則等を設けるというのではなく、違反行為があれば
　　　　　　　　　　　法に基づき処罰されることからあえて記載していない。

　　　（委　　　員）　　特別の罰則を設けるというのではなく、一般的な公務員としての記述を書くということでいいのではないか。

　　　（委　　　員）　　懲戒のことや委託先で問題があった場合に委託を打ち切るなどを記載する項目ではないか。

　　　（実施機関）　　ご指摘いただいた内容を記載した上で、再度、確認をお願いする。

　　　（委　　　員）　　住民基本台帳ネットワークは、外部からの侵入は物理的にできないものなのか。

　　　（実施機関）　　ネットワークとしては、閉鎖されたものなので、通常使用しているパソコンから侵入することはできない。

　　　（委　　　員）　　特定個人情報の提供・移転について、フラッシュメモリや紙媒体などで提供・移転することとなっているが、プリンタで出力するときに余分に出力を
　　　　　　　　　　　するとか、出力したものを置き忘れるなどのリスクについて記載する必要があるのではないか。

　　　（実施機関）　　市町村課としては、データを取り扱っていない。業務で必要な所属がデータを取りにくる。そのときに市町村課職員は立ち会うが、業務所属の職員が
　　　　　　　　　　　USBメモリを差し込みデータを入手する、あるいは、プリンタで出力し紙媒体を取り扱う。
　　　　　　　　　　　　業務所属の評価では、今、ご指摘いただいたリスクについては、記載する必要があると考える。

　　　（委　　　員）　　そういう点で、問題がないということをここで記載する必要はないのか。

　　　（実施機関）　　市町村課は、情報を取り扱わないので、情報を漏らすというのは考えられない。

　　　（委　　　員）　　１ページ目の宣言の項目で、「個人のプライバシー等の権利利益に影響を及ぼしかねないことを認識し、・・・」、「もって個人のプライバシー権等
　　　　　　　　　　　の・・・」とプライバシー等とプライバシー権等の用語が統一されていない。

　　　（実施機関）　　どちらかに統一する。

　　　（委　　　員）　　４（評価書ではローマ数字）その他のリスク対策の監査の項目で、外部監査について記載があるが、他の自治体では、内部監査について記載が
　　　　　　　　　　　あるものが、外部監査のみ記載している理由はなにか。

　　　（実施機関）　　他府県では、市町村課が内部監査をすると記載されたものもあるが、そのすべてを把握していない。われわれとしては、自治法上の外部監査を
　　　　　　　　　　　実施することにしている。市町村課以外の他の部署から監査を受けているということはない。

　エ　委員審議

　　　　評価書記載の内容と審査の観点の考慮事項と整合性がとれていない記載内容がある。

　　　　次回までに、記載内容を整理していただいた上で、次回最終確認することとする。

（３）その他

　ア　事務連絡等

　　　次回の日程等を確認

資　料

　諮問書 [Wordファイル／14KB]、住基ネット全項目評価書（案） [Excelファイル／804KB]、参考資料１ [その他のファイル／522KB]、参考資料２ [Excelファイル／66KB]、参考資料３ [Wordファイル／23KB]

　諮問書、住基ネット全項目評価書（案）、参考資料１・２・３ [PDFファイル／1.78MB]