ここから本文です。
平成26年度第4回長崎市個人情報保護審議会
更新日:2015年3月2日 ページID:026480
長崎市の附属機関等について(会議録のページ)
担当所属名
総務部 総務課
会議名
平成26年度第4回 長崎市個人情報保護審議会
日時
平成26年11月18日(火曜日) 14時~15時30分
場所
長崎市役所本館3階会議室
議題
- 職員による個人情報漏えい事件に関する報告
- 特定個人情報保護評価に関する説明
審議結果
<職員による個人情報漏えい事件に関する報告>に関して
【委員】
この漏えい事件はどうやって発覚したのか。
【実施機関】
この職員は今年の7月に長崎県の青少年育成条例違反で逮捕されました。
その後に市の人事課が、本人に対して事件に関する聞き取り調査を行ったところ、本人から個人情報の取扱いについて不正を行った旨の話があったものです。
【委員】
本人からの自供がなければわからなかったというのが怖い。
本人から言われなかったらどうやって見つけるのか。
【委員】
システムにログインした記録は残っているが、それが不正に使っているかどうかは本人からの申し出がないとわからないということか。
【実施機関】
システムを操作した記録は残りますが、業務で様々な検索をかけることはあるので、それが不正に使用されたものかの判定は非常に難しいものです。
業務で使用したものなのか、そうではないのかを全てチェックしていくということは膨大な量となってしまいます。
しかし、(今でも実施してはいますが、)システムの使用状況及び電話等も含めて全て記録するように徹底し、不定期に操作記録との照合を行うことを周知し、抑止をかけて行きたいと考えております。
【実施機関】
常日ごろから、職員に対しては個人情報の取扱いに対しては業務以外での閲覧・使用はしてはならないと指導してきたところですが、それが伝わらなかったということは深く反省しています。
【委員】
個人情報の漏えいで今回のような問題は初めてか。
【実施機関】
職員からの漏えい事件というのは初めてです。
【事務局】
補足させていただきます。
総務課において職員に対する個人情報に関する研修を実施しております。
個々の研修は各所属でも行っているものもありますが全体の研修は総務課で行っているという状況です。
実施状況としましては、新規採用職員向けと、採用3年次向け、それから希望する者を募って研修を行っております。
過去に本件のような事件がなかったこともあり、どちらかというと制度に関する話を中心に研修を行っておりました。
もちろん罰則という話や他都市で起きた事件なども話しておりますが、どうしても過失で起きた事件というのが多いため、そういうことがないように注意を促すような内容となっておりました。
今回の事件は故意ということで、正直想定していなかったところもありますので、次回の研修からは、制度面の説明だけでなく、長崎市を含め他都市においても個人情報の漏えいから重大な事件が発生しているということも踏まえて、職員の心に訴えるような内容の研修を実施していくことを検討しております。
【委員】
住民票等の発行で住民が窓口で申請をした際に、それをどの職員が対応したか分かるような仕組みになっているのか。
【実施機関】
受け付けた人間、出力した人間、審査した人間をそれぞれ記録するようにしています。
【委員】
(対応者を記録しているとはいえ)漏えいというのは口頭で漏らしたことも含まれるのであり、それは本人からの申し出がない限り見つけるのは難しいと思う。
【実施機関】
業務なのかそうでないのかを区別をするのは非常に難しいことです。
今後の対応を考えていかなければなりませんが、今検討を進めているところです。
【委員】
漏えいということだが、個人的な用件で情報を見たということだけでも漏えいにあたるのか。
【実施機関】
その場合は不正な目的で利用したということになります。
他都市でも事例がありまして、生駒市の職員が住基ネットシステムを使って不正に見たという事件があっております。
当該システムの中に検索内容を通知する機能があり、それにより発覚したというものでした。
【委員】
対策のところの(4)で「不定期の操作記録と関係書類の照合」というのは、例えば住民から出された申請書と実際出てる書類があっているということを調べるということか。
【実施機関】
システムを操作したログが記録されていますので、それと申請があったものや問い合わせがあったものと内容が適切に一致するものかということを確認します。
【委員】
住民からの申請書がないのに当該個人情報にアクセスしているという記録があった場合、それが業務なのかを確認し、それが業務でなければ罰があるということか。
それを不定期にチェックするということか。
【実施機関】
そのとおりです。
ただし、それを全部実施しようとすると相当なボリュームになりますので、やり方を検討しているところです。
【委員】
それをコンピュータで自動でチェックできる仕組みはできないのか。
【実施機関】
(当該個人情報にアクセスしていることが)正なのか不正なのかということは機械的にはわかりません。
【委員】
住民からの申請書がなくても仕事上で検索することがあるということか。
【実施機関】
そのとおりです。
そこの見分けが難しいと考えております。
先ほどの生駒市の住基ネットの事件は、検索した対象者が芸能人・有名人ということで、予めリストが作成されてあって、それに引っかかって発覚したというものでした。
【委員】
業務上で申請書などの書類はないが調査のため等で個人情報にアクセスする必要があるというものはどのくらいあるのか。
【実施機関】
官公庁からの問い合わせもかなり多く、また1件から派生して調べるということも多々あっておりますので、件数や割合などは把握しておりません。
【委員】
全部をチェックするのは大変でしょうから、書類があったものについてはコンピュータで自動でチェックできる仕組みがあれば、それ以外のものは、件数次第でしょうが、業務上のものかという突合せができていけばチェックが簡素化するのではないか。
【実施機関】
業務に関係している分は全て記録するようにはしています。
しかしながら、画面上で次々と展開していくものも全て記録していくというのはかなりの負担になります。
【実施機関】
さらに時期的なものもあります。
繁忙期ということで、2月・3月・4月という時期は窓口が非常に混雑します。
窓口での待ち時間を少しでも短くしていくという中で、もちろん厳格にやっていかなければならないと考えていますが、一つ一つ全て記録していくというのは難しいと思います。
例えば、誤って違う方を検索してしまった場合、記録として残ってしまいますが、その部分の書類との突合せはどうしていくかなど、申請書等にメモを残していくような対応をやってはいますが十分整っていない状況にあります。
【委員】
本人からの申し出がないと発覚しないということが問題。
後からでもわかるのであれば抑止力になると思うが、そうでない場合は自分から言って初めてわかるというのはどうなのか。
【実施機関】
その部分は職員への教育ということで心に響くように訴えていきたいと思います。
また職員との信頼関係も重要となってくると考えています。
職員との関わり方や情報の管理がどのようになっているのかを現場を見ながら対策を考えていきます。
【実施機関】
今後とも信頼回復と個人情報の厳格な取扱いについてしっかり研修をやっていきたいと思います。
【委員】
教育ということは大事だが、それだけに頼るというのはなかなか難しい。
不正を発見するような仕組みを検討していただきたい。
【委員】
一定の抑止力が必要と思う。
申請書等書類の残らないシステムの閲覧等操作に対するリストを作成し、それを後からでも確認できるようなチェック体制があればよいと感じた。
【委員】
停職6ヶ月というのは決まっていることだろうが、免職になるという強い罰則があってもよいのではないか。
【事務局】
罰則については、この事件だけでなく人事の委員会で協議され罰則の程度を決めています。
【委員】
個人情報の悪用は確認されていないと記事に書かれているが、実際に悪用があった場合の対応がきちんとできるようになっているかという心配はある。
【委員】
事件があったから発覚したということが本質的な問題であって、やはり事件がなくても発覚するという仕組みが必要。
件数が少なければもう少しチェックもできるという問題も含めて検討してもらいたい。
過失ということもあろうかと思うが、故意というのは人間性の問題がある。
過失は教育や研修によって防げる問題だと思う。
【委員】
件数が多いからできないというのは理由にならない。
件数が多いからチェックできないということを解消できるような仕組みを作らなければならないのではないか。
【委員】
個人の資質、教育だけに頼るというのは限界がある。
抑止又は発見できるような仕組みを検討していく必要がある。
【委員】
交際相手の家族を調べるということは重大な事件につながりかねない。
【委員】
実際どれだけの情報が漏えいしているかということだが、場合によっては人権侵害ということにもなるのではないか。
【委員】
今回のこのような事件があったということは、他にも(発覚していないだけであって)あっているということではないか。
【委員】
今後の対応については、(実施機関の説明によると)研修の充実と強化とあったが、委員の意見では抑止となる仕組みが必要ということであったので、審議会からの意見ということで記録に残してもらいたい。
【事務局】
本日の議事録に残します。
また、実施機関にも意見の内容について伝えます。
いただいた意見につきましては今後の私たちの制度に活かして再発防止に向けて検討していきたいと思います。
<特定個人情報保護評価に関する説明>に関して
【委員】
「個人番号の提示により」というのは個人番号カードの提示ということか。
【事務局】
個人番号を教えていただければ(情報の取得は)できるのですが、法令では本人確認が必要となっております。
単に番号を聞き取るだけでなく、証明書の提示あるいは個人番号カードをお持ちでなければ免許証などの身分を証明できるものをあわせて提示いただくことで本人確認をすることとなっております。
【委員】
個人番号カードの発行は申請が必要ということか。
【事務局】
そのとおりです。
個人番号カードの発行は申請に基づくものになります。
なお、カードの発行については国のほうで無料化できないかということが検討されているところです。
【委員】
個人番号だけでは利便性は高くないということか。
【事務局】
個人番号カードを持たれていないかたは個人番号とあわせて身分証明書を提示することで本人確認がとれますので、個人番号の利用により所得等の情報を取得することができます。
番号法に定められたものであれば、例えば転入されたかたが児童手当の手続をされるのに、通常であれば転出元で所得証明書を取ってきていただくことになりますが、個人番号を使うことによりそういった手続が不要となります。
【委員】
個人番号カードは家族に貸して代わりにやってもらうということはできるのか。
【事務局】
窓口に来られたかたが(カードに記載された人物と)違うということであればそれはお受けできない場合があると思います。
委任状などがあったとしても、個人番号カードで確認するということになっていれば委任状だけでは足りないため、本人が来られない場合は委任状に加えて窓口に来られるかたの身分証明書が必要になるという場合などが考えられます。
【委員】
住民票を取るときに申請書を書いて窓口に出しているが、それがカードを提示するということになるのか。
【事務局】
これまでの(申請書を出していただくという)取扱いは変わらないと思います。
【委員】
個人番号に何のメリットがあるのか。
【事務局】
代表的なものは所得の証明ですが、他の機関と連携することでわざわざ取らなくてもよくなるということです。
今までは申請をするときに所得のわかる証明が必要となる場合がありましたが、今後はその証明書の提出がいらなくなるということです。
【委員】
個人番号は、市役所の内部または外部と連携するときに役に立つということか。
【事務局】
それもあります。
基礎自治体においては、庁内連携はある程度進んでいて、これまでも本人に同意いただくことにより所得情報の連携はある程度できておりました。
一方で、県や国などはそういった仕組みを持たないので、そういったところは、例えば今後個人番号を申告書等に書いてもらうことで所得情報とか給与の支払情報とかが的確にわかるということになります。
さきほどの制度の説明の際に、社会保障や税負担の公平化とありましたが、例えば税をかけるのに申告漏れなどがないように番号を使うことで的確に把握することができ、これにより税をしっかりとかけることができるというメリットがあります。
自治体でいえば、大きな部分としては他都市との情報連携にあるといえます。
転入されたばかりのかたであればそういった所得の情報はまだ転入先の自治体では持っていないので、個人番号を使うことによりそういった情報のやり取りをすぐに行えるようになります。
そのおかげで市民に負担をかけることなく情報を取得することができます。
【委員】
普段の生活ではあまりそのようなシーンはないように思える。
所得証明書などは頻繁に取ったりはしない。
確定申告にしても、電子申告の仕組みがある。
どういったときに所得証明書を必要とするのか。
【事務局】
市のいろいろなサービスを受けるときで、特に福祉・医療のほうで行われている低所得者対策などの事業では多くの場合に所得状況により負担割合を算定するようになっており、その際には所得証明書の添付を求めています。
昔はほとんどが所得証明書等の添付を求めていたものですが、最近では庁内連携によりそういった書類を省略しています。
それでも一部のかたには、転入されたばかりで市側で情報がわからないなどの理由で提出してもらっている場合があります。
【委員】
銀行で借り入れしようとするときは所得証明を提出する必要があるが、当然銀行は第三者なのでそういった情報を取得することはできないのか。
【事務局】
そのとおりです。
民間での利用はまだできません。
ただし、民間でも給与を支払う事業者は税務署に源泉徴収を出す必要がありますが、そういった場合には個人番号を付けて提出することになっております。
民間が利用するということはまだ制度が始まったばかりであり規定されていませんが、1つの事例として健康保険証を個人番号カードでできないかという検討がされております。
ただし、そうなると医療機関側においてもそのカードを読み取るための仕組みが必要となり、その情報を守るという観点からもまだまだ課題がありますが、国のほうとしては利用用途を広げていきたいという意図があるようです。
そういったことから将来的には銀行にも拡大していく可能性はあると思います。
【委員】
今確定申告をパソコンでする場合は住民基本台帳カードが必要だがそれはどうなるのか。
【事務局】
住民基本台帳カードがすぐ無効になるものではありませんが、いずれ個人番号カードに替わることになります。
個人番号カードの中にも本人認証情報が格納されており、認証機関から認証を得ることができるようになっています。
【委員】
特定個人情報保護評価書を作成するのは誰か。
【事務局】
実施機関が作成します。
国民に対し私どもが利用しているシステムに対してどのようなセキュリティ上のリスクがあり、その対策をどのように講じているかということを宣言するものです。
【委員】
具体的にいうと各部署の担当者が作成するということか。
【事務局】
各部署が作成しますが、記載内容については総務課においても確認を行います。
【委員】
審議会に期待されていることは内容が妥当であるかということを判断してもらいたいということか。
【事務局】
記載されている内容が有効な方法であるかということをみてもらいたいと考えております。
【委員】
評価が作成される度に審議会でチェックをするということか。
【事務局】
第三者点検の必要性があるものは全項目評価書のみとなっているのでそちらをお願いしたいと思っています。
評価にあたって、まずは、しきい値判断を実施し、基礎項目評価だけですむのか、重点項目評価書を作る必要があるのか、全項目評価を作る必要があるのかという判断を行います。
この判断によって抽出されたものが住民基本台帳事務、地方税事務、個人住民税事務の3つの評価書になります。
評価書の作成単位は、原則番号法別表第1の事務ごとと定められていますが、その単位のなかで電算システムを使っているものが対象となります。
しきい値判断においては、過去一年以内に特定個人情報に関する重大事件を発生させたことがあるかというものがありますが、これは個人番号を含む個人情報の漏えい事件があった場合が該当しますので、先ほど実施機関より報告のありました事件は該当しません。
なお、評価書のなかにある重大事故というのは特定個人情報に限っておりませんので、先ほどの事件はここに該当することになります。
【委員】
全部のシステムで評価書を作成するということは職員が増えるということか。
【事務局】
この評価のために職員が増えるということはありません。
【委員】
この評価書は実施機関で作られるということであったが、自己評価をするということか。
その評価の結果が十分だと書いてあるのをみて、われわれもそれで十分かという判断をしていくことになると思うが、本当に十分かと判断するのは難しい。
【事務局】
評価書を作成するということは、単に市民に周知するだけでなく、実施機関自らが考えるためにあるものだと考えています。
委員の皆様からは率直な意見をいただいてそれを活かしていきたいと考えています。
【委員】
評価書を見て不明なところは質問して必要があれば意見として出すということか。
【事務局】
そのように考えております。
評価そのものよりも、評価をする、意見をいただくという過程が大事だと考えております。
また、この評価書は5年ごとに再評価を行う決まりになっております。
大きな仕様の変更をおこなったときや新しいシステムを導入したときなどで、件数等から全項目評価の対象となる場合はその都度評価を行うことになります。
【委員】
第三者点検の質疑のときには実施機関の担当者の方が来て細かい質問に答えてもらうということか。
【事務局】
そのとおりです。
【委員】
この評価書は国で定めたものか。
【事務局】
国の機関である特定個人情報保護委員会が定めたものです。
【委員】
様式の変更はできないのか。
【事務局】
当該委員会の規則で定められているため変更はできません。
【委員】
パブリックコメントを求めるというのは評価書を作成した後に住民へ提示するということか。
【事務局】
私どもが評価書を作成した後に住民に提示したうえで意見をいただきます。
【委員】
パブリックコメントで意見をもらい、それに対応した結果を反映させたうえで審議会へ報告するということか。
【事務局】
意見をたくさんいただいた中には対応が難しいものもあるかとは思いますが、それについてもその理由を説明し、対応できるものについては評価書を見直してそれを審議会へ提出します。
その際に意見の内容とそれに対する長崎市の考えを説明させていただこうと考えております。
【委員】
実施するシステムが3つとあったが、実施機関は複数あるのか。
【事務局】
任命権者によって異なります。
市長部局は1つの単位、教育委員会などは別の機関になります。
個人情報保護条例においては他の機関も実施機関と定義しておりますので、そこで評価が必要なものは審議会にお願いしたいと考えていますが、保有件数等から今のところ市長部局のこの3つのみということになっております。
【委員】
審議会から意見書を出した後どのような流れになるのか。
意見書はどこ宛てに出すのか。
【事務局】
実施機関宛てになります。
今の審議案件は長崎市長から諮問ということで審議会に諮っていますが、評価書については諮問ではなく意見を求めるということになります。
その意見を受けて評価書の修正を行ったり、根本的なところでシステムの改修が必要であればその対応を検討するということになります。
その意見を反映させた後に最終的には評価書を国の特定個人情報保護委員会に提出し、市民への公表としてホームページに掲載することになります。
お問い合わせ先
アンケート
より良いホームページにするために、ご意見をお聞かせください。コメントを書く
