平成２７年５月１５日特定個人情報保護評価点検部会議事録

大阪府個人情報保護審議会特定個人情報保護評価点検部会議事録

１．と　き　平成２７年５月１５日（金曜日）午後３時００分から午後５時００分まで

２．ところ　大阪府庁　新別館北館４階　職員会議室７・８

３．出席者　渡邊部会長、正木部会長代理、春名委員

４．議題

（１）「府税の賦課徴収関係事務」における特定個人情報保護評価書について（新規諮問）

（２）「住民基本台帳ネットワークシステムに係る本人確認情報の管理及び提供等に関する事務」における特定個人情報保護評価書について（継続審議）

（３）その他

５．議事概要

（１）「府税の賦課徴収関係事務」における特定個人情報保護評価書について

　　ア　事務局による概要説明

　　イ　実施機関による諮問内容の説明

　　ウ　質疑（主な内容）

　　　　（委　　員）　記録の保存期間について、はっきり書かれているものと書かれていないものがあるが、何か違いはあるのか。

　　　　（実施機関）　システムの構築中であり、本評価書を作成した段階では、保存期間について検討中であったが、要綱上７年保存と
　　　　　　　　　　　なっていることから、すべて７年間保存することとしたので記載の修正を行う。 

　　　　（委　　員）　代理人については、税の場合は税理士が想定されるが、代理人による申告でマイナンバーが漏れるリスクが多くなると
　　　　　　　　　　思われるが、個人番号を扱う際にどういった事務フローを考えているのか。

　　　　（実施機関）　代理人からの申告受付時における個人番号の確認については、番号法に則ってマイナンバーの通知カードや個人番
　　　　　　　　　　号カードの写し等を示してもらうことが想定されている。当然、代理人である証拠としての委任状等の提示も求める。

　　　　（委　　員）　感覚的には、税理士による代理申請の場合、マイナンバーの漏えいリスクがあると思う。今までは、そういう制度がな
　　　　　　　　　　く、納税者番号で管理されていると思うが、申告のときにマイナンバーは、法令上の要求があるのか。

　　　　（事 務 局）　法令上の要求にはなっているが、基本的には税理士には守秘義務があり、マイナンバーに限らず、他の情報自体も守
　　　　　　　　　　秘義務があるのでそれでまず担保される。
　　　　　　　　　　　 税務当局としても税理士会と今後調整していくことになる。税理士会を通じて、税理士に周知徹底を図っていくというよう
　　　　　　　　　　な方法も考えられる。 

　　　　（委　　員）　２９ページの６．リスク２　リスクに対する措置の内容の＜団体内統合宛名システムにおける措置＞の中に記載されて
　　　　　　　　　　いる「脆弱性への攻撃に対する未然防止策」とはどういった内容か。

　　　　（実施機関）　団体内統合宛名システムについては、ベンダーのパッケージを想定している。そこで、他の団体も含めて脆弱性対策
　　　　　　　　　　を考慮している。ウェブアプリケーションの脆弱性対策に対するコーディングルールを設け、コーディングルールに基づいた
　　　　　　　　　　開発をしている。
　　　　　　　　　　　　また、一般的な対策として、ウィルス対策としてサーバーや端末にウィルス対策ソフトを導入し、パターンファイルの
　　　　　　　　　　更新も随時行われている。このような形で脆弱性対策を行っている。

　　　　（委　　員）　これらの対策は、税システム側、中間サーバー側のどちら側からも対応しているのか。

　　　　（実施機関）　対応している。 

　　　　（委　　員）　２５ページのアクセス権限の発効・失効の管理の中に記載されている「具体的な管理方法で定期異動情報により一括
　　　　　　　　　　更新」とあるが、職員は基本的に定期異動しかないのか。

　　　　（実施機関）　随時異動もある。定期異動に関しては、人事課から定期異動情報をデータベースで提供を受け、その情報をシステム
　　　　　　　　　　に取り込む。
　　　　　　　　　　　　随時異動に関しても、規模によるが、人事課からデータを受け取り、定期異動と同様にシステムに取り込むことができ
　　　　　　　　　　るし、小規模であれば、税システムのユーザー管理を行う税政課のシステム管理者が入力して更新する。

　　　　（委　　員）　異動があればすぐに行うのか。

　　　　（実施機関）　リアルタイムで更新できるようにしている。 

　　　　（委　　員）　委託関係で再委託の取扱いについての記載がそれぞれの委託で異なっており、統一されていないようだが。

　　　　（実施機関）　委員ご指摘のとおり、評価書の記載内容について、統一されていないところがある。大阪府としては、基本的に再委
　　　　　　　　　　　託は禁止しているが、再委託が必要であれば、大阪府に申請していただき、個人情報の取扱いが適切に行われるか
　　　　　　　　　　　など判断し、再委託を認めている。
 　　　　　　　　　　　　すべての委託内容については、同様の取扱いとなるので、表現はばらついているがそういう取扱いになる。
　　　　　　　　　　　　委託していない場合は、シート上、再委託の許諾方法等については、記載できないようになっている。

　　　　（委　　員）　大阪府は許可制をとっているということか。
　　　　　　　　　　　 ここにあがっている全部の委託契約について、再委託について許可が必要という扱いになっているのか。

　　　　（実施機関）　大阪府個人情報保護条例第１０条に基づく、委託に関する措置という項目があるが、その中に、個人情報取扱委託
                              基準が設けられており、契約の際に、個人情報取扱特記事項を定めることとなっている。特記事項において、再委託に
　　　　　　　　　　　ついての規定があり、大阪府の承諾がある場合を除き再委託してはならないとし、再委託を承諾する場合は、条件を
　　　　　　　　　　　付すこととしており、すべての委託契約について同様の取扱いをしている。 

　　　　（委　　員）　３２ページの９（評価書では丸９）過去３年以内の個人情報に関する重大事故についての記載内容について、事故の
　　　　　　　　　　　事案の内容はわかるが、具体的な対応について、記載がないのでわからない。どのような対応をされたのか。

　　　　（事 務 局）　個人情報の漏えい等の事故が発生すれば、基本的に対象の方に謝罪し、漏えいした書類等の回収などの是正措
　　　　　　　　　　　置をしている。

　　　　（委　　員）　内容について、もう少し詳しく記載していただきたい。

　　　　（事 務 局）　もう少し詳細に記載する。

　　　　（委　　員）　記載されているものは、すべて報道提供されているのか。

　　　　（事 務 局）　している。

　　　　（委　　員）　過去３年で５件ということか。

　　　　（事 務 局）　重大事故については、１０１件以上の流出事故と定義されているので、１０１件以上の流出事故は、５件となっている。

　　　　（委　　員）　個人情報が入ったパソコンを物品倉庫で保管していたとあるが、物品倉庫は個人情報の入ったノートパソコンを通常置
　　　　　　　　　　いておく場所なのか。いろんな物品を置いてある倉庫であるならば、そもそもそういう場所にノートパソコンを置いていること
　　　　　　　　　　が問題ではないか。

　　　　（実施機関）　本事故は、税務局ではなく他の部局の事例だが、税務局が扱う税情報システムの端末機は、執務室内の施錠でき
　　　　　　　　　　　る端末専用保管庫に保管するという規定を設け運用をしている。
　　　　　　　　　　　　１日の業務が終われば、必ずそこに保管の上、最終的に施錠し、執務室も施錠するという扱いにしている。

　　　　（委　　員）　税務局では、過去の事故で納税者番号が漏れたような事故が起こったことはなかったか。

　　　　（実施機関）　失敗事例ということで、報道提供したものが数件ある。データが漏れたということではなく、納付書等の文書を送付す
　　　　　　　　　　　る際、封筒の宛名と納付書等の文書の中身を誤って封入し、ＡさんにＢさんの納付書等を送付したというケースは過去
　　　　　　　　　　　にあった。ただ、データ自身が流出したということはない。

　　　　（委　　員）　そのときの対応策は。

　　　　（実施機関）　対応策として、ダブルチェック等を行うこととした。

　　　　（委　　員）　同じ職場の複数の職員で確認するということか。

　　　　（実施機関）　そういうこと。 

　　　　（委　　員）　２４ページのリスク４　リスクに対する措置の内容の中に「特別な理由がない限り、複製、複写、書き写し等を禁止してい
　　　　　　　　　　る」と記載されているが、特別な理由とはどういう場合か。

　　　　（実施機関）　犯罪の捜査で捜査機関が令状を持ってくるような場合等を想定している。 

　　　　（委　　員）　納税者に督促をかける場合などは、納税者番号を付した上で相手方に通知しているのか。

　　　　（実施機関）　催告関係の通知については、特に番号は付していない。番号が入るのは、収納管理で個人を特定するために納付書
　　　　　　　　　　に番号を記載している。納付書を送付してほしいということであれば、納税者番号を記載した納付書を送付する場合があ
　　　　　　　　　　る。

　　　　（委　　員）　マイナンバー制度が運用されれば、納税者番号の代わりにマイナンバーが記載されることはあるのか。

　　　　（実施機関）　想定していない。税内部での事務の効率化に利用するので、外部に出すということは考えていない。 

　　　　（委　　員）　６．情報提供ネットワークシステムとの接続のリスク１のリスクに対する措置の内容で「使用のログを残す」と記載されて
　　　　　　　　　　いるが、不正使用の事前防止対策としてログの記録を残すだけでは、不十分ではないか。

　　　　（委　　員）　権限管理機能で実際に利用できる人は限られているというのではだめか。

　　　　（委　　員）　その人が不正に利用する可能性がある。

　　　　（実施機関）　職員が扱う状況がある中でなにができるかということで、端末操作ログを残すこととしている。
　　　　　　　　　　　　 税務職員には地方公務員法と税法で二重の守秘義務があり、罰則規定もある。
　　　　　　　　　　　　ログを残していることや罰則規定があり不正使用があれば懲戒処分されることなどを研修等で周知徹底していく。

　　　　（事 務 局）　また、失敗事例については、全庁で情報を共有する仕組みをとっている。

　　　エ　委員審議

　　　　（委　　員）　ヒューマンエラー対策の必要があるのではと感じた。
　　　　　　　　　　　通知文書等にマイナンバーがどの程度記載されるかがわからないと流出リスクがわかりにくい。

　　　　（実施機関）　総務省から、国民へ発出する通知文書等への個人番号の利用について想定される範囲等が示されている。例えば
　　　　　　　　　　　納税通知書等が想定されているが、税務局では、流出リスクを勘案し、基本的には納税者への通知物には番号を記
　　　　　　　　　　　載しないこととしている。

　　　　（委　　員）　もう少し詳細に記載していただいた方がいいと思われる箇所がある。
　　　　　　　　　　　１９ページの入室の厳重管理の方法を具体的に記載していただきたい。

　　　　（実施機関）　詳細に記載する。

　　　　　次回答申の方向性を検討することとした。

（２）「住民基本台帳ネットワークシステムに係る本人確認情報の管理及び提供等に関する事務における特定個人情報保護評価書について

　　ア　事務局による概要説明

　　　　実施機関による評価書の修正箇所について、報告し、答申の方向性について説明した。

　　イ　委員審議

　答申案について、了承した。

　（３）その他

　　　ア　基礎項目評価書について

　　　　　実施機関から提出された基礎項目評価書について説明し、了承を得た。

　　　イ　事務連絡等

　　　　　次回の日程等を確認

 資　料

　　議題１　諮問書 [Wordファイル／23KB]　府税賦課徴収事務全項目評価書 [Excelファイル／798KB]　全項目評価書（別紙） [Excelファイル／124KB]　参考資料１ [その他のファイル／241KB]　参考資料２ [Wordファイル／24KB]

　　　　　　　諮問書 [PDFファイル／18KB]　府税賦課徴収事務全項目評価書 [PDFファイル／542KB]　　全項目評価書（別紙） [PDFファイル／605KB]　参考資料１ [PDFファイル／58KB]　参考資料２ [PDFファイル／220KB]

　　議題２　住基ネット全項目評価書 修正版 [Excelファイル／807KB]　答申 [Wordファイル／41KB]

　　　　　　　住基ネット全項目評価書 修正版 [PDFファイル／1.09MB]　答申 [PDFファイル／49KB]

　　議題３　基礎項目評価書一覧 [Wordファイル／14KB]　基礎項目評価書（里親） [Excelファイル／76KB]　基礎項目評価書（特別児童扶養手当） [Excelファイル／69KB]　基礎項目評価書（児童扶養手当） [Excelファイル／69KB]　基礎項目評価書（小児慢性特定疾病） [Excelファイル／69KB]

　　　　　　　基礎項目評価書一覧 [PDFファイル／65KB]　基礎項目評価書（里親） [PDFファイル／178KB]　基礎項目評価書（特別児童扶養手当） [PDFファイル／145KB]　基礎項目評価書（児童扶養手当） [PDFファイル／146KB]　基礎項目評価書（小児慢性特定疾病） [PDFファイル／138KB]