自治体の特定個人情報保護評価｜特定個人情報保護評価対応は
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞ 特定個人情報保護評価（PIA）＞ 自治体の特定個人情報保護評価

　自治体の特定個人情報保護評価

　自治体業務で特定個人情報ファイルをネットワークで利用、提供などする場合、事前に「特定個人情報保護評価（PIA）を実施する必要があります。特定個人情報保護評価とは、特定個人情報ファイル（マイナンバーを含む個人情報）の保有、変更にあたり、地方公共団体等が個人のプライバシーへ及ぼす影響を予測した上で、特定個人情報の漏えい、その他の事態を発生させるリスクを分析し、そのようなリスクを軽減するための適切な措置を講ずることを宣言するもので、番号法27条において規定されており、海外においてPIA(Privacy Impact Assessment)（プライバシー影響評価）に相当するものです。 具体的には、「特定個人情報ファイル」を、保有数などにより3段階、�@「基礎項目」、�A「重点項目」、�B「全項目」に分類し、それぞれの評価書を作成して公表する事になります。

　番号法第 27 条において、行政機関の長等は、特定個人情報ファイルを保有しよ うとするとき及び特定個人情報ファイルについて重要な変更を加えようとすると きは、評価書を公示し広く国民の意見を求めること（第１項） 、委員会の承認を受 けること（第２項） 、承認を受けた評価書を公表すること（第４項）とされています。 地方公共団体は特定個人情報ファイルの保有数や取扱者数等により判断を行い(しきい値判断）、評価書を作成しない、�@「基礎項目」、�A「重点項目」、�B「全項目」のいずれかを作成する必要があります。

【基礎項目評価】
■　対象人数が1000人以上で実施（必須）
■　他の評価書（対象であれば）と併せて作成する（単独の場合もあり）
■　基本的に項目に回答し記入するのみ

【重点項目評価】
■　1万人以上10万人未満、取扱者数500人以上、もしくは対象人数10万人以上30万人未満、取扱者数500人未満で実施（必須）
■　上記枠外（基礎項目対象）でも任意で評価書作成は可能
■　リスクアセスメントが追加され、その他細かく追加項目があり
■　公示（意見聴取）、第三者点検は任意

【全項目評価】
■　対象人数30万人以上、もしくは10万人以上30万人未満で、取扱い者数500人以上で実施
■　プライバシー等の権利利益の保護の為の措置に関する詳細な分析・評価を行い、評価の適合性・妥当性を客観的に担保する仕組み
■　公示は必須、行政機関は「審査・承認」、自治体は「第三者点検」を経て公表

　特定個人情報保護委員会とは個人番号その他の特定個人情報の有用性に配慮しつつ、その適正な取扱いを確保するために必要な措置を講ずることを任務とする内閣府外局の第三者機関 になります。特定個人情報の取扱いに関する監視・監督（立入検査、報告徴求、指導、助言、勧告、命令等の権限の行使）、および情報保護評価に関すること（指針の策定や評価書の承認）、特定個人情報の保護についての広報・啓発、これらの事務のために必要となる調査・研究及び国際協力等を行います。故に、全ての「特定個人情報保護評価書」は最終的に特定個人情報保護委員会へ必ず提出する事になります。委員長1名、委員6名で構成され任期5年です。　　　　　　　　　　
【出典：内閣府】　

　特定個人情報ファイルとは「個人番号（マイナンバー）を含む個人情報ファイルであり、基本的に一つのアプリケーションに「個人番号」が含まれ、そのアプリケーション内 のファイルから「個人番号」にリンク(名寄せ、紐付き）できる場合は「個人番号」を表 示できなくても、そのもの全体が「特定個人情報ファイル」となります。業務上で利用する場合、各原課では把握できない部分もありますので、特定個人情報ファイルを洗い出す場合はベンダとの直接的な打ち合わせが効果的です。
【出典：内閣府】　

　各評価書の作成が終わると、評価書の種類に公示、点検、承認、公表を行います。
　
【公示】(意見聴取）
■　地方公共団体等は、全項目評価書を作成した後、規則第７条第１項の規定に基づき、全項目評価書を公示して広く住民等の意見を求め、これにより得られた意見を十分考慮した上で全項目評価書に必要な見直しを行う事
■　基礎項目評価、重点項目評価は任意、全項目評価は必須
■　公示の具体的な方法として、パブリックコメントによることなどが考えられが、パブリックコメントの仕組み以外であっても、広く国民の意見を求めることがで きる方法であれば、任意の方法にて意見聴取することが可能。
■　公示し、住民等からの意見を聴取する期間は原則として30日以上だが、特段 の理由がある場合には、全項目評価書においてその理由を明らかにした上で短縮可能
■　地方公共団体等は、公示し住民等の意見を求め、必要な見直しを行った全項 目評価書について、規則第７条第４項の規定に基づき、第三者点検を受ける

【点検】
■　地方公共団体等の実施する重点項目評価の抽出点検（第三者点検）については、原則として、当該地方公共団体の設置する個人情報保護審議会等の諮問機関に対し全件報告した上で、当該諮問機関が点検対象を任意に抽出して点検する
■　審議会のメンバーに適任者がいない場合、専門性確保の観点から、既存の 個人情報保護審議会や個人情報審査会のメンバー（の一部）に新たに個人情報の保護に関する学識経験がある者、情報システムの知見を有している者等を追加して点検を受けることも可能
■　他の自治体と連携して機関を共同設置する方法なども可能
■　個人情報保護審議会や個人情報保護審査会に専門的知識を有している者 がいない場合、専門的知識を有している者の追加が困難な場合などには、上記知識を有する外部の第三者による点検を受ける事も可能

【承認】
■　全項目評価における「承認」は行政機関と自治体で異なる
■　行政機関＝委員会による承認
■　地方公共団体等の実施する全項目評価については、原則として当該地方 公共団体の設置する個人情報保護審議会等の諮問機関に対し諮問した上で当該地方公共団体の機関の長又は地方独立行政法人の長が承認を行う
■　委員会は「審査」を実施し「承認」する。

【公表】
■　地方公共団体等は、特定個人情報保護評価書を委員会に提出した後、速やかに公表する事
■　特定個人情報保護評価書及びその添付資料は、原則として全て公表するが、規則第13条の規定に基づき、公表することにセキュリティ上のリスクがあると認められる場合は、公表しない予定の部分を含む特定個人情報保護評価 書及びその添付資料の全てを委員会に提出した上で、セキュリティ上のリスクがあると認められる部分を公表しないことができる。

　地方自治体は早急に特定個人情報保護評価を実施した後、既存のシステムの改修を行います。また、機構やベンダと連携してまずは平成２８年１月までには特定個人情報ファイルを取り扱う体制を整える必要があります。

　特定個人情報保護評価等の実施を求められている自治体様はお気軽にご相談ください。スリープロサポートでは、地方公共団体にマイナンバー法対応の特定個人情報保護評価のコンサル実績があり、完全サポート型をはじめ様々なプログラムをご用意し、評価書作成も可能ですので自治体様の作業負担を大幅に削減する事が可能です。

社労士や会計事務所などのPIA対応Pマークコンサルティングも実施しています。お気軽にご相談ください。

　 スタッフ紹介

経験豊富な営業、実績豊富なコンサルタントが貴社のPマーク、ISMS構築を強力にバックアップいたします。

　コンサルメニュー

様々なコンサルティングメユーより、貴社のニーズを満足させた、最適なプログラムを提供させていただきます。

　リーズナブルな価格

価格はご相談ください。ご予算の範囲内で収めるような、納得のいく低価格を実現しました。

HOME　 特定個人情報保護評価（PIA）　社会頬章・税番号制度とは　 マイナンバー関連資料　 自治体の特定個人情報保護評価