個人情報保護委員会 マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応方針(案)
こんにちは、丸山満彦です。
第244回個人情報保護委員会で、昨今発生したマイナンバー関連の事故についての対応方針案が議論されたようですね。。。
ほぼ丸投げ開発の委託先に対する監督をしなさい、、、みたいなことを繰り返しいうのも、仕方がないとはいえ、なんか本質的な解決につながらないような気がして、つらいですよね。。。言う方も、言われる方も...
一番最初のガイドラインとなった経済産業省ガイドラインを作るときから言われていましたが...
⚫︎ 個人情報保護委員会
・2023.05.31 第244回個人情報保護委員会を開催しました。
・[PDF] 資料3 マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応方針
| 事案の概要 | 問題の所在 | 当委員会の着眼点と対応方針 |
| 1.コンビニでの住民票等の誤交付 ・ 住民票の写し等の証明書を取得する「コンビニ交付サービス」において、別人の又は本人により廃止済みの証明書(特定個人情報又は保有個人情報を含む。)を誤交付。 発生期間:令和5年3月~5月 発生主体:地方公共団体(横浜市、足立区、川崎市、徳島市、熊本市、新潟市、さいたま市) 委託先 :富士通 Japan 株式会社 |
・ 地方公共団体は、コンビニ交付サービス等を提供する証明書発行システムを富士通 Japan 株式会社にシステム開発をさせたが、漏えい等を防止する安全管理のために必要かつ適切な措置に関する品質が確保されていないまま、同システムを運用し、住民に提供していた。 |
(着眼点) ① 委託先の監督等(各地方公共団体) ・ 特定個人情報及び保有個人情報を取り扱うシステムの開発を委託するにあたり、その品質を適切に確認できていたか。 ② 安全管理措置(富士通 Japan 株式会社) ・ 個人データを大量に取り扱うシステムの開発を受託するにあたり、その品質の確保やリスクの説明を適切に行っていたか。 (対応方針) ・ 各地方公共団体及び富士通 Japan 株式会社に対する報告徴収を実施している。 ・ 今後、事実関係を把握した上で、権限行使の要否を検討する。 |
| 2.マイナンバーカードの健康保険証利用における紐付け誤り ・ マイナンバーカードの健康保険証利用(オンライン資格確認)において、被保険者とは別人のマイナンバーを誤登録し、別人に薬剤情報等(個人データを含む。)を漏えい。 発生期間:令和3年 11 月~5年5月発生主体:保険者 (健康保険組合等、7団体) |
・ 保険者は、被保険者から提出された届出書にマイナンバーの記載がない場合に、基本4情報(氏名、生年月日、性別、住所)を確認してマイナンバーを特定することとなっていたが、その徹底を怠っていた。 |
〇 安全管理措置、従業者の監督、本人確認の措置(保険者、制度所管省庁、実施機関) (着眼点) ・ 保険者は、規律を遵守していたか。遵守していなかった場合、手順と実運用との乖離について制度の所管省庁に共有していたか(健康保険組合等)。 ・ 制度所管省庁は、マイナンバーを特定する手順についての通知を適切に行っていたか(厚生労働省等)。 ・ 実施機関におけるシステム的な誤登録チェックの仕組みに改善点がないか(社会保険診療報酬支払基金及び国民健康保険中央会)。 (対応方針) ・ 漏えい等報告があった事例について、原因や経緯等を把握の上、再発防止策を求める。現時点で把握できている事例以外に類似の未発覚の事案がないか、厚生労働省等からの情報収集を継続する。 ・ 厚生労働省、実施機関(社会保険診療報酬支払基金及び国民健康保険中央会)等における対応策の実施状況を注視していく。 ・ 今後、事実関係を把握した上で、権限行使の要否を検討する。 |
| 3.公金受取口座の誤登録等 ① 各地方公共団体の支援窓口における本人又は手続支援員による操作ミス(ログアウトの失念)に起因する公金受取口座の誤登録により、別人のマイナンバーと本人の銀行口座情報を誤って紐付けた結果、銀行口座情報(保有個人情報を含む。)を漏えい。 ② 確定申告書の提出時に銀行口座情報を公金受取口座に登録を希望した者について、国税庁が、別人のマイナンバーと登録希望者の銀行口座情報(特定個人情報を含む。)を誤って紐付けてデジタル庁に提供。 |
・ 各地方公共団体の支援窓口の共用端末を利用する場合の操作ミス等のリスクについて、正確な操作手順の徹底のほか、操作手順に伴うリスクの軽減等についての管理ができていなかった。 ・ 国税庁がデジタル庁に情報提供する際に、誤った紐付けを防止するために必要な確認手順又は運用に不備があった。 |
① 安全管理措置、本人確認の措置(デジタル庁、地方公共団体等) (着眼点) ・ デジタル庁において、保有個人情報を共用端末で利用する場合に必要なリスクの検討と対策はできていたか。 ・ 保有個人情報の取扱いに係る責任主体を特定していたか。当該主体における、窓口での手順の周知及び遵守状況の管理は適切か。 (対応方針) ・ 現時点で把握できている事例以外に類似の未発覚の事案がないか、デジタル庁等からの情報収集を継続するとともに、対応策の実施状況を注視していく。 ・ 今後、事実関係を把握した上で、権限行使の要否を検討する。 ② 安全管理措置、本人確認の措置(国税庁、デジタル庁) (着眼点) ・ 国税庁がデジタル庁にマイナンバー及び公金受取口座情報を提供する事務について、事務担当者における事務の実施手順の整備と、その周知及び遵守状況は適切か。 (対応方針) ・ デジタル庁及び国税庁からの情報収集を継続し、国税庁における再発防止策の検討・実施状況を注視していく。 ・ 今後、事実関係を把握した上で、権限行使の要否を検討する。 |
| ③ 各地方公共団体の支援窓口における本人又は手続支援員による操作ミス(ログアウトの失念)に起因するマイナポイントを受領する決済サービス情報(保有個人情報を含む。)の誤登録により、マイナポイントの誤交付又はそのおそれ。 発生期間:令和4年7月~5年5月 (②は令和5年1月発生)発生主体:【公金受取口座情報】地方公共団体(14 団体)国税庁(1税務署) 【マイナポイント】 地方公共団体(90 団体) |
・ 各地方公共団体の窓口の共用端末を利用する場合の操作ミス等のリスクについて、正確な操作手順の徹底のほか、操作手順に伴うリスク軽減等の管理ができていなかった。 |
③ 安全管理措置、本人確認の措置(制度所管省庁、地方公共団体等) (着眼点) ・ 制度所管省庁において、保有個人情報を共用端末で利用する場合に必要なリスクの検討と対策はできていたか。 ・ 保有個人情報の取扱いに係る責任主体を特定していたか。当該主体における、窓口での手順の周知及び遵守状況の管理は適切か。 (対応方針) ・ 現時点で把握できている事例以外に類似の未発覚の事案がないか、制度所管省庁等からの情報収集を継続するとともに、対応策の実施状況を注視していく。 ・ 今後、事実関係を把握した上で、権限行使の要否を検討する。 |
Comments