個人情報保護委員会 マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応 (2023.12.06)
こんにちは、丸山満彦です。
個人情報保護委員会が、
1 コンビニエンスストアでの住民票等誤交付
2 公金受取口座の誤登録
3 健康保険証及び障害者手帳等の各種サービスにおけるマイナンバーの紐付け誤り
についての、事案の概要、委員会の対応、当事者の対応等について公表していました。。。
● 個人情報保護委員会
・2023.12.06 マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応について
・[PDF]
| 事案 | 事案の概要 | 委員会の対応 | 当事者 | 当事者における対応 |
| 1 コンビニエンスストアでの住民票等誤交付 | 複数の地方公共団体において、富士通 Japan の開発した証明書の交付に関するシステムを 利用し、住民票等の交付事務を行っているところ、申請者とは別人の証明書が誤交付される 事態が、連続して発生した。 | 当委員会は、本年9月 20 日、富士通 Japan、足立区、川崎市及び宗像市に対して、安全管理措置の不備等を理由として、個人情報保護法に基づく指導を行うとともに、富士通 Japan に対して、当該指導に対する対応の実施状況について、本年 10 月 31 日までに報告するよう求めた。 | 富士通 Japan | 上述⑵の指導に対して富士通 Japan から提出された報告書を確認したところ、 ・技術的安全管理措置として、類似の誤交付トラブルの点検及び異常検出機能の開発 2 ・組織的安全管理措置として、新品質保証プロセスの構築、第三者評価、開発体制の整備及び委託元(地方公共団体含む)への情報提供 という対応が示されており、現時点において一定の取組が認められるものであった。当委員会としては、今後も、改善策が確実に実施されることを、引き続き注視していく。(詳細は、 別紙1を参照。) |
| 2 公金受取口座の誤登録 | 公金受取口座は、公金受取口座登録制度に基づきデジタル庁が管理する「口座情報登録・ 連携システム」において登録・管理されている。公金受取口座の登録は、マイナポータル経 由での登録又は所得税の確定申告(還付申告)での登録の方法があるところ、それぞれの登 録方法において、別人のマイナンバーと銀行口座情報を紐付けた、公金受取口座の誤登録事 案が発生した。なお、漏えい等の人数(漏えい等のおそれを含む。)については、従来、940 人とされていたが、第3回マイナンバー情報総点検本部(本年 10 月6日)から第4回同本部 (本年 11 月9日)までの間に、デジタル庁における公金受取口座の誤登録の検知モデル開発 の過程で、新たに誤登録の可能性がある 227 人分の公金受取口座が確認された。 | 当委員会は、本年9月 20 日、デジタル庁に対して、安全管理措置の不備等を理由として、 番号法及び個人情報保護法に基づく指導を行うとともに、国税庁に対して、安全管理措置の 不備を理由として、番号法に基づく指導を行った。また、デジタル庁に対して、当該指導に 対する対応の実施状況について、本年 10 月 31 日までに報告するよう求めた。なお、その後、 上述⑴の漏えい等の人数増加について報告を受けたが、増加した 227 人分の誤登録の原因は 従前の 940 人分の誤登録の原因と同じであり、現時点で、当委員会は、既に行った指導に追加して問題点を指摘する必要はないと判断している。 | デジタル庁 | 上述⑵の指導に対してデジタル庁から提出された報告書を確認したところ、 ・本人確認の措置として、システム面での対策及び運用面での対策 ・保有個人情報の漏えい等発生時における報告体制として、人員体制の強化、規程等の見直 し、庁内報告体制の整備、デジタル庁内の周知、教育研修及び幹部層における働きかけ 等の対応が示されており、現時点において一定の取組が認められるものであった。当委員会 としては、今後も、改善策が確実に実施されることを、引き続き注視していく。(詳細は、別紙2を参照。) |
| 3 健康保険証及び障害者手帳等の各種サービスにおけるマイナンバーの紐付け誤り | 健康保険証及び障害者手帳等の各種サービスにおけるマイナンバーの紐付け誤りのうち、 健康保険証情報及び障害者手帳情報について、マイナポータル等のシステムを通して、要配 慮個人情報が第三者に閲覧された、又は閲覧され得る状態が発生していたという、個人情報 保護法上の漏えい等報告義務の対象となる事態が確認された。 | 当委員会は、本年 12 月6日、健康保険証情報及び障害者手帳情報の紐付け誤り事案のう ち、特に、漏えい等に係る本人数が多数であり、組織的安全管理措置に不備が認められるも のとして、障害者手帳情報の紐付け誤りに関し、地方公共団体5団体に対し、マイナンバー の提供を受けた際の本人確認を適切に実施すること等を求めて、番号法及び個人情報保護法 に基づく指導を次のとおり行うこととした。 【指導先(漏えい等報告における漏えい等の人数(漏えい等のおそれを含む。)の合計)】 静岡県(100 人)、高知県(114 人)、長崎県(1,989 人)、宮崎県(2,344 人)、鳥取市(485 人) | 静岡県、高知県、長崎県、宮崎県、鳥取市 | (別紙3を参照) |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.09.23 個人情報保護委員会 デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表 (2023.09.20)
・2023.06.05 自民党 原因はいずれも人為的ミス → マイナカード、国民の不安解消へ努める 人が介在する機会を減らし対策
・2023.06.02 個人情報保護委員会 マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応方針(案)
« 中国 サイバーセキュリティ産業連盟 意見募集 技術仕様書「子ども用スマートウォッチの個人情報保護と権利利益のためのガイドライン」(案)(2023.12.04) | Main | 個人情報保護委員会 EDPBが2023年3月28日に採択した「個人データ侵害通知に関するガイドライン09_2022」の仮訳 (2023.12.08) »
Comments