HOME > U+(ユープラス) > 電子自治体の行政情報化ニュース > 自治体IT革命の今日、明日 第154回 「番号法実施へ向け、その4 『2−7−1 しきい値評価書作成』」

U+(ユープラス)

U+のTOPへ

電子自治体の行政情報化ニュース

コラムニストの一覧に戻る

自治体IT革命の今日、明日
第154回 「番号法実施へ向け、その4 『2−7−1 しきい値評価書作成』」

2013/08/19

(前回より)

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
○1−2−1 影響度調査・検討 ・・・ (平成25年07月〜平成26年03月)
・9条関連事務(別表1、個別条例事務) 1−2−1−1
1.都道府県
 *26事務 (18 + *8 -> *26事務)
2.市町村など
 *19事務(内*8事務は都道府県も)
 都道府県においては26事務、市町村においては19事務、そして個別条例事務がある場合は、別途影響度調査・検討をする必要がある。
 作業期間は、平成25年07月〜平成26年03月と想定される。
・19条7項(別表2) 1−2−1−2
1.情報提供者が<都道府県など>  *47事務
2.情報提供者が<市町村など>   *70事務
3.情報提供者が<医療保険者、後期高齢者医療広域連合など>  *20事務
○1−3−1 WBS(大日程)案 ・・・ (平成25年07月〜09月)
1.体制づくり
  1.担当課決定 ・・・ (平成25年06月〜07月)
    行政改革部門、情報政策部門、市民(窓口)部門、税務部門、保健・福祉・介護部門、他
  2.プロジェクト設置 ・・・ (平成25年06月〜07月)
    1.影響度調査・検討 ・・・ (平成25年07月〜平成26年03月)
      1.9条(別表1)+9条2項(個別条例事務)、
      2.19条7項(別表2)
    2.新組織化
3.全体スケジュール(平成25年度〜平成29年度)
     ・・・ (平成25年07月〜09月)
    1.WBS(大日程)作成
    2.工数概算
    3.予算概算
  4.平成25年度スケジュール ・・・ 略?
    1.WBS作成(中日程)
  5.平成26年度スケジュール ・・・ (平成25年07月〜10月)
     (以下 ・・・ 毎年度更新!)
    1.WBS作成(中日程)
    2.工数見積り
    3.コスト見積り ー> 予算案(平成25年10月〜11月)
    4.ICT調達計画案 ・・・ (平成25年10月〜平成26年03月)
    5.組織・人事案? ・・・ (平成26年01月〜平成26年03月)
2.制度・条例など改正と新規作成(平成26年度)
  1.個人情報保護条例改正
  2.情報公開条例、行政手続き条例など改正
  3.情報セキュリティポリシーなど修正
  4.(9条2項)個別条例など改正
  5.その他文書管理規定、マニュアルなど修正
<新規作成>
  *特定個人情報保護審議(承認)委員会の設置
6.特定個人情報保護指針
7.「評価書」作成(平成26年04月〜12月)−>(平成26年01月〜06月)
    1.しきい値評価書 ・・・ (平成26年01月〜03月)
    2.重点項目評価書 ・・・ (平成26年04月〜06月)
    3.全項目評価書 ・・・ (平成26年04月〜06月)
  8.その他
3.情報システムの改修と新規開発
  *PMO設置(PM体制確立、ベンダーとの役割分担) ・・・ 平成26年04月〜
  1.改修仕様の確認と移行作業確認(平成26年04月〜平成26年06月)
    1.住基システム
       住民コード(利用者コード)と「符号」の関連付け
       (「変換DB」 ー> 共通基盤) ・・・ 仕組みは要検討!
      1.住基システム異動処理(第1次)
        「番号」取得、入力系・検索系・出力系(住民票など)
      2.住基システム異動処理(第2次)
        「符号」取得、入力系 ー> 「符号」との関連付け
    2.宛名システム
       利用者コードと「符号」の関連付け
      1.住民登録外 「番号」&「符号」取得
      2.法人・事業所 「法人番号」&「符号」取得
      3.宛名DBの生成
    3.中間サーバ 利用者コードと「符号」の関連付け
      *導入・運用形態の決定
      1.提供情報のフォーマットの全国統一
      2.文字コードの全国統一
  2.9条関連事務(別表1、個別条例事務) <ー 「番号」付記事務
     ・・・ (平成27年01月〜09月)−>(平成26年07月〜平成27年09月)
    1.住基システム改修(第1次) ・・・ (平成27年04月〜09月)
    2.入力系・検索系・出力系システム改修 ・・・ (平成27年04月〜09月)
  3.19条7項(別表2)関連事務
     ・・・ (平成27年10月〜06月)−>(平成26年10月〜平成27年12月、平成28年01月〜 テスト)
    1.住基システム改修(第2次) ・・・ (平成28年01月〜12月)
      1.関連付けDB(「変換DB」)
      2.第1次改修
      3.第2次改修 ・・・ (平成28年01月〜12月)
        1.異動処理
        2.検索処理
        3.中間サーバへの登録更新処理
    2.税務・宛名システム改修
      1.宛名システム ・・・ (平成26年10月〜平成27年09月)
        1.住民登録外システム(データクレンジング作業含む。)
        2.法人宛名システム
        3.宛名システム改修と再生成
        4.中間サーバへの登録更新処理(フォーマット変換含む)
    3.「マイポータル」へのプッシュ型情報登録更新
       ・・・ (平成28年04月〜12月)
  4.人事・給与システム ・・・ 平成26年07月〜平成27年12月)
  5.その他
(以上)
<参照> WBS(大日程)
 https://docs.google.com/file/d/0B6x30LQ2y91KX2ppY1RMVHludU0/edit?usp=sharing
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
(以上)

 今回は、
2.制度・条例など改正と新規作成(平成26年度)
7.「評価書」作成(平成26年01月〜06月)
    1.しきい値評価
まずは、「しきい値評価」の実施(平成26年01月〜03月)について。
   −> その後、重点項目評価、全項目評価作業、
      そして、情報システム改修&開発です。

○「特定個人情報保護評価指針(中間整理案)」
  (地方公共団体・地方独立行政法人向け)
<目次>
第1 情報保護評価とは
1 情報保護評価導入の趣旨
2 情報保護評価とは
 (1)情報保護評価
 (2)Privacy Impact Assessment
 (3)本指針
第2 情報保護評価の評価軸・目的
1 情報保護評価の評価対象・保護対象
 (1)プライバシー保護
 (2)その他権利利益に対する保護
2(参考)個人情報保護法令遵守とプライバシー保護との差異
3 情報保護評価の目的
第3 情報保護評価の義務付け対象者
1 情報保護評価の義務付け対象者
2 対象者別指針
第4 情報保護評価の対象
1 総論
2 対象となるファイル
 (1)総論
 (2)システム用ファイル
 (3)手作業用ファイル
 (4)制度・施策
3 例外となるファイル
4 対象となる変更
5 情報保護評価の任意実施
6 評価書の単位
第5 情報保護評価の実施の仕組み
1 実施時期
 (1)総論
 (2)システム用ファイルに係る実施時期
 (3)手作業用ファイルに係る実施時期
2 情報保護評価の実施の仕組み
 (1)総論
 (2)地方公共団体等における承認者
 (3)1.しきい値評価
 (4)2.重点項目評価
 (5)3.全項目評価
 (6)しきい値評価書、重点項目評価書及び全項目評価書の公表
 (7)特定個人情報ファイル保有時点における情報保護評価書の確認
3 情報保護評価に係る違反に対する措置
 (1)情報保護評価の未完了に対する措置
 (2)情報保護評価書の記載に反する取扱いに対する措置
第6 関連制度との関係性
1 関連制度
2 1.プライバシーマーク
3 2.ISMS 適合性評価制度及び3.IT セキュリティ評価及び認証制度(JISEC)

添付資料
1 情報保護評価書(しきい値評価書)記載事項
2 情報保護評価書(重点項目評価書)記載事項
3 情報保護評価書(全項目評価書)記載事項
参考資料
1 地方公共団体等向け指針と行政機関等向け指針との差異(略)
2 情報保護評価の実施の仕組み
3 情報保護評価全体フロー
<以上>

 情報保護評価の目的は、1.事後的な対応にとどまらない、積極的な事前対応を行うこと。
2.情報保有機関が国民のプライバシー等の権利利益保護にどのように取り組んでいるかについて、情報保有機関自身が宣言し、国民の信頼を獲得すること。3.上記についての厳格な実施を担保すること。と言われています。
 情報保護評価の義務付け対象者は、・行政機関の長(情報提供ネットワークシステム運営機関及びマイ・ポータル運営機関を含む)・地方公共団体の長その他の機関・独立行政法人等・地方独立行政法人・地方公共団体情報システム機構(マイナンバーの元となる番号の生成機関)・情報提供ネットワークシステムを使用する事業者(大綱上の「関係機関」に相当する者)です。
 対象となるファイルは、1.システム用ファイル及び2.手作業用ファイルを対象とする。

○第5 情報保護評価の実施の仕組み
1 実施時期
(1)総論
 ・情報保護評価は、特定個人情報ファイルを保有する前に実施。
(2)システム用ファイルに係る実施時期
 ・原則として、システムの要件定義段階までに実施。
(3)手作業用ファイルに係る実施時期
 ・手作業処理の設計段階までに実施

2 情報保護評価の実施の仕組み ・・・ <参照1>
(1)総論
1.特定個人情報ファイルを保有しようとする場合は、しきい値評価を実施する。
2.しきい値評価の結果、プライバシー等に対する影響を与える可能性があると認められるもの。
   ⇒ 重点項目評価を実施する
しきい値評価の結果、プライバシー等に対する影響を与える可能性が高いと認められるもの
   ⇒ 全項目評価を実施する

(2)地方公共団体等における承認者
 地方公共団体等の実施する情報保護評価については、原則として、当該地方公共団体の設置する個人情報保護審議会等の諮問機関にて承認を受けることする。なお、その他の方法として、承認事務を他の地方公共団体に対し事務委託する方法や、他の地方公共団体と共同設置した機関等から承認を受ける方法なども考えられる。

(3)1.しきい値評価
ア しきい値評価の概要
・特定個人情報ファイルを保有しようとする場合は、一定の例外を除きすべてが情報保護評価の対象となる。
 義務付け対象者(行政機関の長、地方公共団体の長その他の執行機関、独立行政法人等、地方独立行政法人、機構及び情報提供ネットワークシステムを使用する事業者)は、情報保護評価として、まずしきい値評価を実施し、しきい値評価書を作成しなければならない。
・しきい値評価は、情報保護評価の実施レベルを、特定個人情報ファイルの取扱いが有するプライバシー等に与える影響度により振り分けるために行うものである。

イ しきい値評価の実施方法 ・・・ <参照2>
・情報保有機関は、添付資料1「情報保護評価書(しきい値評価書)記載事項(案)」に従い、しきい値評価書を作成しなければならない。
・情報保有機関は、添付資料1「情報保護評価書(しきい値評価書)記載事項(案)」に従い、しきい値評価書をもとに、当該特定個人情報ファイルが、
 1.しきい値評価のみで足りるのか、
 2.重点項目評価を実施すべきものなのか、
 3.全項目評価を実施すべきものなのか決定しなければならない。

・地方公共団体等はしきい値評価書を委員会に提出しなければならない旨を、委員会規則において規定することとする。
・地方公共団体等は、承認者に対してもしきい値評価書を提出することが望ましいと考えられる。
・地方公共団体等は、しきい値評価書を委員会に対し提出した後、しきい値評価書を速やかに公表しなければならない。

 (4)2.重点項目評価
 (5)3.全項目評価
 (6)しきい値評価書、重点項目評価書及び全項目評価書の公表
 (7)特定個人情報ファイル保有時点における情報保護評価書の確認

3 情報保護評価に係る違反に対する措置
 (1)情報保護評価の未完了に対する措置
 (2)情報保護評価書の記載に反する取扱いに対する措置

<参照>
 https://drive.google.com/?tab=wo&authuser=0#folders/0B6x30LQ2y91KQlNPTWh5d3R2V0k

平成25年08月08日

<参照1> 情報保護評価全体フロー
「地方公共団体・地方独立行政法人向け 特定個人情報保護評価指針素案 (中間整理)」より
http://www.cas.go.jp/jp/seisaku/jouhouwg/hyoka/pdf/sisin_chihou_sankou3.pdfPDF

<参照2> しきい値評価フロー
「地方公共団体・地方独立行政法人向け 特定個人情報保護評価指針素案 (中間整理)」より
http://www.cas.go.jp/jp/seisaku/jouhouwg/hyoka/pdf/sisin_chihou_siryou1.pdfPDF

上記のコラム購読のご希望の方は、右記の登録ボタンよりお申込みください。

登録はこちらから