○特定個人情報保護評価指針（内閣官房案）（2013年12月）（内閣官房　13/12/19）
http://www.cas.go.jp/jp/seisaku/bangoseido/kojinjoho/index.html#c2

　12月19日、内閣官房より「特定個人情報保護評価指針（内閣官房案）」が公表されました。一昨年11月の指針案と比べて明らかになった点を纏めてみました。

○自治体IT革命の今日、明日
　　第154回 「番号法実施へ向け、その4　『2−7−1　しきい値評価書作成』」
　http://www.uchida.co.jp/uplus/morohashi/20130819.html
と読み比べてください。

○代表的なQ&A

＜評価の単位＞
Q1．別表第二に記載されている事務や特定個人情報については情報保護評価を実施しなくてもいいのですか。
A1．情報保護評価は、特定個人情報ファイルを取り扱う業務・システムを対象とします。
　別表第二に記載されている情報提供ネットワークシステムを用いて行う特定個人情報の照会・提供は、別表第一を根拠として実施する事務において実施することになります。つまり、別表第二に記載されている情報の照会・提供をする事務は別表第一に規定されており、提供する特定個人情報は、別表第一を根拠として保有することとなります。
　したがって、情報保護評価は別表第二を評価単位として評価する必要はなく、別表第一を基本とした単位で評価を実施し、その中で別表第二の情報提供について評価することになります。

＜保護評価の実施時期＞
Q2．統合宛名システムについては、個別に情報保護評価を実施しなくてもよいということだが、開発は開始してもよいということですか。
A2．開発を開始しても結構です。ただし、統合宛名システムの設計によってプライバシーリスクが高くなる場合、各業務・システムにおいてもプライバシーリスクが高くなる恐れがあり、それに伴い各業務・システムでプライバシーリスクに対する十分な措置を講じていないと判断される恐れもあります。したがって、統合宛名システムを開発する前に、情報保護評価書様式を確認するなどして、プライバシーリスクに配慮した開発を行う必要があります。

＜第三者による点検＞
Q3．　他の地方公共団体の職員に第三者点検を実施させてもよろしいのでしょうか。
A3．第三者点検を行う者には、外部性・専門性が求められます。専門的な知識がある職員であれば可能です。

Q4．第三者点検を諮問機関以外で行う場合、セキュリティの問題があるため、一部を省略した全項目評価書で行うことはできますか。
A4．第三者点検については、一部省略したもので行うことは原則認められません。法令上守秘義務を課せられた者に点検してもらうか、秘密保持契約を締結した者に点検してもらうことが考えられます。

「しきい値評価書」
＜対象人数＞
Q5．業務・システムが、統合宛名システムにアクセスし、宛名ファイルから個人番号を参照できる場合、「対象人数」はどうなりますか。
A5．宛名システムから個人番号を参照できる業務・システムについても、宛名ファイルとして保有する全ての特定個人情報の人数が対象人数となるわけではなく、その業務・システムにおいて経常的に取り扱う全ての特定個人情報ファイルに含まれる個人番号の数となります。

＜取扱者＞
Q6．　しきい値評価の「特定個人情報を取り扱う職員・外部委託先の人数」にいう「取り扱う」とは、実際に取り扱っている人の数ですか。
A6．特定個人情報を取り扱う職員・外部委託先の人数とは、実際に取り扱っている人の数ではなく、特定個人情報にアクセスすることが可能な人の数のことです。

＜漏えい等の事故＞
Q7．特定個人情報の「漏えい等の重大事故」の定義は何ですか。
A7．故意による又は101人以上（職員以外）の特定個人情報の漏えい・滅失・毀損となります。ただし、配送事故や盗難などは除きます。

「重点項目評価書／全項目評価書」
＜情報の利用＞
Q8．「情報の利用」と「情報の移転」の違いが分かりません。
A8．「情報の利用」とは、機関内において、当該利用目的のために特定個人情報を用いて事務を行うことです。したがって、複数の機関が当該利用目的で「情報の利用」を行うことはあり得ます。
　一方、「情報の移転」とは、機関外へ特定個人情報を渡すこと、又は機関内であっても、当該利用目的以外の目的（移転先の利用目的）のために特定個人情報を渡すことです。

＜情報の移転（委託以外）＞
Q9．情報の移転に、個人番号を用いず宛名番号を用いた既存システム間連携も記載する必要がありますか。
A9．個人番号を含まない、宛名番号と個人情報のみでは、特定個人情報の提供・移転にあたりませんので、「情報の移転」に記載する必要はありません。
なお、個人番号とともに提供する場合は、特定個人情報の提供・移転となり、記載していただく必要があります。

以上

　過去の指針案と今回の指針での大きな解釈上の違いは、「しきい値評価書」＜対象人数＞Q5．です。宛名ファイルの数ではなく、業務システムで扱う人数です。
　・・・　＜参照　しきい値判断フロー＞

○特定個人情報保護委員会
特定個人情報保護委員会が本格スタート　第1回委員会開催（日経BP　14/01/07）
http://itpro.nikkeibp.co.jp/article/NEWS/20140107/528262/?ST=govtech

略
　委員会は2014年3月までに、国の行政機関や地方公共団体が、特定個人情報の漏洩の危険性や影響に関して評価などを行う特定個人情報保護評価の委員会規則や指針を策定。
　一方、内閣官房社会保障改革担当室の向井治紀内閣審議官は、民間企業がシステム改修に必要となる年金や源泉徴収などの業務に関わる政省令について、関係省庁を含め年度内には、閣議決定を前にある程度の段階でパブリックコメント(本年01月24日よりパブリックコメントが募集されております。）を募集して明らかにし、2014年度から改修の検討ができるようにしたいとしている。
略

平成26年01月30日

＜参照＞しきい値判断フロー