HOME > U+(ユープラス) > 電子自治体の行政情報化ニュース > 自治体IT革命の今日、明日 第219回 「情報セキュリティ *ポリシーと監査* ガイドライン、その2『策定の経緯と個人情報保護法』」

U+(ユープラス)

U+のTOPへ

電子自治体の行政情報化ニュース

コラムニストの一覧に戻る

自治体IT革命の今日、明日
第219回 「情報セキュリティ *ポリシーと監査* ガイドライン、その2『策定の経緯と個人情報保護法』」

2018/12/10

 七日は24節気の「大雪」でした。“雪が激しく降り始める。山の峰々は雪をかぶり、平地にも雪が降る頃です。本格的な冬の到来で、動物たちも冬ごもりを始めます。年末に向け、お正月の準備も始まって何かとあわただしい時期でもあります。”

(前回より)
 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
〇目的
 情報セキュリティ対策全般の実効性を確保するとともに、情報セキュリティポリシーの見直しを行うことが重要であるが、そのための有効な手法となるのが「情報セキュリティ監査」 である。
〇策定の経緯
1.初版
 平成13年 3月(2001年03月):
 「地方公共団体における情報セキュリティポリシーに関するガイドライン」
 平成15年12月(2003年12月):
 「地方公共団体における情報セキュリティ監査に関するガイドライン」
2.第2版
 平成18年 9月(2006年09月):
  ポリシーガイドライン
 平成19年 7月(2007年07月):
  監査ガイドライン
を全部改定。
 平成18年 2月(2006年02月)に政府の情報セキュリティ政策会議は「第1次情報セキュリテ基本計画」を決定し、地方公共団体向けの重点施策として、地方公共団体における情報セキュリティ確保に係るガイドラインの見直しや情報セキュリティ監査実施の推進が掲げられた。
3.第3版
 平成22年11月(2010年11月):
  ポリシーガイドライン
  監査ガイドライン
を一部改定。
1.平成21年 2月に情報セキュリティ政策会議によって「第2次情報セキュリティ基本計画」が決定され、地方公共団体に関して、小規模な地方公共団体も含め、全ての地方公共団体において、望ましい情報セキュリティ対策が実施されることを目指し、対策の促進を行うこととされた。
2.平成22年 5月に情報セキュリティ政策会議によって「国民を守る情報セキュリティ戦略」及び「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針(第3版)」が決定された。
3.平成22年 7月に「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針対策編」が策定された。
4.第4版
 平成27年 3月27日(2015年03月):
  ポリシーガイドライン
  監査ガイドライン
の一部改定。
1.平成25年 6月に政府のIT総合戦略本部が策定した「世界最先端IT国家創造宣言」(平成25年 6月14日閣議決定、平成26年 6月24日改定)
2.平成25年 5月24日に成立し、平成25年 5月31日に公布された「行政手続における特定の個人を識別するための番号の利用等に関する法律(番号法)」
3.平成26年11月 6日に成立し、平成26年11月12日に公布された「サイバーセキュリティ基本法」
等の新たに成立した法令等を踏まえる。
5.第5版
 平成30年09月(2030年09月25日):、
  ポリシーガイドライン、
  監査ガイドライン
を改定。
 http://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000073.html
1.「新たな自治体情報セキュリティ対策の抜本的強化について(平成27年12月25日総行情第77号総務大臣通知)にて、地方公共団体でのセキュリティ対策の抜本的強化への取り組みが示された。
2.政府機関の情報セキュリティ対策のための統一基準、自治体情報セキュリティ対策検討チーム報告等を踏まえて、地方公共団体の情報セキュリティ水準の向上及び情報セキュリティ対策の抜本的強化が実施された。
〇意義と種類
 1.情報セキュリティ監査の意義
 2.自己点検と内部監査と外部監査
 外部監査の形態には、
  3.助言型監査と保証型監査
 情報セキュリティ監査では、
  4.準拠性監査と妥当性監査
〇監査ガイドラインとポリシーガイドラインの関係
1.監査ガイドラインの情報セキュリティ監査項目は、ポリシーガイドラインにおける対策基準に即して構成している。
2.ポリシーガイドラインを参考にして、情報セキュリティポリシー(情報セキュリティ基本方針及び情報セキュリティ対策基準)や実施手順書を策定して、情報セキュリティ対策を実施している。
3.情報セキュリティ監査は、情報セキュリティポリシーの実施状況を点検・評価するものであり、監査ガイドラインを参考にして、情報セキュリティ監査を実施する。
4.監査項目の設定においては、当該団体の情報セキュリティポリシーを踏まえて、監査テーマに応じた監査項目を情報セキュリティ監査項目から抽出することで、各地方公共団体が策定している情報セキュリティポリシーの内容と情報セキュリティ監査項目の対応付けや読み替えなどの工数を削減することができるようになっている。
5.監査実施においては、必要に応じて「JISQ 27002」なども参考にするとよい。

<参照>
情報セキュリティ監査ガイドライン(平成30年09月版)
 http://www.soumu.go.jp/main_content/000575053.pdf
 第1章 総則 1.4 本ガイドラインとポリシーガイドラインの関係(page7 図表1.2)
 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
(以上)

 策定の経緯は、前回お話しした通りです。
  平成13年 3月(2001年03月)に「地方公共団体における情報セキュリティポリシーに関するガイドライン」、平成15年12月(2003年12月)に「地方公共団体における情報セキュリティ監査に関するガイドライン」が策定されました。その後、平成17年04月(2005年04月)に「個人情報保護法」が全面施行されました。この法に合わせ、平成18年09月(2006年09月)にポリシーガイドラインが、平成19年07月(2007年07月)に監査ガイドラインが全部改定されました。

〇個人情報保護法
 個人情報の保護に関する法律は、個人情報の取扱いに関連する日本の法律。
 2003年(平成15年)05月23日に成立し、一般企業に直接関わり罰則を含む第4〜6章以外の規定は即日施行された。2年後の2005年(平成17年)04月01日に全面施行した。
 個人情報保護法および同施行令によって、取扱件数に関係なく個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、個人情報取扱事業者が主務大臣への報告やそれに伴う改善措置に従わない等の適切な対処を行わなかった場合は、事業者に対して刑事罰が科される。

・法の体系
<基本法>
第1章 総則(第1条―第3条)
第2章 国及び地方公共団体の責務等(第4条―第6条)
第3章 個人情報の保護に関する施策等
 第1節 個人情報の保護に関する基本方針(第7条)
 第2節 国の施策(第8条―第10条)
 第3節 地方公共団体の施策(第11条―第13条)
 第4節 国及び地方公共団体の協力(第14条)
<一般法>
第4章 個人情報取扱事業者の義務等
 第1節 個人情報取扱事業者の義務(第15条―第36条)
 第2節 民間団体による個人情報の保護の推進(第37条―第49条)
第5章 個人情報保護委員会(第50条―第65条)
第6章 雑則(第66条―第72条)
第7章 罰則(第73条―第78条)

・個人情報保護法制の体系
 個人情報保護法以外には、国の行政機関、独立行政法人などの法律そして地方公共団体などの条例が存在する。(個人情報保護法関連5法を参照。)

1.基本理念(第1章)
 高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする(第1条)。
 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない(第3条)。
・「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいう。 (法第2条1項)

2.背景
 個人情報保護法が制定された背景として以下の7つが挙げられる。
 1.情報化社会の進展とプライバシー問題の認識
 2.個人情報保護法制定の世界的潮流
 3.OECD理事会のプライバシー保護勧告
 4.地方公共団体の個人情報保護条例の増加
 5.EU一般データ保護規則(欧州連合指令) (注1)
 6.電子商取引におけるプライバシー保護の要請
 7.住民基本台帳法の改正による個人情報保護法制の要請 (注3)

(注1) EU指令
 1980年 OECDガイドライン(「OECD8原則」) (注2)
 1995年 EU指令(「EUデータ保護規則」)
(注2) OECD8原則
1.目的明確化の原則
 収集目的を明確にし、データ利用は収集目的に合致するべき。
2.利用制限の原則
 データ主体の同意がある場合又は法律の規定による場合以外は、目的以外に利用してはならない。
3.収集制限の原則
 適法・公正な手段により、かつ情報主体に通知又は同意を得て収集されるべき。
4.データ内容の原則
 利用目的に沿ったもので、かつ正確・完全・最新であるべき。
5.安全保護の原則
 合理的な安全保護措置により、紛失・破壊・使用・修正・開示など(脅威)から保護すべき。
6.公開の原則
 データ収集の実施方針などを公開し、データの存在、利用目的、管理者などを明示すべき。
7.個人参加の原則
 自己に関するデータの所在及び内容を確認させ又は異議申し立てを保証すべき。
8.責任の原則
 管理者は諸原則実施の責任を有する。

(注3) 住民基本台帳法の改正
 平成11年08月 住基法改正
 附則1条1項:「公布の日から起算して3年を超えない範囲内において政令で定める日(2002(平成14年)/08/05)から施行する。」
 附則1条2項:「この法律の施行に当たっては、政府は、個人情報の保護に万全を期するため、速やかに、所要の措置を講ずるものとする。」
 平成14年8月5日 住基ネット稼動

3.経緯
 汎用コンピュータの処理能力が向上したことにより、行政・民間が保有する膨大な個人情報を容易に処理することが可能となった結果、そういった個人情報データベース等からの個人情報漏洩によるプライバシー侵害への危険性、不安が増大していった。また、行政部外者による、行政機関に所属する公務員の個人情報取得およびその不適切な使用によって政策決定等への障碍可能性が公平性の観点から危惧されるようになった。1980年(昭和55年)にはOECD理事会で「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告」が採択されるなど、国際的にも個人情報の取扱いや積極的プライバシ ー権の保護が次第に重要視されるようになった。

 日本では、1988年(昭和63年)に、公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布された。1989年(平成元年)には、民間部門に対して通産省(現経済産業省)が「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を策定した。
 しかし「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」には罰則規定がなく、また民間部門を対象としたガイドラインには法的拘束力がないなど、個人情報の保護という観点から十分に機能しているとは言いがたい状況であった。

 さらに住民基本台帳ネットワークの稼動(2002年(平成14年))、Yahoo!BB顧客情報漏洩事件(2004年(平成16年))、TBC個人情報漏洩事件(2002年(平成14年))など多発する個人情報漏洩事件を受けて、2002年(平成14年)に個人情報保護法関連5法が国会に提出された。個人情報保護法は、個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないと定めているために、報道の自由を侵害するなどの理由から反対運動が展開され、一度廃案となったが、再度審議され2003年(平成15年)05月に成立した。

4.改正個人情報保護法(平成27年度改正)
 2015年(平成27年)に開催された通常国会(第 189回国会)において、同年09月03日に衆院本会議で「改正個人情報保護法」が与党や民主党などの賛成多数で可決、成立。

 蓄積された膨大な個人情報を「ビッグデータ」として企業が利用しやすくする一方、情報漏洩に対する罰則を新設した。
・取り扱う個人情報の数が5000件以下の「小規模取扱事業者」も法律適用の対象となり、「件数要件」が撤廃となった。
・「利用目的の明示」、「第三者提供の際の本人同意」といった個人情報を活用するにあたっての義務が細かく定められた。
・個人情報を復元できないよう「匿名加工情報」にするなど、一定の条件を満たすことで第三者に提供することも可能になるとされた。

〇個人情報保護法関連5法
 基本法制である個人情報の保護に関する法律(いわゆる個人情報保護法)を始めとした個人情報に関する日本の法律のことで、いずれも2003年(平成15年)に成立した。
 これは以下の五法を指す。
1.個人情報の保護に関する法律(個人情報保護法)
2.行政機関の保有する個人情報の保護に関する法律
3.独立行政法人等の保有する個人情報の保護に関する法律
4.情報公開・個人情報保護審査会設置法
5.行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律(整備法)

 次回は、その3『内部統制、改正法から
      −ITガバナンスと情報セキュリティガバナンス−』」について。

平成30年12月06日

上記のコラム購読のご希望の方は、右記の登録ボタンよりお申込みください。

登録はこちらから