フォト

ブログ内の記事検索

yosihiro.com

お薦めリンク

ブログ:ココログ

« 2011年6月 | トップページ | 2012年1月 »

2011年9月 1日 (木)

情報保護評価サブワーキンググループ(第1回)傍聴

社会保障・税に関わる番号制度の情報保護評価サブワーキンググループ(第1回)を傍聴したときのメモを掲載しておきます。
議事資料はこちら:

総じての感想は、まず、以前書いた「役人が役所言葉で書く、有識者から政府への提言書」の懸念そのものである。
この一連のワーキング・グループは、共通に同じ問題を持っている気がする。

さて、本題。

資料と見比べないと、なんのことだかわからないだろうが、このサブワーキンググループの第2回開催までに、まとめる時間が取れそうにないので、その場で取ったメモをそのまま掲載しておく。

傍聴メモだが、まず前半は、事務局からの説明を聞きながら、気になったことを書いておいた。
後半の委員意見で重複するものもあるが、まずは、委員意見を聞く前に取ったメモということで。

●情報連携基盤とマイポータルを単一欄にまとめてはいけない
●確認項目の範囲設定が必要ではないか
●確認内容はスパイラル的に仕上げるしかないのではないか
●情報保護とは何か?情報流出に偏っていないか
●システム技術評価をどこまで深堀するのか、そこまでできるのか
●パブコメで評価できるような業務内容の開示が現実的か
●環境影響評価はスクリーニング後の全件をパブコメしている。から参考にしたというが、それとPIAが同じでよいのか
●全件をPIA対象にするのは数的に非現実的というが、それは番号制導入にPIAをするのが非現実的というのと同義ではないのか
●最初の棚卸しが多数に及ぶのは必然、新規システムは少なくとも全件で、既存システムの棚卸しは順次実施して最終的には全件実施すべき
●個別に作られた基準を後工程で評価するというリアクション想定だが、最低基準を示すべきではないか、そのチェックリストを提出させるという情報提供とすべきではないか
●最低基準があれば事前承認は必ずしもではなくなり、最低基準遵守事項を義務化することが可能である
●最低基準を遵守させることにすれば、評価期間も事実上、プロジェクト実施者の枠内になる
●そもそも連携基盤で担保するので、保有機関側の実施義務内容は共通項が多いのではないか
例えばPCIDSSのように保管禁止などがあれば済む話しではないか
●設計時点から観て、事後のPIAの限界を補うために事前のprivacy by designが出てきている
●差異は、リスク軽減策例示と許容リスク拡大の例外審査に絞るかいなかは論点になろう
●委員が質問するのはおかしい。「役人が役所言葉で書く、有識者から政府への提言書」が改善されていない
●なお、ISMSは不要。NISC基準について事務局が触れたが同様にリスクマネジメントシステムは外枠

ここからは後半で委員の意見をメモしただけ。聞き取り間違いや、聞き漏らしがあるかもしれないが、こちらも、その場でのメモをそのまま掲載しておく。

●論点1と2について

新保委員


    PIAの必要性の確認
    リスク評価
    番号システムは大規模なので適切な措置が講じられているか、それは事前である必要があり
    第三者機関との関係
    PIAは第三者機関が定めるべき内容
    国が負うべき義務が適切に果たされているかを確認するためにPIAがある
    本サブWGの趣旨に上記を記載する

大谷委員

    目的の三論点はいずれも重要
    目的を実現をするための責任主体の明記が必要
    その他

新保委員

    番号法が対象だが、今後それ以外の行政評価に使えるようにするのか、
    それとも特化した議論とするべきか

●論点3について

宮内委員


    対象システムの範囲
    番号に係るシステムで資料を用意しているが、新保委員指摘のように拡大する可能性は未整理
    軽微はそもそもないのでは?
    →事務局:全件対象は現段階で厳しいと考えている

新保委員

    PIAは承認なのか、助言なのか
    助言ではないか
    システムについて各国は要約だけにして、事故報告の詳細は非公開事項がある

大谷委員

    参考資料4のフローの第二案でのパブコメ重視について
    情報セキュリティは非公開ではないか
    環境評価がすべて開示できるのと異なる点に注意が必要

玉井委員

    最初のスクリーニングで漏れたシステムはどうなるのか
    →事務局:PTAの報告書は必ず作成されるので、それを公開するか否かを決めてもよい

宮内委員

    パブコメで何をかけるのか。評価の粒度が重要ではないか

新保委員

    諸外国で承認がない理由は要確認
    →事務局:承認責任が問われるからかもしれない

玉井委員

    既存の監督権限との衝突に注意という意味は何か?
    →事務局:カナダの注意書きにあったので転記しておいた

●論点:フロー案の第二案について

宮内委員


    それぞれの論点を整理するとわかりやすくなる
    評価期間が現実的な期間でできるのかも想定した方がよい

新保委員

    いずれも第三者機関が決めることであり、現時点で明言できない
    第三者機関がいかに専門的かつ高度に評価するかの建て付け次第なのではないか

玉井委員

    判断材料をどの範囲でやるのか
    →事務局:守秘義務を課すので公開情報以外も要求して判断する
    論点: ?

大谷委員

    軽微かどうかについては類型があって、推奨事項があって、それを守るという手順などがあるのではないか


新保委員

    個人情報保護法制だけでは、そもそもだめではないか

●論点:4について

宮内委員


    諸外国の質問票は抽象度が高い、システム数からは詳細はできなくなることを懸念している

新保委員

    抽象的でよいかは委任度に応じている

大谷委員

    情報連携基盤を介さないときの手順の確認を入れなければならない

●論点:5について

新保委員


    自治体ごとに高低差が大きい
    住民基本台帳ネットでの運用課題を明らかにして改善すべき
    論点: 地方公共団体を番号法で義務付けるべきか

新保委員

    PIAの対象は行政システムであるから、地方公共団体を含めるべき
    番号法に基づくは別の課題だが、結果的に含まれる

宮内委員

    地方公共団体はPIA結果まで公開まであり、承認制の場合は、それは別枠
    条例で定めるべき

新保委員

    承認か助言がやはり重要

以上。

9月 1, 2011 | | コメント (0) | トラックバック (0)