第35回神奈川県情報公開・個人情報保護審議会審議結果

掲載日:2018年4月11日

審議結果

次の審議会等を下記のとおり開催した。

審議会等名称

第35回神奈川県情報公開・個人情報保護審議会

開催日時

平成28年9月12日(月曜日)午後2時から4時20分

開催場所

横浜情報文化センター7階 大会議室

出席者【会長・副会長等】

宇賀 克也【会長】、柏尾 安希子、塩入 みほも【副会長】、沼野 伸生、宮浦 陽子、森田 明、和久 晴雄
事務局(情報公開広聴課長ほか7名)

次回開催予定日

平成28年11月2日(水曜日)

所属名、担当者名

所属名 県民局くらし県民部情報公開広聴課
担当者名 百合川、上原

電話番号 (045)210-3720(直通)
ファックス番号 (045)210-8838
フォームメール(以下をクリックすると、問い合わせフォームがご利用いただけます。)

県民局 情報公開広聴課のページ

掲載形式

議事録全文

議事概要とした理由

 

審議(会議)経過

第35回神奈川県情報公開・個人情報保護審議会

 

1 個人情報の保護に関する法律等の改正に伴う個人情報保護制度における対応について(諮問)

 

2 特定個人情報保護評価書(全項目評価書)の見直しについて

 

3 個人情報取扱事務の登録等について

 

4 これまでの住基ネットのセキュリティに係る外部監査での指摘内容等について

 

5 平成27年度情報公開制度・個人情報保護制度の運用状況について

 

〇 会議記録

 

議題1 個人情報の保護に関する法律等の改正に伴う個人情報保護制度における対応について(諮問)

 

(宇賀会長)

はじめに、審議事項(1)「個人情報の保護に関する法律等の改正に伴う個人情報保護制度における対応について(諮問)」を御審議いただく。

本件は、知事から諮問があったものである。

それでは、事務局から本件諮問について説明をお願いする。

 

【事務局が資料1に基づき説明】

 

(宇賀会長)

ただいまの説明について、質問や意見があれば、発言をお願いする。

まず、目的規定のところはいかがか。

 

(沼野委員)

対応案の趣旨は理解したつもりだが、今回の個人情報保護法の改正の趣旨というものが、IT化の推進や、最近起きている大きな事件の関係などを踏まえていて、なおかつ個人情報を更に積極的に活用していくという趣旨で改正されたと理解している。

そのような意味で、個人情報保護法の改正の最後の段階で、活用の具体例のようなものを目的規定に書き込んだという理解をしている。

そうしたときに、説明では例示に過ぎないということで従前のままということだが、個人情報保護法の改正の趣旨からしたときに、本当にそれで良いのだろうかというのが気になっている。

行政機関個人情報保護法の方も、言ってみれば従来は有用性のところはあまり記述がなかったということだと思うが、それが今回の個人情報保護法の改正に沿ってこのような形に変えられたというわけである。

これからは従来の過剰反応的なことから脱して、積極的に活用していこうという大きな流れがある中で、この部分を、法とは異なる有用性というシンプルな言葉でまとめてしまうのは、果たしてそれで良いのだろうかと感じたので、その辺をどのように考えたらよいのかお聞きしたい。

ただし、個人情報保護法が全体にあって、その下に独立行政法人個人情報保護法や地方自治体の条例があるので、全体としての個人情報保護法の目的の中で謳われていれば、下の法令では規定しなくてもいいのではないかという整理もあるのかなとは思った。

 

(森田委員)

今回の条例改正では、2つの法律で採用された匿名加工情報あるいは非識別加工情報という具体的な目的に対応する形の制度が新たな産業の創出というところの実効性を持つものという位置づけをされていると思う。

そしてその重要な部分を今回の条例改正では見送っているという事情があるので、目的規定は変えないという配慮があったのだと思う。

やはり匿名加工情報の考え方というのは、法改正の中でかなり大きな要素だと思うので、これを条例レベルでいつまでもやらないでよいのか、あるいはそれほど急がなくてよいのかといったことはあると思うが、法律の趣旨として、条例も含めて今後のIT化社会に対応するため、あるいは新たな産業の創出のため、これらの制度を積極的に取り入れてそれに対応した目的規定を置くように持っていくべきであるという趣旨だと思う。

そして、それが切迫した話として地方自治体に求められているのか、あるいはしばらく様子を見ながらでいいという話なのかということがある。それによって、今後、次の段階での条例改正がどのようなタイムスケジュールで何をする必要があるのかという話になると思う。

 

(宇賀会長)

おっしゃるとおりである。

国の場合には、例の目的規定の改正が入ったのは、実は本当に終盤になってからであり、昨年の2月に与党の自民党と公明党の方から、与党提言という中で、このようなものを入れてほしいと言われて入ったという背景がある。IT総合戦略本部のパーソナルデータに関する検討会では、こうした目的規定の改正までは考えていなかったわけである。

これを受けて行政機関個人情報保護法、独立行政法人個人情報保護法も同じような形で目的規定の改正がされたわけだが、これに対して地方自治体でも直ちにこれに沿った形で対応すべきなのかというと、国も、中々それは難しい問題があるということは理解しているようである。

地方自治体が保有しているパーソナルデータで、実際に非識別加工情報に当たるようなもので利用できるものにはどのようなものがあるかというと、一番考えられるのは医療である。多くの地方自治体は公立病院を持っており、地方独立行政法人の形で病院を持っているところも少なくない。

それらの医療情報というのは、非識別加工情報という形で活用する余地がかなりあるが、実は医療情報については別途特別法の制定の動きが現在進んでおり、来年の通常国会には医療関係のパーソナルデータに関する特別法の法案が出る予定である。

その特別法は、国、独立行政法人、地方自治体、民間を含めた形になるので、そうすると地方自治体で一番活用の可能性のある医療情報に関してはそちらでカバーされてしまうことになる。

それ以外だと、東京都のように交通局を持っているところでは、都営の地下鉄や都バスがあるので、顧客の様々なパーソナルデータがあって十分活用の余地があるが、多くの地方自治体ではそれがない。神奈川県も交通局はないわけである。

それ以外でどのようなものがあるかというと、すぐに思い当たるものは出てこない。まず地方自治体の方で、非識別加工情報のニーズがどのくらいあるのかということを把握する必要がある。

仮に行政機関個人情報保護法や独立行政法人個人情報保護法と同じような枠組みにすることとした場合、国では情報公開請求があったときに、全部不開示になるものは対象外としていて、個人情報ファイルを単位にして、その中で、少なくとも情報公開請求があったときに全部又は一部開示できるものとなっているわけだが、地方自治体の場合には、一般的には個人情報取扱事務の登録簿があり、この中にはそもそも情報公開請求の対象とならないものもたくさんある。

そのような中で、どのようなものが対象になるのかということを洗い出すのにも相当時間がかかることもあり、かなり時間をかけて検討しないと難しいというのは国も考えている。

したがって、このような法改正をしたからといって、直ちに地方自治体が非識別加工情報の制度を行政機関個人情報保護法に倣って導入することまでは期待していないが、検討は必要と思う。

 

(森田委員)

了解である。

 

(宇賀会長)

他はいかがか。

 

(和久委員)

個人情報の有用性という観点から、私自身が聞いたものとして、人間ドック等の費用対効果について、医療機関によるデータ利活用の実例があったと思う。

こういった事情も今回の法改正に結びついていると感じるが、今日、医療以外の分野も含めて、新しい動向を含め教えていただきたい。

 

(宇賀会長)

医療の分野では、連結可能匿名化という形で色々な診療データ等を活用している。

医学の研究者の話を聞くと、連結可能匿名化の連結の可能性の部分を取ってしまうと、やはり有用な医学研究はできないということである。

そのため、今回民間部門では匿名加工情報の制度が入り、公的部門では非識別加工情報の制度が入ったわけだが、これを使ってやればよいかというとそうでもなく、匿名加工情報も非識別加工情報もどちらも特定の個人が識別できないようにし、かつ特定の個人情報を復元できないように加工したものなので、それで十分に医学研究が進むかというと、医学の研究者の間では、やはりそれでは難しいのではないかということで特別法を検討しているわけである。

そこでは代理機関という制度を創っていて、代理機関を認定し、そこに匿名加工しない形で情報を出し、そこから実際に外に出すときにはしっかりとした加工をすることになる。

特定の個人が識別できる形だが、しっかりとしたセキュリティ措置を取った上で有効に活用して医学の研究を進めていくことを可能にする法案が今検討されている状況というわけである。

 

(和久委員)

医療分野以外ではどのような状況なのか。

 

(宇賀会長)

行政機関個人情報保護法の制定過程においても、どのようなニーズがあるかについてヒアリングが行われているが、具体的な案というのはあまり出てこなかった。

ただし、経済界の方でも、実際にこのようなものがあるというデータを示してもらえれば、そこで色々なアイデアが出てくるだろうと言っている。

例えば、オートバイの事故などのデータを分析することで、このような形で様々な事故が起きているということをメーカーが安全性の改良のために使ったり、あるいは法務省で様々な外国人観光客のデータを持っているので、それらを活用して観光産業の振興につなげたりとか、そのようなことは考えられると思う。

 

(和久委員)

了解である。

 

(事務局)

沼野委員や森田委員からお話があったが、非識別加工情報の提供制度が新設されたことにより個人情報の有用性に係る文言が加えられているので、今後本県において非識別加工情報と同様の制度を導入する際に、再度この目的規定を改正する必要があるのかどうか検討したいと思っている。

また、本県における非識別加工情報の民間企業からのニーズについてだが、今のところまだ全庁的な調査というのは実施していない。

医療データに関してはニーズがあると思うが、それ以外だと、教育に関しても大きなデータを持っていると思う。

ただし、非識別加工情報の条件的なところで、新たな産業の創出等に役立つものであることが言われているので、果たして教育に関するデータがこういった目的に合致していくのかどうか検討しなければいけない。

 

(宇賀会長)

他はいかがか。

 

(沼野委員)

現在、直接イメージできるものは医療等だと思うが、基本的な大きな流れとしては、やはりパーソナルデータを利活用していくことが、我々の社会を豊かにしていくことであり、産業振興も含めたこれからの方向性だろうと思う。

そのような方向性は間違いないと思うので、1つの考え方としては、同じ文章かどうかは別として、そのようなものも包含した形で、今回の法改正の趣旨を踏まえた条例改正にするというのも考え方としてはあると感じた。

 

(和久委員)

日常生活の中で強く感じるのは、インターネットによる通信販売が非常に普及している中で、販売業者が、ある個人がどのような傾向を持った購入者かというデータを蓄積していくと結構膨大な情報になると思う。

様々な販売業者があって、これらが横断的に結合されてしまうと、個人の性向というものがかなり把握されてしまう。

有用性と危惧と両方の側面があると思うが、こうしたことについて、どのようなことが行われる危険性があるかなどを、県では研究をしているか。

 

(事務局)

和久委員がおっしゃられたようなビジネスのデータを我々が持っているかというと、皆無ではないと思うが、それを結合するような使い方は、個人情報保護条例が許さない限りは不可である。

民間の事業者が互いの販売データを結合し合うような使い方というのは、少なくとも地方自治体のレベルでは想定していないので、検討しているかという質問に対しては、やっていないという答えになる。

 

(和久委員)

了解である。

 

(宇賀会長)

他はいかがか。

 

(柏尾委員)

話を聞いていると、理念は産業振興などがあるが、加工する情報自体、どのようなことに使えるかというニーズが曖昧すぎるので、今の段階ではその部分は盛り込まないというこの対応で順当だと思う。

 

(宇賀会長)

他はいかがか。

確かにこの部分は国と同じ形で入れるということも、考え方としては十分あり得ると思う。ただし、個人情報保護法も行政機関個人情報保護法も独立行政法人個人情報保護法も、この目的規定が入った一番大きな理由、最大の理由というのは、個人情報保護法で言えば匿名加工情報の制度、行政機関個人情報保護法と独立行政法人個人情報保護法で言えば非識別加工情報の制度が導入されたことである。

それを念頭に置いて入れてあるというのは御指摘のあったとおりであるが、この部分については今回の改正で直ちに神奈川県として導入するというのは、時間的にきわめて無理があるので、かなり時間をかけて検討せざるを得ないと思う。

今回はこうした非識別加工情報制度を導入する条例改正は見送らざるを得ないが、今後それを導入するとなった段階で、その部分を端的に目的として表すという形で入れることが考えられると思うので、目的規定についてはそのような方向にしたいと思う。

それでは、次の個人情報の定義について。個人識別符号という制度が個人情報保護法の改正で導入され、行政機関個人情報保護法と独立行政法人個人情報保護法についても、個人情報の定義にこの個人識別符号という新しい概念が導入されている。県もこれに合わせた改正をしようということだが、この部分についてはいかがか。

 

(沼野委員)

私はこの定義の部分は県の案が適当だと思う。

 

(宇賀会長)

同じ情報が、民間や国や独立行政法人では個人識別符号ということで他の情報と照合せずに個人情報として取り扱われるのに、神奈川県ではそうではないということになると混乱を生じかねないので、今回の法律改正に合わせて条例も改正するということでよいと思うが、よろしいか。

 

(森田委員)

よいと思うが、国は、これはグレーゾーン解消のための明確化を図ったものだという説明をしている。

率直に言うと、従来よりも少し定義が広がるのかなという感じはあるが、おそらくこの辺りまで取り込まないと収拾がつかなくなると思うので、そういう意味で重要なことだと思う。

 

(宇賀会長)

それでは、案のとおりとしたいと思う。

次に3番目について。現在神奈川県の条例には機微情報についての規定があるわけだが、今回「要配慮個人情報」についての規定が個人情報保護法、行政機関個人情報保護法、独立行政法人個人情報保護法で導入された。

今まで神奈川県では機微情報として扱っていなかった情報であるが、国では要配慮個人情報とされているものがあるので、そのようなものも機微情報に加えるという改正案であるが、この点はいかがか。

 

(沼野委員)

基本的にこの案が妥当と思う。

1点聞きたいのは、このような形で機微情報の範囲を国の改正に合わせたときに、現行の約700件の事務について手続をしなければならず、半年程度はかかりそうという説明だったが、条例が改正されて施行されるのは、法と同時というわけではないという理解でよいか。

 

(事務局)

法の施行日が分からないということで、中々具体的なスケジュールをお示しできず苦慮していたところである。

個人情報保護法の施行日は、9月までの政令で定める日ということなので、一番可能性が高そうなのはやはり4月1日ではないかと想定している。その場合、審議会での諮問・答申を経て条例改正を行うスケジュールを考えると、どれだけ急いでも2月の議会で認めていただいて3月の末に公布ということが想定される。

そうすると、先ほど申し上げた半年かかるというのでは間に合わないことになり、個人情報保護法、行政機関個人情報保護法、独立行政法人個人情報保護法の要配慮個人情報の施行と、条例上の新項目の追加では差が出てしまうと思う。

ただしそれでも、個人情報保護法、行政機関個人情報保護法、独立行政法人個人情報保護法の要配慮個人情報の実際の取扱いの内容は、原則取扱い禁止という本県の機微情報の取扱いほど厳しくはない。

例えば、行政機関個人情報保護法では、要配慮個人情報を保有しようとする前に総務大臣に通知することとなっているが、これは本県においては、個人情報一般について毎回審議会で個人情報事務登録簿の登録や修正の報告を毎回行っているので、ほぼ該当することができているのではないかと思う。

また、本県においては個人情報は本人からの取得が原則であり、当然本人同意なしの取得ということもやっていない。

これらのことから、個人情報保護法、行政機関個人情報保護法、独立行政法人個人情報保護法での要配慮個人情報の取扱いと比べて、本県では一般的な個人情報についても、十分取扱いの重さとしてはクリアしており、法の施行と条例の施行の間にずれが生じる期間において、県の取扱いが国の水準を下回るということにはならないのではないかと思っている。

既に十分手厚い対応をしているので、国以下の取扱いにはならないのではないかというわけである。

 

(沼野委員)

了解である。

 

(宇賀会長)

他はいかがか。

 

(森田委員)

結論的にはこれはこれで進めていただくしかないと思う。

ただし、法では「信条」として規定されるが、この信条に関する情報というのは解釈上色々と問題があるかと思う。

これについては、今回のパブリックコメントのときに具体化されたものは示されなかったということがあって、今後も解釈上の問題を引きずりながらやらざるを得ないのかなと思う。

 

(宇賀会長)

それでは、ここについては、現在、神奈川県の条例では機微情報についての規定があるわけだが、それに含めていないもので今回要配慮個人情報とされたものは、神奈川県では機微情報として新たに追加して、その取扱いを原則として禁止し、また、現在既に使用されているものについては、これについての審議会の答申が出るまでどうしても時間がかかるので、その部分だけは改正条例の施行とこの部分の施行について一定期間経過規定を設けるという方向で了解いただいたこととする。

最後に4番目の小規模事業者に係る規定についてだが、ここについてはいかがか。

 

(塩入副会長)

資料1の諮問書(写)の3ページの4のアンダーラインのところだが、「47条から50条まで」の間違いではないか。

 

(事務局)

御指摘のとおりである。

 

(宇賀会長)

ここは訂正をお願いする。

他はいかがか。

 

(宮浦委員)

私のところは30人程度の中小企業だが、今までは、個人情報に関する規定は、私たちにはあまり関係がないのではないかという感覚があった。

もちろん給料など様々な人事的な事務も会社は行うが、法に動きがあったときなどに、指針等を公表するということは、私たちには関係ないと思っていたわけである。

今回このように改正されたわけだが、私たちのように小さな会社の代表者には、法が改正されても、中々ぴんとこない。

しかし、後々私たち企業にも影響してくるので、こういったことが決まった段階で、しっかりと、公表された指針を承知し、講習などで勉強させていただきたいと思った次第である。

 

(事務局)

今の御指摘のとおりで、新たに法の対象となる事業者については、制度の理解が大変重要だと思うので、私どもも普及啓発に努めていく。

 

(宮浦委員)

よろしくお願いする。

 

(宇賀会長)

今回新たに小規模事業者が対象になるということで、経済産業省も改正法についての情報提供は非常に重要であると認識していて、様々な団体の協力を得て普及啓発していきたいと言っている。

 

(宮浦委員)

了解である。

 

(宇賀会長)

他はいかがか。

 

(沼野委員)

私もこれで賛成である。

1つお聞きしたいのだが、今回の法改正の中で、大手通信教育事業者から情報漏えいがあったことがあり、提供に関してトレーサビリティをしっかりと取っていくというのも1つの大きな要素としてあるが、民間事業者はそれをどのように実践していくのかというのも、これから悩まなければいけないと思う。その提供の部分について、今回の条例改正につながっていくところはないのか。

 

(森田委員)

それは民間事業者の義務としてのトレーサビリティが個人情報保護法で定められるが、おそらく県としては、直接の監督対象ではないと思う。それをしっかりとやれているかどうかを、啓発などの様々な形で関わっていくのではないだろうか。

 

(沼野委員)

県がどこかから提供を受けるとか、あるいは県がどこかへ提供する場合に、そのトレーサビリティは民間事業者と変わらないのではないかと思ったわけである。

 

(事務局)

沼野委員が疑問に思われた、県が事業者から個人情報をいただくとき、あるいは渡すときの規制はどうなっているのかというと、トレーサビリティという言葉はないが、条例の規制はかかっている。

森田委員がおっしゃったように、事業者を律するのは個人情報保護法なので、個々の違反状況を県が把握できるかというと、それは難しい。

県の条例に事業者のトレーサビリティなどを規律する規定はない。

 

(沼野委員)

民間とのやり取りばかりでなく、例えば特定個人情報の情報提供ネットワークのようなものでも行っているが、県同士で情報交換をすることもあるわけである。

そのような部分については、トレーサビリティは関わらないのかという質問である。

 

(事務局)

補足させていただくと、お手元にある個人情報事務登録簿だが、資料3の5ページを御確認いただくと、植物防疫に関する事務というものがあり、植物に損害を与える重要病害虫が蔓延した場合に国と連携して植物防疫法に基づき対応するというものである。下から3つ目の枠に保有個人情報を提供する範囲及び提供する項目名というものが記載されている。

個別の個人情報をいつ誰に渡したという記載ではないが、この事務において個人情報をどこに提供しているのかということは、個人情報事務登録簿で一応追えるようになっている。

 

(沼野委員)

つまり、条例上規定するまでもなく、これがあるから大丈夫という説明か。

 

(事務局)

条例に則ってどこに出すということを明記しているものである。

 

(沼野委員)

これは受け取る場合の記載もあるのか。

 

(事務局)

今のところの3つ上を見ていただくと、個人情報の収集先及び収集の方法という枠がある。

原則は本人から収集し、例外的に本人以外から収集することになっている。

 

(沼野委員)

適正な取得をするということは、確認するまでもないということか。

 

(事務局)

この事務では、根拠に植物防疫法等があるので、法に基づいた適正な取得は前提となっている。

 

(沼野委員)

了解である。

 

(宇賀会長)

行政機関個人情報保護法の改正のときも、個人情報保護法のトレーサビリティの規定は導入しなかった。

これは1つには、行政機関というのは行政事務に必要な範囲でしか個人情報を保有できないので、取得も当然行政事務に必要な範囲に限られるということがある。

また、提供についても、目的内の提供か目的外の提供かということで、行政機関個人情報保護法第8条第1項のところで、4つの例外事由があり、それに該当しない限り目的外の提供はできないとなっていて、その限りでトレーサビリティは確保されているということで入れていないわけである。

 

(沼野委員)

了解である。

 

(森田委員)

これからは、中小企業も含めて事業者もこれと同じようなものを作って、一応の情報の流れを管理できるようにしておかなければいけないことになるという難しさが出てくると思う。

 

(宇賀会長)

この部分についてはこのような方向で了解いただいたこととする。

それでは、審議会としては本日の議論を踏まえ答申をまとめたいと思う。次回11月の審議会では答申案を中心に御審議いただきたいので、よろしくお願いする。

 

議題2 特定個人情報保護評価書(全項目評価書)の見直しについて

 

(宇賀会長)

次に、審議事項(2)「特定個人情報保護評価書(全項目評価書)の見直しについて」を御審議いただく。

本件は、番号利用法第27条、特定個人情報保護評価に関する規則第11条の規定に基づき特定個人情報保護評価書・全項目評価書の見直しを行うものである。

はじめに、事務局から特定個人情報保護評価書(全項目評価書)の見直し、第三者点検等の概要について説明をお願いする。

 

【事務局が資料2-1に基づき説明】

 

(宇賀会長)

次回審議会での諮問に向けて、事前に見直し箇所について説明と質疑を行う。

それでは、税務指導課と市町村課から説明をお願いする。

 

【税務指導課及び市町村課が、資料2-2、2-3及び2-4に基づき説明】

 

(宇賀会長)

ただいまの説明について、質問や意見があれば、発言をお願いする。

 

(沼野委員)

資料2-2の5ページに現行と見直し後があるが、今の説明だと、見直し後の形になる場合もあるし、現行のUSBを職員が持ち運びする場合も両方あるという理解でよいか。

 

(税務指導課)

基本的には、税務システムにおいても来年1月から回線連携だけにする予定だが、ここの記載は市町村課の評価書と書きぶりを合わせていることもあるので、媒体連携も載せているということと、それから、仮に税務指導課の分室に置いてある業務端末や専用線に問題があった場合、やむを得ず媒体連携せざるを得ないことも考えられるので、基本的には税務システムにおいては回線連携だけになるが、媒体連携を行うこともあり得るということで記載を残している。

 

(沼野委員)

了解である。

 

(宇賀会長)

それでは、所管課は、委員からの意見に基づき、適宜修正を行い、次回諮問に臨んでいただきたい。

 

議題3 個人情報取扱事務の登録等について

 

(宇賀会長)

次に、審議事項(3)「個人情報取扱事務の登録等について」を御審議いただく。

本件は、事務局から報告をお願いする。

 

【事務局が資料3に基づき説明】

 

(宇賀会長)

ただいまの説明について、質問や意見があれば、発言をお願いする。

特によろしいか。

特に異議がなければ、了承したいと思う。

 

議題4 これまでの住基ネットのセキュリティに係る外部監査での指摘内容等について

 

(宇賀会長)

次に、住基ネットのセキュリティに係る外部監査での指摘内容等について、市町村課から報告をお願いする。

 

【市町村課が資料4に基づき説明】

 

(宇賀会長)

ただいまの報告について、質問や意見があれば、発言をお願いする。

 

(柏尾委員)

今までも何年か続いて同じ指摘をされてきたかと思うが、毎年何かしらの対策は採られてきたのか。

 

(市町村課)

指摘を受けたところについては、まずどのような改善策を採るかということを必ず報告してもらい、その後にまた市町村課で取りまとめて全所属に返すという形で対応した。

しかし先ほど申し上げたとおり、審議会の意見をいただいて、過去5年間の指摘事項をまとめたところ、いまひとつ浸透していなかったという傾向が出たので、新たに研修の充実で対応したいと考えている。

 

(柏尾委員)

今までの対応よりも強化するのか。

 

(市町村課)

先ほども申し上げたが、セキュリティ研修というのは包括的な研修で、どのような仕組みになっているかという説明が主になっており、やはり自分の身近な体験に置き換えないと、ああそうなのかという感じで終わってしまうというところがある。

実際に自己点検なり管理者点検なりでチェックシートを作ってチェックさせているが、今こちらで想定しているのは、そのような実際にチェックする内容と、規程類がどのように関連しているのかといったところをしっかりと関連付けて、より身近に、実際に日々どのようなセキュリティの対策を取らなければならないのかというところを説明するようにし、引継ぎがしっかりとできていなかったとしても、何をやればいいかが分かるような研修内容にしていくということで改善を考えている。

 

(柏尾委員)

パスワードのことやIDを更新していないなど、内容が非常に初歩的というか、素人が見ても、またこのシステムの重大性を考えても、事故が起きたときに大事になるということに反して、指摘事項が非常に基本的なことなので、色々大変だと思うが、実効性のあることをできるのであればよいと思った。

 

(市町村課)

聞き流すようなものではなく、実際に日ごろどのようなことをしていかなければいけないのかということが分かるような伝え方をすることで対応したいと考えている。

 

(柏尾委員)

了解である。

 

(宇賀会長)

他はいかがか。

 

(和久委員)

引継ぎがしっかりしていなかったという指摘があるが、繰り返されている所属がいくつかあるということか。

 

(市町村課)

現在、外部監査は4年に1回あり、重複している所属は1年度分しかないが、今確認できているところでは、1つだけ同じ指摘を受けてしまった所属もあるので、そういったことは今後ないように気をつけていきたいと思う。

 

(和久委員)

了解である。

 

(宇賀会長)

他はいかがか。

 

(沼野委員)

このように整理していただくと状況が非常によく分かって、対策も決めていただいたので、ぜひこの対策を推進していただきたいと思うが、これは公開される資料だと思う。

そうすると、例えば、2の外部監査における指摘内容の1番上の管理簿のところで、ユーザID管理簿が最新の状況に更新されていなかったというのがあるが、これだけ読むと、把握されていないIDで誰かがアクセスしているという環境にあると読めてしまうが、住基のシステムで、管理されていない、認識していないけれども使えるIDがあり、誰か分からないが誰かがそれでアクセスしている可能性がある、あるいはそのようなことが許される環境であるというように読めてしまう。

おそらくそういうことではないのだと思うが、この辺は公開される情報なので、丁寧に説明した方がよいと思う。

これだけでは、IDが発行管理されていなくて、全く管理されていない知らないIDで誰か分からない人がアクセスしているという状況である。

3の傾向のところで、監査人は、監査全体を通じて情報セキュリティ対策はおおむね適切に実施されていると言っているので、おそらくそういうことだと思うが、そうだとすれば管理簿のところはより丁寧に説明しないと、これでおおむね適切と判断しているのかと思われてしまう可能性がある。

非常に整理されたので、分かりやすいし前進だと思うが、前にこれを議論したときにも話があったとおり、実際はもう少し丁寧に説明しないと誤解を受けてしまう。

もちろん県民全員がこれを見るわけではないが、興味のある人はこれを見ると、このような状況で住基をやっているのかと思ってしまう。

ウイルスの対策や、ログオン履歴を記録する設定になっておらず誰が使ったのかログも取られていない状況で使っていたのかなど、柏尾委員がおっしゃったように、このように非常に基本的なところで大丈夫なのかと誤解される可能性があると思うので、その辺を丁寧に書いて、あまり過剰な心配を持たれないようにした方がよいのではないかと感じた。

 

(市町村課)

これについては、できるだけシンプルに記載を省略して書いてしまっている部分もあり、御心配をかけてしまうような記載もあり申し訳ない。

もう一度確認し、もう少し丁寧な記載にするか、内部で伺いたいと思う。

 

(沼野委員)

了解である。

 

(宇賀会長)

他はいかがか。

 

(和久委員)

委託先の監督の不十分さというのがあるが、委託先というのは、数件あったうちの3件ということか。

また、委託先の監督が不十分というのは県民としては非常に不安が募ると思うがいかがか。

 

(市町村課)

この回数は年度と所属で整理をしている。

主な内容としては、定期的に、委託先でセキュリティ対策をしっかりとやっていることを報告するようにという取り決めを契約書に盛り込むという話があるが、その対応が十分でなかったということがあった。

現在は、対応されていると思う。

 

(和久委員)

了解である。

 

(宇賀会長)

本件は報告事項なので、この程度にしたいと思う。

 

議題5 平成27年度情報公開制度・個人情報保護制度の運用状況について

 

(宇賀会長)

次に、平成27年度情報公開制度・個人情報保護制度の運用状況について、事務局から報告をお願いする。

 

【事務局が資料5に基づき説明】

 

(宇賀会長)

ただいまの報告について、質問や意見があれば、発言をお願いする。

特になければ、本件は報告事項なので、この程度にしたいと思う。

以上

会議資料

資料1 [PDFファイル/1.56MB]

資料2-1 [PDFファイル/95KB]

資料2-2 [PDFファイル/320KB]

資料2-3 [PDFファイル/1.93MB]

資料2-4 [PDFファイル/1.78MB]

資料3 [PDFファイル/604KB]

資料4 [PDFファイル/82KB]

資料4 追加資料 [PDFファイル/158KB]

資料5 [PDFファイル/365KB]

 

このページの先頭へもどる

Adobe Readerのダウンロードページへ

PDF形式のファイルをご覧いただく場合には、Adobe Readerが必要です。Adobe Readerをお持ちでない方は、バナーのリンク先から無料ダウンロードしてください。

本文ここまで
県の重点施策
  • 未病の改善
  • ヘルスケア・ニューフロンティア
  • さがみロボット産業特区
  • 県西地域活性化プロジェクト
  • かながわスマートエネルギー計画
  • 東京2020オリンピック・パラリンピック競技大会
  • ラグビーワールドカップ2019
  • 神奈川県発、アート・カルチャーメディア「マグカル」
  • ともに生きる社会かながわ憲章
  • SDGs未来都市 神奈川県 SDGs FutureCity Kanagawa