第50回神奈川県情報公開・個人情報保護審議会審議結果

掲載日:2019年10月24日

審議結果

次の審議会等を下記のとおり開催した。

審議会等名称

第50回神奈川県情報公開・個人情報保護審議会

開催日時

令和元年9月17日(火曜日)午後2時00分から午後3時50分まで

開催場所

神奈川自治会館8階 801会議室

出席者【会長・副会長等】

伊部 智隆、小向 太郎、塩入 みほも【副会長】、沼野 伸生、人見 剛【会長】、森田 明、湯淺 墾道、脇屋 英子、和久 晴雄
事務局(情報公開広聴課長ほか6名)

次回開催予定日

令和元年11月18日

所属名、担当者名

所属名 政策局政策部情報公開広聴課
担当者名 江成

電話番号 (045)210-3720(直通)
ファックス番号 (045)210-8838
フォームメール(以下をクリックすると、問い合わせフォームがご利用いただけます。)

政策局 情報公開広聴課のページ

掲載形式

議事録全文

議事概要とした理由

 

審議(会議)経過

第50回神奈川県情報公開・個人情報保護審議会

1 個人情報取扱事務の登録等について

2 住民基本台帳法施行条例に規定する事務の追加について(諮問)

3 個人情報保護制度の見直しについて(諮問)

4 平成30年度情報公開制度・個人情報保護制度の運用状況について

5 平成30年度特定個人情報保護評価の実施状況及び特定個人情報保護評価の一定期間経過後の評価の再実施について

6 情報公開・個人情報保護審議会の運営について

会議記録

1 個人情報取扱事務の登録等について

(人見会長)
 はじめに議題の1、個人情報取扱事務の登録等について審議いたします。事務登録簿の新規登録等について事務局から説明をお願いします。

【情報公開広聴課が資料1に基づき説明】

(人見会長)
 ただいまの説明について、何か質問や意見がありましたら、発言をお願いいたします。よろしいでしょうか。異議がないようですので、当審議会として特段の意見はないものということにさせていただきます。

2 住民基本台帳法施行条例に規定する事務の追加について(諮問)

(人見会長)
 それでは続きまして、審議事項の2住民基本台帳法施行条例に規定する事務の追加について審議していただきます。
 本件は知事からの諮問事項となります。
 住民基本台帳法で定める本人確認情報の保護に関する案件の事務局は市町村課となります。それでは本件諮問について説明をお願いいたします。

【市町村課が資料2に基づき説明】

(人見会長)
 ありがとうございました。ただいまの説明について、委員の皆様方から質問や意見がありましたら発言をお願いしたいと思います。

(小向委員)
 基本的な確認ですが、基準1の住民の利便のところで、迅速ということが書かれていますが、現在どのぐらい時間がかかっているのかを教えてください。

(事務局)
 まず住民票の公用請求となると、監査事務局は書類での手続に何日か要しているので、それが市町村課にある端末を操作すればすぐ終わるということになり、その数日が縮まるということになります。

(小向委員)
 端末上ですぐ処理ができるようになるということですね。わかりました。

(伊部委員)
 仕組が分かっていない部分もあるのですが、これは市町村課の業務端末を監査委員が直接見て利用するのか、監査委員に所属している事務局が見るのか、どちらになるのでしょうか。

(事務局)
 事務局の職員を想定しています。

(伊部委員)
 事務局の職員が見て、監査委員がその報告を受けると、そういう流れですか。

(事務局)
 現在の住民票の公用請求でも同じようにやっており、その流れは引き継がれます。

(湯淺委員)
 住民が実際に住民監査請求をするときの請求書面の様式を確認しました。今回の提供事務では、住民監査請求をした人の「生存」それから「氏名」と「住所」の他、「生年月日」も確認するということになっていますが、理由は何でしょうか。これは様式にはないですよね。

(事務局)
 はい。「生年月日」は未成年の場合は代理人の同意が必要となりますので、成年か未成年かの違いを判断するために必要となります。

(湯淺委員)
 それはしかし現時点で請求書の様式にはないので、現時点での窓口の手続はどのようなフローなのでしょうか。

(事務局)
 公用請求した住民票記載の生年月日で確認しています。未成年の場合は代理人の同意のもと書面を出すことになります。

(湯淺委員)
 なるほど。それを今度、住基端末から確認するということですね。

(人見会長)
 四つの基準での説明で特に、これが足らないのではないかという異議はないようです。事務局のほうで答申案を用意しているので、それを配布して御検討いただきたいと思います。

【市町村課が答申案を配布し朗読】

(人見会長)
 ただいまの質疑で四つの基準について、特に異議がなかったと思いますので、審議会として、今読み上げていただきました案のとおり答申するということにしたいと思います。事務局は手続を進めてください。

3 個人情報保護制度の見直しについて(諮問)

(人見会長)
 それでは次に、議題の3、個人情報保護制度の見直しについて審議いたします。
 これは条例第7条、個人情報取扱事務登録関係と、条例第10条オンライン結合制限関係について、知事から諮問を受け、前回の審議会で諮問内容を確認し、一通りの審議を行ったところです。
 これを受けて事務局が資料3-1として、答申案を準備しておりますので、本日は答申案について審議していただきます。
 事務局は前回審議したことの概要を報告いただいた上で答申案を読み上げていただきたいと思います。

【情報公開広聴課が資料3-2に基づき説明し、答申案(資料3-1)を朗読】

(事務局)
 少し補足させてください。今年度は従来から申し上げておりますとおり個人情報保護条例の定期的な見直し作業の時期に当たっております。
 今回第7条と第10条の改正について諮問させていただきましたが、実は事務局のほうでこれ以外の条項についても見直し作業を行っております。
 このたび見直し作業が終了し、第7条と第10条のこの改正に伴う技術的な改正、これ以外については改正不要といたしましたので報告させていただきます。

(人見会長)
 以上の説明及び答申案について御意見御質問がありましたら、お願いいたします。

(沼野委員)
 確認的なところですが、4ページに情報セキュリティ対策の詳細ということで、事務局の考えの欄の最後に、一般に公開している逐条解説に、セキュリティポリシーと情報セキュリティ対策の詳細を書き込みたいと書いてあります。
 実際の答申案の2ページ目ですが、情報セキュリティポリシーを重視して情報セキュリティ対策に万全を期すということを明確にするということで、要は具体的なセキュリティ対策はもう刻々と変わってきますし、あまり公開すべきものでもないということなので、詳細を書き込むというより、逐条解説も先ほどの答申案のところの書きぶりのように、セキュリティポリシーの順守と情報セキュリティに万全を期すと、こういう書きぶりになりますと、こういった理解でよろしいでしょうか。

(事務局)
 書くことによって、いわゆるブラックボックスにしていたものが明らかになってしまい安全面で逆効果になるわけです。御指摘のとおりだと思います。しっかりと情報セキュリティ対策を行うといったことを書いていく。詳細はあまり書き込まないということになろうかと思います。

(森田委員)
 答申案自体については今までの議論を踏まえて、苦心して作っていただいたと思いますので、このとおりでいいのではないかと思います。
 ただ、今後の課題として少しお話をしておきたいと思いましたのは、高度情報化社会ということで、個人情報保護制度も新しいものになっていかなければいけないと思いますが、もともと個人情報保護制度は個人情報の利活用のむしろ基盤になるものであり、ぶつかるものではないはずです。なので、今の時代積極的に個人情報を利用するというのであれば、法制度を緩めるというよりは、それに合った形でのチェックシステムと言いますか、そういったものを考えていかないといけないのではないかと思います。
 今回の条例改正も、そういう意味での一つの転換期かなとは思うのですが、その上での今後の課題として、現在番号法で行われている特定個人情報保護評価という手続があります。今日もこのあと議論することになるのですが、あの制度は別に番号法だけの制度ではなくて、いわゆるPIAと言いますが、プライバシー影響評価という考え方があり、その一つの現れです。
 番号法の制度設計に当たられた、水町さんという弁護士さんがいますが、彼女が書いた本を最近読みました。そうすると、今の特定個人情報保護評価自体についても、まあ問題はある、ということも言っておられますが、むしろあの法律だけではなくて、本来もっと広く色々な場面で、影響評価をするものとするべきだということを提示されております。
 自治体においてもいくつか試みがなされているようですので、そういった考え方を取り入れていくということを今後考えていく必要があるのではないかと思っています。
 私は今回、答申等に入れるのは時期尚早かなと思いましたが、それは、やはり今実際に行われている特定個人情報保護評価というのが、色々な意味で十分なものではないからです。
少し難しくなりすぎているということもありますが、やはりやり方をもっと工夫する必要があるのではないかと。
 水町さんの本などを読むと、あるいは実例を見ると、もっと積極的に、こういうシステムを作ることで、こういうふうに役に立つのです、そのためにこういう情報が使えます、そのためにこういうセキュリティをやりますということをですね、積極的に打ち出していって理解をしてもらうという、もっとなんといいますか、ポジティブな制度というのが本来は望ましいのではないかと。
そういったことが、今後どのように展開していくかですね、状況を見ながら、それを果たして個人情報保護制度に取り入れられるのかどうかといったことを将来的には検討していく必要があるのではないかというふうに思いますので、そのことだけ申し上げておきたいと思いました。

(事務局)
 今の森田委員の御提案についての、今現在の私共の考えということでご承知いただければと思います。
 まず情報共有のために申し上げますと、森田委員が御参考になさった水町先生の本を確認させていただきました。その要点は次のようなものでした。
 個人情報の取扱いについて具体的な説明をして住民の理解を得る、そのことによって住民の信頼の確保を得るということ。
 それから積極的な事前対応。職員の意識啓発・意識向上による個人情報保護のアピールと、こういった点が挙げられるのかと思います。
 水町先生は姫路市の事業に深く携わっていらっしゃって、姫路市の事業で今御提案のあったことを行われていると伺っています。
 姫路市の事業を参考までに申し上げますと、姫路市は市町村ですので住民に直結した色々な事業を行っています。例えば住基であったり、あるいは国民健康保険といった住民の情報、それを事業ごとにこれまで有していたと。
 それを一つのデーターベースにまとめて、それをあくまでも内部で活用すると聞いておりますが、住民と施策のために、統計情報として加工して市の内部で今後の施策の活用にすると、そういった事業を姫路市は行うとしています。
 その事業のために、今森田委員から御提案のあった、いわゆる情報保護評価、PIAに近いものをやると伺っております。
 ただ姫路市については一方で、そのためだけにその利活用前提のために、それを使われると伺っております。それ以外の事業にとりあえず、それ以外の事業に使うというわけではないということです。
 それで、今、先ほど私が申し上げた点について、実は本県でもその情報保護評価という形で、その一つのスキームではないのですが、今実際に行っているということが一つあるのです。
それは何かというと、これまで議論していただいた第7条の個人情報事務登録簿、これはまさに住民の信頼を得るためのツールなのかなと思っております。
 これこれこういうことで個人情報を扱っていますよ。こうしたものごとに使いますよとうたっている。
 それからもう一つは、何度も説明してきましたように情報セキュリティポリシーに基づく様々な情報セキュリティ対策、例えばシステムを開発する際には、事前に調書を提出して、セキュリティ担当のチェックを受ける。あるいは外部の監査を定期的に受けると。
 そういったことを実はやっているのですね、それを利活用事業だけじゃなくて全ての個人情報を取り扱う事務にやっているということで、今現在この集約した形で改めてやるということは少し負担があるかなと考えているところです。

(森田委員)
 県の方も同じような発想で取組をされているということですので、それはそれで認識を新たにしましたし、結構だと思います。
 その辺をこの後、どのように整理していくのか、あるいは県民に対するアピールの仕方をどうするのかといったことも引き続き検討していただければということです。

(事務局)
 御意見ありがとうございました。

(湯淺委員)
 私自身特にこの答申そのものに反対ということではないのですが、1点だけ。資料の3-2の論点整理表のところで、1ページの電子計算機処理の有無の欄を取るということについて、私も今時この欄を取ったからといって意味はないとは思うのですが、事務局の考えとして、「なお実務においては」の部分ですね、例えば個人情報が記載された場合、紙であろうが電磁的記録であろうが自己情報の開示請求の対象になるので、その意味では登録簿の電子計算処理の有無の欄がなければ請求人が不都合を被るとはないという部分で、まあそうなのかもしれませんが、そもそも論としておそらく電子計算機処理の有無欄のチェック欄を作ったのは、かつて国の旧行政機関個人情報保護法がマニュアル文書を対象外にしていて、それに対して神奈川県ではマニュアル文書もきちんと対象としますという意味合いもあって、こういう欄を作られたのかなと推察されます。
 そうすると、個人情報の媒体が紙であろうが電磁的記録であろうが開示対象になるので、別に電子計算機処理の有無欄を作る意味がないのだと言うことに若干、最初の目的を矮小化するおそれもあるかなという気がしなくもないです。別にこのままでも結構ですが、若干気になったということで、意見だけ申し上げておきます。

(事務局)
 今の御意見は、「元の気持ちを忘れるな」という意味で捉えるのが相当かと思いますが、当初から、神奈川県は国に合わせて公開対象とか請求対象とかを決めていたのではなく、その媒体がどんなものであろうが、それは行政文書として使っているということは変わってないということで、表現については未熟なところ、至らないところがあったかと思いますが、考え方を矮小化するとかそういったことには、結果としてはなっていなかったのではないかと考えます。

(湯淺委員)
 その点をしっかり踏まえていただいているのであれば結構です。

(塩入副会長)
 オンライン結合の定義についてのところですが、答申内容云々ということではなく、現状事務局のほうでどのように考えているのかなということをお尋ねしたい。
 資料の3ページですが、現状の定義が「実施機関以外の者」が「随時入手し得る状態」にすることとなっている。そうすると、この定義のもとではマイナンバー系の情報提供ネットワークシステムが非該当となる。従って、この非該当となるようなものがないように、今後この定義について検討していく、ということが書かれているのですが、そもそもの議論の始まりは、ホームページに掲載されている情報を県民が自宅のパソコン等でアクセスして入手するというケースをオンライン結合としてわざわざ審議会にかける必要はないですよね、というところだったと思うのです。
 そうすると、その「ホームページに掲載されている個人情報を県民がPCから入手する」場合については、今のようにオンライン結合の定義に含めた上で対象外とするという取扱いにするのか、それとも、もとから定義から外すような形で考えていくのか。どちらなのでしょうか。

(事務局)
 今の我々の運用から考えると、塩入副会長がおっしゃったものはオンライン結合に該当します。

(塩入副会長)
 該当するとした上で、それについてはどういう扱いになるのでしょう。それも、ここで言う「必要な保護措置」を講ずるという条件で一緒にするのですね。

(事務局)
 オンライン結合の定義として、県の実施機関が所有する電子計算機がある。一方でその実施機関以外の者が所有する電子計算機がある。それが通信回線で繋がっていて、かつ、相手方が常時好きな時に情報を取れるものをオンライン結合と定義していたのですが、県のホームページにいつでもアクセスができ、それが見えるという意味でオンライン結合であったのです。しかし、ここに書いてあるように例えばマイナンバーのシステムですが、これをなぜオンライン結合から外しているかというと、マイナンバーに関する照会とは、言ってみれば電子メールのようなもので、一旦、マイナンバーの関係の事業を管理するところに照会し、照会先がそれを提供するしないを判断した上で提供するといった作業が入っています。だからこれはオンライン結合じゃない、そのような整理をしてきたのです。
ただ、それでいいのかという問題意識が我々にありました。
 今回の改正にあたっては、要は電気通信回線を通じてそれが随時であろうが随時でなかろうが、個人情報を送信するという仕組があるのであれば、それについては全て情報セキュリティ対策をしっかりやりなさいという形でやりたい、というのがこの趣旨なのです。
 ですから、これはセキュリティ対策を、言ってみれば高める方向での改正という意味と捉えていただければと思っております。

(塩入副会長)
 今までだと審議会に諮る必要があったから、ホームページに掲載されている情報にアクセスして個人情報入手する場合はどうするのか、という議論があったけれども、審議会に諮る必要はなくなるからあえてそこはもうオンライン結合の定義を広げてしまっても構わないということですか。

(事務局)
 オンライン結合というか、個人情報を電気通信回線を通じて送受する仕組、そういう仕組全般に対して情報セキュリティ対策をしっかりとやりなさいという形にしたいということなのです。
 だから、従前のオンライン結合という定義は言ってみれば捨てるわけですね、もっとその幅広いものを対象にしたいということです。

(塩入副会長)
 その定義になって、その概念の中に含まれるものはもう少し広がるということですね。

(事務局)
 そういうことです。

(塩入副会長)
 あともう一つ、形式的なことですが、今まで何か条件を付けるときは、なお書ではなく、ただし書をつけていませんでしたか。
 なお書というのは補足で、ただし書だと条件というように、若干意味合いが違うのかなと思いますので、その方が条件としての意味合いが明確になるのではないでしょうか。

(事務局)
 なるほど。それではここはただし書にいたします。

(人見会長)
 1と2両方ですね。

(小向委員)
 答申の方針についてはよろしいかと思うのですが、この2の方がコアになっていると思います。これを素直に読んでいくと、第10条は第1項の要件をきちんと書いた上で、第2項、第3項は削除するという内容に読めるのですが、そういうことでしょうか。
 先ほどの議論は、オンライン結合の定義の話とそれに何を要求するのか、要求事項といったものがごっちゃになっている感じがしました。要するに、今オンライン結合と言っているものを、スタンドアロンではないよというぐらいの意味に書き換えた上で、それには十分な保護措置を講じなければならない、という条文になるという理解が正しければ、もう少し簡単な書き方ができるのではないかという気がいたしましたが、まず私の理解が正しいかどうか教えてください。

(事務局)
 おっしゃるとおりその第2第、項3項は基本的には削除の方向になろうかと思います。ただ、これまでの7月ないし5月の議論を踏まえた上で審議会から意見をいただいたものをこちらに落としているということになります。

(小向委員)
 そうなのでしょうね。現行の条文を元に色々な意見を言っているので、少し分かりにくい感じがするなと思いました。
 審議会への諮問を不要とするような条例第10条の規定を改正するというのは、素直に言えば第2項、第3項は削除します。その替わり第1項の要件を明確にしますということですよね。

(事務局)
 7月の審議会の際にも申し上げたのですが、こちらの審議会には考え方について諮問したいということで、議案になりますと、それは県議会の方の専権になりますので、そういったことについてはあまり触れないでおいたということです。

(小向委員)
 分かりました。ただ方針としても若干分かりにくいなという感じを持ちました。議論を聞いてないとわからないですね。
 諮問は不要になります、その替わりにオンライン結合については要件を明確化し、要求事項も明確化しますということがすっと読んで取れないように感じました。
 私は前回欠席し、議論に参加していなかったのでその経緯も正確に分かっていないのかもしれませんが。
 ただ、議事として残していただければ、この内容で別に異議はないです。念のため確認をさせていただきました。

(人見会長)
 今、小向委員がまとめていただいたことに、多分条文としてはなるのでしょう。ただ、「条文を削除する」などの表現は議会の権限を損なうと。

(小向委員)
 ただ、諮問は不要にして要件は明確にするという書き方が最初にあったほうが分かりやすいという気はします。まあ、そう書いてあると言われれば、そうかもしれませんね。

(事務局)
 今後のアドバイスとして、御意見をいただきます。

(湯淺委員)
 先ほどの塩入副会長から発言があった件に関連してということで、今後そのオンライン結合の定義とその内容を再検討されるときに1点、問題となり得るものがあります。神奈川県もソーシャルメディアのガイドラインがありますが、基本的に自分のほうにアカウントの管理権限があるものと、リツイートされたものなどこちらに管理権限がないものとで一応線引きをしていると思います。
その時に、すでに御案内かもしれませんが、大阪府がフェイスブックの管理権限を止められたという事例が現実に発生しています。詳細は不明ですが、府の管理者の人が代わったら不正行為とみなされてアカウントをロックされてしまった、管理できなくなったという事例が現にあるので、管理権限がある、ないで単純に線を引くというのでは割り切れない事例も今後は出てくるのかなと。

(事務局)
 大阪の事例は把握しておらず不勉強で申し訳ございません。
 そのあたりも研究して今後のありようを考えていきたいと思います。

(人見会長)
 この議題は数か月かけて検討してきましたが、今日が最後のまとめになります。
実際の条文の改正だけではなく、もっと将来的な点について、森田委員、湯淺委員から貴重な御指摘がありましたので、その点についても事務局はぜひ受けとめていただきたいと思います。
 それでは、先ほどいただいた資料3-1の答申案について、塩入副会長からの御指摘がありましたが2ヶ所の「なお」を「ただし」に改め、その案のとおり、答申として取りまとめるということに決したいと思います。
 では事務局は、これで手続を進めていただきたいと思います。

4 平成30年度情報公開制度・個人情報保護制度の運用状況について

(人見会長)
 それでは次に報告事項になりますが、平成30年度情報公開個人情報保護の運用状況についての報告をお願いいたします。

【情報公開広聴課が資料4に基づき説明】

(沼野委員)
 今、教育委員会での事故の話をいただいたのですけが、傾向的には変わらないということで、その内容は今説明いただいた内容ということですが、これは他の県でも、こういうものなのでしょうか。

(事務局)
 同じ制度でやっているかどうか正直分かりません。たまたま神奈川県で事故が起きたときに、このような形で報告を個人情報保護の担当所属の方に出してくださいということで、その取りまとめの数字ですので、申し訳ございませんが他県の事情について同じような傾向があるかどうかについては把握できていません。

(沼野委員)
 説明は理解できたのですけが、教育委員会の事故が非常に突出していると感じまして、しかもそれがずっと続いているということでしたので、どういうことなのかなと思ってしまいました。

(事務局)
 正直申し上げまして、教育委員会に属する所属数が桁違いに多いという部分もあろうかとは思います。

(沼野委員)
 県立学校はそんなに多いですか。

(事務局)
 高等学校や特殊学校があります。

(沼野委員)
 何校ぐらいあるのでしたか。

(事務局)
 180から190くらいだと思います。
 ただ、多いから許されるという問題ではありませんが。

(沼野委員)
 そんなにあるのですね。

(塩入副会長)
 事故について、発表という話がありましたが、記者発表をしているのですか。

(事務局)
 発表するか否かは、事案の状況、被害者の状況、それらを総合して各実施機関で決めるという扱いになっておりまして、教育委員会では18件事故がありましたが全てを発表しているのかというと、実はそうではありません。発表しているものもあるという状況で、全て発表するという扱いにはなっておりません。

(塩入副会長)
 軽微なものについては特に発表しないということですね。報告を受けた場合は、それに対してどのような対応をされているのですか。

(事務局)
 情報公開広聴課長としては、報告を受けて今後の再発防止のために助言をするということをやっております。

(塩入副会長)
 私は横浜市の第三者評価委員会の委員をやっているのですが、やはりそういった事故報告等を受けると、細かく調査をして、もちろん報道発表をしますし、それについての対応として、まず審議会には必ず報告が上がってきます。そして審議会の下部組織である我々第三者評価委員会で、事務局が原因等について過去の事故状況やデータを作成し、我々がそれを検討して、実地調査を行ったりしています。
 そうするとやはりだんだん改善されてくるので、こういった報告を受けた場合の改善に向けた対応策っていうのも、今後検討してみてください。

(事務局)
 参考にさせていただきます。

(人見会長)
 基礎的なところですが、ローマ数字の2の個人情報保護制度の運用状況の自己情報開示請求の請求件数の累計別で「簡易開示請求」というものがありますが、これはどのような制度ですか。

(事務局)
 例えばですが、調理師試験を衛生部局で実施しています。それで私は何点で合格したのか、あるいは逆に何点で不合格になったのかということを、窓口に見に来た方に開示しています。
 なぜ「簡易」開示かというと、正規の請求では、自己情報の開示請求書を書いて、「私の調理師試験の成績」ということを記載して提出し、実施機関ではそれを受理した上で今度はどこまで見せるのかということを判断して、紙の決定通知書が請求者に戻り、それで約束の時間に訪問しもらい、本人確認をして、その上で見せる、という流れになっています。
 これを県立高校や県職員採用試験のような大規模な試験でいちいちやっていたらとんでもないことになってしまう。簡易というのは、それを口頭でやりますということです。決定通知もない、見せます、と口頭で済ませて構わない、これが簡易開示ということです。
 受験生に対して窓口職員が、あなたの実技試験は何点、面接試験が何点、筆記試験が何点というものを見せて、その場で相手に書き取ってもらい、上司に逐一報告に行かずにそれで終わりという制度でございます。

(人見会長)
 それは条例に何か規定があるのでしょうか。

(事務局)
 第25条第1項「実施機関はあらかじめ定めた保有個人情報については、第19条第1項の規定にかかわらず、開示の請求は、口頭により行うことができる。」、あらかじめ定めたものというのが先ほど申し上げた、職員採用試験の結果等であるということです。

(人見会長)
 あらかじめどこに定めることになるのでしょうか。

(事務局)
 県公報に告示します。条例25条の対象にするということを告示という行為で出しております。

(人見会長)
 大体は試験の点数ですか。

(事務局)
 色々な職員の職員採用試験等がありますので、警官、教員からいわゆる普通の事務職、そういったものが多いです。「かながわの個人情報保護ハンドブック」の242ページをご覧ください。ふぐ調理師試験等の52項目です。

(和久委員)
 ローマ数字1の情報公開のところですが、平成30年度は7件の全部非公開ですね。主な内容を教えていただきたいのですが。

(事務局)
 申し訳ございません。詳細は把握しておりません。

(和久委員)
 そうですか。この中で、公文書の定義に関わるものがあるかどうか。公開請求されたものが公開されないというような事例があるのかを知りたかったのですが。

(人見会長)
 録音テープなどですね。

(事務局)
 一度引き取らせていただいて、またメールか何かで委員の皆様に御返事することでよろしいでしょうか。

(和久委員)
 はい、結構です。

【本件質問に対し後日、次のとおり回答した】
 かかる場合は、いわゆる法的不存在(解釈上の不存在)にあたり、「文書不存在」(218件)としてカウントされますが、全218件のうち法的不存在と物的不存在の内訳は把握しておりません。


(事務局)
 請求書に「○○を見せてください」とあったが、それは行政文書ではなく単に職員のメモだとかそういった理由で非開示・非公開になった事例があったかということですね。基本的には実施機関の方の判断になり、細かいことがわかるかどうかという問題がありますが、確認いたします。

(伊部委員)
 今のところ、ローマ数字1の表1の下の備考で、2件は「却下」となっていなっていますが、応答拒否と却下とはどのように意味が違うのでしょうか。

(事務局)
 応答拒否は例えばですが、ある人が、がんセンターで「○○氏のカルテ」と請求書をふざけて出したとします。その時に事務職員が「ありますがあなたには何か見せられない」と答えたら、○○氏にはがんセンターにかかる重篤な病気がある可能性が高いということが分かってしまう。ですので、一切その類のことにはお答えできませんという回答が「存否応答拒否」です。
 「却下」というのは、請求書の記載では、一体何の文書を見たいのかが全く意味がわからないことが書いてあり、事務局が困って、書き直しや文書の特定を請求者にお願いしても、そのまま受け取ってくれと言われてしまった場合、わからないものは特定できませんので、その場合は公開請求そのものを却下、つまり受け取る前に、公開請求として成り立っていませんということを宣言します。

(塩入副会長)
 「存否応答拒否」というのは、あるのかないのかということ自体がわかれば、それだけでもう情報を開示したのと同じような結果を招いてしまう。例えば、特定人の不利益処分などについての通知を開示せよという請求について、その通知文書があることを前提に、何号に該当するから非開示だと答えてしまうと、その者が処分を受けたということが分かってしまいます。そうすると結局、その情報を開示したのと同じような結果になってしまう。処分の対象者が不利益を被ってしまうということですね。そういった場合には、存否応答拒否をできます、という条文があるのです。
 もう一つの「却下」というのは、事務局が説明したように、まず形式上の不適法です。そもそも何を開示すればいいのかを特定していない場合には、もう形式として不適法ということになります。
ただこの点は、自治体によって対応は違います。例えば、先ほど言及された「個人メモ」など、そもそも「公文書」に当たらない場合については、東京都では「却下」にします。
 ですが、自治体によっては、却下にはせず、公文書に当たらない場合であっても「非公開決定」を下すところもあるので、何を「却下」の対象にするかというのは自治体によってまちまちです。

(和久委員)
 ローマ数字2の5のところ、事故不祥事の合計31件ですが、この中でコンピュータシステムによる事故等があるかどうかは分かりますか。

(事務局)
 ありません。メールの宛先を間違って送ってしまう等の事故は報告されていますが、システムそのものが異常を起こして、個人情報が駄々洩れするとか、そういったものはこの中にはありません。

(人見会長)
 本件は報告事項ですので、この程度にさせていただきたいと思います。

5 平成30年度特定個人情報保護評価の実施状況及び特定個人情報保護評価の一定期間経過後の評価の再実施について

(人見会長)
 では次に、平成30年度特定個人情報保護評価の実施状況及び特定個人情報保護評価の一定期間経過後の評価の再実施についての報告をお願いいたします。

【情報公開広聴課が資料5-1、5-2に基づき説明】

(沼野委員)
 先ほど森田委員の方からも、これを幅広に活用してはどうかという話もあったわけですが、特定個人情報保護評価は、そういう意味で非常に重要なものの一つだと思うのですが、複雑だという見方もあれば、極端にシンプル化しているという感じもします。
 それで10通ほどあるわけですが、51ページからの11番の評価書を見ていきますと、54ページにリスク対策という項目があって、それぞれのリスクについて「対策は十分である」と記載されています。
 例えば、特定個人情報ファイルの取扱いを委託しているということについて、「十分である」と再評価をしていますが、特定個人情報の取扱いを外部に委託するというのは非常に重要なリスクがあることだと思うのです。具体的にこれが十分であると評価するというのは、実務上はどういう確認をしているのでしょうか。
 選択肢で「特に力を入れている」、「十分である」、「課題が残されている」とある中で、特に力を入れているのではなく、このようにしているから「十分である」と。
 例えば委託先に出したら非常にリスクが高いので、やはり委託先の状況も刻々と変わりますので、再評価の段階では本当に委託先が約束どおりのことをやってくれているのかということを報告してもらっているとか。
 あるいは実際に現場に行って確認するとか、やはりそういうことを経て、定期的な評価の意味もあると思うのですが、そういうことはやらないのでしょうか。

(事務局)
 「これを特に」ということではないのですが、例えば、企業に受託してもらう場合には個人情報の取扱いについて協定のようなものを結びます。
 契約書であったり協定書であったり、それに付随するさらに下位の文書をつけたりするのですが、その中にまさに沼野委員がおっしゃったように、例えば半期に一度報告してくださいとか、あるいは受託期間が終わったらデータは全て消去してその証明を持ってきてくださいとか、色々な条件を付けています。これは委託をする場合の最低ラインとなりますが、それらを守ってきちんと相手方を選定し契約を締結しています。
 例えば孫請けは許すけれども、それから先は許さないとか、あるいは孫請けを選定するときは必ずこちらに言ってくれとか、そういった事を、細かく条件を付けています。それが守られていれば最低限、とりあえずは十分であると。
 このオール県庁として要求している以上のことを何かやって初めて、「特に力を入れている」という選択肢が出てくるのだろうなと思います。

(沼野委員)
 今説明いただいた、委託先と契約をして必要事項を盛り込んで、それで業務を委託する。最初の時にきちっとやって、それで大丈夫だということで委託をすると思うのですが、今ここは定期的な、それ以降の段階での、契約が始まって3年とか5年経っていて再評価をするときのことです。契約は結んでいるのでしょうけれども、それがちゃんと守られているのかとかですね、要するに当初の約束どおりのことがなされているのかということを確認するぐらいのことは必要かなと思うのですが、そういう定期的な再評価の時に行っていることは具体的にどういうことでしょうかという質問なのですが。

(事務局)
 定期的な再評価というのは、この1年ごとのということではないということでしょうか。

(沼野委員)
 今回は、定期的な5年に1回の再評価の状況を説明いただいていると思うので、その再評価はどうやるのですか、実態はどうなのですかということを教えていただければという趣旨です。

(事務局)
 これは5年に1回この報告をするために、例えば相手のところに実地検査に入るとかそういったことを要求するという趣旨のものではないのです。
 5年に一度、例えば始まった時は対象人数が800人ぐらいだった事務が、5年経ったら1万人を超えていた場合などは、セルフチェックの区分を格上げしなければならいなので、その点が大丈夫かということの見直しを求めるというのがこの制度の趣旨でございます。
 事務を実施している機関の行動は、それこそ制度が始まって、特定個人情報の自己評価制度が始まって以来、毎日連綿と続いているものです。今ここに記載されているのは、その中でどのような形で相手方に対して安全確保をさせているのか、そういったことの現状を書いてもらうということです。沼野委員が先ほどおっしゃったような、5年に1度の見直しをやるから、それぞれの機関で特別な確認を行うとか、そういったことではないのです。
 あくまでも現状どのような形で情報を取り扱っているのか、それは果たして十分なのかどうなのかということのセルフチェックの結果を書いて報告をしております。

(沼野委員)
 御説明は分かりました。
 私が伺いたかったのは、54ページで言えば委託先における不正な使用等のリスクへの対策は十分かという設問に対して、「十分である」と開始から5年経った今、評価をしているわけですが、その評価は具体的にどうやっているのかという質問なのですが。

(事務局)
 先ほど申しましたように、各所属がセルフチェックをして報告をするという仕組になっておりまして、沼野委員がおっしゃったのは、具体にじゃあどんなことをやっているから十分なのかと、そういうことですよね。

(沼野委員)
 私のほうのもっと根本的な問題意識は、形式的になっていないかということです。

(事務局)
 そういうことですよね。具体に何をもって十分と言っているのかという質問かなと。私どもは、これはセルフチェックの報告ということでやっておりましたけれども、引き取らせていただいて、次回の審議会で具体的に、例えばこれはこうやっているということを報告させていただければと思います。

【本件質問に対し後日、次のとおり回答した】
 神奈川県では、特定個人情報等を取り扱う事務を委託する場合、委託先において、番号法に基づき実施機関自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行うものとしています。
 今回、ご質問のあった評価書について作成所属にヒアリングしたところ、次のとおりの見解でした。

[総合療育相談センターとしての見解]
 総合療育相談センターの事務(評価書番号6)は、身体障害者手帳の交付に係る事務を実施するにあたり、特定個人情報のデータ入力を委託しています。
 データ入力作業に当たっては、県が保有する施設の執務室内で県職員監督の下で作業していることから、実施機関自らが果たすべき安全管理措置と同等の措置が講じられていると認め、「十分である」と総合療育相談センター所長は評価しました。

[子ども家庭課としての見解]
 子ども家庭課の事務(評価書番号11、14)は、児童扶養手当・特別児童扶養手当の支給に関する事務を実施するにあたり、当該手当の支給システムの運用を委託しています。
委託に当たっては、契約において、特定個人情報を適切に管理することを定め、契約後はデータセンタに職員が赴き、委託先に対してヒアリングを実施した結果、実施機関自らが果たすべき安全管理措置と同等の措置が講じられていると認め、「十分である」と子ども家庭課長は評価しました。


(沼野委員)
 それでは、ついでと言っては何ですが、同じリスク対策の「監査」のところで、「自己点検」をやっているとか、「内部監査」をやっているとか書いてありますが、自己点検では具体的にどういうことをやるのか。また県の内部監査というのはどのようにやっているのか、概要レベルで結構ですので教えてください。

(事務局)
 それも併せて御報告したいと思います。

【本件質問に対し後日、次のとおり回答した】
 本県における「自己点検」は、毎年度、マイナンバーを利用する全ての所属においてチェックシートによる自己点検を行っています。なお、マイナンバー利用所属で作成したチェックシートは監査責任者(県ICT部門の長)あてに送付し、県ICT部門で検査を行っています
 「内部監査」は、マイナンバーを利用する所属から、毎年度、検査対象所属を決定し、ICT部門が対象所属の管理者等に対するヒアリング等の実地検査を行っています。
 「外部監査」は、監査法人等に委託しセキュリティ監査を行うもので、住基ネット事務について実施しています。


(森田委員)
 確認ですが、今回ここに出ているのは全て基礎項目評価書ですから、今議論したリスク対策の項目は以前の評価書の様式にはなく、新しい様式で初めてこの項目が設けられたものですよね。
 だからこれはこの5年間の評価をするという話ではなく、今年初めて作られた項目にこう書いてあったという趣旨になると思うのですけれども、そういう理解でよろしいでしょうか。

(事務局)
 そうですね、たまたま様式にこういう項目が加わったというだけであって、対象となる行為は、以前からずっとやってきましたので、それに対する安全保護措置は取らなければいけなかったわけです。
 再三、条例第10条のオンラインの議論の中で申し上げてきたように、外部等と電気通信回線上で情報をやりとりする場合は、個人情報のあるなしに関わらず、それからオンラインの定義に合致するかしないかは関係なく、必ず構想段階から厳しくICT部局がその安全性等をチェックしています。そういったものを今までは書く欄がなかったということでございます。

(森田委員)
 そうですか。ここに書いてあるような項目は、すでに実際上チェックをしていたということなのですね。

(事務局)
 チェック自体をやっていたかどうかは、それぞれの所属がどの程度まで注意を持っていたかということで、こうやって問われてみて初めて考えたということがあったかもしれませんが、業務としてはすでに存在し、それに対して必要な措置と思われる、例えば先ほど言った契約条項を必ず委託業者に課して順守をお願いするといったことはやってきたということです。
 これまでやっていたが記載する欄がないので特に報告してなかったことが今回このように「リスク対策」ということで、国のほうで報告様式を定め、以前からの内容と併せて国民に対して公表することを求めてきた。それが今回の報告の対象となったということです。

(森田委員)
 分かりました。

(人見会長)
 先ほどの沼野委員からの質問については、事務局が確認して報告していただくということでよろしいですか。

(事務局)
 はい。

(湯淺委員)
 評価書番号8の「精神保健及び精神障害者福祉に関する法律による精神障害者保健福祉手帳の交付に関する事務」ですが、「評価実施機関」の記載がないのは、これは単純な書き忘れでしょうか。これは神奈川県知事でいいですよね。

(事務局)
 そうです。失礼いたしました。

(人見会長)
 報告事項ですのでこの程度にいたしたいと思います。

6 情報公開・個人情報保護審議会の運営について

(人見会長)
 それでは最後に議題の6、「情報公開個人情報保護審議会の運営」についてです。
 私は令和元年10月から半年間、日本を離れまして在外研究に行くことになりました。11月以降3月までの審議会を欠席せざるを得ないことになります。
 その間の審議会の運営につきまして、委員の皆様にお諮りしたいと存じます。
 私が不在の間につきましては、審議会規則の第4条第4項に基づき、会長の職務を塩入副会長に代理していただきたいと思いますが、いかがでしょうか。

(全員)
 異議なし。

(人見会長)
 それでは私が不在の間、会長の職務代理を塩入副会長にお願いしたいと思います。どうぞよろしくお願いいたします。

以上

会議資料

資料1(PDF:3,063KB)

資料2(PDF:378KB)

資料3-1(PDF:238KB)

資料3-2(PDF:473KB)

資料4(PDF:387KB)

資料5-1(PDF:224KB)

資料5-2(PDF:811KB)

答申(議題2)(PDF:147KB)

答申(議題3)(PDF:287KB)

 

このページの先頭へもどる

Adobe Acrobat Readerのダウンロードページへ

PDF形式のファイルをご覧いただく場合には、Adobe Acrobat Readerが必要です。Adobe Acrobat Readerをお持ちでない方は、バナーのリンク先から無料ダウンロードしてください。