第30回情報公開・個人情報保護審議会審議結果

掲載日:2018年4月11日

様式3

次の審議会等を下記のとおり開催した。

審議会等名称

第30回神奈川県情報公開・個人情報保護審議会

開催日時

平成27年9月17日(木曜日)午後2時~3時30分

開催場所

神奈川県中小企業共済会館4階 403会議室

(役職名)出席者

井上 秀子、(会長)宇賀 克也、柏尾 安希子、(副会長)塩入 みほも、

鈴木 和夫、沼野 伸生、松﨑 嘉子

事務局(情報公開課長ほか4名)

次回開催予定日

平成27年11月18日(水曜日)

問い合わせ先

所属名 県民局くらし県民部情報公開広聴課
担当者名 江田、上原

電話番号 (045)210-3720(直通)
ファックス番号 (045)210-8838
フォームメール(以下をクリックすると、問い合わせフォームがご利用いただけます。)

県民局 情報公開広聴課のページ

下欄に掲載するもの

  • 議事録全文  

審議経過

第30回神奈川県情報公開・個人情報保護審議会

 

1 類型答申の見直しに係る諮問について(個人情報保護条例第54条関係)

 

2 特定個人情報等の安全管理に関する規程の整備について

 

3 個人情報取扱事務の登録等に係る報告について(個人情報保護条例第7条関係)

 

〇 会議記録

 

議題1 類型答申の見直しに係る諮問について(個人情報保護条例第54条関係)

 

(宇賀会長)

まず、議題1「類型答申の見直しに係る諮問について」を御審議いただく。

本件は、前回の審議会において知事から諮問があったものである。

はじめに、前回の審議において湯淺委員から御意見をいただいた「『附属機関等の委員の選任』等に係る類型答申の廃止理由」に関して、事務局で整理したということなので、これについて説明をお願いする。

 

【事務局から資料1に基づき説明】

 

(宇賀会長)

ただいまの説明について御意見・御質問があれば、御発言をお願いする。

特になければ、答申案について御審議いただきたいと思う。事務局から説明をお願いする。

 

【事務局から資料2に基づき説明】

 

(宇賀会長)

ただいまの説明について御意見・御質問があれば、御発言をお願いする。

 

(塩入副会長)

文言について、3段落目の2行目の「次の類型答申については、今回の条例改正において条文化等されたと判断され、~」という言い回しだが、「条文化等されたので」ということか。言い回しとして奇妙な感じがした。

 

(事務局)

審議会としてそのように判断されたという趣旨で書いたところだが、「条文化等されたので」という方がよければ、そのようにさせていただく。

 

(塩入副会長)

類型答申だったものを条文化するよう整理したので、「条文化等されたと判断され」という表現に違和感があった。

 

(宇賀会長)

それでは、ここは「条文化等されたので」に修正をお願いする。

 

(事務局)

了解である。

 

(宇賀会長)

ちなみに、「条文化等」の「等」は何か。

 

(事務局)

いわゆる目的外利用・提供ができる場合の、「法令等の規定」については、これまで「義務付け規定」だけだったが、今回、運用解釈で「できる規定」も追加したことにより、弁護士会照会等の類型答申についても、「法令等の規定」で読めるようになったので、「等」と入れさせていただいた。

 

(宇賀会長)

他はいかがか。

特になければ、お諮りしたいと思う。審議会として、先ほどの箇所を修正のうえ、案のとおり答申することとしたいと思うが、いかがか。

 

(全員)

異議なし。

 

(宇賀会長)

それでは、案のとおり答申することに決する。

事務局は手続きを進めていただきたい。

 

議題2 特定個人情報等の安全管理に関する規程の整備について

 

(宇賀会長)

次に、議題2「特定個人情報等の安全管理に関する規程の整備について」を御審議いただく。

本件は、マイナンバー制度の導入に伴い、県として特定個人情報等の保護に着実に取り組むため、規程を整備するものとのことである。

それでは、番号利用法を県において所管している情報企画課の職員の方から説明をお願いする。

 

【情報企画課から資料3、資料3参考資料及び資料4に基づき説明】

 

(事務局)

資料5については、特定個人情報も含めた個人情報保護全般に関する規程として整備するので、事務局から説明させていただく。

 

【事務局から資料5、資料6-1及び資料6-2に基づき説明】

 

(宇賀会長)

ただいまの説明について御意見・御質問があれば、御発言をお願いする。

 

(沼野委員)

いくつか確認させていただきたい。

資料3の「3 本県の対応予定」で、神奈川県特定個人情報等安全管理基本方針及び神奈川県個人情報等取扱事務要綱を制定するとなっている。

今回番号利用法が制定されて個人番号が利用されることになるが、従前から個人情報の取扱いに関しての安全管理というものはあり、既存の様々な方針や規程があるのではないかと思う。

それらとは独立して、新たにこれらを制定するという理解でよいか。

 

(事務局)

要綱については、規程も県の中で様々なものがある。

例えば、情報が記録されている文書については、文書管理規程で、文書を庁外に持ち出さないであったり、持ち出すときには所属長の承認を得たり、文書の取扱いについて定められている。

また、情報セキュリティの関係では、神奈川県情報セキュリティポリシーというものの中で、特に重要情報ということで個人情報についての規定があるように、様々な規程が神奈川県の中で整備されているが、いわゆる個人情報一般という切り口での規程は無かった。

例えば、情報セキュリティポリシーの中で重要情報として個人情報が位置づけられているが、情報セキュリティポリシー自体が、神奈川県の情報資産に対して適用される規程という位置づけであり、具体的には、主にシステム関係、又はシステムから打ち出された帳票のようなものが対象となっていて、システムを前提としたポリシーとなっている。

そこで、新たに個人番号という特に秘匿性の高い情報を取り扱うことに伴い、この機会に個人情報一般に関する全体的な規程を要綱として整備するものである。

 

(沼野委員)

民間企業では個人情報保護方針をそれぞれの企業が掲げたり、個人情報の様々な取扱いの規程を整備したりしているが、特定個人情報保護委員会からのガイドラインの中で、従来のものでカバーできるのであれば、それで構わないと書かれている。

資料3参考資料でも、2枚目に「特定個人情報の取扱いに関する管理規程の考え方」ということで、既存の規程の見直しのポイントのような形で整理されているが、県としては新たに作る方向でいくということで、了解した。

もう1つ、以前審議会で、特定個人情報保護評価の議論に時間をかけたと思うが、その中で「特定個人情報を取り扱うに当たって色々なリスクがあるので、このような対策をします。」ということを整理し、県民に公開し、コメントをいただいた上で特定個人情報保護委員会に提出していたと思う。

特定個人情報保護評価の中で、「このようなリスクがあるので、このような対策をする。」と決めたものについては、今回の基本方針の下での取扱事務要綱等、様々な規程の中で、そのような対策を実施するということを明確に書き込んでおかないと、実際の職員が日常の業務をする上で、決められた対策がなされなくなってしまうことがある。

特定個人情報保護評価で実施すると言った対策は、ある意味県が県民に約束した内容なので、確実に実施する必要がある。

そのようなものは、この規程の中に網羅されるという理解でよいか。

 

(事務局)

少し説明不足だったが、特定個人情報保護評価を実施するのは、個人番号利用事務ということで、資料5の適用関係一覧表で言うと、一番左側の一番厳しいものの中でも、更に対象人数が1,000人を超えるもの等、規模の要件がある。

そして、特定個人情報保護評価を実施した個人番号利用事務実施所属については、個人番号の取得から利用・提供、廃棄にいたるまで、事務の実態に応じて、「このようにしっかりと取り扱っていきます。」という規程を、資料6-1、資料6-2の特定個人情報等取扱要領というものを各所属で作成することとなる。

なお、資料6-1は専用システムを使用して特定個人情報を扱う場合、資料6-2は専用システムを使用しないでエクセル等で情報を管理する場合というように、大きく2つのパターンについて、当課でモデル規程案というものを作成している。

これを参考にしながら、個人番号利用事務実施所属は、個人番号の利用を開始するまでに、「このような事務で個人番号を取り扱い、取り扱う職員は○○である。個人番号を取り扱う区域は事務室内のこの場所であり、書類は施錠管理する。」というようなことをここでしっかりと決めて、それに反した取扱いがあれば、すぐに分かる体制で実施していただくことになる。

更に言うと、特定個人情報保護評価の中でも、基礎項目評価では概要しか書いておらず、評価書の中では触れていないことも様々あると思われる。

それらも含めて、取扱要領の中では、いつ、どのような理由で複写した等の記録を残したり、その複写については、いつ必要なくなるので廃棄したりというように、廃棄についての予定も記録する等、配慮すべき様々な事項を取扱要領の中に入れている。これらを参考にして、各所属で規程を整備していくことを方針としている。

 

(沼野委員)

要するに、特定個人情報保護評価で「このような対策をする。」と決めた具体的な対策は、資料6-1や資料6-2の中に全部書き込まれるという理解でよいか。

 

(事務局)

そのとおりである。

 

(沼野委員)

もう1つ、資料3の「4 神奈川県特定個人情報等安全管理基本方針の骨子(案)」の3つ目に、CIOを総括保護管理者に、情報企画部長を監査責任者に、というくだりがある。

CIOと情報企画部長の関係をよく理解できていないかもしれないが、外見上から見たときに、やはり監査をする人が監査対象に責任を負っていない客観的な立場の人が行わないと監査とはならず、自己点検になってしまうと思われる。

CIOが総括保護管理者になるわけだが、CIOと情報企画部長は独立した立場になっているという理解でよいか。

例えば、先ほど御説明いただいた取扱事務要綱では、教育研修は情報企画部長が行う等様々書かれているが、外見上、監査対象の中の仕事の一部についての責任を負っているように読めてしまう感じがする。

その辺りの、監査責任者と、監査を受ける側との独立性は担保されているという理解でよいか。

 

(情報企画課)

CIOというのは局長クラスの役職であり、その下に情報企画部長がいるような位置づけになっているので、要綱上は独立していないのが実情である。

 

(沼野委員)

実態はよく分からないが、外から見たときに、とりあえず情報企画部長が監査をするという形になっていないだろうかということである。

実態上は適切な監査をされると思うが、監査の独立性という基本的なことを、外にもしっかりと説明できるようなフレームにしないと、県民等のように、外から見たときに大丈夫なのかなと思ってしまう。

今の説明だと、部下が上司を監査するというようになっていないか。

 

(情報企画課)

組織的にはCIOが情報企画部長の上となっている。

 

(沼野委員)

了解である。そこは丁寧に整理した方が良いと思う。

ちなみに、県の内部の仕事を監査する部門、つまり客観的な立場で評価をする部門というのはあるのか。あるのであれば、その中の1つにこの監査を入れるとしっくりくると思われる。

今回あえて情報企画部長にしたことに何か理由はあるのか。

 

(事務局)

監査については監査事務局という機関があるが、所掌範囲が限られていて、また、外部監査をしてほしい事務というのは個人情報保護に限らず様々なものがある。例えば、「環境に配慮して事務を行っているか。」等である。

様々なことについて外部監査をしてほしいという要請がある中で、実際、全てを監査事務局でまかなうことはできないということがある。

今回、情報企画部長を監査責任者にしているが、監査責任者が監査をする対象は、総括保護管理者というよりは、実際に個人番号を利用している各所属になるので、主に情報企画部以外の保健福祉局や税の部局等に対し、情報企画部の職員が外部的な立場で他局に監査にいくことを予定している。

同じ職員ではあるが、監査をされる対象と監査をする者は基本的に別の局・所属で行うので、実態としては外部監査に近い格好で行うという趣旨である。

 

(沼野委員)

実態としてはそのとおりだと理解しているが、監査責任者として立つ方なので、なんらかの責任・役割を持たれている者を監査責任者として監査するということについては、もう少し丁寧な説明が必要だと感じた。

また、利用事務と関係事務という話が様々あって、利用事務については規程を整備し、関係事務については規程を整備するというよりは規程に従って取り扱うという記述になっている。

関係事務については、特定個人情報の取扱いについての適切なルールが既に整備されているという理解でよいか。

 

(事務局)

個人番号関係事務については主に会計事務が多く、報酬等を支払うときに、源泉徴収手続きをどのように行うかであったり、いつ法定調書を作成し集約して税務署に送るとかであったり、会計関係の規程がメインとなる。

既に会計関係の規程がある中で、現在、会計局の中で個人番号の取扱いが始まることを踏まえ、規程を改正して対応しようとしているところである。

そのような中で、個人番号利用事務は個々の事務ごとに使うシステムが全く異なることがあったり、申請者が窓口に来たり来なかったり、市町村が代わりに受け付けて県に情報が来たり等、事務の実態によって非常に多様な個人番号の取扱い方がある。

それに対して個人番号関係事務は、基本的には、報酬等の支払いがある際に一定のルールに従って源泉徴収を行うような手続きなので、全庁的に会計関係の規程が一本あれば、各所属がそれに従って個人番号関係事務として取り扱うのが合理的であると考え、このような形になっている。

 

(沼野委員)

この対象にはならないということか。

 

(事務局)

取扱規程を整備するのは個人番号利用事務実施所属だけである。

各所属が整備するとしてしまうと、個人番号関係事務実施所属はほぼ全ての所属になってしまい、各々規程を整備するとしても、中身としてはそれほど大きく変わらず、個人番号の収集から利用・提供、廃棄にいたるまでについても、個人番号利用事務と同じようなボリュームは出てこない。

また、所属によっては、報酬等の支払いが出るか出ないか分からない所属もある。

全ての所属が作ることにしてしまうと、機械的に決まっているからとりあえず作っただけという形になってしまうと思われる。

そのため、少し対象を絞った上で、個人番号を大量に使うであろう個人番号利用事務実施所属については、その分しっかりとした規程を作ってもらうことで強弱をつけたいと考えている。

 

(沼野委員)

これは、特定個人情報保護委員会のガイドラインの趣旨には沿っているということか。

民間企業は、受託する場合は別として、基本的には利用事務は行わず、関係事務だけである。

民間企業向けにも同じようなガイドラインが出ていて、民間企業は、関係事務の個人情報を取り扱うに当たって、方針なり規程なりを整備しているのが実情だと思う。

県はもちろん利用事務を行うが、職員がいて、外部への様々な支払いもあるわけで、民間企業の関係事務と同じように、関係事務のウエイトが非常に高いと思われる。そのような意味でお聞きしたところである。

 

(事務局)

当初作成した資料から若干修正していて、現在、安全管理基本方針と、個人情報等取扱事務要綱の素案については、個人番号関係事務についても触れていて、規定を置いている。

ただし、御説明したように、各所属でその下の個別の事務取扱の規程まで作る必要はないという判断であり、その部分は今後会計の方で、会計事務に伴って必要な注意事項等を整備し、庁内に発出していくという流れなので、3段構えで考えているところである。

 

(沼野委員)

了解である。

 

(宇賀会長)

他はいかがか。

 

(松﨑委員)

一県民として、マイナンバー制度の導入については非常に心配していて、私の周りでも、凄く心配している。

今回資料を読ませていただき説明を受けながら、個人的には、おぼろげながらもしっかりと取り組んでくれるだろうという気持ちになった。

しかし、一般の県民が、どのように自身の情報が守られているのか、県のホームページを見て調べようと思っても、非常に難しいと様々な方がおっしゃっている。

県民から見て分かりやすいような、例えば、「分からないことがあればここに聞いてください。」であったり、「ここを見れば分かりますよ。」ということであったり、そのようなものがあると、非常に安心するのではないかと思うので、その辺りについて、是非整備をしていただきたいと思う。

また、やはり資料5を見て、具体的に様々なことが書かれているが、まだ分からないようなところがある。例えば、第5条第2項の「真にやむを得ない場合」、第7条第2項の「目的内で利用・提供したとき」等、読んだだけでは具体的に何を指すのか分からないところがたくさんあった。

具体的に、更に分かるようにしていただけるとありがたい。

また、事故があってからの対策ではなく、是非教育・研修をしっかり行っていただき、事故にならないよう未然に防止していただくよう、お力を発揮していただきたいと思う。

もう1つ、私も、監査については、やはり庁内での監査に留まっていて、これを読んだだけでは、県民としてはどれだけ一生懸命行っていただいても不安であると思った。

内部監査だけでなく、外部監査も実施しているところが多いので、そのようなところで監査し、個人情報の取扱いが守られていることを担保できるようになれば良いと思う。

 

(宇賀会長)

事務局はいかがか。

 

(事務局)

大変貴重な御意見である。

皆様の御心配というものを真摯に受け止め、改善すべきところというのを考えていきたいと思う。

監査については、様々な所属との関係もあるので、すぐに約束はできないが、今後に向けて調整できることがあれば進めていきたいと考えている。

 

(宇賀会長)

他はいかがか。

 

(塩入副会長)

1点だけ、用語についてである。

取扱事務要綱の第3条の「き損」の「き」が平仮名になっているが、神奈川県では内部の規程等を設けるときに、「き損」の「き」は平仮名とすることとなっているのか。

国の基本方針の策定ポイントや管理規程の見直し等のポイントで挙がっている例の条文では漢字となっている。あえて平仮名としているのかが気になった。

 

(事務局)

個人情報保護条例の第11条「安全性、正確性等の確保措置」のところで「漏えい、き損」というように平仮名になっていたので、このようにしている。

「毀」が難しい字なので平仮名を利用していると思われる。

 

(宇賀会長)

国もかつては平仮名にしていたが、つい最近、法制執務で使う用語について、今まで平仮名を使っていたものを、漢字を使うように変えているので、そこは確認していただきたい。

 

(塩入副会長)

平仮名にしてしまうと、少し読みづらいということもある。

 

(事務局)

了解である。

 

(宇賀会長)

また、資料3参考資料の最初の例の1で、番号利用法の名称が挙がっていて、「識別する番号~」となっているが、「識別するための番号~」である。他に、資料4の1の1行目、資料5の第1条、資料6-1の第1条、資料6-2の第1条も全て「ための」が抜けてしまっている。

 

(事務局)

修正させていただく。

 

(宇賀会長)

他はいかがか。

この件については、基本的には了承したいと思う。

ただし、今回貴重な御意見をいただいた中で、特に監査の独立性等の点については、他の部局との調整も必要になると思うが、今後委員からの御意見を踏まえた検討を続けていただきたいと思う。

 

議題3 個人情報取扱事務の登録等に係る報告について(個人情報保護条例第7条関係)

 

(宇賀会長)

次に、議題3「個人情報取扱事務の登録等に係る報告について」を御審議いただく。

本件は、事務局から報告をお願いする。

 

【事務局から資料7に基づき報告】

 

(宇賀会長)

ただいまの報告について、何か御質問や御意見があれば、御発言をお願いする。

特に御異議がなければ、了承したいと思う。

以上

資料等

資料1 [PDFファイル/88KB]

資料2 [PDFファイル/323KB]

資料3 [PDFファイル/78KB]

資料3参考資料 [PDFファイル/404KB]

資料4 [PDFファイル/77KB]

資料5 [PDFファイル/257KB]

資料6-1 [PDFファイル/184KB]

資料6-2 [PDFファイル/178KB]

資料7 [PDFファイル/1.04MB]

答申 [PDFファイル/287KB]

このページの先頭へもどる

Adobe Readerのダウンロードページへ

PDF形式のファイルをご覧いただく場合には、Adobe Readerが必要です。Adobe Readerをお持ちでない方は、バナーのリンク先から無料ダウンロードしてください。

本文ここまで
県の重点施策
  • 未病の改善
  • ヘルスケア・ニューフロンティア
  • さがみロボット産業特区
  • 県西地域活性化プロジェクト
  • かながわスマートエネルギー計画
  • 東京2020オリンピック・パラリンピック競技大会
  • ラグビーワールドカップ2019
  • 神奈川県発、アート・カルチャーメディア「マグカル」
  • ともに生きる社会かながわ憲章
  • SDGs未来都市 神奈川県 SDGs FutureCity Kanagawa