閉じる
閉じる
×
問われる マイナンバー制/“お手盛り検査”で個人番号漏えい
2015-10-17 11:21
10月から番号通知が始まった共通番号(マイナンバー)制をめぐり、本来記載されるはずのない個人番号が住民票に印字されて使用され、第三者に個人番号が漏えいするなどずさんな管理体制が早くも露呈しています。
「個人番号が記載された住民票を69世帯、100名に交付しました。お騒がせしたことをお詫(わ)びします」
茨城県取手市では5日から9日まで、市内の自動交付機で発行された住民票に、住民の請求がないにもかかわらず個人番号が印字されました。住民は気付かないまま、金融機関やUR(都市再生機構)、法務局、警察などに提出し、第三者に番号を知られてしまいました。
システムの委託業者は「住民票に記載しない設定をしたと思い込んでいた」、市も「番号が印字されないことをテストで確認しなかった」(市民課)とぞんざいな管理を認め、漏えいした住民について番号を変更する予定だと説明しています。
国は、全国の自治体に個人情報管理の安全性を確認する「特定個人情報保護評価(PIA)」を求めていました。ところが、本紙が調べたところ、同市の評価書では「個人情報の漏えいその他のリスクを軽減させるために十分な措置を行い、プライバシー等の保護に取り組んでいることを宣言する」とあるだけで、“お手盛り検査”となっていました。
マイナンバー制度の「特定個人情報保護評価」の“お手盛り”検査は取手市だけではありません。
各地の自治体が公表している「評価書」を調べると、判で押したように「プライバシー等の保護に取り組んでいることを宣言する」と同じ表現でした。自治体自身による評価を認めているからです。
評価は、人口別に(1)30万人以上(2)1万人以上30万人未満(3)1000人以上、1万人未満―の三つの自治体に義務付けられています。人口1千人未満には義務付けていません。
評価項目は、「基礎項目」「重点項目」「全項目」の三つがありますが、1万人未満・千人以上は基礎評価だけです。
30万人以上には「基礎項目」と「全項目」の評価を課していますが、84自治体だけです(2013年度)。提出・公表された評価書2万1500件のうち全項目評価書は429件(9月末時点)にすぎません。
全項目評価書には、第三者の点検も義務付けていますが、既存の個人情報保護審議会や審査会が行うもので、実効性が問われます。
国の特定個人情報保護評価委員会は「人口規模に応じて(情報漏えいなどの)影響の大きさを考えて決めた」と説明しますが、小規模自治体であれば漏えいしても構わないという理由はありません。
特定個人評価は、マイナンバーのシステム改修までに実施するはずでしたが、マイナンバー施行後に公表する自治体が後をたたず、形骸化しています。
同委員会も「評価の実施やその時期は各自治体の判断だ。そのスケジュールをすべて把握してはいない」と無責任な対応です。(松田大地)
◇
自治労連の平野正一・担当中央執行委員の話 今回の情報漏えいは一番恐れていたことであり、起こるべくして起こったものといえます。特定個人情報保護評価は、漏えいしないという前提でつくったような不十分な評価であるうえ、国が自治体への周知も不十分なまま、見切り発車で押し付けたのがマイナンバー制です。国の無責任さやずさんさが招いたのは明白で、制度実施の前提がないことを示しています。漏えいの危険性はどの自治体にもあり、その責任も問われています。専門的な個人情報保護対策を徹底させるための十分な時間や体制の確保・拡充が必要です。
「個人番号が記載された住民票を69世帯、100名に交付しました。お騒がせしたことをお詫(わ)びします」茨城県取手市では5日から9日まで、市内の自動交付機で発行された住民票に、住民の請求がないにもかかわらず個人番号が印字されました。住民は気付かないまま、金融機関やUR(都市再生機構)、法務局、警察などに提出し、第三者に番号を知られてしまいました。
システムの委託業者は「住民票に記載しない設定をしたと思い込んでいた」、市も「番号が印字されないことをテストで確認しなかった」(市民課)とぞんざいな管理を認め、漏えいした住民について番号を変更する予定だと説明しています。
国は、全国の自治体に個人情報管理の安全性を確認する「特定個人情報保護評価(PIA)」を求めていました。ところが、本紙が調べたところ、同市の評価書では「個人情報の漏えいその他のリスクを軽減させるために十分な措置を行い、プライバシー等の保護に取り組んでいることを宣言する」とあるだけで、“お手盛り検査”となっていました。
マイナンバー制度の「特定個人情報保護評価」の“お手盛り”検査は取手市だけではありません。
各地の自治体が公表している「評価書」を調べると、判で押したように「プライバシー等の保護に取り組んでいることを宣言する」と同じ表現でした。自治体自身による評価を認めているからです。
評価は、人口別に(1)30万人以上(2)1万人以上30万人未満(3)1000人以上、1万人未満―の三つの自治体に義務付けられています。人口1千人未満には義務付けていません。
評価項目は、「基礎項目」「重点項目」「全項目」の三つがありますが、1万人未満・千人以上は基礎評価だけです。
30万人以上には「基礎項目」と「全項目」の評価を課していますが、84自治体だけです(2013年度)。提出・公表された評価書2万1500件のうち全項目評価書は429件(9月末時点)にすぎません。
全項目評価書には、第三者の点検も義務付けていますが、既存の個人情報保護審議会や審査会が行うもので、実効性が問われます。
国の特定個人情報保護評価委員会は「人口規模に応じて(情報漏えいなどの)影響の大きさを考えて決めた」と説明しますが、小規模自治体であれば漏えいしても構わないという理由はありません。
特定個人評価は、マイナンバーのシステム改修までに実施するはずでしたが、マイナンバー施行後に公表する自治体が後をたたず、形骸化しています。
同委員会も「評価の実施やその時期は各自治体の判断だ。そのスケジュールをすべて把握してはいない」と無責任な対応です。(松田大地)
自治労連の平野正一・担当中央執行委員の話 今回の情報漏えいは一番恐れていたことであり、起こるべくして起こったものといえます。特定個人情報保護評価は、漏えいしないという前提でつくったような不十分な評価であるうえ、国が自治体への周知も不十分なまま、見切り発車で押し付けたのがマイナンバー制です。国の無責任さやずさんさが招いたのは明白で、制度実施の前提がないことを示しています。漏えいの危険性はどの自治体にもあり、その責任も問われています。専門的な個人情報保護対策を徹底させるための十分な時間や体制の確保・拡充が必要です。
