nonumber-tom のすべての投稿

地方自治は「許容されない」?!
個人情報保護委員会の条例対応

 個人情報保護委員会は2021年7月1日、 「令和3年改正法の規律に関する考え方」 を公表した。国や地方自治体に、この内容で施行準備を促している。

●改正個人情報保護法施行に向けた今後の予定

 5月12日に成立し5月19日に公布されたデジタル社会形成整備法で、個人情報保護法が全面改正された(令和3年改正法)。官民の保護法の統合(整備法50条)については公布日から1年以内(来年春)に、地方自治体の条例の「リセット」と国基準化について(整備法51条)は、公布日から2年以内に施行予定となっている。
 施行に向けて5月19日の第174回個人情報保護委員会は、「個人情報保護委員会の今後の取組」を決めている。それによれば、官民の統合やそれに含まれる学術研究関係については、今年の夏~秋に政令・規則やガイドラインの意見募集(パブリック・コメント)を行い、自治体の条例改正の政令規則やガイドラインについては、冬に意見募集を予定している。

    「 個人情報保護委員会の今後の取組 」7頁

 6月23日の第176回個人情報保護委員会では、「予め現時点における公的部門全体を通じた規定の解釈等の概略を示す」ことで国・地方の施行に向けた着実な対応を促すために、
(1)公的部門(国の行政機関等・地方公共団体等)における個人情報保護の規律の考え方
(2)学術研究分野における個人情報保護の規律の考え方
を決め、7月1日に公表した。

●地方の独自性を「許容しない」規律

 このうち「(1)公的部門(国の行政機関等・地方公共団体等)における個人情報保護の規律の考え方」では、自治体の条例の国基準への統一について、争点となっていた国の法律を上回る条例の「上乗せ横出し」規定をことごとく「許容されない」としている。
 要配慮個人情報については、自治体は地域特性に応じて「条例要配慮個人情報」を条例に設けることはできるが、令和3年改正法の個人情報保護に関する全国共通ルールを法律で定めるという目的から、「法の規律を超えて、地方公共団体による取得や提供等に関する独自の規律を追加することや、民間の個人情報取扱事業者等における取扱いを対象に固有の規律を設ける等の対応は、許容されない。」
 オンライン結合制限についても、「改正後の個人情報保護法においては、オンライン化や電子化を伴う個人情報の取扱いのみに着目した特則を設けておらず、法が求める安全管理措置義務等を通じて、安全性確保を実現することとしており、条例でオンライン化や電子化を伴う個人情報の取扱いを特に制限することは許容されない。」
 自治体の個人情報保護審議会に諮問することについても、専門的な知見に基づく意見を聴くことが「特に必要である」場合に限って諮問することはできるが、「個人情報の取得、利用、提供、オンライン結合等について、類型的に審議会等への諮問を要件とする条例を定めることは、今回の法改正の趣旨に照らして許容されない。」
 死者に関する情報の扱いについても、「条例により個人情報に含めて規律することは、改正後の個人情報保護法の下では許容されない。」
としている(下図参照)。

  「公的部門における個人情報保護の規律の考え方」 8頁

 さらに個人情報や要配慮個人情報の定義については、「令和2年改正後の個人情報保護法で定める定義に統一することとし、条例で独自の定義を置くことは許容されない。」
 開示、訂正及び利用停止関係の規定については、 地方公共団体毎に定められている情報公開条例との整合性を確保するため、非開示情報、開示等手続細則及び審査請求手続については、法律の範囲内で独自規定を条例で定めることができるが、情報公開条例との整合確保と無関係な非開示情報を追加することや、法で定める開示決定等の期限を延長することは「許容されない
としている。

●条例の「リセット」を迫る平井デジタル大臣

 政府は国会審議では当初、自治体は保有する情報に一般的な管理権があり、地域の特性に配慮した要配慮個人情報の内容は自治体が条例で定めることができるとしているので、全てが画一的な制度になっているものではないと、 条例で独自の規定をすることを認めるかのような説明をしていた(3月17日衆議院内閣委員会塩川委員への答弁)。
 しかし3月19日の衆議院内閣委で平井デジタル担当大臣は、「現行の地方公共団体の条例の規定は、基本的には改正法の施行までに一旦リセットしていただくことになり、独自の保護措置として存置する規定等については改めて規定していただくことになる 」と答弁した。存置できる事項について政府参考人が説明したが、事務的な手続に関することばかりだった。
 この「リセット」発言には、野党だけでなく与党委員からも「自治体が熟議を重ね、独自に築き上げてきた個人情報保護条例をいとも簡単にリセットという、こういった表現をされるというのは、地方議会出身の私としましてはいささか釈然としない」など批判が集まった。

●地方自治の最大限尊重を求めた国会

 平井大臣も答弁しているように、日本の個人情報保護法制は地方公共団体の先進的な取組により主導されてきた(下記経過年表参照)。平井大臣は「今後、法の施行のためのガイドラインの策定や個人情報保護法の定期的な見直しを行う際は、住民に密着した行政を行う地方公共団体の意見や提案を積極的に反映していくことが重要である」とも答弁している
 デジタル改革法を審議した国会では、個人情報の利活用と連携・標準化・共同化の拡大にともなう個人情報保護の危うさが指摘され、多くの付帯決議が付された。その中で自治体の個人情報保護条例の制定にあたっては地方自治の本旨の最大限尊重や、全国共通ルールについて国の法令を押しつけるのではなく法令の見直しも検討すべきことを求めている。
 個人情報保護委員会の条例による「上乗せ横出し」を「許容されない」と拒み国の法令を押しつける姿勢は、このような国会の意思を軽視するものだ。

     衆参両院の内閣委員会の付帯決議
「四 2 地方公共団体が、その地域の特性に照らし必要な事項について、その機関又はその設立に係る地方独立行政法人が保有する個人情報の適正な取扱いに関して条例を制定することができる旨を、地方公共団体に確実に周知するとともに、地方公共団体が条例を制定する場合には、地方自治の本旨に基づき、最大限尊重すること。また、全国に適用されるべき事項については、個人情報保護法令の見直しを検討すること。」
 ※衆議院内閣委員会の付帯決議全文はこちら
 ※参議院内閣委員会の付帯決議全文はこちら 

         (筆者作成年表)

●個人情報保護条例の多様性は自治の証

 住民に信頼される行政を進めるために、自治体は国に先行して住民参加で個人情報保護に努めてきた。その結果、下記総務省調査のように条例の規定には多様性がある。

           総務省提出資料

 政府はこの条例の多様性を「2000個問題」として、自治体毎の相違がデータ流通の支障だと問題視している。しかし改正前の個人情報保護法第5条は自治体の責務として、その区域の特性に応じて個人情報の適正な取扱いを確保するために必要な施策を策定し実施することを求めてきた。条例の多様性は、自治体がその責務を果たすために努力してきた結果であり、それを「2000個問題」などと批判する資格は国にはない。
 相違をなくすだけなら、規制の厳しい自治体の基準に共通ルールを揃える方法もある。しかし政府は下図のように、条例の独自保護措置の「上乗せ横出し」をカットして国の法律の枠内に揃えようとしており、自治体の意見や提案を積極的に反映させる姿勢はない。

「個人情報保護制度の見直しに関する最終報告」概要より

 今回の法改正は「保護水準の低い地方公共団体がある」とか、GDPRなどとの国際的な制度調和など個人情報保護の向上を装っている。しかしその意図は、いままで住民情報の保護を目的として作られてきた条例を、国や企業が住民個人データを利用するのに支障になるとしてリセットし、「デジタル化に対応した個人情報保護とデータ流通の両立」と称して利活用を進めようとするものだ。
 私たちは行政手続の必要や行政サービスを受けるために、個人情報を提供している。その情報を勝手に提供して他の目的に利活用することは、プライバシーの侵害であるだけでなく、行政に対する信頼を損ない、行政への手続を躊躇わせることになる。

●「地域の特性」を判断するのは自治体

 改正法は要配慮個人情報については「条例要配慮個人情報」を新設して、「地域の特性その他の事情」により「取扱いに特に配慮を要するもの」を条例で定めることを認めている。
 要配慮個人情報とは、差別の原因になるなど慎重な取扱いを要する個人情報で、2015年の個人情報保護法改正で新設され、人種、信条、社会的身分、病歴、前科、犯罪被害の他、政令で障害、健診結果、保険指導・診療調剤情報、刑事事件手続や少年の保護手続が規定されている。本人同意なしに提供できないなどより厳しく保護される。
 しかしこの条例要配慮個人情報について「個人情報保護制度の見直しに関する最終報告」(40頁)では、地方公共団体の施策により保有する情報で国の行政機関では保有が想定されず国の法律に規定のない情報、例えば「LGBTに関する事項」「生活保護の受給」「一定の地域の出身である事実」等に限定し、国の法律を上回る規定は認めていない。

 また国会審議で政府参考人は、オンラインの結合の禁止については地域的な特性ということではないので条例で基本的には禁止はできない、という説明をしていたが、これは政府の勝手な解釈でしかない。
 住基ネットに対して、横浜市と同様に「段階的参加」を認めることを求めて国を訴えた杉並区の当時の山田宏区長(現自民党参議院議員)は、東京地裁に提出した陳述書(第8回口頭弁論 甲第41号証 )で、杉並という地域の特性として、高い自治意識からプライバシーについて敏感な反応を示してきたことを、1978年の電算個人情報保護条例制定の際の住民直接請求運動や、情報公開や個人情報保護条例のいち早い制定などを例に主張していた。
 杉並区の電算条例制定の際の杉並区個人情報保護対策研究協議会は、「国民総背番号制に反対するという意味からも、・・・国や他の地方公共団体との結合はしない、ということを基本にすえる必要がある」と答申し、オンライン結合を制限する条例を制定している。

 住民情報を保護するのは自治体の責任であり、その地域の特性を判断するのは自治体だ。多様であるがゆえに足らざるところもある自治体の条例の保護水準の向上は、地方自治を尊重しながら漸進的に進めるべきであり、デジタル化への移行のために「ショック・ドクトリン」でリセットすることなど許されない。

↓法改正参考資料(矢印をクリックすると画面が変わります)

20210605-1

デジタル監視法案を廃案へ!
院内集会で衆議院審議を検証

 デジタル改革関連6法案は、2021年5月12日の参議院本会議で可決成立しました。共通番号いらないネットは、5月13日に声明「市民監視を強化するデジタル改革関連法案の採決に抗議する」を発表しました。
 声明はいらないネットのサイト(こちら)に掲載しています。(2021年5月14日追記)

 菅政権の目玉政策であるデジタル改革関連6法案は、5法案が4月6日の衆議院本会議で採決され、4月16日には地方自治体の情報システムを標準化する法案も衆議院本会議で採決され、連休明けにも参議院で可決・成立が目論まれています。
 付帯決議が衆議院の内閣委員会総務委員会で合わせて43本もついたように、問題だらけの法案です。デジタル化礼賛一色だった世論も、法案の問題が知られるにつれて批判的な意見が増えてきました。
 新型コロナ対応の失敗をデジタルの遅れのせいして、それを口実に行政の縦割りを打破する突破口として強力な権限を持つデジタル庁を創設し、マイナンバー制度を基盤に個人情報の利活用と国民監視強化を「一気呵成」に進めようという法案です。
 4月27日(火)午後、衆議院第二議員会館第3会議室で、デジタル法案の衆議院審議を検証する院内集会が、 共謀罪NO!実行委員会、「秘密保護法」廃止へ!実行委員会、NO!デジタル庁の共催で開催されました。
 当日の資料 「デジタル法案衆議院審議の検証」 を掲載します。(画像をクリックすると左上の矢印で頁がめくれます)
※この資料は、衆議院の内閣委員会・総務委員会での審議を、審議録が公開される前にインターネット中継等を参考に作成したものです。
 正確な答弁内容は国会会議録検索システム等で確認してください。
 参議院の内閣委員会での付帯決議はこちら、総務委員会での付帯決議はこちら (5月14日追記) 。

20210427

    資料のダウンロードはこちらから
    院内集会の録画はこちらから

デジタル監視法案廃案に向けた行動に参加を

5・6デジタル監視6法案に反対する行動
■日時: 5月6日(木)12時30分~13時
■場所: 衆議院第二議員会館前
■挨拶: 国会議員
■発言: 市民団体
■共催: 共謀罪 NO !実行委
     「秘密保護法」廃止へ!実行委員会
    NO !デジタル庁
■協賛:戦争させない・9条壊すな!総がかり行動実行委

5・6デジタル監視6法案に反対する院内集会
■日時:5月6日(木)13時30分~15時30分
■会場:衆議院第二議員会館多目的会議室
■挨拶:国会議員
■お話:個人情報<利活用>の課題
   -デジタル関連法で何が変わるのか-
     山田健太さん(専修大学=言論法)
■共催:共謀罪NO!実行委員会
    「秘密保護法」廃止へ! 実行委員会
    NO!デジタル庁  
■オンライン配信 https://youtu.be/Uqh4jzFMc08

共謀罪 NO !実行委 、秘密保護法」廃止へ!実行委
NO!デジタル庁  デジタル庁反対院内集会の記録

デジタル庁と監視社会
–オールデジタルにならない社会を目指して-

■日時:4月6日(火)13時30分〜15時 30分
■会場:衆議院第2議員会館第4会議室
■お話:小倉利丸さん (批評家)
    お話の資料はこちらから
 院内集会の録画はこちらから

個人情報保護法改正の問題点
■日時:2021年3月24日(水)15時〜
■会場:衆議院第一議員会館 地下1階 第5会議室
■お話:三木由希子さん(情報公開クリアリングハウス理事長)
  院内集会の録画はこちらから

デジタル化される医療と教育
-人間の生涯管理に道を開くデジタル化-

■日時:2021年 3月 9日(火)13時30分~15時30分
■場所:衆議院第 2議員会館第2会議室
■お話:人間の生涯管理に道を開くデジタル化<医療編>
    知念 哲さん(神奈川県保険医協会)
    お話の資料はこちらから
■お話:デジタル化で狙われる「教育データ」     
    伊藤拓也さん (全国学校事務労働組合連絡会議)
    お話の資料はこちらから
 院内集会の録画はこちらから

デジタル庁下のマイナンバー制度
-「利用拡大」から「再構築」ヘ-

■日時:2021年2月 8日(月)13時30分~15時30分
■場所:衆議院第 2議員会館第4会議室
■お話:原田富弘さん (共通番号いらないネット)
    お話の資料はこちらから
 院内集会の録画はこちらから

デジタル庁なんていらない1・18院内集会
■日時 2021年1月 18日 (月 )13時45分~16時00分
■会場 衆議院第2議員会館多目的会議室
■発言:海渡雄―さん(共謀罪対策弁護団)
    お話の資料はこちらから
■発言:原田富弘さん(共通番号いらないネ ット)
    お話の資料はこちらから
 院内集会の録画はこちらから

国会行動などの記録はこちらから
個人情報保護法改悪についてはこちらも参照

コロナ予防接種で崩される!
マイナンバーの個人情報保護(3)

●1億人のマイナンバーと個人情報を民間で一括管理

 4月12日から新型コロナの予防接種が、高齢者を対象に始まろうとしている。
 この予防接種の接種記録システム(VRS)は、本ブログ「コロナ予防接種で崩される! マイナンバーの個人情報保護」( )で指摘してきたように、マイナンバー制度の個人情報保護措置にことごとく反している。
 「全国民」のマイナンバーと住所・氏名・生年月日・性別、さらに接種の有無という要配慮個人情報を、社員約40名のベンチャー企業が一括管理し、データは外資系のクラウド(Amazon Web Services)で管理される。にもかかわらず、そのリスク評価や漏えい等の発生時の責任は曖昧だ。

●無視されるマイナンバー制度の個人情報保護措置

  「コロナ予防接種で崩される! マイナンバーの個人情報保護」で指摘したように、この接種記録システム( VRS )はマイナンバー制度の個人情報保護措置に反したシステムになっている。
 第1に、漏えい等のリスクを事前に自己点検する「特定個人情報保護評価」を、事後評価で構わないとしている。さらにその評価書の「ひな型」を国が用意して自治体が書き写すことを容認し、保護評価制度そのものを軽視している。番号法では特定個人情報保護評価を実施していなければ、マイナンバーの利用も情報提供も認められていない。
 第2に、自治体しか予防接種事務にマイナンバーを利用できないが、この VRS は国が開発し国のシステム内の論理的に区分された各市区町村の領域でマイナンバーにより接種記録を保管し管理する。利用事務の法定という番号法の個人情報保護措置に反している。
 第3に、「収集・保管」が認められない国に自治体からマイナンバーを含む個人情報を提供するために、国のシステムへの提供ではなく受託業者と市区町村の業務委託による提供だと説明している。委託業者のシステムへのアップロードだから国への提供ではない、という脱法的解釈だ。
 第4に、漏えい等のトラブルについて国が全責任を負うと言っているが、自治体は委託先である(株)ミラボに対して監督責任を負うことも明記し、番号法上は自治体が責任を負う。自治体は国のつくった内容も運用実態もわからないシステムを監督しなければならず、危うい監督体制になっている。
 第5に、番号法では市町村間の情報連携は安全措置として情報提供ネットワークシステムを使わなければならないが、 VRS では番号法19条15の意識不明者への緊急治療時を想定した例外規定を適用して、市町村間での提供を認めるという拡大解釈をしている。

●マイナンバー法を逸脱する状態は解決していない

 その後1カ月たったが、これらの問題点は解消しないままシステムが運用される。
 全国知事会は2月27日の緊急提言で、政府にマイナンバー法等との整合性を明らかにすることやトラブルについて国の責任で対応することを求めていた。しかし3月20日の下記資料の対応状況を見ても、国はまったく説得力のない拡大解釈しか示していない。

2021.3.20全国知事会新型コロナウイルス緊急対策本部資料4より

●自治体から寄せられる疑問の声

 このようなシステムには、自治体から多くの疑問が出されている。政府のワクチン接種記録システム(VRS)のサイトに掲載されている自治体の質問と回答の中からいくつか抜粋して紹介する(番号はFAQ一覧表のNo 。 日付は回答日)。

システムの利用は義務ではなく、マイナンバーを利用しないことも可能むしろマイナンバーを利用すると面倒

 No95「VRSを使用しないことは認められますか(使用は義務ですか)」の問いに「全自治体が利用することを前提としています( 3月18日)」と回答しているように、システムを利用することは義務ではなく、市町村が利用を判断しなければならない。
 またマイナンバーの利用については、No96「マイナンバーを除く運用での参加も可能でしょうか」に対し「マイナンバーを活用せず接種記録システムを使用することは想定しておりません(3月18日)」と回答し、想定はしていないができないとは回答していない。
 システム上もマイナンバーの利用は必須ではない。システムへのデータの記録(消し込み)は「自治体コードと接種券番号」により行う(2月24日 No29 )。マイナンバー以外の項目だけ登録することも可能だ (3月18日 No269) 。接種会場でマイナンバーやマイナンバーカードを扱うことはない(3月5日 No78 )。転入者の過去の接種歴の確認は「本人同意の上マイナンバーで検索するか、もしくは3情報(氏名・生年月日・性別)を用いる」 (3月18日 No243) のでマイナンバーがなくても可能だ。
 むしろマイナンバーで検索するためには本人同意が必要で、「書面での同意にするか、口頭での同意にするか」各自治体で判断する必要があり(2月24日 No20)、世帯員の同意ではダメであくまで本人が行う必要がある(3月18日 No246)など手間がかかるので、3情報での検索の方が簡便だ。
 しかもシステムには転入先自治体で本人同意をとっているかを転出元自治体が確認できる機能は実装されておらず(3月23日 No317)、接種情報を提供する転出元市町村は本人同意がないのに提供するリスクがある。「今回のマイナンバー法第19条第15号の適用は「本人の同意を得る」ことを前提とするという解釈」(3月18日 No286)になっており、同意なく提供すると番号法違反になる。

 市区町村コードと宛名番号で対象者を検索できるのに、わざわざマイナンバーが必要である理由として「異なる市町村間で迅速に照会・提供を行うために、マイナンバーを用いる」必要があるとしている(3月1日 No84)。市町村内では予防接種記録はマイナンバーがなくても宛名番号(住民を一意に特定するために自治体内部で付番している番号)等で確実に管理されている。3情報(氏名・生年月日・性別)で他自治体に照会可能なら、マイナンバーを必要とする理由がない。
 そもそも今回の予防接種の対象者の中は、マイナンバーのない者も含まれる。接種日に住民基本台帳に記録されている者を対象としているが、「戸籍又は住民票に記載のない者その他の住民基本台帳に記録されていないやむを得ない事情があると市町村長が認める者についても、当該者の同意を得た上で、接種を実施することができる。」(「新型コロナウィルス感染症に係る予防接種の実施に関する手引き」8頁)。システムも、住所が設定できない方についての登録は可能となっている(3月18日 No196)。

市区町村は特定個人情報保護評価を行う必要がある

 事後でよいとされてはいるが、特定個人情報保護評価は実施する必要がある。個人情報保護委員会と調整した「特定個人情報保護評価関連の質問と回答」のQ1では、次のように評価の必要が説明されている。

 今般の新型コロナウイルスワクチンの接種に関する事務において、新システムを利用する場合、既存の予防接種に関する事務に加えて新型コロナウイルスワクチンの接種記録の管理等を行うため、特定個人情報等の取扱いについて、主に次の取扱いが新たに生じることが想定され、特定個人情報保護評価が必要となります。
①新型コロナウイルスワクチンの接種記録を特定個人情報ファイルとして取り扱う
②予防接種台帳を管理するシステム等から新システムへの特定個人情報の登録
③新システムを利用したワクチン接種記録の管理及び他市町村との接種記録の照会・提供(情報提供ネットワークシステムは使用しない)(2月17日更新)

 システムでマイナンバーを利用する限り、すべての市町村が特定個人情報保護評価の「基礎項目評価書」を作成し公表しなければならない。さらに人口(接種対象者)1万人以上の市町村では「重点項目評価書」を、10万人以上の市町村では「全項目評価書」を作成しなければならない。「全項目評価書」作成のためにはパブリック・コメントの実施が必須だ。事後評価であってもパブリックコメントは必要だ (3月22日 No316)。
※「接種対象者登録」の対象者は曖昧で、(1)全住民 (2)16歳以上の住民 (3)接種券発送者(初回は65歳以上の住民)のいずれとしてもいいとなっているが、「今後16歳未満も接種対象となりえますので、(1)で送っていただくことが望ましい」(3月22日 No290)とされている。

 特定個人情報保護評価を事後でも良いとしたり、そのひな型を国が示してコピペを容認することは、リスクを事前に自己点検する制度の趣旨に反し不当だ。事後評価でいいとする理由は、「実施機関が評価を事前に実施することが困難である場合には、緊急時の事後評価の規定の適用対象となる」というものだが、事後評価であっても「可及的速やかに評価を実施していただくことが必要」だ(2月24日 No80)。
 予防接種の開始がワクチン調達などにより遅れており、事前評価の趣旨からは「事後でいい」ではなく可及的速やかに実施する必要がある。しかし国は本日(4月11日)までに評価の再実施に必要な評価書のひな型を示しておらず、「できるだけ早くお示しできるよう、現在検討中です。」 (3月30日 No342)と回答している。

市区町村は個人情報保護条例での判断も必要

 市区町村の個人情報保護条例での対応も必要だ。「本接種記録システムにおけるマイナンバーの提供については、番号法第19条第15号(「人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるとき」)に該当するため、自治体側での条例整備等は不要」(3月5日 No86)と回答している。しかし意識不明者への救急治療など緊急事態における特定個人情報の提供を想定した例外規定(「番号法逐条解説」47頁)を市町村間の情報連携に適用するという、こんなトンデモ解釈を自治体が認めるのかどうか、判断が必要だ。
 なおマイナンバーを登録するか否かに関わらず、ほとんどの自治体条例で規定しているオンライン結合の制限規定にシステムは抵触する。「一般に、地方公共団体の条例には、オンライン結合について原則禁止としつつ例外的にオンライン結合制限を可能とする規定を置かれております。その場合には、条例に基づき判断する必要があると考えます。 (4月1日 No348) 」と回答しているように、いずれにせよ市区町村の個人情報保護審議会などでの判断が必要になる。

責任分担の曖昧なセキュリティ対策

 このシステムは 「全国民」のマイナンバーと個人情報を、健康情報システムに実績のある社員約40名のベンチャー企業が一括管理し、データは外資系のクラウド(Amazon Web Services)で管理するという、マイナンバー制度では前例のないシステムだ。最近も年金情報の業務委託先からの中国への漏えいやLINEの個人情報が韓国で保管されたり中国から閲覧可能になっていた問題などが相次いで発覚している。接種記録システムから漏えいや不正利用が発生すれば、その影響はこれらの問題の比ではない。

 漏えいや不正利用などのセキュリティについて、国は 「ワクチン接種記録システム(VRS)への御協力のお願い 」(2021.3.5)で自治体に、「システムの利用に関する障害やシステムから個人情報の漏えいが発生する等のトラブルについては国が全責任を負う」(5頁)と通知しているが、同時に「各自治体は、特定個人情報の取扱いの委託を前提として、番号法第11条に基づき、ミラボ社を監督する立場になります。その際の具体的な実地検査又は報告要求の方法については、自治体の過大な負担にならないよう検討し、追って連絡致します。」(6頁)と、自治体の監督責任も明記している。
 しかし「接種記録システムは、国が(株)ミラボ社と契約して開発したシステムを提供」しており、市町村でセキュリティなどを判断することは困難だ。システム利用終了後のデータ消去方法やサーバ等の機器廃棄方法についての問いに、「 VRSはクラウドサービスとなっており、サービス終了とともにデータ消去されます」 (3月22日 NO307)と回答されているが、どうやって市区町村がアマゾン・ウェブ・サービスに調査確認できるのだろうか。

 情報提供等の記録について住民から開示請求があった場合の対応も、開示請求の受付は各自治体が行うが、各自治体はミラボ社から「情報提供等の記録」を入手し対応することとなり、当該記録の入手に当たっては内閣官房情報通信技術(IT)総合戦略室に連絡しミラボ社へ連絡することになっている (3月26日 No 341) 。提供記録は自治体にない。
 自治体はこのようなマイナンバー法からの逸脱に対して住民から訴訟を起こされることを心配しているが、国は「仮に各自治体に対し訴訟を提起された場合は、各自治体は国に訴訟遂行を求めることができます。」 (3月30日 No345) と回答している。 

なぜマイナンバー法に従ったシステムにしないのか

 この接種記録システムは恒久的なシステムではなく、「現時点においては、新型コロナウイルス感染症ワクチン接種用として構築を進めている」(3月18日 No98 )。本来、番号法では自治体間の情報連携は危険防止のために情報提供ネットワークシステムを使うことになっている(3月5日 No90)。
 このシステムについても「本来、予防接種情報については情報提供ネットワークシステムにおいて情報連携することとしており、新型コロナウイルス感染症対策ワクチンの接種情報についても、今後、データ標準レイアウトを定義の上、同システムを通じた情報連携を実施予定」(「 VRS)への御協力のお願い 」6頁)となっており、 R4.6のデータ標準レイアウト改版までに情報ネットワークシステム経由での情報連携に対応させる ( 3月18日 No151)と回答している。

 いままで番号法では可能になっているにも関わらず情報連携が利用されなかったのは、予防接種を医療機関に委託実施しているため接種結果を自治体が予防接種台帳に記録するまで一定の時間がかかっていたためだ(厚労省2017.10.26 事務連絡)。そのため母子手帳などでの確認を優先してきた。
 今回、48億円を使ってタブレットを接種会場にレンタルし、接種券を読み取ってシステムに接種記録を登録することにしている。このような方法で台帳への記録時間が短縮できるのであれば、 番号法のルールにしたがって情報提供ネットワークシステムを利用してもVRSと同様のことは可能になる。

 ただこのタブレットを使った入力が、とくに医療機関での個別接種で順調にいくかはわからない。自治体からの「個別接種の医療機関からVRSの協力が得られない場合、市職員がタブレットを持ちまわるのは現実的に難しいと思われるが、このような事態が生じた場合はどのように対処すればよいか?」の問いに、「個別接種の医療機関からどうしてもVRS登録の協力が得られない場合は、予診票を回収の上登録をお願いします(業務委託でも問題ありません)」 (3月22日  No293 )と回答している。これでは従来と大差なく、リアルタイムでの把握はできない。
 医療機関にとってもこのタブレットを使った入力は負担が大きいのではないか。とくに一つの医療機関で複数の市町村の住民が接種した場合、「タブレットと自治体の組み合わせはシステム上固定されていますで、それぞれのタブレットで接種券の読み取りを行ってください」 (3月25日 No324)となっており、これでは医療機関は各自治体のタブレットを用意する必要がある。

●デジタル庁に向けた脱法的システムづくり?

 そもそも新型コロナ予防接種にマイナンバーを使うというのは、1月19日の記者会見での平井デジタル担当大臣の「ワクチン接種に向けて、マイナンバーを使うことを強く私は要望したい」との突然の発言に端を発している。記者会見では、「今回使わなくていつ使うんだ」「マイナンバー担当として、マイナンバーは使えないというような状況だけは避ける」などと発言していた。
 すでに各自治体の予防接種管理台帳と厚労省が昨年夏から構築してきたワクチン接種円滑化システム(V-SYS)によって予防接種を準備してきた自治体医療機関は、このような唐突なマイナンバー利用に対して困惑していた。

 この接種記録システムを平井デジタル担当は「この情報の話というのはこれからいろんな分野のガバメントクラウドの話の前哨戦」と言い、「デジタル庁の試金石」と報じられている。新型コロナへの不安を利用して接種記録システムを突破口に、マイナンバー制度の個人情報保護措置を空洞化して個人情報の利活用と国家による管理を進めようとする意図も感じられる。それはまさにデジタル庁が目指していることだ。
 市区町村は国に先行して個人情報保護条例を制定し、住民の個人情報の保護に努力してきた。しかしその条例を国は「リセット」し、オンライン結合制限規定を廃止させ、個人情報保護審議会で情報の収集・提供・利用について審議することを認めないデジタル関連法案を国会に提出している。このシステムに市区町村がどう対応するかは、自治体がこれから住民の個人情報保護にどう取り組んでいくかの試金石だ。

マイナンバーの危険性を増す
デジタル法案衆院可決に抗議

 2021年4月2日の衆議院内閣委員会で採決されたデジタル改革関連法案は、4月6日の衆議院本会議で、デジタル改革関連6法案のうち総務委員会に付託される地方公共団体の情報システムの標準化法案を除く5法案を一部修正し可決した。審議は参議院に移ろうとしている。

●デジタル庁で現実化するマイナンバー制度の危険

 共通番号いらないネットは、マイナンバー制度をますます危険にするデジタル庁構想に反対し、リーフレットNo9を発行してその危険性を訴えるとともに、廃案に向けて共謀罪NO!実行委員会秘密保護法」廃止へ!実行委員会デジタル監視法案に反対する法律家ネットワークデジタル改革関連法案反対連絡会などとともに、国会行動に取り組んできた。

 2015年に始まったマイナンバー制度に危険性があることは、政府みずからマイナンバーを用いた個人情報の追跡・名寄せ・突合による人権侵害や、集積・集約された個人情報の大量漏えい、成りすましなどによる財産その他の被害、国家による個人情報の一元管理などを認めてきた。
 ただ利用事務の法定や個人情報保護委員会の設置、特定個人情報保護評価による事前チェック、罰則、分散管理や情報連携にマイナンバーを用いないシステムなどの個人情報保護措置によって、その危険性は現実化しないと説明してきた

 しかし利用が広がらないマイナンバー制度に危機感を募らせた政府は、これら個人情報保護措置が普及を妨げているとみて、保護から利活用への転換をコロナ禍を利用して一気に進めようとしてきた(「新型コロナ危機に便乗してデジタル変革推進の骨太方針」)。2020年6月にデジタル・ガバメント閣僚会議に設置された「マイナンバー制度及び国と地方のデジタル基盤抜本改善ワーキンググループ」の「報告」が、デジタル改革関連6法案の基になっている。
 問われているのはマイナンバー制度という個人を特定識別して個人情報を分野を超えて生涯にわたりひも付けて管理することを目的とした仕組みを基礎としたデジタル化の是非であり、デジタル化一般の是非ではない。
 デジタル庁は権限と予算を集中する強力な司令塔として、マイナンバー制度の個人情報保護措置を切り崩しながら個人情報の利活用の推進と個人情報の国家管理システムの再構築をするために設置されようとしており、マイナンバー制度の危険性が現実化する。

●性急な法案の一括審議で誤りが多発

 今回の法案は、60以上の法律を一括して改正する束ね法案だ。法律の中には2001年に施行されたIT政策の基本法の全面改正や、40年以上の歴史を持つ国と地方自治体の個人情報保護法制を統合し全面改正する法案など基本法の改正も含まれる。国のあり方、行政の仕組みを左右する法改正であり、27時間程度の内閣委員会の審議時間では到底は足りない。
 膨大な法案を「一気呵成」に改正しようとする菅政権の性急な姿勢は、法案資料のかつてない多数の誤りを生んだ。「地縁」を「地緑」とするなど字句の誤りが報じられているが、整備法案の正誤表のほとんどは個人情報保護法制関係の条文の誤りだ。昨年改正された個人情報保護法がまだ未施行の状態で、さらに国関係の保護3法を整備法第50条で統合し、その上地方自治体の条例を整備法第51条で国基準化するという、複雑な改正内容が誤りの原因だ。
 平井デジタル担当大臣は法案資料誤りの責任を職員に押しつけているが、性急な一括改正が原因であり、デジタル庁により一気呵成に改革を進めようとすれば、このような乱暴な法改正の続発が危惧される。

●崩れた「一括法案」にする根拠

 本来、個々に検討すべき重要な法案を一括審議する理由として、平井デジタル担当大臣は密接不可分に関係する法制上の措置だからと述べていた。しかし6法案の一つである地方自治体の情報システムの標準化法案はまだ審議も始まっておらず、なんと4月6日の衆議院本会議で5法案が採決された後に趣旨説明が行われ、これから総務委員会で審議が始まる。
 密接不可分だから束ね法案にしたのなら、なぜ地方自治体情報システム標準化法案の審議が終了してから本会議で一括採決しないのか。一括法案の理由は崩れている。一括審議が必要だと主張するのであれば、参議院での審議は衆議院で6法案の採決がされた後に始めなければおかしい。

 とくに問題は、整備法(デジタル社会の形成を図るための関係法律の整備に関する法律案)の大部分を占める個人情報保護法制の改正だ。法案作成のプロである官僚も誤るような分かりにくい法改正であり、市民に理解困難な法改正で自らの個人情報の扱いが決められていくこと自体が、情報の自己決定権の侵害であり人権侵害だ。
 すくなくとも個人情報保護法制の改正は、参議院では一括法案から切り離して慎重に審議を進めるべきだ。

●内閣委で5本の修正案、28項目の付帯決議

 短期間の衆議院内閣委員会での審議だったが、そのなかでも多くの問題が明らかになった。内閣委員会採決にあたり28項目の付帯決議がされたことにも、いかに問題の多い法案かが示されている。採決の概要は以下のとおり。

デジタル社会形成基本法案について

デジタル社会形成基本法案に対しては、3本の修正案が出された。
1)立憲民主党後藤委員提案の自民・公明・立憲の3党修正案は、基本理念の第8条(利用の機会等の格差の是正)において、格差の要因の一つとして「身体的な条件」が記載されていることに対して、障害には知的障害や精神障害など様々な態様があり、「身体的な条件」を「障害の有無等の心身の状態」に改めるもの。
 採決の結果、賛成多数で修正された。

2)日本維新の会足立委員提出の自民・公明・維新の3党修正案は、基本理念の第9条(国及び地方公共団体と民間との役割分担)において、国と地方公共団体の役割として「国民の利便性の向上並びに行政運営の簡素化、効率化及び透明性の向上」が挙げられていることに対して、「公正な給付と負担の確保」も明記するよう求めるもの。
 提案趣旨は「所得と資産を捕捉した上で、取るべきところから取り、手を差し伸べるべき方々にしっかりと手を差し伸べる、そうした公正な給付と負担の確保というデジタル社会の理念」はマイナンバー法の目的でもあるので明記すべし、というもの。
 採決の結果、賛成多数で修正された。

3)立憲民主党後藤委員提案の修正案は、3点の修正を求めた。 趣旨は
・データ利活用の必要性に異論はないが、政府原案は国や企業によるデータの利活用推進に偏っており、個人情報保護の観点が欠落している
・政府原案では地方公共団体の情報システムの共同化・集約の推進が義務づけられているが、これでは自治体は国が用意する画一的なシステムを前提としたシステム改修を余儀なくされる
・政府原案では、デジタル社会の形成に関する重点計画の作成等に当たって、地方六団体の意見を聞くことになっているが、システムを利用する職員の意見にも耳を傾ける必要がある
というもの。

 修正案の内容は
①デジタル社会の形成に当たっては、情報の活用により個人の権利利益が害されることのないようにするとともに、高度情報通信ネツトワークの安全性及び信頼性の確保を図らなければならない
②国及び地方公共団体の情報システムの共同化及び集約の推進は、努力義務とする
③重点計画の案において地方自治に重要な影響を及ぼすと考えられる施策について定めようとする場合の意見聴取先として、地方六団体のみならず、地方公共団体の職員が組織する団体の全国的規模の連合体その他の関係者を追加する
 採決の結果、賛成少数で否決された。

 政府原案は自民・公明・維新・国民民主の賛成、立憲・共産の反対で、修正可決された。

デジタル庁設置法案について

 修正案はなく、政府原案が自民・公明・立憲・維新・国民民主の賛成、共産の反対で可決された。

デジタル社会の形成を図るための関係法律の整備に関する法律案について

 立憲民主党後藤委員より、5点の修正が提案された。趣旨は
・データ利活用の必要性に異論はないが、個人情報には性的マイノリティーに係る情報などセンシティブな情報もあり、これらは利活用にはなじまない
・政府原案では、行政機関等の間で「相当な理由」があれば個人情報の目的外の利用・提供が可能だが、目的外利用・提供は限定的かつ慎重に行われるべき
・憲法13条は自己の個人に関する情報の取扱いについて自ら決定できる権利も保障されているという考え方が多くの憲法学者に支持されているが、政府原案は国や企業のデータの利活用ばかりに目が向いて、個人に関する情報の自己決定権を認めないばかりか、そもそも個人情報保護法の目的に個人情報を保護することという文言すら入れておらず、個人の権利や利益の保護という観点が不十分
・地方公共団体は、デジタル化の進展に伴う個人情報の保護に対する住民からの懸念に対応するため、国に先んじて条例に基づく独自の個人情報保護制度を築き上げてきたが、委員会審議において政府は、地方公共団体が条例で規定できる独自の保護措置について、法律で特に認められた事項以外は基本的に認めないという立場を繰り返し示しており、重大な懸念を持つ
・政府原案では、マイナンバーカードの情報をスマートフオンに搭載できるようになるが、政府はマイナンバーカードの発行自体は必要であるとの立場を崩しておらず、マイナンバーカードの発行に係る地方公共団体や住民の負担は軽減されない。スマートフオンヘの搭載が行われてもマイナンバーカードを発行しなければならない理由が全く理解できない
と説明された。

 修正案の内容は
1)電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律について、地方公共団体情報システム機構が、署名利用者の同意がある場合において、署名検証者等の求めに応じて提供する特定署名用電子証明書記録情報の中から、当該署名利用者の性別に関する情報を除くこと(法案は下図参照)
2)個人情報保護法の目的に、憲法が保障する個人に関する情報の取扱いについて自ら決定する権利を確固たるものとする必要があること及び個人情報を保護することを明記すること
3)個人情報保護法の規定は、地方公共団体が、その機関と地方独立行政法人が保有する個人情報の適正な取扱いに関し、 地域の特性その他の事情に応じて、条例で必要な規定を定めることを妨げるものではない旨を明記すること
4)行政機関の長等が利用目的以外の目的のために保有個人情報を自ら利用できる場合について、行政機関等がその保有個人情報を利用しなければ法令の定める所掌事務又は業務の適正な遂行に著しい支障を及ぼす場合であり、かつ、他にこれに代わるべき方法がない場合であって、その保有個人情報の利用目的以外の目的を達成するために必要最小限度の範囲で利用するときに限定すること
5)政府は、マイナンバーカードの電子証明書をスマートフォンに搭載(移動端末設備用電子証明書)する際、マイナンバーカード用の電子証明書の発行の有無にかかわらずその発行を受けることができるようにするため、施行後一年以内を目途にその具体的な方策について検討し、その結果に基づいて法制上の措置その他の必要な措置を講ずること

 修正案は賛成少数で否決され、政府原案は自民・公明・維新・国民民主の賛成、立憲・共産の反対で可決された。

 民間の署名検証者へ個人情報提供(政府の法案説明資料より)

公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法案について

 預貯金口座へのマイナンバーの付番関連では、
1) 公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律(口座登録法案)
2) 預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律案 (口座管理法案)
2法案が提案されている。
 この口座登録法案では、預貯金者が公的給付の支給を受けるための預貯金口座を一つ、マイナンバーとともに登録し、 デジタル庁令で定める公的給付や資金貸付、税等の還付にマイナンバーを利用可能にするとされている。
 また口座管理法案では、 預貯金者がマイナンバーにより口座を管理されることを希望する旨の申出をすることができるとともに、預金保険機構を介して預貯金者の希望により他の金融機関の口座にもマイナンバーを通知可能にし、災害時や相続時に被災者や相続人に預貯金口座に関する情報を提供可能にしている。

 昨年6月、自民・公明・維新の3党が緊急時の迅速な給付のために任意でマイナンバーとひも付けた口座を登録する議員立法を提案するとともに、政府に全ての口座へのマイナンバーひも付け義務化について検討するよう求めていた。これに対し高市総務大臣(当時)は、給付のためにマイナンバーを付番した1人1口座の登録義務づけと、希望者について全口座にマイナンバー付番をする考えを示していた(「混乱するマイナンバーの口座への付番理由とその狙い」参照)。
 義務化について2015年に改正された現行法では、金融機関はマイナンバーで口座を管理できるようにする義務は負っているが、預貯金者がマイナンバーを提供するのは任意となっている。今回の法案では、政府は国民が番号を金融機関に告知する義務は引き続き規定しないものの、 金融機関が預貯金者に対してマイナンバーを利用して管理することを承諾するかどうかを確認することを新たに義務づけている(口座管理法案第3条2)。

 この預貯金口座の登録法案に対する修正案はなく、政府原案は自民・公明・立憲・維新・国民民主の賛成、共産の反対により可決された。

預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法案について

 国民民主党と日本維新の会より、マイナンバーの提供義務づけなど3点の修正案が提案された。
 提案趣旨は、政府原案は預貯金者の意思に基づきマイナンバーの口座付番を進めるものだが、情報の管理を効率化し情報を共有することで給付と負担の適切な関係の維持に資するとのマイナンバー制度の基本的な考え方からは、全ての預貯金口座への付番を強力に進めるべきであり、そのためには預貯金者の積極的な意思に基づくものではない場合でも預貯金口座への付番を進める必要があるというものだ。

 修正内容は、
1)金融機関に個人番号の提供を受ける義務を規定する。金融機関は少額の取引を除く金融に関する取引を行おうとする場合には、一定の事項を説明した上で、預貯金者の本人特定事項を確認するとともに、個人番号の提供を受けなければならない。
 預貯金者が本人特定事項の確認や個人番号の提供に応じないときには、金融機関は、預貯金者が確認に応じ、かつ、個人番号の提供をするまでの間、取引に係る義務の履行を拒むことができる
  また、金融機関が預貯金者の個人番号の提供を受けた場合には、 預貯金者の意思にかかわらず、他の金融機関の預貯金口座に預金保険機構を経由して付番がされる仕組みとする。
2)預貯金の内容等に関する情報の適切な管理について、金融機関が個人番号で管理している預貯金の内容等に関する情報について、漏えい、滅失又は毀損の防止などの適切な管理のための措置を講じなければならない
3)預貯金の内容等に関する情報の提供記録の作成及び保存の義務について、行政機関の長等は、金融機関に個人番号を利用して管理されている預貯金口座に係る預貯金の内容等に関する情報の提供を求め、又は金融機関から情報の提供を受けたときは、その記録を作成し保存しなければならない。
 また金融機関が行政機関の長等に対して個人番号を利用して管理している預貯金口座に係る預貯金の内容等に関する情報を提供する場合も、その情報提供に関する記録を作成し保存しなければならない

 この修正案は賛成が維新、国民、反対が自民、立憲、公明、共産で少数否決され、政府原案が自民・公明・維新・国民民主の賛成、立憲・共産の反対で可決された。なお立憲民主党は反対の理由として、預貯金者がどの金融機関に口座を持つかとの情報が預金保険機構に一元的に管理されることの懸念等を指摘している

コロナ予防接種で崩される!
マイナンバーの個人情報保護(2)

●コロナ予防接種システムはデジタル庁の前哨戦

 平井デジタル担当大臣が1月22日の記者会見で、このシステムがデジタル庁で進める「いろんな分野のガバメントクラウドの話の前哨戦 」と述べているように、 情報提供ネットワークシステムの基本設計の見直しなどデジタル庁でマイナンバー制度がどのように再構築されようとしているかを暗示するものとなっている。
 2月27日の本ブログ「コロナ予防接種で崩される?マイナンバーの個人情報保護」で指摘したように、政府が新たにつくろうとしている「ワクチン接種記録システム」には、自治体医療機関の負担を増加させるだけでなく、マイナンバー制度の個人情報保護措置のルールを逸脱する看過できない問題がある。
 3月5日には各市区町村向け事務連絡が発出され、よくある質問と回答 (FAQ)(特定個人情報保護評価関連は別紙)も更新された。指摘した問題のいくつかは説明されているが、その内容はますますルールからの逸脱を肯定するものになっている。「緊急時」「非常時」を口実にルール崩しを狙うシステム構築を認めてはならない。

コロナ予防接種で崩される?
 マイナンバーの個人情報保護( 2月27日 )
●具体化してきた接種へのマイナンバーの利用方法
●市長会「多くの都市自治体からは困惑する声が」
●マイナンバー制度をどう使おうとしているか
●増大する自治体や医療機関の負担
●「特定個人情報保護評価」の実施が必要と認める
●「有事」を理由に崩される個人情報保護措置
●マイナンバー制度のルールを外れた接種システム
●マイナンバーを使わない運用の検討を
●デジタル庁のマイナンバー再構築の前哨戦 ?

●問題1:特定個人情報保護評価制度が崩壊する

 マイナンバーを利用する事務では、漏えいや不正利用などのリスクを事前に自己点検する特定個人情報保護評価を、遅くともプログラミング開始前までに実施することが義務づけられている。
 しかし2月17日に更新されたFAQ(Q18、現「質問と回答」ではQ3)では、特定個人情報保護評価の実施が必要であることは認めたが、個人情報保護委員会との調整を行った結果として事後評価で良いとしている。システムの詳細が検討中で現状では評価を行えないことと、システム構築後に速やかに接種することが期待されていることから、特定個人情報保護評価の規則第9条第2項(緊急時の事後評価)の適用対象となり得るという解釈だ。
 しかし規則第9条第2項(緊急時の事後評価)は「災害その他やむを得ない事由」の場合であり、今回のような急な政策転換は理由にならない。事後評価ではリスクの未然防止にならず、「事前対応による個人のプライバシー等の権利利益の侵害の未然防止及び国民・住民の信頼の確保」という特定個人情報保護評価の目的が達成されない。

 しかもFAQ(Q17、現FAQではQ2)では、「評価書のひな型をIT総合戦略室で用意することを検討しています。」と注記している。従来からこの保護評価制度は、評価書をコピペしているのではないかと形骸化が指摘されていたが、ひな型を書き写すのでは自己点検にならない。それを個人情報保護委員会が認めてしまえば、特定個人情報保護評価制度は崩壊してしまう。

●問題2:番号法で認められない国のシステム

 番号法ではマイナンバーを利用できるのは、番号法別表第一に列挙されている機関か、条例を定めた自治体にかぎられる。この利用事務の法定主義は、マイナンバー制度の中心的な個人情報保護措置として国は裁判で説明してきた。予防接種事務にマイナンバーを利用できるのは都道府県か市区町村であり、国は利用できない(別表第一10)。
 3月5日付で内閣官房と厚労省が自治体に発出した「ワクチン接種記録システム(VRS: Vaccination Record System)への御協力のお願い」(以下「お願い」)では、このシステムは「国が(株)ミラボ社と契約して開発したシステムを提供し、各市区町村は、国のシステム内の論理的に区分された各市区町村の領域において各データを管理」(5頁)することになっており、責任区分としてシステム障害や漏洩等のトラブルには国が全責任を負うとしている。

  番号法20条では、19条各号で認められた提供以外で特定個人情報(マイナンバーを含む個人情報)を収集・保管してはならないとしている。 「保管」とは自己の勢力範囲内に保持することをいう(番号法逐条解説48頁))。 各市区町村の領域でデータを管理していようと、国のシステムに保管していることに変わりはない。
 同様に「論理的に区分された各市区町村の領域において各データを管理」している「中間サーバー・プラットフォーム」では、それを設置し運用しているのは地方公共団体の共同法人である地方公共団体情報システム機構(J-LIS)、つまり地方自治体だ(デジタル改革関連法案で、J-LISは自治体と国との共同管理に変質しようとしている)。今回のシステムは国のシステムで特定個人情報を保管するものであり、番号法に反している。

●問題3:国のシステムへの提供を業務委託で正当化

 「お願い」では、国のシステムに自治体がマイナンバーを含む個人情報を提供する法的根拠として、「各市区町村と接種記録システムの受託事業者との委託関係を前提として、アップロードについては、番号法第19条第5号により認められます」(6頁)という。
  番号法第19条第5号とは「委託又は合併その他の事由による事業の承継に伴い特定個人情報を提供するとき 」には、提供が例外的に認められるという規定だ。国に提供する法的根拠がないため、国に提供するのではなく委託業者のシステムにアップロードするから国への提供ではないという、屁理屈だ。
 その結果、国のシステムに特定個人情報が保管されるという違法状態が生まれる。脱法行為だ。

          ワクチン接種記録システム

●問題4:漏えいやトラブルの責任は自治体に

 このような屁理屈で提供を合法化しようとするために、自治体は委託先である (株)ミラボ社に対して監督責任を負うことになる。「お願い」では「各自治体は、特定個人情報の取扱いの委託を前提として、番号法第11条に基づき、ミラボ社を監督する立場になります。」(6頁)と説明している。
  番号法第11条は「委託先の監督」の規定で、番号法では再委託には委託元の許諾が必要で委託元は再委託先(再々委託先・・・)にまで監督責任を負う(10条)。 (株)ミラボ社は、国との契約でシステムを構築しており、自治体が契約しているわけではない。自治体は国のつくった内容も運用実態もわからないシステムを、実地検査など監督しなければならない。もし漏えいやトラブルが発生すると、「お願い」に国が責任を負うと書いてあっても、法的には自治体が責任を負うことになる。

 「お願い」では「具体的な実地検査又は報告要求の方法については、自治体の過大な負担にならないよう検討し、追って連絡致します。」(6頁)としている。しかし自治体が監督責任を果たそうとすれば実行不可能な「過大な負担」になり、「国が面倒見るから心配するな」ということでは自治体は番号法の求める監督責任を果たさないことになる。
 マイナンバー事務の委託では、年金機構の違法再委託による中国への漏洩の新証拠が国会で問題になっており、また税情報についても国税庁や自治体から500万件を超える違法再委託が発生しているなど、その管理のずさんさが露になっている。1億人のマイナンバー、住所、氏名、生年月日と「接種情報」という要配慮個人情報を集中管理するこのシステム(VRS)が、委託と曖昧な監督責任で運用されようとしていることは重大なリスクとなる。

●問題5:緊急性を理由に情報連携のルールを破壊

 このシステムでは住民が転入すると転入自治体は、本人の同意を得てシステムを使い転出市町村にマイナンバーまたは氏名・住所・生年月日によって接種歴を照会し、転入者情報を接種台帳に記録してからそのデータを「ワクチン接種記録システム」に送信することが求められている。
 このような自治体間の情報連携は、マイナンバー制度では情報提供ネットワークシステムを使って行うことを「システム面における保護措置」としてきた。

     マイナンバー制度概要資料2020年5月版 21頁

  よくある質問と回答 (FAQ) No90でも、「自治体間における特定個人情報の連携は、本来安全性の高い情報提供ネットワークシステムを用いて行うことが想定されている」と述べ、「 情報提供ネットワークシステムによる情報連携においては、マイナンバーを、個人を特定する識別子として用いず、機関ごとに個人を特定する識別子を作成し、情報連携を行っています。これは、万が一、情報提供ネットワークシステムにおける情報連携の情報が第三者に傍受された場合であっても、いもづる式に特定個人情報が漏えいすることを防止するためです。 」と説明している。
 しかし今回のワクチン接種記録システムは情報提供ネットワークシステムを使わずに、マイナンバーを含む個人情報を自治体間で情報連携するものであり前例はない。FAQ(No84,86,90)では「情報連携の必要性・緊急性に鑑み、緊急避難的に」番号法第19条第15号の「人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は、本人の同意を得ることが困難であるとき」を根拠として、このような情報連携が特例的に認められると説明している。

 番号法では第19条に限定列挙されている場合以外では、マイナンバーの付いた個人情報の提供を禁止している。その第15号は番号法の逐条解説では「事故で意識不明の状態にある者に対する緊急の治療を行うに当たり、個人番号でその者を特定する場合など、緊急事態における特定個人情報の提供を認める」規定と説明されている (47頁、制定当時は第13号)。
 今回の提供は、誰が見てもこのような意識不明者の緊急治療とは違う。政府が必要性・緊急性を口実にすれば、いくらでも拡大解釈できるような個人情報保護措置では、マイナンバー制度における安心・安全は確保されない。

      マイナンバー制度概要資料2020年5月版

●マイナンバーを使うな!!

 1月29日のブログ「10万円給付金失敗の二の舞に  コロナ予防接種に番号利用?」や2月12日の「コロナ予防接種を受けるのに カードも番号も必要ありません」で書いたように、このシステムは平井デジタル担当大臣の「マイナンバーを今回使わなくていつ使うんだ」との1月19日の発言に端を発し、マイナンバー担当としてマイナンバーは使えないというような状況だけは避けるという強い思いから始まっている。昨年から準備してきた自治体は、急な政策転換で困惑している。
 この最初のボタンの掛け違いを辻褄あわせするために、無理な法律解釈が強いられ、その結果、マイナンバー制度の個人情報保護措置として説明されてきたことが崩されようとしている。

 そもそもこのシステムは必要なのか。
 システムの目的として、2回接種する間に転居した人への対応を言われているが、任意接種であり接種歴確認のために接種済証を持参するのは本人の責任だ。毎年の子どもの予防接種でも同様で、母子手帳への確認で対応している。
 また副反応の迅速な把握が言われるが、このシステムでは副反応情報は管理していないし、そもそも国は各個人情報データにアクセスすることはせず統計で利用するだけだと説明している(「お願い」6頁)。
 国際的な接種済証明の発行の必要も言われるが、現在のこのシステムに接種証明書の発行機能はない。

 少なくとも、マイナンバーの利用は止めるべきだ。接種結果を接種記録データベースに記録する際には、自治体コードと接種券番号によって照合することになっており、マイナンバーは不要だ。また転入者の接種歴は「マイナンバーまたは氏名・住所・生年月日」によって転出自治体に照会するとなっており、マイナンバーを使わなくてよい。このシステムへの登録はマイナンバーが未入力でも可能なようだ(「お願い」3頁に「準備ができた項目から順次登録をお願いします(例 マイナンバーについては時間がかかる場合、それ以外の項目から登録)」となっている)。
  よくある質問と回答 (FAQ) のNo84では、「市区町村コードと宛名番号で、対象者を検索することができると思いますが、マイナンバーが必要である理由を教えてください」の問いに、「統合宛名番号等は特定の市町村でのみ把握している番号であるため、異なる市町村間で迅速に照会・提供を行うために、マイナンバーを用いることとしています 」と答えている。これでは統合宛名番号と符号を使いマイナンバーは使わない情報提供ネットワークシステムでは迅速な照会・提供ができないと言っているようなもので、マイナンバー制度の自己否定だ。そもそも住民の転出入の際に前住地に照会すること自体、全国市長会は「3月から4月にかけては、住民の転出入が最も多い時期であり、多大な事務負担が見込まれる」と見直しを求めている。
  システムは中止し、少なくともマイナンバーの利用は止めるべきだ。

コロナ予防接種で崩される?
マイナンバーの個人情報保護

●具体化してきた接種へのマイナンバーの利用方法

 コロナワクチン接種にマイナンバーを使わせたいという平井デジタル担当大臣の 1月19日の突然の発言から始まった検討は、2021年2月17日の第3回自治体向け説明会でのワクチン接種記録システムの説明と、2月17日にシステム開発を電子母子手帳など健康情報管理のベンチャーである株式会社ミラボに約3億8500万円の随意契約で発注したと2月19日に公表されたことで、具体化の段階に入った。3月中旬には自治体向けのマニュアルなどを準備する予定になっている。

 2月17日の説明会では、ワクチン接種記録システムを新たに作る目的として従来のワクチン接種と比べ、約1億人が短期間に2回の接種を要し管理が煩雑、ワクチンの性質と国民的関心の高さから多数の問い合わせが予想、住民の求めに応じて接種証明を出す必要も想定という違いがあり、現状での課題として4点をあげている。
 しかしこれら課題は以前からわかっていたことであり、そのうえで(是非はともかく)従来の市区町村での予防接種管理に加えてワクチンの流通のために新たに昨年7月から「ワクチン接種円滑化システム(V-SYS)」が構築され、接種体制についてすでに昨年12月から説明が積み重ねられていた

 今回のマイナンバーを利用した新たな接種記録システムは、2月12日に本ブログ「コロナ予防接種を受けるのにカードも番号も必要ありません」 で紹介したように、このような課題の検討からではなく、平井大臣の「マイナンバーを今回使わなくていつ使うんだ」という「マイナンバー担当として、マイナンバーは使えないというような状況だけは避けるという私の強い思い」から始まっており、その結果自治体も医療現場も新たな負担に困惑している。

●市長会「多くの都市自治体からは困惑する声が」

 2月24日には全国市長会が「ワクチン接種記録システムの構築について」のコメントを出し、

①現在、都市自治体が進めているワクチン接種に係るオペレーションとは別系統で新システムへの入力・出力が必要となり、どのような新たな事務負担等が発生するのか明確でない
②接種体制の円滑な構築のため医療機関との調整を進めている中、V-SYSの入力に加えて新システムへの入力も必要となると、更なる困難が見込まれる
③住民の異動による情報の更新については随時行うよう説明があったが、3月から4月にかけては、住民の転出入が最も多い時期であり、多大な事務負担が見込まれる

ことにより「多くの都市自治体からは困惑する声が出ている」と指摘し、「新システムにより接種情報を管理する一定のメリットは理解するが、現在最優先で取り組むべきことは、安全かつスピーディーな接種体制の確保であることから、新システムの構築により、これまでの取組や今後の運用等に影響が出ないよう、国においては十分にご検討いただきたい。」と訴えている。

●マイナンバー制度をどう使おうとしているか

 1月29日に本ブログ「10万円給付金失敗の二の舞に コロナ予防接種に番号利用?」で述べたように、予防接種事務は当初から都道府県と市区町村のマイナンバー利用事務(番号法別表第一)になっている。2015年の法改正で情報連携事務 (番号法別表第二) に追加され、情報提供ネットワークシステムの利用も可能になっている。
 しかし厚労省が「情報連携の本格運用開始に当たっての留意事項」で通知しているように、医療機関に委託して実施しているため接種結果を自治体が予防接種台帳に記録するまで一定の時間がかかり、予防接種履歴は情報連携に頼らず母子健康手帳等により確認することを求めていた。

 今回政府が作ろうとしているのは、この現在のマイナンバー制度の仕組みとはまったく別にマイナンバーを利用するシステムだ。

  政府が新たに検討している「ワクチン接種記録システム」

 この新システムは、次のように説明されている(最新情報は政府CIOポータル を参照されたい)。
 新たにつくる「ワクチン接種記録システム」の「接種記録データベース」に、市区町村の住民基本台帳から国の指定した形式のCSVファイル(カンマでデータを区切った表)で出力し取り込む。取り込むデータは自治体コード、接種券番号、 マイナンバー、宛名番号(その自治体内だけで住民を一意に特定している番号)、 属性情報(氏名、生年月日、性別)、転出/死亡フラグとなっている。送信には地方公共団体情報システム機構(J-LIS)が管理する自治体間のネットワークであるLGWANを利用する。

 接種結果をこの接種記録データベースに入力する方法は、次の2つから自治体が選択する。
(1)接種会場(集団接種会場や医療機関)で「予診票(問診票)」の記載を画像で読み取ったり手入力したりして、インターネット経由でダイレクトに接種記録データベースに登録する方法。画像はバーコードやOCR(画像の文字を文字コードに変換)で読み取り、そのために4万台のタブレットを配布することにしている。
(2)市区町村の既存の予防接種台帳に接種結果を登録後CSVファイルで出力し、LGWAN経由で接種記録データベースに登録する方法。接種後に速やかに予防接種台帳に登録できることが条件となる。
 登録するデータは自治体コード、接種券番号、接種状況(実施/未実施)、接種回(1回目/2回目)、接種日、ワクチンのメーカー、ロット番号となっている。副反応の管理のためにシステムが必要と説明されているが、副反応などは記録項目に入っていない。
  自治体コードと接種券番号によって、この接種結果と接種記録データベースを照合して、データベースに記録(消し込み)をする。

 「ワクチン接種記録システム」の接種記録データベースの利用は、集計画面を見ながらV-SYS(ワクチン接種円滑化システム)に必要データを入力してワクチンの流通を管理するとともに、他自治体から転入した人や接種券を紛失した人のための接種概況の確認で使われる。なお接種証明書の発行は検討中で、またこの接種記録データベースから市町村の予防接種台帳にデータを反映することも可能となっている。

●増大する自治体や医療機関の負担

 河野ワクチン接種担当大臣は、繰り返し自治体の事務負担等を増やさないと説明してきた。しかし自治体説明会での質疑を見ると、負担増は明らかだ、
 このシステムでは接種会場で新たにタブレットなどで接種情報を入力する事務が発生し、住民基本台帳からCSVファイルを出力するために市町村のシステム改修が必要な場合もある。
 転入者については転入時に本人の同意を得て、システムを使い転出市町村を選択してマイナンバーまたは氏名・住所・生年月日によって接種歴を照会し、転入者情報を接種台帳に反映後にそのデータを「ワクチン接種記録システム」に反映するなど、さまざまな事務負担が発生する。
 転出元の市町村も「ワクチン接種記録システム」に転出の入力(転出のフラグ)が必要で、「ワクチン接種記録システム」 に転出入処理を適切に行わないと重複登録のトラブルが発生することが注意されている。
 接種した医療機関で接種記録の入力処理ができなかったり、追加の委託料が発生する可能性もあり、入力してもらえなかった場合は自治体がまとめて入力する方法も含めて市区町村で検討するよう求められている。
 予防接種管理も住民記録も既存の手続きと二重に作業をすることになり、コロナ対策で忙殺されている自治体の保健衛生部門や住民異動の繁忙期を迎える住民記録窓口は大変だ。

●「特定個人情報保護評価」の実施が必要と認める

 問題は負担増だけではない。国もマイナンバー制度に個人情報の漏洩・悪用や成りすまし犯罪、国家による個人情報の一元管理などの危険性があることを認めており、それを防ぐため個人情報保護措置が作られている。
 その一つが特定個人情報(マイナンバーを含む個人情報)の漏えいその他の発生リスクを軽減させるために、事前点検する「特定個人情報保護評価」制度だ。1月29日の本ブログ「10万円給付金失敗の二の舞に コロナ予防接種に番号利用?」で述べたように、「ワクチン接種記録システム」もマイナンバーを利用するなら事前に保護評価の実施が必要だ。 評価が終わらなければマイナンバーの利用も情報連携の利用もできない(番号法第27条)。

 2月17日に更新されたFAQ で、この特定個人情報保護評価の扱いについて、個人情報保護委員会との調整を行った見解が示された。
 それによれば、新たに接種記録を特定個人情報ファイルとして取り扱い、「ワクチン接種記録システム」に特定個人情報を登録し接種記録を管理し他市町村に提供するために、特定個人情報保護評価の実施が必要としている(Q16)。評価は既存の予防接種事務の評価書の変更でも新たに1つの評価書を作成することもできるとしているが、対象人員が大幅に増加するため評価方法が変わる場合がある(Q17)。
 評価の実施時期は事前の実施が原則だが、「ワクチン接種記録システム」の詳細が検討中で現状では評価を行える状況にないこと、他方システム構築後は可及的速やかに接種事務を遂行することが期待されていることから、事前の評価実施は困難である場合には、特定個人情報保護評価の規則第9条第2項(緊急時の事後評価)の適用対象となり得る(Q18)と、事後評価を示唆している。

●「有事」を理由に崩される個人情報保護措置

 このFAQには、重大な問題がある。個人のプライバシー等の権利利益の侵害の未然防止の趣旨からは、システムのプログラミングの開始前(当初の規定では要件定義・仕様決定前)に評価を実施することが重要であり、事後では未然防止にならない。
  規則第9条第2項(緊急時の事後評価)は「災害その他やむを得ない事由により緊急に特定個人情報ファイルを保有する又は特定個人情報ファイルに重要な変更を加える必要がある場合」の例外規定であり、今回のような当初予定していなかった政策を実施することにまで拡張したら、なんでもありだ。
 さらにFAQでは「評価書のひな型をIT総合戦略室で用意することを検討しています」と注記されている。従来からこの保護評価制度は、評価書をコピペしているのではないかと形骸化が指摘されていたが、ひな型を書き写すのでは自己点検にならない。それを個人情報保護委員会が認めてしまえば、特定個人情報保護評価制度は崩壊してしまう。
 緊急時だからとこのようなやり方を許してしまえば、マイナンバー制度の個人情報保護措置は崩壊していく。

●マイナンバー制度のルールを外れた接種システム

 今回、特に事前評価が必要なのは「ワクチン接種記録システム」が、従来説明されてきたマイナンバー制度とはまったく異質の仕組みになるからだ。「ワクチン接種記録システム」は、どこが設置し管理するのかさえ明らかになっていない。
 FAQでは「国はシステムを提供するのみで、国のシステム内の論理的に区分された各市町村の領域で各市町村のデータを管理していただくことを想定しています」(Q14)と説明されているので、国が設置し管理するようだ。しかし番号法では、予防接種事務でマイナンバーを扱えるのは都道府県と市区町村だけだ。国のシステムだが市町村がデータを管理するというような曖昧な位置づけで、脱法的にシステムを作るのは前例がない。

 さらにマイナンバー制度では行政機関の間の情報のやりとりは、漏洩しても個人特定が難しいように住所・氏名・マイナンバーを使わず専用の符号を使う「情報提供ネットワークシステム」の利用が原則となっているが、FAQでは「情報提供ネットワークシステムは使用しない」(Q16)と明記されている。
 マイナンバー利用事務で行政間での特定個人情報のやりとりに情報提供ネットワークシステムを使わない例外は国と地方の税情報の連携があるが、これは番号法の中で特別に提供事務として規定されている(第19条9)。「ワクチン接種記録システム」のような、マイナンバーを直接使った自治体間での情報の照会・提供は、番号法に規定はなく違法だ。

●マイナンバーを使わない運用の検討を

 この「ワクチン接種記録システム」は、新型コロナワクチン接種対象者(16歳以上の全住民登録者と住民登録がなくてもやむを得ない事情があると市町村長が認める者)の、マイナンバー、宛名番号、氏名、生年月日、性別と接種の有無という要配慮個人情報が記録される、日本で最大規模のデータベースになる。情報の管理も情報連携の仕方も、マイナンバー法に規定のない異例のやり方だ。
 コロナ対策を口実にすれば法を逸脱していもいいということにはならない。このシステムの合法性と安全性は、事前に慎重に検証されなければならない。

 そもそも新型コロナ予防接種は任意接種であり、接種記録は接種済証によって本人等が自己管理するのが原則だ。すでに市町村に予防接種台帳がある中で、3億8500万円かけて接種記録の国家管理システムを急いで作る必要性がどこまであるのか。ましてやこのシステムにより自治体や医療機関の負担が増えたり、漏洩や不正利用のリスクが発生するのではマイナスではないか。

  仮に合法で必要としても、よりリスクの少ない方法の検討も必要だ。
 接種結果を接種記録データベースに記録(消し込み)する際には、自治体コードと接種券番号によって照合することになっており、マイナンバーは不要だ。また転入者の接種歴は「マイナンバーまたは氏名・住所・生年月日」によって転出自治体に照会するとなっている。平井デジタル担当大臣は1月19日の記者会見などで、あたかもマイナンバーを使わなければ正確な個人特定ができないかのように話しているが、市町村では宛名番号で正確に住民を把握している(マイナンバー制度は住民登録の正確性に依拠しており、それが不正確ではマイナンバー制度も不正確となる)。
 となると「ワクチン接種記録システム」は、マイナンバーを使わずに運用することが可能ではないか。マイナンバーを使わなくてもセキュリティや個人情報保護の対策は必要だが、特定個人情報保護評価などのマイナンバーのリスクに対応した措置を行う必要はない。 

●デジタル庁のマイナンバー再構築の前哨戦

 平井デジタル担当大臣は1月22日の記者会見
「このシステム自体は、もしデジタル庁が作るのであれば私自身が陣頭指揮を取って、省庁横断的なシステムはスコープの中に入っているのでそれでやるべきだと思うし、この情報の話というのはこれからいろんな分野のガバメントクラウドの話の前哨戦みたいなことにもなると思っています。」
と述べている。
 国会に提出されているデジタル改革関連法案では、マイナンバー制度を利用拡大するだけではなく、デジタル庁に個人情報システムを集約して情報提供ネットワークシステムを基本設計から抜本的に見直そうとしている。
 マイナンバー制度のルールを逸脱したこの「ワクチン接種記録システム」にこだわるのは、コロナ禍への不安に乗じてこのシステムを突破口にマイナンバー制度の見直しに利用しようとしているからではないか。 

コロナ予防接種を受けるのに
カードも番号も必要ありません

 1月19日の記者会見で、平井デジタル担当大臣が新型コロナ予防接種をマイナンバーで管理すると発言して以降、予防接種を受けるのにマイナンバーカードやマイナンバーの提出が必要になるのでは、という誤解が広がっているようです。
 ワクチン接種担当の河野大臣がはっきり国会で説明しているように、ワクチン接種は自治体が発行するクーポン券(接種券)でおこない、マイナンバーカードもマイナンバーも必要ありません(2021年1月26日衆議院予算委員会馬場伸幸委員への答弁等) 。
 武田総務大臣も2021年1月26日の衆議院総務委員会で岡本あき子委員の「マイナンバーカードを持っている人とマイナンバーカードを持っていない人でワクチン接種に何か違いがあるのか。カードを持っている方がメリットがあるとか受けやすくなるとか、そういうことにはならないですよね」との質問に、それはないと答弁しています。
 政府のQ&Aでも「接種会場でマイナンバーやマイナンバーカードを扱うことはございません。」と明記しています(Q15)。

 マイナンバーカードの交付率は2月1日現在25.2%です。カードが必要であれば、大部分の人が予防接種を受けられません。またマイナンバーの記入を求めるなら、かならず本人確認書類(番号のわかる書類と身元確認書類)を提示させることが法律(番号法第16条)で義務づけられています。それでは予防接種が進みません。そんなことはできないのです。
 昨年の特別定額給付金のように、緊急事態宣言下にマイナンバーカードの申請に行くような「不要不急」の外出は避けましょう。

●マイナンバーを使わせることが目的と発言

 1月19日の記者会見で、平井デジタル担当大臣はマイナンバーの利用について
「今回ワクチン接種に関しては、悉皆性のある国民の唯一のIDであるマイナンバーと紐付けると、間違いが起きないということなので、私の方から河野大臣にマイナンバーを使うことを強く進言したい」
「何のためのマイナンバーなのかということを考えた時に、税と社会保障と災害、その社会保障ということですから、今回使わなくていつ使うんだと私自身は思っています。」
と述べました。
 記者会見の最後には、「今日この記者会見で話していることは、非常に異例ですが、全部未確定の話を、今日は自分を追い込む意味で言っています。要するに、マイナンバー担当として、マイナンバーは使えないというような状況だけは避けるという私の強い思いの記者会見だと思ってください。」と発言しています。

 ワクチン接種の現場の課題解決ではなく、事前の調整もなしに、マイナンバー制度を使わせたいという強い思いからの発言です。接種開始間近でのこの発言に対して、全国市長会全国知事会日本医師会全国保険医団体連合会から、市町村や医療機関の業務負担増加や混乱を招かない対応を求める意見が相次いでいます。
 デジタル庁ができれば、このような「トップダウン」の発言による現場の混乱が多発するのではないかと危惧されます。

●マイナンバー制度ありきがトラブルを生む

 このようなマイナンバー制度の普及ありきの姿勢が次々とトラブルを生み、マイナンバー制度への不信感を高めてきました。
 2016年1月からのマイナンバーカード交付の大幅遅延トラブルは、普及を焦る国が当初の年1000万枚交付から3カ月1000万枚に計画変更したことが一因でした(下記地方公共団体情報システム機構のカード管理システムの総点検結果参照)。
 2017年5月には総務省が、市区町村から事業者に送る「特別徴収税額決定通知書」に、自治体や税理士等からの中止を求める指摘に耳を貸さずにマイナンバーの記載を強行したため各地で誤送付による漏洩が発生し、翌年からの記載を中止しました。この年、地方自治体からのマイナンバーの漏洩は個人情報保護委員会の年次報告によれば220機関270件に及びましたが(41頁)、その多くはマイナンバーを含んだ書類の誤送付・誤交付(17頁)でした。
 2020年5月の特別定額給付金の支給では、マイナンバーカードを普及させようと急遽オンライン申請を実施したために、市町村窓口は「三密」状態になり、迅速な給付のはずのオンライン申請が郵送申請より遅くなり市町村は次々とオンライン申請を中止しました。
 にも関わらず政府はこれからデジタル庁を設置して、マイナンバー制度の普及と利用拡大、さらに個人情報保護を弱めて利活用を進める再構築をしようとしています。マイナンバー制度の押しつけは止めるべきです。

デジタル庁下のマイナンバー制度
2・8院内集会

2月9日、デジタル庁関連法案の閣議決定がおこなわれます。
国民背番号制と本人同意なき個人情報の民官共同利用を狙うデジタル庁関連法の制定に反対しましょう。
参加できない方、オンライン配信をおこないます。下記からご視聴ください。
https://youtu.be/5GLBmG-NxlU

2・8「デジタル庁下のマイナンバー制度」院内集会

●日時 2月8日(月)13時30分〜15時30分
●会場 衆議院第二議員会館第4会議室
●お話 原田富弘さん(共通番号いらないネット)
    「デジタル庁下のマイナンバー制度」
       -「利用拡大から「再構築」へ!」
    ほか
●共催 共謀罪NO!実行委、秘密保護法廃止!実行委
●連絡先 080-5052-0270(宮崎)
詳しくは主催者サイト⇒こちら

「デジタル庁下のマイナンバー制度-利用拡大から再構築へ!」
  資料(クリックすると矢印が出てページがめくれます)
    ※集会で使用した資料に更新しました(2021.2.8)

0597d2e48ee343a183a781c1d4f9fc56

●資料のダウンロードはこちらをクリック

●2.8 国会前行動、院内集会の報告はこちらから

10万円給付金失敗の二の舞に
コロナ予防接種に番号利用?

●マイナンバー制度の利用にこだわれば・・・・・・

 昨年4月20日、共通番号いらないネットは「新型コロナ対策に便乗したマイナンバー制度の利用に反対する」声明で、 政府が給付金支給にマイナンバー制度の利用を検討していることに対して「マイナンバー制度の利用にこだわれば、かえって円滑な給付はできなくなる」と指摘した。
  しかし政府は、一人10万円の特別定額給付金の支給を利用してマイナンバーカードを普及させようと、 5月1日からマイナンバーカードを使ったオンライン申請を始めた。マイナンバーカードが普及しておらず電子証明書の更新も始まっている中で行った結果、カードの交付申請や電子証明書の手続きなどで役所の窓口に殺到し、迅速な給付のはずが郵送申請よりも遅くなるという事態を招き、市区町村は次々とオンライン申請を中止するに至った
 政府はこの誤りを反省せず、「デジタル対応が可能となっているにもかかわらず、実運用するための準備不足や、対面・書面を前提とした行政運営により、デジタルが活用されず、迅速な給付等に支障が出た」(「世界最先端デジタル国家創造宣言」5頁)などと自治体に責任転嫁していた。

●コロナ予防接種はマイナンバー活用の試金石?

 この誤りがまた繰り返されようとしている。
 1月19日の記者会見で、平井デジタル改革相(マイナンバー制度担当)は突然、新型コロナウイルスのワクチン接種の管理にマイナンバーを活用すべきだと述べた。報道によれば、「誰にいつ何をうったかを確実に管理するのはマイナンバーしかない」とか「マイナンバーは個人を特定する唯一の番号。それにワクチンをひもづけるのは当然の考えだ」「マイナンバーを使うと間違いが起きない。今回使わなくていつ使うのか」などと主張したようだ。
 「どのようにマイナンバーとひもづけ、管理するかはこれから考えるべき」とも発言しているようで、ワクチン接種の実務を踏まえた発言ではなく、 マイナンバー制度を使わせたいということからの主張だ。
 すでに昨年暮れから準備してきた厚労省も自治体も困惑していると報じられている。ワクチン接種の情報管理にマイナンバーを活用することに関し、全国市長会はワクチン接種を担当する河野太郎行政改革相に、「自治体の事務が増えることは非常に困る」との懸念を伝えている。それでもシステム導入をしようとしているようで、短期間の大規模なプロジェクトに混乱を生じることが心配される。
 「マイナンバー活用の試金石」とか「マイナンバーの効果や意義を知ってもらう機会になる」(毎日新聞1月27日) などという意図で、ワクチン接種を利用すべきではない。特別定額給付金の失敗が、「マイナンバーシステムをはじめ行政の情報システムが、国民が安心して簡単に利用する視点で十分に構築されていなかった」(「骨太の方針2020」15頁)ことを知らしめたことを思い起こすべきだ。

●すでに予防接種事務にマイナンバーは利用

 実は、すでに予防接種事務にマイナンバー制度は利用可能になっている。
 マイナンバーを利用できる事務は番号法の別表第1とその省令に、情報提供ネットワークシステムを利用できる事務は別表第2とその省令に列挙されているが、予防接種は2013年に番号法ができた当初から、利用事務として別表第1の10に載っていた。なお予防接種事務にマイナンバーを利用できるのは市区町村長または都道府県知事であり、国は利用できない。
 さらに2015年9月に成立した番号利用拡大法で、予防接種の実施に関する情報を情報提供ネットワークシステムで提供することが加わり(下図)、転居前の接種履歴を照会できるようになっている(別表第2の16)。このときあわせて特定健診の管理にマイナンバーを利用することも加わり、マイナンバー制度の開始前にもかかわらず、当初は利用しないことになっていた医療健康情報に利用が広がることへの懸念が指摘されていた。

IT総合戦略本部マイナンバー等分科会第8回(2015年2月16日)資料2

 情報提供ネットワークシステムは2017年7月18日から試行運用が、同年11月13日から本格運用が開始されている。新型コロナのワクチン接種については、2020年12月9日に予防接種法6条の臨時予防接種とする法改正が施行され、マイナンバー制度の利用が可能となっている。

  「接種記録について」(2019年12月23日厚労省資料)

●実際のマイナンバー制度の利用状況は?

 しかし実際に予防接種事務でマイナンバー制度がどのように利用されているかは、厚労省も把握していない (毎日新聞1月27日) 。昨年12月11日にまとめられた「マイナンバー制度及び国と地方のデジタル基盤の抜本的な改善に向けて」が、 既に情報連携が開始されている事務における実施の徹底や、マイナンバー法上は情報連携が可能だが未だ開始していない事務における対応を求めているように (24頁) 、情報提供ネットワークシステムは想定したほどには使われていない。
 1月9日の「マイナンバー制度及び国と地方のデジタル基盤の抜本的な改善に向けて」学習会の検討資料18~20頁で紹介しているように、年金事務など大量の照会が発生する事務で利用件数は増えているが、単発で処理する事務ではあまり利用されていないのではないかと思われる。
 また予防接種事務では、厚労省が情報連携の本格運用開始に当たっての留意事項を通知しているように、医療機関に委託して実施しているために接種状況の確認に一定の時間を要し、転入者が転入した直後に情報連携を行っても正しい情報が得られないため、従前どおり母子健康手帳等により予防接種履歴を確認することを求めている。このようなタイムラグは、その他の事務でも発生している。
 情報提供ネットワークシステムは一般に思われているほど効率的ではなく、自治体間で電話で問い合わせた方が早いということもある。

 横浜市の例「特定個人情報保護評価書(予防接種事務)」より

●どうマイナンバーを使おうとしているか

 新型コロナのワクチン予防接種は2月下旬から医療従事者に、4月以降高齢者への接種開始が予定されている。実施が迫っているが、マイナンバーをどう使おうとしているかは明らかではない。
 1月26日の衆議院予算委員会では、ワクチン接種担当の河野大臣は「接種の業務そのものにマイナンバーカードは必要ない。自治体が発行するクーポン券、接種券でやる」と答弁し、ワクチンの配送等を管理する厚労省の「ワクチン接種円滑化システム」(V-SYS)と自治体の予防接種台帳を連携する新システムを一から作ると報じられていた

 1月29日の日経新聞によれば、自治体ごとの接種台帳ではなく住民基本台帳を基盤にマイナンバーを活用した全国共通の一元化システムをつくり、接種の際は自治体から送られた接種券(クーポン券)を接種会場で提示し、免許証など本人証明を示し券に記載したQRコードを読み取ってもらう方法だという。免許証など本人証明が必要では、接種会場の混雑に拍車をかける。

  1月28日の参議院予算委員会では、田村厚労大臣は副反応の詳細な状況を把握するために河野大臣が新システムを検討していると答弁した。河野ワクチン接種担当大臣は自治体の接種台帳や厚労省のV-SYSとはまったく別個に、リアルタイムで接種情報を取得したり転居した人を追いかけるシステムを新たに足すかどうかの検討をしていると説明し、自治体の接種台帳をベースとしたシステムには触らないので自治体に迷惑はかけないと答弁した。平井デジタル担当大臣は、早く接種状況を把握するために世界ですでに使われているシステムの中でいいものを導入することを検討中と答弁した。  

       厚労省の自治体への説明資料より

●これからマイナンバーを使うのは無理

 既存の自治体の予防接種台帳とは別に新たな一元的管理システムを作ろうとしているようだが、 国が管理する新たなシステムでマイナンバーを利用するのであれば、番号法の改正が必要だ。

 国の新たなシステムであればもちろん、自治体のシステムとして作るとしても、マイナンバーを付けた個人情報(特定個人情報)を利用するためには特定個人情報保護評価を事前に行う必要がある。これは特定個人情報ファイルの取扱いが個人のプライバシー等の権利利益に影響を及ぼしかねないことを認識し、特定個人情報の漏えいその他の事態を発生させるリスクを軽減させるために適切な措置を講じ、個人のプライバシー等の権利利益の保護に取り組んでいることを事前点検するものだ。実施した「評価書」は各自治体や個人情報保護委員会のサイトで見ることができる。
 新たなシステムを作るのであれば、事前に特定個人情報保護評価が必要だ。既存のシステムに付加する場合でも、「評価書」の重大な変更であり保護評価の再実施が必要になる。対象人員が30万人を超える自治体では、パブリック・コメント(期間は原則1カ月)で意見聴取を実施し、個人情報保護審議会等で第三者点検を実施する必要がある。遅くともプログラミングの開始前に完了することが原則だ (個人情報保護委員会の概要資料参照) 。

特定個人情報保護評価について(概要版)」 (個人情報保護委員会)

 さらに自治体が情報提供ネットワークシステムの利用を変更する場合は、情報連携の対象となるデータを規定する「データ標準レイアウト」を修正しなければならないが、この改版は年1回7月となっている。事前に正しく連携されるか団体間でのテストなどが必要だ。国による新しいシステムなら、情報提供の仕組みを作るだけでなく、連携用のデータ標準レイアウトも作らなければならない。

 高齢者向け接種では2月に接種券の印刷などを行い、3月中旬に郵送するための準備が進んでいる。この時期に新たに一元的な管理システムを作ることの是非の検証も必要だが、それにマイナンバーを利用するなどというのは現実的ではない。日本のDX(デジタルトランスフォーメーション)を試す(日経新聞1月29日朝刊)ために、人命のかかったワクチン接種を利用するなどというのはとんでもない。

デジタル庁で再構築される
マイナンバー制度の危険

●デジタル庁なんていらない! 1・18院内集会開催

 国会開会日の1月18日、 共謀罪NO!実行委員会と「秘密保護法」廃止へ!実行委員会の主催(共通番号いらないネットも賛同)で、デジタル庁なんていらない! 1・18院内集会が行われ、ライブ配信を含め約350名が参加した。海渡弁護士(共謀罪対策弁護団)と共通番号いらないネット(原田)より発言。伊藤岳参議院議員、逢坂誠二衆議院議員、福島みずほ参議院議員から挨拶を受けた。
 海渡弁護士からは、首相直属で作られるデジタル庁の集約した情報が内閣官房の内閣情報調査室を介して警察と共有される可能性が否定できず、公安警察や自衛隊情報保全隊、公安調査庁などの活動を監視する政府から独立した機関を、アメリカ、ドイツ、オランダなどの制度を参考に作る必要を訴えられた。
 共通番号いらないネット(原田)からは、 政府は普及・利用が行き詰まっていたマイナンバー制度をコロナ禍を利用した「ショック・ドクトリン」で抜本改善(再構築)しようとワーキンググルーブ(WG)報告をまとめ、それがデジタル改革関連法案になっていることを紹介し、あわせて個人情報保護条例が国基準化によって有名無実化しようとしていることを報告した。

●J-LISの国管理化で迫る「国民総背番号制」

 住基ネットができた際に「国民総背番号制ではない」と政府が説明した根拠の一つが「地方公共団体共同のシステムであり国が管理するシステムではない」ということだった。しかしWG報告やデジタル改革関連法案では、その「地方公共団体情報システム機構(J-LIS)」を国と地方の共同団体の管理に変え、国(デジタル庁・総務省)が目標設定や計画認可し、改善措置命令に違反すると理事長を解任するなど、事実上、国管理化しようとしている。
 地方公共団体情報システム機構は、住基ネットの全国センターやマイナンバーの生成、マイナンバーカードの交付システム、公的個人認証(電子証明書)、そして情報連携用の 全住民の最新の住民データを保管する「中間サーバープラットフォーム」を設置するなど、住民情報を一手に管理している(下図)。そこが国管理化されれば、公安機関の不正アクセスや警察の捜査関係事項照会などによって、 海渡弁護士の指摘のように住民情報を警察と共有する不安が高まる。

         J-LIS案内パンフ(2頁)

●プライバシー保護から個人情報の提供拡大へ

 住基ネットに反対していた民主党政権下で構想されたマイナンバー制度は、住基ネットへの市民の強い反対や最高裁判決を受けて、それなりにプライバシー規制やセキュリティを意識した仕組みとして作られてきた。
 しかし自民党政権や経済界は、プライバシーに配慮しすぎたために利用が広がらないと見なして、デジタル庁の下でマイナンバー制度を再構築し個人情報の官民共同利用を進めようとしている。

 行政機関間の情報連携の仕組みである情報提供ネットワークシステムの利用の徹底を求めるとともに、社会保障・税・災害の3分野以外への利用拡大やマイナンバーを使わない事務への利用に広げ、さらに情報連携の仕組みそのものを抜本的に見直そうとしている。
 民間との間では、本来マイナンバーで管理・提供される自分の情報を確認するという個人情報保護のために作られたマイナポータル(番号法では「情報提供等記録開示システム」)を、マイナンバーで管理する個人情報を民間等に提供する仕組みとして利用し、個人・官・民をつなぐ「情報ハブ」にしようとしている。
 いま政府が力を入れているのは、マイナンバーカードに内蔵(任意)の電子証明書の発行番号(シリアル番号)を、 利用に規制のあるマイナンバーの代わりに個人を識別特定するIDとして転用し、官民のデータベースのIDとリンクさせる利用だ。マイナポイントも健康保険証利用もこの仕組みを使っている。そのためにマイナンバーカードを全住民に所持させようとしているが、必要な保護措置は講じられていない。
 さらにあらゆる行政手続をスマホから可能にするため、電子証明書をスマホで利用できるようにしようとしているが、マイナンバーカードを使った初期設定が必要だ。スマホと電子証明書のシリアル番号による個人識別がむすびついて、一人一人の生活と行動を監視するツールになる。

●2025年までにデジタル庁が作ろうとしている社会

 デジタル庁は、マイナンバー関連システムや電子証明など「社会のデジタル化の基盤」となるシステムを関係省庁から移管して、個人を識別する番号に関する総合的・基本的な政策の企画立案やマイナンバー制度の利用や情報提供ネットワークシステムの設置・管理などを一括して行うことになっている。権限と予算と人員を集中して、トップダウンでシステムの再構築をすることが目的だ。
 さらにクラウドサービスの利用環境である「(仮称)Gov-Cloud」を整備し、政府システムだけでなく準公共分野(医療、教育、防災等)や地方自治体、独立行政法人の情報システムなどで活用し、自治体の業務システムを標準化・共通化するなど「ガバメントネットワーク」を整備しようとしている。
 このようなデジタル庁によって2025年までに、官民でデータをシームレスで共有化するため庁内連携・団体間連携・民間との対外接続に対応する「公共サービスメッシュ」という情報連携基盤を作ろうとしている。
 マイナンバー制度は、制度発足時に説明されていた姿からは似つかないものに変貌をとげようとしている。

    ワーキンググルーブ報告 有識者提出資料より

院内集会で使用した説明資料は以下のとおり

※資料のダウンロードはこちらから