マイナンバーはいらない

post by nonumber-tom at 2018.2.4 #208
特別徴収税額通知書 事業者 個人番号 特定個人情報保護評価

個人情報保護委員会へ質問書を提出しました(趣旨説明)

【個人情報保護委員会への質問書趣旨説明】マイナンバー制度の危険性に対する安全対策の要というべき個人情報保護委員会が、その役割を果たしているのか疑わざるを得ない事態が続いています。個人情報保護機関としての委員会の対応や姿勢を問う質問を行いました。以下はこの「マイナンバー制度の個人情報保護についての質問書」の内容に関する解説(趣旨説明)です。

*質問書全文は »こちら です。


国も認めるマイナンバー制度の危険性と安全対策

 政府はマイナンバー制度に対して、個人情報の大量漏洩、成りすまし犯罪への利用、個人情報の差別的利用、国家による個人情報の一元管理などに対する「国民の懸念」があることを認めています1
 マイナンバー制度違憲訴訟では、国はこれら「懸念」は主観的な不安感ではなく、何らの個人情報保護措置も講じなかった場合に「客観的な危険性が生じ得る」と認めていますが、個人情報保護委員会による監視・監督等の個人情報保護措置を講じているので「具体的危険性」ではない、と説明しています2
 このマイナンバー制度の危険性に対する安全対策の要というべき個人情報保護委員会が、その役割を果たしているのか疑わざるを得ない事態が続いています。そのため個人情報保護機関としての委員会の対応や姿勢を問う質問を行いました3

個人情報保護委員会とは

 マイナンバー制度のスタートとともに、番号法により設置が決まりました。当初は特定個人情報(マイナンバーが付いた個人情報)の適正な取扱いのための第三者機関である「特定個人情報保護委員会」として、2014年(平成26年)1月1日に設置されました。
 その後2015年9月にマイナンバーの利用拡大法とセットで成立した個人情報保護法改正により、2016年(平成28年)1月1日に個⼈情報全般の取扱いの監視監督機関へと改組されました。
 特定個人情報の監視・監督として、取扱い基準の策定や行政機関や事業者等の取扱者への指導・助言、報告徴収・立入検査を行い、勧告・命令等を行うほか、同じく個人情報の保護措置である「特定個人情報保護評価」の指針等の作成や点検・公表を行っています。

質問1 特別徴収税額通知書の漏えいについて、どう対応したか

 昨年(2017年)度から総務省は、給料から住民税を天引き(特別徴収)するために市町村から事業者に送る特別徴収税額決定通知書に、マイナンバー記載の記載を始めました。私たち4 や日弁連5 など様々な団体が漏えい等の危険性を指摘してマイナンバーの記載の中止を求め、市町村も漏えい等の危険のために記載を見合わせるところがあったにもかかわらず、総務省は記載を強行し、その結果100を超える市町村で誤送付等による漏洩が発生しました6

昨年の4倍の漏えいが発生

 個人情報保護委員会は平成29年度上半期における活動実績で、特定個人情報の漏えい事案等の報告の受付が前年に比べて4倍の273件あり、そのうち特別徴収税額決定通知書の誤送付等によるものが152件あったと報告しています7 。しかしこれだけ大規模な漏えい事案にもかかわらず、委員会としてどのような監視・監督等を行ったのか明らかではありません。
 そこでこの152件の内容や市町村の対応、委員会としての自治体や総務省に対する指導・検査などの対応を質問しました。

問われる「特定個人情報保護評価制度」の実態

 また市町村は「特定個人情報保護評価書」に基づき適切な方法で送付するという総務省の説明にもかかわらず漏えいが発生していますが、この「特定個人情報保護評価書」について委員会は「おおむね必要な措置が講じられている」と評価しています8
 マイナンバー制度の開始にともない個人情報保護措置としてはじまったこの特定個人情報保護評価は、個人情報保護委員会が点検し公表していますが9、以前から形骸化が指摘されています。大量の漏えいの発生を認めているにもかかわらず、なぜ必要な措置が講じられていると評価したのか質しました。

特別徴収税額決定通知のマイナンバー記載はすべて中止を

 総務省は昨年(2017年)12月15日、特別徴収税額決定通知を書面により送付する場合は、当面マイナンバーの記載を行わないと自治体に通知しました10。しかしこれは当面の措置で、また電子的に送付(eLTAX、光ディスク等)する場合は、マイナンバーを記載するとしています。
 税理士や経済団体など現場からは、特別徴収税額通知書への個人番号の記載は必要ないと言われています。また安全管理措置が不十分な事業者などでは不正利用や漏えいの危険性もあります。不必要でリスクばかりあるマイナンバーの記載をなぜ止めさせないのか、個人情報保護委員会の見解を求めました。

質問2 個人番号の利用目的変更をなぜ認めるのか

 特別徴収税額決定通知書で事業者に通知された従業員のマイナンバーについて、個人情報保護委員会は5月の通知送付直前の2017年3月29日に取扱いのQ&A11 を追加し、地方税事務以外の健康保険事務等でも本人に利用目的を通知等すれば流用できるとしました(Q&AのQ1-3-2、Q1-3-3)。その際、本人の同意は必要としていません(Q1-4)。

なぜ利用目的ごとに目的を明示した番号の取得を徹底しないのか

 本来、個人情報保護の原則では、利用目的を明示して取得するべきです。個人情報保護委員会もマイナンバー制度の導入にあたっては、事業者に利用目的を本人に明示することを厳しく求めてきました。このような流用を認めることはこの原則と矛盾し、ただでさえ安全管理措置が不十分な事業者のマイナンバーの不正利用を助長し、自己情報のコントロール権も侵害します。

総務省に追随してQ&Aを変更したのではないか

 個人情報保護委員会がQ&Aを変更する前の3月2日に、総務省は市町村に対してQ&Aと同様の変更を通知しています。
 総務省は平成28年11月25日に、「通知書により提供を受けた従業員の個人番号については、地方税に関する事務以外の事務に利用することはできません」と通知12 していたものを廃止し、平成29年3月2日通知13 では、個人番号関係事務の範囲で本人に通知又は公表している場合は事業者はその範囲内で通知された個人番号を他事務で利用することが可能と変更しています。
 総務省の方針変更に合わせて、なし崩しに個人情報保護委員会が取扱い基準を変更したのではないか、また個人情報保護委員会がQ&Aを変更する前に総務省が扱いを変更していることを認めるのか、個人情報保護委員会のあり方を質しています。
 

銀行口座へのマイナンバー付番でも、同様の流用を認める

 今年1月から預貯金口座へのマイナンバーの付番がはじまりましたが、マイナンバーの提供はあくまで任意です。ところが個人情報保護委員会は昨年(2017年)7月12日に金融業務のQ&Aを追加し、証券口座開設など他の目的で提供されたマイナンバーの預貯金口座付番への流用を認めました(「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&A14 、Q16-5)
 マイナンバーの提供を任意としている法の趣旨に反する取扱いを、なぜ個人情報保護委員会は認めるのでしょうか。

個人の権利利益の保護から、個人情報の利活用推進に変質?

 2015年9月の個人情報保護法の改正で、第1条目的が従来は「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的」であったものに、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的」と追加されました。
 個人情報の保護より利活用の重視ではないかとの質問には、説明を詳しくしただけで趣旨は変わらないと答弁されていました。しかし今回のQ&Aの追加をみると、個人情報保護の原則よりマイナンバーの利活用を重視しているのではないかという疑問がわきます。それではマイナンバー制度における安心・安全は確保されません。

質問3 情報提供ネットワークシステムの特定個人情報保護評価について

 2017年7月18日から「試行運用」が、11月13日から「本格運用」が開始された情報提供ネットワークシステムについて、会計検査院が2017年7月26日に「国の行政機関等における社会保障・税番号制度の導入に係る情報システムの整備等の状況について」を報告し、問題点を指摘しています15
 これらの問題点は、行政の効率化や国民の利便性向上などマイナンバー制度の目的とされているものが実現するのかや、個人情報保護措置が機能しているのかに関わり、本来は個人情報保護委員会も調査し指導監督すべきものです。個人情報保護の観点から、これらの実態をどう評価しているのか質問しました。

会計検査院の指摘する情報連携の問題点

 報告では自治体以外のマイナンバーの利用機関について、システム契約の透明性などの問題の他に、情報連携の実態についても問題を指摘しています。
  • ア.年金機構は2015年に大量の年金個人情報が漏えいした影響で情報連携が延期され、また情報連携のための「データ標準レイアウト」の不備により190システムのうち127システムで開始時期が延期されている。
  • イ.情報連携対象の37情報のうち12件は、情報連携を仲介する中間サーバーに翌々日開庁日の業務開始前までに情報を反映させられず、タイムラグで古い情報が提供される場合の手続きが周知されていない。
  • ウ.136システムのうち122システムは既存システムと中間サーバーを接続した連携の仕組みを導入せず、端末で手入力したり外部記憶媒体で受け渡すため、効率化せず入力ミスや紛失のリスクがある。
  • エ.利用機関にシステムの情報を提供する「デジタルPMO」が使いにくい、分かりにくい。

会計検査院の指摘する特定個人情報保護評価の問題

 個人情報保護委員会の定めた規則・指針では、特定個人情報保護評価はシステムの機能や性能を明確化する「要件定義」の終了までに実施しなければならないが、134システムのうち105システムは間に合わず、システム構築完了後に実施されたものも31件あるなどの実態が報告されています。
 特定個人情報保護評価はマイナンバー制度の個人情報保護策として導入され、プライバシー等の権利利益の侵害の未然防止と、国民・住民の信頼の確保を目的としています。このような実態では、未然防止も信頼確保もできません。

個人情報保護委員会はマイナンバー制度の危険性に対する保護措置になるか、

 個人情報保護委員会は年金機構のマイナンバー利用開始の際も、「日本年金機構本部及び全国20箇所の年金事務所の状況について実地に調査した結果、確認した範囲においては、特段、問題となるような事態は見受けられなかった」とGOサインを出しましたが、その後、会計検査院が漏えい原因と同様の運用が続いていたことを指摘しています。
 私たちは昨年(2017年)、なぜ会計検査院が指摘した不備を個人情報保護委員会は見つけることができなかったのかを質しましたが、検査の着眼点や対象の抽出先が違うため、との説明でした16
 個人情報保護委員会の姿勢と能力で、マイナンバー制度の危険性に対する制度面における保護措置になるのか、解明していかなければなりません。

Note
*1 内閣府 »「マイナンバー制度における安全対策について」
*2 マイナンバー東京訴訟 被告国の »「求釈明に対する回答書」(平成28年10月4日)
*3 共通番号いらないネット »「個人情報保護委員会へ質問書を提出しました」
*4 共通番号いらないネット »「総務省に、市町村から事業者へのマイナンバー通知等を質す」
  共通番号いらないネット »「『特別徴収通知書』へのマイナンバー記載問題で総務省から回答」
*5 日本弁護士連合会 »「特別徴収義務者宛の通知書から個人番号記載欄を除去すること等を求める意見書」
*6 共通番号いらないネット »「個人番号(マイナンバー)を記載した住民税特別徴収税額決定通知書の誤送付・誤配達一覧(増補版)」
*7 個人情報保護委員会 »「平成29年度上半期における個人情報保護委員会の活動実績について」
*8 個人情報保護委員会 »「マイナンバー法に基づく報告結果について」
*9 個人情報保護委員会 »「特定個人情報保護評価」
*10 総務省 »「特別徴収税額通知(特別徴収義務者用)へのマイナンバー記載の一部見直しについて」
*11 個人情報保護委員会 »「『特定個人情報の適正な取扱いに関するガイドライン(事業者編)』及び『(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン』 に関するQ&A」
*12 総務省 »「平成29年度分以降の個人住民税に係る 特別徴収税額決定通知書(特別徴収義務者用)の送付に関する留意事項について(通知)」(2016.11.25付)
*13 総務省 »「平成29年度分以降の個人住民税に係る 特別徴収税額決定通知書(特別徴収義務者用)の送付に関する留意事項について(通知)」(2017.3.2付)
*14 個人情報保護委員会 »「『特定個人情報の適正な取扱いに関するガイドライン(事業者編)』及び『(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン』に関するQ&A」
*15 会計検査院「会計検査院法第30条の2の規定に基づく報告書」
   »報告書   »要旨
*16 共通番号いらないネット »個人情報保護委員会は機能しているか
次の記事 « » 前の記事