個人情報保護委員会からの回答
マイナンバー制度・カードに関する省庁ヒアリング

　9月28日、福島みずほ参議院議員事務所を通じて、厚労省・総務省・デジタル庁・個人情報保護委員会に、マイナンバー制度やマイナカードについてヒアリングを約30名の参加で行いました¹。
　この報告第4回では、個人情報保護委員会の回答の要旨とそれに対する会場での質疑・発言などを紹介します。
　私たちは個人情報保護委員会に対して、デジタル庁への立入検査、マイナンバーカードの誤交付やひも付け誤りを起こしたマイナンバー制度の構造的問題への対応などについて説明を求めました。その回答の概要を報告します。
　なお、個人情報保護委員会への再質問と回答、その後の経過については、第5回として報告する予定です

●省庁ヒアリングの報告（2023.9.28）

　» 厚生労働省

　» 総務省

　» デジタル庁

　» 個人情報保護委員会

【個人情報保護委員会に対する質問事項と回答】

（質問）

　一連のマイナンバーをめぐるトラブルについて、個人情報保護委員会は2023年5月31日の第244回委員会で対応方針として「マイナンバー及びマイナンバーカードを活用したサービスを利用する国民が不安を抱くきっかけになり得るといった影響範囲の大きさに鑑み、…（中略）…詳細な事実関係を把握するとともに、今後、確認された問題点に応じて、指導等の権限行使の要否を検討する」を決定している² 。
　7月19日の第249回委員会³で、7月19日時点で把握しているコンビニでの住民票等誤交付、マイナンバーの紐付け誤り、公金口座等の誤登録についての対応状況を公表するとともに、公金受取口座登録における別人の口座情報等の紐付け事案についてデジタル庁への立入検査を決め実施した。
　この事案について、以下をうかがいたい。

公金受取口座の誤登録などに関する立入検査結果について

（質問）

(1) 公金受取口座登録についての立入検査の結果はいつ、どのような形で発表されるのか。
　また公金受取口座登録以外の事案について、7月19日の委員会では権限行使の要否など対応方針を検討するとなっていたが、どのような対応を考えているか。　

（個人情報保護委員会の回答）

　公金受取口座の誤登録事案、コンビニ交付サービスにおける住民票の誤交付事案について、9月20日の委員会で指導を行うことを決定し⁴、その内容をホームページで公表した⁵。
　
　指導の概要について。
　公金受取口座に関して、マイナポイント支援窓口で共通端末を用いたマイナポータル経由の登録支援を行っていた際に、本人または手続きを支援する者による操作ミス、これはログアウトの忘れなどにより、別人のマイナンバーと銀行口座情報をひも付けたという誤登録事案。
　こちらはデジタル庁に対して指導を行い、公金受取口座手続き全体を通じた実効的な本人確認の手法についての検討や、漏洩等事案が発生した場合に事実関係を組織内で共有する態勢を整備するなどの措置、また漏えいの事態を把握した場合に報告を速やかに出せるよう職員の理解を醸成する教育を実施するなどの指導を行った。

　また特定個人情報を保有する前にそのリスク等を分析しリスクを軽減させる仕組みとして特定個人情報保護評価があるが、リスクを変動させうる事実関係の変更が生じた際には、必要な特定個人情報保護評価を適時適切に実施する態勢を有効に機能させるよう指導した。

　以上デジタル庁に対する指導のほか、国税庁に対しても公金受取口座の事案について指導を行っている。

　コンビニでの住民票等の誤交付事案については、富士通Japanの開発した証明書の交付システムを利用して住民票等の交付事務を行っている複数の地方公共団体で、申請者とは別人の証明書が誤交付される事態が連続して発生した事案。富士通Japanと地方公共団体に対して指導を行っている。
　富士通Japanに対しては、システムの使用に伴う誤交付を防止するための技術的な措置を適切に講じることや、過去に不具合が起きた場合、その情報を組織内で共有するなど適切な組織体制を整備することなどを指導。
　富士通Japanのシステムを利用し交付事務を行った地方公共団体、具体的には宗像市、足立区、川崎市に対して、コンビニ交付事務の安全管理が講じられているか確認を行うことなどについて指導を行った。

　このような形で公金受取口座の事案、コンビニ交付サービスの事案については、9月20日に指導を行い、その内容を公表している。

　このほか各種サービスにおけるマイナンバーのひも付け誤りの問題についても、総点検の過程における漏洩等報告をふまえて必要があれば権限行使の要否等を検討したい。

交付誤りおよび家族名義での登録に対する対応について

（質問）

(2) 7月19日に示された事案以外に、総務省は6月20日にマイナポイントの誤紐付けの原因としてマイナンバーカードの交付誤りが２件あることを報告し⁶、６月には連日、マイナンバーカードの顔写真を別人と取り違え交付した報道が各地であったが、マイナンバーカードの交付誤りに対応していないのはなぜか。
　　またマイナポイントの事案で、約14万件といわれる家族等名義での登録に対応していないのはなぜか。

（個人情報保護委員会の回答）

マイナンバーカードの交付誤りやマイナンバーカードの顔写真の別人との取り違えについても、必要に応じて適切に対応してまいりたい。

　家族等名義での登録については、本人が家族口座を自己の公金受取口座として意図的に登録している場合、本人のマイナンバーに別人の口座情報がひも付くという状態は不適切ではあるものの、本人が意図したとおりの状況が生じている面ある。したがって原則としてデジタル庁による個人情報の漏えいに該当しないと考えられるが、一方で口座登録法において口座登録は本人名義の預貯金口座でかつ一人一口座と定められていることから、委員会としても家族口座登録は解消されるべきとの観点からデジタル庁における対策の実施状況を注視してまいりたい。

マイナンバー制度の構造的な問題への対応について

（質問）

(3) 7月19日に示された対応状況は事案を個人情報漏洩の問題としてのみとらえているが、一連の事案はマイナンバー制度が目的とする個人を一意に特定して個人情報を分野を超えて正確に紐付けることの失敗を示しており、その結果、誤った情報に基づいた治療・処遇の危険や財産的被害が生じている。
　　個人情報保護委員会はそもそもマイナンバー制度の個人情報保護措置として設置されたが、このようなマイナンバー制度の構造的な問題にどのように対応しようとしているか。

（個人情報保護委員会の回答）

　当委員会としては、特定個人情報の取扱いに関する監視・監督を行っており、今後ともマイナンバーが適正に取り扱われることを適切に対応してまいりたい。

【回答に対する質疑と会場意見など】

個人情報漏洩のみ問題としマイナンバー制度の問題を見ない委員会

　マイナンバーカードの誤交付等については適切に対応すると回答があったが、個人情報保護委員会が対応状況として報告している中には項目として入っていない⁷。今までの経過をみるとまったく対応していないのではないか、本日の総務省の説明では当初２件と報告されていた別人への誤交付が4件に増加しているなど、対応に疑問が出されたが説明はなかった。
　個人情報保護委員会の一連のトラブルに対する対応や本日の説明は、個人情報の漏洩があったか否かのみに焦点をあてている。しかしそもそも委員会は、個人情報の漏洩のほか悪用、成りすまし犯罪、国家による一元管理などさまざまな危険性があることを政府も認めるマイナンバー制度に対する個人情報保護措置の一つとして、2014年1月に「特定個人情報保護委員会」として設置され、その後2015年９月の番号利用拡大法と個人情報保護法の改正により2016年1月に「個人情報保護委員会」に改組された⁸。
　この個人情報保護委員会に対しては、マイナンバー違憲差止訴訟⁹ の中でもマイナンバー制度の監視監督が機能不全に陥っているのではないかと指摘されてきた¹⁰。
　今回の個人情報のひも付け誤りやマイナンバーカードの誤交付等は、単に漏洩だけでなくマイナンバー制度の目的そのものを損なう重大なトラブルであり、マイナンバー制度の構造的な問題を調査すべきだが、行われていない。

個人情報保護委員会の調査に重大な欠落?!

　9月20日に個人情報保護委員会が発表した公金受取口座の誤登録についてのデジタル庁への指導には、重要な経過が欠落している疑いが指摘された。
　デジタル庁に対する「調査文書」¹¹（以下、「調査文書」）によれば、デジタル庁が令和3年10月に提出した公金受取口座登録の「特定個人情報保護評価書」（以下「評価書」と略記）を個人情報保護委員会が10月20日に審査し承認した際¹²、リスク対策全般について不断の見直し・検討を行うことを指摘していた。
　その後市区町村の窓口で共用端末を使い申請するという新たなリスク要因が発生したにもかかわらずデジタル庁がその後「評価書」の見直しを行っておらず、リスクを変動させうる事実関係の変更が生じた際には、必要な特定個人情報保護評価を適時適切に実施する態勢を有効に機能させるよう、デジタル庁に対して指導をしている¹³。
　ところが「調査文書」には記載されていないが、デジタル庁は2022年10月に「評価書」の見直しを行っており、個人情報保護委員会は10月26日にそれを審査・承認している¹⁴。この見直しでは、個人情報保護委員会が「調査文書」で指摘した「入手した特定個人情報が不正確であるリスク」の部分の記述も若干書き換えられていた。

　さらに問題なのは、デジタル庁はこの公金受取口座の誤登録を2022年7月には把握していた（「調査文書」p.3 参照）にもかかわらず、2022年10月の「評価書」¹⁵ では「入手した特定個人情報が不正確であるリスク」について、対策は「十分である」と記載し（p.33）、個人情報保護委員会はそれを「リスク対策が具体的に記載されており、特段の問題は認められないと考えられる」¹⁶として承認していた。

　この経過が個人情報保護委員会の調査で欠落していることや、デジタル庁が誤登録の発生を把握しているにもかかわらず「評価書」にリスク対策は十分と記載し、それを個人情報保護委員会が「問題は認められない」として承認していることなどを質したが、個人情報保護委員会は回答することができず、改めて福島みずほ事務所をとおして文書で質問し回答することになった。
　この個人情報保護委員会への再質問と回答、その後の経過については、次回報告する。

　特定個人情報保護評価制度はマイナンバー制度の重要な個人情報保護措置であり¹⁷、評価書を作成・審査・公表していない情報の連携は禁止されている（番号法第28条第6項、第21条第2項第2号）。事実に反する「特定個人情報保護評価書」をデジタル庁が提出しているにもかかわらず、運用の停止を勧告せず指導に止めている個人情報保護委員会の姿勢は、まさにマイナンバー制度の監視機関としての機能不全を感じさせる。

Note

*1　ヒアリングの予告詳細は » こちらを参照。すべての質問事項もPDFファイルで参照できます。

*2　» 第244回個人情報保護委員会（開催状況）の「配付資料」

　　「資料3」»「マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応方針」

*3　» 第249回個人情報保護委員会（開催状況）「配布資料」

　　「資料1」 » 公金受取口座登録における別人の口座情報等の紐付け事案に対する行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく行政上の対応について

　　「資料2」 » マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応状況

*4、*5　» 第254回個人情報保護委員会（開催状況）「配布資料」の、

　　「資料2-1」» 公金受取口座誤登録事案に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について、

　　「資料1」» コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報保護法に基づく行政上の対応

*6　総務省報道資料 » マイナポイントの誤紐付け事案の全自治体調査最終報告（2023年6月20日）

*7　第249回個人情報保護委員会「資料2」 »「マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応状況」（2023年7月19日）