地方公共団体などにおける特定個人情報の取り扱いに関して報告結果を公表 個人情報保護委員会

掲載:2024年10月30日

サイバー速報

         
目次

個人情報保護委員会はこのほど、地方公共団体などから特定個人情報の取り扱いの状況について報告を受け、その結果を公表しました。特定個人情報とは、マイナンバー(個人番号)を内容に含む個人情報のことです。

対象機関は、都道府県や市区町村1,788機関と、基礎項目評価書(※)を提出した教育委員会など419機関を合わせた計2,207機関です。今回の報告では、3月31日時点での安全管理措置の実施状況、データ入力業務における委託・再委託の実施状況、特定個人情報保護評価の実施状況について報告を求め、おおむね必要な措置が取られていることが確認されました。

安全管理措置に関しては、例えば「特定個人情報などに係る規定の整備」は99.5%が「実施済みまたは令和6年度中に実施予定」と回答しました。「管理状況の把握(監査およびログの分析)」においては、4%が「特定個人情報などの管理状況に関する監査」を「令和6年度中に実施できない」と回答しており、その理由としては「実施のための体制が整備できていない」、「知識を持つ職員が少ない」などが挙がったとされています。

データ入力業務における委託・再委託の実施については、約45%が委託を実施、約19%が再委託を実施していることがわかりました。また、それぞれでの特定個人情報などの取り扱い状況の確認が行われました。例えば、「委託先の選定時における安全管理措置についての事前確認」は98.8%が「令和5年度に全部または一部実施」。再委託先についても、「許諾前における事前確認」は98.6%が「令和5年度に全部または一部実施」と回答しています。

特定個人情報保護評価に関しては、例えば「令和5年度子育て世帯生活支援特別給付金の支給事務」での状況をみると、事後評価を「報告時点ですべて実施済み」と答えたのは18.0%、「未実施」と答えたのは1.9%となりました(60.9%は評価対象外、19.1%は該当業務を実施していない)。

これらの結果を受け、個人情報保護委員会は、各機関での対応状況は年々改善しているものの、一部の機関では実施ができておらず、情報漏えいなどを未然に防ぐためにはログの分析を定期的に行うことが有効だと見ています。実施できていなかった機関に対しては、個人情報保護委員会HPに掲載されているマニュアルの案内やログ分析の手引書の提供、注意喚起を行い、地方公共団体における特定個人情報がより適切に取り扱われるよう、取り組みを実施していくと述べています。

※基礎項目評価書は、保護評価を実施するすべての機関が提出する様式。番号法に基づき、地方公共団体などは、特定個人情報の取り扱いに関して事前に自らリスクを評価し、そのリスクを軽減するための措置について文書で公表する特定個人情報保護評価を実施するとされており、対象人数などによって個人情報保護委員会に提出する評価書の様式が異なる。基礎項目評価書、重点項目評価書、全項目評価書の順に記載内容がより詳細になる。