大きな質問の3つ目は、マイナンバー制度における情報セキュリティ対策についてです。マイナンバー制度は、国民一人一人に12桁の番号を付番し、活用することにより、国民にとって利便性の高い、公平・公正が社会を実現するための社会基盤として導入され、平成27年10月よりマイナンバーの通知、平成28年1月よりマイナンバーの利用が開始されており、本年7月には、国並びに地方公共団体等との間での情報連携が開始される予定となっております。
一方、世の中には個人情報の流出事件が多発しています。札幌市は、税額決定通知書の誤記載や誤配達など3件の事故により、マイナンバー含む個人情報の漏洩が発生したことを発表しています。同市によれば、2017年度の市民税、道民税の特別徴収税額決定通知書として、 3万9500件を送付したが、誤送付や誤配達など3件が発生し、8人分の氏名や住所、マイナンバー、所得や税額などが漏洩したそうです。
また2017年5月には人材派遣のスタッフサービスグループにおいて、内部の従業員が登録者に関する個人情報を持ち出し、外部へ流出していたことが判明しました。流出したのは、1万5368人分の登録者情報で、氏名や住所、電話番号、メールアドレスなどが含まれるそうです。
さらには2017年2月には大阪市において、市役所内の事務関連の廃棄書類を業者が収集車に積み込む際、強風に煽られ一部が飛散し一部未回収となった事故がありました。
さらに世の中を見渡せば、個人情報を含む携帯端末やノートPCの紛失、情報の入ったUSBメモリの紛失等の事件は、枚挙にいとまがないほど多発しています。
このような現状において、マイナンバー制度における情報セキュリティ対策は重要でありますので、以下、質問して参ります。
(1) 制度の概要について
まず初めに、改めてマイナンバー制度の概要について伺います。
(総務部長)
マイナンバー制度につきましては、これまで、社会保障、税、災害対策の各分野の業務において、国及び地方公共団体などが、それぞれ保有・管理していた個人の情報について、新たに、マイナンバーを国民一人ひとりに付番し、一元的に把握することにより、社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現することを目的として、制度化されたものであります。
これにより、行政機関においては情報を一元的に把握することが可能となり、事務の簡素・効率化が図られること、また、国民においては申請手続きにおける添付資料の省略化により、負担軽減が図られることなどが、その効果として期待されているところであります。
(2) 行政機関等における利用について
次に、行政機関等においては、情報連携によりマイナンバーをどのように利用するのか伺います。
(総務部長)
マイナンバー制度におきましては、国並びに地方公共団体等との間で情報連携を行う「情報提供ネットワークシステム」の稼働が本年7月に予定されておりますが、情報連携にあたりましては、セキュリティを確保するため、マイナンバーを直接用いるのではなく、その代わりに個人を識別するものとして暗号化された「符号」を用いることにより必要な情報のやりとりを行うこととなっております。
さらに、情報連携を行う個人情報につきましては、一元管理するのではなく、各機関で管理していた個人情報は引き続き各機関が管理し、必要な情報を必要な時だけやりとりする分散管理の仕組みとするとともにシステムへのアクセスは限定された職員とするなどマイナンバーに係る情報連携は、国の管理のもとに適切に実施されることとなっております。
(3) 事業者における取扱いについて
次に、事業者においては、マイナンバーをどのように取り扱うのかうかがいます。
(総務部長)
事業者におきましては、従業員及びその扶養家族の税や社会保障の手続きでマイナンバーを取り扱うこととなりますが、その取得の際には、本人に利用目的を明示するとともに、なりすまし防止のため、厳格な本人確認を行うこととされております。
その上で、事業者は、給与支払報告書などの税の手続書類や、健康保険、雇用保険、年金等の社会保障の手続書類に、従業員等のマイナンバーを記載し、関係機関に提出することとなっております。
また、事業者においてマイナンバーを取り扱う祭は、漏えい、減失、毀損を防止するなど、マイナンバーの適切な管理のために必要なまた、事業者においてマイナンバーを取り扱う祭は、漏えい、減失、毀損を防止するなど、マイナンバーの適切な管理のために必要な措置を講じることとされております。
(4) 情報漏えいに対する罰則について
平成27年5月には、日本年金機構の個人情報の外部漏洩事件がありました。これは日本年金機構の職員の端末に対する外部からのウイルスメールによる不正アクセスにより、日本年金機構が保有している基礎年金番号や氏名、生年月日、住所を含む個人情報が125万件流出したものです。
そこで、マイナンバーを漏洩した場合や不正にマイナンバーを入手した場合の罰則など、様々な事案が考えられますが、その罰則規定はどのようになっているのか伺います。
(総務部長)
行政手続における特定の個人を識別するための番号の利用等に関する法律における罰則について主なものを申し上げますと、個人番号利用事務等に従事する者が、正当な理由なく、特定個人情報ファイルを提供した場合は、4年以下の懲役または200万円以下の罰金または併科となっており、偽りその他不正な手段によいりマイナンバーカードを取得した場合は、6ヶ月以下の懲役または50万円以下の罰金などとなっております。
また、本法の規定により、業務に関して、個人が処罰される場合におきまして、該当個人が法人等の代表者である場合や、該当個人が法人等の指示に基づきこれらの違反行為を行った場合、若しくは、該当個人が単独の意思で違反行為を行った場合であっても、法人等が監督責任を怠っていたものと認められる場合などにおきましては、本法に定める罰則の一部について、当該法人等も罰則されるとする両罰規定が設けられているところでございます。
情報漏えいをした個人及び法人に対する罰則が強化されたことを確認できました。さらに、情報漏えいした企業に対しては、罰則以外にも社会的制裁があることから抑止力が働いているものと推察します。一方、個人が不正にマイナンバーを入手する行為自体も罰則の対象となるほか、不正に入手したマイナンバーを利用して詐欺等の犯罪行為をおかせば、通常の刑法に触れることはいうまでもありません。
(5) 個人情報のセキュリティ対策について
先ほど紹介した日本年金機構の個人情報の外部漏洩事件は、電子メールのウイルスが入った添付ファイルを開封したことにより、不正アクセスが行われ、情報が流出したものです。この事案に対しては、外部への情報流出を防止するため、全拠点でインターネットへの接続を遮断しているそうです。
そこで、本市における個人情報に対するセキュリティ対策はどのようにしているのか伺います。
(総務部長)
個人情報に関するセキュリティ対策につきましては、市情報セキュリティポリシーに基づき、これまでも対策に努めてきたところでありますが、人為的なミス、いわゆるヒューマンエラーを防止するための対策といたしましては、各種研修を実施するとともに、毎月発行している情報セキュリティレポートの中で具体的な留意事項等を周知しているほか、随時、注意喚起のための庁内通知を行うことなどを通じまして、市情報セキュリティポリシーの遵守と職員のセキュリティ意識の高揚を図っているところであります。
また、システム面につきましては、「情報提供ネットワークシステム」の稼働に合わせまして、都道府県単位で整備し、高度な情報セキュリティ対策を講じる「県セキュリティクラウド」へ参加するほか、二要素認証の導入及び「総合行政ネットワーク」いわゆるLGWAN接続系とインターネット接続系の分離を図り、更なるセキュリティの強化に努めているところでございます。
<答弁19>
本市のシステム上のセキュリティ対策は、理解しました。しかしさきほどご紹介した札幌市マイナンバー含む個人情報の誤送付や誤配達や、スタッフサービスグループの内部の従業員による個人情報の持ち出し、さらに大阪市役所内の事務関連の書類の飛散事故、個人情報を含む携帯端末やノートPCの紛失、情報の入ったUSBメモリの紛失等の事件は、システム上のセキュリティ対策では、防げません。このような、いわゆるヒューマンエラーによる情報漏洩は、システム上の対策の構築だけでは防げないのです。ヒューマンエラーが存在するという前提で、情報セキュリティ対策は考えなくてはなりません。複数の視点でのセキュリティ対策を十分に講じた上で、かつ「必ず情報は漏洩する」と前提でマイナンバー制度を運用していただくことを要望して、私の一般質問を終了いたします。ご静聴、誠にありがとうございました。
注)上記記載内容は、当方のメモをもとに作成したものです。正式な議事録は、いわき市議会HPの議事録検索システムから入手下さい。
注)上記記載内容は、当方のメモをもとに作成したものです。正式な議事録は、いわき市議会HPの議事録検索システムから入手下さい。
