「特定個人情報保護評価書(全項目評価書)(案)」に関する意見募集
「特定個人情報保護評価書(全項目評価書)(案)」に関する意見募集
2015年3月18日
一般社団法人 情報処理学会
会 長 喜連川 優
一般社団法人 情報処理学会
会 長 喜連川 優
以下のとおり,2015年3月18日付で意見書を提出しましたので,ご報告いたします.
(協力:コンピュータとセキュリティ(CSEC)研究会)
(協力:コンピュータとセキュリティ(CSEC)研究会)
2015年3月18日
厚生労働省労働基準局労災保険業務課 御中
一般社団法人 情報処理学会
会長 喜連川 優
会長 喜連川 優
以下の通り意見を提出しますので,宜しくご査収ください.
本件,「労働者災害補償保険法による保険給付等(年金給付)に関する事務」の全項目評価書に対する意見募集となっていますが,今後も引き続き,特定個人情報を取扱う数多くの行政事務に関する全項目評価書が提出されるものと予想されます.情報処理学会では,今回の評価書をそれらの代表例とみなし,多くの評価書に関する共通的な意見を中心に述べたいと思います.
本件,「労働者災害補償保険法による保険給付等(年金給付)に関する事務」の全項目評価書に対する意見募集となっていますが,今後も引き続き,特定個人情報を取扱う数多くの行政事務に関する全項目評価書が提出されるものと予想されます.情報処理学会では,今回の評価書をそれらの代表例とみなし,多くの評価書に関する共通的な意見を中心に述べたいと思います.
- 「I 基本情報」,および「II 特定個人ファイルの概要」について
(1) 取り扱う特定個人情報,利用目的,リスク対策が理解しやすいフォーマットとなっており,透明性確保の点で評価できると思います.また,記入者による自己チェックのツールとしても有効だと思います. - 「III 特定個人情報ファイルの取扱いプロセスにおけるリスク対策」,および「IV その他のリスク対策」について
(1) リスクが十分に洗い出されていることが理論的または客観的に分かるようになっていると,より望ましいと思います.例えば,5ページの「(別添1)事務の内容」冒頭の図中に,リスクポイントを示すとわかり易くなるでしょう.
(2) IIIの各項における「リスクへの対策は十分か」の問いに対しては,記入者の主観的な判断によるところが大きく,自主判断に加えてより客観的な判断基準が必要と考えます.例えば,外部の有識者が,措置内容の記述に基づき回答する方法もあるでしょう.
(3) 今回のような事前チェックは当然必要ですが,それ加え,システムが仕様通りに実現され,適切に運用され,対策が適切に実施されていることの事後チェックや定常チェックがなければ,リスクへの対策としては不十分だと考えます.今後の事務運用の中で是非御検討ください. - その他
(1) 本来であれば,多少のコストをかけてでもISO15408 (Common Criteria) のST確認,もしくはそれ相当のものを取得すべきであろうと考えます.現時点でそれを実施するにあたっては,予算および人材確保の点から制約が大きいと想像されますが,個人情報保護の重要性が今後ますます増大してゆくことを考慮すると,セキュリティ評価人材育成のための継続的な教育投資が必要だと考えます.
(2) 評価書のいくつかの項目の選択肢について,妥当性を再考した方が良いと思います.例えば,II 2.④(基本情報の記載される項目)では「4) 100項目以上」を選択していますが,実際には1482項目もあり,<選択肢>を見て想定される範囲からかけ離れた値となっています.II 3.⑦(特定個人情報の使用者数)も「6) 1,000人以上」となっていますが,実際どれくらいの使用者がいるのか不安に思う方もいるでしょう.<選択肢>に示された数値範囲が実際の分布を的確に反映していることが望まれます.
以上