依然としてトラブルが相次いでいるマイナンバーカード。

公金受取口座に別の人の口座が紐付けされた問題で、個人情報保護委員会は7月19日にデジタル庁への立ち入り検査を実施しました。

他にも、医療情報や年金、銀行口座といった個人情報の漏洩も相次いでいます。

こうしたトラブルを踏まえて、個人情報保護委員会は、デジタル庁の「リスク管理及び対策ができていなかった」ことを指摘しました。

 

1. なぜミスは起こったのか？

そもそも、なぜ別の人の公金受取口座が紐づけられていたのでしょうか。

全部で940件余りにものぼるようですが、こうした一連のミスは、住民の手続きを支援する自治体の窓口で起きました。

具体的には、前の登録者のログアウトが完了しないまま、次の登録者の手続きを行ってしまったことで、前の登録者のアカウントに後の登録者の口座が紐づけされてしまったことが原因のようです。

現状、このようなミスはどれだけ注意しようとも、人間がかかわっている以上起こりうる問題ではあります。

しかし、大切な情報を取り扱う以上、可能な限りこのようなミスはなくさなければいけません。

そこで重要になってくるのが、リスク管理です。

このようなミスを事前にどれだけ想定できるか、そのミスに対してどのように対応するのかを事前にしっかりと決めておくことが、とても大切になります。

個人情報保護委員会がデジタル庁に立ち入り検査したのも、デジタル庁が自治体に対して、正確なシステムの操作手順を徹底せず、リスク管理や対策を講じていなかったからでした。

 

※口座の紐付けが正確にされているかを自分自身で確認する手順

①「マイナポータル」にログイン

②「注目の情報」の「公金受取口座の登録・変更」をクリック

③ 公金受取口座の登録状況ページを確認

もし誤りがあった場合は、登録口座をすぐに削除し、居住する市区町村に連絡してください。

 

2. 個人情報保護におけるリスク管理とは

（参照）プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針

https://privacymark.jp/system/guideline/pdf/pm_shishin2022.pdf

 

では、個人情報保護におけるリスク管理の方法とは具体的にどのようなものを指すのでしょうか？

 

まずは、取り扱う全ての個人情報を特定することから始まります。

そもそも個人情報を具体的に特定できなければ、それに対するリスク管理対策もできません。

具体的には、個人情報保護管理者（個人情報を取り扱う責任者を指します）が、取り扱う個人情報を漏れなく洗い出し、それらを全て記入した台帳を作成します。

例えば以下の項目を台帳に記します。

・個人情報の項目

・利用目的

・保管場所

・保管方法

・アクセス権を有する者

・利用期限

・保管期限

台帳が完成したら、社長などのトップが承認します。

この台帳は、少なくとも年一回、あるいは必要に応じて適宜に確認し、最新の状態に維持しなければなりません。

 

個人情報の特定ができたら、次はリスクの特定です。

各方面におけるリスクを特定し、その分析をします。

このリスク分析も多岐に渡ります。

サーバー関連から業務委託関連、人事関連に至るまで、一つ一つ細かく分析する必要があります。

このブログで取り上げたマイナンバー情報や口座情報についても、取扱いの際どのようなリスクがあるのかを分析する必要があります。

そして、それらを分析するだけでなく、一覧にしたリスク管理表を作成します。

例えば以下の項目を記します。

・個人情報の項目

・媒体

・ライフサイクル（個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等）

・リスク

・対応策

・残留リスク（現時点では困難であるが、短期的若しくは中長期的に対応していくリスクのこと）

 

個人情報保護管理者は、リスク管理表を社長等のトップに提出し、承認を得ます。

そして、策定した管理策は、従業者や委託先への教育内容等に反映します。

こちらも台帳同様、少なくとも年一回、及び必要に応じて適宜に確認し、最新の状態に維持しなければいけません。

 

このように個人情報を保護するためのリスク管理方法は徹底して行う必要があります。

ただし、形式的なものにとどまることなく、一人一人が個人情報の保護に対して意識をしていくことこそが一番大事といえるでしょう。