-自治体等の特定個人情報保護評価書をモデルにして-
V1.0
本稿は、自治体及び地方公共団体(以後、「自治体等」と言う)が作成し公表した特定個人情報保護評価書(全項目評価書)・「住民基本台帳事務」の特定個人情報ファイルのうち根幹となる「住民基本台帳ファイル」を、また、地方公共団体が作成した「後期高齢者医療制度関係事務」の「後期高齢者医療情報ファイル」の取扱いプロセスにおけるリスク対策を対象にして、重要な管理規準を例示したものである。
以下本文より抜粋
1 特定個人情報の取扱いプロセスにおけるリスク対策と管理規準例
表1は、評価書に記載された「特定個人情報の取扱いプロセスにおけるリスク対策と管理規準例」である。項目番号には取扱いプロセスを記載し、左端はリスクとそのリスク対策の要件である。求められるリスク対策の要件は、特定個人情報評価書(全項目評価書)の「記載要領」に記載された内容である(一部表現を手直ししている)。右側にはリスク対策における「管理規準例」を示した。サブコントロールや管理策の内容も交えて例示している。また、その下には、調査した自治体等(注)の評価書にて記載された対策事例(一部表現を手直ししている)である。対策事例は完全な対策とはいえないが、当該自治体等では十分に検討され、一定の制約条件のもとでとられた最適の対策と言える。
なお、本管理規準例は自治体等のリスク対策を調査し作成したものであるが、その内容は特定個人情報を取扱う企業や諸団体にも参考となる。活用にあたっては、自治体等での専門用語を自組織に適切は用語に置き換えてもらいたい。
(注)調査した自治体等は、平成26年の下半期から特定個人情報保護評価書の作成に積極的に取り組まれ、早くから評価書の意見(パブリックコメント)を公募していた「千葉県柏市」「大阪府堺市」「兵庫県神戸市」「奈良市」、及び特別地方公共団体の「奈良県後期高齢者医療広域連合」である。
(注)「基準」(standard)とは、何らかの行為のもととなるきまりをいい、「規準」(criteria)とは、何らかの判定をするためのきまり、判断手段をいう。本稿では、基準と規準の混乱を避けるため、両者を表示上も明確に区分している。 ちなみに、システム管理基準の前文で、「システム管理基準は、本管理基準と姉妹編をなすシステム監査基準に従って監査を行う場合、原則として、監査人が監査上の判断の尺度として用いるべき基準となる。」と、「管理基準」と表示している内容が、実は「管理規準」であることを補足している。