ページの先頭です。 メニューを飛ばして本文へ
現在地 トップページ > 分類でさがす > 市政情報 > 計画・審議会 > 審議会 > 行財政運営 > 高槻市個人情報保護運営審議会 > 令和3年度第3回高槻市個人情報保護運営審議会会議録を公表

本文

令和3年度第3回高槻市個人情報保護運営審議会会議録を公表

ページID:032960 更新日:2022年3月22日更新 印刷ページ表示

日時

令和3年6月14日(月曜日)

午前10時00分から午前11時15分まで

場所

高槻市総合センター6階 C604会議室 (インターネットWeb会議)

事務局

法務ガバナンス室

傍聴者数

0人

出席委員

片桐会長、山崎委員、大山委員、高橋委員、井上委員、久末委員、小阪委員

会議の議題

  1. 答申書の確認
     高槻市個人番号カード予約・管理システムの導入について
       [担当課:市民生活環境部 市民課]
  2. 新規諮問事項
     「特定個人情報保護評価書(全項目評価)」に係る第三者点検について
       [担当課:健康福祉部新型コロナウイルスワクチン接種対策チーム及び保健予防課並びに子ども未来部子ども保健課]
  3. その他

審議等の内容

1 答申書の確認

高槻市個人番号カード予約・管理システムの導入について

前回、実施機関(市民生活環境部市民課)から諮問のあった案件について、事務局から審議結果を踏まえた答申案が提案され、承認された。

2 新規諮問事項

「特定個人情報保護評価書(全項目評価)」に係る第三者点検について

実施機関(健康福祉部新型コロナウイルスワクチン接種対策チーム及び保健予防課並びに子ども未来部子ども保健課)から出席職員の紹介があった後、次の説明がなされた。

 

実施機関:本日の諮問案件について、概要を説明する。件名は、「特定個人情報保護評価書(高槻市 予防接種事務 全項目評価)」に係る第三者点検についてである。

まず、これまでのマイナンバーの利用の経緯を説明する。予防接種事務については、令和2年度に初めて評価を実施したが、その際の特定個⼈情報の対象人数は、1万人以上10万人未満であり、しきい値判断結果により基礎項目評価を実施していた。

今般、令和3年度当初から新型コロナウイルス感染症に係る予防接種事業が開始となり、12歳以上の全市民が対象となったことにより対象人数が30万人を超え、改めてしきい値判断を行ったところ、基礎項目評価及び全項目評価の実施が必要となった。

なお、本来であれば、特定個人情報保護評価は、特定個人情報ファイルを保有する前に実施することが原則であるが、当初は、国のワクチン接種記録システム(以下「VRS」という。)の構築直後のため、評価を行える状況になく、一方では、新型コロナウイルス感染症の発症を予防し、死亡者や重症者の発生をできる限り減らし、感染症のまん延の防止を図ることが急務とされていたために、国が個人情報保護委員会と調整し、特定個人情報保護評価に関する規則第9条第2項の規定を適用し、緊急時の事後評価とすることが示されていたものである。

こういった経緯により、事後ではあるが、全項目評価書(以下「評価書」という。)を作成し、令和3年9月28日から同年11月1日まで市民等への意見募集(パブリックコメント)を実施したところである。結果については、意見なしであった。本日は、第三者点検について、高槻市個人情報保護条例第23条の2第1項に規定する特定個人情報保護評価に関する事項として、高槻市個人情報保護運営審議会へ諮問するものである。

それでは、評価書の説明をさせていただく。まず、事務の内容について、評価書6ページの図を用いて、簡単に説明する。なお、予防接種事務については、複数の所管にまたがる事務であるが、新型コロナワクチンの予防接種を前提に説明させていただく。

この図は、予防接種の対象者を抽出して接種券を送付する流れ、また、市民がワクチン接種を受けた後に、その記録を各システムに記録していく流れなどを記載したものである。丸で囲まれた項目番号のうち、黒地に白抜き数字のものが、新型コロナワクチンに係る流れとなるので、順に説明する。

まず、図の左上の方であるが、1、2のところで住基システム及び統合宛名システムから、既存の健康情報管理システムに、マイナンバーも含めた市民の情報を取り込む。なお、この健康情報管理システムについては、新型コロナワクチンだけではなく、予防接種全体を管理しているシステムとなる。

その後、3、4のところで、新型コロナワクチンの対象となる12歳以上の対象者の情報を、接種券番号を生成・付加した上で、ワクチン接種管理システム(以下「接種管理システム」という。)に取り込む。この接種管理システムは、新型コロナワクチンの管理に特化した市のシステムとなる。また、一方では、5のところで、VRSにも対象者の情報をマイナンバーも含めて登録しておく。

そして、市の接種管理システムから、6のところになるが、接種券を印刷し、市民に送付している。

ここまでが接種券を送付するまでの流れで、ここからは市民が接種を受けた後の流れとなる。

図の右上の方の「住民」の下にある「医療機関等」のところであるが、市民が医療機関などで接種を受けると、医療機関などでは予診票に接種券のシールを貼り付ける。医療機関では、その予診票の接種券番号の部分を、国から配布されたタブレットのカメラで読み取って、接種の記録をVRSにアップロードする。それが7のところである。

一方で、予診票については、その後、医療機関から市に届けられる。8のところになるが、その予診票は、市でパンチ入力して接種管理システムにも接種記録を登録している。医療機関によっては、7の予診票読み取りを行わないこともあるので、ここで登録した記録については、9の流れでVRSに登録する。この時、既に7で医療機関が登録したデータがあれば、上書きされる仕様となっている。

また、接種した記録については、10のところで、健康情報管理システムにも転記・保存することとしている。

ここまでが接種した記録の登録についてである。それでは、接種した記録を市町村間で連携するところを説明する。

VRSについては、国が開発したもので全国共通で使用しているシステムであるが、データの領域については、自治体ごとに論理的に区分されており、それぞれの自治体により管理されている。

図の左下の方の11になるが、転入した方から接種券の発行申請があった場合で、必要な場合には、本人からの同意に基づいて、他の市町村の記録を照会することになるが、接種券番号が分からない場合などには、本人から収集したマイナンバーを使って、照会することになる。

続いて、特定個人情報ファイルの概要やリスク対策について、評価書に沿って説明する。

8ページを御覧いただきたい。「特定個人情報の入手・使用」について、入手元として、その他で「ワクチン接種記録システム(VRS)」を記載している。「入手の時期・頻度」、「妥当性」、「使用目的」等として、本市に転入された方の接種記録を転出元市区町村に照会が必要となる場合や、転出先市区町村から接種記録の照会を受けるなど、必要があれば本人からの同意を得た上で、入手することを記載している。

9ページからは、「特定個人情報ファイルの取り扱いの委託」を記載しており、まず、予防接種全般を管理している健康情報管理システムの運用保守、10ページでは、国が導入して全国共通で使用しているVRSの管理、11ページで、接種管理システムへの接種記録の登録業務、以上3件を委託している。

12ページでは、委託を除く特定個人情報の提供・移転について、VRSを用いて市区町村間の接種記録の照会を行うことを記載している。

14ページでは、特定個人情報の保管・消去について、市のシステムにおける措置と、VRSにおける措置とを分けてそれぞれ記載している。

16ページからは、「特定個人情報ファイルの取り扱いプロセスにおけるリスク対策」を29ページまで記載している。

まず、16ページでは「目的外の入手が行われるリスク」であるが、ページ中ほどの「リスクに対する措置の内容」で、VRSのデータベースは市区町村ごとに論理的に区分されており他市区町村からは入手できないようにアクセス制御されていることを記載している。また、一番下の「特定個人情報の入手におけるその他のリスク」のところでは、VRSにおける追加措置として、入手した特定個人情報については国から配布されたユーザーIDを使用し、ログインした場合だけアクセスできることを記載している。

次に、17ページの「目的を超えた紐づけなどが行われるリスク」であるが、上から2項目の「事務で使用するその他のシステムにおける措置の内容」を御覧いただきたい。医療機関などの接種会場では、国が配布しているタブレットにより、接種券番号を読み取ってインターネット経由でVRSに登録するが、マイナンバーにはアクセスできないように制御している。また、「ユーザ認証の管理」のところであるが、VRSのユーザーIDは、国に対してユーザー登録をした者に限定して発行され、限定された者しかログインできないLGWAN端末による操作に限りアクセスが可能となっている。

18ページに移ると、特定個人情報が不正に複製されないよう、健康情報管理システムから特定個人情報を抽出したCSVファイルをVRSへ登録する際は、職員を限定し、記録媒体は許可されたものを使用し、記録を残すことなどを記載している。

19ページでは、「特定個人情報ファイルの取り扱いの委託」に係るリスクになるが、最初の「情報保護管理体制の確認」ところで、VRSでの特定個人情報の取扱いについては、高槻市と国とVRSの運用保守委託業者との三者の関係を規定した「新型コロナウイルスワクチン接種記録システムの利用にあたっての確認事項(規約)」に同意することにより、当該確認事項に基づいて委託している旨の記載をしている。

20ページでは、「特定個人情報の提供・移転にかかるリスク」を記載しているが、最初の「不正な提供・移転が行われるリスク」については、VRSで他市区町村への提供の記録を取得している旨の記載をし、また、ページ下の方の「誤った情報を提供・移転してしまうリスク」では、VRSを利用する際に、万が一、誤った市区町村コードをマイナンバーと共に送信したとしても、該当者がないため、誤った市区町村に対してマイナンバーが提供されない仕組みとなっている旨の記載をしている。

21ページから24ページについては、新型コロナワクチンの事務に特化した記載はない。

25ページからの「特定個人情報の保管・消去」については、26ページにかけて「特定個人情報の漏洩・滅失・毀損リスク」を記載しており、VRSについては、物理的対策及び技術的対策として、特定個人情報の適切な取扱いに関するガイドラインや政府機関等の情報セキュリティ対策のための統一基準群に準拠していることなどを記載している。

最後に、28ページでは「その他のリスク対策」として、監査や従業員に対する教育・啓発について、それぞれ記載をしている。

以上で案件の説明を終了させていただく。

 

以上の説明の後、次の質疑がなされた。

 

委員:基礎項目評価書の説明はないのか。

 

実施機関:説明を割愛させていただく。

 

委員:分かった。他に御意見無いか。

 

委員:前回の全項目評価の諮問事項の時にも伺ったと思うが、この評価書の書式は全国統一で行われているものか。

 

実施機関:そのとおりである。

 

委員:分かった。書式は実施機関では変えられないのか。

 

実施機関:はい。

 

委員:何を申し上げたいかというと、「十分に行っている」とか、「特に力を入れている」とか、自己点検の上での実施機関の評価があると思うが、その根拠がよく分からない。なぜ「十分に行っている」と言えるのか。リスクに対する具体的な対策については分かるし、「十分に行っている」という評価が不当であるとは思わないが、なぜ「十分に行っている」と言えるのかは分かりにくいと思う。ただ、これは全国統一で行っているということは仕方がないということか。

 

実施機関:はい。

 

委員:分かった。他に御意見無いか。

 

(意見なし)

 

委員:この間、新型コロナウイルスのワクチン接種事務はとても大変であったと思うし、VRSとの連携部分については色々とトラブルがあったと聞き及んでいるところであるが、適正かつ安全な個人情報保護制度の運営にも努めていただきたいと思う。

 

以上の質疑の後、本件は承認された。

3 その他

次回の日程について

次回審議会(令和3年度第4回審議会)については、令和3年12月14日(火曜日)午前10時から開催予定であることを確認した。

 

Adobe Reader<外部リンク>
PDF形式のファイルをご覧いただく場合には、Adobe社が提供するAdobe Readerが必要です。
Adobe Readerをお持ちでない方は、バナーのリンク先からダウンロードしてください。(無料)