弁護士がビジネスに役立つ最新情報をご提供しています

コラム

地方自治体のシステム開発・保守を受注する際の個人情報保護法上の留意点

目次

1.はじめに
2.改正個人情報保護法で押さえておくべきポイント
(1) 個人情報の保有の制限
(2) 安全管理措置
(3) 保有個人情報の提供を受ける場合における措置要求
(4) 個人情報ファイル簿
(5) ここまでのまとめ
3.地方自治体における安全管理措置
(1) アクセス制限
(2) 廃棄
(3) 海外のクラウドサービスにデータを保存する場合の取扱い
(4) アクセス状況の記録・不正監視
(5) 管理者権限の設定
(6) 不正アクセス・マルウェア感染の防止・暗号化・外部デバイスの接続制限・バックアップなど
(7) 情報システム室の入退室管理
(8) その他
4.おわりに

1.はじめに

令和4年6月に尼崎市で発生したUSBメモリ紛失事件、個人情報の漏えいは発生しなかったものの、大惨事となりかねない事件でした。この事件では、尼崎市からシステム導入作業の委託を受けていた企業の関係従業員が、尼崎市からの許可を得ずにUSBメモリを持ち出したことや、作業終了後にUSBメモリのデータ消去の措置を講じなかったことが問題になりました。

地方自治体の個人情報に関するルールは、これまで、それぞれの地方自治体の制定する独自の条例に委ねられていました。それが、令和5年4月に施行する個人情報保護法改正により、全国的に統一されることになりました。

今後、地方自治体から個人情報の管理を伴うシステムの開発・保守の業務を受託する場合、改正個人情報保護法についても意識しておくことが必要になります。

今回のコラムでは、地方自治体のシステム開発・保守を受注する際に、改正個人情報保護法を踏まえてどのような点に留意しなければならないのかを取り上げます。

2.改正個人情報保護法で押さえておくべきポイント

令和5年4月に施行する改正個人情報保護法で、これまで条例レベルで定められていた地方自治体の個人情報に関するルールが、民間事業者と同じ個人情報保護法の中で規律されることになります。ただし、地方自治体に適用されるルールは、民間事業者のルールとは少しずつ違いがあります。まずは、地方自治体からの受託業務に関連する違いを、簡単に説明します。

※個人情報保護法の条文は、令和5年4月施行予定のものを示しています。

(1) 個人情報の保有の制限

(個人情報の保有の制限等)
第61条 行政機関等は、個人情報を保有するに当たっては、法令(条例を含む。・・・)の定める所掌事務又は業務を遂行するため必要な場合に限り、かつ、その利用目的をできる限り特定しなければならない。 【2項以下省略】

民間事業者のルールでは、保有することのできる個人情報の範囲について、明確なルールはありません。一方で、地方自治体の場合、保有することができる個人情報の範囲が、「法令の定める所掌事務又は業務を遂行するために必要な場合」に限定されています。

個人情報を収集するシステムを構築する場合、その利用目的を特定しなければならないだけでなく、そもそも、その個人情報を保有すること自体が「法令・条例の定める所掌事務又は業務を遂行するためになぜ必要といえるのか」について、特定した利用目的との関係において検討が必要です。

例えば、地方自治体が公開するWebサイトにおいて、利用者の閲覧履歴を収集して、その利用者の氏名とひもづけて管理する場合、「法令・条例の定める所掌事務又は業務」との関係において、何のためにその閲覧履歴が必要なのか、検討しなければなりません。この点については、ベンダーでは把握できないことも多いため、地方自治体側とのすり合わせが必要です。

(2) 安全管理措置

(安全管理措置)
第66条 行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない
2 前項の規定は、次の各号に掲げる者が当該各号に定める業務を行う場合における個人情報の取扱いについて準用する。
一 行政機関等から個人情報の取扱いの委託を受けた者 当該委託を受けた業務
【2号以下省略】

民間事業者のルールでは、安全管理措置は、「個人データ」に限って講ずべきものとされています。「個人データ」は、「個人情報」のうち、データベース化やファイリングによって体系化されたものをいいますので、そのような体系化のされていない「個人情報」は、安全管理措置の対象外です。

一方で、一方で、地方自治体の場合、「保有個人情報」が対象になっていますので、職員が組織的な利用のために取得した個人情報は、たとえデータベース化やファイリングによって体系化されていなかったとしても、安全管理措置の対象になります。

ただし、システムで取り扱う個人情報はデータベース化やファイリングによって体系化されることが一般的ですので、この違いはそこまで意識しなくても問題はないように思います。

むしろ、安全管理措置について意識すべき点は、「個人情報の保護に関する法律についての事務対応ガイド」において、地方自治体が取り扱う保有個人情報について、比較的高い水準での安全管理措置が要求されていることです。この点については、後ほど詳しく取り上げます。

(3) 保有個人情報の提供を受ける場合における措置要求

(保有個人情報の提供を受ける者に対する措置要求)
第70条 行政機関の長等は、利用目的のために又は前条第二項第三号若しくは第四号の規定に基づき、保有個人情報を提供する場合において、必要があると認めるときは、保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。

地方自治体の場合、保有個人情報の取扱いを委託する場合に、委託先に対し、通常よりも厳格な安全管理措置を求めてきたり、取扱方法について一定の制限を設けてきたりするケースがあります(措置要求)。このようなケースにおいては、求められた内容に応じて保有個人情報を管理しなければならない点に注意が必要です。

もっとも、民間事業者においても、安全管理措置について個人情報保護法よりも高い水準で個人情報を管理すべき義務が契約で定められることもありますので、実質的な違いはあまりないように思われます。

(4) 個人情報ファイル簿

(個人情報ファイル簿の作成及び公表)
第75条 行政機関の長等は、・・・当該行政機関の長等の属する行政機関等が保有している個人情報ファイルについて、・・・個人情報ファイル簿・・・を作成し、公表しなければならない。
1年以内に消去する情報のみの場合や、1000人未満の情報しか含まれない場合には、対象外。
【2項以下省略】

地方自治体の場合、1000人以上の情報が含まれ、かつ、1年以上保有される情報が含まれた保有個人情報のデータベース(個人情報ファイル)を扱う場合に、「個人情報ファイル簿」を作成して公表しなければならない義務があります。

その関係で、地方自治体のシステムを設計する際には、どのような保有個人情報を収集することが予定されているか項目を洗い出して、地方自治体側とのすり合わせをきちんと実施することが必要です。

(5) ここまでのまとめ

民間事業者と地方自治体とで、個人情報のルールが少しずつ異なります。まずは、ここまで取り上げた違いを意識しておくことが重要です。また、この後取り上げる安全管理措置については、民間事業者よりも高い水準が要求されていることに留意が必要です。 

3.地方自治体における安全管理措置

地方自治体で取り扱う保有個人情報の安全管理措置については、「個人情報の保護に関する法律についての事務対応ガイド」において、民間事業者よりも高い水準が要求されています。その中で、システムの開発や保守に関連して押さえておくべき事項をピックアップしておきます。

(1) アクセス制限

システムの開発や保守においては、データベースにアクセスすることができる職員が必要最小限になるように、適切なアクセス制限をかけなければなりません。システムの設計・設定上、どの職員にどこまでのアクセスを可能にするかは、地方自治体とすり合わせを十分に行っておく必要があります。

(2) 廃棄

保有個人情報が記録されているサーバーなどの電子媒体を廃棄する際には、各地方自治体に置かれる「保護管理者」の指示に従わなければならないとされています。また、廃棄の際には、地方自治体の職員の立会いや、廃棄証明書の交付なども、必要に応じて求められます。

(3) 海外のクラウドサービスにデータを保存する場合の取扱い

(民間事業者の場合も同様ですが)海外のクラウドサービスにデータを保存する場合は、その国の個人情報保護法制について把握する義務が課せられています。地方自治体によっては、このような義務の履行が困難であるとして海外のクラウドサービスの利用に消極的なケースもあり得ますので、システムの設計上、海外のクラウドサービスを利用しようとする場合は、あらかじめ地方自治体に可否を確認しておくことが望ましいです。

(4) アクセス状況の記録・不正監視

秘匿性の高い保有個人情報については、アクセス状況のログを残すことや、不正監視を行うことが求められています。システムの設計上、アクセス状況についてどこまでログを残すべきか、あるいは、不正監視を行うべきかは、地方自治体とすり合わせを十分に行っておく必要があります。

(5) 管理者権限の設定

管理者権限については、被害の最小化のために、最小限の職員にのみ付与することが求められています。システムの設計・設定にかかわる場合、管理者権限をどのように設定するか、地方自治体に確認しておく必要があります

(6) 不正アクセス・マルウェア感染の防止・暗号化・外部デバイスの接続制限・バックアップなど

その他、不正アクセス・マルウェア感染の防止・暗号化・外部デバイスの接続制限・バックアップなど、一定規模以上の民間事業者と同等程度の技術的安全管理措置を講じることが求められます。システムの設計・設定にかかわる場合、技術的安全管理措置をどのように講じるか、地方自治体とすり合わせを十分に行っておく必要があります。

(7) 情報システム室の入退室管理

情報システム室への入退室については、地方自治体の指示に従う必要があります。特に、デバイスの持ち込み制限などには注意が必要です。

(8) その他

それ以外にも、地方自治体と取り交わす契約書や、前述した措置要求によって、それ以外の安全管理措置が要求されることがあります。安全管理措置について地方自治体ときちんとすり合わせを行い、必要な対策をリスト化するなどして、漏れなく実施することが重要です。

4.おわりに

地方自治体の個人情報のルールは、民間事業者と少しずつ異なります。そのため、地方自治体からの委託を受ける場合は、その違いを理解しておくことが必要です。

当事務所では、システムの開発や保守にかかわる事業者様の様々な法律相談を承っております。また、地方自治体からの個人情報に関するご相談にも対応しております。オンラインにて全国対応いたしますので、お困りの際は、当事務所にご相談ください。

ケーススタディでわかるオンラインサービスのスタート法務

関連記事

PAGE TOP