地方公共団体の個人情報保護法・同条例研修
Nkoshin21lg個人情報保護法・同条例、個人情報の取り扱い実務及び不祥事対応の3拍子揃ったレクチャー
1.コンプライアンス、まずは個人情報保護法・同法施行条例等
改正個人情報保護法が令和5年度から施行されたが、これまで地方公共団体の管理する個人情報の流出が続いてきた。改正法の下ではどうすればいいのであろうか。
これまでは、地方公共団体ではコンプライアンス的に甘くて、個人情報をずさんに扱っている例がある。
これらはいろいろと理由があるが、やはり個人情報の管理に旧来のままで慣れていない面が非常に大きいのでなかろうか。
法の知識と意識の問題である。
2.個人情報の扱い方の基本
地方公共団体は個人情報を取得する目的を明示し、公正な手段で取得しなければならない。個人情報を取得した場合、地方公共団体は安全管理義務を負う。
取得した個人情報は、明示した目的以外に利用してはならないとされており、法令等の例外を除き、個人情報を本人の同意なく第三者に提供することはできない。
個人情報の処理を外部に委託する際は、適正に委託先の管理を行なわなければならない。
3.個人情報保護法違反
個人情報保護法違反を職員が発見した場合に、地方公共団体の「コンプライアンス・ホットライン」、多くは総務課が担当しているが、そこへ通報するべきだがその際に情報提供者が誰かが分からないようにする必要がある。
その後に、地方公共団体で居辛い状況をつくらないための配慮として重要である。
また個人情報保護法違反があった場合には、全職員に対して、当該役所の個人情報保護方針を再度明示する。
それまで研修などで個人情報保護法厳守の指導があっても再度各業務レベルでの個人情報保護法の内容の確認と、違反を回避するための内部統制ルールを職員に周知徹底する。
4.個人情報に関するクレームの発生
個人情報保護法違反のクレームを受けた場合には、すぐに上司に報告すべきであるが、
同時に、クレームとの最初の接触段階で、問題発生による場当たり的な対応ではなく、事前に、職員が適切な判断を下せるような対策を立てることが望ましい。
5.セキュリティシステム
コンプライアンスは、地方公共団体の運営を維持・存続させるために住民等のステークホルダーの信頼を得ることとすると、
個人情報保護法をまもるために、地方公共団体は、個人情報の入手・保管・利用等に関わる手続きや制度を新たに定め、セキュリティシステムの拡充の投資が必要になろう。
しかし、セキュリティシステムを維持・改善するだけではなく、職員に対する継続的な教育・啓発が重要になる。
個人情報保護法については、個人のプライバシーにかかわる部分があり、ステークホルダーは敏感であることに注意する必要がある。
6.マイナンバー法
番号法(マイナンバー法)は、2015年10月から個人12ケタ、法人13ケタの番号通知が始まり、個人番号カードも普及し始めている。カードのコピーを必要以外にしない。
保険証代わりに2024年秋までに順次なっていくが、次の情報セキュリティに関する住民の懸念が非常に高いことに注意する。
7.情報セキュリティ態勢は多数の個人情報を扱う組織に不可欠
(1)情報セキュリティとは、
個人の情報等を安全に管理する情報セキュリティ態勢の構築と研修の必要性は、住民の個人情報や企業の経営情報等の重要情報を多数保有している団体に不可欠になった。
行政サービスを提供している地方公共団体や個人情報を多数扱う組織はその業務の多くが情報システムやネットワークに依存しており、全職員が情報セキュリティについての対策を日常的に行う必要があるからである。
今般、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)改正法も成立し、十全なる情報セキュリティ対策は待ったなしの状況である。
(2)情報セキュリティのポイント
1)情報セキュリティ対策の基礎知識…紙の情報と電子ファイルによる情報
2)個人情報などの情報についての内部統制の方法
3)情報セキュリティと個人情報保護法や個人情報保護条例の関連性…個人情報の漏えいなどを防ぐ仕組み
4)情報セキュリティと危機管理…大規模災害等における業務の継続性(BCP)と要援護者保護等
5)特定個人情報(マイナンバー法)の管理方法…特定個人情報の漏えいに対する厳しい直罰規定等
8.情報セキュリティ対策の基礎知識
(1)情報セキュリティのポリシ-制定からの流れ
組織体制の確立 、
情報セキュリティ基本方針の策定 (マイナンバー法含む)、
リスク分析の実施 、
情報セキュリティ対策基準・実施手順の策定、
情報セキュリティの実際の運用と評価・見直し、
情報セキュリティの内部監査と外部監査、
フォローアップ
(2)情報セキュリティの最重要4つの管理項目
組織的管理~技術的管理
(3)情報セキュリティ対策の運用
情報システムの監視~SNS(ソーシャルネットワークサービス)の利用
(4)情報セキュリティの監査の実際
情報セキュリティの内部監査と外部監査、
助言型監査と保証型監査、
準拠性監査と妥当性監査、
監査手順
9.情報セキュリティに関する不祥事・事例
(1)八つの類型別個人情報漏洩不祥事
(2)地方公共団体や企業での情報セキュリティ違反よる個人情報漏洩等の不祥事事例
(3)個人情報の漏えいを防ぐ必須の態勢と方法
◆態勢つくりと研修での重要参考資料
各自治体情報セキュリティ関連条例等・総務省情報セキュリティ関連ガイドライン等
10.CSIRT体制の充実を急げ
(1)地方公共団体の情報セキュリティ
地方公共団体の情報セキュリティが不安視されている。個人情報も含めた情報セキュリティシステムを業者への丸投げしていてはいけないだろう。
現在、自治体情報セキュリティ緊急強化対策が総務省から出されている。十分に参考にするとともに実行を伴わなくてはならない。
(2)組織体制の再検討、職員の訓練等の徹底
・CISO・CSIRTの設置等、インシデント連絡ルートの再構築(多重化)、緊急時対応計画の見直しと緊急時対応訓練の逐次実施、特に標的型攻撃に対する対策の徹底
(3)インシデント即応体制の整備
インシデント連絡ルートに沿って、都道府県による支援体制を再確認、不正通信の監視機能の強化、自治体情報セキュリティ支援プラットフォームの創設
(4)インターネットのリスクへの対応
安全性の確認、システム全体の強靱性の向上、自治体情報セキュリティクラウドの検討
(5)CSIRT(Computer Security Incident Response Team)
CSIRT(シーサート Computer Security Incident Response Team)とは、情報システムに対するサイバー攻撃等の情報セキュリティインシデントが発生した際に、発生した情報セキュリティインシデントを正確に把握・分析し、被害拡大防止、復旧、再発防止等を迅速かつ的確に行うことを可能とするための機能を有する体制の事である。
情報セキュリティについての研修でいつも話している中で職員の認識が低い内容である。
自治体CSIRT協議会が、設置された。地方公共団体のCSIRTの設置から運用、インシデント対応訓練等による対応力の維持・向上には、不断の取組みのためである。全都道府県、全市区町村を対象とする組織で、平成30年に設立された。
下記は、拙著である『公務員の教科書「道徳編」』(ぎょうせい)は出版戦略から名前はシリーズものになっているが、地方公共団体のコンプライアンスの基本的著書である。実際に大きな不祥事が発生した団体等でコンプライアンス委員会の指定図書や推薦図書になっているので参照されたい。
中川総合法務オフィスの地方公共団体の個人情報保護法・同条例研修内容
平成15年の個人情報保護法の制定から約20年経過し、平成27年のかなり大きな改正を経て、令和2年・令和3年改正で、国の行政機関や地方公共団体も含めたデジタル対応の一本化がなされた。しかし、様々な個人情報を管理する主体組織もまた当然ながら様々である。個人情報保護委員会がそのすべてを監視できるわけがない。
引き続き、個人情報の管理には地方公共団体での組織的な取り組み等、コンプライアンスやリスクマネジメントの実践が不可欠である。現場の原課においては、公開対象になっている「個人情報ファイル簿」の作成管理が重要で条例要配慮個人情報も個人情報保護法施行条例で定めれば、記載が求められ、個々の職員においてもこれまで以上に個人情報に関する深い理解が不可欠になってきている。
【この個人情報保護法研修を受講する3つのメリット】
①地方公共団体の個人情報保護法制が大きく変わった内容が理解できる。
②全職員が基本的な個人情報取り扱い実務が基本中の基本からわかる。
③研修中に専門家である講師との事例演習を通じてのやり取りが可能である。
【改正個人情報保護法の研修内容ポイント】
・令和5年4月1日施行「個人情報保護法」は、地方公共団体も規律の対象となっており、個人情報に関する我が国の規律方式は、セグメント形式からオムニバス形式に大きく変わる。
・改正法の下での個人情報のリスク管理とコンプライアンスを地方公共団体はどうすればいいのか。
・廃止される令和4年度までの「個人情報保護条例」に代わる「個人情報保護法施行条例」は如何なる例規変更・実務変更が必要なのか等を研修する。
・その際に、全職員が対象になることから個人情報保護とは何か等、個人情報保護に関する基本的な内容の解説、法改正の全体的概要解説の上、それに伴う令和5年度以降の変更点等について研修する。
主な内容の一部は次の通り。
(1)個人情報のリスク管理とコンプライアンス…個人情報漏えいの具体的な自治体を多数取り上げる。
(2)キーワードも含めて、改正法の住民等の個人情報保護の実務運営を正確に理解する。
(3)規律移行法人がある場合は、取扱業者の規律(第4章)に服するのでそれにも触れる。
(4)個人情報保護委員会の自治体への監視の仕方、ガイドライン等も取り上げる。
【研修企画書】の一部紹介…研修を検討される場合は無料でお送りします。上記の「お問合せ(contact)」からどうぞ。
第1部 地方公共団体における個人情報のリスク管理(一部紹介)
【近時の自治体個人情報漏えい事例】…報道もされた典型事例を複数取上げる
【類型別個人情報漏洩不祥事…リスク管理のために故意型等「8類型」に分ける】
【個人情報の漏えい防止の見直し 5項目】
第2部 改正後の地方公共団体の個人情報のリスク管理態勢(一部紹介)
【改正法の骨子になるキーワード】
改正個人情報の基礎(どのような情報が個人情報に当たるのか等の基本から解説)
【地方公共団体を含めた行政機関等における個人情報等の取扱い】【取得】4項目、【管理】4項目、【利用・提供の制限】5項目、
【個人情報ファイル】…個人情報ファイル簿の作成及び公表
【開示、訂正及び利用停止】
【行政機関等匿名加工情報の提供等】…(行政機関等匿名加工情報に関する経過措置)
【個人情報保護委員会】…地方公共団体の監視(漏えい報告)
【法律施行令・施行規則等の改正内容】
【今後の自治体の個人情報の取り扱いの方向性】…地方公共団体の例規整備
【PPCの地方公共団体に対する基本的な「考え方」、地方公共団体等向けのガイドライン3】
【公立病院・大学等は規律移行法人に】
第3部「個人情報を扱う際の心構え」…必須10項目(実務で欠かせない最も重要な内容)
【演習問題】約20問…基本問題、応用問題が半々、全て実務で直ぐ役立つ内容
★実例をもとに情報流出がもたらす影響や損害、責任問題等を指摘し、個人情報の保護対策として、職場でやるべきポイントを確認する。以上
…………………………………………………………………………………………………………………
◆この研修企画のコピーは出来ません。(All rights reserved Nakagawa Office(C)2024 著作権法により無断複製を一切禁ずる)
◆既に改正個人情報保護法の研修を自治体でいくつも実施済です。
個人情報保護法・同条例研修企画書送付
研修依頼をご検討の方に無料で詳細な企画書をご送付します。
