特定個人情報保護評価

特定個人情報保護評価は、マイナンバーを含む個人情報を扱う行政機関等に対し、情報漏えいなどのリスクをあらかじめ点検させる事前評価の仕組みである。諸外国のプライバシー影響評価（PIA）に相当し、番号法を根拠として、特定個人情報ファイルを保有しようとする段階でリスク分析と軽減措置の検討を義務づける。評価実施機関は、対象人数・取扱者数・重大事故の有無による「しきい値判断」を行い、その結果に応じて基礎項目評価・重点項目評価・全項目評価のいずれかを実施する。評価書は公表され、住民が行政の個人情報の取扱いを確認できるようにすることで、制度への信頼を確保する。全項目評価では、第三者点検（個人情報保護審議会等への諮問）やパブリックコメントの手続が求められる。自治体実務では、新たな業務システムでマイナンバーを利用する際に、システム構築と並行して評価書を作成・公表する流れとなる。

しきい値判断と評価の種類

特定個人情報保護評価では、まず評価が必要かどうか、必要ならどの程度詳細な評価を行うかを「しきい値判断」で決める。判断の基準は、その事務で取り扱う特定個人情報の対象人数、事務に従事してファイルを取り扱う者の数、および過去の重大事故の有無である。これらに基づき、評価は対象人数の少ない順に基礎項目評価・重点項目評価・全項目評価の三段階に分かれ、対象人数が多くリスクの大きい事務ほど求められる記載内容が重くなる。しきい値判断によって評価の濃淡を変えることで、リスクの大きい事務に資源を集中させる設計になっている。

基礎項目評価

基礎項目評価とは、しきい値判断の結果リスクが相対的に低いと判断された事務について行う、記載項目を絞った最も簡易な特定個人情報保護評価である。対象人数が少なく重大事故もない事務が該当し、取り扱う特定個人情報の概要などを届け出る程度の負担で足りる。

重点項目評価

重点項目評価とは、基礎項目評価では足りないが全項目評価までは要しない中間的な事務に求められる、全項目評価の記載事項を一部簡略化した特定個人情報保護評価である。リスク対策の要点を記載するもので、対象人数が中程度の事務などが該当する。

全項目評価

全項目評価とは、対象人数が特に多い事務に課される最も詳細な特定個人情報保護評価で、想定されるリスクと講じる措置を網羅的に記載するものである。評価書の案について第三者点検（個人情報保護審議会等への諮問）やパブリックコメントの手続を経ることが求められる。

評価の手続と公表

評価実施機関は、特定個人情報ファイルを保有しようとする前に評価書を作成し、これを公表する。全項目評価では、評価書の案について第三者点検として個人情報保護審議会等への諮問やパブリックコメントを経ることが求められ、住民や専門家の視点からリスク対策の十分性を確認する。評価書には、特定個人情報を取り扱う事務の概要、システムの構成、想定されるリスクと講じる措置などが記載され、公表によって行政の個人情報の取扱いが住民から見える状態に置かれる。評価の前提となった事務やシステムに重要な変更があった場合は、評価をやり直して再公表する必要がある。これにより、制度の運用が実態と一致するよう担保される。

自治体実務での位置づけ

自治体にとって特定個人情報保護評価は、マイナンバーを利用する新規業務やシステム改修の際に避けて通れない手続である。担当課は、システムの設計と並行して取り扱う特定個人情報の範囲・件数を整理し、しきい値判断を経て必要な評価書を作成する。評価書の公表時期は、システムの稼働や事務の開始に間に合うよう逆算して管理する必要があり、第三者点検やパブリックコメントを要する全項目評価では準備期間が長くなる。情報システム担当部門と個人情報保護を所管する部門、実際に事務を行う原課が連携し、リスク分析の内容に責任を持つ。評価を行わないまま特定個人情報ファイルを保有することは番号法に反するため、法令遵守の面からも欠かせない手続である。