本文
令和3年10月8日(金曜日)
午前10時から午前11時50分まで
市役所本庁舎 5階 全員協議会室
富山武司、石野榮一、神橋一彦、西城秀雄、関根由美子、長瀬幸子、西岡真弓、水永誠二
総務部副部長兼総務課長 平岩幹夫
総務課副課長 小島亜紀子
総務課情報公開係長 松木千恵子
総務課主事 星野瑞果
総務課主事 木津美邑
情報システム課主任 安藤太智
〔提案課職員〕
介護保険課長 今村治美
介護保険課副課長兼介護予防係長 鈴木由佳
介護保険課職員 田中芳和
(1) 諮問
高齢者相談センターによるメディカルケアステーション(MCS)の利用に伴う外部電子計算組織との結合による個人情報の処理について
(2) その他
次第
(1) 諮問書
(2) 質問回答書
(3) 質問回答書の訂正について
(4) 個人情報取扱事務届出書、個人情報取扱事務変更・廃止届出書(新規13件、変更24件、廃止27件)
(5) 委託先の監督に係る対応について
(6) 個人情報保護法の改正に伴う条例改正について
(7) 「個人情報保護法の改正について(令和3年5月)」の抜粋資料
(8) 新座市情報セキュリティ対策基準(施行日:令和3年4月23日)
非公開
(傍聴者0人)
欠席委員 関根由美子
委員 先日、国が実施する事業の委託先事業者と見られる者からの電話を受けたが、その担当者は自分の立場を言わず、また、電話番号が正しいものなのかも確認が取れないということがあった。国であっても委託先の監督ができていないのだと実感した。持続化給付金の委託先の支出の問題も、重大な事案と受け止めている。新座市における委託先の監督については、国が定める「個人情報の保護に関する法律についてのガイドライン(通則編)」に準じて対応することとしており、市は、委託先選定時は「法の規定による安全管理措置が採られているか事前審査する手続は、現状ではないが、仕様書に添付する特記事項第2条に、個人情報保護の法令遵守の項目があるため、満たしていることが契約事項であるとも考えられるので、事前審査までは求めない。」としているが、事前審査をせず本当によいのか。
また、委託期間中は、「作業従事者一覧を提出させ、間接的に従業者の監督を行う。」とあるが、具体的にはどのように実施するのか。
事務局 委託先の監督については、議題(2)「その他」の中で説明させていただく。
委員 リスク分析表において個人情報の取扱いに係る局面を列挙しているが、「利用」の局面がない。利用目的を特定しない個人情報は取得してはいけないのであるから、「利用」という取扱い局面は必ずある。リスクを管理するためには、全ての取扱い局面において、取扱い媒体とそのリスクを認識しなければならない。したがって、管理対象となるあらゆる取扱い媒体を洗い出さなければならないと考える。例えば質問回答書中7では、MCSの画面をケース記録に転記することがあるとのことなので、ケース記録が利用媒体の一つとなる。このようなことに気を付けて活用すればよいのではないか。
また、リスク分析表について、「リスク管理表」という名称を提案したい。個人情報の全ての取扱いにおける媒体の管理は情報を管理する上で必須となる。
事務局 御指摘のとおり改善する。
委員 MCSの同じグループ内で情報を共有するということだが、LINEのような情報のやり取りのみなのか、それとは別に患者ごとの医療情報を管理する一覧表もMCS上にあるのか。
担当課 一覧表のようなものはないので、投薬状況等の医療情報のやり取りのみをタイムライン上で共有する。
委員 市がMCSに関与する目的又はメリットは何か。MCSでは、市が保有する個人情報にアクセスする訳ではないが、市が関与するねらいは何か。
事務局 市は、端末を整備してセンターに貸与するため、市の端末が外部電子計算組織と結合することとなる。そのため、市がMCSに関与することとなる。
委員 市がMCSに関与するメリットは、地域支援事業を円滑に実施し、利用者にとって有用な体制が整備できるということか。
担当課 御推察のとおり、センター、医療機関等の情報共有を円滑に行うためのものである。
委員 MCSで取り扱う個人情報に患者の経済状況が含まれているのはなぜか。
担当課 介護サービスや医療サービスはお金がかかるものである中で、利用者が経済的に負担できる範囲内で可能なサービスを提供するためである。
委員 高齢者相談センターとは、何をする機関で、どのような位置付けをされているものなのか。医療機関等を統括する役割なのか、あるいは補助する役割なのか。
担当課 介護保険法上市町村が設置することとされている機関で、地域を包括的に支援するためのものである。介護事業所、医療機関等と連携し、利用者に必要な支援を提供できる体制を備えるものである。
委員 センターについて、市の権限や責任はどの範囲まで及ぶのか。取得した情報を参考にして、利用者を様々な支援に繋げていくということか。
担当課 必要に応じて情報を照会し、利用者をサービスに繋げている。サービスそのものに係る責任は、サービスを提供する機関が負うものである。
委員 センターの利用者数はどのくらいか。また、センターは、高齢者に広く認知されているのか。
担当課 電話相談を含めた相談件数は、集計している。高齢者本人のみならず、その家族からの相談も受け付けている。相談の受付に加え、周知活動も行っている。
事務局 相談件数及びセンターの概要については、改めて委員の皆様に資料を送付する。
委員 MCS上の個人情報が漏えいし、又は不正利用された場合に、新座市が責任を問われる場面はあるか。
担当課 MCSは、医師会が主体となって運用しているため、医師会が責任を負うものと考える。センターが取得した個人情報をMCS上で利用することもあるので、市としてはセンターをきちんと監督及び助言をしていく。
委員 MCS上に個人情報が保管されるのは、患者とその家族だけか。
担当課 患者一人につき一つのグループが作られるもので、取り扱う個人情報の対象は患者とその家族のみである。
委員 別紙1について、グループとは何か。患者以外の個人情報は、MCSには入っていないということか。
担当課 グループは、一人の患者を担当する主治医、ケアマネジャー、ヘルパー、歯科医師等が情報共有をするものである。患者以外の個人情報は、MCSには入っていない。
委員 別紙1に、患者がMCS利用に係る同意書を提出するとあるが、誰に提出するのか。
担当課 主治医を介して医師会に提出する。
※訂正 実際には、医師会へは提出せず、主治医が所属する病院で保管します。
会長 本件では、システム上の問題とは別の説明を求める意見が多数あった。センターは、行政の縦割りの問題をカバーする意味も含め必要性が高い。補足の説明資料は、改めて送付願いたい。
高齢者相談センターによるメディカルケアステーション(MCS)の利用に伴う外部電子計算組織との結合による個人情報の処理については、認める。
ア 委託先の監督に係る対応について
(ア) 事務局から事前に配布した資料に沿って概要を説明した。
(イ) 質疑及び意見の概要
委員 再委託先は、直接監督できないものであるため、事故が多い。そのため、個人情報を適切に管理をしていたという証跡を残す必要がある。
自治体の委託先の多くはプライバシーマークを取得した事業者であるが、そうした事業者は、証跡を残すことなどが義務付けられている。市は、その証跡を確認し、確認したという証跡を残すことが望ましい。
ベネッセコーポレーションの個人情報漏えい事件は、委託先であるシステム業者での漏えい事件であるが、調査報告書によれば、個人情報を持ち出していた技術者が、複数ある再委託先のベンダーのうちどの事業者の従業員かすら把握できていなかった。プライバシーマークの指定を受けた事業者は当然に実施していることだが、担当従業員の氏名を把握することが必要である。また、個人情報保護に係る監査報告書を提出させることも有効である。
自治体において「委託先は直接監督できるが、再委託先に対しては対策できない」という考え方になりがちだと感じる。再委託先に対しても、委託先を通じて間接的に監督することが義務付けられていることを周知していくことが望ましい。
昨年度上半期に全国自治体が公表した漏えい事案は122件あったが、委託先での事故と自治体での事故の比率はおよそ1:3であった。しかしながら、それぞれの従業者数を考えると、1:100か、もっと大きな違いがあるので、委託先の従業者一人当たりの事故率は自治体の30~50倍あるいはもっと大きな違いがあると推定される。そのため、事故の発生を抑えるためには、委託先での事故を対策することが重要だ。
事務局 承知した。
イ 個人情報保護法の改正に伴う条例改正について
(ア) 事務局から事前に配布した資料に沿って概要を説明した。
(イ) 質疑及び意見の概要
委員 1点目に、資料に「災害時に関係機関で安否不明者の情報共有ができないなど、団体間の情報共有に支障が生じていました」とあるが、これは自治体側の過剰反応であって、例外規定により情報共有をすることができたにもかかわらずしなかったにすぎない。条例により支障が生じたとはいえない。
2点目に、審議会の諮問案件の大半はオンライン結合についての案件であったため、条例改正によりオンライン結合制限がなくなることは審議会の存在にとって大きな問題である。
「オンライン結合等について、類型的に審議会等への諮問を要件とする条例を定めることは、今回の法改正の趣旨に照らして許容されない」ということを法案審議の時点では明確に示さず、個人情報保護委員会が後から示したというのは、地方自治の観点からも憲法の観点からも問題であり、学会や弁護士会でも問題視されている。
事務局 オンライン結合については、現行のとおり本審議会の委員の皆様から御指摘を受ける機会があってしかるべきと考えており、審議会への諮問を要件とする規定を自治体独自で設けることが許容されるのであれば検討したいところだが、国からは資料にあるとおりの通知が来ている状況である。
今後の審議会の在り方について、検討状況は本審議会で御報告する。
委員 法律と自治体の条例を統一できるかという問題がある。国がモデル条例のようなものを示すのかは分からないが、作りようがないという見方もある。動向を慎重に見ていくべきだ。
委員 オンライン結合をするかどうかというのは個人情報の処理方法の一つにすぎず、個人情報保護法上も制限されていないものなので、審議会への諮問は廃止すべきと考えている。各法令、条例で個人情報の定義が異なっているという現状もあるので、個人情報保護法令を一本化するというのは必然である。
委員 条例に上乗せ規定を設けることが原則禁止となるのは、地方自治の本旨に反し、問題であると考える。いわゆる「2000個問題」が弊害と考えられてきたが、それを直すとしても、あくまで地方自治の本旨に基づき直すことが本来の在り方だ。地方自治と個人情報保護の比重を考慮した上で、個人情報保護のレベルを上げていくべきである。
委員 法改正に関しては、よく検討し、新座市にとってどのような選択がベストなのか判断してもらいたい。
午後11時50分終了