ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

デジタルファースト/デジタルガバメント実現のために重要な観点についての意見

デジタルファースト/デジタルガバメントを実現するために、何が重要になってくるかについて意見を述べたいと思います。

デジタル手続法や政府資料を見ていたり、自治体の方とお話ししていると、結構「総花」的な印象を受けるのですが、私としては「総花」的な政策よりも、「集中」的な政策の方が、この分野は向いていると思うのです。

近々、会議等で発言するかと思いますが、その整理も込めて、ブログに書いておきたいと思います。

 

1.インパクトのある分野/手続を狙う!

  • デジタル化に向けた取り組み分野を、まずは選ぶことが重要だと思います。
  • 「うわ、これは便利!」と国民・市民・企業に感じてもらう取組から進めるべきだと思います。
  • そういう観点からは、以下のようなから取り組むと良いかなと思うのです。
  • 待たされてうんざりするもの(待ち時間が長い:パスポート更新、免許更新、マイナンバーカードの受け取り、美術館・博物館・動物園などの人気イベント、確定申告等)
    ←待たされるイライラ・無駄感からの解放、国民・市民と役人の窓口トラブル減少にもつながる?
  • 手続の回数が多いもの(毎年やらなければならない手続等:例えば現況届等、よくやるもの:健康保険・年金の手続、住民票、税関連、保育・子ども関連、健診等)←便利だと感じる回数が多くなる
  • 面倒くさいもの(書く書類が多い、用意する添付書類が多い、毎年似たようなことを繰り返し書かされるもの等、例えば役所の入館申請とか、業関係のものとか)←紙よりデジタルの方が圧倒的に便利なもの
  • 興味のあるもの・意識の高いもの(東京オリンピックの状況、特殊詐欺の件数、混雑状況、治安上危ない場所、交通上危ない場所、トイレの場所、喫煙所の場所、かわいい動物、かわいいゆるキャラ、一日署長系等)
    ←情報が簡単に入手できるとみんなうれしいし、SNSでシェアされて普及啓発にもなり得る
  • 業務効率化(デジタル化によって、大幅に業務効率化・省力化・迅速化するもの)
    ←公務員側のやる気につながる。公務員側の業務効率化のために国民・市民に負担をかけるのはよくないものの、国税庁e-Taxのためのカードリーダーの購入代金を税額補助したことがあったような気がしますが、そういう措置も考えられるし、公務員側の業務効率化はひいては、国民の税金の効率的な使い方にもなるわけで、良いと思う。

 

  • 処理時間を推計したり、手続の手間・負荷を想定したり、興味分野をWebへのアクセス数・Twitterつぶやき数・検索キーワードトレンド等から調査したりして、取り組む分野を検討していくと良いかなと思います。
  • それが、霞が関の考え方だと、各省で持っている行政手続を洗い出して、毎年目標値を決めて、のぺーっとデジタル化を推し進めましょう、みたいになってしまって、それだと、デジタル化にかかるコストに見合う効果が出ないように思うのですよね。
  • あとあれですね、実現が難しそうな分野を横断的に取り組もうとするのは、辞めた方がいいですね。ワンストップ相続とかって、全部をデジタル化するのは困難を極めるから、そんなことより、できる範囲で、効果のある範囲から進めていく(死亡証明を電子的にも行えるようにするとかですかね?あとは法律の根拠が必要ですが、死亡時に保険金の受取人に連絡が行くとか、死亡時に相続財産を隠しているという疑惑・紛争を解決できるよう、被相続人の財産を全照会できるようにするとか。まあこの辺りも実現は困難かもしれませんが。)と良いと思います。

 

  • なんか、小難しい行政手続を洗い出したり、行政手続の詳細フローを検討するのに、すごい時間を使って、体力を消耗しがちなのが役所文化ですが、それよりも、もっとインパクトのある、例えばシャンシャンのかわいい写真・動画をいっぱい見せてくれるとか、ゆるキャラがお誕生日を祝ってくれる動画を作ってくれるとか、並ばないでネット予約で入れるようにするとか、普通に個人の生活に密着するようなデジタル化がいいなと思います。
  • 特に、国は、国民と直接触れ合う行政手続が、税・社会保障ぐらい、あとは業関係の特許とか、あとは許認可かなとも思いますが、国立研究所・国立博物館とかも、結構今攻めてますよね。面白い画像・動画とかありそうだし、国立の人気施設とかもあるんじゃないですかね。そういう文化面からのアプローチも良いかなと思いました。

2.BPR

  • だいぶ1を長く書いて燃え尽きましたので、2は軽く。
  • 今ある複雑な業務フローを、そのままデジタル化しようとするのが、ありがちです。これは民間のシステム化でもありがちですが、それだと大して業務効率化はしません。無駄なフローは大幅にカットする、業務フローを変えるっていうことをしないと、ただデジタル化しただけで、業務改善になるわけではない、これは本当に大事だと思います。
  • 国とか自治体のコンサル業者とか、ベンダーさんって、あんま、この辺をやらないというか、顧客である国や自治体がBPR嫌がるからってところがあるのかなとも思います。
  • ただ、BPRという名のもとに、すべてをシステムに合わせて、業務をITに合わせていくっていう、そういうのだとだめだと思います。省庁の資料でそういう記述をこの前みましたが、それって、民間で良く失敗するパターンです。IT業界もちゃんとアドバイスすべきだと思いました。やっぱりあくまでメインは業務で、でも本来の業務の中で、不要な処理があったり、省ける処理があったり、本来の目標と離れた慣行があったりします。それをBPRするっていうのが重要であって、まあ確かに、カスタマイズしないでパッケージそのまま導入して業務すれば、そりゃ一番安上がりですけど、それだと結局シャドーIT化しちゃったりして、要はITじゃまかないきれない業務処理が残っちゃって、その部分を紙でやったり、ユーザが自分でプログラム書いたり、外部の無料クラウド使ったりして、セキュリティ上問題になったり、職員異動・退職時に引き継げなかったりして業務継続性がなかったりとか、問題が出てきますんで、人間や業務がすべてITに合わせればいいっていうわけでもなくて、BPRとか業務の要件定義のところは、本当はすごく難しいと思います。

 

3.類似政策の統合・整理

  • あと、デジタルファーストだけで進めていくのもナンセンスです。デジタルファーストというかデジタル手続というかデジタルガバメントだけじゃなくて、オープンデータとか非識別加工情報とかSociety5.0とか情報公開請求とか、あと何でしたっけ、公的データ提供要請制度とか?、そういったことも含めて、統合的にやっていくべきで、変に似たような政策がいっぱい乱立していても意味ない(=作業の重複、方針の乖離・矛盾等)ので、デジタル時代の行政という大きなくくりでくくって、目指すべきゴールのためにどういう政策を打っていくのかっていう、政策マッピングみたいなのをやっていくといいなと思います。
  • 今、私の方で、情報関連の政策マッピングパワポを作成途上ですが、頭の中では良い資料のイメージができていたのに、いざ書いてみると、意外とパッとしないという残念な状況ですが、機会を見て、私の方でも引き続き取り組んでいきたいと思ってます。

 

まだ書きたいことがある気もしますが、長くなったので、今日はいったんこれで終わります。

強固なログイン手法としてのマイナンバーカードはどうか

いろいろと報道出てますが、IDとパスワードで認証すると、アカウントのっとりとかもあるから怖いですよね。パスワード再発行問題以外でも、パスワードの推測/総当たりとかの危険を考えると、IDとパスワードよりも強固なログイン手段がほしいところ。

今回の報道の件以外でも、結構、他のメジャーどころのサービスでも、メールでログイン通知とか来て、自分がログインしてないのにログイン通知が来ることが私にもあります。怖いですよね。

 

二段階認証もいいですけど、多要素認証として、マイナンバーカードはどうですかね。そういうカードの売り出し方も検討していただきたいなと思ってます。ただ、一般のイメージ的には、マイナンバーカードがID/PWDよりも強固なログイン手段になるとは思わないだろうから、一般認知をいかにしてあげるかが最も重要かとは思いますが、アカウント則りされないような多要素認証って、やっぱり重要だと思うので。耐タンパーだし、所持による認証+記憶による認証の多要素認証だし、万一紛失時にもカードを止められるしってことで。

ベネッセ控訴審

www.nikkei.com

 

 

 

ベネッセ東京高裁、一人2000円の賠償とのこと。「漏洩の不快感、不安感が抽象的だったとしても、精神的苦痛は避けられない」として一人2000円。

 

漏えい件数は、約2,895万件とのことなので、

賠償額:約2,895万件×2,000円=579億円?

さらに、一人500円のおわびを配っているので、

お詫び額:約2,895万件×500円=144億7500万円?

→賠償額+お詫び額=723億7500万円?

こうなると、もう個人情報漏えい保険が劇的に売れるんじゃないかと思います。今って、保険料そんなに高くないですが(個人情報件数・企業規模にもよるが数十万程度?)、これからは年間数百万保険料払ってでも、個人情報漏えい保険入っておいた方がよいってなるかもしれません。

まあ、でも最高裁待ちでしょうが。

 

なお、川村先生ブログによれば、本件は集団訴訟ではないとのこと。

www.benesse.co.jp

stuvwxyz.cocolog-nifty.com

twitter.com

vsbenesse.exblog.jp

 

余談ですが、金田先生、二弁の委員会でご一緒させていただいていました。ベネッセ最高裁の時にお電話させていただきまして、ありがとうございました。金田先生、ツイッターアイコンよりもハンサムな方です。私もアイコンがポムポムなので、人のこと言えませんが、アイコン写真は、結構重要なのかもしれないですね。

そういえば、ハンサムって死語ですかね。あんま口頭でハンサムとか言うことないですよね。でも、イケメンとかってあんま口頭で言わないんで、外見に関する形容詞としては、「かっこいい」「すてき」が普通ですかね。どうなんでしょうか。

海外ドラマを見ていると、「彼ってば、超キュートだわ!」とかって女性が言っていたりするので、海外だとクール、キュートっていうのを使うんですかね。SATCだとfabulousでしょうか。外タレのSNSとか見てると、amazing, fantastic, so coooooool!, great, wonderfulとかって、ファンが外タレに言っていますが、どういうのが形容詞としていいんですかね。って、ベネッセから大幅に話題がずれてしまいました^^

内閣府別館

明日、内閣府別館付近に行く予定です。送られてきた地図を見たら、内閣府別館とかその辺の写真とかが入っていて、いやあ、なつかしい。

内閣府別館旧いすずビルで、内閣官房時代働いていました。弁護士になってから、ずっと赤坂付近・国会議事堂付近で勤務していたので、あの辺を歩くと懐かしくなります。

私の職歴とその勤務地は以下の通りです。

赤坂、本当に長く勤めていました。APPLICが虎ノ門だったときは、虎ノ門って三会堂ビルのまあ近くなんで、なんとなく行っていましたし、国会議事堂前にある某シンクタンクが事務局の実証事業をやっていたときは、何回か国会議事堂前行きましたが、最近行ってないですね。アークヒルズとか泉ガーデンとかホテルオークラとか、まったく行ってないですね。

医療保険者関連のPIA

今日は、久々のマイナンバー関連の記事を書きます。

国のIT・データ活用戦略と法律トレンドという資料にも書きましたが、

最近のはやりは、「医療」「健康」「未病」「データ活用」って感じで、それに政府のマイナンバー戦略を組み合わせると、オンライン資格確認とかPHR、EHRとか次世代医療基盤法とか、なんか医療系のデータ活用がすごくはやっているように感じます。

民間企業でも、やっぱり医療ITがすごくはやっている気がします。健康増進、医療AI、データ活用とかそのあたりがすごくはやっている雰囲気をとても感じます。

 

で、医療データといえば、もちろん病院がいっぱい持っているわけですが、病院データを使うというのは医療AIとか次世代医療基盤法とか医療研究とかEHRとかそういう系統ではよくある話なわけですが、

民間企業のビジネスで考えるとなかなか病院データを取得するというのはハードルが高い場合も多く、そうなってくると医療データとして重要になってくるのが、レセプトや健診データを持っている医療保険者(健康保険組合、市町村国保後期高齢者国保組合、共済)かな、と。

ちなみに、次世代医療基盤法ではレセプトと健診は100万人カウントに入れられませんが、それって要は、100万人分のデータを集めるというのは非常にむずかしいけれども、でも健診情報を100万人分とか、レセプトを100万人分とかだと、そこそこ困難少なく集められるっていうことの裏返しかなと感じたりもします。それぐらい保険者には情報が集約されている、と。もちろんアウトカムデータというのは、病院側にいっぱいあるわけですが、保険者データ活用も、医療ITにとってはかなり重要な選択肢になるのかなと。

 

前置きが長くなりましたが、最近医療保険者についてそんな風に感じているところなんですが、医療保険者とマイナンバーの関わりっていうのを、もう一度自分的に整理してみようと思って、ブログを書いてみました。

 

  • まず、医療保険者は、給付や保険料徴収といったお金周りについて、マイナンバーを使うことが法律上認められています。
    お金周りではない診療とかそういったものには使えませんが。
    医療保険者は、個人番号利用事務実施者であり、別表第一にも第二にも規定されているわけです。
  • 医療保険者は別表第二にも掲載されているので、情報提供ネットワークシステムに接続することができます。しかし、個別にそれぞれの保険者が接続に行くと、システム改修費用も高額になり、またセキュリティ担保も難しい場合も考えられます。
    そこで、医療保険各法の改正により、各医療保険者等は他の医療保険者等と共同して「被保険者等に係る情報の収集又は整理に関する事務」及び「被保険者等に係る情報の利用又は提供に関する事務」を社会保険診療報酬支払基金又は国民健康保険団体連合会に委託することができるようになっています。
  • マイナンバーのPIA実施義務を考えると、官以外は、情報連携をする事業者だけが、PIAの義務付け対象です。
    評価指針第3では次の通り規定されています。
    情報連携を行う事業者(番号法第19条第7号に規定する情報照会者及び情報提供者のうち、上記(1)から(5)までに掲げる者以外のものをいう。下記第4の4(1)カにおいて同じ。)
    ※上記1から5というのは、官(行政機関、独法、地方公共団体、地方独法、J-LIS)
  • 市町村国保や後記高齢は官なので、当然PIAの義務付け対象ですが、それ以外の健康保険組合とか国保組合とかは民間ですが、情報連携するっていうことで、PIAの義務付け対象になっています。
    そこで各医療保険者は、給付や保険料徴収などに関する事務を、個別にPIAの実施をしています。
    一方で、支払基金は、共同委託されている事務であるところの資格履歴管理、情報連携、本人確認、オンライン資格確認関連について、PIAを実施しています。

  • しかし、ゆっくり考えてみると、なぜ支払基金がPIAを実施しているのかという疑問は残ります。というのも、支払基金は別表第二に規定されていないからです。この場合、考え方としては、個別に各医療保険者が支払基金に委託している事務について、自身のPIA評価書の中に埋め込んで評価するという方法もありえますが(テンプレート方式)、そうではなく、別個に支払基金事務分については支払基金PIA評価書にまとめて記述するという方式もありうる、ということかなと思います。
  • 医療保険者関連の事務周りもかなり複雑ですし、PIAもかなり複雑になってしまっているので、いずれかのタイミングでわかりやすく端的に整理できればいいなあと思っています。
  • 私としては、さまざまな事務を一つの評価書にまとめた方が良いかなと思って、テンプレート方式を考えたのですが、テンプレート方式だと意外とわかりづらい(単純なコピペになって、評価実施側も意味がわかっていない)ので、テンプレート方式はやめて、もっと大きなくくりで一個の評価をしていくといいかなと思ってます。
  • たとえば、医療保険というようなくくりです。別表第一の事務レベルで、もう医療保険なら厚労大臣(共済関連であれば、文科も連名)が一本の評価をやってしまう、と。制度面・事務概要については、もう個別に各保険者がやる必要はないように思うわけです。ここは制度所管(社保、国保の制度所管)の大臣が一本でやる、と。
    で、その下の医療保険者については、それぞれの保護対策・セキュリティ対策を一枚ものなどで示してもらい、それを厚労大臣がやる一本の評価の添付資料につける、みたいなイメージです。医療保険者の保護対策・セキュリティ対策については、各保険者を比較できるような比較表でもいいかもしれませんが、そうすると各保険者から反発が出そうなので実際には難しいかもしれません。
  • アンブレラPIAのような概念を上手に使って、評価の負担を少なく、読み手に親切な評価に大幅にブラッシュアップしていく必要があろうと思っていますが、今、仕事的にできないので、自分のできる範囲で、生涯をかけてPIA改善に取り組んでいきたいと思ってます。息を長くこつこつとやっていこうと自分的には思っています。とりあえずは個人情報PIAをやっていますが、ほかの仕事が忙しく、あまり個人情報PIAが進んでいないので、じっくり時間を長く捉えて、長期的なスパンで取り組んでいきたいと思ってます。10年後にはより良くなっているといいな、ぐらい気長な気持ちで考えています。

総務省「自治体AIクラウド化検討会」構成員に就任しました

総務省自治体AIクラウド化検討会」構成員に就任しました。

自治体がクラウドでAIを導入するための実証事業と、その成果を基にした報告書等の作成を行う会議です。

www.soumu.go.jp

 

私は、実証事業のご支援とともに、検討会委員を務めさせていただくことになりました。どうぞよろしくお願いいたします。

 

なお、こういう国の委員とか実証事業とかって、正式名称がいつもよくわからなくなって、事務所ホームページを更新しようと思っても、「あれ、なんていう名前の会議だったかな?」とかって思っちゃうので、委嘱状なり仕様書なりをもらったら、すぐにブログに書いておくと忘れないなと思いました。

マイナンバーカードの普及策

官邸→マイナンバーカードの普及とマイナンバーの利活用の促進に関する方針

tech.nikkeibp.co.jp

 

とまあ、見たのですが、マイナンバーカード、電子的な本人確認手段としてはとても良いと思うのですよ。ID/PWDとかだと、ログイン乗っ取りされたりして危険だから、より強固・セキュアなログイン手段として良いし、あとはネットオークションとかオンラインバンキングとかクレジットカード申込とかの身分確認の際に、わざわざ身分証明書のコピーを送ったり本人限定郵便を受け取ったりしないでもマイナンバーカードの読み取りでOKとなれば、それは便利だと思うのです。

 

でも、今のカード普及策で、カードが普及するとはとても思えないのですよね…。

普及策1:マイナンバーカードを持っていれば、自治体プレミアムポイント

自治体ポイント自体が地味すぎて、使う場面が少なすぎて、どうなんでしょうか。プレミアム付き商品券は売れ行き好調です。マイナンバーカードがあれば、紙のプレミアム付き商品券以上のお店で使えて、そして紙のプレミアム付き商品券よりお得なパーセントが高くないと、わざわざ面倒な手段使おうと思ってもらえないのではないでしょうか。私、カード持ってますけど、わざわざ自治体ポイント使おうとは思わないです…。

普及策2:健康保険証と一体化

これまでの保険証も使えて、マイナンバーカードも使えるって、そんなんだったら、わざわざマイナンバーカードにする人、めったにいないですよね。私カード持ってますけど、おそらく何度かはカードで保険証とするかもしれませんけど、たぶん、病院の窓口が「は?マイナンバーカード?そんなん使えないですよ。ふつうの保険証出してください」とかって言いそうなのは目に見えてますよね…。病院の窓口の人が、操作になれるほどマイナンバーカードを使う回数があるとは思えないし。

今だって、身分証見せてくれって言われた時にマイナンバーカードを見せると(銀行、郵便局等)、窓口の人、「え?これ?なんですか?」的態度でみんなアタフタするから、私もマイナンバーカードじゃなくて免許証を見せたりしてますよ。病院の窓口がそうならないとはとても思えない。さすがに医師会役員の経営病院は、窓口でもちゃんとマイナンバーカード使えるかもしれないですが。

普及策3:医療費控除の確定申告が楽に

これは良いですね!ただタイムラグの問題があって実現は困難なんじゃなかったでしたっけ?大丈夫なんでしょうか。もし大丈夫なら、これは本当に便利です。

普及策4:健診情報の閲覧やPHR

どうなんでしょうか。よっぽどキラーコンテンツとなるPHRが出れば、良さそうですかね。

 

普及策としては、みんなが使うものがいいですよね。

だから、私としては、東京オリンピックのチケット予約にマイナンバーカードがあれば、優先申込できるってすればよかったんじゃないかと思うんです。

マイナンバーカードがあれば、予約のID取るのと違って、一人必ず一枚しか持てないから、重複IDの防止にもなるし、本人確認が確実にできるので、IDだけと違って、事務処理が速いとして、優先申込はマイナンバーカード必須として、これでまずは優先申込を受け付けて、その後、マイナンバーカードを持っていない人用の申込を後から受け付けて、当選倍率を変えれば、マイナンバーカード取得したいっていう人も増えたんじゃないでしょうか。

オリンピックのチケットって東京都所管ですか?だとしたら国から都にそのようなお願いはできないので無理でしょうけど、JOCだったら、政治パワーで、マイナンバーカードで優先申込って実現できるんじゃないでしょうか。

どうでしょうかね。ちょっと無理ですかね。私としてはいいかなって思うんですけど。

 

あと、ある方とお話ししていたら、とっても良いアイディアを教えていただきました。

マイナンバーカードにマイナンバーが書いてあるからなんとなく敬遠されるんで、もう住基カードみたいに戻して、マイナンバーは書かないで、利活用に特化したカードとする。マイナンバーをカードに書かないと、マイナンバーの証明には使えないけど、それは住民票の写しで対応するか、マイナポータルで専用のマイナンバー証明アプリみたいなのを別途用意する。

あとはマイナンバーカードのデザインを工夫して、アメックスゴールドカードのような高級感があるカードにするか、ご当地キャラ等を自由に選べて載せられるようにする。

という案を教えていただきました。

キャラクターが選べれば、確かに私だったら絶対に申し込みたいところです^^。ゆるキャラ入り住民票がある自治体とかもありますからね。どうでしょうかね。

 

私は、マイナンバーは愛していますが、マイナンバーカードにはそんなに特別な思い入れや愛情があるわけじゃないです。まあ、マイナンバーつながりでカードも活用されればいいなとは思いますが、私としてはマイナンバー本体の方が大好きです。

 

で、ちょっと思ったのですが、私はマイナンバーが大好きなわけで、私のところにマイナンバーのご相談が来れば、そりゃ私とマイナンバーのかかわり(=立法担当官であり、私にとってマイナンバーはとても大事なものであるということ)を理解していただいたうえでご相談にいらしていると思ったんですけど、そうでもないこともあるんですね、ということを先日経験しました。私の認識不足でした。

マイナンバーの課題をまとめた資料の末尾にも書きましたけど、マイナンバー関連って、最近はあんまりいないかもしれませんが、意識高い系の方とか指導者タイプの方が、マイナンバーでマウンティングすることも実はあって、でも私はそういう意味じゃなくて、本当に心から心血を注いで取り組んだ仕事ですので、心からマイナンバーを大事に思っているわけです。

改めて、資料記載部分を引用すると以下です。

マイナンバーによって、より良い社会が実現できるように、人々の暮らしが便利に安全になるように、微力ながら、これからも生涯をかけて、マイナンバー制度の改善のために私にできることをやっていきたいと思っています。

 

「生涯をかけて」取り組んでいくという、心からの思いの宣言です。本当に好きなわけです。あと、PIAも大好きです。PIAとマイナンバーが大好きです。

前に、お客様から「医療情報に積極的に取り組んでいらっしゃいますが、先生のライフワークなんですか?」って聞かれたんですけど、ライフワークというか生涯をかけて取り組みたいテーマは、まずはマイナンバーでPIAすね。そのあとに少し遅れて個人情報(医療情報を含む)が来るかなって感じです。

話がちょっとずれますが、HYの「あなた」という歌で、

わかってほしい私の想い 全てをかけてあなたを愛してる

っていう歌詞があって、私、HY仲宗根泉さんのソロ曲、カラオケで歌うの好きだったんですけど、恋愛の好きな気持ちもなかなか相手に伝わりませんけど、私のマイナンバーへの思いも、本当にこうなんですよ。「すべてをかけて」ぐらいの気持ちなんですよね。別になにか賭けているわけじゃないんですけど、もうHYの「あなた」ぐらいの気持ちですよっていう。なんか変な話ですが。