ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

個人情報保護法審議会/審査会の今後について

情報法 自治体

令和3年の個人情報保護法制統一化に伴い、自治体は何をする必要があるか、何が変わるのか。時間のある時に資料をまとめていきたいと思いますが、今日は、審議会/審査会についてブログに書きたいと思います。

 

0.基礎知識

自治体では、首長や行政官が判断するだけではなく、外部有識者や住民から構成される会議体を作って、その意見を聴いて、より良い行政の実現を図っている例があります。個人情報の世界だと、「個人情報保護審議会」だったり「情報公開・個人情報保護審査会」という会議体が設置されています。

なぜこういった会議体が必要かというと、例えば、「自治体が持っている私の個人情報を見せてくれ」と住民には法的に請求する権利が認められているわけですが、悪い自治体がいたとして、「面倒くさいなあ」「見せると何らかの問題が起きたらいやだから、見せないようにしよう」と思って、「そんな個人情報持ってません」とか「条例上見せられません」とか理由をつけて断ってしまう危険も考えられます。そこで、透明性・客観性・専門性等を担保するために、外部の人を入れて、「本当にその個人情報を持っていないのか」「本当に条例上見せられない情報に当たるのか」などをチェックしたりしています。

 

(参考)https://www.soumu.metro.tokyo.lg.jp/03jinji/fuzoku.html

 

「審会」と呼ばれる組織と、「審会」と呼ばれる組織の二種類があります。

「審議会」は、自治体が個人情報を目的外利用したり、目的外提供したり、外部委託したりするときに、必要性があるのか、問題ないか等をチェックする組織です。

「審査会」は、個人情報を見せてくれ・使わないでくれといった請求に対して審査請求があったときに、チェックする組織です。個人情報とは関係ない行政文書を見せてくれと言った請求(例えば知事の交際費を見せてくれといった請求等)に対して審査請求があったときにも、あわせてこの審査会でチェックすることも多々あります。

 

なお、どの自治体にも審「査」会は必ず設置されているように聞いています。

審「議」会は比較的大きな自治体に設置されているようです。

つまり、審「査」会しか存在していない自治体と、審査会・審議会両方が存在している自治体があります。

 

1.最低限やらなければならないこと

(1)個人情報の開示請求等の審査請求が行われた際の諮問先の検討

これまで、通常の自治体では、情報公開・個人情報保護審査会に諮問していると思います。令和3年改正によって、「行政不服審査法第八十一条第一項又は第二項の機関」(=執行機関の附属機関)に諮問する必要が出てきます(デジタル整備法51条による個人情報保護法105条3項)。

なので、既存の諮問先(情報公開・個人情報保護審査会)が附属機関かどうかをまず確認しましょう。そして附属機関なら良いのですが、そうでない場合は、①附属機関化するか、又は②既存の附属機関(行服法の審査会等)に諮問先を変更する必要がありますので、早めにご検討に入った方が良いと思います。

(審査会への諮問)
第百五条 開示決定等、訂正決定等、利用停止決定等又は開示請求、訂正請求若しくは利用停止請求に係る不作為について審査請求があったときは、当該審査請求に対する裁決をすべき行政機関の長等は、次の各号のいずれかに該当する場合を除き、情報公開・個人情報保護審査会(審査請求に対する裁決をすべき行政機関の長等が会計検査院長である場合にあっては、別に法律で定める審査会)に諮問しなければならない
一 審査請求が不適法であり、却下する場合
二 裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の全部を開示することとする場合(当該保有個人情報の開示について反対意見書が提出されている場合を除く。)
三 裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の訂正をすることとする場合
四 裁決で、審査請求の全部を認容し、当該審査請求に係る保有個人情報の利用停止をすることとする場合
3 前二項の規定は、地方公共団体の機関又は地方独立行政法人について準用するこの場合において、第一項中「情報公開・個人情報保護審査会(審査請求に対する裁決をすべき行政機関の長等が会計検査院長である場合にあっては、別に法律で定める審査会)」とあるのは、「行政不服審査法第八十一条第一項又は第二項の機関」と読み替えるものとする。

 

行服法

第八十一条 地方公共団体に、執行機関の附属機関として、この法律の規定によりその権限に属させられた事項を処理するための機関を置く。
2 前項の規定にかかわらず、地方公共団体は、当該地方公共団体における不服申立ての状況等に鑑み同項の機関を置くことが不適当又は困難であるときは、条例で定めるところにより、事件ごとに、執行機関の附属機関として、この法律の規定によりその権限に属させられた事項を処理するための機関を置くこととすることができる。

 

(2)PIA第三者点検先の検討

審議会/審査会を最小限にする場合でも、審議会/審査会について以下の機能は最低限必要です。

  • 上記の審査請求の諮問
  • PIA第三者点検

審議会を廃止して、審査会(附属機関)だけ残すとする場合、審査会においてPIA第三者点検を実施してもらう必要があります。PIA第三者点検をすることが可能な人員構成なのかなどを再検討する必要があります。

また、審査会が附属機関でなく、附属機関化しない場合は、既存の附属機関(行服法の審査会等)に諮問先を変更する必要がありますが、その既存の附属機関で、PIA第三者点検ができるかどうかが、大きな課題になります。難しい場合は、既存の附属機関の委員を追加する等して第三者点検できるような構成に変更するか、またはやはり審査会や審議会を附属機関化するかが必要になってきますので、早めにご検討に入られると良いと思います。

 

なお、PIA第三者点検が不要な自治体においては、この(2)は検討する必要がありません。具体的にいうと、基礎項目評価しかない自治体や、重点項目評価までしかなくて特に第三者点検を条例や実務上やっていない自治体です。ただ、こういった自治体でも、漏えいが起こる等、しきい値が変わると、全項目評価が必要になる可能性がありますので、もしそうなった場合に第三者点検をどうするか検討が必要です。

 

全項目評価の自治体についてはこれは第三者点検が必要です。また重点項目評価しかなくても、条例や実務上、審議会などで第三者点検を実施している場合は、今後の第三者点検をどこで実施するのか、第三者点検を継続するのか等も合わせて検討する必要があります。

 

2.より進んだ検討をしたい自治体向け

(1)審議会諮問事項の整理検討

これまで、審議会に諮問してきた事項についての整理が必要です。

条例上の必要的諮問事項と、任意的諮問事項と、報告事項があると思います。

令和3年個人情報保護法制統一によって、条例上の必要的諮問事項は基本的にはなくなることになります(条例制定権限の考え方から、これを存置するという自治体の判断もあり得ますが、国の公式見解にいったん従うと、既存条例上の必要的諮問事項は基本的に廃止になるかと思います)。

他方で、重要事項の相談・報告等、審議会がこれまで果たしてきた役割を考えると、全て廃止するのかどうかこれを検討していくことになります。その際、任意的諮問と報告を残すという考え方もあるし、場合によってはそれを条例化するという考え方もあります(国の公式見解に従っても、条例上、諮問事項を残すことができる場合があると思います)。

その仕分けが、大変ですね。

ちょっと今日は力尽きてきましたので、そのあたりのことの詳細は、書く気が起きたらまた改めて書きたいと思います。

(2)審議会/審査会の構成検討

上記1とも関係しますが、今まで審議会・審査会双方設置してきた自治体においても、そのまま双方設置のままとするのか、それとも一つにまとめるのかは別途検討が必要かと思います。

ただ、1にも書きましたが、個人情報開示請求等の諮問、情報公開請求の諮問と、PIA第三者点検だと、委員の専門知識として異なってきますので、どういう方に委員を依頼するのかも悩ましいところかと思います。

なんか、最後の方が尻切れトンボ風になってしまいましたが、まあとりあえず最低限やらなければならないことをブログに書く目的でしたので、今日はいったんここで終わりたいと思います。

(3)(私向け)ハンコ廃止

個人情報保護法制統一とは関係ありませんが、自治体によっては、毎回会議のたびに委員のハンコを求める自治体があります。世の中は脱ハンコです。この機会に、ぜひハンコを押してもらう意味を考え、意味がほぼないようでしたらやめるようにしましょう。

 

(4)(私向け)オンライン会議

自治体によっては、緊急事態宣言下でも、リアルの対面会議を開催しています。全委員がオンライン参加は難しいのかもしれませんが、リアル開催とオンライン開催のハイブリッド開催等も検討すべきでしょう。また、自治体によっては全員がオンライン会議参加もしていたりもします。

自治体は保健所も持っている公的機関で、感染対策を世の中に訴えかける立場なのですし、オンライン化を検討してもらえると嬉しいです。

マイナンバーカード等の署名検証者

マイナンバーカード等の署名検証や電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律に関する個人的メモ。

 

電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律

https://elaws.e-gov.go.jp/document?lawid=414AC0000000153

  • 署名検証者:17条1項の届出を受けた機構及び当該届出をした者(以下「署名検証者」という。)
    ①行政機関等(自治体、独法含む)
    ②裁判所
    ③行政庁が法律の規定に基づき指定等した者
    ④認定認証事業者 https://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/d-nintei.html
    ⑤特定認証業務を行う者
    2021.8時点で認定なしとのこと
    総務大臣認定者(プラットフォーム事業者及びサービスプロバイダ事業者)
    https://www.soumu.go.jp/kojinbango_card/kojinninshou-02.html
    (サービスプロバイダ事業者:電子署名等確認業務の全部を委託して欠格事由に該当しない者(「電子署名等確認業務委託者」)は、⑥の総務大臣による認定を受けたものとみなす(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則29条1項))
    電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律
    https://elaws.e-gov.go.jp/document?lawid=414AC0000000153
    第十七条 次に掲げる者は、署名利用者から通知された電子署名が行われた情報について当該署名利用者が当該電子署名を行ったことを確認するため、機構に対して次条第一項の規定による同項に規定する保存期間に係る署名用電子証明書失効情報の提供及び同条第二項の規定による同項に規定する保存期間に係る署名用電子証明書失効情報ファイルの提供を求めようとする場合にはあらかじめ、機構に対し総務省令で定めるところにより、これらの提供を求める旨の届出をしなければならない
    一 行政機関等(情報通信技術を活用した行政の推進等に関する法律(平成十四年法律第百五十一号)第三条第二号に規定する行政機関等をいう。以下同じ。)
    二 裁判所
    三 行政機関等に対する申請、届出その他の手続に随伴して必要となる事項につき、電磁的方式により提供を受け、行政機関等に対し自らこれを提供し、又はその照会に応じて回答する業務を行う者として行政庁が法律の規定に基づき指定し、登録し、認定し、又は承認した者
    四 電子署名及び認証業務に関する法律第八条に規定する認定認証事業者
    五 電子署名及び認証業務に関する法律第二条第三項に規定する特定認証業務を行う者であって政令で定める基準に適合するものとして総務大臣が認定する者
    六 前各号に掲げる者以外の者であって、署名利用者から通知された電子署名が行われた情報について当該署名利用者が当該電子署名を行ったこと又は利用者証明利用者が行った電子利用者証明について当該利用者証明利用者が当該電子利用者証明を行ったことの確認を政令で定める基準に適合して行うことができるものとして総務大臣が認定するもの

    情報通信技術を活用した行政の推進等に関する法律
    二 行政機関等 次に掲げるものをいう。
    イ 内閣、法律の規定に基づき内閣に置かれる機関若しくは内閣の所轄の下に置かれる機関、宮内庁内閣府設置法(平成十一年法律第八十九号)第四十九条第一項若しくは第二項に規定する機関、国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関若しくは会計検査院又はこれらに置かれる機関
    ロ イに掲げる機関の職員であって法律上独立に権限を行使することを認められたもの
    ハ 地方公共団体又はその機関(議会を除く。)
    ニ 独立行政法人独立行政法人通則法(平成十一年法律第百三号)第二条第一項に規定する独立行政法人をいう。ヘにおいて同じ。)
    ホ 地方独立行政法人地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。ヘにおいて同じ。)
    ヘ 法律により直接に設立された法人、特別の法律により特別の設立行為をもって設立された法人(独立行政法人を除く。)又は特別の法律により設立され、かつ、その設立に関し行政庁の認可を要する法人(地方独立行政法人を除く。)のうち、政令で定めるもの
    ト 行政庁が法律の規定に基づく試験、検査、検定、登録その他の行政上の事務について当該法律に基づきその全部又は一部を行わせる者を指定した場合におけるその指定を受けた者
    チ ニからトまでに掲げる者(トに掲げる者については、当該者が法人である場合に限る。)の長

    電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則 https://elaws.e-gov.go.jp/document?lawid=415M60000008120_20200525_502M60000008054
    電子署名等確認業務の全部を委託する場合の特例)
    第二十九条 電子署名等確認業務の全部を法第十七条第一項第六号の規定により総務大臣の認定を受けた一の者(以下この条及び第六十条において「電子署名等確認業務受託者」という。)に委託した者であって前条第一号に掲げる基準に適合するもの(以下この条及び第六十条において「電子署名等確認業務委託者」という。)は、同項第六号に規定する総務大臣による認定を受けたものとみなす。
    2 電子署名等確認業務受託者は、電子署名等確認業務委託者から電子署名等確認業務の全部の委託を受けた場合には、総務大臣に対し、当該電子署名等確認業務の全部の委託を受けた旨並びに当該電子署名等確認業務委託者の名称、住所及び代表者の氏名を報告するものとする。
    3 電子署名等確認業務受託者は、電子署名等確認業務委託者による法第十七条第一項に規定する法第十八条第一項の保存期間に係る署名用電子証明書失効情報及び同条第二項の保存期間に係る署名用電子証明書失効情報ファイル(以下「署名用電子証明書失効情報等」という。)の提供を求める旨の届出に代えて、当該届出をすることができる。
    4 第一項の場合において、電子署名等確認業務受託者が法第十七条第四項に規定する署名検証者であるときは、同項の規定により機構及び当該電子署名等確認業務受託者が締結した取決めをもって、機構及び電子署名等確認業務委託者が同項の取決めを締結したものとみなす。
  • 団体署名検証者:17条5項の届出を受けた機構及び当該届出をした者(以下「団体署名検証者」という。)。
    具体的には、日本弁理士会等。
    https://www.j-lis.go.jp/jpki/procedure/procedure1_2.html
    電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律
    https://elaws.e-gov.go.jp/document?lawid=414AC0000000153
    5 次に掲げる団体又は機関は、当該団体又は機関に所属する者で政令で定めるものに対して第二十条第一項の規定による回答をするため、機構に対して次条第一項の規定による同項に規定する保存期間に係る署名用電子証明書失効情報の提供及び同条第二項の規定による同項に規定する保存期間に係る署名用電子証明書失効情報ファイルの提供を求めようとする場合(第一号に掲げる団体にあっては当該団体に所属する者が法律の規定に基づき他人の依頼を受けて行政機関等及び裁判所に対する申請、届出その他の手続を行う場合に、第二号に掲げる団体又は機関にあっては当該団体又は機関に所属する者が行政機関等及び裁判所に対する申請、届出その他の手続に必要な電磁的記録を提供する場合に限る。)には、あらかじめ、機構に対し、総務省令で定めるところにより、これらの提供を求める旨及び第二十条第一項の規定による回答を受ける者(以下「署名確認者」という。)の範囲の届出をしなければならない。
    一 法律の規定に基づき他人の依頼を受けて行政機関等及び裁判所に対する申請、届出その他の手続を行う者が所属する団体で政令で定めるもの
    二 行政機関等及び裁判所に対する申請、届出その他の手続に必要な電磁的記録を提供する者が所属する団体又は機関で政令で定めるもの
  • 署名検証者等:19条1項又は第二十条第一項の規定による確認をしようとする署名検証者又は団体署名検証者(以下「署名検証者等」という。)
  • 署名確認者:二十条第一項の規定による回答を受ける者
    詳しいとある方に聞きましたら、これはたとえば、他人から委任状を受けとる弁理士さんが、その他人の署名を確認するときとかで、弁理士さんは失効情報を受け取る日本弁理士会に回答してもらって確認することになるようです。
    電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律
    https://elaws.e-gov.go.jp/document?lawid=414AC0000000153
    第二十条 団体署名検証者は、次条第一項の規定による確認をしようとする署名確認者の求めがあったときは、第十八条第一項又は第二項の規定により提供を受けた保存期間に係る署名用電子証明書失効情報又は保存期間に係る署名用電子証明書失効情報ファイルを基に当該求めに係る署名用電子証明書が第十五条第一項の規定により効力を失っていないことを確認し、政令で定めるところにより、速やかに、当該確認の結果について回答しなければならない。

    (署名確認者の義務)
    第二十一条 署名確認者は、署名利用者から当該署名利用者の署名利用者符号を用いて電子署名が行われた情報及び署名用電子証明書の通知を受領したとき(第十七条第五項第一号に掲げる団体に所属する署名確認者にあっては法律の規定に基づき他人の依頼を受けて行政機関等及び裁判所に対する申請、届出その他の手続を行う場合に、同項第二号に掲げる団体又は機関に所属する署名確認者にあっては行政機関等及び裁判所に対する申請、届出その他の手続に必要な電磁的記録を提供する場合に限る。)は、当該署名用電子証明書が第十五条第一項の規定により効力を失っていないこと及び当該署名用電子証明書に記録された署名利用者検証符号に対応する署名利用者符号を用いて当該電子署名が行われたことを確認しなければならない。
    2 署名確認者は、署名利用者から通知された署名用電子証明書に記録された署名利用者検証符号を、当該署名用電子証明書とともに通知された情報について行われている電子署名が当該署名利用者検証符号に対応する署名利用者符号を用いて行われていることの確認以外の目的に利用してはならない。
  • 利用者証明検証者:36条1項の届出を受けた機構及び当該届出をした者(以下「利用者証明検証者」という。)

    第三十六条 第十七条第一項各号に掲げる者は、利用者証明利用者が行った電子利用者証明について当該利用者証明利用者が当該電子利用者証明を行ったことを確認するため、機構に対して次条第一項の規定による同項に規定する保存期間に係る利用者証明用電子証明書失効情報の提供及び同条第二項の規定による同項に規定する保存期間に係る利用者証明用電子証明書失効情報ファイルの提供を求めようとする場合には、あらかじめ、機構に対し総務省令で定めるところにより、これらの提供を求める旨の届出をしなければならない

  • 特定利用者証明検証者:38条の2第1項の認可を受けた者(以下「特定利用者証明検証者」という。)

    電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律
    https://elaws.e-gov.go.jp/document?lawid=414AC0000000153
    第三十八条の二 利用者証明検証者は、前条第二項の規定にかかわらず、総務大臣の認可を受けて、利用者証明利用者本人が電子利用者証明を行ったことの確認を当該利用者証明利用者の個人番号カードに表示され、かつ、記録された当該利用者証明利用者の写真を用いる方法であって総務省令で定めるものにより行うことができる

     

  • J-LISが失効情報を実際に提供している民間事業者
    https://www.j-lis.go.jp/jpki/minkan/procedure1_3.html

 

電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律
https://elaws.e-gov.go.jp/document?lawid=414AC0000000153
(署名検証者の義務)
第十九条 署名検証者は、署名利用者から当該署名利用者の署名利用者符号を用いて電子署名が行われた情報及び署名用電子証明書の通知を受理したときは、当該署名用電子証明書が第十五条第一項の規定により効力を失っていないこと及び当該署名用電子証明書に記録された署名利用者検証符号に対応する署名利用者符号を用いて当該電子署名が行われたことを確認しなければならない。
2 署名検証者は、前項の規定による確認を行うに当たり、署名利用者本人が電子署名を行ったことの確認を当該電子署名に用いられた署名利用者符号が当該署名利用者のものであることを示すための措置として総務省令で定めるものを当該署名利用者に求める方法により行わなければならない。
3 署名検証者は、署名利用者から通知された署名用電子証明書に記録された署名利用者検証符号を、当該署名用電子証明書とともに通知された情報について行われている電子署名が当該署名利用者検証符号に対応する署名利用者符号を用いて行われていることの確認以外の目的に利用してはならない。
(団体署名検証者の義務)
第二十条 団体署名検証者は、次条第一項の規定による確認をしようとする署名確認者の求めがあったときは、第十八条第一項又は第二項の規定により提供を受けた保存期間に係る署名用電子証明書失効情報又は保存期間に係る署名用電子証明書失効情報ファイルを基に当該求めに係る署名用電子証明書が第十五条第一項の規定により効力を失っていないことを確認し、政令で定めるところにより、速やかに、当該確認の結果について回答しなければならない。
2 前項の規定にかかわらず、団体署名検証者は、第十八条第五項各号のいずれかに該当し、又は該当するおそれがあると認めるときは、前項の規定による回答をしないことができる。
3 団体署名検証者は、署名確認者から署名利用者の署名利用者符号を用いて電子署名が行われた情報及び署名用電子証明書の通知を受領したときは、当該署名用電子証明書に記録された署名利用者検証符号を、当該署名用電子証明書とともに通知された情報について行われている電子署名が当該署名利用者検証符号に対応する署名利用者符号を用いて行われていることの確認以外の目的に利用してはならない。
(署名確認者の義務)
第二十一条 署名確認者は、署名利用者から当該署名利用者の署名利用者符号を用いて電子署名が行われた情報及び署名用電子証明書の通知を受領したとき(第十七条第五項第一号に掲げる団体に所属する署名確認者にあっては法律の規定に基づき他人の依頼を受けて行政機関等及び裁判所に対する申請、届出その他の手続を行う場合に、同項第二号に掲げる団体又は機関に所属する署名確認者にあっては行政機関等及び裁判所に対する申請、届出その他の手続に必要な電磁的記録を提供する場合に限る。)は、当該署名用電子証明書が第十五条第一項の規定により効力を失っていないこと及び当該署名用電子証明書に記録された署名利用者検証符号に対応する署名利用者符号を用いて当該電子署名が行われたことを確認しなければならない。
2 署名確認者は、署名利用者から通知された署名用電子証明書に記録された署名利用者検証符号を、当該署名用電子証明書とともに通知された情報について行われている電子署名が当該署名利用者検証符号に対応する署名利用者符号を用いて行われていることの確認以外の目的に利用してはならない。

 

番号法施行規則

https://elaws.e-gov.go.jp/document?lawid=426M6000000a003_20200525_502M6000000a006

(電子情報処理組織を使用して個人番号の提供を受ける場合の本人確認の措置)
第三条 個人番号利用事務等実施者は、その使用に係る電子計算機と個人番号の提供を行う者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織を使用して本人から個人番号の提供を受ける場合には、次に掲げるいずれかの措置をとらなければならない。
一 機構により電子署名電子署名及び認証業務に関する法律(平成十二年法律第百二号)第二条第一項に規定する電子署名をいう。次号ハ及び第十条第二号において同じ。)が行われた当該提供を行う者の個人番号及び個人識別事項に係る情報であって総務大臣が定めるものの送信を受けること並びに次号ハに掲げる措置をとること(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成十四年法律第百五十三号。次号ハにおいて「公的個人認証」という。)第十七条第四項に規定する署名検証者又は同条第五項に規定する署名確認者(次号ハにおいて「署名検証者等」という。)が個人番号の提供を受ける場合に限る。)。
二 次のイ又はロに掲げる措置及びハ又はニに掲げる措置をとること。
イ 前条第一項第一号から第五号までに掲げるいずれかの措置
ロ 官公署若しくは個人番号利用事務等実施者から発行され、若しくは発給された書類その他これに類する書類であって個人番号利用事務実施者が適当と認めるもの(当該提供を行う者の個人番号及び個人識別事項が記載されているものに限る。)若しくはその写しの提出を受けること又は個人番号利用事務実施者が適当と認める方法により当該書類に係る電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録をいう。第十条第三号ロにおいて同じ。)の送信を受けること。
ハ 署名用電子証明書公的個人認証法第三条第一項に規定する署名用電子証明書をいう。以下この号及び第十条第二号において同じ。)及び当該署名用電子証明書により確認される電子署名が行われた当該提供に係る情報の送信を受けること(署名検証者等が個人番号の提供を受ける場合に限る。)。
ニ ハに掲げるもののほか、個人番号利用事務実施者が適当と認める方法により、当該電子情報処理組織に電気通信回線で接続した電子計算機を使用する者が当該提供を行う者であることを確認すること。

 

行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則第三条第一号の規定に基づき総務大臣が定める情報
平成二十七年十月一日総務省告示第三百五十号

行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則第三条第一号(同令第十二条第一項において準用する場合を含む。)の総務大臣が定める情報は、個人番号カード等に関する技術的基準(平成二十七年総務省告示第三百十四号)第4の1の(2)のエに規定する署名券面情報とする。

 

個人番号カード等に関する技術的基準

エ 住所地市町村長は、個人番号カードの発行に際しては、コミュニケーションサーバの端末機等を用いて、交付申請者の住民票コード(住民基本台帳法(昭和42年法律第81号)第7条第13号に規定する住民票コードをいう。以下同じ。)を個人番号カードの基本利用領域に、券面事項確認情報を券面事項確認利用領域に、券面事項入力補助情報(券面に記載した氏名、旧氏、通称、住所、生年月日、性別及び個人番号に関する情報をいう。以下同じ。)及び署名券面情報(機構により電子署名電子署名及び認証業務に関する法律(平成12年法律第102号)第2条第1項に規定する電子署名をいう。)が行われた券面事項入力補助情報に係る情報をいう。)を券面事項入力補助利用領域に、公的個人認証サービス情報(署名利用者符号(公的個人認証法第2条第4項に規定する署名利用者符号をいう。)及びこれと対応する署名利用者検証符号(同項に規定する署名利用者検証符号をいう。)、署名用電子証明書公的個人認証法第3条第1項に規定する署名用電子証明書をいう。)並びに署名用電子証明書に係る暗証番号並びに利用者証明利用者符号(公的個人認証法第2条第5項に規定する利用者証明利用者符号をいう。)及びこれと対応する利用者証明利用者検証符号(同項に規定する利用者証明利用者検証符号をいう。)、利用者証明用電子証明書公的個人認証法第22条第1項に規定する利用者証明用電子証明書をいう。)並びに利用者証明用電子証明書に係る暗証番号をいう。第8の2の(2)において同じ。)を公的個人認証サービス利用領域に、それぞれ記録し、券面記載事項を印刷するとともに、個人番号カードと住民基本台帳ネットワークシステム相互間の認証を行うための情報を個人番号カードに設定し、アクセス権限の制御を行うこと。

 

 

番号法施行規則3条1号と、3条2号ハのちがいがいまいちわからないが、おそらく以下のような感じかと。

  • 3条1号:電子証明書により確認される電子署名情報を受け取る(2号ハ)+J-LISが電子署名した券面事項入力補助情報(券面に記載した氏名、旧氏、通称、住所、生年月日、性別及び個人番号に関する情報)を受け取る(1号)
  • 3条2号ハ:電子証明書により確認される電子署名情報を受け取る

3条2号イロは番号確認で、ハニが身元確認。

だとすると、1号の方は、マイナンバーカードの番号を読み取るという話。だけど、券面情報を読み取れる情報じゃなくて、改竄防止で、機構が電子署名したやつを読み取るという話か? 2号ハは、個人の人に電子署名してもらってその情報を受け取るという話? 失効情報とかは、2号ハに付随して当然もらうよねっていうことか(公的個人認証法19条義務履行のために)。

 

ナノブロック海賊船

かわいい

f:id:cyberlawissues:20210902171537p:plain

ナノブロックのブログばかりですみません…。

海賊船ができましたので、写真をUPします。

かなりの出来栄えです。なんといっても小さいのが逆に精巧感が出て最高です。ただ、結構簡単にできたので、海賊船デラックスエディションでも良かったなとか、調子に乗っています。

結局、姫路城ナノブロックをネットで購入してしまいました。姫路城までブロック数が多いと、こんな余裕をこいていられない気もしますが。

 

ナノブロック最高! ジグソーパズルもいいけど、ナノブロックは立体なところがいいです。あとレゴでミレニアムファルコンを作ろうかとも思いましたが、ナノブロックだと小さいので置き場所に困らないし、逆に精巧感が出ますね。

 

海賊船は、レックウザガブリアスといったポケモンと違って、土台が安定していますので、素手で持ち運べます。レックウザなんて、少し動かすと体がぽきっと折れてしまいますし、ガブリアスは翼が取れてしまいます。海賊船はさすがお船。安定感がすごい。取れそうなのは、旗の部分ですね。1個パーツでつながっているところはやはり弱い。でもこれをのりで貼ってしまうと、また壊して遊べないので、やはりここはのりは使いたくないところ。出来栄えがいいので、いろんな角度から見て、楽しんでいます。

ほしいナノブロック

かわいい

ポケモンにはまって、ガブリアスのナノブロックを買ったら、ナノブロック自体にはまってしまいました。

レックウザと海賊船を買いましたが、次は何を買おうかなと考えています。

 

<参考>すでに持っているもの

  • ガブリアス  210ピース 難易度3/5
    ポケモンはかっこいいが、翼が繊細でノリなしでは安定しないだろう。1時間かそれ以下でできた。
  • レックウザ 240ピース 難易度3/5
    →同上。ポケモンかっこいいけど、繊細すぎて、お舟とかの方が安定感があります。1時間かそれ以下でできた。
  • 海賊船 780ピース 難易度5/5
    →めちゃくちゃ出来上がりがいい。1時間×2~3回ぐらいでできた。

 

<ほしいもの>

タワーブリッジデラックスエディション NB-045

完成サイズ:320×145×120 (mm) ピース数:約1700 pcs

Amazon 価格 5536円

→見た目がかっこいい。ピース数が海賊船の2倍強で、完成できないとかそういうことはなさそうな数。あと比較的安価。ただ、お宝ブロックが黄色きらきらブロックで海賊船と被る感じ。バスもあったり、跳ね橋になるところとかは最高。www.amazon.co.jp

 

ノイシュバンシュタイン城デラックスエディション NB-009

完成品サイズ:H220×W120×D400mm   5800pcs

Amazon価格13345円

→ピース数が多い。海賊船の7倍強。せっかくならこれぐらいの数のものを次買うならと思いつつも、難しそうじゃないかなとも思う。あと、写真で見るとそこまで素敵に見えないけど、レビュー見るとかなり出来が良いっぽい。お値段も結構行くし、完成品も大きいので飾る場所も考えないといけない。タワーブリッジとどちらがかっこいいか悩むところ。

www.diablock.co.jp

https://www.amazon.co.jp/%E3%82%AB%E3%83%AF%E3%83%80-Kawada-NAN-NB009-%E3%83%8E%E3%82%A4%E3%82%B7%E3%83%A5%E3%83%90%E3%83%B3%E3%82%B7%E3%83%A5%E3%82%BF%E3%82%A4%E3%83%B3%E5%9F%8E-EDITION/dp/B00436G1IM/ref=pd_vtp_4/355-7611668-2407125?pd_rd_w=Vjf9k&pf_rd_p=ae64b7f5-458b-4e9a-9b07-1feecb909091&pf_rd_r=15R6S5J2PJVQQJZE7RYS&pd_rd_r=18a58617-4c6a-4326-a7e7-45f696970c97&pd_rd_wg=ojltK&pd_rd_i=B00436G1IM&psc=1

 

★タージマハル デラックスエディション NB-032

15.2 x 15.2 x 10.2 cm 2210pcs

Amazon価格6173円

→きれいだけど全体的に白いから、タワーブリッジの方がいいかなと思ったけど、完成したら美しそう。あと、完成サイズがタワーブリッジやお城より小さいので、置き場所に困らない。

www.diablock.co.jp

www.amazon.co.jp

 

タイタニック NB-021

42.5 x 7.3 x 21.6 cm 1800pcs

Amazon価格 5245円

→すごい素敵だけど、海賊船を持っているので、船ばかりになってしまうのもどうかと。

https://www.amazon.co.jp/%E3%82%AB%E3%83%AF%E3%83%80-Kawada-NB021-%E3%83%8A%E3%83%8E%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF-%E3%83%AA%E3%82%A2%E3%83%AB%E3%83%9B%E3%83%93%E3%83%BC%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA/dp/B00JHDOO6C/ref=pd_sim_8/355-7611668-2407125?pd_rd_w=FNE8U&pf_rd_p=f8d4a8e6-b4be-4db2-bdc2-58ce63e1e112&pf_rd_r=ZB1XE5K0K7GVD48H3XE5&pd_rd_r=3be4938f-1a3a-4517-ad63-347ed35657d3&pd_rd_wg=N5whn&pd_rd_i=B00JHDOO6C&psc=1

 

★雷門 デラックスエディション(通常版) NB-046

16 x 24 x 14 cm 2740ピース

Amazon価格 7636円

→これはこれでやはり作ってみたい。

https://www.amazon.co.jp/%E3%82%AB%E3%83%AF%E3%83%80-%E3%83%8A%E3%83%8E%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF-%E3%83%87%E3%83%A9%E3%83%83%E3%82%AF%E3%82%B9%E3%82%A8%E3%83%87%E3%82%A3%E3%82%B7%E3%83%A7%E3%83%B3-%E9%80%9A%E5%B8%B8%E7%89%88-NB-046/dp/B08686VR2C/ref=pd_sim_11/355-7611668-2407125?pd_rd_w=FNE8U&pf_rd_p=f8d4a8e6-b4be-4db2-bdc2-58ce63e1e112&pf_rd_r=ZB1XE5K0K7GVD48H3XE5&pd_rd_r=3be4938f-1a3a-4517-ad63-347ed35657d3&pd_rd_wg=N5whn&pd_rd_i=B08686VR2C&psc=1

 

五重塔 デラックスエディション NB-031

15.2 x 15.2 x 30.5 cm 1350ピース

Amazon価格5582円

→これもきれい。あと平等院鳳凰堂とか首里城も素敵。

https://www.amazon.co.jp/%E3%82%AB%E3%83%AF%E3%83%80-Kawada-NB031-%E3%83%8A%E3%83%8E%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF-%E3%83%87%E3%83%A9%E3%83%83%E3%82%AF%E3%82%B9%E3%82%A8%E3%83%87%E3%82%A3%E3%82%B7%E3%83%A7%E3%83%B3/dp/B06XRSQKP1/ref=pd_sim_10/355-7611668-2407125?pd_rd_w=FNE8U&pf_rd_p=f8d4a8e6-b4be-4db2-bdc2-58ce63e1e112&pf_rd_r=ZB1XE5K0K7GVD48H3XE5&pd_rd_r=3be4938f-1a3a-4517-ad63-347ed35657d3&pd_rd_wg=N5whn&pd_rd_i=B06XRSQKP1&psc=1

 

★姫路城スペシャルデラックスエディション NB-042

240 x 240 x 219.99 cm 5190ピース

Amazon価格13718円

→最終的に買うのは、姫路城でしょう。そりゃあ。

https://www.amazon.co.jp/%E3%82%AB%E3%83%AF%E3%83%80-Kawada-NB-042-%E3%83%8A%E3%83%8E%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF-%E3%82%B9%E3%83%9A%E3%82%B7%E3%83%A3%E3%83%AB%E3%83%87%E3%83%A9%E3%83%83%E3%82%AF%E3%82%B9%E3%82%A8%E3%83%87%E3%82%A3%E3%82%B7%E3%83%A7%E3%83%B3/dp/B07BWJHYC4

 

姫路城はほかにもいっぱいあるけど、上のが一番良さそう。

  • ナノブロック 姫路城 NB-006 2253ピース
    →ピース数が少ない
  • 姫路城 デラックスエディション NB-051 2750ピース
    →ピース数が少ない
  • 姫路城 スペシャルデラックスエディション メタリックシルバーver. NB-042A 5200ピース
    →メタリックシルバーより白が良い

 

<自分向けの小括>

ノイシュバンシュタイン城の方が姫路城よりピース数が多い。

ノイシュバンシュタイン城と姫路城は高級なお値段。

→となると、ノイシュバンシュタイン城より姫路城を先に買おうかと思う。

タワーブリッジにしておくか、一気に姫路城に行ってしまうか。

和ものもいいけど、やっぱ姫路城が終わってから雷門や東京タワーだと思う。和物であればここは姫路城でしょう。和物でないならタワーブリッジかなあ。

お値段が2倍以上、3倍未満違いますが、ここは一気に姫路城行っときますか。ピースが多すぎて作れなかったらあきらめて、ナノブロックをやめるか、タワーブリッジを買いなおすか。やっぱここは姫路城買っときますか。

個人情報保護法改正2020年のポイント解説を更新

情報法

個人情報保護法改正2020年のポイント解説」を更新しました。

http://www.miyauchi-law.com/f/200325pii2020kaiseigaiyou.pdf

 

具体的にはガイドラインが案状態の段階で書いた記載を、案が取れて確定したガイドラインを見て、修正しました。前までは私の作成PDF資料中に緑ハイライトがついていましたが、それはガイドライン案の段階での記載だったので、緑ハイライトは全部取ったつもりです。

 

いったん、「個人情報保護法改正2020年のポイント解説」の更新はこれでひとまず終わりかなと思っています。法律も成立し、政令・規則・ガイドラインが確定したので。またQ&Aなどで気になるものがあれば、いつかのタイミングで更新するかもしれません。

 

 

委託先における個人情報の提供の論理構成

情報法

AからBにAの個人情報を提供します。Aは自分で提供行為をせずに、Xに提供を委託します。この場合、A、そしてXは個人情報保護法上の提供行為を行っていると評価され、各種規制に服するのでしょうか。

 

流れ:    A→(Xを通して)→B

対象データ: Aの個人情報

 

この質問は、シンプルな問ですが、実は論理の勉強になるような問です。

結論的には誰も気にならないような問だと思いますが、論理的に回答するとどうなるか、以下に記していきたいと思います。

多分お読みいただいても実益はありません

 

まず、考える際に、AとXを分けて考えていきます。

 

最初にAについて考えます。

 

Aは自分の個人情報をBに提供するわけですが、こういう質問をされたら、まず「どんな個人情報ですか」と確認する必要があります。

Aの個人情報といっても、いろいろなパターンがあって、それを正確に把握する必要があります。例えば以下のようなパターンが考えられます。

1 Aが純粋な私人で、私人のBにAの個人情報を提供する場合

例)Aさんが自分の住所をお友達のBさんに教える場合

2 Aは個人事業主で、法人のBにAの個人情報を提供する場合

例)弁護士が弁護士報酬振込用の自分の口座番号を顧客Bに伝える場合

3 Aは法人で、従業員や役員の個人情報を法人Bに提供する場合

例)会社の担当者1が、担当者2の会社メールアドレスを、顧客Bに伝える場合

3のパターンの場合、Aは個人情報取扱事業者です。そして提供する個人情報は法人Aを対象とする個人情報とは言えません(個人情報の対象者は「自然人2」さんです。まあそもそも法人を対象者とする個人情報自体が存在しないともいえますが。)。つまり、個人情報取扱事業者が別人格の個人情報を別会社に提供する行為なわけであって、これは個人情報保護法23条で規制される個人データの提供行為と言えます*1

そして、個人情報保護法上の「提供」とは、自らの手で実行する必要はないので、実際の提供行為をする人がA自身ではなくX社だとしても、Aは、個人情報保護法23条で規制される個人データの提供行為を行っていると言えます。

 

対象行為は、個人情報保護法23条で規制される提供行為ではありますが、この点、「担当者2の(明示又は黙示の)同意」をおそらく得ていると思われ、仮にそうであれば、個人情報保護法23条1項でいうところの、「あらかじめ本人の同意を得」ているので適法となります。

(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

 

なお、2のパターンでも、Aは個人情報取扱事業者であります。そして2のパターンの場合、自分自身の個人情報を第三者に提供しています。この場合、個人情報保護法23条で規制される行為かどうか、これを考えるのはあまり実益がありません。なぜなら個人情報保護法23条で規制される行為であっても、自分の個人情報*2を自分の権限で提供しているわけですから、自分の同意が自分に対してあるわけであって、個人情報保護法23条1項でいうところの、「あらかじめ本人の同意を得」ているので適法となるためです。ロジックという意味では、「個人情報保護法23条適用行為だが23条1項の同意があるため適法」とするか、「本人の個人情報の提供は個人情報保護法23条適用対象外」とするか、どちらかになりますが、まあ解釈論ですよね。番号法だと本人のマイナンバーの提供も規制対象ですから、それと整合を取るという意味で、前者の個人情報保護法23条適用行為だが本人同意があって適法ととりあえずしておきますかね。

なお、1のパターンの場合、Aが個人情報取扱事業者でないと考えられます。個人情報取扱事業者であるAというのもいなくはありませんが、個人情報取扱事業者である場合でも、提供対象のデータが事業の用に供していない個人情報である場合は、個人情報保護法23条適用対象外と考えた方がきれいでしょう。文理解釈上それが個人情報取扱事業者や個人データの定義からして明白なわけではありませんが、そう解釈したほうが良いと思います。

 

次に、Xについて考えていきます。
Xは自分の意向ではなく、受託によりAの個人情報をBに提供するわけです。いわば、Aの手足のように行動するわけですが、この場合でも、Xには個人情報保護法23条が適用されるのでしょうか。

これは、適用されると考えた方が良いと考えます。

 

委託元も委託先も個人情報取扱事業者としてそれぞれ義務を負うわけです。ならば、委託元も委託先も、こういう場合は同様に個人情報保護法23条の規制に服すると考えた方が良いと思うからです。

 

委託元における個人情報保護法23条の解釈は上記の通りですが、委託先における個人情報保護法23条の解釈はどうなるでしょうか。

 

まず、委託元Aから委託先Xのところに、Aの個人情報がいったん行き、その後XからBのところにAの個人情報が行く流れになるかと思います。

前者のA→X間の提供は「委託」に伴いますので、個人情報保護法23条5項1号で適法です。これは、オーソドックスな話ですね。
後者のX→B間の提供は、これは提供委託なので、個人情報保護法23条5項1号に伴うものとして適法とするのか、又は23条1項本人同意で適法とするのか、解釈としては悩むところです。文理解釈としては23条5項1号は「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」なので、X→Bをこれでというのはちょっと苦しいところもありますが、「委託することに伴って提供される場合」なので、AからXへの委託に伴ってBに提供されるという解釈もできなくはないでしょう。現にXからAに個人情報を戻す行為は23条5項1号で適法と解釈するわけですし。

まあ、本件はどうせ本人同意があるので、23条1項でもそもそも大丈夫なのであまり気にする必要はありませんが、XがAに本人同意があると偽られた場合とかを考えると、23条1項構成よりも23条5項1号構成の方が良かったりしますかねえ。まあ、他人に偽られた場合、行政法規だと解釈論が難しいですよね。

まあ論理的に1項がいいのか5項1号がきれいなのかは、まだ私の中で結論がでませんが、提供委託の場合は5項1号でいいと思いますね。ただ、提供を受託する場合も、委託元がきちんと個人情報保護法適法な提供行為を指示していることを確認する必要はあると思いますが。

 

 

 

 

*1:話を単純化するために、提供情報は単なる「個人情報」であり、かつ「個人データ」であると仮にします

*2:この場合も話を単純化するため、個人情報でありかつ個人データであると仮にします。

レックウザのナノブロック

かわいい

f:id:cyberlawissues:20210830135925p:plain

ガブリアスのnano blockを作って大変満足しましたので、今度はレックウザのを買ってきました。ものすごくかっこよくて大満足ですが、持ち上げるのが至難の業で、ナノブロックパッドごと移動させないと、崩れてしまいます。下に敷く用のが別にナノブロックに売っていたので、それを買ってきて、それに載せないと、移動が難しいような気が。

 

今、とりあえずナノブロックパッドごと移動させてますが、そうすると別のナノブロックを作るのにパッドが使えず。

今、実は、海賊船のナノブロックも作っています。

 

ナノブロックが楽しかったので、

・ナノブロックピンセット

・ナノブロックパッド

・ナノブロックレックウザ

・ナノブロック海賊船

を一気に買ってしまいました。

 

海賊船も船の部分はでき、あとは上の部分だけなので、今度また別のナノブロックを買ってこようと思っています。姫路城かタージマハルか五重塔タイタニックか。

ディズニーのナノブロックがあるようです。サンリオピューロランドハーモニーランドの全景をナノブロックで作ってほしいものです。私の能力だと自分で独自のナノブロックは作れないので、サンリオに売り出してもらいたいなあ、と。知恵の木とかKAWAII KABUKIとかBELIEVEとかARIGATO EVERYONEとか不思議の国のハローキティとかをナノブロック化してくれたり、ピューロ全景をナノブロック化してくれればいいのになあ。