15西市市第193号                             平成15年8月28日 審査庁 東京都知事 石 原 慎太郎 様                         処分庁                         西東京市長 保 谷 高 範               再  弁  明  書 1 事件の表示   審査請求人、柳田由紀子外494名(以下「審査請求人」という。)が平成15年3月24  日付けで提起した住民基本台帳法の一部を改正する法律(平成11法律第133号。以下  「改正住民基本台帳法」という。)附則第3条の規定に基づく住民票コードの住民票ヘ  の記載処分及び改正後の住民基本台帳法第30条の5の規定に基づく本人確認情報の東京  都知事への通知についての審査請求 2 再弁明の趣旨  (1)処分庁が「目的外利用をも禁止し、一元的に収集・管理することを認めていない」   とした根拠及びその意味するところについて  (2)処分庁は、政府の所要の措置をどう判断し、個人情報保護法案が国会で成立しない   ことをどう考えていたのかについて  (3)西東京市における情報セキュリテイに関する監査の実施、監査の体制について 3 処分庁の意見  2(1)について    処分庁が「目的外利用をも禁止し」とした根拠は、改正後の住民基本台帳法第30条   の30で、この法律の規定に基づく事務の遂行以外の目的のための都道府県知事又は指   定情報処理機関の本人確認情報の利用及び提供を禁止し、同法第30条の34で受領者が   この法律の規定に基づく事務の遂行以外の目的のために、本人確認情報の利用及び提   供することを禁止しているためである。    個人情報の利用は、改正後の住民基本台帳法第30条の8の規定により、都道府県知   事は、別表第5に掲げる事務を遂行するときは、本人確認情報を利用することがで   き、条例で定める事務を遂行するときも同様である。    また、個人情報の提供は、改正後の住民基本台帳法第30条の7の規定により、都道   府県知事は、別表第1の上欄に掲げる国の機関又は法人から同表の下欄に掲げる事務   の処理に関し、住民の居住関係の確認のための求めがあったとき、別表第2の上欄に   掲げる区域内の市町村の執行機関から同表の下欄に掲げる事務の処理に関し求めがあ   ったとき、別表第3の上欄に掲げる他の都道府県の執行機関から同表の下欄に掲げる   事務の処理に関し求めがあったとき、別表第4の上欄に掲げる他の都道府県の区域内   の市町村の執行機関から同表の下欄に掲げる事務の処理に関し求めがあったとき及び   条例で定める市町村の執行機関等から条例で定める事務の処理等に関し求めがあった   ときは、本人確認情報を提供するものとされている。    一元的に収集・管理することを認めていないとした理由は、以下のとおりである。    第1に、住民基本台帳ネットワークシステムは地方公共団体である都道府県が主体   的に運営し、市町村と都道府県が連携して構築しているシステムであり、このシステ   ムは都道府県の事務のうち、全国的なものについては、都道府県が個別に行うより   も、本人確認情報に関する事務を処理するための全国的な組織が一括して行う方が適   当であると考え、指定情報処理機関を設置した。第2に、保有される情報は、本人確   認のための氏名・住所・男女の別・出生の年月日の4情報、住民票コード及び付随情   報であり、このデータの国の機関等への提供は、住民の居住関係の確認のための求め   があったときに限定し、個別の目的ごとに法律上の根拠が必要であることから、法律   上一元的に収集、管理することを認めていないからである。  2(2)について    住民基本台帳ネットワークシステムは、高度情報化社会に対応して、住民負担の軽   減、住民サービスの向上、行政の効率化等を推進するために、自治体におけるI T   化、地域情報化の推進に必要である。そのためには、関係法令に基づき、個人情報の   保護に努め実施すべきである。    処分庁が、弁明書5審査請求人の主張に対する処分庁の意見(7)4の(3)で弁明して   いるとおり、政府は「個人情報の保護に関する法律案」を国会に提出したが、施行期   日までに成立しない状況が生じた。このことについて、全国市長会、東京都市長会か   ら要望書を総務大臣に提出したところであるが、施行期日は変更されないまま平成14   年8月5日改正住民基本台帳法は施行された。しかし、個人情報の保護に関する法律   案が国会で成立しない状況でも、住民基本台帳法に基づく自治事務を処理するに当た   り、改正後の住民基本台帳法に定める本人確認情報の保護措置として、システム運営   主体者である市町村等における本人確認情報の保護措置、受領者である国の機関又は   法人等における本人確認情報の保護措置、自己の本人確認情報の開示及び苦情処   理、権限のない者の住民票コードの利用の禁止、本人確認情報の保護のための罰則等   を定めた。このことにより、必要な措置が講じられていると判断したためである。    さらには、総務省告示第334号電気通信回線を通じた送信又は磁気ディスクの送   付の方法並びに磁気ディスクヘの記録及びその保存の方法に関する技術的基準が示さ   れた。指定情報処理機関については、改正後の住民基本台帳法第30条の15、第30条の   17及び第30条の18に安全対策が規定されている。東京都は、東京都住民基本台帳ネッ   トワークシステム運用管理規程を制定した。処分庁においては、西東京市情報セキュ   リティポリシーを制定し、本人確認情報の保護対策を施した。西東京市情報セキュリ   ティポリシーは、単なるガイドラインではなく、情報資産を保護する立場にある職員   が遵守しなければならない具体的な対策規定として整備したものである。このこと   は、弁明書6添付書類(5)の西東京市住民基本台帳ネットワークシステムセキュリテ   ィ対策基準第18において、不正アクセス行為を受けた香合や情報の漏えい等が明らか   になったときは、セキュリティ管理者及び統括管理者へ報告するとともに、本人確認   情報に重大な脅威を及ぼすおそれのあるときは、速やかにネットワークから遮断する   ことを規定していることや、職員の服務規程の一部改正により、職員が西東京市情報   セキュリティポリシーの規定に違反したときは、西東京市職員服務規程によって処罰   されることをも定めていることについても明らかである。    処分庁は、住民基本台帳ネットワークの接続について、西東京市個人情報保護審議   会に報告するとともに稼働状況についても適宜報告し、個人情報の保護対策について   制度面、技術面、運用面について保護措置が講じられていることを西東京市報に掲載   した。    総務省は、住民基本台帳ネットワークシステムの稼働に当たって、第1に、セキュ   リティ面での緊急対応が必要な場合に市町村、都道府県、指定情報処理機関と連携を   図りながら、迅速かつ的確に対応するため「総務省住民基本台帳ネットワークシステ   ム緊急対策本部」を設置した。第2に、同ネットワークシステムの運営、個人情報保   護措置、セキュリティ対策、地方公共団体の体制等のあり方について調査審議を行   い、総務大臣に意見を述べるため、学識経験の専門家や地方公共団体の代表者からな   る「住民基本台帳ネットワークシステム調査委員会」を新設した。第3に、全地方公   共団体に対して運営面でのチエックリストを配付し、その回答状況を点検し監査法人   等による個別の監査を実施することとし、新たな措置を講ずることとした。    これらのことから、必要な措置が講じられ安全対策がなされていると判断した。  2(3)について    改正後の住民基本台帳法第36条の2の安全確保義務については、制度面、システム   面及び運用面の対策が重要と考えている。この運用面における監査等の管理体制につ   いては、西東京市情報セキュリティ対策基準第2章第4節第19から第22までに規定   がある。この中で自主診断体制の確立、第三者による監査体制の確立、自主診断又は   監査の実施及び自主診断又は監査結果に基づく改善を掲げている。この具体的な実施   は、西東京市統括情報セキュリティ管理者及び西東京市情報セキュリティ対策会議設   置要綱で定めている。この要綱の第2で、西東京市統括情報セキュリティ管理者及び   西東京市情報セキュリティ対策会議の所掌事項を定め、その第3号で情報セキュリテ   ィに関する監査を規定している。また、第4で、構成員及びその役割を定めてお   り、その中に情報セキュリティ監査責任者を設け、監査体制を確立させている。    監査については、内部監査と外部監査とがあるが、処分庁がどちらの手法を採用す   るかについては、セキュリティ対策会議で調査及び検討をしているところである。 4 添付書類   (1)「住民基本台帳ネットワークシステムの稼働に当たっての新たな措置につい     て」の写し   (2)「西東京市職員服務規程の一部改正」の写し