●1億人のマイナンバーと個人情報を民間で一括管理
4月12日から新型コロナの予防接種が、高齢者を対象に始まろうとしている。
この予防接種の接種記録システム(VRS)は、本ブログ「コロナ予防接種で崩される! マイナンバーの個人情報保護」( ①、② )で指摘してきたように、マイナンバー制度の個人情報保護措置にことごとく反している。
「全国民」のマイナンバーと住所・氏名・生年月日・性別、さらに接種の有無という要配慮個人情報を、社員約40名のベンチャー企業が一括管理し、データは外資系のクラウド(Amazon Web Services)で管理される。にもかかわらず、そのリスク評価や漏えい等の発生時の責任は曖昧だ。
●無視されるマイナンバー制度の個人情報保護措置
「コロナ予防接種で崩される! マイナンバーの個人情報保護」で指摘したように、この接種記録システム( VRS )はマイナンバー制度の個人情報保護措置に反したシステムになっている。
第1に、漏えい等のリスクを事前に自己点検する「特定個人情報保護評価」を、事後評価で構わないとしている。さらにその評価書の「ひな型」を国が用意して自治体が書き写すことを容認し、保護評価制度そのものを軽視している。番号法では特定個人情報保護評価を実施していなければ、マイナンバーの利用も情報提供も認められていない。
第2に、自治体しか予防接種事務にマイナンバーを利用できないが、この VRS は国が開発し国のシステム内の論理的に区分された各市区町村の領域でマイナンバーにより接種記録を保管し管理する。利用事務の法定という番号法の個人情報保護措置に反している。
第3に、「収集・保管」が認められない国に自治体からマイナンバーを含む個人情報を提供するために、国のシステムへの提供ではなく受託業者と市区町村の業務委託による提供だと説明している。委託業者のシステムへのアップロードだから国への提供ではない、という脱法的解釈だ。
第4に、漏えい等のトラブルについて国が全責任を負うと言っているが、自治体は委託先である(株)ミラボに対して監督責任を負うことも明記し、番号法上は自治体が責任を負う。自治体は国のつくった内容も運用実態もわからないシステムを監督しなければならず、危うい監督体制になっている。
第5に、番号法では市町村間の情報連携は安全措置として情報提供ネットワークシステムを使わなければならないが、 VRS では番号法19条15の意識不明者への緊急治療時を想定した例外規定を適用して、市町村間での提供を認めるという拡大解釈をしている。
●マイナンバー法を逸脱する状態は解決していない
その後1カ月たったが、これらの問題点は解消しないままシステムが運用される。
全国知事会は2月27日の緊急提言で、政府にマイナンバー法等との整合性を明らかにすることやトラブルについて国の責任で対応することを求めていた。しかし3月20日の下記資料の対応状況を見ても、国はまったく説得力のない拡大解釈しか示していない。
●自治体から寄せられる疑問の声
このようなシステムには、自治体から多くの疑問が出されている。政府のワクチン接種記録システム(VRS)のサイトに掲載されている自治体の質問と回答の中からいくつか抜粋して紹介する(番号はFAQ一覧表のNo 。 日付は回答日)。
システムの利用は義務ではなく、マイナンバーを利用しないことも可能。むしろマイナンバーを利用すると面倒
No95「VRSを使用しないことは認められますか(使用は義務ですか)」の問いに「全自治体が利用することを前提としています( 3月18日)」と回答しているように、システムを利用することは義務ではなく、市町村が利用を判断しなければならない。
またマイナンバーの利用については、No96「マイナンバーを除く運用での参加も可能でしょうか」に対し「マイナンバーを活用せず接種記録システムを使用することは想定しておりません(3月18日)」と回答し、想定はしていないができないとは回答していない。
システム上もマイナンバーの利用は必須ではない。システムへのデータの記録(消し込み)は「自治体コードと接種券番号」により行う(2月24日 No29 )。マイナンバー以外の項目だけ登録することも可能だ (3月18日 No269) 。接種会場でマイナンバーやマイナンバーカードを扱うことはない(3月5日 No78 )。転入者の過去の接種歴の確認は「本人同意の上マイナンバーで検索するか、もしくは3情報(氏名・生年月日・性別)を用いる」 (3月18日 No243) のでマイナンバーがなくても可能だ。
むしろマイナンバーで検索するためには本人同意が必要で、「書面での同意にするか、口頭での同意にするか」各自治体で判断する必要があり(2月24日 No20)、世帯員の同意ではダメであくまで本人が行う必要がある(3月18日 No246)など手間がかかるので、3情報での検索の方が簡便だ。
しかもシステムには転入先自治体で本人同意をとっているかを転出元自治体が確認できる機能は実装されておらず(3月23日 No317)、接種情報を提供する転出元市町村は本人同意がないのに提供するリスクがある。「今回のマイナンバー法第19条第15号の適用は「本人の同意を得る」ことを前提とするという解釈」(3月18日 No286)になっており、同意なく提供すると番号法違反になる。
市区町村コードと宛名番号で対象者を検索できるのに、わざわざマイナンバーが必要である理由として「異なる市町村間で迅速に照会・提供を行うために、マイナンバーを用いる」必要があるとしている(3月1日 No84)。市町村内では予防接種記録はマイナンバーがなくても宛名番号(住民を一意に特定するために自治体内部で付番している番号)等で確実に管理されている。3情報(氏名・生年月日・性別)で他自治体に照会可能なら、マイナンバーを必要とする理由がない。
そもそも今回の予防接種の対象者の中は、マイナンバーのない者も含まれる。接種日に住民基本台帳に記録されている者を対象としているが、「戸籍又は住民票に記載のない者その他の住民基本台帳に記録されていないやむを得ない事情があると市町村長が認める者についても、当該者の同意を得た上で、接種を実施することができる。」(「新型コロナウィルス感染症に係る予防接種の実施に関する手引き」8頁)。システムも、住所が設定できない方についての登録は可能となっている(3月18日 No196)。
市区町村は特定個人情報保護評価を行う必要がある
事後でよいとされてはいるが、特定個人情報保護評価は実施する必要がある。個人情報保護委員会と調整した「特定個人情報保護評価関連の質問と回答」のQ1では、次のように評価の必要が説明されている。
今般の新型コロナウイルスワクチンの接種に関する事務において、新システムを利用する場合、既存の予防接種に関する事務に加えて新型コロナウイルスワクチンの接種記録の管理等を行うため、特定個人情報等の取扱いについて、主に次の取扱いが新たに生じることが想定され、特定個人情報保護評価が必要となります。
①新型コロナウイルスワクチンの接種記録を特定個人情報ファイルとして取り扱う
②予防接種台帳を管理するシステム等から新システムへの特定個人情報の登録
③新システムを利用したワクチン接種記録の管理及び他市町村との接種記録の照会・提供(情報提供ネットワークシステムは使用しない)(2月17日更新)
システムでマイナンバーを利用する限り、すべての市町村が特定個人情報保護評価の「基礎項目評価書」を作成し公表しなければならない。さらに人口(接種対象者)1万人以上の市町村では「重点項目評価書」を、10万人以上の市町村では「全項目評価書」を作成しなければならない。「全項目評価書」作成のためにはパブリック・コメントの実施が必須だ。事後評価であってもパブリックコメントは必要だ (3月22日 No316)。
※「接種対象者登録」の対象者は曖昧で、(1)全住民 (2)16歳以上の住民 (3)接種券発送者(初回は65歳以上の住民)のいずれとしてもいいとなっているが、「今後16歳未満も接種対象となりえますので、(1)で送っていただくことが望ましい」(3月22日 No290)とされている。
特定個人情報保護評価を事後でも良いとしたり、そのひな型を国が示してコピペを容認することは、リスクを事前に自己点検する制度の趣旨に反し不当だ。事後評価でいいとする理由は、「実施機関が評価を事前に実施することが困難である場合には、緊急時の事後評価の規定の適用対象となる」というものだが、事後評価であっても「可及的速やかに評価を実施していただくことが必要」だ(2月24日 No80)。
予防接種の開始がワクチン調達などにより遅れており、事前評価の趣旨からは「事後でいい」ではなく可及的速やかに実施する必要がある。しかし国は本日(4月11日)までに評価の再実施に必要な評価書のひな型を示しておらず、「できるだけ早くお示しできるよう、現在検討中です。」 (3月30日 No342)と回答している。
市区町村は個人情報保護条例での判断も必要
市区町村の個人情報保護条例での対応も必要だ。「本接種記録システムにおけるマイナンバーの提供については、番号法第19条第15号(「人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるとき」)に該当するため、自治体側での条例整備等は不要」(3月5日 No86)と回答している。しかし意識不明者への救急治療など緊急事態における特定個人情報の提供を想定した例外規定(「番号法逐条解説」47頁)を市町村間の情報連携に適用するという、こんなトンデモ解釈を自治体が認めるのかどうか、判断が必要だ。
なおマイナンバーを登録するか否かに関わらず、ほとんどの自治体条例で規定しているオンライン結合の制限規定にシステムは抵触する。「一般に、地方公共団体の条例には、オンライン結合について原則禁止としつつ例外的にオンライン結合制限を可能とする規定を置かれております。その場合には、条例に基づき判断する必要があると考えます。 (4月1日 No348) 」と回答しているように、いずれにせよ市区町村の個人情報保護審議会などでの判断が必要になる。
責任分担の曖昧なセキュリティ対策
このシステムは 「全国民」のマイナンバーと個人情報を、健康情報システムに実績のある社員約40名のベンチャー企業が一括管理し、データは外資系のクラウド(Amazon Web Services)で管理するという、マイナンバー制度では前例のないシステムだ。最近も年金情報の業務委託先からの中国への漏えいやLINEの個人情報が韓国で保管されたり中国から閲覧可能になっていた問題などが相次いで発覚している。接種記録システムから漏えいや不正利用が発生すれば、その影響はこれらの問題の比ではない。
漏えいや不正利用などのセキュリティについて、国は 「ワクチン接種記録システム(VRS)への御協力のお願い 」(2021.3.5)で自治体に、「システムの利用に関する障害やシステムから個人情報の漏えいが発生する等のトラブルについては国が全責任を負う」(5頁)と通知しているが、同時に「各自治体は、特定個人情報の取扱いの委託を前提として、番号法第11条に基づき、ミラボ社を監督する立場になります。その際の具体的な実地検査又は報告要求の方法については、自治体の過大な負担にならないよう検討し、追って連絡致します。」(6頁)と、自治体の監督責任も明記している。
しかし「接種記録システムは、国が(株)ミラボ社と契約して開発したシステムを提供」しており、市町村でセキュリティなどを判断することは困難だ。システム利用終了後のデータ消去方法やサーバ等の機器廃棄方法についての問いに、「 VRSはクラウドサービスとなっており、サービス終了とともにデータ消去されます」 (3月22日 NO307)と回答されているが、どうやって市区町村がアマゾン・ウェブ・サービスに調査確認できるのだろうか。
情報提供等の記録について住民から開示請求があった場合の対応も、開示請求の受付は各自治体が行うが、各自治体はミラボ社から「情報提供等の記録」を入手し対応することとなり、当該記録の入手に当たっては内閣官房情報通信技術(IT)総合戦略室に連絡しミラボ社へ連絡することになっている (3月26日 No 341) 。提供記録は自治体にない。
自治体はこのようなマイナンバー法からの逸脱に対して住民から訴訟を起こされることを心配しているが、国は「仮に各自治体に対し訴訟を提起された場合は、各自治体は国に訴訟遂行を求めることができます。」 (3月30日 No345) と回答している。
なぜマイナンバー法に従ったシステムにしないのか
この接種記録システムは恒久的なシステムではなく、「現時点においては、新型コロナウイルス感染症ワクチン接種用として構築を進めている」(3月18日 No98 )。本来、番号法では自治体間の情報連携は危険防止のために情報提供ネットワークシステムを使うことになっている(3月5日 No90)。
このシステムについても「本来、予防接種情報については情報提供ネットワークシステムにおいて情報連携することとしており、新型コロナウイルス感染症対策ワクチンの接種情報についても、今後、データ標準レイアウトを定義の上、同システムを通じた情報連携を実施予定」(「 VRS)への御協力のお願い 」6頁)となっており、 R4.6のデータ標準レイアウト改版までに情報ネットワークシステム経由での情報連携に対応させる ( 3月18日 No151)と回答している。
いままで番号法では可能になっているにも関わらず情報連携が利用されなかったのは、予防接種を医療機関に委託実施しているため接種結果を自治体が予防接種台帳に記録するまで一定の時間がかかっていたためだ(厚労省2017.10.26 事務連絡)。そのため母子手帳などでの確認を優先してきた。
今回、48億円を使ってタブレットを接種会場にレンタルし、接種券を読み取ってシステムに接種記録を登録することにしている。このような方法で台帳への記録時間が短縮できるのであれば、 番号法のルールにしたがって情報提供ネットワークシステムを利用してもVRSと同様のことは可能になる。
ただこのタブレットを使った入力が、とくに医療機関での個別接種で順調にいくかはわからない。自治体からの「個別接種の医療機関からVRSの協力が得られない場合、市職員がタブレットを持ちまわるのは現実的に難しいと思われるが、このような事態が生じた場合はどのように対処すればよいか?」の問いに、「個別接種の医療機関からどうしてもVRS登録の協力が得られない場合は、予診票を回収の上登録をお願いします(業務委託でも問題ありません)」 (3月22日 No293 )と回答している。これでは従来と大差なく、リアルタイムでの把握はできない。
医療機関にとってもこのタブレットを使った入力は負担が大きいのではないか。とくに一つの医療機関で複数の市町村の住民が接種した場合、「タブレットと自治体の組み合わせはシステム上固定されていますで、それぞれのタブレットで接種券の読み取りを行ってください」 (3月25日 No324)となっており、これでは医療機関は各自治体のタブレットを用意する必要がある。
●デジタル庁に向けた脱法的システムづくり?
そもそも新型コロナ予防接種にマイナンバーを使うというのは、1月19日の記者会見での平井デジタル担当大臣の「ワクチン接種に向けて、マイナンバーを使うことを強く私は要望したい」との突然の発言に端を発している。記者会見では、「今回使わなくていつ使うんだ」「マイナンバー担当として、マイナンバーは使えないというような状況だけは避ける」などと発言していた。
すでに各自治体の予防接種管理台帳と厚労省が昨年夏から構築してきたワクチン接種円滑化システム(V-SYS)によって予防接種を準備してきた自治体や医療機関は、このような唐突なマイナンバー利用に対して困惑していた。
この接種記録システムを平井デジタル担当は「この情報の話というのはこれからいろんな分野のガバメントクラウドの話の前哨戦」と言い、「デジタル庁の試金石」と報じられている。新型コロナへの不安を利用して接種記録システムを突破口に、マイナンバー制度の個人情報保護措置を空洞化して個人情報の利活用と国家による管理を進めようとする意図も感じられる。それはまさにデジタル庁が目指していることだ。
市区町村は国に先行して個人情報保護条例を制定し、住民の個人情報の保護に努力してきた。しかしその条例を国は「リセット」し、オンライン結合制限規定を廃止させ、個人情報保護審議会で情報の収集・提供・利用について審議することを認めないデジタル関連法案を国会に提出している。このシステムに市区町村がどう対応するかは、自治体がこれから住民の個人情報保護にどう取り組んでいくかの試金石だ。