情報保護評価(PIA)実施支援

【情報保護評価(PIA)実施について】
●情報保護評価(PIA)とは
マイナンバー制度が平成28年1月から運用開始されるに当たり、関連するシステムにおいて情報保護評価(PIA)を実施し公表することが義務付けられています。
PIAとは「プライバシー影響評価(Privacy Impact Assessment)」のことであり、マイナンバー制度では「情報保護評価」と呼んでいます。
一般的にPIAとは、システムの導入や改修を行う際に、事前に個人情報に対する影響を評価し、システム開発の際に大幅な手戻りがないようにするため実施されるものです。実施時期としては、システム開発の要件定義の段階が望ましいとされています。
●評価の対象
情報保護評価において、評価するべき対象は、「特定個人情報ファイル」を取り扱う業務・システムになります。
特定個人情報ファイルとは、個人番号をその内容に含む個人情報ファイルのことです。
対象人数が1,000件以上となる業務・システムにおいては、しきい値評価を実施する必要があります。
●評価について
評価には3段階あり、「しきい値評価だけでいいもの」、「重点項目評価が必要なもの」、「全項目評価が必要なもの」があり、下図の通りの切り分けになります。

出典:内閣官房
●各評価項目
各評価の項目は次の通りです。
【AVCCのサービスの内容】
AVCCでは、情報保護評価を実施するに当たり、評価対象となるシステムの選定する段階から支援致します。
また、評価するだけにとどまらず、その後のシステム開発へ評価結果を反映させる段階まで支援します。

(1)評価対象業務・サービスの選定
情報システム部門や各業務担当課へヒアリング等を行いながら、評価対象となるシステムを洗い出します。

(2)各評価の実施
評価に必要な情報を収集しながら、評価を実施します。

(3)評価表の作成
評価表の作成を行います。

(4)評価結果のフォロー
評価結果を基に、システム開発に影響があるのか等を踏まえ、要件定義を実施するなど、支援します。

この他、マイナンバー制度を導入するにあたっての、影響度調査の支援も行っております。条例への影響や、各種帳票の変更の必要性など検証いたします。