マイナンバー制度は平成28年1月から運用開始され、関連するシステムにおいて特定個人情報保護評価(PIA)を実施し公表することが義務付けられています。
PIAとは「プライバシー影響評価(Privacy Impact Assessment)」のことであり、マイナンバー制度では「特定個人情報保護評価」と呼んでいます。
一般的にPIAとは、システムの導入や改修を行う際に、事前に個人情報に対する影響を評価し、システム開発の際に大幅な手戻りがないようにするため実施されるものです。実施時期としては、システム開発の要件定義の段階が望ましいとされています。
特定個人情報保護評価において、評価するべき対象は、「特定個人情報ファイル」を取り扱う業務・システムになります。
個人情報ファイルとは、個人番号をその内容に含む個人情報ファイルのことです。対象人数が1,000件以上となる業務・システムにおいては、しきい値判断を実施する必要があります。
評価には3種類あり、「基礎項目評価書」、「重点項目評価書」、「全項目評価書」があり、下図の通りのしきい値によって切り分けられます。
出典:個人情報保護委員会
AVCCでは、特定個人情報保護評価を実施するに当たり、評価対象となるシステムの選定する段階から支援致します。また、評価するだけにとどまらず、その後のシステム開発へ評価結果を反映させる段階まで支援します。
情報システム部門や各業務担当課へヒアリング等を行いながら、評価対象となるシステムを洗い出します。
評価に必要な情報を収集しながら、評価を実施します。
評価表の作成を行います。
評価結果を基に、システム開発に影響があるのか等を踏まえ、要件定義を実施するなど、支援します。
この他、マイナンバー制度を導入するにあたっての、影響度調査の支援も行っております。条例への影響や、各種帳票の変更の必要性など検証いたします。
