平成28年度決算検査報告
社会保障・税番号制度(以下「マイナンバー制度」という。)は、社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するために、複数の機関に存在する個人情報について同一人の情報であるということの確認を行うための社会基盤である。
マイナンバー制度には、①最新の4情報(氏名、住所、性別及び生年月日)と関連付けられている国民一人一人に唯一無二となる個人番号(注1)(以下「マイナンバー」という。)を新たに付番する仕組み、②複数の機関が管理する情報とマイナンバーとの関連付けを行った上でこれを利用して相互に情報を活用するための仕組み及び③個人が間違いなく本人であることを証明するための本人確認の仕組みが設けられることとなっている。
そして、マイナンバー制度は、社会保障、税、災害対策等の各分野において導入されることとなっており、マイナンバーが利用されることで、より正確な所得把握が可能となり社会保障や税の給付と負担の公平化が図られたり、災害時において真に手を差し伸べるべき者に対する積極的な支援に活用できるようになったりするなどの効果が見込まれ、これにより、より公平・公正で、行政に過誤や無駄のない国民にとって利便性の高い社会が実現できるとされている。
国の行政機関、地方公共団体、独立行政法人、医療保険者(注2)等の各機関は、これまでそれぞれに社会保障、税等に係る既存の情報システム(以下「既存システム」という。)の運用等を行ってきた。今般、マイナンバー制度の導入に伴い、既存システムや情報提供ネットワークシステム(以下「情報提供NWS」という。)等の新たな情報システムの整備(改修を含む。以下同じ。)を行っている(以下、これらの情報システムを合わせて「マイナンバー制度関連システム」という。)。
そして、各機関は、自ら運用等する情報システムから他の機関に対して情報提供NWSを通じて特定個人情報(注3)を照会し、照会を受けた機関は、自ら運用等する情報システムから情報提供NWSを通じて当該特定個人情報を提供することとなっている(以下、特定個人情報の照会を「情報照会」といい、情報照会を行う機関を「情報照会機関」という。特定個人情報の提供を「情報提供」といい、情報提供を行う機関を「情報提供機関」という。情報照会及び情報提供を合わせて「情報連携」という。)。
各機関では、情報連携を行うために、既存システムや中間サーバー等の新たな情報システムを整備した上で情報提供NWSと接続することが必要となっている。
各機関は、既存システムと情報提供NWSとの間にそれぞれ中間サーバーを設置し又は設置を予定している。既存システムには、特定個人情報のデータベースが正本として保存されており、中間サーバーには、情報提供を目的としてそのデータのコピー(以下「副本データ」という。)が保存される。情報連携は、情報照会機関が情報提供機関の副本データに照会することで行われ、中間サーバーが情報連携の仲介の役割を担っている。
政府は、内閣法等の一部を改正する法律(平成25年法律第22号)に基づいて、内閣官房における情報通信技術の活用に関する総合調整機能を強化するために、平成25年5月に内閣官房に内閣情報通信政策監(以下「政府CIO」という。)を置く措置等を講じた。また、政府CIOは、高度情報通信ネットワーク社会形成基本法(平成12年法律第144号)等に基づき、マイナンバー制度関連システム等の共通システムの整備等における府省横断的なプロジェクトの推進等の事務を実施することとなっている。
内閣官房は、情報提供NWSの整備を進める上で、国の行政機関、地方公共団体、独立行政法人、医療保険者等における既存システム、中間サーバー等の整備に係る進捗管理や課題・リスク管理が必要であるとして、高度情報通信ネットワーク社会推進戦略本部に設置された各府省等の情報化統括責任者等で構成する連絡会議(以下「CIO連絡会議」という。)等を通じて関係機関全体の管理を行っている。そして、内閣官房は、CIO連絡会議でマイナンバー制度全体の進捗状況や重要事項を合議するとともに、関係機関等の担当者が参加する全体推進会議や関係機関進捗会議等を通じて、より詳細な進捗、仕様、課題及び懸案の共有や調整を行っている。
また、内閣官房は、マイナンバー制度の導入に必要な事業の推進を支援するためのツール(以下、このツールを「デジタルPMO」という。)を26年5月から運営している。デジタルPMOは、国の行政機関、地方公共団体、独立行政法人、医療保険者等の間でマイナンバー制度に関する情報を共有することを目的としたポータルサイトであり、内閣官房及び関係府省等は、マイナンバー制度関連システムの整備等を行う上で必要となる各種文書をデジタルPMO上で一括管理して公開するなどしている。
内閣官房は、当初、情報提供NWSを通じて行う情報連携の開始時期を29年1月又は同年7月としていた。しかし、27年5月に、日本年金機構(以下「年金機構」という。)が運用する情報システムに保存されていた年金個人情報がインターネットを通じて不正に外部に流出する事案が発生したことを契機として、同年9月に、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号。以下「マイナンバー法」という。)が改正され、年金機構における情報連携の開始時期は29年11月末までの政令で定める日まで延期された。その結果、29年1月から実施できる情報連携が存在しなくなったため、内閣官房は、情報提供NWSの運用開始時期も、29年7月に延期することとした。
内閣官房及び総務省は、29年7月に運用開始を予定していたその他の情報システム間での情報連携についても、29年7月から3か月程度は、国民からは従来と同様の書類提出を求める一方で、窓口職員は情報提供NWSによる処理を並行して実施するなどの試行運用を行うこととし、本格運用の開始時期は29年秋頃とした。
マイナンバー法では、マイナンバーを用いて収集され、又は整理された個人情報が法令に定められた範囲を超えて利用され、又は漏えいすることがないよう、その管理の適正を確保することが基本理念の一つとされている。そして、特定個人情報の安全等の確保のために、特定個人情報を含む電子ファイル(以下「特定個人情報ファイル」という。)を保有しようとする行政機関の長等は、マイナンバー法等に基づき、特定個人情報ファイルを取り扱う事務を対象として、自ら特定個人情報の漏えいその他の事態の発生の危険性及び影響に関する評価(以下「特定個人情報保護評価」という。)を実施することとされている。
また、特定個人情報保護評価は、特定個人情報保護評価指針(平成26年4月特定個人情報保護委員会作成。以下「指針」という。)等によれば、特定個人情報保護評価の結果を受けて、当初予定していた特定個人情報ファイルの取扱いやシステム設計を変更しなければならない場合も十分想定されることから、十分な時間的余裕をもって実施する必要があるとされており、新規に情報システムで特定個人情報ファイルを保有しようとする場合は、経過措置(注4)の対象となるものを除き、情報システムの要件定義(注5)の終了までに実施することを原則とするとされている。そして、情報システムを構築する前に特定個人情報保護評価が行われることにより、事後の大規模な仕様変更を防ぎ、不必要な支出を防ぐことが期待されるとされている。
国の歳出又は補助金等によりマイナンバー制度関連システムの整備又は運用を行う必要がある国の行政機関、独立行政法人、医療保険者、後期高齢者医療広域連合等(以下「国の行政機関等」という。)は、257機関となっている。このうち、24年度から28年度(28年10月31日まで)までの補助金交付額が計100万円未満であった機関は87機関であり、これらを除いた170機関(注6)が整備又は運用を行う必要がある情報システムは計190システムとなっている。このうち、国の行政機関である7機関の15システムについて、24年度から28年度(28年10月31日まで)までの間に整備を含む業務等を行う契約を締結していたものは内閣府本府を除く6機関の14システムであり、これらの契約の件数及び支払額は、合計90件、458億0529万余円となっている。
上記170機関の190システムのうち、国の行政機関以外の163機関の175システムについて、26年度から28年度(28年10月31日まで)までの間に整備を含む業務等を行う契約を締結して、その支払に補助金等を充てていたものは、年金機構を除く162機関の174システムであり、これらの契約の件数、支払額及び補助金等の額は、合計413件、192億4922万余円、148億4810万余円となっている。
前記170機関の190システムに係るこれらの契約の件数及び支払額は、合計503件、650億5451万余円となっている。
国の行政機関等は、28年1月以降にマイナンバー制度関連システムによるマイナンバーの利用を開始するとともに、29年秋頃から本格運用を開始する情報連携のために必要な設計・開発業務等の契約を締結している。マイナンバー制度関連システムの整備等に関する国の支出(都道府県、市町村等への補助金を除く。)は、24年度2億余円、25年度1億余円、26年度128億余円、27年度357億余円(いずれも決算額)、28年度497億余円(予算現額)、29年度122億余円(当初予算額)と多額に上っている。
そこで、本院は、国の行政機関等におけるマイナンバー制度関連システムの整備等の状況について、合規性、経済性、効率性、有効性等の観点から、次の点に着眼して検査した。
ア マイナンバー制度関連システムの整備は、関係法令等の趣旨に沿って適切に行われているか。また、経済的なものとなっているか。
イ マイナンバー制度関連システムにおいて、各機関による情報の管理が効率化されるよう情報連携の仕組みは適切に整備されているか。また、各機関による調整は、行政運営の効率化に資するよう適切に行われているか。
ウ マイナンバー制度関連システムの整備に当たり、特定個人情報保護評価は、情報管理の適正を確保するよう適切に実施されているか。
前記の国の行政機関等が整備又は運用を行う必要があるマイナンバー制度関連システムのうち、24年度から28年度(28年10月31日まで)までの補助金交付額が計100万円未満であった87機関を除く170機関の情報システム計190システムについて、その整備を含む業務等に係る契約の支払額503件、650億5451万余円を対象として、提出を受けた調書等を分析するなどして検査するとともに、36機関(注7)において、契約書、調達仕様書等の関係資料を確認するなどして会計実地検査を行った。
政府は、「世界最先端IT国家創造宣言」(平成25年6月閣議決定)等に基づき、政府情報システムの標準的な整備及び管理について、その手続・手順に関する基本的な方針や事項、政府内の各組織の役割等を定めた体系的なルールとして、「政府情報システムの整備及び管理に関する標準ガイドライン」(平成26年12月各府省情報化統括責任者(CIO)連絡会議決定。以下「標準ガイドライン」という。)を策定し、標準ガイドラインの内容を補完するなどのために、「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」(平成27年3月内閣官房情報通信技術(IT)総合戦略室及び総務省行政管理局作成。以下「実務手引書」という。)を作成している。要件定義は、情報システムが備えるべき機能・性能を具体的に定めて明確化する極めて重要な工程であり、国の行政機関は、標準ガイドライン等に基づき要件定義に適切に取り組むこととなっている。また、業務の見直しに当たっては、業務見直しの範囲を検討し、業務分析、関係者分析等により現状の業務の問題点を抽出した上で業務見直しの内容を検討し、これを踏まえて、業務実施手順等について、具体的な内容を業務要件として定義することとなっている。
上記の業務要件として定義した事項の実現のために備えるべき機能要件及び非機能要件として、それぞれの内容を具体的に漏れなく定義した上で、これらを要件定義書に記載することとなっている。情報システムの整備等に係る調達仕様書には、業者に対し設計・開発等に当たって要件定義書の記載事項を満たすことを求める記載をすることとなっている。
標準ガイドラインが適用される国の行政機関6機関が契約を締結していたマイナンバー制度関連システム14システムについて、業務見直し段階での検討状況をみたところ、業務見直し段階での業務見直し範囲及び業務実施手順の検討等が十分でなかったため、契約締結後に、業務要件やこれを実現するための機能要件の定義の不備が判明して、2機関の3システムで、改修や契約変更が必要となったり、開発の進捗計画から遅延したりしていた。
次に、上記6機関の14システムに係る契約90件のうち、システム設計・開発のために締結していた5機関の12システムに係る契約38件(変更契約を除く。)をみたところ、要件定義書を作成せずに調達仕様書又は他の文書に要件を記載していたものが多数見受けられた。
そこで、標準ガイドライン等に基づき業務要件、機能要件又は非機能要件として具体的に定義することとされている内容が、要件定義書又は調達仕様書等のいずれかに記載されているかをみたところ、上記の契約38件のうち、内閣官房で3件、国税庁で12件、厚生労働省で1件の計16件の契約で、要件定義書又は調達仕様書等のいずれにも内容が明確に記載されていない状況が見受けられた。
適切に定義された要件の具体的な内容が要件定義書又は調達仕様書等のいずれにも記載されていない場合、情報システムが備えるべき機能・性能等を業者と明確に共有することができず、調達計画の遅延や情報システムの機能・性能が要求水準に満たないものとなる事態等が生じ、情報連携のスケジュール全体にも遅延が生ずるおそれが高まることになる。
前記の国の行政機関が締結した6機関の14システムに係る契約90件(契約金額計835億1554万余円)のうち、総合評価落札方式による一般競争入札を実施していた5機関の10システムに係る契約37件(契約金額計556億5946万余円)について、標準ガイドライン及び「公共調達の適正化について」(平成18年8月財計第2017号)に記載されている措置の実施状況についてみたところ、①評価方法の作成段階において、評価項目、評価基準及び配点が適切に設定されているかを学識経験者等の第三者が事前に審査していなかったものが2機関の3システムに係る契約10件、②落札者の決定段階において、学識経験者等の第三者を審査員に含めていなかったものが3機関の4システムに係る契約12件あった。また、③技術的要件の審査結果に各評価項目の評価理由を記述していなかったものが1機関の2システムに係る契約5件あった。
総合評価落札方式による一般競争入札においては、価格のみならず技術等の条件を総合的に勘案して落札者が決定されることから、発注者による提案の審査の透明性及び公平性を確保することが必要である。そのためには、評価基準等の作成や落札者決定の各段階で学識経験者等の第三者を審査員に含めること、各評価項目の評価理由を記録することが重要となっている。
総合評価落札方式による一般競争入札を実施していた5機関の10システムに係る契約37件のうち、3機関の3システムに係る契約9件では、受注業者が提案書等に基づき業務を実施することとする旨や提案書等に基づく実施計画書に沿って業務を実施することとする旨を契約書、調達仕様書等の契約関係書類に記載しておらず、加点評価した提案内容の履行を求める契約となっていなかった。
これら9件の契約を行っていた3機関は、加点評価した提案内容の履行を契約関係書類に記載していなかった理由を、契約後に作成するプロジェクト計画書等に提案内容を記載させることにより確認していたためなどとしている。
しかし、加点評価した提案内容の履行について契約関係書類に記載していない場合は、その履行を契約上の義務として受注業者に求めることはできないことになる。
前記の国の行政機関がマイナンバー制度関連システムの設計・開発のために締結していた5機関の12システムに係る契約38件についてみたところ、予定価格の積算内訳書に、人件費を作業工程別に区分していたものの、作業要員としての技術者の職種別に区分していなかったものが1機関の1システムに係る契約5件あった。また、人件費を作業工程別に区分していなかったものが4機関の6システムに係る契約10件となっており、このうち、技術者の職種別に区分していなかったものが3機関の5システムに係る契約7件あった。さらに、このうち、人件費を作業工数と人件費単価に分解していなかったものが、2機関の3システムに係る契約5件あった。
このように、人件費を作業工程別又は職種別に区分したり作業工数と人件費単価に分解したりしていない場合、予定価格を適正に算定することが困難となり、適正な額で情報システムの整備を行うことができなかったり、契約の履行に支障が生じたりするおそれがある。
検査の対象とした170機関のうち、マイナンバー制度関連システムの整備に係る設計・開発業務等を国の補助金等により実施したものは162機関あり、そのうち11健康保険組合、90国民健康保険組合及び35後期高齢者医療広域連合は、被保険者資格の管理や医療給付の管理等を行う医療保険者等として、互いに共通する機能を有する情報システムを運用することになっている。そして、国民健康保険組合では、単独又は複数の組合が共同して独自の情報システムを開発したり、全国国民健康保険組合協会が国民健康保険組合向けに一元的に開発した共通的な情報システムを負担金を支払って利用したりしていて、情報システムの整備の方法が混在していた。そこで、90国民健康保険組合に交付された設計・開発等に係る補助金計10億2282万余円について、情報システムの整備の方法の違いによる補助金額をみたところ、一元的に開発された共通的な情報システムに対して組合が支払った負担金を対象として補助金が交付された組合と、組合が独自に開発した情報システムの開発費を対象として補助金が交付された組合を比較すると、情報システムの対象人数の多寡にかかわらず、独自に開発した情報システムの開発費を対象として補助金が交付された組合の方が補助金額がおおむね高額となる傾向が見受けられた。
マイナンバー制度関連システムでは、今後、制度改正に伴う既存システム等の整備が見込まれることから、今後の整備に当たっては、共通的な情報システムの利用を促進することにより、整備のために必要な経費を低減できると思料される。
検査の対象とした170機関の190システムについて、年金機構における情報連携の開始時期の延期による影響を確認したところ、年金機構に対する情報照会を予定していた16機関における27システムについては、年金機構に対する情報照会の機能を当面使用できず、これらの情報システムを利用する各機関は、書面により年金機構に問い合わせるなど、従来行っている照会の方法により事務を行うこととしていた。また、国家公務員共済組合連合会(以下「KKR」という。)は、年金機構に対する情報照会は行わないものの、情報連携の開始時期を年金機構と合わせることにしている。このため、KKRが整備を行った公的年金業務システムは、情報連携を予定している各機関に対する情報連携の機能を当面使用できない状況になっていた。
このように、年金機構における情報連携の開始時期の延期は、年金機構自身の事務だけでなく、多くの機関における事務の効率化や当該事務に関連する国民の利便性に影響を与えている。
社会保障・税制度等を所管する府省(以下「所管府省」という。)は、情報提供機関が保有する特定個人情報を構成するデータ項目のうち、情報照会機関が必要とするデータ項目を地方税関係、医療保険給付関係等の60に及ぶ業務分野ごとに規定した文書(以下「データ標準レイアウト」という。)を作成しており、内閣官房がそれらをとりまとめて、28年6月及び7月に、29年7月の情報連携の開始の際に用いるデータ標準レイアウトを確定し、デジタルPMOに掲載した(以下、このデータ標準レイアウトを「情報連携開始版」という。)。
しかし、デジタルPMOに掲載した後に情報連携開始版の不備を一部の機関から指摘されたため、所管府省が確認したところ、情報連携開始版では、国民健康保険組合等の事務に必要な一部のデータ項目が、市町村への情報照会に使用するデータ項目として規定されていなかったことが判明した。
一方、各機関は、情報連携開始版及びそれ以前に内閣官房から示されたデータ標準レイアウトに基づいて、マイナンバー制度関連システムの整備を進めていた。このため、厚生労働省が所管する全国健康保険協会等126機関及び文部科学省が所管する独立行政法人日本学生支援機構計127機関の127システムでは、一部のデータ項目の情報連携ができない状況となっていた。
内閣官房は、29年1月に、所管府省に対して、制度改正等により情報連携開始版に変更が生ずるものについて、情報連携開始版の改訂に係る作業を依頼し、所管府省は、情報連携開始版で情報照会に使用するものとして正確に規定されていなかったデータ項目についても上記の改訂に係る作業において修正を行った。
しかし、修正したデータ項目について、各機関の情報システムの改修に必要となる十分な準備期間を確保する必要があることから、これに係る情報連携の開始時期は、29年7月から30年7月に延期されることになった。
このように、データ標準レイアウトの一部のデータ項目が情報照会に使用するものとして正確に規定されていなかったことにより、前記127機関の127システムでは、その事務の一部が従来行っている方法により行われることになるため、当該事務の効率化や当該事務に関連する国民の利便性に影響を与えることになる。
1(1)イのとおり、中間サーバーには、情報提供を目的として既存システムの特定個人情報のデータベースの副本データが保存されることになっている。そして、情報連携は、情報照会機関が情報提供機関の副本データに照会することにより行われ、中間サーバーが情報連携の仲介の役割を担っている。
内閣官房は、所管府省の意見を踏まえ、各機関の作業期間等を考慮して、データベースの正本を登録・更新した日の翌々開庁日の業務開始前までに中間サーバー上の副本データに反映させることを基本として定めている。そして、特段の事情がある場合には、所管府省は、中間サーバー上の副本データに反映させる期限(以下「登録期限」という。)を特定個人情報ごとに個別に定めている。
内閣官房は、29年1月に、特定個人情報ごとの登録期限等を調査した結果をデジタルPMOに掲載している。これによると、検査の対象とした170機関の190システムで情報照会又は情報提供を行う37の特定個人情報に係る登録期限は、データベースの正本を登録・更新した日の当日中が6件、翌開庁日の業務開始前までが1件、翌々開庁日の業務開始前までが24件、8日後までが1件となっていた。また、データベースの正本を月末等の一定の日に確定させた上で、その確定したデータベースを定期的に中間サーバー上の副本データに反映させることとしている特定個人情報があり、当該一定の日が月末であってその反映を同日に行うものが9件、翌月中旬に行うものが1件、一定の日が年1回であってその反映を毎年7月1日までに行うものが1件、未定が2件となっていた(注8)。
このように、正本を登録・更新してから中間サーバー上の副本データに反映されるまでにタイムラグがある場合、その間に情報照会機関が照会すると、中間サーバーから正本よりも古い情報等が提供されることとなる。そこで、上記の特定個人情報について、正本よりも古い情報等が提供される場合に情報照会機関及び情報提供機関がとるべき手続等が周知されているかを確認したところ、手続等が周知されておらず、情報照会機関の業務に支障が生ずるおそれがあるものが見受けられた。
29年7月の情報連携の開始を目指して情報連携の仕組みを導入し、又は導入を予定していた136機関の136システムについて、既存システム等と中間サーバーとの間の情報連携に係る情報の授受の方法をみたところ、既存システム等と中間サーバーを接続し、両システムの間で情報の授受を行うサーバー間連携(注9)の仕組みを導入するとしていた情報システムは、14機関の14システムにとどまり、大部分の機関がサーバー間連携を導入しないこととしていた。そして、これらの機関では、既存システム等と中間サーバーとの間の情報の授受を、一方の情報システムが保有する情報を他方の情報システムの端末等で直に手入力したり、外部記憶媒体に保存して他方の情報システムに読み込ませたりするなどして行うこととしていた。
サーバー間連携を導入していない122機関の122システムについて、導入していない理由を各機関に確認したところ、51システムについては、処理件数が少ないなどの理由により、業務上、サーバー間連携を導入しても効果がないと判断していた。一方、71システムについては、事務の効率化に効果があるものの、他の機関が整備した情報システムであって独自にサーバー間連携機能を開発する手段がないなどと判断していた。
しかし、サーバー間連携を導入しない場合、既存システム等と中間サーバーとの間で情報を受け渡す都度、既存システム等と中間サーバーに重複して入力作業を行う必要が生じたり、外部記憶媒体にデータを保存し、保存したデータを他方の情報システムに読み込ませることを人力で行ったりするなど、サーバー間連携により情報の授受を行う場合に比べて事務の効率化が十分に行われず、また、入力ミスが生じたり、外部記憶媒体を紛失したりするなどのリスクがある。
1(2)アのとおり、内閣官房は、情報提供NWSの整備を進める上で、CIO連絡会議等を通じて関係機関全体の管理を行っており、デジタルPMOを通じて、各機関に対して、情報提供NWS等の外部インターフェイス仕様書やデータ標準レイアウト等の各種文書を公開している。
マイナンバー制度に関する情報共有で中心的な役割を果たしているデジタルPMOの使いやすさ、満足度等について、マイナンバー制度関連システムを整備する必要がある機関に本院がアンケート調査を実施したところ、513件の回答があり、このうちデジタルPMOを使用したことがあるとした回答は499件だった。そして、デジタルPMOの使いやすさに関しては、必要な情報を速やかに入手できたとしたものが149件となっていたが、必要な情報を入手できたものの時間を要したとしたものが332件、必要な情報を入手できなかったとしたものが15件となっていた。
また、デジタルPMOの満足度に関しては、満足又はやや満足であるとしたものが252件となっていた一方、やや不満又は不満であるとしたものが247件となっており、その理由としては、検索機能に問題がある(90件)、資料が体系的に整理されていないなどにより、必要な情報を探しにくい(89件)、専門性の高さや詳細な説明の不足等により、資料の内容が分かりにくい(35件)としているものなどがあった。
そして、満足と回答したものを除く412件の一部では、デジタルPMOに掲載された情報を活用するために、デジタルPMOから当該機関に関係する情報を抽出してイントラネットで共有したり(46件)、デジタルPMOの問合せ窓口又はテクニカルサポートを利用したり(37件)、各機関内でデジタルPMOの専任者を設置したり(7件)するなどして、デジタルPMOの使いにくさや分かりにくさを補完していた。
1(3)のとおり、マイナンバー法等によれば、行政機関の長等は、特定個人情報ファイルを新規に保有しようとする場合は、特定個人情報ファイルを取り扱う事務を対象として、特定個人情報保護評価を実施することとされている(以下、特定個人情報保護評価を実施する行政機関の長等を「評価実施機関」という。)。そして、指針等によれば、特定個人情報保護評価の結果を受けて、当初予定していた特定個人情報ファイルの取扱いやシステム設計を変更しなければならない場合も十分想定されることから、十分な時間的余裕をもって実施する必要があるとされており、新規に情報システムで特定個人情報ファイルを保有しようとする場合の特定個人情報保護評価の実施時期は、経過措置の対象となるものを除き、情報システムの要件定義の終了までに実施することを原則とするとされている。また、要件定義の終了までに特定個人情報保護評価を実施できない場合は、遅くともプログラミング開始前の適切な時期にこれを実施する必要があるとされている。
検査の対象とした170機関の190システムのうち、特定個人情報ファイルを保有することから特定個人情報保護評価を実施することとなっている事務を取り扱う132機関の134システムについて、28年12月までに特定個人情報保護評価が実施された171件の状況をみたところ、特定個人情報保護評価が情報システムの要件定義の終了までに実施されていたものが55件(29機関の29システム)あった一方、残りの116件(104機関の105システム)の特定個人情報保護評価は要件定義の終了までに実施されていなかった(注10)。
そして、上記116件のうち、要件定義の終了後から詳細設計の開始前までに実施されていたものは1件、詳細設計の開始からプログラミング開始前までに実施されていたものは11件、プログラミング開始から総合テストの開始前までに実施されていたものは13件、総合テストの開始から構築完了までに実施されていたものは60件、構築完了後に実施されていたものは31件となっていた。
このように、特定個人情報保護評価が要件定義の終了までに実施されていなかったものが数多く見受けられたが、特定個人情報保護評価の結果によっては情報システムの事後の大規模な仕様変更等によるコストの増加やスケジュールの遅延が生ずるおそれがある。
(ア) 国の行政機関6機関の14システムについて、業務見直し段階での検討状況をみたところ、2機関の3システムで、業務見直し段階での業務見直し範囲及び業務実施手順の検討等が十分でなかったため、契約締結後に、業務要件やこれを実現するための機能要件の定義の不備が判明して、情報システムの改修や契約変更が必要となったり、開発の進捗計画から遅延したりしていた。また、標準ガイドライン等に基づき業務要件、機能要件又は非機能要件として具体的に定義することとされている内容が、要件定義書又は調達仕様書等のいずれかに記載されているかをみたところ、国の行政機関がマイナンバー制度関連システムの設計・開発のために締結していた12システムに係る契約38件のうち16件で、内容が明確に記載されていない状況が見受けられた。
(イ) 総合評価落札方式による一般競争入札の実施に当たっての透明性及び公平性の確保に資する措置の実施状況をみたところ、国の行政機関5機関の10システムに係る契約37件のうち、評価方法の作成段階において、評価項目、評価基準及び配点が適切に設定されているかを学識経験者等の第三者が事前に審査していなかったものが2機関の3システムに係る契約10件、落札者の決定段階において、学識経験者等の第三者を審査員に含めていなかったものが3機関の4システムに係る契約12件、技術的要件の審査結果に各評価項目の評価理由を記述していなかったものが1機関の2システムに係る契約5件となっていた。また、加点評価した提案内容の契約書における取扱いをみたところ、5機関の10システムに係る契約37件のうち、3機関の3システムに係る契約9件では、受注業者が提案書等に基づき業務を実施することとする旨や提案書等に基づく実施計画書に沿って業務を実施することとする旨を契約書、調達仕様書等の契約関係書類に記載しておらず、加点評価した提案内容の履行を求める契約となっていなかった。
(ウ) 実務手引書に基づき人件費を作業工程別及び職種別に区分するなどして予定価格を算定しているかをみたところ、5機関の12システムに係る契約38件のうち、人件費を作業工程別に区分していたものの技術者の職種別に区分していなかったものが1機関の1システムに係る契約5件、人件費を作業工程別に区分していなかったものが4機関の6システムに係る契約10件となるなどしていた。
(エ) 国の補助金等によるマイナンバー制度関連システムの整備に係る調達の状況についてみたところ、国民健康保険組合のうち、共通的な情報システムに対して組合が支払った負担金を対象として補助金が交付された組合と比較して、組合が独自に開発した情報システムの開発費を対象として補助金が交付された組合の方が補助金額がおおむね高額となる傾向が見受けられた。
(ア) 年金機構における情報連携の開始時期の延期による影響を確認したところ、年金機構に対する情報照会を予定していた16機関における27システムについては、年金機構に対する情報照会の機能を当面使用できず、これらの情報システムを利用する各機関は、書面により年金機構に問い合わせるなど、従来行っている照会の方法により事務を行うこととしていた。データ標準レイアウトについて、国民健康保険組合等の事務に必要な一部のデータ項目が、市町村への情報照会に使用するデータ項目として規定されていなかったことから、検査の対象とした170機関の190システムのうち、127機関の127システムでは、一部のデータ項目の情報連携ができず、情報連携の開始時期が29年7月から30年7月に延期されることになっていた。
(イ) 情報照会機関が照会する中間サーバー上の副本データの登録期限についてみたところ、反映されるまでにタイムラグがある特定個人情報があり、そのタイムラグの間に照会が行われ、正本よりも古い情報等が提供される場合に情報照会機関及び情報提供機関がとるべき手続等が周知されておらず、情報照会機関の業務に支障が生ずるおそれがあるものが見受けられた。
(ウ) 既存システム等と中間サーバーとの間の情報連携に係る情報の授受の方法をみたところ、29年7月の情報連携の開始を目指していた136機関の136システムのうち、既存システム等と中間サーバーを接続して情報の授受を行うサーバー間連携の仕組みを導入するとしていたものは14機関の14システムにとどまっていた。そして、大部分の機関が、サーバー間連携を導入せずに、既存システム等と中間サーバーとの間の情報の授受を、端末等で直に手入力したり、外部記憶媒体により受け渡したりするなど、事務の効率化が十分行われず、また、入力ミスや外部記憶媒体の紛失等のリスクがある方法により行うことにしていた。
(エ) マイナンバー制度に関する情報共有で中心的な役割を果たしているデジタルPMOの使いやすさ、満足度等についてアンケート調査を実施したところ、デジタルPMOを使用したことがあるとした499件のうち、使いやすさに関しては、必要な情報を速やかに入手できたとしたものが149件、必要な情報を入手できたものの時間を要したとしたものが332件、必要な情報を入手できなかったとしたものが15件となっていた。また、満足度に関しては、満足又はやや満足であるとしたものが252件となっていた一方、やや不満又は不満であるとしたものが247件となっており、その理由としては、検索機能に問題がある、資料が体系的に整理されていないなどにより、必要な情報を探しにくい、専門性の高さや詳細な説明の不足等により、資料の内容が分かりにくいとしているものなどがあった。
マイナンバー制度関連システムの整備における特定個人情報保護評価の実施状況についてみたところ、132機関の134システムについて28年12月までに実施された171件の特定個人情報保護評価のうち、116件(104機関の105システム)の特定個人情報保護評価は情報システムの要件定義の終了までに実施されておらず、このうち要件定義の終了後から詳細設計の開始前までに実施されていたものは1件、詳細設計の開始からプログラミング開始前までに実施されていたものは11件、プログラミング開始から総合テストの開始前までに実施されていたものは13件、総合テストの開始から構築完了までに実施されていたものは60件、構築完了後に実施されていたものは31件となっていた。
マイナンバー制度関連システムは、29年7月に情報連携の試行運用が開始され、29年秋頃から本格運用が開始されることになっている。また、現在も既存システム等の整備が進められているところも見受けられる。今後、試行運用及び本格運用における対応や、制度の改正等による更なる情報システムの整備が必要になることも想定される。
ついては、マイナンバー制度関連システムの整備等について、今後、次の点に留意して取り組んでいく必要がある。
国の行政機関は、情報システムの調達に当たっては、業務見直し段階における業務見直し範囲及び業務実施手順の検討等を十分に行い、要件の具体的内容を適切に定義して、要件定義書又は調達仕様書等のいずれかに記載して業者と明確に共有すること。総合評価落札方式による一般競争入札では、評価基準等の作成や落札者決定の各段階で学識経験者等の第三者を審査員に含めるなどの透明性及び公平性に資する措置を講ずるとともに、加点評価した提案内容が確実に履行されるように契約書、調達仕様書等の契約関係書類において担保すること。また、予定価格の算定に当たっては、実務手引書に基づいて人件費を作業工程別及び職種別に区分するなどすること
評価実施機関は、現在整備を進めている情報システム及び今後整備が必要となる情報システムについて、事後の大規模な仕様変更等によるコストの増加やスケジュールの遅延が生じないよう特定個人情報保護評価を適切な時期に実施すること
本院としては、マイナンバー制度が社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤であることを踏まえつつ、29年秋頃から本格運用が開始される情報連携を含めたマイナンバー制度の実施状況等について、引き続き注視していくこととする。