政府は、「世界最先端IT国家創造宣言」(平成25年6月閣議決定)等に基づき、政府情報システムの標準的な整備及び管理について、その手続・手順に関する基本的な方針や事項、政府内の各組織の役割等を定めた体系的なルールとして、「政府情報システムの整備及び管理に関する標準ガイドライン」(平成26年12月各府省情報化統括責任者(CIO)連絡会議決定。以下「標準ガイドライン」という。)を策定している。そして、標準ガイドラインの内容を補完するなどのために、「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」(平成27年3月内閣官房情報通信技術(IT)総合戦略室及び総務省行政管理局作成。以下「実務手引書」という。)を作成している。標準ガイドライン及び実務手引書には、政府情報システムの整備及び管理に関し、情報システムの設計・開発業務の契約の際に必要とされる作業等が記載されている。
要件定義は、情報システムが備えるべき機能・性能を具体的に定めて明確化する極めて重要な工程であり、明確な要件定義を行えない場合、計画の遅延や情報システムの機能・性能が要求水準に満たないものとなる事態等が発生するおそれが高まるため、国の行政機関は、標準ガイドライン等に基づき要件定義に適切に取り組むこととなっている。
新規に情報システムの整備を行う際は、標準ガイドライン等に基づき、まず、既存の業務の見直しを行い、整備の内容が更改又は機能改修である場合も、更改又は機能改修の規模、内容等を踏まえ、既存の業務の見直しの必要性があると判断した場合には、当該見直しを行うこととなっている。業務の見直しに当たっては、どの範囲まで改善に取り組むか見直しの可能性を検討する業務見直しの範囲を検討し、現行の業務量や使用しているデータの内容等を分析する業務分析、情報システムの従事者やサービスを受ける者の要求事項等を分析する関係者分析等により現状の業務の問題点を抽出した上、業務見直しの内容を検討する。これを踏まえて、図表1-1に示す事項ごとに具体的な内容を業務要件として定義することとなっている。
図表1-1 標準ガイドラインで業務要件として具体的に定義することとされている事項とその内容
定義する事項 | 内容 |
---|---|
業務実施手順 |
|
規模 |
|
時期・時間 |
|
場所等 | 業務の実施場所、諸設備、必要な物品等の資源の種類・量等 |
管理すべき指標 | 業務の運営上補足すべき指標項目、把握手順・手法・頻度等 |
情報システム化の範囲 | 情報システムを用いて実施する業務の範囲及び情報システムを用いずに実施する業務の範囲 |
業務の継続の方針等 | 業務の継続に伴うリスク及び基本的な考え方。なお、業務継続計画を策定する必要がある業務にあっては当該計画の策定時に検討するものとする。 |
情報セキュリティ | 業務において取り扱われる情報の格付・取扱制限等に応じた情報セキュリティ対策の基本的な考え方 |
上記の業務要件として定義した事項の実現のために備えるべき機能要件及び非機能要件として、図表1-2に掲げる事項についてそれぞれの内容を具体的に漏れなく定義した上で、これらを要件定義書に記載することとなっている。情報システムの整備等に係る調達仕様書には、業者に対し設計・開発等に当たって要件定義書の記載事項を満たすことを求める記載をすることとなっている。
図表1-2 標準ガイドラインで機能要件及び非機能要件として具体的に定義することとされている事項とその内容
要件の種類 | 定義する事項 | 内容 |
---|---|---|
機能要件 | 機能 | 処理内容、入出力情報・方法、入力・出力の関係等 |
画面 | 画面一覧、画面概要、画面出力イメージ、画面遷移の基本的考え方、画面入出力要件・画面設計要件等 | |
帳票 | 帳票一覧、帳票概要、帳票出力イメージ、帳票入出力要件・帳票設計要件等 | |
情報・データ | 情報・データ一覧、情報・データ処理要件、データ構造等 | |
外部インターフェイス | 外部インターフェイス一覧、相手先システム、送受信データ、送受信タイミング、送受信の条件等 | |
非機能要件 | ユーザビリティ及びアクセシビリティ | 情報システムの利用者の種類、特性及び利用において配慮すべき事項等 |
システム方式 | ハードウェア、ソフトウェア、ネットワーク等の情報システムの構成に関する全体の方針等 | |
規模 | 機器数、設置場所、データ量(ライフサイクル期間における将来の見込みを含む。)、処理件数、情報システムの利用者数等 | |
性能 | 応答時間等 | |
信頼性 | 稼働率等 | |
拡張性 | 情報システムの性能及び機能の拡張性要件 | |
上位互換性 | 情報システムを構成するOS、ミドルウェア等のバージョンアップ時における情報システムの改修の許容度等 | |
中立性 | 市場において容易に取得できるオープンな標準的技術又は製品を用いるなどの要件 | |
継続性 | 障害、災害等による情報システムの問題発生時に求められる必要最低限の機能、その目標復旧時間等 | |
情報セキュリティ | 情報システムの情報セキュリティ対策に関する事項 | |
情報システム稼働環境 | ハードウェアの構成、ソフトウェア製品の構成、ネットワークの構成、施設・設備要件等 | |
テスト | テストの種類、目的、内容等 | |
移行 | データ等の移行手順等 | |
引継ぎ | 他の関係事業者への引継ぎに関する要件 | |
教育 | 教育対象者の範囲、教育の方法等 | |
運用 | 運転管理・監視等に関する要件 | |
保守 | アプリケーションプログラム、ハードウェア、ソフトウェア製品、データ等の保守要件 |
標準ガイドラインが適用される国の行政機関6機関が契約を締結していたマイナンバー制度関連システム14システムについて、業務見直し段階での検討状況をみたところ、業務見直し段階での業務見直し範囲及び業務実施手順の検討等が十分でなかったため、契約締結後に、業務要件やこれを実現するための機能要件の定義の不備が判明して、2機関の3システムで、改修や契約変更が必要となったり、開発の進捗計画から遅延したりしていた。
上記の業務見直し範囲及び業務実施手順の検討等が十分でなかったことにより要件定義に不備があった事態について、事例を示すと次のとおりである。
<事例1> 業務見直し段階での業務見直し範囲、業務実施手順及び具体的な要件の検討が十分でなかったことにより要件定義に不備があったため、改修や仕様を追加等する契約変更が必要になっていたもの
厚生労働省は、経済性及び効率性を考慮して、医療保険者等が情報提供NWSに接続するための医療保険者等向け中間サーバーを一元的に構築することとしていた。同省は、業務見直し段階において医療保険者である財務省所管の国家公務員共済組合を業務見直し範囲に含めなかったため、国家公務員共済組合の既存システムで処理している現行の業務量やデータの内容等の分析を行わずに業務要件を決定しており、医療保険者等向け中間サーバーを国家公務員共済組合が利用する場合に必要となる要件を定義していなかった。そして、厚生労働省は、平成27年6月に、国家公務員共済組合を除く医療保険者等に対応する中間サーバー等に係るソフトウェアの設計・開発等に係る請負契約を契約金額56億7108万余円で締結した(以下、当該契約を「27年6月契約」という。)。
一方、国家公務員共済組合は、26年度中に医療保険者等向け中間サーバーを他の医療保険者等と共同で利用することを決めていたものの、同省が27年6月契約を締結する前までに同省との間で医療保険者等向け中間サーバーを共同で利用するために必要な具体的な要件の検討を行っておらず、現状の業務分析や医療保険者等向け中間サーバーを共同で利用するために必要な要件の調査等を実施したのは27年11月以降となっていた。
この結果、国家公務員共済組合は、同省が整備する医療保険者等向け中間サーバーを共同で利用するための改修を28年度から30年度までの間に自ら行うこととなり(28年度契約計2件、964万余円、29年度契約計2件、12億2338万余円(29年4月時点))、情報連携の開始時期は30年7月に延期されることになった。
また、同省は27年6月契約の調達仕様書等では医療保険者等間連携(各医療保険者等が保有している被保険者情報の授受を医療保険者等向け中間サーバーを介して行えるようにする仕組み)を業務要件の事項としていたが、この業務要件を確実に実現するために必要な機能要件を同省が調達仕様書等に記載していなかったことが契約締結後に判明した。
この結果、同省は、契約締結後に要件を定義し直すことになり、27年6月契約について、他の仕様変更が必要となった事項を含め、27年10月及び28年4月に2回の変更契約を締結し、契約金額を33億9607万余円増額していた。
<事例2> 業務見直し段階での業務実施手順の検討が十分でなかったことにより要件定義に不備があったため、改修を行うことが必要になっていたもの
厚生労働省は、平成27年度に、ハローワークシステムの整備に係る請負契約を79億1385万余円で締結した。同省は、当該請負契約の調達仕様書等を作成するに当たり、既存の業務の見直しを行った上で、要件定義を実施していた。
ハローワークシステムでは、情報照会機関が、離職者に対する失業等給付等の情報を情報提供NWSを通じて情報照会することができるものとなっている。ハローワークシステムへのマイナンバーの登録は、離職者が失業給付を受給する際に提出する申請書に自己のマイナンバーを記載することにより行われるが、28年1月分から12月分までのマイナンバーの記載率は平均28.0%と低調であり、マイナンバーの記載がない場合は、ハローワークシステムにマイナンバーを登録できず、情報連携を行うことができないため、情報照会機関の業務に影響が生ずるおそれがある。一方、こうした場合においても、同省が地方公共団体情報システム機構に照会することにより、当該離職者の4情報からマイナンバーを取得することは可能と認められる。
しかし、同省は、業務見直し段階で、情報照会機関の業務への影響やこれを回避するための業務実施手順を十分に考慮しておらず、地方公共団体情報システム機構に照会して離職者の4情報からマイナンバーを取得する機能を要件として調達仕様書に記載していなかった。
また、同省は、ハローワークシステムが保有するマイナンバーに取扱権限を有する職員がアクセスした記録(以下「アクセスログ」という。)を取得する機能を要件として調達仕様書に記載していた。
しかし、同省は、職員による不要なアクセスの発見等のために管理者等がアクセスログを管理・確認する手順を業務見直し段階で十分に考慮していなかったことから、管理者等が記録を管理・確認する機能を要件として含めなかった。
その後、同省は、ハローワークシステムの整備の過程で地方公共団体情報システム機構にマイナンバーを照会する機能の必要性を、また、個人情報保護委員会の指摘を受けて管理者等によるアクセスログの管理・確認機能の必要性を認識したため、再度業務の見直しを行い、29年度中に、上記の機能を追加するためのハローワークシステムの改修を行うこととしている。
<事例3> 業務見直し段階での業務見直し範囲の検討及び関係者分析が十分でなかったことにより要件定義に不備があったため、情報システムの調達に手戻りが生ずるなどして、計画が遅延しているもの
文部科学省は、高等学校等就学支援金の支給額の決定等の業務の簡素化・合理化を図るために、マイナンバー制度に対応した高等学校等就学支援金事務処理システムを平成29年7月までに新たに整備することとし、27年5月に、同システムの設計・開発の調達等の支援に係る請負契約を9180万円で締結した。同省は、同システムの調達仕様書案に対する意見招請の際に提出される意見への回答案の作成、当該回答案を踏まえた調達仕様書案の修正、設計・開発の契約締結後における工程管理支援業務等を業者に請け負わせるとしていた。
しかし、情報システムの整備に必要不可欠な業務の見直しの不足が判明し、業務を見直す範囲を再度検討することを含めて、調達仕様書案に記載した要件の見直しが必要となったことから、予定していた意見招請を取り止め、調達の計画を無期限に延期した。
その後、同省は、改めて業務見直しを行い、その結果に基づき修正した調達仕様書案により27年10月に意見招請を行ったが、関係者分析の不足により業務フローの修正等が発生する可能性が生じたことから、意見招請を中止した。この結果、同省は、28年3月に変更契約を締結して、関係者分析を含む現状の業務の分析及び新たな調達仕様書案の作成に係る業務を追加するとともに、原契約の仕様に含まれていた工程管理支援業務を削除した上で、29年4月に追加契約を締結して、改めて工程管理支援業務を請け負わせることとした。
このように、業務見直し段階における業務見直し範囲の検討や関係者分析が十分でなかったことから、調達に手戻りが発生し、上記の変更契約及び追加契約により契約金額の合計は1億5120万円と当初の9180万円に対して5940万円の増額となり、また、同省は、同システムの本格運用及び情報連携の開始時期を31年4月に延期することにしていた。
次に、前記6機関の14システムに係る契約90件のうち、システム設計・開発のために締結していた5機関の12システムに係る契約38件(変更契約を除く。)をみたところ、要件定義書を作成せずに調達仕様書又は他の文書に要件を記載していたものが多数見受けられた。
そこで、標準ガイドライン等に基づき業務要件、機能要件又は非機能要件として具体的に定義することとされている内容が、要件定義書又は調達仕様書等のいずれかに記載されているかをみたところ、図表1-3のとおり、上記の契約38件のうち、内閣官房で3件、国税庁で12件、厚生労働省で1件の計16件の契約で、要件定義書又は調達仕様書等のいずれにも内容が明確に記載されていない状況が見受けられた。その主な理由は、調達仕様書等に要件の事項名等を記載していることをもって具体的な内容を記載しているとしていたものが3件(18.7%)、情報システムの特性や開発内容により具体的な内容を記載する必要がないとしていたものが12件(75.0%)、既存システムの請負業者との随意契約であって当該業者が既に内容を把握しているため改めて内容を記載する必要がないとしていたものが1件(6.2%)となっていた。
図表1-3 要件定義書等に要件として具体的に定義することとされている内容が明確に記載されていない契約の状況
機関名 | 情報システム名 | 契約件数 | 具体的な内容の記載がない事項 | ||
---|---|---|---|---|---|
業務要件 | 機能要件 | 非機能要件 | |||
内閣官房 | 情報提供NWS | 1 | - | - | ユーザビリティ及びアクセシビリティ(1)引継ぎ(1) |
マイナポータル | 1 | - | - | 引継ぎ(1) | |
情報保護評価書受付システム | 1 | - | - | 中立性(1) | |
国税庁 | 国税総合管理システム | 12 | 業務の継続の方針等(11) | - | 継続性(10) |
厚生労働省 | ハローワークシステム | 1 | 規模(1) 時期・時間(1) |
- | - |
計 3機関 | 計 5システム | 16 | / |
適切に定義された要件の具体的な内容が要件定義書又は調達仕様書等のいずれにも記載されていない場合、情報システムが備えるべき機能・性能等を業者と明確に共有することができず、調達計画の遅延や情報システムの機能・性能が要求水準に満たないものとなる事態等が生じ、情報連携のスケジュール全体にも遅延が生ずるおそれが高まることになる。
前記の国の行政機関が締結した6機関の14システムに係る契約90件(契約金額計835億1554万余円)のうち、変更契約を除く6機関の14システムに係る契約63件(契約金額計793億9907万余円)の契約方式をみたところ、随意契約が4機関の7システムに係る契約20件(契約金額計234億6874万余円、29.5%)、最低価格落札方式(注9)による一般競争入札が2機関の3システムに係る契約6件(契約金額計2億7086万余円、0.3%)、総合評価落札方式による一般競争入札が5機関の10システムに係る契約37件(契約金額計556億5946万余円、70.1%)となっており、総合評価落札方式による一般競争入札を実施していた契約が件数、契約金額ともに最も多くを占めていた(機関ごとの内訳については、別表2参照)。
総合評価落札方式は、会計法(昭和22年法律第35号)第29条の6第2項の規定に基づく落札者の決定方法の一つであり、価格だけでなく、性能、機能等の条件も併せて総合的に評価し、国にとって最も有利な入札をした者を落札者とする方式である。
総合評価落札方式による一般競争入札の実施に当たっては、国は、標準ガイドライン等に基づき、次のような透明性及び公平性の確保に資する措置を執ることとなっている。
総合評価落札方式における提案書の評価基準では、標準ガイドライン等に基づき、制度、業務及びシステムに対する理解度、要件定義の理解度、プロジェクトの計画能力・管理能力、設計・開発等に関する技術的能力、設計・開発等の実績等のほか、具体的な実現の方法等に係る提案が加点評価項目として設定されることとなっている。そして、「公共調達の適正化について」(平成18年8月財計第2017号)によれば、総合評価落札方式による一般競争入札の実施に当たっては、発注者による提案の審査の透明性及び公正性の確保が重要であることから、評価方法の作成や落札者決定段階において、学識経験者等の第三者の意見を効率よく反映させるための方策を講ずるよう努めることなどとされている。
また、「情報システムの調達に係る総合評価落札方式の標準ガイドライン」(平成25年7月調達関係省庁申合せ)によれば、総合評価における入札者の申込みに係る性能等の評価及び落札の結果を直ちに記録し、特に、技術的要件の審査結果については、各評価項目に評価の結果及びその理由を記録するものとされている。
そこで、総合評価落札方式による一般競争入札を実施していた前記の契約37件(5機関の10システム)について、上記の透明性及び公平性の確保に資する措置の実施状況をみたところ、図表1-4のとおりとなっていた。
すなわち、①評価方法の作成段階において、評価項目、評価基準及び配点が適切に設定されているかを学識経験者等の第三者が事前に審査していなかったものが2機関の3システムに係る契約10件、②落札者の決定段階において、学識経験者等の第三者を審査員に含めていなかったものが3機関の4システムに係る契約12件あった。また、③技術的要件の審査結果に各評価項目の評価理由を記述していなかったものが1機関の2システムに係る契約5件あった(機関ごとの内訳については、別表3参照)。
図表1-4 総合評価落札方式による契約相手方の選定過程における透明性及び公平性の確保に資する措置の実施状況
事態の態様 | 該当機関数 | 情報システム数 | 契約件数 |
---|---|---|---|
①評価方法の作成段階において、評価項目、評価基準及び配点が適切に設定されているかを学識経験者等の第三者が事前に審査していなかったもの |
2 | 3 | 10 |
②落札者の決定段階において、学識経験者等の第三者を審査員に含めていなかったもの |
3 | 4 | 12 |
③技術的要件の審査結果に各評価項目の評価理由を記述していなかったもの |
1 | 2 | 5 |
各機関は、①から③までの事態の理由を、①については、評価項目の設定を含めた業務を外部有識者に委託する契約であったため第三者を入れる必要がないと判断したことなど、②については、学識経験者等の第三者を審査員に含める規定がないことなど、③については、各評価項目の評価理由は技術点の算定に必要がないと判断したことなどによるとしている。
しかし、総合評価落札方式による一般競争入札においては、価格のみならず技術等の条件を総合的に勘案して落札者が決定されることから、発注者による提案の審査の透明性及び公平性を確保することが必要である。そのためには、評価基準等の作成や落札者決定の各段階で学識経験者等の第三者を審査員に含めること、各評価項目の評価理由を記録することが重要となっている。
(ア)のとおり、標準ガイドライン等に基づき、総合評価落札方式における提案書の評価基準では、制度、業務及びシステムに対する理解度等のほか、具体的な実現の方法等に係る提案が加点評価項目として設定されることとなっている。そして、「情報システムの調達に係る総合評価落札方式の標準ガイドライン」によれば、総合評価において評価した性能等については、全て契約書にその内容を記載することとし、その履行を確保することとされている。
そこで、加点評価した提案内容の契約書における取扱いをみたところ、総合評価落札方式による一般競争入札を実施していた5機関の10システムに係る契約37件のうち、3機関の3システムに係る契約9件では、受注業者が提案書等に基づき業務を実施することとする旨や提案書等に基づく実施計画書に沿って業務を実施することとする旨を契約書、調達仕様書等の契約関係書類に記載しておらず、加点評価した提案内容の履行を求める契約となっていなかった(機関ごとの内訳については、別表3参照)。
これら9件の契約を行っていた3機関は、加点評価した提案内容の履行を契約関係書類に記載していなかった理由を、契約後に作成するプロジェクト計画書等に提案内容を記載させることにより確認していたためなどとしている。
しかし、加点評価した提案内容の履行について契約関係書類に記載していない場合は、その履行を契約上の義務として受注業者に求めることはできないことになる。
アのとおり、政府は、政府情報システムの標準的な整備及び管理について、標準ガイドラインの内容を補完するなどのために実務手引書を作成している。府省等の会計担当者は、実務手引書に基づき、予定価格の算定において業者から徴した見積りを活用するに当たっては、業者が設定した見積りの前提条件を確認するとともに、人件費について、要員の作業内容、職種及び工程の別に、工数と単価等に分解して、契約の履行に支障が生ずるものとならないよう精査することとなっている。
そこで、前記の国の行政機関がマイナンバー制度関連システムの設計・開発のために締結していた5機関の12システムに係る契約38件について、実務手引書に基づき人件費を作業工程別及び職種別に区分し作業工数と人件費単価に分解して予定価格を算定しているかをみたところ、図表1-5のとおりとなっていた。すなわち、予定価格の積算内訳書に、人件費を作業工程別に区分していたものの、作業要員としての技術者の職種別に区分していなかったものが1機関の1システムに係る契約5件あった。また、人件費を作業工程別に区分していなかったものが4機関の6システムに係る契約10件となっており、このうち、技術者の職種別に区分していなかったものが3機関の5システムに係る契約7件あった。さらに、このうち、人件費を作業工数と人件費単価に分解していなかったものが、2機関の3システムに係る契約5件あった(機関ごとの内訳については、別表4参照)。
図表1-5 設計・開発契約の予定価格の積算内訳の状況
人件費の区分等の状況 | 該当機関数 | 情報システム数 | 契約件数 | ||
---|---|---|---|---|---|
作業工程別に区分していた | 技術者の職種別に区分していた | 作業工数と人件費単価に分解していた | |||
○ | ○ | ○ | 4 | 6 | 23 |
× | 0 | 0 | 0 | ||
小計 | 注(1) 4 | 注(1) 6 | 23 | ||
× | ○ | 1 | 1 | 5 | |
× | 0 | 0 | 0 | ||
小計 | 注(1) 1 | 注(1) 1 | 5 | ||
計 | 注(2) 4 | 6 | 28 | ||
× | ○ | ○ | 1 | 1 | 3 |
× | 0 | 0 | 0 | ||
小計 | 1 | 1 | 3 | ||
× | ○ | 1 | 2 | 2 | |
× | 2 | 3 | 5 | ||
小計 | 3 | 5 | 7 | ||
計 | 注(2) 4 | 6 | 10 | ||
合計 | 5 | 12 | 38 |
このように、人件費を作業工程別又は職種別に区分したり作業工数と人件費単価に分解したりしていない場合、予定価格を適正に算定することが困難となり、適正な額で情報システムの整備を行うことができなかったり、契約の履行に支障が生じたりするおそれがある。
検査の対象とした170機関のうち、マイナンバー制度関連システムの整備に係る設計・開発業務等を国の補助金等により実施した162機関の契約413件に係る補助金等の額は、計148億4810万余円となっている。これらの機関のうち、11健康保険組合、90国民健康保険組合及び35後期高齢者医療広域連合は、被保険者資格の管理や医療給付の管理等を行う医療保険者等として、互いに共通する機能を有する情報システムを運用することになっている。そして、各医療保険者等の情報システムの整備の方法をみたところ、次のとおりとなっていた。すなわち、健康保険組合では、独自で情報システムを開発した一部の組合を除く大部分の組合がパッケージソフトウェアを選択して利用していた。後期高齢者医療広域連合では、公益社団法人国民健康保険中央会が後期高齢者医療広域連合向けに一元的に開発した情報システムを全ての後期高齢者医療広域連合が使用していた。一方、国民健康保険組合では、単独又は複数の組合が共同して独自の情報システムを開発したり、全国国民健康保険組合協会が国民健康保険組合向けに一元的に開発した共通的な情報システムを負担金を支払って利用したりしていて、情報システムの整備の方法が混在していた。
そこで、90国民健康保険組合に交付された設計・開発等に係る補助金計10億2282万余円について、情報システムの整備の方法の違いによる補助金額をみたところ、図表1-6のとおりとなっていた。すなわち、一元的に開発された共通的な情報システムに対して組合が支払った負担金を対象として補助金が交付された組合と、組合が独自に開発した情報システムの開発費を対象として補助金が交付された組合を比較すると、情報システムの対象人数の多寡にかかわらず、独自に開発した情報システムの開発費を対象として補助金が交付された組合の方が補助金額がおおむね高額となる傾向が見受けられた(機関ごとの対象人数及び情報システムの分類の内訳については、別表1参照)。
図表1-6 国民健康保険組合が整備した情報システムに係る補助金の状況
マイナンバー制度関連システムでは、今後、制度改正に伴う既存システム等の整備が見込まれることから、今後の整備に当たっては、共通的な情報システムの利用を促進することにより、整備のために必要な経費を低減できると思料される。
1(2)イのとおり、年金情報流出事案の発生を契機としてマイナンバー法が改正され、年金機構における情報連携の開始時期が29年11月末までの政令で定める日まで延期されることとなったが、29年6月末時点で、この政令は定められていない。
そこで、検査の対象とした170機関の190システムについて、年金機構における情報連携の開始時期の延期による影響を確認したところ、図表2-1のとおりとなっていた。すなわち、年金機構に対する情報照会を予定していた16機関における27システムについては、年金機構に対する情報照会の機能を当面使用できず、これらの情報システムを利用する各機関は、書面により年金機構に問い合わせるなど、従来行っている照会の方法により事務を行うこととしていた。また、国家公務員共済組合連合会(以下「KKR」という。)は、年金機構に対する情報照会は行わないものの、年金業務の一環として、市町村が保有する特定個人情報について情報照会を行ったり、KKRが保有する特定個人情報について市町村、健康保険組合等に情報提供を行ったりする必要があることから、公的年金業務システムを利用した情報連携を29年7月に開始できるよう必要な整備を行った。しかし、KKRは、27年10月に始まった被用者年金一元化(注10)後の年金制度では、全年金保険者が同時に情報連携を開始できなければ国民に無用な混乱を生じさせることになるとして、情報連携の開始時期を年金機構と合わせることにしている。このため、KKRが整備を行った公的年金業務システムは、情報連携を予定している各機関に対する情報連携の機能を当面使用できない状況になっていた。
図表2-1 年金機構における情報連携の開始時期の延期による影響を受ける情報システム
機関名 | 情報システム名 | 事務の内容 | 当初の情報連携開始予定時期 |
---|---|---|---|
年金機構に対する情報照会が行えないため、当該機能が当面使用できない情報システム | |||
厚生労働省 | 労働基準行政システム | 労働者災害補償保険法による保険給付の支給に関する事務 | 平成29年1月 |
ハローワークシステム | 雇用保険法による失業等給付の支給に関する事務 | 29年1月 | |
職業訓練の実施等による特定求職者の就職の支援に関する法律による職業訓練受講給付金の支給に関する事務 | 29年1月 | ||
独立行政法人日本学生支援機構 | 情報連携用システム | 独立行政法人日本学生支援機構法による学資の貸与に関する事務 | 29年7月 |
独立行政法人農業者年金基金 | 農業者年金記録管理システム | 独立行政法人農業者年金基金法による農業者年金事務の給付の支給等に関する事務 | 29年7月 |
全国健康保険協会 | 個人番号管理システム | 健康保険法による保険給付の支給に関する事務 | 29年7月 |
船員保険法等による保険給付の支給に関する事務 | 29年7月 | ||
11健康保険組合 | 健康保険組合業務システム等(11システム) | 健康保険法による保険給付の支給に関する事務 | 29年7月 |
健康保険組合連合会(注) | パッケージシステム(11システム) | 健康保険法による保険給付の支給に関する事務 | 29年7月 |
計 16機関 | 計 27システム | / | |
年金機構に対する情報照会は行わないが、年金機構と同時に情報連携を開始する必要があるため、情報連携を予定している各機関に対する情報連携の機能が当面使用できない情報システム | |||
KKR | 公的年金業務システム | 情報連携を行う全ての事務 | 29年7月 |
このように、年金機構における情報連携の開始時期の延期は、年金機構自身の事務だけでなく、多くの機関における事務の効率化や当該事務に関連する国民の利便性に影響を与えている。
情報提供NWSによる情報連携を実現するためには、国の行政機関、地方公共団体、独立行政法人、医療保険者等の各機関の情報システムにおいて、情報連携の対象とする特定個人情報を構成するデータ項目(総所得金額、医療費控除額等)を整理し、データの仕様を統一するなどし、これらを情報照会機関及び情報提供機関が共有した上で、マイナンバー制度関連システムの整備を行う必要がある。
社会保障・税制度等を所管する府省(以下「所管府省」という。)は、情報提供機関が保有する特定個人情報を構成するデータ項目のうち、情報照会機関が必要とするデータ項目を地方税関係、医療保険給付関係等の60に及ぶ業務分野ごとに規定した文書(以下「データ標準レイアウト」という。)を作成しており、内閣官房がそれらをとりまとめて公表している。
内閣官房は、26年11月に、所管府省に対して、業務分野ごとに情報連携を行うデータ項目がデータ標準レイアウトに過不足なく規定されているかなどの確認を依頼するとともに、同年12月に、データ標準レイアウトをデジタルPMOに掲載した。これを受けて、各機関は、データ標準レイアウトを設計に反映させるなどしてマイナンバー制度関連システムの整備を行った。そして、内閣官房は、28年6月及び7月に、29年7月の情報連携の開始の際に用いるデータ標準レイアウトを確定し、デジタルPMOに掲載した(以下、このデータ標準レイアウトを「情報連携開始版」という。)。
しかし、デジタルPMOに掲載した後に情報連携開始版の不備を一部の機関から指摘されたため、所管府省が確認したところ、情報連携開始版では、国民健康保険組合等の事務に必要な一部のデータ項目が、市町村への情報照会に使用するデータ項目として規定されていなかったことが判明した。
一方、各機関は、情報連携開始版及びそれ以前に内閣官房から示されたデータ標準レイアウトに基づいて、マイナンバー制度関連システムの整備を進めていた。このため、図表2-2のとおり、検査の対象とした170機関の190システムのうち、127機関の127システムでは、一部のデータ項目の情報連携ができない状況となっていた。
内閣官房は、29年1月に、所管府省に対して、制度改正等により情報連携開始版に変更が生ずるものについて、情報連携開始版の改訂に係る作業を依頼し、所管府省は、情報連携開始版で情報照会に使用するものとして正確に規定されていなかったデータ項目についても上記の改訂に係る作業において修正を行った。
しかし、修正したデータ項目について、各機関の情報システムの改修に必要となる十分な準備期間を確保する必要があることから、これに係る情報連携の開始時期は、29年7月から30年7月に延期されることになった。
図表2-2 データ標準レイアウトのデータ項目が情報照会に使用するものとして正確に規定されていなかったことにより、一部のデータ項目の情報連携ができない状況となっていた情報システム
所管府省 | 機関名 | 情報システム数 | 情報連携ができない事務の内容 | 当初の情報連携開始予定時期 | 平成29年6月末現在の情報連携開始予定時期 |
---|---|---|---|---|---|
厚生労働省 | 全国健康保険協会 | 1 | 健康保険法による保険給付の支給に関する事務 | 29年7月 | 30年7月 |
90国民健康保険組合 | 90 | 国民健康保険法による保険給付の支給又は保険料の徴収の事務 | 29年7月 | 30年7月 | |
35後期高齢者医療広域連合 | 35 | 高齢者の医療の確保に関する法律による後期高齢者医療給付の支給又は保険料の徴収に関する事務 | 29年7月 | 30年7月 | |
計 | 126機関 | 126 | / | ||
文部科学省 | 独立行政法人日本学生支援機構 | 1 | 独立行政法人日本学生支援機構法による学資の貸与に関する事務 | 29年7月 | 30年7月 |
計 | 1機関 | 1 | / | ||
合計 | 127機関 | 127 | / |
データ標準レイアウトのデータ項目が情報照会に使用するものとして正確に規定されていなかったことにより、情報連携の開始時期を延期している事態について、事例を示すと次のとおりである。
<事例4> データ標準レイアウトのデータ項目が情報照会に使用するものとして正確に規定されていなかったことにより、情報連携の開始時期を延期しているもの
東京食品販売国民健康保険組合等90国民健康保険組合(以下「90国保」という。)は、平成27年度に、国民健康保険に関する事務について、マイナンバー制度に対応するために、厚生労働省から社会保障・税番号制度システム整備費補助金(国庫補助金計10億2282万余円)の交付を受けて、マイナンバー制度関連システムの整備等を総事業費計14億6510万余円で実施した。
国民健康保険法(昭和33年法律第192号)による保険給付の支給又は保険料の徴収の事務について情報照会機関が市町村に照会するために必要なデータ項目を示す地方税関係情報に係るデータ標準レイアウトについて、内閣官房は、同省に確認を依頼した上で、26年12月に、デジタルPMOに掲載していた。そして、90国保は、このデータ標準レイアウトを設計に反映させるなどして、情報システムの整備を行っていた。
しかし、上記のデータ標準レイアウトには、国民健康保険組合が必要とするデータ項目が情報照会に使用するものとして正確に規定されていなかった。このため、90国保は、当該データ項目を照会する機能を情報システムに搭載することができなかった。
このことなどにより、90国保は、保険給付の支給又は保険料の徴収の事務のうち地方税関係情報に係る情報連携の開始時期を29年7月から30年7月に延期している。
データ標準レイアウトの一部のデータ項目が情報照会に使用するものとして正確に規定されていなかった理由について、図表2-2の医療保険者等126機関に係る所管府省である厚生労働省は、上記のデータ項目がなくても126機関の情報連携に支障が生じないと判断してしまったためなどとしている。また、独立行政法人日本学生支援機構に係る所管府省である文部科学省は、情報提供機関である市町村に係る所管府省である総務省との情報連携に係る調整に時間を要したためなどとしている。
このように、データ標準レイアウトの一部のデータ項目が情報照会に使用するものとして正確に規定されていなかったことにより、前記127機関の127システムでは、その事務の一部が従来行っている方法により行われることになるため、当該事務の効率化や当該事務に関連する国民の利便性に影響を与えることになる。
1(1)ウのとおり、中間サーバーには、情報提供を目的として既存システムの特定個人情報のデータベースの副本データが保存されることになっている。そして、情報連携は、情報照会機関が情報提供機関の副本データに照会することにより行われ、中間サーバーが情報連携の仲介の役割を担っている。
内閣官房は、所管府省の意見を踏まえ、各機関の作業期間等を考慮して、データベースの正本を登録・更新した日の翌々開庁日の業務開始前までに中間サーバー上の副本データに反映させることを基本として定めている。そして、特段の事情がある場合には、所管府省は、中間サーバー上の副本データに反映させる期限(以下「登録期限」という。)を特定個人情報ごとに個別に定めている。
内閣官房は、29年1月に、特定個人情報ごとの登録期限等を調査した結果をデジタルPMOに掲載している。これによると、検査の対象とした170機関の190システムで情報照会又は情報提供を行う37の特定個人情報に係る登録期限は、図表2-3のとおり、データベースの正本を登録・更新した日の当日中が6件、翌開庁日の業務開始前までが1件、翌々開庁日の業務開始前までが24件、8日後までが1件となっていた。また、データベースの正本を月末等の一定の日に確定させた上で、その確定したデータベースを定期的に中間サーバー上の副本データに反映させることとしている特定個人情報があり、当該一定の日が月末であってその反映を同日に行うものが9件、翌月中旬に行うものが1件、一定の日が年1回であってその反映を毎年7月1日までに行うものが1件、未定が2件となっていた。
図表2-3 登録期限の設定状況
このように、正本を登録・更新してから中間サーバー上の副本データに反映されるまでにタイムラグがある場合、その間に情報照会機関が照会すると、中間サーバーから正本よりも古い情報等が提供されることとなる。そこで、上記の特定個人情報について、正本よりも古い情報等が提供される場合に情報照会機関及び情報提供機関がとるべき手続等が周知されているかを確認したところ、手続等が周知されておらず、情報照会機関の業務に支障が生ずるおそれがあるものが見受けられた。
これについて、事例を示すと次のとおりである。
<事例5> 正本よりも古い情報等が提供されることで、情報照会機関の業務に支障が生ずるおそれがあるもの
マイナンバー法の規定に基づき、医療保険者は、他の医療保険者から情報提供NWSを通じて被保険者資格情報等について情報照会を受けた場合、自己が保有する特定個人情報を提供しなければならないこととなっている。
被用者保険に加入している者が退職した場合、退職前に加入していた医療保険者において、被用者保険の資格喪失手続を行う必要がある。そして、医療保険者は、資格喪失日等の情報について、既存システムにデータベースの正本を登録・更新し、登録期限までに、中間サーバー上の副本データに反映させることになる。その後、被用者保険の資格を喪失した者が被用者とはならず、市町村の国民健康保険に加入する場合、市町村は、医療保険者に対して、情報提供NWSを通じて、被用者保険の資格喪失日等の情報を照会することになる。
「医療保険各法又は高齢者の医療の確保に関する法律による医療に関する給付の支給又は保険料の徴収に関する情報」は、データベースの正本を登録・更新した日の翌々開庁日の業務開始前までに中間サーバー上の副本データに反映されることになっている。したがって、被用者保険の資格を喪失した者が、資格喪失日又はその翌日に国民健康保険の加入手続を行った場合は、市町村が、情報提供NWSを通じて、退職前に加入していた医療保険者に対して被用者保険の資格喪失日等の情報を照会しても、被用者保険の資格を有する者としての情報が提供されてしまい資格喪失日等の情報が提供されないことから、市町村における被保険者証の発行等の業務に支障が生ずるおそれがある。
しかし、この場合にとるべき手続等は、医療保険者に周知されていなかった。
1(1)ウのとおり、各機関は、既存システム等を使用し、中間サーバー等を経由して情報連携を行う。各機関は、情報連携において、既存システム等が保有する個人を一意に特定する利用番号等を中間サーバーに取り込んで、情報連携のための符号を取得したり、中間サーバー上の他機関への情報照会の結果を既存システム等に取り込んで事務を処理したり、既存システム等の正本の登録・更新情報を中間サーバーに反映して副本データを最新のものにしたりすることになる。このため、既存システム等と中間サーバーとの間での情報の授受を正確にかつ効率的に行うことが重要となる。
そこで、29年7月の情報連携の開始を目指して情報連携の仕組みを導入し、又は導入を予定していた136機関の136システムについて、既存システム等と中間サーバーとの間の情報連携に係る情報の授受の方法をみたところ、図表2-4のとおり、既存システム等と中間サーバーを接続し、両システムの間で情報の授受を行うサーバー間連携の(注11)仕組みを導入するとしていた情報システムは、14機関の14システム(10.2%)にとどまり、大部分の機関がサーバー間連携を導入しないこととしていた。そして、これらの機関では、既存システム等と中間サーバーとの間の情報の授受を、一方の情報システムが保有する情報を他方の情報システムの端末等で直に手入力したり、外部記憶媒体に保存して他方の情報システムに読み込ませたりするなどして行うこととしていた。
図表2-4 情報連携に係る既存システム等と中間サーバーとの間の情報の授受の方法
機関名 | 情報の授受の方法 | 計 | |||
---|---|---|---|---|---|
サーバー間連携を導入する情報システム数 | サーバー間連携を導入していない情報システム数 | ||||
手入力 | 媒体による受渡し | ||||
国の行政機関及び独立行政法人(3機関) | 2 | 1 | 1 | 1 | 3 |
全国健康保険協会及び8健康保険組合 | 1 | 8 | 8 | 8 | 9 |
89国民健康保険組合 | 11 | 78 | 65 | 78 | 89 |
35後期高齢者医療広域連合 | 0 | 35 | 17 | 34 | 35 |
計136機関 | 14 | 122 | 91 | 121 | 136 |
サーバー間連携を導入していない122機関の122システムについて、導入していない理由を各機関に確認したところ、図表2-5のとおり、51システムについては、処理件数が少ないなどの理由により、業務上、サーバー間連携を導入しても効果がないと判断していた。一方、71システムについては、事務の効率化に効果があるものの、他の機関が整備した情報システムであって独自にサーバー間連携機能を開発する手段がないなどと判断していた(機関ごとの内訳については、別表1参照)。
図表2-5 サーバー間連携を導入していない122機関が挙げた理由
サーバー間連携を導入していない理由 | 情報システム数 | |
---|---|---|
業務上、導入すると効果があると判断したのに導入していないもの | 71 | |
他の機関が整備した情報システムであり、独自にサーバー間連携機能を開発する手段がないため | 36 | |
既存システム等のネットワークと分離する必要があるため | 15 | |
開発費用が導入効果に見合わないため | 12 | |
開発手段があるが、サーバー間連携のための要件を既存システム等が満たすことができないため | 2 | |
サーバー間連携のための仕様が必要な時期までに提供されなかったため | 2 | |
その他 | (注)4 | |
業務上、導入しても効果がないと判断して導入していないもの | 51 | |
計 | 122 |
しかし、サーバー間連携を導入しない場合、既存システム等と中間サーバーとの間で情報を受け渡す都度、既存システム等と中間サーバーに重複して入力作業を行う必要が生じたり、外部記憶媒体にデータを保存し、保存したデータを他方の情報システムに読み込ませることを人力で行ったりするなど、サーバー間連携により情報の授受を行う場合に比べて事務の効率化が十分に行われず、また、入力ミスが生じたり、外部記憶媒体を紛失したりするなどのリスクがある。
サーバー間連携を導入していなかったものについて、事例を示すと次のとおりである。
<事例6> サーバー間連携の開発に必要となる仕様が必要な時期までに所管府省から提供されなかったため、サーバー間連携を導入していなかったもの
中央建設国民健康保険組合及び東京土建国民健康保険組合は、それぞれの既存システムを情報連携に対応させるための改修を実施するに当たり、それぞれの組合の業務の効率性を勘案して、既存システムと医療保険者等向け中間サーバーとのサーバー間連携を含めて改修することを検討していた。そして、厚生労働省は、サーバー間連携の設計・開発に必要となるインターフェイス仕様書の初版を平成27年11月に提供し、この中で、当該開発に必要となる仕様をコンピュータが処理できる形式で記述したファイルを、今後提供するとしていた。そのため、両組合は、当該ファイルが提供されることを前提として、サーバー間連携の開発工数を見積もったり、開発スケジュールを調整したりしていた。しかし、その後も当該ファイルの提供時期が明らかにならないまま、28年11月になっても提供されなかったため、29年7月の情報連携の開始に向けてサーバー間連携の開発を開始しなければならない時期に開発を開始することができなかった。そこで、両組合は、開発内容にサーバー間連携を含めないこととし、外部記憶媒体等を介したデータの受渡しなどにより既存システムと医療保険者等向け中間サーバーのデータを連携させることとした。
このため、両組合では、サーバー間連携を導入した場合と比較して、より多くの手作業が必要になっていると考えられる。
なお、両組合では、それぞれ1日当たり平均約150件又は150件超の申請等について、いずれも1申請等当たり数回の情報照会が必要となっているが、そのための既存システムと医療保険者等向け中間サーバーとの情報の授受を、中央建設国民健康保険組合では原則その全てを手入力により、東京土建国民健康保険組合では即時性を必要とする約半数を手入力、残りを媒体による受渡しにより、行うこととしている。
1(2)アのとおり、内閣官房は、情報提供NWSの整備を進める上で、CIO連絡会議等を通じて関係機関全体の管理を行っており、デジタルPMOを通じて、各機関に対して、情報提供NWS等の外部インターフェイス仕様書やデータ標準レイアウト等の各種文書を公開している。さらに、デジタルPMOでは、各機関からの問合せへの対応や、頻出する問合せ事項への回答(以下「FAQ」という。)の公開も行われており、各機関は、情報システムの整備に当たって、デジタルPMO上の文書やFAQを活用して、調達仕様書の作成や業者から徴した見積書の精査等を行っている。
会計検査院は、29年1月の報告において、自治体の補助対象システムの整備の進捗が遅れているものについて、整備の進捗状況がデジタルPMOに登録されていないなどの状況を記述した。
そこで、マイナンバー制度に関する情報共有で中心的な役割を果たしているデジタルPMOの使いやすさ、満足度等について、マイナンバー制度関連システムを整備する必要がある機関に会計検査院がアンケート調査を実施したところ、513件の回答があり、このうちデジタルPMOを使用したことがあるとした499件の回答結果は、図表2-6のとおりとなっていた。
すなわち、デジタルPMOの使いやすさに関しては、必要な情報を速やかに入手できたとしたものが149件(29.8%)となっていたが、必要な情報を入手できたものの時間を要したとしたものが332件(66.5%)、必要な情報を入手できなかったとしたものが15件(3.0%)となっていた。
また、デジタルPMOの満足度に関しては、満足又はやや満足であるとしたものが252件(50.5%)、やや不満又は不満であるとしたものが247件(49.4%)となっていた。そして、それらの理由としては、必要な情報が網羅され集約されている(25件)、FAQが充実していて便利(17件)としているものがある一方、検索機能に問題がある(90件)、資料が体系的に整理されていないなどにより、必要な情報を探しにくい(89件)、専門性の高さや詳細な説明の不足等により、資料の内容が分かりにくい(35件)としているものなどがあった。
図表2-6 デジタルPMOに関するアンケートの結果
具体例として、文字検索を行っても必要な情報が表示されない、サイト全体の検索ができない、検索結果の表示がすぐ初期画面に戻ってしまうため使いにくい、情報が体系的に整理されておらず羅列されているため必要な情報を見つけるのに大変苦労する、資料の内容は一般の事務職員が読むには高度すぎると思われるが内容に対する説明が乏しいと感じるなどの回答があった。
満足と回答したものを除く412件の一部では、デジタルPMOに掲載された情報を活用するために、デジタルPMOから当該機関に関係する情報を抽出してイントラネットで共有したり(46件、11.1%)、デジタルPMOの問合せ窓口又はテクニカルサポートを利用したり(37件、8.9%)、各機関内でデジタルPMOの専任者を設置したり(7件、1.6%)するなどして、デジタルPMOの使いにくさや分かりにくさを補完していた。このうち、デジタルPMOから情報を抽出してイントラネットで共有しているものについて、事例を示すと次のとおりである。
<事例7> デジタルPMOに掲載された情報を速やかに入手するために別途独自の対応を行い、デジタルPMOを補完しているもの
健康保険組合は、自らデジタルPMOを使用して、それぞれのマイナンバー制度関連システムの整備等に必要な情報を入手することができることになっている。健康保険組合の事業活動を支える業務等は、健康保険組合の連合組織である健康保険組合連合会が行っており、健康保険組合連合会は、マイナンバー制度への確実な対応が行えるよう、健康保険組合が利用する全ての情報システムにおける改修の状況を管理している。
そして、健康保険組合連合会は、デジタルPMOの掲載内容を確認したところ、掲載されている膨大な技術的資料の中から必要な情報を入手するには相当の時間を要し、内容も専門性が高く健康保険組合の担当者には分かりにくいものになっており、健康保険組合がデジタルPMOから必要な情報を速やかに入手することは困難と判断した。
このため、健康保険組合連合会は、健康保険組合専用のイントラネットに、デジタルPMOに掲載された情報のうち、健康保険組合に必要な情報のみを抽出して分かりやすく解説したマイナンバー制度対応用のサイトを設けることで、別途健康保険組合と情報共有し、デジタルPMOの使いにくさや分かりにくさを補完していた。
1(3)のとおり、マイナンバー法等によれば、行政機関の長等は、特定個人情報ファイルを新規に保有しようとする場合は、特定個人情報ファイルを取り扱う事務を対象として、特定個人情報保護評価を実施することとされている(以下、特定個人情報保護評価を実施する行政機関の長等を「評価実施機関」という。)。そして、指針等によれば、特定個人情報保護評価の結果を受けて、当初予定していた特定個人情報ファイルの取扱いやシステム設計を変更しなければならない場合も十分想定されることから、十分な時間的余裕をもって実施する必要があるとされており、新規に情報システムで特定個人情報ファイルを保有しようとする場合の特定個人情報保護評価の実施時期は、経過措置の対象となるものを除き、情報システムの要件定義の終了までに実施することを原則とするとされている。また、要件定義の終了までに特定個人情報保護評価を実施できない場合は、遅くともプログラミング開始前の適切な時期にこれを実施する必要があるとされている(図表3-1参照)。なお、パッケージシステムを導入する場合は、情報システムへ当該パッケージシステムを適用することが図表3-1のプログラミングに相当するとされており、この適用前までに特定個人情報保護評価を実施するなどとされている。
図表3-1 特定個人情報保護評価の実施時期
また、マイナンバー法等によれば、評価実施機関は、特定個人情報ファイルを取り扱う事務の内容等に重要な変更を加えようとするときは、当該変更を加える前に、特定個人情報保護評価を再度実施することとされている。そして、その実施時期は、情報システムの開発を伴う場合には新規に情報システムで特定個人情報ファイルを保有する場合に準ずることとされている。
そこで、検査の対象とした170機関の190システムのうち、特定個人情報ファイルを保有することから特定個人情報保護評価を実施することとなっている事務を取り扱う132機関の134システムについて、28年12月までに特定個人情報保護評価が実施された171件の状況をみたところ、図表3-2のとおりとなっていた。すなわち、特定個人情報保護評価が情報システムの要件定義の終了までに実施されていたものが55件(29機関の29システム、32.1%)あった一方、残りの116件(104機関の105システム、67.8%)の特定個人情報保護評価は要件定義の終了までに実施されていなかった(注12)。
上記の116件について、実施されていなかった理由を各機関に確認したところ、特定個人情報保護評価の準備や評価書の作成作業に時間を要したため(51件、43.9%)、公益社団法人国民健康保険中央会が後期高齢者医療広域連合向けに一元的に開発した情報システムを厚生労働省が独自のシステム開発ではなくパッケージシステムの導入と整理して、同省の手引きなどで実施時期を当該システムが提供されるまでに実施すると示していたため(35件、30.1%、35後期高齢者医療広域連合)、特定個人情報保護評価の実施時期について理解が不足していたため(11件、9.4%)、要件定義後の工程で評価書の記載項目をより詳細に検討する必要があったため(3件、2.5%)などとしていた。
さらに、前記116件のうち、要件定義の終了後から詳細設計の開始前までに実施されていたものは1件、詳細設計の開始からプログラミング開始前までに実施されていたものは11件、プログラミング開始から総合テストの開始前までに実施されていたものは13件、総合テストの開始から構築完了までに実施されていたものは60件、構築完了後に実施されていたものは31件となっていた(機関ごとの内訳については、別表1参照)。
図表3-2 特定個人情報保護評価の実施時期
特定個人情報保護評価の実施時期 | 情報システムの要件定義の終了までに実施した | 情報システムの要件定義の終了までに実施していなかった | 計 | |||||
---|---|---|---|---|---|---|---|---|
要件定義の終了後から詳細設計の開始前までに実施した | 詳細設計の開始からプログラミング開始前までに実施した | プログラミング開始から総合テストの開始前までに実施した | 総合テストの開始から構築完了までに実施した | 構築完了後に実施した | ||||
機関数 | 29 | 104 | 1 | 11 | 13 | 50 | 31 | 132 |
情報システム数 | 29 | 105 | 1 | 11 | 13 | 50 | 31 | 134 |
特定個人情報保護評価の実施件数 | 55 | 116 | 1 | 11 | 13 | 60 | 31 | 171 |
このように、特定個人情報保護評価が要件定義の終了までに実施されていなかったものが数多く見受けられたが、特定個人情報保護評価の結果によっては情報システムの事後の大規模な仕様変更等によるコストの増加やスケジュールの遅延が生ずるおそれがある。