見出し画像
Photo by fug

マイナンバーを利用したワクチン接種管理の問題点

小林十之助

マイナンバーを利用したワクチン接種管理の問題点

[追記]0 Q&Aが一々おかしい]

更新しました。マイナンバーは不要
「う」がぬけています。
https://note.com/kobachou/n/nd974c7b0a46c

2 前項の規定にかかわらず、災害その他やむを得ない事由により緊急に特定個人情報ファイルを保有する又は特定個人情報ファイルに重要な変更を加える必要がある場合は、行政機関の長等は、当該特定個人情報ファイルを保有した後又は当該特定個人情報ファイルに重要な変更を加えた後速やかに法第二十八条第一項の規定による評価書の公示を行うものとする。第五条第一項の規定による基礎項目評価書の提出、第六条第一項の規定による重点項目評価書の提出及び第七条第一項の規定による評価書の公示を行う場合も、同様とする。


Q個人情報本接種記録システムの特定個人情報保護評価(PIA)は、緊急時の事後評価(特定個人情報保護評価に関する規則第9条第2項の規定)の適用対象となり得るものとのことですが、いつまでに実施する必要がありますか。

A特定個人情報保護評価は、特定個人情報ファイルを保有等する前に行うことが原則ですが、今般の新型コロナワクチンの接種事務については、新型コロナウイルス感染症のまん延の防止のため迅速な事務処理が必要であることから、実施機関が評価を事前に実施することが困難である場合には、緊急時の事後評価の規定の適用対象となりるものと考えられます。事後評価の実施時期については、評価書の種別ごとに記載内容や必要な手続きが異なることから、一概にお示しすることは難しいですが、特定個人情報保護評価に関する規則第9条第2項の規定に基づき、評価実施機関における業務負担や
実施体制を踏まえつつ可及的速やかに評価を実施していただくことが必要です。

「やむを得ない事由」は平井、河野両大臣によって無理やり作り出されたものであり、本来の住民票コードと結びつけた管理で問題はなかった。従ってこのQ&Aの回答は可笑しい。し「う」が抜けている。


https://cio.go.jp/sites/default/files/uploads/documents/covid19_vaccine_faqxls_210318_1030.pdf

Q現時点では本市の住基台帳からマイナンバーがCSV出力ができませんが、システムの改修が必要ですか。

A住民基本台帳、予防接種台帳いずれかからマイナンバーをCSV出力頂く必要がございます。

システム改修? 緊急なのに?

https://cio.go.jp/sites/default/files/uploads/documents/covid19_vaccine_announcement_210305_att1-1.pdf

Q業務フロー転入時に転出した市町村で接種を行っていた場合、証明するものを持参していないときに、マイナンバーを利用して確認するのにあたり口頭での確認が必要でしょうか。
A本接種記録システム上でマイナンバーを使った照会確認作業を行うには本人の同意が必要になります。その際、書面での同意にするか、口頭での同意にするかは、各自治体でご判断ください。

…問診票作り直し?

Q業務フローVRSの利用について、本人の同意を得ることによりマイナンバーでの検索が可能なものと思われるが、本市で既に接種券を発行している住民は他市で住所地外接種をしたとしても、自治体コードと接種券番号により、他市での接種実績を確認できるため、マイナンバーでの検索が必要ないため、同意を得ることが必要ないということか?

A住所地外接種の場合、マイナンバーでの検索は必要ありません。


???

Q転出入等異動への対応3情報を用いた照会するのであればマイナンバーは不要という理解でよいか。

Aお見込みのとおりです。

…ほら、シンプルにそういうことなんですよ。マイナンバーは不要

Q転出入等異動への対応転出前自治体への照会にマイナンバーを活用する際の本人同意について、同意は世帯の代表者(転入届出者等)の同意のみで、世帯全員分の同意を得たとみなせますでしょうか。

Aあくまでも、マイナンバーを使った照会確認作業を行うには本人の同意が必要になります。

…同意を得るには目的を説明しなくてはならないが、システムの説明が無理。


Qマイナンバー・個人情報国民に今回のVRSにおいてどのようにマイナンバーを扱っているか公表されますか。

A既に、大臣会見及び各種メディア、国会答弁において公表済みです。

…どのように、の説明はなく理解もできていないのでは?

1「分散管理」の原則を破り「一元管理へ」?

 平井・河野両大臣の提案による「マイナンバーを利用したワクチン接種管理」はこれまで検討されていたマイナンバーを利用した情報連携の形ではなく、マイナンパーとワクチン接種情報を直接紐づけようとするものだ。マイナンパーとワクチン接種情報を直接紐づけることによってマイナンバー台帳が出来上がり、少なくともワクチン接種情報に関しては一元管理が行われてしまう。これまでの分散管理の仕組みの中では都度「照会と回答」が必要であったが、この手続きが簡素化されるメリットが予測される一方、これまで想定されていない取り扱いであるため関連法案の整備が必要となる。少なくとも内閣府のマイナンバーに関する説明の中には一元管理の仕組みは紹介されていないことから、本当にマイナンバー台帳を作ろうとしているのなら、システム開発業者の選定の前に法改正、パプミメ、特定個人情報評価書の見直し、パブコメ、広報と踏むべき手順はいくつもある。しかし圧倒的に時間がない。

[追記]

 後に個人情報保護委員会と調整が行われ、評価書の公表は特別に事後で良いこととされたらしい。

 これは二重に問題だ。

①個人情報保護委員会の独立性・公正性が失われた。

②マイナンバー制度そのものへの信頼が失われた。

 個人情報保護委員会の事務長は総務省出身者である。内閣府となにをどう調整したのか解らないが、そもそも個人情報保護委員会には「特例をつくる権利」など存在しただろうか。これは明確に不正行為である。

 またこれまでマイナンバー制度に関しては「国民総背番号制・国家による国民監視だ」「徴兵制につながる」などと陰謀説が流れていた。一旦仕組みを作ってしまえば、運用は後で何とでもなる……という頭の悪い陰謀論者の予言が的中してしまった。個人情報保護委員会をどうにでもコントロールできるのだから、マイナンバー制度の悪用を誰も止められないことになる。今私は悪用と書いたが、筆が流れた訳ではない。あらかじめ定められた用途・方法・手続き以外でマイナンバーを利用した者には罰則がある。これは法なので、解釈でどうにかなるものではない。分かりやすく言えば然るべき相手にマイナンバーを提供するとしてメール送信したら始末書・報告書である。一般のインターネット回線でナイナンバーを送受信することはない。監視カメラの前で専用端末・専用線で専用の中間サーバーに副本登録し、サーバーとコアシステム、アクセンチュアの情報提供ネットワークシステムと別の中間サーバーはマイナンバーではなく機関別識別符号で通信する。

第四十八条 個人番号利用事務等又は第七条第一項若しくは第二項の規定による個人番号の指定若しくは通知、第八条第二項の規定による個人番号とすべき番号の生成若しくは通知若しくは第十四条第二項の規定による機構保存本人確認情報の提供に関する事務に従事する者又は従事していた者が、正当な理由がないのに、その業務に関して取り扱った個人の秘密に属する事項が記録された特定個人情報ファイル(その全部又は一部を複製し、又は加工した特定個人情報ファイルを含む。)を提供したときは、四年以下の懲役若しくは二百万円以下の罰金に処し、又はこれを併科する。

 番号法にはこうある。問題は新たなマイナンバー台帳・ワクチン接種管理システムにマイナンバーを提出する「正当な理由」がないことだ。行政行為において「正当な理由」とは万人が納得する社会的な常識でなければ根拠条文を必要とする。あれかこれかと迷うようなところにはルールが設けられている。今番号法を読んで、ワクチン接種管理システムにマイナンバーを提出することが可能かと考えれば「絶対に無理」である。少なくとも二条にマイナンバー台帳が規定され、九条にその具体的な手続きが明記されなくてはならない。そうならない限り、「正当な理由」がないことになってしまう。

 もし管理台帳が本当に必要なら総務省が住民票コードを吸い上げて台帳を作れば一応合法である。しかしマイナンバーを回収して一元管理して台帳を作ることを規定する条文がないので、そんなものに対してマイナンバーを提供することには正当な理由がない。


2 複雑すぎて大臣すら理解できていないマイナンバー制度の危険性

 これまで議論・検討されていたワクチン接種記録に関するマイナンバーの活用とは以下の資料のようなものである。

https://www.mhlw.go.jp/content/10906000/000588379.pdf

 ただこの資料を見ただけではあたかも自治体間がマイナンバーそのものを利用して通信しているかのように誤解されかねないが、実際には行政手続に必要な情報は、情報提供ネットワークシステムを介し、行政機関の間で授受する。その際に利用される検索キーはマイナンバーそのものではなく、マイナンバーを自治体サーバーに登録した後、J-LISの情報提供ネットワークシステムから払い出された機関別符号である。

https://www.soumu.go.jp/main_content/000429540.pdf

 このことが理解できないで、陰謀論者と同じレベルで「ワクチン接種に関するマイナンバー利用は既に検討されていて現行法の枠組みで利用が可能だ」と両大臣が思い込んでしまっていたとしたら、それはバックヤードの業務を考慮しないで特別定額給付金のマイナポータルによる電子申請を推奨した高市総務大臣と同じ程度にしか制度の理解がないということになる。
 それぞれの現場に降りて、実際にどういう仕組みなのか、どういう操作をしてどういう情報を得ているのか確認していないものと思われる。
 おそらく従来のワクチン接種台帳も確認しておらず、情報連携の標準レイアウトも見たことがないのだろう。ワクチン接種に関する報告書がFAXというのはよくないという発想の方向性は正しいとして、現行の法制度やシステムを調べないで突き進むのはいかがなものか。
 問題は個々の資質の問題ではなく、むしろ法制度・システムの複雑さにある。

3 ワクチン接種証明書をどこに置くか

 かりにマイナンバー台帳が出来上がり、そこにワクチン接種情報が登録されるという前提で考えた場合、その副本情報をマイナンバーカードのチップ内に格納しては…という意見も散見される。これもマイナンバーカード内には機微情報は格納しないというこれまでの方針と異なる。またワクチン接種証明書は「もうコロナには感染しない・コロナに感染していない」という証明ではないのであまり意味がないものと思われる。

4 日本語がシステムに追い付いていない

 別の問題だが、関連する根深い問題なので、ここに書こう。
   私のこの文章でも法制度、大前提、方針と、条文そのものではないものが仕組み全体を形成していることを認めているが、これはマイナンバーを利用した情報連携の仕組みが条文単独では説明しきれないことによる。マイナンバーを利用した情報連携の仕組みにはたくさんの図面が示されているが、条文から図面を書くことはほとんど不可能である。図面を見て、条文を読んでなんとなくわかった気になる程度のものである。
 たとえば何故「分散管理」であり「一元管理」ではないのかといえば、番号法では情報提供ネットワークシステムの利用が前提となっており、それ以外の情報連携の仕組みが書いていないからだ。また情報提供ネットワークシステムの中身を縛る法律はない。情報提供ネットワークシステムを使わないでマイナンバー・データベースにワクチン接種情報を入れるとすると根拠条文が必要となり、番号法の改正が必要となる。
 日本語がシステムに追い付いていない事例として、オンライン資格確認における条文を見てみよう。オンライン資格確認は条文では「電子資格確認」と呼ばれている。

健康保険法第三条
13 この法律において「電子資格確認」とは、保険医療機関等(第六十三条第三項各号に掲げる病院若しくは診療所又は薬局をいう。以下同じ。)から療養を受けようとする者又は第八十八条第一項に規定する指定訪問看護事業者から同項に規定する指定訪問看護を受けようとする者が、保険者に対し、個人番号カード(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第七項に規定する個人番号カードをいう。)に記録された利用者証明用電子証明書(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成十四年法律第百五十三号)第二十二条第一項に規定する利用者証明用電子証明書をいう。)を送信する方法により、被保険者又は被扶養者の資格に係る情報(保険給付に係る費用の請求に必要な情報を含む。)の照会を行い、電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法により、保険者から回答を受けて当該情報を当該保険医療機関等又は指定訪問看護事業者に提供し、当該保険医療機関等又は指定訪問看護事業者から被保険者又は被扶養者であることの確認を受けることをいう。

 さすがにこれでは何のことかわからないので関係性だけ保って短くまとめると、

「電子資格確認」とは、病院から療養を受けようとする者が、保険者に対し、利用者証明用電子証明書を送信する方法により、資格に係る情報の照会を行い、保険者から回答を受けて当該情報を病院に提供し、病院から被保険者又は被扶養者であることの確認を受けることをいう。

 ざっとこういうことになる。行為主体は患者、患者が保険者(健康保険組合など)に自分の情報を照会して回答を受け取り、その情報を病院に提供するという建前になっている。しかし実際には保険者は医療保険者等向け中間サーバーに資格情報の副本を登録・情報更新しているだけで、回答はオンライン資格確認等システムが行っており、このシステムは支払基金・国保中央会の管理下にある。

https://www.mhlw.go.jp/content/12600000/000639831.pdf

 ただそこは「あくまでそういうていで」という解釈の問題でごまかすことができるかもしれない。条文中にはシステムに関する説明は一切ないし、支払基金・国保中央会、J-LISの関与に関しては一切言及されていないが、そのことそのものは大きな間違いではないはない。

Q3 医療機関・薬局内のレセプトコンピュータ等の情報を支払基金・国保中央会が閲覧できるようになるのですか?
A3 オンライン資格確認は、支払基金・国保中央会から資格情報等を提供する仕組みです。
支払基金・国保中央会が、医療機関・薬局の診療情報等を閲覧したり、取得することはできません。

 こうはっきり書かれているが見なかったことにしよう。
 ただし日本語として絶対に間違っているのが「保険者から回答を受けて」だ。条文ではあたかも患者本人が回答を得るように書いてある。これは根本的な誤りである。医療機関向けのオンライン資格確認の資料では堂々と情報照会する主体は医療機関であるかのように説明されている。それもそうで、オンライン資格確認等システムからの回答は患者本人に見せられず、「資格情報を提供しますか」という確認ボタンにタッチすると、内容はわからないまま、そのまま病院側のパソコン画面に表示される。患者本人は情報を受け取っていない。どういう情報が表示されているのか教えてももらえない。回答を受けていないのだ。これは明らかなシステムと法律の齟齬である。これはシステムに日本語がついていっていない事例でもあり、システムを理解しないで条文が作られた事例でもある。

 ここをあえてシステムに合わせると、

13 この法律において「電子資格確認」とは、保険医療機関等(第六十三条第三項各号に掲げる病院若しくは診療所又は薬局をいう。以下同じ。)から療養を受けようとする者又は第八十八条第一項に規定する指定訪問看護事業者から同項に規定する指定訪問看護を受けようとする者が、保険者に対し、個人番号カード(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第七項に規定する個人番号カードをいう。)に記録された利用者証明用電子証明書(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成十四年法律第百五十三号)第二十二条第一項に規定する利用者証明用電子証明書をいう。)を送信する方法により、被保険者又は被扶養者の資格に係る情報(保険給付に係る費用の請求に必要な情報を含む。)の照会を行い、電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法により、当該情報を当該保険医療機関等又は指定訪問看護事業者に提供し、当該保険医療機関等又は指定訪問看護事業者から被保険者又は被扶養者であることの確認を受けることをいう。

…となる。
 今後資格以外の情報がオンライン資格確認等システムの中に入ってくることを前提にすると一旦は患者に情報が返され、資格以外のどういう情報を渡すか渡さないかの選択権があるべきなので、まず患者側にも回答内容が表示されるべきで、もう少し大型のタッチパネル機能付きディスプレイが必要となる。

   オンライン資格確認システムは実質的に一億二千万人の医療情報を一元管理するデータベスとなる。
  そのことが健康保険法上曖昧にされている、のではなかろうか。
   保険者が都度照会を受け回答しているような法律になっているが、実際には一元管理されたデータが組み上げられている。実はこれはわざとそうなっているのではなかろうか?




この記事が気に入ったらサポートをしてみませんか?