More Related Content Similar to エストニアのデータガバナンスから見た日本の電子政府 (12) エストニアのデータガバナンスから見た日本の電子政府12. www.jeeadis.jp 12
政府CIO 標準ガイドライン群
10年前と比べても、日本の電子政府のレベル、スピードは格段に向上している
分類 文書名
標準ガイドライン デジタル・ガバメント推進標準ガイドライン
附属文書 Webサイト等の整備及び廃止に係るドメイン管理ガイドライン
附属文書 政府情報システムにおけるクラウドサービスの利用に係る基本方針
附属文書 行政手続におけるオンラインによる本人確認の手法に関するガイドライン
参考文書(技術レポート) 政府情報システムにおけるサポート終了等技術への対応に関する技術レポート
参考文書(技術レポート) Javaのサポートポリシー変更等に関する技術レポート
附属文書 Webサイト等による行政情報の提供・利用促進に関するガイドライン
その他関連文書 Webサイトガイドブック
参考文書(技術レポート)
政府情報システムにおいてサービス提供の対象とすべき端末環境及びWebブラウザの選定に
関する技術レポート
参考文書(実践ガイドブック) 文字環境導入実践ガイドブック
参考文書 行政基本情報データ連携モデル
参考文書 行政サービス・データ連携モデル
参考文書 マスターデータ等基本データ導入実践ガイドブック
参考文書 コード(分類体系)導入実践ガイドブック
参考文書 API導入実践ガイドブック、APIテクニカルガイドブック
参考文書 行政におけるキャッシュレス決済入門
32. www.jeeadis.jp 32
エストニア情報政策の基本原則(1998)
Principles of Estonian Information Policy
• 社会と市民への奉仕、市民参加の促進、民主主義の推進と強化、
官僚的な障壁の除去、情報基盤の改善、競争経済の創出、国防
の近代化と強化、エストニア語の言語と文化の発展
• 最終的な目的は「社会全体の幸福の増加」に貢献すること
• プライバシーとデータセキュリティの絶え間ない改善
• 継続的に、法律を近代化しなければならない
• 情報への平等なアクセスを保障する
• 情報は、わかりやすく提供しなければいけない
• 情報の信頼性 = 情報の正確性に対する責任を明確にする
34. エストニア政府のIT調達の特徴
www.jeeadis.jp 34
1 オープンソースの利用を原則としている
2 重複したデータベースの構築を法令で制限している
3 公的業務を処理するシステムやデータベースを登録制度で一元管理している
4 ソースコードを含めたデータの再利用を原則としている
5 調達による成果物は、オープンソースとして原則公開される
6 相互運用性の確保を徹底している
7 ソフトウェア評価などサービス品質管理の仕組みが確立している
8 これまでのサービス設計等のノウハウを文書化して関係者間で共有している
9 目的に応じて柔軟に民間サービスを利用している
10 定期的にハッカソンを開催し、GovTech(ガブテック)を推進している
35. www.jeeadis.jp 35
エストニア政府のIT関連支出
• 1994-2004年は、国家予算の1%をIT投資
• eIDカード発行、Xロードの整備などを実施
• 現在は、5,000-6,000万ユーロ(約70-84億円)
• 国家予算の0.6-7%ほどでITシステムを維持・開発
• IT関連支出には、IT要員の雇用・人件費が含まれる
• フィンランドはエストニアの40倍、英国は400倍
出典:e-estonia.com , 国・地方のIT投資について(財務省主計局)、エストニアIDカードの利用状況(Ecom)など
エストニア
• 日本政府のIT関連支出は、ITバブル期で2兆円弱
• 現在は、1兆円前後で推移(国家予算の約1%)
• このうち、政府情報システムが約6,000億円
• 運用コストが約4,000億円、開発コストが約1,400億円
• 地方自治体のIT予算は含まれない
– 市区町村は約5,200億円、都道府県は約1,910億円
日本
36. エストニアの医療情報交換基盤 (HIE)
Estonian National Health Information Exchange
全国規模で医療データを交換する基盤として2008年に整備
Electronic Patient Record (EHR)
電子患者記録システム
構築費用:約2億円
患者情報、医療記録、来院記録、病歴等が
作成・登録・データベース化される。
Digital Image
電子画像管理システム
構築費用:約2500万円
X線やCT画像等のデータが作成・登録・
データベース化される。
Digital Registration
電子予約登録システム
構築費用:約2500万円
患者が医療機関をオンライン予約できる。
予約情報は各医療機関のシステムと連動。
Digital Prescription
電子処方箋(2010年から)
構築費用:約3000万円
年間約800万枚の処方箋を電子化し、利用
率は、ほぼ100%。
eヘルス財団が構築・運営(電子処方箋のみエストニア健康保険基金)
www.jeeadis.jp 36
43. www.jeeadis.jp 43
デジタル国家の法体系(例:健康情報システム)
憲法 共和国憲法、エストニア情報政策の基本原則
条約、国際協定 GDPR、eIDAS など
法律:基本法、一般法
公共情報法、データ保護法、人口登録法、身分証明書法、電子ID
および電子取引トラストサービス法 など
法律:データベース根拠法 医療サービス組織法
規則:データベース基本 健康情報システムの法令、医療行為免許の国家登録簿の法令
規則:データベース詳細
ヘルスケアサービスの文書化の条件と手順
健康情報システムに送信される文書のデータセット、それらの提
出の条件と手順
ヘルスケアの提供に参加している人のリストと参加手順、および
健康情報システムの個人データへのアクセス範囲
医用画像の種類、情報技術要件、それらを利用可能にするための
条件と手順
法令のデジタル対応とは、これまで認められてきた曖昧性の排除であり、
人とコンピュータの両者が遵守するためのルールを文書化していく作業
である。既存の法律専門知識だけでは、記述することが難しい。
51. www.jeeadis.jp 51
エストニアの国家情報システムのイメージ
公的
データベース
1. データベースの構造、データの構成
2. セキュリティ対策レベル
3. 管理者と認定処理者の権利と義務
4. データ提供者の権利と義務
5. データの入力手順・転送等の方法
6. データの処理・保存・保護の要件
7. アーカイブの方法
8. データへのアクセス許可等
9. データ主体の権利
10. データ処理や管理者等の監督
11. 資金調達の方法 など
詳細を定める規則(強制力)
利用者との接点
(ポータル等:URL)
出典:エストニアの関係法令等から作成
データベース確立の
根拠となる法律
データベース
保守支援システム
1. 分類システム
2. 地理空間情報システム
3. 住所データシステム
4. セキュリティ対策標準
5. X-ロード(データ交換
と処理の自動化)
6. 国家情報システム管理
カタログ(RIHA)
関連システム
(サブシステム)
1. 管理アプリケーション
2. 各種モジュール等(X-
Roadサブシステム)
53. www.jeeadis.jp 53
住民登録データベースのガバナンス
住民登録
データベース
1. 個人識別コードの作成と発行の手
順
2. セキュリティクラス、正確なデー
タ構成、およびデータプロバイ
ダーによって転送されるデータの
リスト
3. 居住地データを入力するための手
順、フォーム、および指示
4. 追加の住所および連絡先情報の入
力等の送信手順 など
住民登録
ポータル
連携
データ提供
出典:人口登録法 https://www.riigiteataja.ee/akt/131012020016
https://www.siseministeerium.ee/et/eesmark-tegevused/rahvastikutoimingud/rahvastikuregister
https://www.riha.ee/Infos%C3%BCsteemid/Vaata/rr
データ保護
検査局
詳細を定める規則
人口登録法
制定
遵守
構築・維持管理
データの匿名化等
指揮
命令
監督
遵守
遵守
54. www.jeeadis.jp 54
データベースの確立と審査
公的
データベース
1. 国家情報システム局の審査と承認
根拠法・規則との適合性
セキュリティbyデザイン
2. データ保護監督機関の審査と承認
プライバシーbyデザイン
3. 政府統計局の審査と承認
データガバナンスbyデザイン
4. RIHAカタログへの登録
5. データ構成を変更する場合の再審査
6. 運用開始または終了時の再審査
技術文書
利用者との接点
(ポータル等:URL)
出典:エストニアの関係法令等から作成
議会:根拠法の制定
データの相互運用性
1. 分類システム
2. 地理空間情報システム
3. 住所データシステム
4. セキュリティ対策標準
5. X-ロード(データ交換
と処理の自動化)
6. 国家情報システム管理
カタログ(RIHA)
サービスデザイン
アクセシビリティ
フィードバックループ
1. データベースは、法令に基づいて
確立される
2. 同じデータを収集するための別
データベースは禁止する
3. データベースの確立、データ構成
の変更、データベースの導入また
は終了の前に、データベースの技
術文書は、国家情報システム局、
データ保護検査官、およびエスト
ニア統計局により承認されなけれ
ばならない。
公的データベースの原則
66. 個人データ処理の法的根拠
• 公的機関は、その任務の遂行に正当な利益を適用することはできない
• 犯罪データの処理については、独立した法規制により実行される
• 日本では、個人情報の利用について、本人の同意を条件としていない
出典:https://www.aki.ee/et/eraelu-kaitse/tootlemise-oiguslikud-alused
GDPR(General Data Protection Regulation:一般データ保護規則) https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
www.jeeadis.jp 66
通常の個人データ 特別な種類の個人データ
1 自発的で明示的な同意 自発的で明示的な同意
2 契約の履行 法律またはその他の国内法
3 法的義務の履行 重要な利益の保護
4 重要な利益の保護 法的請求の準備、提出、または弁護
5 公共の利益のための職務の実行 公共の利益のための処理
6 正当な利益 合法的な活動の文脈で
73. 出典:内務省 治安警察委員会のサイト等から作成
スパイ活動の取り締まり事案等
www.jeeadis.jp 73
2013 元治安警察官(技術専門家)が反逆罪で有罪判決
2014 ロシアによるウクライナ領土のクリミア併合
2016 国家機密への違法なアクセスで元治安警察官に有罪判決
2017 ロシア連邦軍参謀本部情報総局(GRU)のスパイに有罪判決
2018 ロシアとのスパイ犯交換
2018 データ大使館をルクセンブルクに設置
2018 サイバーセキュリティ法の制定
2018 国防軍サイバーコマンドの創設
2018 治安警察が反逆罪の疑いで男性2名(国防軍勤務)を逮捕
2018 デンマーク最大のダンスケ銀行のマネーロンダリング事件の発覚
2019 エストニア国際安全保障環境レポート2019の公開
2019 エストニア国家サイバーセキュリティ戦略2019-2022の公開
2019 2名の男性を反逆と外国への内部情報の伝達で有罪判決
毎年、何らかのスパイ関連事案が摘発されている
74. www.jeeadis.jp 74
機密情報の保護と諜報活動
国家安全保障局
Estonian National Security Authority
外国の機密情報の保有・保護
治安警察委員会
Estonian Internal Security Service
外国情報機関
Estonian Foreign Intelligence Service
国家秘密の保護
スパイの取締り
エストニアに影響を与える
外部のセキュリティ脅威に関する
情報の収集・分析・伝達
電子情報セキュリティ・機密通信
の管理
• 国家の秘密と外国の機密情報を不正な開示やアクセスから保護することに
より、エストニア共和国の安全と外交関係を確保する
• 機密情報の分野として、外交、国防、法執行機関、セキュリティ機関、国
家インフラなど
• 秘密保持の義務、電子情報セキュリティ対策の実施義務(認定)など
75. www.jeeadis.jp 75
機密情報の分類
エストニア 制限情報 機密情報 秘密情報
最高
秘密情報
NATO
NATO
RESTRICTED
NATO
CONFIDENTIAL
NATO
SECRET
COSMIC TOP
SECRET
EU
EU
RESTRICTED
EU
CONFIDENTIAL
EU SECRET
EU TOP
SECRET
米国 CONFIDENTIAL SECRET TOP SECRET
• 情報の機密性に応じて、4または3のクラスに分類される
• セキュリティに関するNATO基本指令(サポート指令を含む)、
EUのセキュリティ規則、外国との相互保護に関する協定などで、
機密情報の保護を規制している
91. 医療専門家のデータ提供の義務
根拠法令 条項 内容
医療サービス組織法 4-2条 (1) 医療サービス提供の文書化の際、文書化の要件に準拠
し、政府情報システムで規定されている分類、リスト、
アドレスデータ、および健康情報システム標準を使用
することが義務付けられる。
ヘルスケアサービスの提供を
文書化するための条件と手順
に関する規則
3条 (1) ヘルスケアサービスプロバイダーは、この規則で規定
されているデータセットに従って、通信によるサービ
スの提供を含むヘルスケアサービスの提供を文書化す
る義務がある。この規則で別段の定めがない限り、
データは医療サービスが提供された日または翌営業日
に文書化されるものとする。
健康情報システムに送信され
るドキュメントのデータセッ
トとその提出の条件と手順に
関する規則
2条 (1) 法律に基づいて定められた健康状態の記録の維持を含
む、患者に提供される健康管理サービスおよび健康管
理のためのデータは、健康情報システムに送信されな
ければならない。
2007年から、医師による医療データの提供(中央データベースへの登録)が義務化
法令で定められたデータ形式で提供することが義務付けられる
www.jeeadis.jp 91
92. 健康情報システムに送信されるデータ
ドキュメント化される医療データ > 中央DBに送信されるデータ
www.jeeadis.jp 92
1 外来患者の診断データ 16 歯科治療データ
2 入院患者とデイケアの診断データ 17 健康宣言(健康申告書)
3 検査、治療、および分析のための紹介状 18 健康証明書(健康診断書)
4 紹介状への返信 19 電子コンサルテーションを含む外来サービスの紹介状
5 外来患者の開始通知 20 死亡の通知
6 入院患者の開始通知 21 死亡原因の通知
7 外来患者の終了通知 22 周産期死亡の原因の通知
8 入院患者の終了通知 23
独立した入院看護支援サービスと在宅介護サービスの紹介
状
9 開発評価通知 24 入院およびデイケアサービスの紹介状
10 予防接種の通知 25
独立した入院介護サービスと在宅介護サービスの介護(看
護)データ
11 廃止(予防接種に対する副作用の通知) 26 出産データ
12 検査の通知 27 感染症の疑いの通知
13 カウンセリングの通知 28 感染症の通知
14 成長の通知 29 HIV感染の通知
15 救急データ
93. 感染症の通知のデータセット
www.jeeadis.jp
93
1 医療記録データ 3.9.2 職業 6.8.3 最終的な臨床診断を確認する方法
1.1 文書番号 3.10 教育機関名 6.9 妊娠
1.2 文書承認の日時 3.11 社会経済状況 6.9.1 妊娠の有無
2 文書作成者の詳細 4 登録の詳細 6.9.2 妊娠期間(週+日)
2.1 医療専門家の姓名 4.1 登録者コード 6.10 化学予防
2.2 医療専門家登録コード 4.2 登録場所 7 病院での患者の治療
2.3 医療専門家の専門 5 罹患率データ 7.1 入院日
2.4 医療専門家の連絡先情報 5.1 罹患の日時 8 免疫データ
2.5 医療機関名 6 診断データ 8.1 診断された病気に対する免疫
2.6 医療機関の法人コード 6.1 伝染経路 8.2 最後の免疫の日付
2.7 医療機関のライセンス番号 6.1.1 肝炎の伝播経路 8.3 投与回数
2.8 医療機関の連絡先情報 6.1.2 性的に伝染する病気の伝染経路 9 動物の咬傷とダニの攻撃データ
2.9 医療機関・診療所の住所 6.1.3 他の病気の伝染経路 9.1 咬傷/ダニ攻撃の日付
3 患者情報 6.2 感染性物質 9.2 動物の種類
3.1 個人識別コード(または不明) 6.2.1 感染性物質 9.3 ダニ攻撃の場所
3.2 姓と名 6.2.2 その他の病原体 9.4 動物の追跡
3.3 性別 6.3 診断日 9.5 最初の申請日
3.4 年齢 6.4 ICD-10に準拠した診断コードと名前 10 海外滞在に関するデータ
3.5 生年月日 6.5 口頭による診断 10.1 海外滞在開始日
3.6 死亡日時 6.6 診断の統計的タイプ 10.2 海外滞在終了日
3.7 連絡先の詳細(電話と電子メール) 6.7 最終的な臨床診断を確認する方法 10.3 滞在国
3.8 実際の住居 6.8 最終的な臨床診断の実験室での確認 11 コメント
3.9 仕事の詳細 6.8.1 検査通知番号 11.1 コメントの説明
3.9.1 施設(勤務地等)の名称 6.8.2 実験室確認日
出典 https://www.riigiteataja.ee/aktilisa/1100/4202/0004/SOM_m17_lisa2U.pdf# から作成
95. www.jeeadis.jp 95
住民登録データベースのガバナンス
住民登録
データベース
1. 個人識別コードの作成と発行の手
順
2. セキュリティクラス、正確なデー
タ構成、およびデータプロバイ
ダーによって転送されるデータの
リスト
3. 居住地データを入力するための手
順、フォーム、および指示
4. 追加の住所および連絡先情報の入
力等の送信手順 など
住民登録
ポータル
連携
データ提供
出典:人口登録法 https://www.riigiteataja.ee/akt/131012020016
https://www.siseministeerium.ee/et/eesmark-tegevused/rahvastikutoimingud/rahvastikuregister
https://www.riha.ee/Infos%C3%BCsteemid/Vaata/rr
データ保護
検査局
詳細を定める規則
人口登録法
制定
遵守
構築・維持管理
データの匿名化等
指揮
命令
監督
遵守
遵守
国が唯一の住民登録データ
ベースを管理しているため、
付随する情報システムや規則
も最小限となり、住民データ
の処理は自動化されている
97. www.jeeadis.jp 97
データベースの確立と審査
公的
データベース
1. 国家情報システム局の審査と承認
根拠法・規則との適合性
セキュリティbyデザイン
2. データ保護監督機関の審査と承認
プライバシーbyデザイン
3. 政府統計局の審査と承認
データガバナンスbyデザイン
4. RIHAカタログへの登録
5. データ構成を変更する場合の再審査
6. 運用開始または終了時の再審査
技術文書
利用者との接点
(ポータル等:URL)
出典:エストニアの関係法令等から作成
議会:根拠法の制定
データの相互運用性
1. 分類システム
2. 地理空間情報システム
3. 住所データシステム
4. セキュリティ対策標準
5. X-ロード(データ交換
と処理の自動化)
6. 国家情報システム管理
カタログ(RIHA)
サービスデザイン
アクセシビリティ
フィードバックループ
1. データベースは、法令に基づいて
確立される
2. 同じデータを収集するための別
データベースは禁止する
3. データベースの確立、データ構成
の変更、データベースの導入また
は終了の前に、データベースの技
術文書は、国家情報システム局、
データ保護検査官、およびエスト
ニア統計局により承認されなけれ
ばならない。
公的データベースの原則
データ管理者がデータを確実
にコントロールできる仕組み
を確立することが、一番のベ
ンダーロックイン対策となる
99. www.jeeadis.jp 99
エストニアの国家情報システムのイメージ
公的
データベース
1. データベースの構造、データの構成
2. セキュリティ対策レベル
3. 管理者と認定処理者の権利と義務
4. データ提供者の権利と義務
5. データの入力手順・転送等の方法
6. データの処理・保存・保護の要件
7. アーカイブの方法
8. データへのアクセス許可等
9. データ主体の権利
10. データ処理や管理者等の監督
11. 資金調達の方法 など
詳細を定める規則(強制力)
利用者との接点
(ポータル等:URL)
出典:エストニアの関係法令等から作成
データベース確立の
根拠となる法律
データベース
保守支援システム
1. 分類システム
2. 地理空間情報システム
3. 住所データシステム
4. セキュリティ対策標準
5. X-ロード(データ交換
と処理の自動化)
6. 国家情報システム管理
カタログ(RIHA)
関連システム
(サブシステム)
1. 管理アプリケーション
2. 各種モジュール等(X-
Roadサブシステム)
データベースが整理統合され
ていると、付随する情報シス
テムや規則も最小限となり、
データをコントロールしやす
くなる
102. www.jeeadis.jp 102
全国住民登録データベース(信頼の起点)
Population Register
身分証明書
データベース
住民登録
データベース
1 個人データ
2 個人データに関連する文書データ
3 有権者登録データ
4 手続のデータ
5 登録簿の維持を支援する情報など
個人識別コード
個人識別コード
連携
住民登録
ポータル
連携
データ提供
目的:自由と義務の実現
セキュリティレベル:高
完全性:クラス3
出典:人口登録法 https://www.riigiteataja.ee/akt/131012020016
https://www.siseministeerium.ee/et/eesmark-tegevused/rahvastikutoimingud/rahvastikuregister
https://www.riha.ee/Infos%C3%BCsteemid/Vaata/rr
省庁・自治体
警察・裁判所等
最も利用頻度が高い
国の最重要データベース
(月間約1000万件)
身分証明書データ
アクセス
(データ提供者)
データ保存期間は
無期限(アーカイブ)
109. オンライン申請サービスのAPI提供の意義
• 法務省が提供するAPIを介してエストニ
アのビジネス登録簿と直接つながる
• オンラインビジネス登録は利用率が高い
• APIを提供する意義は、民間企業にしか
提供できない付加価値サービスの追加
• ユーザインターフェースもAPIも重要だ
が、それは政府がユーザーインターフェー
スを放棄して他人任せにする事ではない
• 政府がサービスデザインの能力を有し、
活用できることは、優れたサービス作りに
欠かせない
• 政府がユーザーインターフェースを改善
するために、民間企業とパートナー関係を
構築することは重要である
• その成果とノウハウが共有し公開するこ
とで新たなベンダーロックインを防ぐこと
が重要である
出典:Unicount (エストニアの会社を始める最も簡単な方法) https://unicount.eu/
www.jeeadis.jp 109
Smart-IDを使って会社を設立できる
個人のスタートアップ起業に最適
バーチャルオフィスも利用可能
ライブチャットで専門家がサポート
Unicount:会社設立支援の民間サービス
112. www.jeeadis.jp 112
社会福祉給付データベース
Social Services and Benefits Registry
社会保障
情報システム
社会福祉給付
データベース
1 ケース管理支援のデータ
2 支払われる給付の詳細
3 提供されるサービスの詳細
4 申請の適合性の決定
5 養親の適用・適合性の決定など
個人識別コード
個人識別コード
連携
社会福祉給付
ポータル
連携
データ提供
目的:社会福祉サービス提供の処理
養子縁組と後見人情報の管理
統計情報の収集など
出典:社会福祉法、家族法、児童保護法など https://www.riigiteataja.ee/akt/112032019055
RIHA https://www.riha.ee/Infos%C3%BCsteemid/Vaata/star
自治体
サービス事業者
Xロード経由で社会保障情報
システムなど15のデータベー
スと接続
公的年金データ