2021-06-08 第204回国会 参議院 内閣委員会 第25号
伺いますが、憲法判例では、プライバシー情報についての自己決定権、自己情報コントロール権を憲法上のプライバシー権の重要な内容だとした判決が出されています。プライバシーに関わるいかなる情報をいかなる範囲で開示するか、それは本人が決めることだと、そういうことです。ですから、やましいことがないなら勝手に調べられても問題ないということにはならないと思うんですね。
伺いますが、憲法判例では、プライバシー情報についての自己決定権、自己情報コントロール権を憲法上のプライバシー権の重要な内容だとした判決が出されています。プライバシーに関わるいかなる情報をいかなる範囲で開示するか、それは本人が決めることだと、そういうことです。ですから、やましいことがないなら勝手に調べられても問題ないということにはならないと思うんですね。
健診情報という機微な個人情報であるにもかかわらず、本人同意の担保はなく、自己情報のコントロール権が阻害されかねません。 EUでは、個人の権利として本人が同意を撤回した場合などのデータの消去権、いわゆる忘れられる権利が規定されているだけでなく、取扱いを制限させる権利、プロファイリングを含め、取扱いに異議を申し立てる権利などが保障されています。
法案の審査に入りますが、一昨日、石橋委員の質問にもありましたとおり、先ほど福島委員からもあったこの今回の健康保険法改正案で、労働安全法などに基づく健康診断の情報を保険者が事業者に求めることができるとして、健康というセンシティブな秘密保持の必要性が高い、極めて高い情報が本人の同意なくやり取りができるようになることについては、プライバシー保護、それから被保険者の自己情報に対するコントロール権という視点からも
この法施行後、自治体は政府が決めた法令の枠内で条例を定めることになり、例えば住民に自己情報を管理する権利というのを認めていたり、それから死者の情報も等しく保護すべき個人情報と明記したりしている自治体、実際にございますけれども、この独自の取組からは後退する可能性があります。
そんな中で、この条例の中で、自己情報を管理する権利、決定する権利というのを定めているすばらしい条例もあるわけです。 そこが、今回政府が定めるこの大枠ののり代を超えていて、そこを上書きするというか、かぶせるというか、抑え付けるという立て付けになってしまっているんです。
どんな自己情報が集められているかを知り、不当に使われないように関与する権利、自己情報コントロール権、情報の自己決定権を保障することが今こそ必要です。 さらに、本案は、個人情報保護法制の一元化により、地方自治体が独自に制定する個人情報保護の条例にも縛りを掛けるものです。
○内閣総理大臣(菅義偉君) 今回の法律については、いわゆる自己情報コントロール権を権利として規定はしておりませんが、本人による個人情報の開示、訂正、利用停止などを可能とする規定を設けており、これらの規定により個人権利利益を実効的に保護するもの、このように認識をしています。
続いて、三つ目の懸念、自己情報コントロール権についてであります。 衆議院においては、憲法改正に関わる国民投票法の改正案が可決されました。デジタル化によって個人を取り巻く環境大きく変化しております。
○矢田わか子君 憲法十三条、基づくプライバシーの権利には、こうした伝統的なプライバシーの権利を拡張して自己情報コントロール権も含まれるのかと、含まれるんじゃないかという憲法学者の多くの意見もありますので、是非その辺も含めて今度憲法審査会でも論議をさせていただければと思います。 ありがとうございました。
自己情報コントロール権というのは、例えば自治体ですと目的規定にそういう言葉が入ったりとかしますけれども、むしろ全体の規定を通じてどのような権利とかを個人に認めているかという、全体を通じてやはり確保されていくものだというふうには思っています。
ただ、例えば、先ほど本人からの直接収集の原則がなくなるということを強調申し上げたのは、やはりその自己情報コントロール権というのは、本人起点に、本人が自分の情報の取り扱われ方を理解できているというところからスタートをするものだというふうに考えてございます。 そうしますと、本人から直接集めるという原則が法律上明確になっているかいないかということは、これは大きな違いだというふうに思っています。
ところが、これまでの答弁見ていれば、その自己情報のコントロール権というのは最高裁でも認められていませんとかね、明確な概念として確立していないとか、先ほどの答弁では、プロファイリングも確立した考え方がないという答弁まであった。
憲法十三条に基づくプライバシー権、先ほど山田委員が質問されました自己情報コントロール権、これについて含まれると解されるのか否か、その憲法の解釈めぐっていろいろ意見があることは承知しております。 衆議院の審議、それから、これは参議院、私も聞きましたけれども、委員会の質疑の中でもそうでした。これ、ずうっと一貫して否定的な答弁をされています。
これ、確かに自己情報コントロール権と言ってしまうと、憲法上の権利として認めるかどうかというようなこともまた司法の場で判断しなきゃいかぬということだと思うんですけど、我が国の最高裁は現時点において自己情報コントロール権を憲法上の権利としては認めていないと私は認識しています。
○山田太郎君 次に、ちょっと質疑通告にはないんですけれども、大臣の感想等で聞きたいと思っておるのが、自己情報コントロール権の問題であります。
○国務大臣(平井卓也君) いわゆる自己情報コントロール権を憲法上の権利として認めるかどうかということは司法の場で判断されるべきと考えておりますが、少なくとも我が国の最高裁判所は自己情報コントロール権を憲法上の権利としては認めていないと認識しています。
そのときに、自己情報コントロール権というのを今議論して、今法律に書き込まなくしてどうするかということなんですよ。何で先送りにするのかということなんですね。 住民基本台帳違憲訴訟大阪高裁判決は、憲法十三条の保障する権利として自己情報コントロール権を認め、そこに依拠して、一部国敗訴の判決を導きました。その後、最高裁判決が異なる判断をしたということはもちろん承知をしています。
そこで、自己情報コントロール権について改めてお尋ねをいたします。 自己情報コントロール権は明確な概念として確立していない、よって明記することは適切ではないという、先ほどもそういう答弁であったわけでありますけれども、しかも二〇一五年の改正も、二十八条「開示」、二十九条「訂正」、三十条「利用停止等」、自己情報コントロール権が一部具体化されたということの答弁もありました。
○時澤政府参考人 お尋ねのありました、個人が自己の情報を管理できる権利、いわゆる自己情報コントロール権につきましては、その内容、範囲及び法的性格に関しまして様々な見解がございます。明確な概念として確立していないことや、表現の自由との調整原理も明らかでないということから、一般的な権利として法律に明記することは適当でないと考えているところでございます。
○櫻井委員 これは非常に大事な点でございますので、大臣にもちょっと改めてお伺いをしたいんですけれども、やはり、自己情報コントロール権、これを制定する方向で考えていきませんか。どうでしょうか。
今、漏れてしまった情報をどうやって回復するのかということについて、例えば、欧州連合、EUにおいては、一般データ保護規則、GDPRというような規則といいますか法律があって、個人が自分の個人情報を管理する権利、自己情報コントロール権というのが定められているわけですが、我が国の個人情報保護法には、そういう固有の権利としての自己情報コントロール権というのは明確には規定されていない。
憲法十三条に基づくプライバシー権には、個人が自分の情報を主体的にコントロールする権利、いわゆる自己情報コントロール権が含まれると、このように解されます。ところが、衆議院での質疑では法律上明記するのは不適切だという答弁もあり、この権利を明記した我が党の修正案は、やはり否決されてしまいました。 そこで、平井大臣に伺います。
いわゆる自己情報コントロール権についてのお尋ねがありました。 いわゆる自己情報コントロール権については、その内容、範囲及び法的性格に関し様々な見解があり、明確な概念として確立していないことや、表現の自由等との調整原理も明らかでないことから、一般的な権利として明記することは適切でないと考えております。
個人情報保護法の改正と、いわゆる自己情報コントロール権等についてお尋ねがありました。 今回の法案においては、いわゆる自己情報コントロール権等を権利として規定はしておりませんが、本人による個人情報の開示、訂正、利用停止などを可能とする規定を設けております。今回の法案は、これらの規定により、個人の権利利益を実効的に保護するものとなっていると認識をしております。
だからこそ、EUにおいては、一般データ保護規則、GDPRの中で消去権、いわゆる忘れられる権利を規定しており、先日衆議院で可決したデジタル関連法案においても、自己情報コントロール権であったりデータの保護権について激論が行われたという背景があります。
○岡本(あ)委員 私たちはやはり、この自己情報コントロール権、これが付与されて初めてデジタル社会が、信頼とそして情報公開、伴っていくものだと思っておりますので、この件は更に求めていきたいと思います。 以上、質問を終わらせていただきますが、最後に、私、実は、冒頭の件で、金光社長にこの場に来ていただきたいとお願いをいたしました。
なお、御質問の自己情報コントロール権につきましては、明確な概念として確立していないと承知しておりまして、また、現在国会において御審議いただいている個人情報保護法案の改正案において、行政機関等が保有する個人情報の取扱いに対する本人の一定の関与についての規定が含まれているものと承知をいたしております。
今の御答弁の趣旨にのっとると、私たちはやはり、自己情報コントロール権、自分の情報がどういうふうに取り扱われるのか、どことどこがつながっているのか、このことを知る権利というのも含めて、先ほど御答弁いただいた権利利益の保護に値するのではないかと思います。これが伴って、行政に対する信頼につながる、そしてデジタル社会を形成していくことにもつながっていくと思います。この点、お答えいただきたいと思います。
まさに、維新以外の野党による自己情報コントロール権の侵害という批判を恐れる余り、マイナンバー等の運用プロセスに多くの任意を組み込むことで不要なヒューマンエラーを呼び込んでいる、そんな現状が鋭く指摘されていました。 日本維新の会は、国民民主党と共同し、全ての預貯金口座へのマイナンバーひもづけを義務化する修正案を提出しましたが、与党も含めた多数に否決されてしまいました。
社会や行政のデジタル化において、まずは、行政の情報は国民のものである、その一方で、個人情報は個人のものであるという基本中の基本を忘れないため、行政情報の徹底的な公開と自己情報コントロール権を制度化することです。 委員会審議中に発覚した、LINEの個人情報が韓国から中国へ再委託されていた問題は、国民に大きな衝撃を与えています。
○岸本委員 それでは、一般原則の下で取消しができるというふうに理解をさせていただきましたので、自己情報コントロール権の観点からは問題ないというふうに理解をいたしました。 その上で、任意とはいえ、預金口座とマイナンバーをひもづけるわけですが、残念ながら、昨今、メガバンクなんかの一部でも大変なシステムの混乱がまさについ最近起きたばかりであります。
個人情報を守る、あるいは自己情報コントロール権をしっかりと確立をしていく、そのことを脇に置いて、利活用を推進するという事業者の都合を優先するその仕組みとして、改めるべき点をしっかり改める必要があるんじゃないでしょうか。
EUのGDPR、一般データ保護原則では、あくまでも自己情報コントロール権ということがうたわれております。私どもの同僚議員もこの審議の中で自己情報コントロール権については随分と質疑があったと考えております。とても大事なことです。
まず、デジタル社会形成において、自己情報コントロール権、データポータビリティー権、忘れられる権利、プロファイリングされない権利など、きちんと形として書き込みがされていないと思われる、見える部分がありますので、これについてどうお考えか、お答えを願います。
委員御指摘ございました自己情報コントロール権あるいはデータポータビリティー権、忘れられる権利等につきまして、その内容、範囲及び法的性格に関しまして様々な見解があると考えておりまして、我が国において明確な概念として確立していないと考えておりますので、今回の法案においては明記はいたしておりません。
ですので、個人の権利利益の保護を図るために、自己に関する情報の取扱いについて自ら決定できる権利、いわゆる自己情報コントロール権、それから、本人の意思に基づいて自己の個人データの移動を円滑に行うこと、これはデータポータビリティー権といいますが、個人データが個人の意図しない目的で利用される場合等に当該個人データの削除を求めること、これは忘れられる権利、及び、本人の同意なしに個人データを自動的に分析又は予測
○松尾委員 そこで、今お話しされたプライバシーとか名誉権というものがある中に、それと同じく、自己情報コントロール権というものについては含まれているのでしょうか。
現在、日本各地で個人情報保護条例が制定されておりまして、その中には、やはり、目的、ここにおいて、自己情報をコントロールする、自分の情報を管理するということを明記している、そういった条例も幾つか見受けられます。八幡市の個人情報保護条例であったりですとか国立市や草加市、福岡県の春日市、これらの個人情報保護条例については、個人の自己情報に関する権利、これが権利として明記がされているところです。
○松尾委員 自己情報コントロール権が概念として成熟をしていない、あと、裁判所でも明確な判断をしていないのではないかというような話もあります。
データ主体の権利保護というのは国際標準となっていて、自己情報コントロール権というのはプライバシー権の中核だという話、昨日の山田参考人の話も伺って、なるほどと理解を深めたところであります。こういう立場での対応こそ求められている。 あわせて、昨日の参考人質疑で山田参考人も指摘しておりましたが、データの集積が進み、利活用が進めば、システムが大きくなり、業務委託も拡大をし、重層下請構造にもなります。
そういったときに、やはり、そうではなくて、個人情報保護、プライバシーの権利、自己情報コントロール権、ここをしっかりと強化することこそ今必要なんじゃないか。そういう点で、サービス提供者の都合が優先をされて本人同意が形式的なものとなっている、こういう現状こそ見直すときだと思います。 個人情報保護の立場で本人同意の在り方を見直す必要があるのではないかと思うんですが、いかがでしょうか。
また、自己情報を提供するAPIの利用に当たりましては、民間事業者の利用要件や手続として、ただいま、どこまでの情報ということがございましたけれども、あらかじめ、利用目的、利用する自己情報についても審査いたしまして、目的に照らしまして必要な自己情報のみを提供するというふうにさせていただいているところでございます。