2021-06-03 第204回国会 参議院 厚生労働委員会 第22号
個人情報保護法では、病歴等は要配慮個人情報ということになっております。あらかじめ本人の同意なしに第三者への提供は禁止されている情報です。しかし、一旦同意すれば、これ日本の場合ですね、同意すれば取り消すことはできません、同意を。 オンライン資格確認システムは、保険証の本人確認にとどまらず、手術、移植、透析、こういう医療情報、そして健診情報、これひも付けるということになるわけですね。
個人情報保護法では、病歴等は要配慮個人情報ということになっております。あらかじめ本人の同意なしに第三者への提供は禁止されている情報です。しかし、一旦同意すれば、これ日本の場合ですね、同意すれば取り消すことはできません、同意を。 オンライン資格確認システムは、保険証の本人確認にとどまらず、手術、移植、透析、こういう医療情報、そして健診情報、これひも付けるということになるわけですね。
これ確認ですけれども、この健康診断の情報、今回、百五十条のとりわけ第二項、三項辺りで求められるわけですが、この求められる事業主が提供しなければならない健診情報というのは、これ、要配慮個人情報、機微情報だという理解でよろしいですよね。
個人情報保護法におきまして、要配慮個人情報の定義でございますけれども、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報とされておりますけれども、政令で定める記述等といたしまして、健康診断その他の検査の結果が規定されております。
先ほど松沢委員の指摘の立法分権という話ですとか、憲法四十一条、九十四条に係る具体例の質問になるかというふうに思いますが、今回のこのデジタル関連法案で、要配慮個人情報の扱いなどでより厳しい規制を掛けていた自治体の条例というので、デジタル関連法案というのは上書きするわけです。政府の狙いは、規定や運用の違うおよそ二千もの条例が存在する、いわゆる二千個問題と呼ばれるものの解消。
今回、民間、国、地方、公的部門の全てにおいて個人情報保護の共通ルール化が図られますが、要配慮個人情報の扱いなどでより厳しい規制を掛けている地方公共団体の条例の趣旨が尊重されること、また、全体を一括して監視、監督する個人情報保護委員会の体制や権限の強化が必須であると考えます。 第二には、自然災害や感染症流行など、不測の事態への対応能力の向上です。
8 学術研究目的における個人情報の取扱いについては、個人の権利利益を不当に侵害する場合は個人情報の取扱いに係る制限の適用除外とならないことに鑑み、要配慮個人情報を含む個人情報の適正な取得や提供等の保護の取組を強化すること。 9 転職者等について事業者間で特定個人情報の提供を行う場合には、本人の同意を事実上強制することにならないよう、また転職者等が不利にならないよう、十分に配慮すること。
被疑者の要配慮個人情報であるDNA、指紋、そして外見から個人を容易に識別し得る顔写真、このデータベースに登録されている件数がそれぞれ何件か、お答えください。
そこで、改正法案は、学問の自由を妨げてはならないとの規定を存置し、要配慮個人情報の取得、共同研究や研究成果の発表等について例外規定を定め、安全管理措置等の規定は通常の事業者と同じく及ぶようにしております。このような規律の精緻化の結果として、EU十分性認定の効力が学術分野にも及び、データ流通による医療や研究の発展が期待されるところであります。
なればこそ、個人情報保護委員会は違うところで権限発動ということを考えたわけでありますけれども、今後、デジタル時代において、繰り返しになりますが、そもそも不当にプロファイリングされないであるとか、要配慮個人情報に該当するような事項というものを、データをみだりに収集して分析することによってその人にくっつけるというようなことが本当に許されるのかと、それは人格権の侵害になるのではないかと。
ただ、このときに、前回、質問のときに、例えば要配慮個人情報である妊娠などをプロファイリングすると、これ不適正な利用なんじゃないのかということを聞いても、そういうことをやった上で本人にもたらされる権利利益がどうなのかというような答弁だったように思うんです、結論としては。 振り返ってみれば、リクナビ事件についても、プロファイリングそのものは全く個人情報保護委員会は問題にせずにだったんですよね。
先ほどもほぼ同様の答弁があったというふうに思っておりますが、これは、先ほど申し上げた法律上定められている条例、配慮個人情報の追加や審議会からの意見聴取の手続とか、それとも、地方の特性上、特に必要がある場合には法律において条例で定めるとされている事項以外にも上乗せ、横出しも許容する趣旨か、改めてお伺いをしたいと思います。
三月十七日の衆議院内閣委員会の時澤政府参考人の答弁で、基本的には、条例で法律上のルールよりも保護の水準を弱めたりとか、法律に明文の根拠が、そういったことは許されないということでございまして、地方公共団体の独自性というのは、先ほど申し上げました条例、要配慮個人情報、あるいは御指摘のとおり審議会等の、あるいは手数料とか、そういったものが条例で定めることができることになるものでございますと答弁されておりました
○政府参考人(時澤忠君) 地域の特性に照らして特に必要がある場合といたしまして、具体的には、例えば、地域の特性に照らし特に配慮が必要と考えられる個人情報を当該団体におきまして要配慮個人情報と同様に取り扱うこと、あるいは、当該団体の情報公開条例との整合性を確保するために本人開示等請求におけます不開示情報の範囲を修正すること、こういったところが想定されるところでございます。
だって、要配慮個人情報は本人の同意なく取得したら駄目なんですよ。違法なんですよ。 じゃ、その要配慮個人情報を得ようとする目的のプロファイリングはどうかと聞くと、そのプロファイリングをやった目的が何なのか、それは要配慮個人情報を得ようとする目的なんですよ。ところが、それについても違法とか不適切というふうに言えないんですよね。
要配慮個人情報の取得、本人同意が必要、なぜかということでございます。 個人情報保護法は、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報を要配慮個人情報と定義をしまして、その取得について原則として本人同意を求めてございます。
念のために確認なんですけど、要配慮個人情報の取得はなぜ本人同意を必要としているのか。その観点から見れば、妊娠という、これは私は要配慮個人情報だと思います。これを取得する目的のプロファイリングというのは不適切な利用だと、禁止の対象ではないかと思いますが、いかがでしょう。
匿名加工情報、忘れられる権利、プロファイリング、要配慮個人情報、裁判所の判例も含めてですね、日本の個人情報保護は到底EU、GDPRに追い付いておりません。
具体的には、例えば、地域の特性に照らし特に配慮が必要と考えられる個人情報を当該団体において要配慮個人情報と同様に取り扱うことは、条例による独自の保護措置として認められるものと考えております。
それで、これ、妊娠というのは日本においても要配慮個人情報だと思います、妊娠したか否か。そうすると、その妊娠したか否かを識別するようなプロファイリング、要配慮個人情報を識別するためのプロファイリング、これは禁止すべきだと、禁止されて当然だと思いますけれども、いかがでしょうか。
○木戸口英司君 条例制定は他の法律でということでありますけれども、この個人情報保護法については、条例制定、要配慮個人情報の追加、また審議会からの意見聴取、また手数料等ということで、かなり限定されているという認識をいたしております。この点は、また今後の議論、また深めていきたいと思っております。 引き続き、この改正案についてお聞きいたします。
そういう要配慮個人情報につながるような、この人は例えばがんなんじゃないかとか、病気なんじゃないかとか、妊娠しているんじゃないかとか、そういう情報に行き着くようなプロファイリングは違法ではないですか。違法というか、禁止されるべきではないですか。大臣、いかがですか。
そこには個人情報保護法の改正も盛り込まれておりまして、もちろんこれはセンシティブ、滞納情報ってセンシティブな情報ですから、こういったものが、要配慮個人情報については、原則今まで自治体では収集を禁止してきたものが、今後は国の一律のルールにのっとって運用されるということで、じゃ、一体誰が監視機能を果たすのかというような、慎重に運用すべきだというスタイル、スタンスではありますけれども、一方で、この困窮という
8 学術研究目的における個人情報の取扱いについては、個人の権利利益を不当に侵害する場合は個人情報の取扱いに係る制限の適用除外とならないことに鑑み、要配慮個人情報を含む個人情報の適正な取得や提供等の保護の取組を強化すること。 9 転職者等について事業者間で特定個人情報の提供を行う場合には、本人の同意を事実上強制することにならないよう、また転職者等が不利にならないよう、十分に配慮すること。
○森山(浩)委員 一部、学術研究についても適用していく、今まで全部適用除外だったけれども適用していくというようなことになっていますけれども、やはり、要配慮個人情報を含む、あるいは、学術目的で取得をしたけれども、ほかの使い方をされるというようなことも含めてチェックをしなきゃいけないという部分、まずは学術団体で、そして、何か被害が起こったときにはそれを救済するというようなことも含めて強化をしていただきたいというふうに
では、学究、研究目的における個人情報の取扱いについての部分ですけれども、個人の権利利益を不当に侵害する場合は個人情報の取扱いに関わる制限の適用除外とならないということになっておりまして、要配慮個人情報を含む個人情報の適正な取得、提供、保護、これについて許可をしなきゃいけないと思いますけれども、今回の改正についてはいかがですか。
加えまして、改正案におきましては、学術研究機関が学術研究目的で行う要配慮個人情報の取得や個人データの第三者提供につきましても、個人の権利利益を不当に侵害するおそれがある場合には本人の同意を要することとしておりまして、本人の同意なくしてこのような個人の権利利益を不当に侵害するおそれがある場合において、要配慮個人情報の取得や個人データの第三者提供は行われない仕組みとしているところでございます。
具体的には、今議員おっしゃいました百八条あるいは百二十九条、それに加えまして、六十条五項で条例要配慮個人情報の内容ですとか、七十五条第五項で個人情報取扱事務登録簿の作成、公表に係る事項、あるいは七十八条二項で本人開示等請求における不開示情報の範囲、あるいは八十九条二項で本人開示等請求における手数料という規定を置いております。
○時澤政府参考人 現在、法律案の中におきまして、具体的に明文の規定で条例の中で取り込むことができるものは幾つかございまして、例えば、条例要配慮個人情報の内容でありますとか、個人情報取扱事務登録簿の作成、公表に係るものでありますとか、本人開示等請求における不開示情報の範囲でございますとか、本人開示等請求における手数料、そして本人開示請求の手続、審議会等への諮問、これは既に法律の中で、条例で定めるということができるというふうにされております
あと、上乗せをどれぐらい定められるかと先ほどから論点になっていますけれども、要配慮個人情報の分野ですとかは地方公共団体で条例を定めることができるようになっているという規律になっていますので、十分配慮はなされた法案になっているだろうというふうに思います。
この中では、要配慮個人情報の範囲、保有個人データの範囲、利用目的の確認、記録、日本から第三国への個人データの再移転、匿名加工情報の範囲に関する規定を設けてございまして、例えば要配慮個人情報の範囲につきましては、EUから十分性認定に基づいて移転されたデータの中の性生活、性的指向、労働組合に関する情報につきまして、要配慮個人情報と同様の扱いとするというふうな規律になってございます。
○塩川委員 ですから、上乗せ、横出しができるというのは、その今言った要配慮個人情報の話ですとか、審議会からの意見聴取手続の規定ですとか、非常に限定をされていて、それ以外のところは、基本、上乗せ、横出しは遠慮してくださいということですよね。
○時澤政府参考人 条例によります上乗せ、横出しにつきましては、地域の特性による部分につきまして、要配慮個人情報、条例で要配慮個人情報というような呼び方もしておりますが、そういったものは地方でも条例によって定めていただくということなんですが、オンラインの結合の禁止につきましては、そういう地域的な特性ということではありませんので、これは法の規定に従って、オンライン結合につきましては基本的には禁止はできないということになろうかと
要配慮個人情報を原則収集禁止にせず、本人直接収集を原則としないなど、規律が緩い行政機関個人情報保護法の水準で一元化することによって、今までせっかく積み上げてきた個人情報保護の歴史そのもの、意義そのものがないがしろにされ、地方の独自性を失い、個人情報の保護のレベルが低下するのではないですか。自治体の条例制定権、データ主権の観点から、大いなる疑念を持つものです。御見解をお示しください。
具体的には、まず個人データの性質と漏えいの態様に着目いたしまして、要配慮個人情報の漏えい、いわゆるセンシティブデータでございます。それから、不正アクセスによる場合、財産的被害に至るおそれがある個人データの漏えいを対象とすることを予定しておりまして、これらの類型につきましては、件数に関わりなく報告の対象とする予定でございます。
一定数以上の個人データの漏えい、あるいは要配慮個人情報の漏えい等を想定しているというふうに伺っておりますけれども、どういった場合に報告を取るのか。しかも、罰則によって報告を担保するということであれば、明確な基準を設定することが必要不可欠だというふうに考えております。 類型なりとも明らかにすべきだと思いますが、いかがでございましょうか。
具体的には、個人データの性質と漏えいの態様に着目をいたしまして、まず要配慮個人情報の漏えい、それから不正アクセスによる漏えい、財産的被害に至るおそれのあるデータの漏えいについては、件数に関わりなく報告の対象とすることを想定をしております。
先ほどの事例の中で申し上げた要配慮個人情報の漏えいでありますとか不正アクセスなどの漏えいにつきましては、これは件数に限らず、必ず報告をしていただこうというふうに考えております。
○衛藤国務大臣 平成二十七年改正においては、個人情報保護法が平成十五年に成立してから相当の期間が経過し、情報通信技術が進展したこと等を踏まえて、個人情報の適正な取扱いを図るべく、個人情報保護委員会を新設するとともに、利活用を推進するために匿名加工情報を新設し、不当な差別、偏見が生じないよう、要配慮個人情報の規定を整備する等の措置が行われました。
○其田政府参考人 今御紹介いただきましたように、いわゆるセンシティブデータ、要配慮個人情報につきましては、取得の際に原則本人の同意を必要とするなど、通常の個人情報より一段高い規律が設けられております。 ただし、これも、人の生命、身体、財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合には、本人の同意を不要とする規定がやはりございます。