2021-04-27 第204回国会 参議院 内閣委員会 第15号
私は、やっぱり個人情報保護法の中に守るべき個人の権利利益とは何なのかが明確ではない、データ主体の権利性が曖昧である、プロファイリングについての規定がない、これは本当に問題だと思うんですよ。この遅れを、この対応の遅れをどうするのかなんですよ。 大臣、いかがですか。
私は、やっぱり個人情報保護法の中に守るべき個人の権利利益とは何なのかが明確ではない、データ主体の権利性が曖昧である、プロファイリングについての規定がない、これは本当に問題だと思うんですよ。この遅れを、この対応の遅れをどうするのかなんですよ。 大臣、いかがですか。
データ主体の権利保護というのは国際標準となっていて、自己情報コントロール権というのはプライバシー権の中核だという話、昨日の山田参考人の話も伺って、なるほどと理解を深めたところであります。こういう立場での対応こそ求められている。 あわせて、昨日の参考人質疑で山田参考人も指摘しておりましたが、データの集積が進み、利活用が進めば、システムが大きくなり、業務委託も拡大をし、重層下請構造にもなります。
実際、データ主体の権利保護、これはもう国際標準でありますし、今言った自己情報コントロール権は、今日のプライバシー権の中核でもあります。あるいは、マイナポータルの最初のうたい文句も、権利の拡充ということがうたわれておりました。しかし、実際はなかなかそうなっていないのではないかということであります。
具体的には、個人データが収集された目的等との関係で必要がなくなった場合、データ主体が同意を撤回し、かつ、その取扱いのための法的根拠がほかに存在しない場合など一定の場合には、データ主体が自己に関する個人データを消去させる権利を持ち、また、データの管理者が個人データを消去すべき義務を負うものと承知をしております。
まず、EUにおきましては、データ主体が識別できないような方法で匿名化する、これは私どもの御提案をしている非識別加工も同じようなことでございますけれども、個人とひも付く可能性のない匿名データ、そういう定義というのは制度的にはございます。ただ、こういうものに関しましては、いわゆるいろいろな各種規則、指令等で定めているデータ保護の原則、規律というものは適用されないと。
第一に、オープンデータの利活用に向けて、先ほども藤原先生からございましたが、スモールスタートだということではありますが、統計データ主体のものからいわゆる非識別加工情報に拡大したということは、オープンデータの可能性を考えていくと第一歩として評価できるだろう。今後の検証を踏まえて、次期改正によってさらに、例えば、オープンデータ推進法というような形で拡大されていくことを期待したいと思っております。
今回の非識別加工情報に類似するものということでございますと、例えば、データ主体が識別できないような方法で匿名化されて、個人とひもつく可能性のない匿名データ。それからもう一つは、仮名化されたデータというカテゴリーがございまして、情報の安全保護のために仮名化、仮の名前の措置を施すものですが、これは多少、個人が識別される見込みがあるものということになってございます。
EUの場合は、データ保護規則の二十条で、プロファイリングに基づく判断につきまして、データ主体、簡単に言いますと、消費者側がプロファイリングに対する拒否権を持つということが明記されておりますし、アメリカの方ではFTCがこの問題には非常に熱心に取り組んでおりまして、データブローカーに対して透明性と説明責任を果たすようにというような要請を何回にもわたって求めているというような状況がございます。
ですから、反対解釈すれば、データ主体、本人の方の権利というふうに読むことはできると思いますので、裁判所にそうした権利を主張する、実際には、やはり義務ですから、義務を怠ったという形で訴えることにはなるかと思いますけれども、その趣旨は入っていると思います。
それからもう一つは、イギリスを見ますと、データ保護法で、アクセス権を、個人は、データ利用者の保有するデータが自分の個人データを含んでいるかについて知らされる権利を有するとともに、自身がデータ主体である個人データ、処理目的、データ受領者を通知される権利を有するというふうに法律の中にはっきりと明記しております。
○国務大臣(細田博之君) OECD八原則は、データ収集方法として、適正かつ公正な手段によることとし、また本人との関係では、ここのところが大事なんですが、適当な場合には、データ主体に知らしめ又は同意を得た上で収集されるべきとしておりまして、必ずしも、この原文に即して読みますと、取得に際して常に同意が必要とされていないということがございまして、これを踏まえまして、本法案では、第十七条で適正取得、十八条で
それから、イギリスのデータ保護法では、個人のアクセス権を、個人は、データ利用者の保有するデータが自分の個人データを含んでいるかについて知らされる権利を有するとともに、自身がデータ主体である個人データ、処理目的、データ受領者を通知される権利を有する。それぞれの、ドイツもイギリスもフランスもアメリカもあるんですけれども、具体的に表示して、自己情報コントロール権について認めているわけですね。
また、九七年のEU個人情報に関する特別調査委員会によるデータ保護法とメディアに関する勧告においても、データ保護法は原則としてメディアにも適用されるとした上で、適用除外は、データ主体のプライバシー権とのバランスを維持しつつ、表現の自由の効果的な行使をするのに必要な範囲でのみ認められるべきとされております。
それは、その原則に基づいて当然処理され、かつ、きちんとやられると思っておりますが、例えばOECD八原則は、目的明確化の原則、収集目的を明確にし、データ利用は収集目的に合致すべきである、利用制限の原則、データ主体の同意がある場合、法律の規定による場合以外は目的以外に利用、使用してはならないとあります。
EUの理事会指令におきましては、構成国が個人データの処理を行うことができる場合といたしまして、データ主体が明確に同意を与えた場合。そのほかに、一つはデータ主体を当事者とする契約の履行またはその準備のために必要な場合。また二つ目は、管理者の法的義務の遵守のために必要な場合または公的権限行使のために必要な場合。それから三つ目は、管理者またはデータの開示を受ける第三者等の適法な利益のために必要な場合。
この理事会の指令では、データ処理の適法性の根拠に関する原則というのがありまして、その第一にデータ主体の明確な同意というものを挙げております。このデータ主体の明確な同意ということについてどういうふうに理解しているのか、まず最初に伺いたいと思います。
○政府委員(鈴木正明君) EUの理事会指令の第七条におきまして、構成国が個人データの処理を行うことができる場合として、データ主体が明確に同意を与えた場合のほか、幾つかのケースを認めているところでございます。
このことから感じられますことは、とかく経済企画庁は、こう申し上げると失礼でありますけれども、デスクの上でデータ主体で物を見ているが、データは景気の一部をあらわしているにすぎません。
○政府委員(百崎英君) OECDが示しております八原則の一つに「収集制限の原則」というのがございますが、ここでは「個人データの収集には、制限を設けるべきであり、いかなる個人データも、適法かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめ又は同意を得た上で、収集されるべきである。」、このような規定が実はございます。
これにつきましては、OECD理事会の勧告では、いかなる個人データも、適法かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめ又は同意を得た上で、収集されるべきである、こういうふうにされているわけでございます。 そこで、まずセンシティブ情報を含めました情報の内容による制限について、私どもの考え方を申し上げたいと思います。
まず第一番目に「収集制限の原則」というのを掲げておりまして、その中身を申し上げますと、「個人データの収集には、制限を設けるべきであり、いかなる個人データも、適正かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめ又は同意を得た上で、収集されるべきである。」というのが第一でございます。 第二には「データ内容の原則」というのがございます。
次に、第四条に関連するのかとも思いますが、ちょっとよくわからないのですが、OECDのガイドライン、「個人データの収集には、制限を設けるべきであり、いかなる個人データも、適正かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめ又は同意を得た上で、収集されるべきである。」こういう一つの原則、いわゆる収集制限の原則というのがあるわけです。
しかし、この中で最もやっぱり大事なものは、この場合には収集制限の原則の中でうたわれたデータ主体という言葉だと思うんです。つまり、本人、個人の了解を得なければインプットもできないし、同時にまた、開示請求をされたらそれを断ることができないという原則です。これが一番基本なんです。このことをお認めになって法律がつくられるかつくられないか。
発生をいたしてまいりますのは、今までは、古くはこういうデータといっても人間が集めるもので人間が記録をしておくものであったから大したことはなかったわけでありますけれども、今度コンピューターというような記憶容量の大きなものを用いてこういうことをやっていく、それからコンピューターを通じればデータの処理は物すごく早いし、またその取り出しというのも極めて簡単である、こういうことになるわけで、その結果として、データ主体