2021-05-12 第204回国会 参議院 本会議 第21号
匿名加工した個人情報を外部提供するオープンデータ化を都道府県や政令市に義務化し、条例による個人情報のオンライン結合の禁止を認めないとしています。 個人情報保護の仕組みを切り捨て、市民が築き上げてきた保護のための制度を壊すことは許されません。 また、政府は、マイナポータルを入口にして、個人情報を更に集積しようとしています。集積された情報は攻撃されやすく、一度漏れた情報は取り返しが付きません。
匿名加工した個人情報を外部提供するオープンデータ化を都道府県や政令市に義務化し、条例による個人情報のオンライン結合の禁止を認めないとしています。 個人情報保護の仕組みを切り捨て、市民が築き上げてきた保護のための制度を壊すことは許されません。 また、政府は、マイナポータルを入口にして、個人情報を更に集積しようとしています。集積された情報は攻撃されやすく、一度漏れた情報は取り返しが付きません。
それ今、個人情報として審議を行っているわけですけれども、匿名加工のような情報についても、やるかどうかとか何を認めるかどうかということについて、第三者的な知見をきちんと反映をして、本来の業務に影響がない範囲で必要なデータが利用できるのであれば利用しましょうという、きちんと整理をし、説明をし、一般の人が何を見ていればその議論が行われているのかが分かるという状態をつくり出すということがないと、気持ち悪いとか
そうした中で、このデータは例えばオープンデータにしていいものであるだとか、あるいは匿名加工情報の形であれば出せるものがあるのではないかとか、あるいは、これはやはり本人との関係では出してはいけない、目的外利用で使ってはいけないのではないかといったことを見分けるという作業が必要になります。
そういう意味では、ある程度、一定の強制力とか、支援を受けたいときにはかなりセンシティブなプライバシーも提供せざるを得ないという中で、その情報が匿名加工で利用されるというふうになると、それそのものがその特定の層に対してプライバシーをよりその社会で利活用させる社会になりますよというメッセージにもなりかねませんので、そこは、何を対象にするかとか本当にそれをやるべきかどうかということはやはり住民が見えるところできちんと
次に、匿名加工を自治体が独自に行えない場合、外部機関に匿名加工を依頼することになると思われますが、委託先からの情報漏えいなどのリスクにはどのように対処をされるのか、お伺いしたいと思います。
改正案におきましては、地方公共団体から匿名加工情報の取扱いの委託を受けた者に対し、地方公共団体と同等の管理義務等を課しております。 具体的には、匿名加工情報の個人情報への復元を禁止する、匿名加工情報から削除した情報や加工の方法に関する情報を漏えい等の生じないよう適正に管理する義務を課しております。
残り時間少なくなってまいりましたので、最後に匿名加工情報についてお尋ねをしたいというふうに思います。 まず、デジタル関連法案の中の個人情報保護法の改定案の中に、地方公共団体も匿名加工情報の提供に応じなければならなくなるとございます。全ての自治体に匿名加工を強制するのは地方自治体に対して過度な負担になるのではないかと思いますが、この点いかがでしょうか。
ただ、問題提起をしたいのは、匿名加工した個人情報のビッグデータ、これが特定個人のプロファイリングに利活用されていく。ビッグデータからAIがアルゴリズムを導き出し、個人の興味、関心、嗜好、行動、体の状態などをプロファイリングし、ワンスオンリーの商品やサービスを提供すると。
というのは、これまで、どうしてもこの出発点が個人情報であるというところですと、これまでよくあったのは、それ特定されたらどうするんだみたいな話が必ずあって、いや、それは匿名加工しているから大丈夫ですという、ある意味、何というんでしょうか、同じところをぐるぐる回る話になってしまっている。
先ほど申し上げました匿名加工情報の提供制度の趣旨につきましては、これは地方公共団体にも基本的に妥当すると考えておりますので、今般の改正後の個人情報保護法では、地方公共団体は、その保有する個人情報ファイルについて、匿名加工情報をその用に供して行う事業の提案募集を行うことを規定いたしております。
までやっていました、個人情報保護委員会がやっていた地方公共団体の個人情報保護制度に関する懇談会の開催、これ四回開催されたと思うんですけれども、特にその去年の四回目の議事録を読んでみると、こうしたニーズというのは、これ現場の方ですね、自治体の方から、ニーズ的なものについてはこれ実態としてないという、そういう趣旨の発言が相次いでおりまして、今回のこの法改正によってもほとんどこれ、非識別加工情報をその匿名加工情報
自治体が匿名加工情報の作成等につきまして外部業者に委託する場合についてでございます。改正案では、地方公共団体から匿名加工情報の取扱いの委託を受けた者に対し、地方公共団体と同等の管理義務等を課しております。 具体的には、匿名加工情報の個人情報への復元を禁止するとともに、匿名加工情報から削除した情報や加工の方法に関する情報を漏えい等の生じないよう適正に管理する義務を課しております。
○国務大臣(平井卓也君) 改正案では、情報公開法上の不開示事由に該当する情報をあらかじめ加工元の情報から削除することを義務付けるなど、住民の信頼を損なうことのないよう万全の措置を講じた上で、地方公共団体においても匿名加工情報の提案募集を行うことを規定させていただいています。 詳細については政府参考人に答弁させたいと思います。
○国務大臣(平井卓也君) もう完全に復元不可能な個人情報、匿名加工情報にした時点で個人情報ではなくなる、本人とは関わりのないものになるということですから、その心配はないのではないかと、そのように考えております。
公的部門における匿名加工情報の提供制度は、公的部門が有するデータを個人を識別できないよう加工した上で、地域を含む豊かな国民生活の実現に資することを目的として民間事業者に提供し、その活用を促すものです。
個人情報の匿名加工を民間事業者が行うことを認め、匿名加工すれば個人情報ではないとの扱いで、本人同意なき民間への提供も促進されています。 衆議院の審議では、独立行政法人住宅金融支援機構が、非識別加工した約百十八万人分の個人情報ファイルを住信SBIネット銀行に提供したとの答弁がありました。
○吉川(元)委員 私が非常に危惧するのは、このデータというのが、一次の生データですね、ビッグデータじゃなくて、匿名加工されていないもの、個人が特定できるもの、これがいろんな場面で使われる、あるいは使おうとする動きが出てくるのではないか。
それに加えて二次利用というのがありまして、行政機関や大学の研究機関が政策立案や研究を目的として活用するもので、個人を特定できない情報、いわゆる匿名加工情報という位置づけだろうというふうに思うんです。 まず確認させていただきたいのは、この二次利用については、個人情報保護法等々の中で言われるいわゆる匿名加工情報と全く同じものだという理解でよろしいんでしょうか。
例えばNECは、総務省の調査研究事業等に積極的に取り組んできました、そこで培ったデータの匿名加工化や可視化、分析といった技術と実績を利用して、新しいデータ駆動型行政を目指す自治体を住民情報システム保有データ活用ソリューションのサービス提供によって支援していきますなどと、国の政策の企画立案に関与していることを自治体向けのセールストークにしております。
そこで調べたところ、この性別とは、住民基本台帳に記録をされている男性、女性のツーパターンで情報提供がなされるということでありましたが、私はちょっと違和感を持ちまして、個人情報とデータ流通の両立という先進的な取組を進めようとしている中で、LGBTQに対応されていないデータを、匿名加工など、様々な形で世の中に流通をさせていくことはむしろ国益につながらないんじゃないかなと、単純に疑問を持ちました。
現行の行政機関個人情報保護法では、個人情報の匿名加工情報の提供が位置づけられてまいりました。 そこで、国などの行政機関で、匿名加工情報の提供をするためのファイル、個人情報ファイルというのは何件あるのか、そのうち提供実績、お示しをいただきたいと思います。
このデジタル関連法案の中の個人情報保護法の改定案の中では、地方公共団体も匿名加工情報の提供の提案に応じなければならなくなるわけです。 少し確認をしたいんですけれども、ファイルには膨大な個人情報が入っておりますけれども、匿名加工をもし地方自治体が委託する場合は、ファイルの全部を出すのか、それとも分けて出すのか、お示しをいただきたいと思います、お分かりになれば。
この改正案におきましては、地方公共団体から匿名加工情報の取扱いの委託を受けた者に対し、地方公共団体と同等の管理義務等を課すことといたしております。 具体的には、匿名加工情報の個人情報への復元を禁止するとともに、匿名加工情報から削除した情報や加工の方法に関する情報を、漏えい等が生じないように適正に管理する義務を課しております。
○時澤政府参考人 先ほど大臣から御答弁申し上げました、隙間につきましては三つの類型が考えられますけれども、この情報のうち、匿名加工情報と外部から取得した仮名加工情報につきましては、本人を識別するために他の情報と照合してはならない義務、そして、保有個人情報の安全を確保する措置を取る義務というのを新たに措置をいたします。
それは例えば、匿名加工情報とか、外部から取得した仮名加工情報であるとか、提供元では個人を識別できないが提供先で個人を識別可能となる情報の三種類が想定されるのではないかなというふうに思います。 行政機関個人情報保護法における現行の個人情報のうち、今回の改正後は、個人情報に該当しないこととなる情報について新たに収集等をするということは考えていないんですね。
以上に加えまして、官民で法律を統一化するということによって、個人情報の定義、匿名加工情報の取扱いの規律を明確化するということにもなりますので、円滑なデータ流通を図る上で適切な改正であると考えております。 第二は、地方公共団体の個人情報保護制度についても、統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化するという点です。
他方、コロナ禍の患者においては、とても機微な個人情報である肺の画像が、匿名加工されているとはいえ、中国企業が関与するシステムで扱われることになります。 昨日報道されたLINEの件、そして米国でも善後策が検討されているティックトック、そして、これは胡錦濤前国家主席の長男が社長を務めておりましたヌクテックという会社でありますが、CIQシステム、検疫、出入国管理、税関システムを世界に広げております。
例えば、現在、私たちの個人情報は、行政機関の場合には、匿名加工化されて、情報がある程度自由に使えるようになっています。しかし、加工化され匿名化された瞬間に、これは個人情報じゃないという形になりまして、いわゆる自己情報コントロール権から外れてしまう、個人情報保護の制度から外れてしまうということがあるわけですね。
○時澤政府参考人 今回の改正案につきましては、匿名加工情報につきましては、都道府県と指定都市についてはこれはやっていただく、それ以外のところにつきましては、義務ではなく任意で提案募集を実施していただきたいというふうな制度設計になっております。
○森山(浩)委員 匿名加工情報など三つということなんですが、このカテゴリーに今後新しく入るというようなことはないですよね。
○清水貴之君 続いて、二〇一七年の法改正で導入されました匿名加工情報なんですが、もうこれ使われて三年ぐらいたっているわけなんですが、加工の程度に関する判断が難しく、どれぐらい加工するかというのが何か事業者の手探りの部分があるという話なんですね。
○政府参考人(其田真理君) 個人関連情報とは、法案上は、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものとされております。具体例を挙げますと、氏名と結び付いていないインターネットの閲覧履歴、位置情報、クッキー等なども含まれます。また、いわゆる統計情報は、特定の個人との対応がない限りにおいては個人関連情報には該当いたしません。
○政府参考人(其田真理君) 匿名加工情報につきましては、作成、提供時に法律で公表が義務付けられております。この公表の件数をカウントすることによりまして、本年三月三十一日時点で委員会として五百九件を確認してございます。 このように、匿名加工情報の活用は一定程度進んでいるものと認識をしております。具体的な活用事例といたしましては、健康ヘルスケア関係での分析事例が多いというふうに見ております。
匿名加工した情報、そして統計情報という形で提供するという形になると思いますけれども、これには個人が特定できないような加工をしてあるということですので、こういったものをデータ、ビッグデータとしてどう活用していくか、統計データとしてどう活用していくかというのは、皆さんそういう認識はあると思っております。
資料の三を見ていただきたいんですけれども、同意は要らないとしている匿名加工情報や統計情報のデータも、その他のデータと掛け合わせることで個人情報に近づくと。 そこで、大臣に聞くんですけれども、個人情報保護について、どんな歯止めがあるでしょうか。
委員も御承知だと思いますけれども、匿名加工情報や統計情報の形であれば、特定の個人を識別することができないために、電力データの利活用を進めたとしても個人情報が漏えいするリスクはないと考えております。
以上のほか、所要の規定の整備を行うとともに、個人データの漏えい等の事態が生じたときの個人情報保護委員会への報告等についての規定を整備すること等に伴い、行政手続における特定の個人を識別するための番号の利用等に関する法律及び医療分野の研究開発に資するための匿名加工医療情報に関する法律について、所要の改正を行います。 以上が、この法律案の提案理由及び内容の概要であります。
新設の仮名加工情報は現行の匿名加工情報よりも加工水準が低く、法律上の保護の対象である個人情報と規定されるものも含まれます。にもかかわらず、仮名加工情報であれば本人の同意なしに利活用を可能としており、権利侵害があった場合でも利用停止すら求めることができず、保護の対象とならないのです。個人情報の保護が伴わない利活用は、プライバシーの侵害のおそれが高まるものであり、認められません。
二 匿名加工情報及び仮名加工情報の規定の趣旨が個人の権利利益の保護を図りながら個人情報の利活用を行うものであることに鑑み、個人情報取扱事業者が匿名加工情報及び仮名加工情報を作成する際に必要となる基準を個人情報保護委員会規則で定めるに当たっては、個人の権利利益の保護と個人情報の利活用との均衡について十分に配慮すること。
仮名化された個人情報は、一定の安全性を確保しつつも、匿名加工情報よりも詳細な分析を比較的簡便な加工方法で実施し得るものでございまして、それを利活用しようとするニーズが高まっております。 しかしながら、現行法においては、仮名化された個人情報であっても、通常の個人情報としての取扱いに係る義務が一律に課されることから、企業からは負担の軽減を求める声もございました。
つくり方がわからないと、個人情報と匿名加工情報と仮名加工情報、何種類か今あるんですけれども、それぞれの見分けがつかなくなってしまうんじゃないか、そんな懸念があるわけであります。 そこで、まずは、仮名加工情報の作成基準、どういう基準に基づいて作成すれば仮名加工情報となるのか、その部分を明確にお答えください。
○衛藤国務大臣 平成二十七年改正においては、個人情報保護法が平成十五年に成立してから相当の期間が経過し、情報通信技術が進展したこと等を踏まえて、個人情報の適正な取扱いを図るべく、個人情報保護委員会を新設するとともに、利活用を推進するために匿名加工情報を新設し、不当な差別、偏見が生じないよう、要配慮個人情報の規定を整備する等の措置が行われました。
また、これ、同意なしに収集できる匿名加工された情報と同意を要する個人情報について、これはどのようなデータ利用の形が想定されているのかということで、やっぱりここのイメージがなかなか皆さんに分かりやすく御説明できていないのかなというふうに思います。これが監視社会につながるんではないかという意見があるわけですけれども、この点についてお伺いをしたいというふうに思います。