2021-05-17 第204回国会 参議院 決算委員会 第6号
陸上保管については、敷地の内外両方あり得るということだと思っておりますが、まず敷地内での保管継続に関しましては、立地自治体から、復興の進展のためにタンクの保管継続は望まないことや、タンクの存在自体が風評要因の一因になることなどの御指摘をいただいていることに加えまして、長期保管に伴い老朽化や災害による漏えい等のリスクが高まるという指摘もございます。
陸上保管については、敷地の内外両方あり得るということだと思っておりますが、まず敷地内での保管継続に関しましては、立地自治体から、復興の進展のためにタンクの保管継続は望まないことや、タンクの存在自体が風評要因の一因になることなどの御指摘をいただいていることに加えまして、長期保管に伴い老朽化や災害による漏えい等のリスクが高まるという指摘もございます。
サイバー攻撃の増加やデジタル化の進展を受け、情報漏えい等の情報セキュリティーインシデントが発生した場合に備え、緊急時対応計画の策定や緊急時を想定した訓練の実施は重要であり、総務省が策定する地方公共団体における情報セキュリティポリシーに関するガイドラインにもこの旨記載し、地方公共団体の対応を促しているところでございます。
セールスフォース・ドットコムのクラウドサービスの事案については、複数の地方公共団体において該当製品の設定不備による情報漏えい等のインシデントが確認され、総務省に報告がございました。
一般に、地方公共団体が自ら調達、利用するクラウドサービスについて、不正アクセス等により個人情報の漏えい等の被害が発生した場合の責任の所在は、一義的には調達主体である地方公共団体にあると考えますが、具体的には、クラウドサービス提供事業者、利用者等、関係者の責任分界に関する契約内容やインシデントの具体的な原因によって異なるのではないかというふうに考えられます。 以上でございます。
特に強調すべきは、行政機関等にも漏えい等の報告を義務付け、不適正な利用及び取得の禁止を課しているところです。検討の過程では、特に不適正利用の禁止規定について不要論も見られましたが、この規定が適切に運用されるならば、重大かつ明白なプライバシー侵害が委員会の権限発動や本人による利用停止請求権の対象となり得る結果として、個人の権利利益の保護の強化が期待できると考えております。
委員御指摘のJAXAの事案につきましては、平成二十八年度当時に不正なアクセスはあったということですけれども、情報の漏えい等は確認できなかったと、なかったということで報告を受けております。また、一橋大学、慶応義塾大学、そういったところにもそのアクセスはあったという報告は受けておりますけれども、そのほかの文科省の所管法人からはその件に関する不正アクセス等の報告はこれまでのところございません。
さらに、その後、複数の地方公共団体において該当製品の設定不備による情報漏えい等のインシデントが確認されたため、総務省から地方公共団体に対して三月四日付けで、同サービスの利用状況や各種設定の確認、見直しを行うなど、適切な対応を要請したところでございます。 以上でございます。
具体的には、匿名加工情報の個人情報への復元を禁止する、匿名加工情報から削除した情報や加工の方法に関する情報を漏えい等の生じないよう適正に管理する義務を課しております。また、受託義務に従事する者が、正当な理由がないのに個人の秘密に属する事項が記録されたファイルを外部に提供した場合には、二年以下の懲役又は百万円以下の罰金を科すことといたしております。
具体的には、匿名加工情報の個人情報への復元を禁止するとともに、匿名加工情報から削除した情報や加工の方法に関する情報を漏えい等の生じないよう適正に管理する義務を課しております。また、受託業務に従事する者が正当な理由がないのに個人の秘密に属する事項が記録されたファイルを外部に提供した場合に、二年以下の懲役又は百万円以下の罰金を科すことといたしております。
一方で、大規模なデータ収集と処理、適用が仮に不当な目的、不透明な態様で行われた場合、大量漏えい等の危険性を含め、国民や消費者の不安感の増大を招く可能性があると考えます。 こうした観点から、個人の権利利益の保護と個人情報の有用性の両方に配慮しつつ、個人情報の保護と適正な利用の両面での強化を図ることが肝要であると考えており、今般の法改正でもそのような考え方に立脚しているというものでございます。
次に、改正案では、個人情報保護委員会の行政機関等に対する監督権限として、新たに報告要求、実地調査、勧告等の権限を付与するとともに、行政機関等において個人情報の漏えい等が生じた場合の個人情報保護委員会に対する報告義務を創設することとしております。 個人情報保護委員会がこのような権限を適切に行使し、行政機関等における個人情報の適切な取扱いを確保していくことが重要と考えます。
金融機関には、資金決済法等において、利用者に関する情報の安全管理、従業員や委託先の監督について情報の漏えい等の防止を図るために必要かつ適切な措置を講ずる義務が課されております。
具体的には、匿名加工情報の個人情報への復元を禁止するとともに、匿名加工情報から削除した情報や加工の方法に関する情報を、漏えい等が生じないように適正に管理する義務を課しております。また、受託業務に従事する者が、正当な理由がないのに個人の秘密に属する事項が記録されたファイルを外部に提供した場合には、二年以下の懲役又は百万円以下の罰金を科すことといたしております。
一方、資金移動業者につきましては、利用者に関する情報の安全管理、従事する従業員あるいは委託先の監督について、情報の漏えい等の防止を図るために必要かつ適切な措置を講じる義務というものが課されているところでございます。
○田原(泰)政府参考人 各金融業法などにおきましては、金融事業者に対して、利用者に関する情報の安全管理ですとか従業員や委託先の監督につきまして、情報の漏えい等の防止を図るための必要かつ適切な措置を講じるという義務が課されているところでございます。
本人確認情報の目的外利用又は本人確認情報に関する秘密の漏えい等は懲戒処分又は刑罰をもって禁止されていること、個人情報を一元的に管理することができる機関又は主体は存在しないこと等から合憲とされた。
○平井国務大臣 例えば、故意に個人情報の漏えい等を行った場合の罰則に関しては、行政機関の職員に対しては民間事業者よりも重い罰則が科されることとなっているなど、要するに、改正法案全体を見た場合には、行政機関に対する規制の方が民間より弱いというふうにはなっていないと考えます。
なお、例えば、故意に個人情報の漏えい等を行った場合の罰則に関しては、行政機関の職員に対して民間事業者よりも重い罰則が科されることとなっており、行政機関に対する規制の方が民間よりも弱いという御指摘は、改正法案全体を見た場合は当たらないと考えます。
○時澤政府参考人 今回、一元化することによりまして、監督機関としての中立性、客観性が向上することになるわけでございますが、改正法案におきましては、個人情報保護委員会による監視、監督の実効性を確保するために、個人情報保護委員会によります行政機関等に対する報告要求、実地調査、勧告等の権限を明記するとともに、行政機関等におきまして個人情報の漏えい等が生じた場合の個人情報保護委員会に対する報告義務等を創設する
また、外部への放射性物質の漏えい等が確認されておりませんので、従来の状況に加えて、格納容器から原子炉建屋の中に水が漏えいする経路が追加で生じたということがある一方で、それが外部には漏出されている状況ではないというふうに認識をしております。
マイナンバーカードの普及の掛け声は盛んですが、一方で個人情報漏えい等によるリスクの問題が置き去りにされているのではないかと思います。 質問を一つ飛ばさせていただきます。 そういう中で、「保険証 将来的に廃止 マイナンバーカードと統合」という新聞報道、これは産経の十八日付けの記事ですが、この記事に私大変びっくりしました。
マイナンバーカードについては、国民の中に個人情報漏えい等への危惧の念が大変強いです。 諸外国の例を見ましても、個人情報漏えい等の観点からカードの普及はまちまちという状況があります。例えばアメリカは、社会保障番号、社会保障カードという制度がありますが、カードは紙製で携帯しないことが前提で、身分証明書としての機能は持たない。
そういったものも含めて、NEDOにおいては、実施者に対して輸出管理体制の整備を求めているところでありますし、また、しっかりとそういう認識を持った上での、技術の漏えい等がないように、安全保障上の観点にも十分に留意してまいりたいと思っております。
この誓約書におきましては、保護すべき情報が漏えい等しないよう保全を徹底すること、必要最小限の者への必要な限度での供覧をすること、保全の状況に関する検査を受け入れること、漏えい等発生時又はその疑い、おそれがあった場合の速やかな報告といったことを取り決めているところでございます。
五 決済テクノロジーの進展に伴い、フィンテック企業を中心に大量のクレジットカード番号等を取り扱う事業者が多数登場し、セキュリティ上の問題が増加している実態を踏まえ、昨今の情報漏えい等の不正事案について検証するとともに、QRコード決済事業者等についてクレジットカード番号等の適切管理を義務化するに当たっては、その実効性確保に努め、クレジットカードのセキュリティ強化に向けて不断の取組を行うこと。
本法律案は、個人情報の保護及び有用性の確保に資するため、個人情報の漏えい等が生じた場合における報告及び本人への通知を義務付け、個人情報等の外国における取扱いに対する個人情報の保護に関する法律の適用範囲を拡大するとともに、個人情報に含まれる記述等の削除等により他の情報と照合しない限り特定の個人を識別することができないように加工した仮名加工情報の取扱いについての規律を定める等の措置を講じようとするものであります
四 個人情報の漏えい等の報告及び本人への通知の義務化の対象を個人情報保護委員会規則で定めるに当たっては、国民及び個人情報取扱事業者に分かりやすいものとなるよう、消費者や事業者等多様な主体から広く丁寧に意見を聴取し、義務化の対象となる要件を可能な限り明確化すること。
一定数以上の個人データの漏えい、あるいは要配慮個人情報の漏えい等を想定しているというふうに伺っておりますけれども、どういった場合に報告を取るのか。しかも、罰則によって報告を担保するということであれば、明確な基準を設定することが必要不可欠だというふうに考えております。 類型なりとも明らかにすべきだと思いますが、いかがでございましょうか。
本法案においても法目的に沿った内容となっており、利用停止、消去等の要件の緩和、漏えい等報告等の義務化、ペナルティーの強化、域外適用の範囲の拡大など、個人の権利利益の保護の確保につながる施策を多く盛り込んでいるところでございます。
個人情報に対する意識の高まり、技術革新を踏まえた保護と利用のバランス、個人情報が多様に利活用される時代における事業者責任の在り方及び越境移転データの流通増大に伴う新たなリスクへの対応等の観点から、個人情報の漏えい等が生じた場合における委員会への報告及び本人への通知を義務付け、個人情報等の外国における取扱いに対する個人情報の保護に関する法律の適用範囲を拡大するとともに、個人情報に含まれる記述等の削除等