2021-06-21 第204回国会 参議院 行政監視委員会 閉会後第1号
個人情報保護委員会として、本当に氏名、振り仮名のみが中国で再委託されたと思うのかと、この流れは不合理であり不自然ではないかと。 ただいまの質疑も踏まえて個人情報保護委員会の見解も問いたいし、もしこうした部分についてきちっと個人情報保護委員会としての検査をしていないということであればきちっと検査をすべきではないかと私は思いますが、この点について個人情報委員会の見解を伺いたいと思います。
個人情報保護委員会として、本当に氏名、振り仮名のみが中国で再委託されたと思うのかと、この流れは不合理であり不自然ではないかと。 ただいまの質疑も踏まえて個人情報保護委員会の見解も問いたいし、もしこうした部分についてきちっと個人情報保護委員会としての検査をしていないということであればきちっと検査をすべきではないかと私は思いますが、この点について個人情報委員会の見解を伺いたいと思います。
他方、独立性の高い個人情報を扱う個人情報保護委員会の人選は、個人情報保護法第六十三条第四項にもって、今例示は幾つかしかおっしゃいませんでしたけど、かなり細かく、一つ、二つ、三つ、四つ、五つ、六つ、例示が、どういう知識を持っている人かというふうに例示がされています。しかも、これは国会の同意を求めることとなっています。
○吉川沙織君 個人情報を同じように扱うほかの法律を参照しますと、例えば個人情報保護法では独立性が確保された個人情報保護委員会が置かれています。 個人情報保護法における個人情報保護委員会の人選に関し、個人情報保護法第六十三条第四項について教えてください。第四項について教えてください。
今国会において、個人情報保護委員会が、個人情報の取扱いについて権限を強化した上で、一元的に監視、監督することを内容とした法律改正が行われたところであります。こうした改正後の個人情報保護法の下に、公共機関における個人情報の適切な取扱い、ここはしっかり確保していきたい、このように思います。
個人情報保護委員会でやるんでしょうか、教えてください。
個人情報保護委員会、おいでいただいています。結局、立入りとかやったけれども、LINEは特別に悪かったんですか。LINEで見つかったぐらいの話はほかにもあり得る、そういう私の理解は間違っていますか。どうですか。
両件審査のため、本日、政府参考人として内閣府大臣官房審議官難波健太君、公正取引委員会事務総局官房総括審議官杉山幸成君、個人情報保護委員会事務局次長三原祥二君、総務省大臣官房長原邦彰君、自治行政局長高原剛君、情報流通行政局長吉田博史君、総合通信基盤局長竹内芳明君、文化庁審議官出倉功一君、厚生労働省大臣官房生活衛生・食品安全審議官浅沼一成君及び厚生労働省大臣官房審議官志村幸久君の出席を求め、説明を聴取し
まず、個人情報保護委員会では、主に委託先の監督及び外国にある第三者に個人データを提供する際の個人情報保護法上の規律の遵守状況に関して調査を行いまして、四月二十三日付で、LINE社に対し、個人情報保護法第四十一条に基づき行政指導を行ったものでございます。
その上で、個人情報保護委員会と厚労省との連名のガイダンスにおきまして、入退室管理、記録機能を持つ媒体の持込みの禁止等の物理的安全確保措置、あるいはその基幹システムに接続されましたネットワークとインターネットに接続されましたネットワークの物理的又は論理的分離等の技術的安全管理措置等をお示しして、個人情報保護のための具体的な対応を求めております。
それから、実際に情報漏えいが生じた場合には、管理者に対して原因及びそれに対する対処方針についての説明、それから個人情報保護委員会への報告、それから診療に影響が生じた場合には公表などを求めることにより、原因の究明や再発防止に努めているところでございます。
その上で、個人情報保護委員会と厚労省との連名のガイダンスにおきまして、入退室管理、あるいは記録機能を持つ媒体の持込みの禁止等の物理的安全管理措置、それから、基幹システムに接続されたネットワークとインターネットに接続されたネットワークの物理的又は論理的分離等の技術的安全管理措置等をお示しいたしまして、個人情報保護のための具体的な対応を求めているところでございます。
あわせて、先ほど来言っておりますけれども、情報が漏れないように物理的ないろんな対応をしていただくでありますとか、ネットワークから漏れないような対応をしていただくでありますとか、場合によっては個人情報保護委員会の中において是正命令まで掛けていただく等々をしていただくので、要は、これに関してですよ、今回のことに関しては、ほかの医療情報というのはまた別でありますが、今回の法律にのっとって、事業主の方から保険者
個人情報保護委員会、ここが、この保険者に対して立入りでありますとか、また報告、こういうものができるわけでありますが、場合によっては是正命令を出せるということで、是正命令、是正命令、命令を出せるということでございまして、そういう意味ではですね、これ是正勧告になっています、さっき是正命令だったけど。
あわせて、じゃ、個人情報自体がいかにかということでありますが、これに関しましても、個人情報保護委員会において、保険者を含む個人情報取得事業者に対してはこれ報告、立入検査、是正勧告、こういう、あっ、是正命令、このようなことが行われるようになっておりまして、必要に応じて厚生労働大臣が個人情報保護委員会にそれを求めることができるとなっておりますので、そういう形の中において情報の管理というもの、これを担保してまいるということであります
今御指摘ありましたように、LINE社につきましては、先般、個人情報管理に不十分な点があったとして個人情報保護委員会や総務省から指導を受けており、また、LINE社の各金融子会社においても同様に不十分な点があった旨を公表し、現在、各社において改善策を鋭意検討中と承知しております。
したがいまして、個人情報保護委員会は、アクセスログの解析を含めて、三十二回の内容というものをもっと詳細にきちっと調べるべきだと私は思いますので、分かる範囲というか、これはどこまで分かるのかちょっと、私も技術的に分かりませんけれども、しかし、この三十二回のアクセスで何があったのかということだけは、是非、更に調査を続けていただきたい、私はこのように思っています。
去る三月三十一日に、個人情報保護委員会は、LINE株式会社及びZホールディングスに立入検査に入ったというふうに聞いております。 そこで、まず以下二点お伺いをするんですが、問題となったシステム管理を委託されていた中国企業とLINE株式会社の契約実態はどのようなものであったのか、個人情報に関して契約上明記されていたことはあったのかどうか、お伺いしたいと思います。
各件調査のため、本日、政府参考人として内閣官房内閣審議官冨安泰一郎君、内閣官房内閣審議官植松浩二君、内閣官房内閣審議官十時憲司君、内閣官房内閣人事局人事政策統括官堀江宏之君、内閣府健康・医療戦略推進事務局長八神敦雄君、個人情報保護委員会事務局長福浦裕介君、総務省大臣官房審議官阿部知明君、総務省国際戦略局次長渡辺健君、総務省情報流通行政局郵政行政部長佐々木祐二君、外務省大臣官房審議官赤堀毅君、外務省大臣官房審議官岡田恵子君
今回、民間、国、地方、公的部門の全てにおいて個人情報保護の共通ルール化が図られますが、要配慮個人情報の扱いなどでより厳しい規制を掛けている地方公共団体の条例の趣旨が尊重されること、また、全体を一括して監視、監督する個人情報保護委員会の体制や権限の強化が必須であると考えます。 第二には、自然災害や感染症流行など、不測の事態への対応能力の向上です。
個人情報保護委員会は、厳格に対応すると言いつつも、結果として、個人の権利利益が侵害されるかどうかで対応すると繰り返し、作成している個人情報保護法二〇年改定のガイドラインにリクナビ事件を例示するとすら明言しませんでした。 現行の個人情報保護法は、個人情報の範囲が狭く、閲覧履歴等の端末情報は保護されていません。
委員会における主な質疑の内容は、これまでのIT政策の総括、デジタル庁設置の意義と今後の展開、デジタル人材の育成・確保策、デジタルデバイドへの対応策、個人情報保護とデータ活用のバランス、個人情報保護条例の取扱い、個人情報保護委員会の体制及び権限、マイナンバーの活用の在り方と給付金支給の迅速化、押印、書面の見直しの意義と課題等でありますが、その詳細は会議録によって御承知願います。
要は、個人情報保護で、情報公開をする人と公共団体とあとは個人情報保護委員会、この中の間で検討をしていくということでありますけど、実際、サービスを求めた個人と地方公共団体の間で、例えば二週間だとしましょうと、二週間でやってくださいと言われたんだけれども、ちょっと分からないから個人情報保護委員会で検討して、例えば三週間掛かっちゃったと、その間でですね。
○田村智子君 じゃ、個人情報保護委員会にお聞きしますけど、今警察庁から、適用除外だから、無罪になった方が、私のものを、私のデータはもう削除してくれというふうに求めることできないという答弁だったでしょう。どうやったらこれ、権利の救済できるんですか。現行法では難しいんじゃないですか。これ、個人情報保護委員会、お答えいただきたいんですけど、どうですか。
○国務大臣(平井卓也君) まず、個人情報保護法では、独立規制機関である個人情報保護委員会が行政機関や地方公共団体を含む我が国全体における個人情報の取扱いを一元的に監視、監督することとなるため、個人情報保護委員会が個人情報の適切な保護のために必要な法執行を行うことが重要と考えています。 今先生が御指摘されたいろいろな件に関して、これも個人情報保護委員会が適切に判断をしていくものと考えております。
この間、大分、個人情報保護委員会あるいは大臣とのやり取りをしたときに非常に感じたのが、やはり今の個人情報保護法にある個人の権利利益を守るという、その個人の権利利益とは何なのかということが非常に曖昧ではないかという問題意識なんです。
まず最初に申し上げてきたことは、個人情報保護委員会だけでは私無理だというふうに思っております。むしろ、先ほど三木参考人もおっしゃられましたように、例えば地方公共団体では個人情報保護審議会が、今まで活用されていなかったような不幸な審議会も言わば役割を改めてそういった取組をすると。
それで、そういう役割を今度、個人情報保護委員会が国に対しても独立行政法人に対しても地方自治体に対しても行っていくということになる整理なのかなと思っているんですけれども、宍戸参考人のところで、監視社会にならないための監視という提起がある。
これに加えまして、昨年三月に個人情報保護委員会が実施した個人情報保護条例に関する実態調査というのも行っております。そうした結果なども踏まえまして、行政機関の保有する個人情報の保護の拡充を図ったところでございます。
また、今回の改正によりまして個人情報保護委員会に与えられます地方公共団体に対する勧告等の権限、これも国の関与に関する地方自治法上の一般原則の枠内というものでございます。したがいまして、今回の改正法案につきましては、地方自治を一方的に制約するものではなくて、地方自治の本旨に反するものではないと考えております。
なお、改正後は、個人情報保護委員会が地方公共団体における個人情報の取扱いが適正であるかどうかを外部から監督することになりますけれども、個人情報を取り扱う事務の主体が国になるわけではございませんで、地方公共団体自らの事務として行うものでございます。
○国務大臣(平井卓也君) 地方公共団体が個人情報保護委員会に対して必要な情報の提供又は例えば技術的な助言を求めることができること、個人情報保護委員会は、求めがあったときは必要な情報提供又は技術的な助言を行うこと、これはもう改正後の個情法の百六十六条二項に明記してあります。
○国務大臣(平井卓也君) 今回の改正により個人情報保護委員会の所掌事務や権限が大幅に拡大強化されることになるので、個人情報保護委員会の人員や組織を十分に強化していくことは必要だと考えています。具体的な内容については、令和四年度からの改正法の施行に向けて、機構・定員要求等の政府内での所要の調整プロセスを経た上で、それを国会に対してお示ししていくことになるというふうに思います。
さて、その上で、個人情報保護委員会等々の関係においてお伺いしてまいりたいと思っております。 今回の法律改正等々に加えまして、個人情報保護委員会、これは地方自治体などから必要な情報の提供ないし技術的な助言を求められた場合、これは迅速に対応することが必要なんだということの規定が維持、存続するということになるかと思います。
○国務大臣(平井卓也君) 個人情報保護委員会というのはいわゆる三条機関ですから、高い独立性と政治的中立性を有する機関であって、行政機関による個人情報の目的外利用に関しても、個人の権利利益の保護の必要性と個人情報の有用性の両面から適切な判断をすると思っています。
○国務大臣(平井卓也君) 個人情報保護委員会においては、専門的知見を有する独立規制機関として、個人情報の有用性に配慮しつつ、個人の権利利益を保護するという法目的を達成するため、適切な執行をやっていかなければならないと考えております。
各国のインテリジェンス機関と情報を共有し、NSS、NISC、個人情報保護委員会、総務省、経済産業省等の関係機関が連携して、技術検証、情報収集、調査等を立入検査も含め行う仕組みをつくると明記させていただいております。是非進めていただきたいと思います。
そのときに、個人情報をいかに適切に管理をしていくのかということに関して、やはり、個人情報保護委員会を中心にやはり分かりやすい説明をこれからしていくべきだろうと、それで利活用について不安がなくなるようになればいいのかなと、そのように思っております。
個人情報保護委員会が公表しています令和二年度の各国立大学法人の提案募集の対象となる個人情報の一覧表によりますと、受験生の入試の点数や内申点などの情報を含むファイルを提案対象としている法人は四十九法人、授業料免除に関する情報を含むファイルを提案対象としている法人は三十法人該当がございました。
個人情報保護委員会、お聞きしますけど、これ、個人情報保護委員会のホームページから見ることできるんですけど、マイナンバーシステムを提案募集に掛けるなんて、これ適法なんですかね。本当にちゃんとチェックしているんですか、何が提案募集になって、それが適法、適切であるか。いかがですか。
先ほど先生の御指摘の個人情報保護の観点からも各種の対策を講じていまして、まず一つは、マイナンバーを取り扱う者に対する漏えい防止など安全管理措置の義務付け、不正アクセス行為等に対する刑事罰の強化、個人情報保護委員会による必要な指導など、マイナンバーの適切な取扱いを法律上担保しています。
本案審査のため、本日、政府参考人として内閣官房内閣審議官時澤忠君、内閣官房内閣審議官冨安泰一郎君、内閣官房内閣審議官内山博之君、内閣法制局第一部長木村陽一君、内閣府大臣官房審議官酒田元洋君、公正取引委員会事務総局経済取引局長粕渕功君、個人情報保護委員会事務局次長三原祥二君、総務省大臣官房総括審議官竹村晃一君、大臣官房地域力創造審議官大村慎一君、自治行政局長高原剛君、自治行政局公務員部長山越伸子君、自治税務局長稲岡伸哉君
まず、個人情報保護委員会におきましては、三月十九日に、LINE社及びZホールディングス社に個人情報保護法に基づく報告徴収を行ってございます。その後、個人情報保護委員会では、中国に所在する業務委託事業者から、日本ユーザーの個人情報へのアクセスは三月二十三日までに遮断した旨の報告を受け、アクセス遮断の方法を確認いたしましたところ、その方法につきましては一定の信頼を置けるものと考えてございます。
今のLINEの関係について、個人情報保護委員会にもおいでをいただいています。当時、個人情報保護委員会は立入調査もいたしました。何か分かったことはあるでしょうか。
個人情報保護委員会は、本人同意の不十分さを指摘したにとどまりましたが、厚労省職安局は、学生に企業情報の取得をためらわせ、就職活動の自由を制限する事件として、リクナビ社を厳しく是正指導しています。 昨年の個人情報保護法改正の際、私はリクナビ事件を詳細に取り上げ、個人情報のプロファイリングが個人に不利益をもたらす、個人の行動の自由を阻害する事案として指摘し、プロファイリング規制の検討を求めました。
また、個人情報をめぐっては、これまで民間や行政機関などで三つに分かれていた個人情報保護法が今回の一連の法改正により統一され、個人情報保護委員会が行政機関などに対しても監視、監督を担うこととなります。
相当の理由や特別の理由の有無は、第一義的には当該個人情報を保有する行政機関等が判断しますが、その判断が適正であったかどうかを個人情報保護委員会が監視することとしており、決して行政機関等による恣意的な判断を許すものではありません。