2021-05-27 第204回国会 参議院 厚生労働委員会 第19号
具体的には、まず、健保組合、全国健康保険協会等につきましては、個情法に基づく個人情報取扱事業者としてその規制に従うほかに、市町村国保、後期高齢者広域連合につきましては、各自治体の個人情報保護条例の規定に従って業務を行うこととされております。
具体的には、まず、健保組合、全国健康保険協会等につきましては、個情法に基づく個人情報取扱事業者としてその規制に従うほかに、市町村国保、後期高齢者広域連合につきましては、各自治体の個人情報保護条例の規定に従って業務を行うこととされております。
健保組合と協会けんぽにつきましては、個人情報保護法における個人情報取扱事業者としてその規制に従っていただきます。当然でございます。 ただ、市町村国保、広域連合につきましては、各自治体の個人情報保護条例の規定に従って業務を行うこととされております。
それから、個人情報、そのとおりなのでありますけれども、健康保険組合、それからけんぽ協会に関しては、これは個人情報取扱事業者といたします。
○国務大臣(田村憲久君) 制度としては、先ほど石橋議員にもお答えいたしましたけれども、協会けんぽでありますとか健保組合に関しましては、これは個人情報取扱事業者というような対応をさせていただきます。それから、国保、広域連合に関しては、これは個人情報保護条例、この対象になるわけでありまして、この規定に従って業務を行っていただくと。
○国務大臣(田村憲久君) 先ほど来申し上げておりますが、あくまでもこれセンシティブな情報でございますから、だからこそ、この個人情報取扱事業者としての規制、これに従っていただくということでありまして、ある意味しっかりそこは守っていただくということが前提の対応をいただくということになります。
私は、まさにその二〇二〇年の今の個人情報保護法改定の審議でこのリクナビ事件を取り上げて、では、新設される十六条の二、今の不適切な利用の禁止です、個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない、これに該当するのではないですかというふうに質問をしたわけです。個人情報保護委員会は、該当する場合があり得るという答弁でした。
ダイレクトメールの送付を受けた本人が送付の停止を求める意思表示をしたにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付している。また別の事例として、個人情報取扱事業者が法第二十三条第一項に違反して、つまり本人同意を得ないで第三者提供を行っており、本人を識別する保有個人データについても本人の同意なく提供されるおそれがある。
個人情報保護法上、個人情報取扱事業者は、本人からの請求を受け付ける方法としまして、開示請求の申出先、開示請求に際して提出すべき様式などを定めることができまして、本人は、当該方法に従って開示請求を行わなければならないということとなってございます。 また、事業者は、本人に対しまして、開示請求に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができます。
ただいま個人情報保護委員会からお答えがございましたとおり、一般論といたしまして、まず、個人情報取扱事業者が個人データの取扱いを外国にある第三者に委託する場合は、個人情報保護法第二十四条の規定に基づきまして、原則、本人の同意を得ることが必要というふうに承知してございます。
○福浦政府参考人 一般論として申し上げますと、個人情報取扱事業者が個人データの取扱いを外国にある第三者に委託、これは提供する場合でございますけれども、議員御指摘のとおり、二十四条の規定に基づきまして、原則、以下のいずれかによることが必要でございます。まず一つが、本人の同意を得ること、二つ目として、外国にある第三者が法の趣旨に沿った措置を取っていることを確認することでございます。
報道によりますと、台帳は明治時代に作成されたものということでございますが、個人情報保護法の適用を考えますに当たりましては、個人情報は生存する個人のと定義をされてございまして、台帳に記載されている情報がその定義に該当するのかどうか、また、オークションの出品者が個人情報取扱事業者に該当するかどうかなどの要件の検討が必要だというふうに考えてございます。
○福浦政府参考人 個人情報取扱事業者が本人の同意を取得する場合には、事業の性質及び個人データの取扱状況に応じまして、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。」という旨を私どものガイドラインで示してございます。
現行の個人情報保護法では、憲法の定める学問の自由を保障する観点から、民間の事業者については、学術研究機関が学術研究目的で個人情報を取り扱うときには個人情報取扱事業者等の義務が及ばないものとされております。
そしてまた、改正前と同様、個人情報保護委員会は、個人の重大な権利利益の侵害が切迫していると認めるとき等は、個人情報取扱事業者に対して勧告に係る措置を取るべきことを命令することができる。
個人情報取扱事業者は、個人情報の取扱いに関しまして、利用目的を特定の上、通知、公表し、また、第三者への提供に当たっては、必要な内容を明示した上で本人の同意を取得する必要があります。この必要な内容を明示というところが、議員おっしゃる点、問題の御指摘かなというふうに思います。
○政府参考人(其田真理君) 先ほどから御指摘をいただいておりますとおり、個人情報取扱事業者が利用停止等の請求に応じることは個人情報保護法上の義務でございます。
○政府参考人(其田真理君) お尋ねの点につきましては、現行法の規定によりまして、開示等の請求等は本人又は代理人によって行うことができることとなっておりまして、個人情報取扱事業者は代理人であることの確認方法を定めることができます。例えば、委任状によって確認するというようなことが想定をされます。例えば、団体の会員などについて請求が行われた場合には、個々の代理権を確認することになるというふうに思います。
○政府参考人(其田真理君) 個人情報取扱事業者、事業者の従業員がその会社の従業員の立場で取得した個人情報につきましては、勤務時間内か否かにかかわらず、一般的に企業の業務のために取得したものと認識されますので、会社、すなわち個人情報取扱事業者によって取得した、済みません、取得されたものと解されますので、適法に利用できると考えております。
また、市区町村において外部の事業者などに個人情報データベース等を用いる業務を委託する場合には、当該委託先につきましては、個人情報取扱事業者として個人情報保護法の適用を受けることとなります。
二 匿名加工情報及び仮名加工情報の規定の趣旨が個人の権利利益の保護を図りながら個人情報の利活用を行うものであることに鑑み、個人情報取扱事業者が匿名加工情報及び仮名加工情報を作成する際に必要となる基準を個人情報保護委員会規則で定めるに当たっては、個人の権利利益の保護と個人情報の利活用との均衡について十分に配慮すること。
法の第十五条第一項において、個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならないとあります。第十六条第一項で、個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないと定めています。利用目的の特定の範囲を超えた個人情報の取扱いを禁じているわけであります。
二十二条の二第一項の本文におきまして、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならないというふうに定められております。
したがいまして、個人情報取扱事業者に該当する者が、スーパーシティの場合であっても、カメラ画像を取得する場合には、個人情報保護法上の利用目的が通知、公表されていることが必要であり、かつ、その限りにおいては必ずしも本人の同意を得ることは求められていないというふうに承知をしてございますが、こうした個人情報保護法の規定にしっかりと、遵守をしながらスーパーシティにつきましても運用をするようしっかりと見守ってまいりたいと
これはもし行政でなかったら、これが民間でしたら個人情報保護法の適用はありますので、個人情報保護法の二十三条の一項で、個人情報取扱事業者が個人情報を同意なく第三者に提供することを禁止されていますので、同意が必要になるんです、本人の。しかし、これは行政なので個人情報保護法の適用はないんです。
これは更にいろんな検討をしていく必要があるというふうには思いますけれども、個人情報の保護に関する法律については、公衆衛生については、個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三に提供してはならないというこの規定の中の除外の中に、公衆衛生の向上のために特に必要である場合と書いております。
個人情報保護法第二十三条第一項では、個人情報取扱事業者は、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならないと規定しております。ここから、あらかじめ入居者の同意を得れば、地方公共団体は自治会に個人情報を提供することが可能になると考えます。
お尋ねの顔認証データの消去については、個人情報保護法では、個人情報取扱事業者が個人データを利用する必要がなくなったときは当該個人データを遅滞なく消去するよう努めなければならないとされております。
個人情報取扱事業者が今申し上げた個人情報を取り扱う際には、取得の際の利用目的の通知、公表、特定した目的の範囲内での利用など法の規定に基づき取り扱う必要がございます。個人情報保護法上の義務に違反した場合には、当委員会による指導監督等の対象となることとされておりまして、こうした措置を通じて個人情報の適切な取扱いを確保することといたしております。
個人情報保護法の観点からお答え申し上げますが、例えば、プラットフォーマー等が内部的に作り出すビッグデータを商品として売ることについてという御質問かということでございますが、様々な場合が想定されますので、具体的な事例に沿って個々に判断すべき問題かというふうに思いますが、その上で、一般論として申し上げますと、個人情報取扱事業者が自らが適正に取得した個人データによって作成いたしたビッグデータを個人情報保護法上
具体的には、第二十九条において、保有個人データの内容が事実でないときは、本人は、個人情報取扱事業者に対し、内容の訂正、追加又は削除を求めることができる。 また、三十条一項におきまして、第十六条の利用目的に関する規定に違反しているとき、又は、十七条の規定に違反して不正に取得されている場合には、本人は、個人情報取扱事業者に対し、利用停止等を求めることができるとされております。