○
鈴木参考人 新潟大学から参りました
鈴木正朝と申します。
このたびは、
参考人としての意見陳述の
機会をいただきまして、まことにありがとうございました。
それでは、早速、お手元の資料に従いまして私の意見を申し述べさせていただきたいと思います。
本日は、
法案についてと、午前中の御
質問にもありましたが二千個問題について、この二点について意見を申し述べたいと思っております。
まず、
法案についてでありますが、本
法案の趣旨については、私は賛成であります。
第一に、オープン
データの
利活用に向けて、先ほども藤原先生からございましたが、スモールスタートだということではありますが、統計
データ主体のものからいわゆる非
識別加工情報に拡大したということは、オープン
データの可能性を
考えていくと第一歩として評価できるだろう。今後の検証を踏まえて、次期
改正によってさらに、例えば、オープン
データ推進法というような形で拡大されていくことを期待したいと思っております。
しかし、一点、懸念が残っております。
趣旨には賛成ですが、テクニカルな話になるかもしれませんが、本
法案の根幹となる非
識別加工情報の
条文の一部に問題が残っていると言わざるを得ません。本来
実現すべき趣旨に沿った
条文の文言に改められるべきだと思っております。
るる順に説明してまいります。
二番ですが、
匿名加工情報から非
識別加工情報への変更ということでありますが、どうやら、閣議決定直前に用語の変更がなされたのではないか。既に国会に提出されておりますポンチ絵などを見ますと、
匿名加工情報の文言が残っておりました。結構どたばただったのだろうなと思いながら見ておりました。
この修正の結果、
提供した先の受領者に、
匿名加工情報の
識別行為の
禁止義務、
民間の
個人情報保護法の三十八条が
規定されておりますが、これが当然に適用されるのか、
条文上一義的に明らかになっていないという問題が出てまいりました。この法適用に疑義を残すことは、制度上やはり、オープン
データを推進するという
意味からして、大きな問題が残っているのではないかということを
指摘したいと思っております。
三番ですが、
識別行為の
禁止義務、
民間部門の
個人情報保護法三十八条の適用の疑義についてであります。
提供した先の
民間の
個人情報取扱
事業者に
匿名加工情報の
義務が適用されるためには、明文の根拠
規定を置くことが必要だと思います。しかし、その根拠条項がないばかりか、形式的には、法令用語の統一ができておりません。そうであるならば、せめて実質的に、その
対象情報の範囲が、内容が一致している必要がありますが、非
識別加工情報と
匿名加工情報は、法文の文言を見る限り、一致しておりません。説明とは違います。
第一に根拠条項がなく、第二に法令用語が異なり、第三にその用語の定義、すなわち概念の示す範囲が一致していない。それなのに、非
識別加工情報の
提供を受けた
民間の
個人情報取扱
事業者は、当然に
識別行為の
禁止義務、三十八条が適用されると説明されています。
これは、でき上がった
法律で、苦肉の策で法解釈学が受け持つのではなく、今まさに
法案として審議中に発見された問題であります。これは、両者が一般法と特別法の関係にあり、かつ、両者が基本的に同じ概念だという強弁を受け入れることで成立する
考え方であります。
国民の権利
義務に係るまさに
法律事項の条項の適用において、このような解釈を前提とした
法案を許していいのかどうか、私は甚だ疑問であると思っております。
具体的にどう直すか枠囲みに書きましたが、明文
規定への追加案もあります。
個人情報保護法を
改正し、三十八条に受けの明文
規定を置くこともできます。
行政機関法に明文
規定を置いてもいいです。それから、形式的には、法令用語の統一もあってもいいでしょう。
匿名加工情報の統一案。非
識別加工情報統一案。むしろ、
個人情報保護法の本体を
改正し、非
識別加工情報という用語を採用することもできる。もしくは、用語は変えると決めてしまったのであれば、実質的には、その
対象情報の範囲が一致するように、
条文のわずかばかりの修正を行えばいいのではないかと思いました。
次に、このような問題意識からかわかりませんが、ガイドラインでの事後
対応の可否について、四月五日のインターネット中継を見てまいりましたが、
行政管理
局長は、懸念があるならガイドライン等で明確化すると
答弁されておりました。これは、やはり二条八項の法文上に一抹の不安が残ることを認めておられるようにも見受けられました。いやいや、
条文上この文言でしっかり解釈できるというならば、ガイドラインで
確認する必要はないわけです、我々もきっちり
条文に書いてあると解説書に書くわけでありますから。
本来、国会が
法律で手当てすべき事項を
行政庁のガイドライン、告示で定めるというのは、許されるものではないわけです。ここでは、ガイドラインによる明確化ではなく、
法律事項の穴をガイドラインで埋める、丸投げするということができるということを言っているに等しい。実は、より適切な
条文の文言に修正されるのが筋であろうというのが私の見解であります。
五番でありますが、
個人情報取扱
事業者が非
識別加工情報を受領すれば、
匿名加工情報になるのか。
行政管理
局長は、
民間部門に渡れば、非
識別加工情報が
匿名加工情報になると説明されていた。しかし、非
識別加工情報の定義を見ると、
個人情報保護委員会規則に委任する部分がありますよね。
委員会規則によって
対象情報の範囲が、
委員会規則で可変的なんです、伸びたり縮んだりするんです。これを前提に
条文が設計されている。すなわち、範囲は確定されていないんです。
やはり、
個人情報取扱
事業者がそういった可変的な非
識別加工情報を受領した後、当然に定義づけられている
匿名加工情報になるという解釈には、私は無理があると言わざるを得ません。
六番は、非
識別加工情報イコール
匿名加工情報かということを
確認したいんです。
行政管理
局長は、解釈上も定義上も、
個人の識別性がなく復元できないという定義は共通だとおっしゃっております。その上で、解釈上、そこに新たなものを付加すると別のものになるとわざわざおっしゃっている。そこはあえてしないと
答弁されていたが、
条文を見れば入っているじゃないかということを
指摘しているわけです。
委員会規則に授権している。その範囲は
委員会が決められるんです。両概念をなぜ一緒だと言えるのか。法文解釈上、ここは形式的にやはり強弁していると言わざるを得ない。
とともに、今度は、
個人情報委員会への白紙委任になっているのではないかという問題すら惹起されてくるわけです。
本
法案二条八項の
個人情報委員会規則への委任は、これは明らかに白紙委任になっている。委任の趣旨が
条文に何も書かれていない。例示らしき記述があるが、それはほにゃららと書いているだけで、よく読むと全く例示になっていないんです。
白紙委任とはどういう
意味か、教科書を引っ張ってきました。委任立法の立案上は、何を委任するのか、できる限り具体的に委任の範囲を明確にする、その趣旨を逸脱しないように例示などで明快にする。A、B、その他何々と書くことによって、AとBの例示の並びで規則をつくるのだということがわかるように通常は書く、そういった配慮が必要である。単に、政令で定めるところによりといった文言は確かに多いわけですが、そのような
規定を見ていった場合には、必ずや、文脈から委任範囲、趣旨が明確になるようになっている。
今回の
法律をぜひもう一度精読いただきたいんですが、どうなっているか。本
法案の二条八項は、「他の
情報(当該
個人に関する
情報の全部又は一部を含む
個人情報その他の
個人情報保護委員会規則で定める
情報を除く。)」と定めるのみであります。
当該
個人に関する
情報の全部または一部を含む
個人情報その他の
情報とは、一体何なのか。どのようなことを意図した例示なのか。これは、
条文の文言から、
国民、法曹、法学研究者、
プロフェッショナルも含めて一般
事業者等が、その
条文から素直に解釈できるような記述になっているでしょうか。
個人情報委員会はどういった趣旨で規則をつくらねばならないのか、
委員会を国会が
規律しているでしょうか。
法律は何を
委員会に求めているのか。規則をどう定めればいいのか。なぜ
法律はこの趣旨を明確に書いていないのか。もしその趣旨が明瞭であるなら、概念を一致させたいわけでしょう、なぜ規則に委ねずに法文で書き切ることを選択しなかったのか。なぜ両概念は
委員会規則の調整事項を残したのか。
法律の授権範囲を告示で明確化することはできないわけです。こうした記述は、審議の過程で修正する方が望ましいことは言うまでもないことだろうと私は思います。
それから、蛇足ながら、八番、
行政機関個人情報保護法案の起草において正しく
個人情報保護法を解釈しているか。
やはり基本法の土台に個別法たる
行政機関法が乗っておりますが、種々
答弁をずっと聞いてきました。
個人情報の解釈について、去年の
政府答弁と矛盾しているのではないかとどなたか先生が
質問したのに対して、
行政管理
局長が、
個人情報保護法の解釈は私はちょっとよく存じ上げていないがと
答弁されていた。
ちょっと言葉尻をつかまえるようですが、言うまでもなく、
個人情報保護法制は、基本法の土台の上に個別法が成立するという関係にあり、かつ、今回の
改正法は、一つに
民間部門の一般法である
個人情報保護法と
行政機関等個人情報保護法との整合が問われる。まさに非
識別加工情報が
匿名加工情報になるということで、官から民に
データが移る、整合が問われるところで、実はいろいろな説明に
個人情報保護法の解釈上とり得ない
答弁がなされていた。これは少し不安が残るわけであります。
次に、二千個問題と越境
データ問題
対応について一言申し述べたいと思います。
民間部門の
個人情報保護法では、原則として全主務
大臣がその監督権限を
個人情報委員会に引き渡しました。
民間部門の
規律は
委員会中心に行われることになりました。しかし、公的部門の
個人情報保護法については、
法律の所管がいまだ
行政管理局に残ったままであります。
いびつな権限配分であろうということは重々御理解いただいていると思うんですが、あえて言いますと、非
識別加工情報は
個人情報委員会が所管する。マイナンバーという
個人番号の特別な
個人情報については、
個人情報委員会が所管する。ところが、一般の
個人情報は、
法律の所管のみ
行政管理局で、あとは各
行政機関の
大臣、それから
独立行政法人等の長が監督します。年金機構の問題がありましたが、あそこは
理事長が監督するわけです。
委員会は監督できないわけです。これでいいのか。
例えば、非
識別加工情報を取り上げても、
もとデータが
個人情報であるにもかかわらず、あえて両者の
法律の所管を二つの
行政庁に分割し、それぞれにおいて政令案の起草や規則や告示を制定するということですが、合理性があるんでしょうか。
個人情報ですよ。非
識別加工情報ですよ。ここから非
識別加工情報に
加工するんですよ。それなのに、こちらは
委員会、こちらは各
大臣。その場合には、非
識別加工情報にするにおいては、
もとデータの
個人情報も
委員会の所管なのだというふうに再整理していくんでしょうけれども、やはり一般
個人情報も
委員会が見るのが筋です。あと、マイナンバーがぽんと入ると、突然、
委員会の監督に入る。何ゆえ今回ここを整理しなかったのか。
確かに役所の権限問題は極めてセンシティブでありますが、私にとっては余り関係がない。筋論を言う係であろうと思っております。
こういった理屈の問題だけではなく、実は実害が出てまいります。何かというと、次に書いてありますが、EUの搭乗者名簿、EUの航空会社に対して搭乗者名簿の
データをくれと日本
政府は正式にオファーしたというニュースが載っておりました。これはどういうことだろうと思いました。
テロ対策であります。搭乗者名簿をいただいて、ブラックリストと照合して、水際でテロリスト等を防御しなければ、東京五輪を前に、パリ、ブリュッセルの例がありますから、やはり日本も万全を期す必要がある。絶対、搭乗者名簿をいただかなければならないわけであります。
ところが、いただいたこの
データ、入管は法務
大臣が管理するんですか。税関は財務
大臣が管理するんですか。セルフチェックであります。ところが、欧州はそれを許さないはずです。
行政機関が
行政機関自身の
データを管理するというセルフチェックでは足りずに、欧州では、プライバシーコミッショナーという第三者機関が、
行政機関が適切に管理しているかどうか監督できるような体制を求めている。
実は、これに関して、米国ともトラブっているわけですね、EUは。カナダとも、司法当局が無効判決を出すのではないかということが騒がれていて、みんなで注視しているということで、EUは、米国、カナダに対しても、この搭乗者名簿、国防上重要であっても、なおかつ問題があるといって、
データを出すことについて疑義が生じている。
ところが、今回の
改正法のままでありますと、早晩このPNR問題が紛糾し、やはり行管自身に権限を残すことはまずいのではないかという問題が必ず惹起されるであろうと思っております。
このあたりを踏まえて、
法案という形にもうなっておりますから、炎上する外交リスクがあるんだということを御
認識いただいて、もし起きた場合の初動が早く動くように、この権限問題をきっちり顕在化して、論点として
認識しておく必要があろうと私は思います。
最後に、一言だけつけ加えさせていただきますと、二千個問題というものがございます。
ちょうど午前中も、各議員の先生から
熊本及び九州全域の
地震についてお
見舞いの言葉がるる述べられておりました。三・一一のときにもかなり大きな問題が起きた。新潟でも大きな
地震が二つもありました。広域災害の備え、命の問題は政治が分担すべき最重要課題の一つであろうかと思いますが、その都度、医療カルテの動き、レセプトその他
個人データの動きが悪いということは何度も何度も繰り返されてきたことは記憶にあろうかと思います。警察、消防、自衛隊、ボランティア等に適切に
個人情報が行き渡らないのはなぜなのか。
お渡しした資料の最後の十ページの図表二を見ていただきたい。これを最後にいたします。
二千個問題というものの実態が何なのか。左は、厚生労働省、
独立行政法人国立病院機構岩手病院、岩手県立病院、
地方独立行政法人宮城県立病院機構、気仙沼市立病院、日本赤十字盛岡病院、るる、ばっと病院名が書いてあります。
これは、三・一一などの事例を
もとに図表にまとめたものでありますが、適用法も御一覧ください。各
条例が、
法律がばらばらであります。ルールがばらばらであると同時に、監督官庁、所管もばらばらであります。これが二千個あるんです。
我が国が組織法に倣って縦割りで
個人情報保護体系をつくってきたことは重々承知しておりますが、これがあるがゆえに、
ビッグデータが起きない。国内が統一されていないのに、越境
データ問題をさらに解決しなければならないというところで、自動車
ビッグデータがあり、お薬手帳一つシステム化できない現状は、個別個別の自治体の
個人情報審査会など、一つ一つがオーケーしなければつながらないからです。ナショナルミニマムの問題であることは、災害と医療
データを見るまでもなく明らかであります。
このあたりを解決するために、今回、附則に書いていただいたというのは重々承知しているんですが、やはりこれはもっとスピードを上げなければ、社会保障制度も緩んでおりますし、人口減少も、団塊の世代が後期高齢者になると極めて重大な問題が起きてくる。医療
データ、ゲノム創薬もスピードを上げなければならない。このときにデフォルトルールとなる、土台となるルールを今審議している。
ですから、趣旨には全く賛成だ、しかし、趣旨を
実現するための
法律にはまだなり切れていない。だから、次の
改正あり得べしという中の、中間の
法案なのだと。欠陥をぜひ御
認識いただいて、次を見据えたところをぜひお
考えいただければということで、私の意見とさせていただきます。
どうもありがとうございました。(拍手)