○
参考人(
清水勉君)
日本弁護士連合会情報問題対策委員会の
委員の
清水と申します。
お手元に
意見のメモをお配りをしております。第一から三ページまでのところは日弁連の
意見としまして、四ページ以下は私の
個人的な
意見です。断続しているわけではないんですけれども、日弁連の
委員として来ているものですから、まず日弁連の見解というものを御説明した上で私の
意見を述べさせていただきます。
日弁連といたしましては、
個人情報保護の問題に関しましては、
第三者機関によるチェックという仕組みが必要だということを住基ネットが
施行された二〇〇二年の人権大会のときから提起をしておりまして、以後、事あるごとにこの
第三者機関をということを申し上げてきました。
マイナンバー法の成立に関しましては、実は、反対はしておりましたけれども、当
委員会としましては条文作りにつきましてもかなり
意見を常々申し上げておりまして、その中でマイナンバーについては
第三者機関を入れるべきではないかということを
検討しまして、また各党にもお願いに回りまして御了解を得て、
マイナンバー法の中には
第三者機関が入るということになりました。その後さらに、今回新たにできました
改正個人情報保護法の中では
第三者機関、
民間については全般的に及ぶというものになりました。
そういった意味では、日弁連が二〇〇二年に
提案してきたことが
民間の方に関しては
実現をしてきたということが言えるというふうに考えています。
ですが、
行政機関の方について見ますと、
法案はまだ不十分ではないかということを考えております。ここでは、非
識別加工情報の
取扱いについてのみ
個人情報保護委員会が
官民を通じて一元的に所管をするということになっております。また、全ての
行政機関、
独立行政法人における
個人情報の
取扱い全般について、
個人情報保護委員会が
監視、
監督する権限を与えるべきだというふうに考えております。
二番目に書きましたものは、これまで日弁連が独立性の強い
第三者機関をということで
提案をしてきたものの
意見の紹介であります。
法案提出までの
第三者機関に関する経緯としまして、三のところで説明をしております。
四のところですけれども、
行政機関が保有する
パーソナルデータの
特質としまして、法令上の根拠に基づいて
行政事務の遂行のために必要な
範囲内で収集、保有をし、これには
本人は選択の余地はありません。ここが
民間と基本的に違うところでありまして、
民間のところは、どこにそれを提供するかということ、
考え方としては基本的に自由でありまして、一定もう出さないことによって契約ができないこともあれば、それでも構わないというようなこともありますけれども、
行政の場合にはそういう選択は基本的にありません。また、
病歴、収入、資産等のセンシティブ
情報があり、
プライバシー保護の必要性が高いということもありますし、
民間と違いまして、
行政の場合には
個人情報の蓄積が非常に長期間のものであり、また全国的に組織的にということがあります。
ただ、ここで
一つ注意しなければいけないのは、今回の
法律の不十分性にも関連するんですが、
個人情報がある
行政組織はどこかといいますと、国の
行政機関ではなくて、県ではなくて、市町村が一番多いということであります。したがいまして、市町村が持っている
個人情報についてそれをどうするのかということを考えないと、それに対して、じゃ、県はどう関わるのか、国はどう関わるのかという
関係性になるのでありまして、この
法律の
附則の四条を見ると
自治体の方まで考慮していることは分かるんですけれども、これがトップダウン
方式になっておりまして、むしろボトムアップ的に考えていくべきではないかというふうに考えます。
行政機関における違法、不当な
取扱い例としましてここに幾つか例を挙げましたけれども、防衛省における
情報公開請求者リスト事件がありましたし、また、自衛隊
情報保全隊による
情報収集活動の問題もありまして、これは仙台地裁、仙台高裁で一部違法という判決を得ています。それから、警視庁公安部のテロ捜査資料の流出事件でも、これも東京地裁で違法という
判断が一部ではありますがなされています。また、有名なものとしては、
日本年金機構からの大量漏えい事件というものが二〇一五年に起こっています。
総務省の
研究会では、今回いただいた資料の中にも出ていますけれども、
第三者機関にさせることについてはワークしないんだという言葉がキーワードのように使われておりますけれども、特定
個人情報の
取扱い、
行政機関も
個人情報保護委員会が
監督をし、非
識別加工情報、これも同様。では、
個人情報全般について
監督できないのはなぜか、ここには理由がないのではないかと。
むしろ、こういう穴の空け方というのは、
情報をどこからを識別でき、どこからは識別できないかという
判断も微妙な問題がありますし、これからますますいろんな形で
個人情報というものを扱う場面が出てくると思います。そうしたときに、それぞれが自分の所管ではないというような
考え方をしても困るわけでありまして、これは全般的に
第三者機関というふうになっていかなければいけないのではないかというふうに考えます。ここにEUの十分性認定が受けられないことの原因が
一つあるのではないかと思います。
それと、先ほど申し上げました、
個人情報については、
行政の
現場では最も大量の
個人情報があるのは市町村であるということであります。これは各
自治体の条例で取り扱われるということになっておりますので、非常にそこは大きな問題です。全ての
行政機関等の
個人情報の
取扱いにつき、
個人情報保護委員会が
監視、
監督する
制度にすべきであるというのが当
委員会の考え、日弁連の
考え方であります。
非
識別加工情報についてですけれども、
一般に、
行政機関等の保有する
パーソナルデータは取得プロセスの権力性、義務性、秘匿性が高いという特性があります。このような
パーソナルデータを商業
目的で
利活用することは、
本人の予測の
範囲を逸脱した
目的外
利用であり、
プライバシー侵害のおそれがあるのではないかということでまとめさせていただいております。
以下は
個人の見解ですけれども、そもそもなぜ
パーソナルデータの
扱いに慎重な立場を取る必要があるのかということでありますけれども、昨今、
パーソナルデータの収集、蓄積、検索、編集が誰にでも極めて容易にできる
情報環境
社会になっているということであります。つまり、大人でないとできないとか
日本社会にいる人でないとできないとかというものではなくて、世界中どこにいる人であろうが子供であろうが誰であろうができると、その人が扱う動機が何であれできるという環境であります。
パーソナルデータは、一旦外部流出した場合、それ以上に広がることはあっても、なかったことにすることはできません。
本人が気付かないうちに広がり、
利用され、悪用され、
本人が不
利益を被るということが起こり得ます。誰がいつどのような
パーソナルデータを悪用するかは予測不可能であり、
情報は有体物ではありませんので、
不正利用している者以外には
不正利用されているということが判明しづらいという現実があります。ここは有体物と違うところであります。
危険な
情報環境、
制度設計と運用、これをつくらないということが
課題になるということであります。ここで
課題と言いましたのは正解がないということであります。どういう方向性で考えていくべきかという方向をきちんと見据えて、つまり
利活用と
保護というものをどういうふうにバランスを取っていくかということを、環境が変わるごとにどんどんバージョンアップしていかなければいけないということであります。
我が国の
個人情報保護法制の基本的な価値観ということですけれども、EUとアメリカというのが
一つの比較になるかと思うんですけれども、EUの方は
個人の尊厳を重視、
政府や
制度が
個人の
判断が及ばない
部分を守る必要があるという
観点があります。これに対して米国の方は、
個人の自由、
プライバシーというものが自己決定権というふうな意味で使われることもあります。
政府の介入を基本的に嫌うということがあります。
この連休中、私の事務所の弁護士がアメリカ・ニューヨークに行きまして、この問題について弁護士さん、
行政の方たちと話をしてきましたが、最近
プライバシーという言葉でアメリカでは判決は出ていません。これはなぜかというと、
プライバシーという説明の仕方で切るのではなくて、例えばイスラムの人たちの
情報ばかりを集めるという問題については、
プライバシー侵害の問題ではなくて平等
原則違反という、つまり違った説明の仕方で切っておりまして、
プライバシーの概念がどうするかによって変えてしまうのではなくて、この局面で何が問題になっているかということをよく考えて
制度設計していくというのがアメリカの
考え方というふうに考えた方がいいかと思います。そこの基本にあるのは
個人の自由、自由に選択をしていくという価値観。これは、いわゆる移民国家として様々な民族が世界中から集まっている国家としてはそのような、まあ
日本のように
日本にずっと生まれ育って生きてきた人たちがいる
社会のような
考え方とは違うものになるということは、これは
社会のありようとしてうなずけるところであります。
しかし、
制度としてEUとアメリカはかなり違います。ただ、その中核として守るべきは、先ほど出ました
医療の
情報についても、こういうことは守るべきだよねという
考え方はあったとしても、それをどう守るかというところについての理屈の立て方、
制度のつくり方のところに違いがありますので、
日本はどうすべきなのかということを、どこかのまねということではなくて、この国ではどうすべきかということを考えていくべきなんだろうと思います。
具体的な
ニーズを
前提としない
制度設計は無駄であり、無謀だということであります。
今回のことにつきましても、お配りいただいた資料でヒアリングをした資料がたしかあったと思うんですが、経済界からの
意見の
部分を見させていただいたんですけれども、そこで、百四ページ、百五ページですね、ここを見てがっかりしたんですけれども、つまり、要するに、使えるといいよねと言っているだけでありまして、何がしたいのかということが具体的にないことです。
様々な微妙な問題があるだけに、何がしたいのかということを具体的に
提案をしていただくならば、どういう
制度がある、どういうふうな法
改正が必要だと具体的に言えるんですけれども、余りざっくりと言われてしまうと、やはり微妙な問題がたくさんあるだけに、こういったものが動機となって
法律を作っていくというのはよろしくないのではないかというふうに考えております。
過去の例でいいますと、住基ネットがうまくいかなかったという原因は、市町村のネットワークでいいんですかというのを私としては
意見を持っていました。つまり、市町村に
ニーズがないところにネットワークをつくるというのは、そこで各それぞれに責任を負わせるという仕組みは非常に問題があるのではないかというふうに思います。
マイナンバー
制度についても、
社会保障と税の一体改革というスローガンでやってしまいましたけれども、スローガンと具体的な
制度設計というのは、これはなかなか結び付きません。ですので、ここにも難しい問題があったというふうに考えております。
飛ばしていただきまして、二千個問題のことについて一言言わせていただきますと、衆議院のときには新潟の鈴木先生が、様々な
主体があって条文が違う、こんなに違っているんだというお話をされたんですけれども、条文の問題ではなくて、むしろ先ほど
山本先生がおっしゃったように、誰が責任を持って管理するかということの方が重要であります。
条文のことについて言うと、それが、実際にはこの手の問題は、
情報公開条例も
個人情報保護条例も、どこかの
自治体で幾つかサンプル的なものができると、よその
自治体はほとんどそれをまねして作るというやり方をしていますので、条文は多少言い回しが違っていてもそれほど大きな差はありません。
例えば、認知症の行方不明者の
情報公開について積極的な県、千葉県、静岡県などがある一方で、舛添東京都知事は、厚労省が公表すべきだと指摘していましたけれども、しばらく拒絶をしていました。その後、私の方でも新聞記者の方にいろいろとレクをしまして、東京都は方針を変えています。
参考として、六ページに東京都の
個人情報保護条例と静岡県の
個人情報保護条例を挙げています。これ、アンダーラインを引いているところは、このアンダーラインの解釈によって千葉県や静岡県のようにすることはできるんです。なのに東京都はしなかったというのは、これは知事の
判断でそうしていないというだけの問題でありまして、とても人間的です。ですから、この解釈、運用をもっと合理的にしていくという必要があるのと、それから
責任主体をもっと統一化していくと。
どういう
責任主体をつくっていくかということも考えていく必要があります。
自治体が
個人情報を持っているときに、そこで集めて使っていることに対して、よその人間が全部それについて責任を持つということはできません。ですので、
個人情報一本という形でつくっていくこともできるかもしれませんけれども、それぞれの
利用目的の
範囲内で使う、あるいは共有するというものを
一つの
法律で作りながら、責任の
明確化ということを目指していく必要があるのではないかというふうに考えます。
ありがとうございました。