藤原靜雄
個人情報の保護に関する特別委員会
藤原靜雄の発言 (個人情報の保護に関する特別委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○参考人(藤原靜雄君) そうですか、はい。じゃ、座って失礼いたします。
御存じのように、一九八〇年のOECDガイドライン、そこで提唱されております諸原則は、自来二十年以上経過いたしまして、個人情報保護の普遍的指導原理として今日世界の多くの国に取り入れられております。そして、このガイドラインを受けて、我が国でも一九八八年に現行の行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律が制定されたわけであります。
この現行法がこのたび全部改正されることになったわけであります。そのことの意義は、IT社会にありまして、技術が人々の想像もできない速さで進む中、行政機関の保有する個人情報の取扱いにこれまで以上に国民が関心を寄せている中で、非常に大きいものがあると思います。
以下、最初に、行政機関個人情報保護法制を構築する場合の基本的視点、次いで、個人情報の保護という観点から、このたびの法案が現行法よりどこが充実し強化されているかという点、第三に、個人情報の保護に関する法案と官民の比較という意味でどうかという点についてお話しし、最後に、今国会の審議等で議論された若干の論点につきまして、外国法との比較の観点から意見を述べたいと思います。
お手元に、一枚紙でありますが、A4のレジュメがお配りしてございますので、それに基づいてお話をさせていただきたいと存じます。
まず最初に、行政機関個人情報保護法改正の基本的視点というところでございます。
行政機関法制を見直す場合の基本的視点というものを振り返っておきますと、レジュメに四点ほど挙げておきましたようなことになろうかと存じます。まず第一は、現行法の課題を見直す、そして行政部門のIT化、二番目に、個人情報保護法における基本理念を裏付ける必要性、三番目に、個人情報保護法案第四章の義務規定との整合性、四番目に、情報公開法制定時の課題の解決と、四つ挙げてございます。
逐一説明をさせていただきます。
まず第一に、現行法はその制定時の附帯決議にも見られるような改善すべき点を持っておりました。従来の法制がそのような課題を残していたということに加えまして、民間部門ばかりではなく行政部門においても電子政府を進める中でIT化が急速に進んでおり、これに対応する個人情報保護法制を整備する必要がある、行政機関の側でも整備する必要があるということでございます。
第二に、個人情報保護法の基本理念というものを裏付ける制度を行政機関の側でも構築する必要がある。つまり親法であります基本法制を裏付ける制度を構築する必要があるということでございます。
そして、第三番目に、個人情報取扱事業者の義務等について規定しました基本法制の第四章との整合性を確保する必要もあると思います。
それから最後、第四番目に、情報公開法制定時からの、行政改革委員会情報公開部会でも課題とされました個人情報のいわゆる本人開示の問題を解決する必要があります。
このような四つの課題に今立ち向かうという視点から本法案を見ると、当初の目的は達成されているのではないかと私は評価しております。
さてそこで、第二番目に、それでは現行法よりどのような点が充実強化されたかという点についてお話をさせていただきます。
現行法と法案とが異なる点は多々ございますけれども、ここでは現行法より良くなったと評価できる主な点のみ指摘したいと思います。それは以下のとおりでございます。
最も重要なことは、レジュメにも書いてございますように、二の「現行法より充実強化されている点」というところでございますけれども、以下のようなことではないかと思います。
まず第一には、その保護及び対象となる個人情報が拡大されていると、第二に、その開示請求権の充実強化と訂正及び利用停止請求権というものが明記されたということであります。
まず、前者のその対象の拡大ということでございますけれども、例えば、個人識別性における他の情報との照合において、個人情報保護法基本法とは異なり、照合の容易性というものを要求しておりません。これは、基本法制の方が民間部門の負担や利用を考慮して対象個人情報に一定の制限を加えていると、それに対し、公的部門を対象とする行政機関個人情報保護法がより厳格な個人情報保護を目指しているためであるということが言えます。
さらに、同じく対象にかかわりまして、現行法では法の対象となる個人情報は、現行法の名称からもうかがわれますように、電子計算機処理情報であります。しかしながら、本法案はこれを紙等の媒体に記録されている情報、いわゆるマニュアル処理情報にまで拡大しております。
それから、後者の開示請求権というものの充実強化について申しますれば、現行法は個人情報ファイル簿に掲載され公表された処理情報のみを対象とする開示請求制度を設けておりますが、本法案は、行政機関が保有する情報の開示を拡大するという観点から、開示請求の対象情報を行政機関情報公開法の行政文書に記録されている個人情報に一致させ、拡大しております。その上で、例えば、従来地方自治体の条例等で問題となっており、現行法は開示請求の適用除外としております教育情報、医療情報についても、それを請求の対象に含めたわけであります。自己情報の開示の要望にこたえるという意味で、先ほど申し上げました情報公開法制定時の宿題にこたえたものと言えると思います。
そして、訂正等の請求が権利として明記されました。さらに、訂正等がなされた旨の通知に関する規定も置かれております。これに加えて、利用停止等の請求権が保障されております。これらの、開示、訂正、利用停止等の決定等は言うまでもなく行政の処分、いわゆる行政処分でございますから、行政不服審査あるいは行政事件訴訟で争うことができるわけです。不服申立ての段階では、いわゆる行政訴訟の不服申立ての段階では、これは情報公開・個人情報保護審査会への諮問が義務付けられているわけでございまして、これも権利救済の在り方として大きな意味を持ってこようかと思われます。
このほかに、本法案は、例えば利用目的変更の範囲の限定もしております。現行法にはこれは明記されておりませんが、所掌事務の範囲内であれば変更可能であると解されてきたものであります。これが相当の関連性、相当性という縛りを受けることになる。相当性という概念は、確かに不確定な法概念でございますけれども、しかしながら、第三者から見て客観的に相当でなければならないし、また、何が相当かということは、行政手続法というものの存在を前提としますと、一定の基準も必要となってまいりますし、さらに、今後の運用の中で情報公開・個人情報保護審査会による検証を受けていくということになるわけです。
さらにもう一つ、現行法では責務規定、努力義務規定にとどまっております安全確保措置が、本法案では義務規定に強化されております。この点は、個人情報保護の問題と言われるものの多くが、実は多くの国との比較においても、また我が国の近時の動向にかんがみましても、実はセキュリティーの問題であると。セキュリティーの問題であるということを考えると、義務規定化というのは大きな意味を持つのではないかと考えます。
このような点に、その主な点だけを取り上げましても、法案というものは現行法を大幅に拡充強化していると評価できるのではないかと考えております。
それから三番目に、レジュメの三ぽつのところでございますけれども、官民の比較という点からこの法律を眺めてみたいと存じます。
まず、官民の個人情報保有の実態ということでございますけれども、私、これを調べる機会がございまして、システム監査関係の白書を見ておりましたら、それは回答が七百数十件の事業体に限られている、回収率が七百数十のアンケート調査でございますが、その程度の調査でございましても、回答事業体のうちの三〇%近くは百万件以上の個人情報を民間部門一社当たり持っております。これが我が国全体となれば決して民間部門が少ないとは言えないのではないかと思っております。
また、欧米におきましては既に、EU指令を作るその前の段階から、次のような例えを使いまして個人情報保護が民間部門でも重要だということが言われております。すなわち、個人情報保護を侵害しようとする者は国勢調査員の灰色の服を着てやってくるのではなくて、非常にカラフルで魅力的な装いをしてくる、そういう民間部門でこそ危険であるという認識を示しているわけであります。
ただ、それでも、本法案、行政機関法との関係で申しますと、それでも行政機関というのは公権力を行使して行政情報を収集し得る立場にあるわけです。重要な行政情報を大量に保有していることも事実でございます。したがって、その意味で、民間以上に厳格な個人情報保護法制を内容とする立法政策が取られるべきであるわけです。民間部門と申しますのは、自主規制にゆだねるところの多いミニマムな規制、公的部門はできる限り法律で厳格に規制するということであります。その点に行政機関個人情報保護法案の意義もあろうかと存じます。
そこで、今般の行政機関の保有する個人情報の保護に関する法律案と基本法制であります個人情報の保護に関する法律案の個人情報取扱事業者に対する規制を比べてみたいと思います。そうしますと、やはり官に厳しい内容になっていると言ってよいのではないかと思います。
まず第一に、民間部門では、一定規模以上の体系的に整理された個人情報、すなわち、主としてデータベース化された個人情報が対象となるのにとどまっているのに対しまして、行政機関の場合は、いわゆる情報公開法の場合と同じで、組織共有という前提で、組織として共有する個人情報がすべて対象になる。ですから、体系化されずに紙の文書として散在しているいわゆる散在情報まで含まれると。この実務上の意義は非常に大きいのではないかと思います。
第二に、民間の場合はファイル管理簿というものの作成義務はありませんが、行政機関は、個別のファイル単位で、名称でありますとか利用目的でありますとか記録項目、提供先等を記載したファイル管理簿の作成、公表が義務付けられているところです。
加えまして、救済制度につきまして、行政機関の場合には、先ほど申し上げましたように不服審査法に基づく不服申立て制度がある。そして、第三者機関であるところの情報公開・個人情報保護審査会に諮問されるという仕組みになっていると。これは情報公開法の実際の運用を考えると大きな意味を持っているのではないかと思うわけです。
それから罰則について考えてみますと、民間の場合、助言がありまして、勧告がある。それでも駄目なら命令が来ると。最後に罰則が来るという間接罰の仕組みになっております。これに対しまして、行政機関の職員の場合は直罰であると。間接罰か直罰かということも大きな差異があるのではないかと思います。
その他、先ほどの識別性のお話でありますとかデータベースであるものについて行政機関の場合は総務大臣への通知の義務があるとかといったような点も厳しくなっていると思います。
このように見てみますと、官にも厳しいものになっているのではないかと評価できるかと思います。
それから最後に、若干の論点につきまして、これまで国会における先生方の審議の中で問題とされております論点について、諸外国との比較を交えて意見を述べさせていただきます。
時間の関係でごく簡単になりますけれども、例えば自己情報コントロール権ということにつきましては、これは我が国の場合も実質上保護されているということと、明文でこの言葉を用いるということになりますと、例えば諸外国でも用いているわけではないということであります。イギリスは法の伝統上用いておりませんし、ドイツは人格権の保護ということで間に合わせておりますし、フランスは検討中であるということであります。
それから、センシティブ情報について申しますと、これも各国の歴史それから各国の国民性を反映しているんですけれども、例えばフランスやアイルランドでは一定の役割を果たすと見ておりますけれども、ドイツやイギリスではそのような考え方は一般的ではないと。さらに、実務的な観点から申しますと、EU指令において相当な例外規定が整備されているということを指摘しておかなければならないと思います。
それから、データのマッチングの問題でございますけれども、これは、確かにアメリカの一九八八年法というのがございますけれども、ただ今日の実務では定型的なマッチングプログラム等は規制の対象から外しているという形で、ネットワーク社会に対応する方向で運用されているという点、これはやむを得ないと考えられている点が重要ではないかと思います。
それから、最後に第三者機関とその役割ということですけれども、これについても第三者機関ということで、例えば欧米の第三者機関などの場合は、新たな問題にオンブズマン的に政策的な見解を表明したり、あるいは事後的に苦情処理を行うということでありまして、事前の細かなチェックをしているということは余りございません。
と申しますのは、個人情報保護の問題というのは、初めは北欧等あるいはフランス等でファイルを管理できる、コンピューターの数が少なかったですから管理できるというところから始まったんですけれども、御存じのように、今日のように文房具、コンピューターが文房具のようになっていると事前に管理することは難しいと。それよりは、現場に近い管理者というものを置きまして、現場に近い管理者を、企業でも行政機関でも個人情報保護担当官といったような方を置いて実際の問題の処理に当たらせるという方向に向かっている、そういう傾向があると思います。
そのように、今幾つか外国の制度を御紹介いたしましたけれども、このようなものを見ましても、それぞれの国の歴史の中で制度が作られているのでありまして、そのような観点から見ますと、このたびの行政機関情報保護法は、一九八八年の現行法を前提としましてかなり現代的なものになっていると評価してよろしいのではないかと思います。
時間が参ったようですので、私の意見陳述はこれで終わらせていただきます。どうも御清聴ありがとうございました。(拍手)
御存じのように、一九八〇年のOECDガイドライン、そこで提唱されております諸原則は、自来二十年以上経過いたしまして、個人情報保護の普遍的指導原理として今日世界の多くの国に取り入れられております。そして、このガイドラインを受けて、我が国でも一九八八年に現行の行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律が制定されたわけであります。
この現行法がこのたび全部改正されることになったわけであります。そのことの意義は、IT社会にありまして、技術が人々の想像もできない速さで進む中、行政機関の保有する個人情報の取扱いにこれまで以上に国民が関心を寄せている中で、非常に大きいものがあると思います。
以下、最初に、行政機関個人情報保護法制を構築する場合の基本的視点、次いで、個人情報の保護という観点から、このたびの法案が現行法よりどこが充実し強化されているかという点、第三に、個人情報の保護に関する法案と官民の比較という意味でどうかという点についてお話しし、最後に、今国会の審議等で議論された若干の論点につきまして、外国法との比較の観点から意見を述べたいと思います。
お手元に、一枚紙でありますが、A4のレジュメがお配りしてございますので、それに基づいてお話をさせていただきたいと存じます。
まず最初に、行政機関個人情報保護法改正の基本的視点というところでございます。
行政機関法制を見直す場合の基本的視点というものを振り返っておきますと、レジュメに四点ほど挙げておきましたようなことになろうかと存じます。まず第一は、現行法の課題を見直す、そして行政部門のIT化、二番目に、個人情報保護法における基本理念を裏付ける必要性、三番目に、個人情報保護法案第四章の義務規定との整合性、四番目に、情報公開法制定時の課題の解決と、四つ挙げてございます。
逐一説明をさせていただきます。
まず第一に、現行法はその制定時の附帯決議にも見られるような改善すべき点を持っておりました。従来の法制がそのような課題を残していたということに加えまして、民間部門ばかりではなく行政部門においても電子政府を進める中でIT化が急速に進んでおり、これに対応する個人情報保護法制を整備する必要がある、行政機関の側でも整備する必要があるということでございます。
第二に、個人情報保護法の基本理念というものを裏付ける制度を行政機関の側でも構築する必要がある。つまり親法であります基本法制を裏付ける制度を構築する必要があるということでございます。
そして、第三番目に、個人情報取扱事業者の義務等について規定しました基本法制の第四章との整合性を確保する必要もあると思います。
それから最後、第四番目に、情報公開法制定時からの、行政改革委員会情報公開部会でも課題とされました個人情報のいわゆる本人開示の問題を解決する必要があります。
このような四つの課題に今立ち向かうという視点から本法案を見ると、当初の目的は達成されているのではないかと私は評価しております。
さてそこで、第二番目に、それでは現行法よりどのような点が充実強化されたかという点についてお話をさせていただきます。
現行法と法案とが異なる点は多々ございますけれども、ここでは現行法より良くなったと評価できる主な点のみ指摘したいと思います。それは以下のとおりでございます。
最も重要なことは、レジュメにも書いてございますように、二の「現行法より充実強化されている点」というところでございますけれども、以下のようなことではないかと思います。
まず第一には、その保護及び対象となる個人情報が拡大されていると、第二に、その開示請求権の充実強化と訂正及び利用停止請求権というものが明記されたということであります。
まず、前者のその対象の拡大ということでございますけれども、例えば、個人識別性における他の情報との照合において、個人情報保護法基本法とは異なり、照合の容易性というものを要求しておりません。これは、基本法制の方が民間部門の負担や利用を考慮して対象個人情報に一定の制限を加えていると、それに対し、公的部門を対象とする行政機関個人情報保護法がより厳格な個人情報保護を目指しているためであるということが言えます。
さらに、同じく対象にかかわりまして、現行法では法の対象となる個人情報は、現行法の名称からもうかがわれますように、電子計算機処理情報であります。しかしながら、本法案はこれを紙等の媒体に記録されている情報、いわゆるマニュアル処理情報にまで拡大しております。
それから、後者の開示請求権というものの充実強化について申しますれば、現行法は個人情報ファイル簿に掲載され公表された処理情報のみを対象とする開示請求制度を設けておりますが、本法案は、行政機関が保有する情報の開示を拡大するという観点から、開示請求の対象情報を行政機関情報公開法の行政文書に記録されている個人情報に一致させ、拡大しております。その上で、例えば、従来地方自治体の条例等で問題となっており、現行法は開示請求の適用除外としております教育情報、医療情報についても、それを請求の対象に含めたわけであります。自己情報の開示の要望にこたえるという意味で、先ほど申し上げました情報公開法制定時の宿題にこたえたものと言えると思います。
そして、訂正等の請求が権利として明記されました。さらに、訂正等がなされた旨の通知に関する規定も置かれております。これに加えて、利用停止等の請求権が保障されております。これらの、開示、訂正、利用停止等の決定等は言うまでもなく行政の処分、いわゆる行政処分でございますから、行政不服審査あるいは行政事件訴訟で争うことができるわけです。不服申立ての段階では、いわゆる行政訴訟の不服申立ての段階では、これは情報公開・個人情報保護審査会への諮問が義務付けられているわけでございまして、これも権利救済の在り方として大きな意味を持ってこようかと思われます。
このほかに、本法案は、例えば利用目的変更の範囲の限定もしております。現行法にはこれは明記されておりませんが、所掌事務の範囲内であれば変更可能であると解されてきたものであります。これが相当の関連性、相当性という縛りを受けることになる。相当性という概念は、確かに不確定な法概念でございますけれども、しかしながら、第三者から見て客観的に相当でなければならないし、また、何が相当かということは、行政手続法というものの存在を前提としますと、一定の基準も必要となってまいりますし、さらに、今後の運用の中で情報公開・個人情報保護審査会による検証を受けていくということになるわけです。
さらにもう一つ、現行法では責務規定、努力義務規定にとどまっております安全確保措置が、本法案では義務規定に強化されております。この点は、個人情報保護の問題と言われるものの多くが、実は多くの国との比較においても、また我が国の近時の動向にかんがみましても、実はセキュリティーの問題であると。セキュリティーの問題であるということを考えると、義務規定化というのは大きな意味を持つのではないかと考えます。
このような点に、その主な点だけを取り上げましても、法案というものは現行法を大幅に拡充強化していると評価できるのではないかと考えております。
それから三番目に、レジュメの三ぽつのところでございますけれども、官民の比較という点からこの法律を眺めてみたいと存じます。
まず、官民の個人情報保有の実態ということでございますけれども、私、これを調べる機会がございまして、システム監査関係の白書を見ておりましたら、それは回答が七百数十件の事業体に限られている、回収率が七百数十のアンケート調査でございますが、その程度の調査でございましても、回答事業体のうちの三〇%近くは百万件以上の個人情報を民間部門一社当たり持っております。これが我が国全体となれば決して民間部門が少ないとは言えないのではないかと思っております。
また、欧米におきましては既に、EU指令を作るその前の段階から、次のような例えを使いまして個人情報保護が民間部門でも重要だということが言われております。すなわち、個人情報保護を侵害しようとする者は国勢調査員の灰色の服を着てやってくるのではなくて、非常にカラフルで魅力的な装いをしてくる、そういう民間部門でこそ危険であるという認識を示しているわけであります。
ただ、それでも、本法案、行政機関法との関係で申しますと、それでも行政機関というのは公権力を行使して行政情報を収集し得る立場にあるわけです。重要な行政情報を大量に保有していることも事実でございます。したがって、その意味で、民間以上に厳格な個人情報保護法制を内容とする立法政策が取られるべきであるわけです。民間部門と申しますのは、自主規制にゆだねるところの多いミニマムな規制、公的部門はできる限り法律で厳格に規制するということであります。その点に行政機関個人情報保護法案の意義もあろうかと存じます。
そこで、今般の行政機関の保有する個人情報の保護に関する法律案と基本法制であります個人情報の保護に関する法律案の個人情報取扱事業者に対する規制を比べてみたいと思います。そうしますと、やはり官に厳しい内容になっていると言ってよいのではないかと思います。
まず第一に、民間部門では、一定規模以上の体系的に整理された個人情報、すなわち、主としてデータベース化された個人情報が対象となるのにとどまっているのに対しまして、行政機関の場合は、いわゆる情報公開法の場合と同じで、組織共有という前提で、組織として共有する個人情報がすべて対象になる。ですから、体系化されずに紙の文書として散在しているいわゆる散在情報まで含まれると。この実務上の意義は非常に大きいのではないかと思います。
第二に、民間の場合はファイル管理簿というものの作成義務はありませんが、行政機関は、個別のファイル単位で、名称でありますとか利用目的でありますとか記録項目、提供先等を記載したファイル管理簿の作成、公表が義務付けられているところです。
加えまして、救済制度につきまして、行政機関の場合には、先ほど申し上げましたように不服審査法に基づく不服申立て制度がある。そして、第三者機関であるところの情報公開・個人情報保護審査会に諮問されるという仕組みになっていると。これは情報公開法の実際の運用を考えると大きな意味を持っているのではないかと思うわけです。
それから罰則について考えてみますと、民間の場合、助言がありまして、勧告がある。それでも駄目なら命令が来ると。最後に罰則が来るという間接罰の仕組みになっております。これに対しまして、行政機関の職員の場合は直罰であると。間接罰か直罰かということも大きな差異があるのではないかと思います。
その他、先ほどの識別性のお話でありますとかデータベースであるものについて行政機関の場合は総務大臣への通知の義務があるとかといったような点も厳しくなっていると思います。
このように見てみますと、官にも厳しいものになっているのではないかと評価できるかと思います。
それから最後に、若干の論点につきまして、これまで国会における先生方の審議の中で問題とされております論点について、諸外国との比較を交えて意見を述べさせていただきます。
時間の関係でごく簡単になりますけれども、例えば自己情報コントロール権ということにつきましては、これは我が国の場合も実質上保護されているということと、明文でこの言葉を用いるということになりますと、例えば諸外国でも用いているわけではないということであります。イギリスは法の伝統上用いておりませんし、ドイツは人格権の保護ということで間に合わせておりますし、フランスは検討中であるということであります。
それから、センシティブ情報について申しますと、これも各国の歴史それから各国の国民性を反映しているんですけれども、例えばフランスやアイルランドでは一定の役割を果たすと見ておりますけれども、ドイツやイギリスではそのような考え方は一般的ではないと。さらに、実務的な観点から申しますと、EU指令において相当な例外規定が整備されているということを指摘しておかなければならないと思います。
それから、データのマッチングの問題でございますけれども、これは、確かにアメリカの一九八八年法というのがございますけれども、ただ今日の実務では定型的なマッチングプログラム等は規制の対象から外しているという形で、ネットワーク社会に対応する方向で運用されているという点、これはやむを得ないと考えられている点が重要ではないかと思います。
それから、最後に第三者機関とその役割ということですけれども、これについても第三者機関ということで、例えば欧米の第三者機関などの場合は、新たな問題にオンブズマン的に政策的な見解を表明したり、あるいは事後的に苦情処理を行うということでありまして、事前の細かなチェックをしているということは余りございません。
と申しますのは、個人情報保護の問題というのは、初めは北欧等あるいはフランス等でファイルを管理できる、コンピューターの数が少なかったですから管理できるというところから始まったんですけれども、御存じのように、今日のように文房具、コンピューターが文房具のようになっていると事前に管理することは難しいと。それよりは、現場に近い管理者というものを置きまして、現場に近い管理者を、企業でも行政機関でも個人情報保護担当官といったような方を置いて実際の問題の処理に当たらせるという方向に向かっている、そういう傾向があると思います。
そのように、今幾つか外国の制度を御紹介いたしましたけれども、このようなものを見ましても、それぞれの国の歴史の中で制度が作られているのでありまして、そのような観点から見ますと、このたびの行政機関情報保護法は、一九八八年の現行法を前提としましてかなり現代的なものになっていると評価してよろしいのではないかと思います。
時間が参ったようですので、私の意見陳述はこれで終わらせていただきます。どうも御清聴ありがとうございました。(拍手)
発言情報
speech_id: 115614196X00820030520_005
発言者: 藤原靜雄
speaker_id: 16822
日付: 2003-05-20
院: 参議院
会議名: 個人情報の保護に関する特別委員会