宇賀克也
内閣委員会
宇賀克也の発言 (内閣委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○宇賀参考人 東京大学の宇賀と申します。
本日は、本委員会において参考人として意見を述べる機会を与えていただきましたことに御礼申し上げます。
私は、二〇〇三年に、衆議院の個人情報の保護に関する特別委員会で、個人情報保護関係五法案について参考人として意見を述べさせていただきました。個人情報保護関係五法の成立は、我が国の個人情報保護法制を大きく改善するものであり、画期的な意義があったと考えております。しかし、それから約十二年が経過し、その大幅な見直しが必要な時期になったと思われ、このたび個人情報の保護に関する法律の改正案が国会に提出されましたことは、時宜にかなったものと言えると存じます。
以下、そのように考える理由につきまして敷衍させていただきます。
まず、この約十二年の間に、IT化が急速に進行し、ビッグデータ社会が到来したことであります。そして、パーソナルデータにつきましても、個人情報保護関係五法制定時には想像できなかったような膨大な量が収集され、また、当時の想定を超えた多様な利用方法が可能になってまいりました。これにより、さまざまな新サービスが創出される可能性が生ずるものの、パーソナルデータのうち、どの範囲のものが個人情報に該当するかが明確でないため、利活用をちゅうちょするという、利活用の壁が問題とされることになりました。
他方において、消費者の側からは、自分のパーソナルデータが知らないうちに大量に収集され、利用、提供されているのではないかという不安が高まっております。
そのような状況のもとで、個人情報の範囲の明確化を図り、匿名加工情報というカテゴリーを設けてプライバシー保護を図りつつ、匿名加工情報の取り扱いのルールを明確化することは、ビッグデータ社会におけるパーソナルデータの保護と利用の調和を図る試みと評価できるものと思われます。
次に、個人情報の保護に関する法律の運用経験を通じて明らかになった不備の見直しの必要性について申し上げます。
個人情報保護関係五法の成立は、我が国の個人情報保護の歴史において大きな前進であったと言えるものの、二〇〇五年四月一日の全面施行から約十年の間に、改善が必要な面が明らかになってまいりました。
個人情報の保護に関する法律の施行にもかかわらず、個人データの大量漏えい事件は後を絶たず、十分な安全管理措置を講じていると消費者が期待していた大企業からの漏えいも少なからず発生いたしました。とりわけ、昨年七月に発覚した大手の教育事業関係企業からの個人データの大量漏えいは、複数の名簿事業者を経て、競争相手の企業が当該個人データを取得し、そのダイレクトメールを送られた消費者の口コミサイトへの書き込みが、流出元企業による調査の端緒となったと言われております。
不正に取得した個人情報であっても容易に名簿業者に売却して利益を得ることができたこと、個人情報が不正に取得され転々流通している段階では、個人情報の本人は全くそのことを認識できず、流出元企業にのみ知らせたはずの情報を用いたダイレクトメールが他社から届いて初めて流出の可能性を認識できたこと、捜査当局ですら個人データの流通経路を明らかにすることが困難であったこと、この事案の場合には、個人情報を不正に取得した派遣社員は不正競争防止法違反で起訴されましたが、営業秘密の要件を満たしていない場合には同法違反で立件することはできないという限界があることなど、現行法制の大きな限界が浮き彫りにされたものと思われます。
オプトアウト手続がとられていることを消費者が認識することがほぼ不可能であり、この手続が形骸化している現状を踏まえ、改正案では、オプトアウト手続をとることについて、個人情報保護委員会に届け出ることを義務づけ、個人情報保護委員会が届け出られた事項を公表することにより、消費者がオプトアウトの申し出をするために必要な情報及び個人情報保護委員会がオプトアウト手続が適法に行われているかを監督するために必要な情報の把握を容易にしております。
また、個人データを第三者に提供するに当たり、提供の日時や提供先に関する記録の作成及び保存を義務づけ、受領する者に対しましても、受領の日時や提供者に関する記録の作成及び保存を義務づけ、さらに、提供者による取得の経緯を確認し、その記録を作成、保存する義務を課しております。これは、個人データのトレーサビリティーを確保する上で重要な改善であると考えております。
また、データベース提供罪の創設により、不正競争防止法等、他の法律の犯罪構成要件に合致しない場合であっても、個人情報取扱事業者もしくはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときに直罰を科すことができることとなることは、抑止力を高めるものであり、大変望ましいと考えております。
また、個人情報の保護に関する法律は、個人情報の性質及び利用方法に鑑み、個人の権利利益の一層の保護を図るため特にその適正な取り扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずる旨の規定を設けており、これを受けて、個人情報の保護に関するガイドラインでは、機微情報についての規定を設けたものも少なくありません。
個人情報の保護に関する基本方針及び国会における附帯決議において、機微情報の典型として適切な措置が求められた医療情報につきましては、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」が制定され、法律が定める措置以上の措置をとるように努めることとされました。このガイドラインの制定は意義のあることであり、また、実際、このガイドラインを誠実に遵守している医療関係者も少なくない一方、このガイドライン制定後十年以上を経た今日においても、日常最も身近に訪れるコミュニティーの診療所などでは、ガイドラインの存在自体が十分に認識されていないと感じることもまれでありません。
やはり、機微情報の特別の保護については法律自体に定めることが望ましく、地方公共団体の個人情報保護条例の大半は機微情報についての特別の保護規定を設けておりますし、EU個人データ保護指令におきましても機微情報についての規定を設けております。
本委員会で審査中の改正案におきましては、要配慮個人情報について、取得の原則禁止、オプトアウト手続による第三者提供の禁止の規定が設けられており、この点も重要な前進と考えております。
続いて、グローバル化との関係について申し上げます。
個人情報の保護に関する法律制定後約十二年の間に企業活動のグローバル化が一層進行し、個人データが国境を越えて流通することが当然のように行われる時代になりました。
改正案では、日本に拠点を置かずに、外国から日本国内の利用者に対してインターネット上で直接に商品を販売したりサービスを提供したりする事業者にも、我が国の個人情報の保護に関する法律が原則として適用されることが明確にされ、また、外国の執行当局への情報提供に関する規定も設けられております。さらに、個人情報保護の水準が低い海外事業者に個人データが提供されることにより個人データの漏えい等の危険が高まる事態を避ける必要がございますので、この点についてのルールを整備する規定が設けられることも望ましい改正と考えております。
さらに、特定個人情報保護委員会を改組して、個人情報全般を所掌する個人情報保護委員会の設置を行う改正も、時宜にかなったものと考えております。
現行の個人情報の保護に関する法律が採用している主務大臣制は、事業を所管する立場から事業内容について知識を蓄積し、個人情報保護についても指針を示して業界に自主規制を行わせてきた経験を有する事業所管大臣に監督させることの実効性等を考慮して採用されたものであり、その当時の判断としては理解できる面がございました。
しかし、ビッグデータ時代には、府省の所掌事務の境界を越えてパーソナルデータが利活用される場面が一層増加するものと予想され、その場合、主務大臣を定めるのに時間がかかり、機動的な法執行が困難になったり、複数の主務大臣による重畳的な法執行が行われ、事業者に過度な負担を課すことになる事案が増加することも想定されます。
また、個人情報の保護に関する法律の執行に対する国民の信頼を確保するとともに、EUの十分性認定を受けるためにも、独立性の保障された第三者機関の存在が必要であり、この面からも、個人情報保護委員会の設置は歓迎されるものであります。
ただし、膨大な数の個人情報取扱事業者等を監督することになりますので、事務局の定員、予算の十分な拡充が期待されます。
改正案が、取り扱う個人情報の量による適用除外を廃止する一方、個人の権利利益を侵害する危険性の小さいものを個人情報データベース等から除外することとしていることにも、賛意を表したいと存じます。
事業者が取り扱う個人情報の量が小さくても、その漏えいにより個人の権利利益の重大な侵害が生じ得ることは言うまでもなく、かかる事業者も個人情報保護のための適切な措置を講ずべきは当然であると考えます。もっとも、取り扱う個人情報の量が小さい事業者の中には資金力の乏しい小規模事業者が少なくないと思われますが、その点につきましては、附則十一条の規定を踏まえて、安全管理措置について、取り扱う個人データの性質や事業者の資金力等を勘案して、講ずべき措置の内容を柔軟に定めることで対応可能と考えます。
附則十二条三項におきまして、施行後三年ごとの見直し規定が置かれていることも大変望ましいと考えております。
私は、昨年、行政不服審査法関連三法案につきまして、参議院総務委員会において、参考人として、法律施行後一定期間経過後の見直し規定が置かれることは望ましいが、本来、通則法は一定期間が経過するごとに見直すべきであるという意見を述べさせていただきました。
改正案の附則十二条三項は、施行後三年の経過を目途とした見直しにとどまらず、三年ごとの見直しを規定するものであり、通則法の理想的な見直し規定であると考えております。
個人情報の保護に関する法律の改正案についての全般的な評価を申し上げさせていただきますと、個人情報の保護と利用についてのポジティブサムを志向したものであると認識しております。
オンタリオ州の情報・プライバシーコミッショナーを長年務めたアン・カブキアン博士が提唱し、二〇一〇年の第三十二回国際データ保護プライバシー・コミッショナー会議で満場一致で決議されたプライバシー・バイ・デザインの要素の一つは、個人情報の保護と利用をゼロサムではなくポジティブサムで捉え、個人情報の利用がもたらす便益を損なうことなくプライバシーも保護するというものでございます。
改正案には、個人情報の利用を重視する部分と個人情報の保護を重視する部分が併存しておりますが、個人情報の利用を重視する部分につきましても、個人情報保護を犠牲にして利用を図るというゼロサムな発想ではなく、従前と同様に、個人情報を保護しつつ利用を促進するというポジティブサムの考えを基礎にしているものと思われますし、個人情報の保護を重視する部分も、それにより個人情報の取り扱いに対する国民や諸外国の信頼を確保することがマクロで見れば個人情報の健全な利用の促進につながるという認識に基づくものと言えると思われます。
このように、個人情報の保護と利用をゼロサムではなくポジティブサムな発想で考えることが望ましいと思われますが、改正案では、詳細なルールにつきましては、政令、個人情報保護委員会規則、認定個人情報保護団体の個人情報保護指針等で定めることとしておりますので、実効性のあるマルチステークホルダープロセスを経たルールづくりが行われることを期待したいと存じます。
最後に、マイナンバー法改正案につきまして一言述べさせていただきます。
マイナンバー法における個人番号利用事務実施者並びに情報照会者及び情報提供者としての地方公共団体の比重は極めて大きく、それだけに、地方公共団体の意見を十分に反映した制度設計が不可欠と考えております。このたびの改正案では、地方公共団体の要望を踏まえて、特定優良賃貸住宅に関する事務におけるマイナンバーの利用、マイナンバー利用独自事務における情報提供ネットワークシステムの利用を認めることとされております。
今後も、地方公共団体の要望を十分に聴取し、それを踏まえてマイナンバー法についての制度の見直しをタイムリーに行っていただきたいと存じます。
以上で私の意見陳述を終わらせていただきます。
御清聴どうもありがとうございました。(拍手)
本日は、本委員会において参考人として意見を述べる機会を与えていただきましたことに御礼申し上げます。
私は、二〇〇三年に、衆議院の個人情報の保護に関する特別委員会で、個人情報保護関係五法案について参考人として意見を述べさせていただきました。個人情報保護関係五法の成立は、我が国の個人情報保護法制を大きく改善するものであり、画期的な意義があったと考えております。しかし、それから約十二年が経過し、その大幅な見直しが必要な時期になったと思われ、このたび個人情報の保護に関する法律の改正案が国会に提出されましたことは、時宜にかなったものと言えると存じます。
以下、そのように考える理由につきまして敷衍させていただきます。
まず、この約十二年の間に、IT化が急速に進行し、ビッグデータ社会が到来したことであります。そして、パーソナルデータにつきましても、個人情報保護関係五法制定時には想像できなかったような膨大な量が収集され、また、当時の想定を超えた多様な利用方法が可能になってまいりました。これにより、さまざまな新サービスが創出される可能性が生ずるものの、パーソナルデータのうち、どの範囲のものが個人情報に該当するかが明確でないため、利活用をちゅうちょするという、利活用の壁が問題とされることになりました。
他方において、消費者の側からは、自分のパーソナルデータが知らないうちに大量に収集され、利用、提供されているのではないかという不安が高まっております。
そのような状況のもとで、個人情報の範囲の明確化を図り、匿名加工情報というカテゴリーを設けてプライバシー保護を図りつつ、匿名加工情報の取り扱いのルールを明確化することは、ビッグデータ社会におけるパーソナルデータの保護と利用の調和を図る試みと評価できるものと思われます。
次に、個人情報の保護に関する法律の運用経験を通じて明らかになった不備の見直しの必要性について申し上げます。
個人情報保護関係五法の成立は、我が国の個人情報保護の歴史において大きな前進であったと言えるものの、二〇〇五年四月一日の全面施行から約十年の間に、改善が必要な面が明らかになってまいりました。
個人情報の保護に関する法律の施行にもかかわらず、個人データの大量漏えい事件は後を絶たず、十分な安全管理措置を講じていると消費者が期待していた大企業からの漏えいも少なからず発生いたしました。とりわけ、昨年七月に発覚した大手の教育事業関係企業からの個人データの大量漏えいは、複数の名簿事業者を経て、競争相手の企業が当該個人データを取得し、そのダイレクトメールを送られた消費者の口コミサイトへの書き込みが、流出元企業による調査の端緒となったと言われております。
不正に取得した個人情報であっても容易に名簿業者に売却して利益を得ることができたこと、個人情報が不正に取得され転々流通している段階では、個人情報の本人は全くそのことを認識できず、流出元企業にのみ知らせたはずの情報を用いたダイレクトメールが他社から届いて初めて流出の可能性を認識できたこと、捜査当局ですら個人データの流通経路を明らかにすることが困難であったこと、この事案の場合には、個人情報を不正に取得した派遣社員は不正競争防止法違反で起訴されましたが、営業秘密の要件を満たしていない場合には同法違反で立件することはできないという限界があることなど、現行法制の大きな限界が浮き彫りにされたものと思われます。
オプトアウト手続がとられていることを消費者が認識することがほぼ不可能であり、この手続が形骸化している現状を踏まえ、改正案では、オプトアウト手続をとることについて、個人情報保護委員会に届け出ることを義務づけ、個人情報保護委員会が届け出られた事項を公表することにより、消費者がオプトアウトの申し出をするために必要な情報及び個人情報保護委員会がオプトアウト手続が適法に行われているかを監督するために必要な情報の把握を容易にしております。
また、個人データを第三者に提供するに当たり、提供の日時や提供先に関する記録の作成及び保存を義務づけ、受領する者に対しましても、受領の日時や提供者に関する記録の作成及び保存を義務づけ、さらに、提供者による取得の経緯を確認し、その記録を作成、保存する義務を課しております。これは、個人データのトレーサビリティーを確保する上で重要な改善であると考えております。
また、データベース提供罪の創設により、不正競争防止法等、他の法律の犯罪構成要件に合致しない場合であっても、個人情報取扱事業者もしくはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときに直罰を科すことができることとなることは、抑止力を高めるものであり、大変望ましいと考えております。
また、個人情報の保護に関する法律は、個人情報の性質及び利用方法に鑑み、個人の権利利益の一層の保護を図るため特にその適正な取り扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずる旨の規定を設けており、これを受けて、個人情報の保護に関するガイドラインでは、機微情報についての規定を設けたものも少なくありません。
個人情報の保護に関する基本方針及び国会における附帯決議において、機微情報の典型として適切な措置が求められた医療情報につきましては、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」が制定され、法律が定める措置以上の措置をとるように努めることとされました。このガイドラインの制定は意義のあることであり、また、実際、このガイドラインを誠実に遵守している医療関係者も少なくない一方、このガイドライン制定後十年以上を経た今日においても、日常最も身近に訪れるコミュニティーの診療所などでは、ガイドラインの存在自体が十分に認識されていないと感じることもまれでありません。
やはり、機微情報の特別の保護については法律自体に定めることが望ましく、地方公共団体の個人情報保護条例の大半は機微情報についての特別の保護規定を設けておりますし、EU個人データ保護指令におきましても機微情報についての規定を設けております。
本委員会で審査中の改正案におきましては、要配慮個人情報について、取得の原則禁止、オプトアウト手続による第三者提供の禁止の規定が設けられており、この点も重要な前進と考えております。
続いて、グローバル化との関係について申し上げます。
個人情報の保護に関する法律制定後約十二年の間に企業活動のグローバル化が一層進行し、個人データが国境を越えて流通することが当然のように行われる時代になりました。
改正案では、日本に拠点を置かずに、外国から日本国内の利用者に対してインターネット上で直接に商品を販売したりサービスを提供したりする事業者にも、我が国の個人情報の保護に関する法律が原則として適用されることが明確にされ、また、外国の執行当局への情報提供に関する規定も設けられております。さらに、個人情報保護の水準が低い海外事業者に個人データが提供されることにより個人データの漏えい等の危険が高まる事態を避ける必要がございますので、この点についてのルールを整備する規定が設けられることも望ましい改正と考えております。
さらに、特定個人情報保護委員会を改組して、個人情報全般を所掌する個人情報保護委員会の設置を行う改正も、時宜にかなったものと考えております。
現行の個人情報の保護に関する法律が採用している主務大臣制は、事業を所管する立場から事業内容について知識を蓄積し、個人情報保護についても指針を示して業界に自主規制を行わせてきた経験を有する事業所管大臣に監督させることの実効性等を考慮して採用されたものであり、その当時の判断としては理解できる面がございました。
しかし、ビッグデータ時代には、府省の所掌事務の境界を越えてパーソナルデータが利活用される場面が一層増加するものと予想され、その場合、主務大臣を定めるのに時間がかかり、機動的な法執行が困難になったり、複数の主務大臣による重畳的な法執行が行われ、事業者に過度な負担を課すことになる事案が増加することも想定されます。
また、個人情報の保護に関する法律の執行に対する国民の信頼を確保するとともに、EUの十分性認定を受けるためにも、独立性の保障された第三者機関の存在が必要であり、この面からも、個人情報保護委員会の設置は歓迎されるものであります。
ただし、膨大な数の個人情報取扱事業者等を監督することになりますので、事務局の定員、予算の十分な拡充が期待されます。
改正案が、取り扱う個人情報の量による適用除外を廃止する一方、個人の権利利益を侵害する危険性の小さいものを個人情報データベース等から除外することとしていることにも、賛意を表したいと存じます。
事業者が取り扱う個人情報の量が小さくても、その漏えいにより個人の権利利益の重大な侵害が生じ得ることは言うまでもなく、かかる事業者も個人情報保護のための適切な措置を講ずべきは当然であると考えます。もっとも、取り扱う個人情報の量が小さい事業者の中には資金力の乏しい小規模事業者が少なくないと思われますが、その点につきましては、附則十一条の規定を踏まえて、安全管理措置について、取り扱う個人データの性質や事業者の資金力等を勘案して、講ずべき措置の内容を柔軟に定めることで対応可能と考えます。
附則十二条三項におきまして、施行後三年ごとの見直し規定が置かれていることも大変望ましいと考えております。
私は、昨年、行政不服審査法関連三法案につきまして、参議院総務委員会において、参考人として、法律施行後一定期間経過後の見直し規定が置かれることは望ましいが、本来、通則法は一定期間が経過するごとに見直すべきであるという意見を述べさせていただきました。
改正案の附則十二条三項は、施行後三年の経過を目途とした見直しにとどまらず、三年ごとの見直しを規定するものであり、通則法の理想的な見直し規定であると考えております。
個人情報の保護に関する法律の改正案についての全般的な評価を申し上げさせていただきますと、個人情報の保護と利用についてのポジティブサムを志向したものであると認識しております。
オンタリオ州の情報・プライバシーコミッショナーを長年務めたアン・カブキアン博士が提唱し、二〇一〇年の第三十二回国際データ保護プライバシー・コミッショナー会議で満場一致で決議されたプライバシー・バイ・デザインの要素の一つは、個人情報の保護と利用をゼロサムではなくポジティブサムで捉え、個人情報の利用がもたらす便益を損なうことなくプライバシーも保護するというものでございます。
改正案には、個人情報の利用を重視する部分と個人情報の保護を重視する部分が併存しておりますが、個人情報の利用を重視する部分につきましても、個人情報保護を犠牲にして利用を図るというゼロサムな発想ではなく、従前と同様に、個人情報を保護しつつ利用を促進するというポジティブサムの考えを基礎にしているものと思われますし、個人情報の保護を重視する部分も、それにより個人情報の取り扱いに対する国民や諸外国の信頼を確保することがマクロで見れば個人情報の健全な利用の促進につながるという認識に基づくものと言えると思われます。
このように、個人情報の保護と利用をゼロサムではなくポジティブサムな発想で考えることが望ましいと思われますが、改正案では、詳細なルールにつきましては、政令、個人情報保護委員会規則、認定個人情報保護団体の個人情報保護指針等で定めることとしておりますので、実効性のあるマルチステークホルダープロセスを経たルールづくりが行われることを期待したいと存じます。
最後に、マイナンバー法改正案につきまして一言述べさせていただきます。
マイナンバー法における個人番号利用事務実施者並びに情報照会者及び情報提供者としての地方公共団体の比重は極めて大きく、それだけに、地方公共団体の意見を十分に反映した制度設計が不可欠と考えております。このたびの改正案では、地方公共団体の要望を踏まえて、特定優良賃貸住宅に関する事務におけるマイナンバーの利用、マイナンバー利用独自事務における情報提供ネットワークシステムの利用を認めることとされております。
今後も、地方公共団体の要望を十分に聴取し、それを踏まえてマイナンバー法についての制度の見直しをタイムリーに行っていただきたいと存じます。
以上で私の意見陳述を終わらせていただきます。
御清聴どうもありがとうございました。(拍手)
発言情報
speech_id: 118904889X00520150513_002
発言者: 宇賀克也
speaker_id: 21864
日付: 2015-05-13
院: 衆議院
会議名: 内閣委員会