清水勉
総務委員会
清水勉の発言 (総務委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○参考人(清水勉君) 日本弁護士連合会情報問題対策委員会の委員の清水と申します。
お手元に意見のメモをお配りをしております。第一から三ページまでのところは日弁連の意見としまして、四ページ以下は私の個人的な意見です。断続しているわけではないんですけれども、日弁連の委員として来ているものですから、まず日弁連の見解というものを御説明した上で私の意見を述べさせていただきます。
日弁連といたしましては、個人情報保護の問題に関しましては、第三者機関によるチェックという仕組みが必要だということを住基ネットが施行された二〇〇二年の人権大会のときから提起をしておりまして、以後、事あるごとにこの第三者機関をということを申し上げてきました。
マイナンバー法の成立に関しましては、実は、反対はしておりましたけれども、当委員会としましては条文作りにつきましてもかなり意見を常々申し上げておりまして、その中でマイナンバーについては第三者機関を入れるべきではないかということを検討しまして、また各党にもお願いに回りまして御了解を得て、マイナンバー法の中には第三者機関が入るということになりました。その後さらに、今回新たにできました改正個人情報保護法の中では第三者機関、民間については全般的に及ぶというものになりました。
そういった意味では、日弁連が二〇〇二年に提案してきたことが民間の方に関しては実現をしてきたということが言えるというふうに考えています。
ですが、行政機関の方について見ますと、法案はまだ不十分ではないかということを考えております。ここでは、非識別加工情報の取扱いについてのみ個人情報保護委員会が官民を通じて一元的に所管をするということになっております。また、全ての行政機関、独立行政法人における個人情報の取扱い全般について、個人情報保護委員会が監視、監督する権限を与えるべきだというふうに考えております。
二番目に書きましたものは、これまで日弁連が独立性の強い第三者機関をということで提案をしてきたものの意見の紹介であります。
法案提出までの第三者機関に関する経緯としまして、三のところで説明をしております。
四のところですけれども、行政機関が保有するパーソナルデータの特質としまして、法令上の根拠に基づいて行政事務の遂行のために必要な範囲内で収集、保有をし、これには本人は選択の余地はありません。ここが民間と基本的に違うところでありまして、民間のところは、どこにそれを提供するかということ、考え方としては基本的に自由でありまして、一定もう出さないことによって契約ができないこともあれば、それでも構わないというようなこともありますけれども、行政の場合にはそういう選択は基本的にありません。また、病歴、収入、資産等のセンシティブ情報があり、プライバシー保護の必要性が高いということもありますし、民間と違いまして、行政の場合には個人情報の蓄積が非常に長期間のものであり、また全国的に組織的にということがあります。
ただ、ここで一つ注意しなければいけないのは、今回の法律の不十分性にも関連するんですが、個人情報がある行政組織はどこかといいますと、国の行政機関ではなくて、県ではなくて、市町村が一番多いということであります。したがいまして、市町村が持っている個人情報についてそれをどうするのかということを考えないと、それに対して、じゃ、県はどう関わるのか、国はどう関わるのかという関係性になるのでありまして、この法律の附則の四条を見ると自治体の方まで考慮していることは分かるんですけれども、これがトップダウン方式になっておりまして、むしろボトムアップ的に考えていくべきではないかというふうに考えます。
行政機関における違法、不当な取扱い例としましてここに幾つか例を挙げましたけれども、防衛省における情報公開請求者リスト事件がありましたし、また、自衛隊情報保全隊による情報収集活動の問題もありまして、これは仙台地裁、仙台高裁で一部違法という判決を得ています。それから、警視庁公安部のテロ捜査資料の流出事件でも、これも東京地裁で違法という判断が一部ではありますがなされています。また、有名なものとしては、日本年金機構からの大量漏えい事件というものが二〇一五年に起こっています。
総務省の研究会では、今回いただいた資料の中にも出ていますけれども、第三者機関にさせることについてはワークしないんだという言葉がキーワードのように使われておりますけれども、特定個人情報の取扱い、行政機関も個人情報保護委員会が監督をし、非識別加工情報、これも同様。では、個人情報全般について監督できないのはなぜか、ここには理由がないのではないかと。
むしろ、こういう穴の空け方というのは、情報をどこからを識別でき、どこからは識別できないかという判断も微妙な問題がありますし、これからますますいろんな形で個人情報というものを扱う場面が出てくると思います。そうしたときに、それぞれが自分の所管ではないというような考え方をしても困るわけでありまして、これは全般的に第三者機関というふうになっていかなければいけないのではないかというふうに考えます。ここにEUの十分性認定が受けられないことの原因が一つあるのではないかと思います。
それと、先ほど申し上げました、個人情報については、行政の現場では最も大量の個人情報があるのは市町村であるということであります。これは各自治体の条例で取り扱われるということになっておりますので、非常にそこは大きな問題です。全ての行政機関等の個人情報の取扱いにつき、個人情報保護委員会が監視、監督する制度にすべきであるというのが当委員会の考え、日弁連の考え方であります。
非識別加工情報についてですけれども、一般に、行政機関等の保有するパーソナルデータは取得プロセスの権力性、義務性、秘匿性が高いという特性があります。このようなパーソナルデータを商業目的で利活用することは、本人の予測の範囲を逸脱した目的外利用であり、プライバシー侵害のおそれがあるのではないかということでまとめさせていただいております。
以下は個人の見解ですけれども、そもそもなぜパーソナルデータの扱いに慎重な立場を取る必要があるのかということでありますけれども、昨今、パーソナルデータの収集、蓄積、検索、編集が誰にでも極めて容易にできる情報環境社会になっているということであります。つまり、大人でないとできないとか日本社会にいる人でないとできないとかというものではなくて、世界中どこにいる人であろうが子供であろうが誰であろうができると、その人が扱う動機が何であれできるという環境であります。
パーソナルデータは、一旦外部流出した場合、それ以上に広がることはあっても、なかったことにすることはできません。本人が気付かないうちに広がり、利用され、悪用され、本人が不利益を被るということが起こり得ます。誰がいつどのようなパーソナルデータを悪用するかは予測不可能であり、情報は有体物ではありませんので、不正利用している者以外には不正利用されているということが判明しづらいという現実があります。ここは有体物と違うところであります。
危険な情報環境、制度設計と運用、これをつくらないということが課題になるということであります。ここで課題と言いましたのは正解がないということであります。どういう方向性で考えていくべきかという方向をきちんと見据えて、つまり利活用と保護というものをどういうふうにバランスを取っていくかということを、環境が変わるごとにどんどんバージョンアップしていかなければいけないということであります。
我が国の個人情報保護法制の基本的な価値観ということですけれども、EUとアメリカというのが一つの比較になるかと思うんですけれども、EUの方は個人の尊厳を重視、政府や制度が個人の判断が及ばない部分を守る必要があるという観点があります。これに対して米国の方は、個人の自由、プライバシーというものが自己決定権というふうな意味で使われることもあります。政府の介入を基本的に嫌うということがあります。
この連休中、私の事務所の弁護士がアメリカ・ニューヨークに行きまして、この問題について弁護士さん、行政の方たちと話をしてきましたが、最近プライバシーという言葉でアメリカでは判決は出ていません。これはなぜかというと、プライバシーという説明の仕方で切るのではなくて、例えばイスラムの人たちの情報ばかりを集めるという問題については、プライバシー侵害の問題ではなくて平等原則違反という、つまり違った説明の仕方で切っておりまして、プライバシーの概念がどうするかによって変えてしまうのではなくて、この局面で何が問題になっているかということをよく考えて制度設計していくというのがアメリカの考え方というふうに考えた方がいいかと思います。そこの基本にあるのは個人の自由、自由に選択をしていくという価値観。これは、いわゆる移民国家として様々な民族が世界中から集まっている国家としてはそのような、まあ日本のように日本にずっと生まれ育って生きてきた人たちがいる社会のような考え方とは違うものになるということは、これは社会のありようとしてうなずけるところであります。
しかし、制度としてEUとアメリカはかなり違います。ただ、その中核として守るべきは、先ほど出ました医療の情報についても、こういうことは守るべきだよねという考え方はあったとしても、それをどう守るかというところについての理屈の立て方、制度のつくり方のところに違いがありますので、日本はどうすべきなのかということを、どこかのまねということではなくて、この国ではどうすべきかということを考えていくべきなんだろうと思います。
具体的なニーズを前提としない制度設計は無駄であり、無謀だということであります。
今回のことにつきましても、お配りいただいた資料でヒアリングをした資料がたしかあったと思うんですが、経済界からの意見の部分を見させていただいたんですけれども、そこで、百四ページ、百五ページですね、ここを見てがっかりしたんですけれども、つまり、要するに、使えるといいよねと言っているだけでありまして、何がしたいのかということが具体的にないことです。
様々な微妙な問題があるだけに、何がしたいのかということを具体的に提案をしていただくならば、どういう制度がある、どういうふうな法改正が必要だと具体的に言えるんですけれども、余りざっくりと言われてしまうと、やはり微妙な問題がたくさんあるだけに、こういったものが動機となって法律を作っていくというのはよろしくないのではないかというふうに考えております。
過去の例でいいますと、住基ネットがうまくいかなかったという原因は、市町村のネットワークでいいんですかというのを私としては意見を持っていました。つまり、市町村にニーズがないところにネットワークをつくるというのは、そこで各それぞれに責任を負わせるという仕組みは非常に問題があるのではないかというふうに思います。
マイナンバー制度についても、社会保障と税の一体改革というスローガンでやってしまいましたけれども、スローガンと具体的な制度設計というのは、これはなかなか結び付きません。ですので、ここにも難しい問題があったというふうに考えております。
飛ばしていただきまして、二千個問題のことについて一言言わせていただきますと、衆議院のときには新潟の鈴木先生が、様々な主体があって条文が違う、こんなに違っているんだというお話をされたんですけれども、条文の問題ではなくて、むしろ先ほど山本先生がおっしゃったように、誰が責任を持って管理するかということの方が重要であります。
条文のことについて言うと、それが、実際にはこの手の問題は、情報公開条例も個人情報保護条例も、どこかの自治体で幾つかサンプル的なものができると、よその自治体はほとんどそれをまねして作るというやり方をしていますので、条文は多少言い回しが違っていてもそれほど大きな差はありません。
例えば、認知症の行方不明者の情報公開について積極的な県、千葉県、静岡県などがある一方で、舛添東京都知事は、厚労省が公表すべきだと指摘していましたけれども、しばらく拒絶をしていました。その後、私の方でも新聞記者の方にいろいろとレクをしまして、東京都は方針を変えています。
参考として、六ページに東京都の個人情報保護条例と静岡県の個人情報保護条例を挙げています。これ、アンダーラインを引いているところは、このアンダーラインの解釈によって千葉県や静岡県のようにすることはできるんです。なのに東京都はしなかったというのは、これは知事の判断でそうしていないというだけの問題でありまして、とても人間的です。ですから、この解釈、運用をもっと合理的にしていくという必要があるのと、それから責任主体をもっと統一化していくと。
どういう責任主体をつくっていくかということも考えていく必要があります。自治体が個人情報を持っているときに、そこで集めて使っていることに対して、よその人間が全部それについて責任を持つということはできません。ですので、個人情報一本という形でつくっていくこともできるかもしれませんけれども、それぞれの利用目的の範囲内で使う、あるいは共有するというものを一つの法律で作りながら、責任の明確化ということを目指していく必要があるのではないかというふうに考えます。
ありがとうございました。
お手元に意見のメモをお配りをしております。第一から三ページまでのところは日弁連の意見としまして、四ページ以下は私の個人的な意見です。断続しているわけではないんですけれども、日弁連の委員として来ているものですから、まず日弁連の見解というものを御説明した上で私の意見を述べさせていただきます。
日弁連といたしましては、個人情報保護の問題に関しましては、第三者機関によるチェックという仕組みが必要だということを住基ネットが施行された二〇〇二年の人権大会のときから提起をしておりまして、以後、事あるごとにこの第三者機関をということを申し上げてきました。
マイナンバー法の成立に関しましては、実は、反対はしておりましたけれども、当委員会としましては条文作りにつきましてもかなり意見を常々申し上げておりまして、その中でマイナンバーについては第三者機関を入れるべきではないかということを検討しまして、また各党にもお願いに回りまして御了解を得て、マイナンバー法の中には第三者機関が入るということになりました。その後さらに、今回新たにできました改正個人情報保護法の中では第三者機関、民間については全般的に及ぶというものになりました。
そういった意味では、日弁連が二〇〇二年に提案してきたことが民間の方に関しては実現をしてきたということが言えるというふうに考えています。
ですが、行政機関の方について見ますと、法案はまだ不十分ではないかということを考えております。ここでは、非識別加工情報の取扱いについてのみ個人情報保護委員会が官民を通じて一元的に所管をするということになっております。また、全ての行政機関、独立行政法人における個人情報の取扱い全般について、個人情報保護委員会が監視、監督する権限を与えるべきだというふうに考えております。
二番目に書きましたものは、これまで日弁連が独立性の強い第三者機関をということで提案をしてきたものの意見の紹介であります。
法案提出までの第三者機関に関する経緯としまして、三のところで説明をしております。
四のところですけれども、行政機関が保有するパーソナルデータの特質としまして、法令上の根拠に基づいて行政事務の遂行のために必要な範囲内で収集、保有をし、これには本人は選択の余地はありません。ここが民間と基本的に違うところでありまして、民間のところは、どこにそれを提供するかということ、考え方としては基本的に自由でありまして、一定もう出さないことによって契約ができないこともあれば、それでも構わないというようなこともありますけれども、行政の場合にはそういう選択は基本的にありません。また、病歴、収入、資産等のセンシティブ情報があり、プライバシー保護の必要性が高いということもありますし、民間と違いまして、行政の場合には個人情報の蓄積が非常に長期間のものであり、また全国的に組織的にということがあります。
ただ、ここで一つ注意しなければいけないのは、今回の法律の不十分性にも関連するんですが、個人情報がある行政組織はどこかといいますと、国の行政機関ではなくて、県ではなくて、市町村が一番多いということであります。したがいまして、市町村が持っている個人情報についてそれをどうするのかということを考えないと、それに対して、じゃ、県はどう関わるのか、国はどう関わるのかという関係性になるのでありまして、この法律の附則の四条を見ると自治体の方まで考慮していることは分かるんですけれども、これがトップダウン方式になっておりまして、むしろボトムアップ的に考えていくべきではないかというふうに考えます。
行政機関における違法、不当な取扱い例としましてここに幾つか例を挙げましたけれども、防衛省における情報公開請求者リスト事件がありましたし、また、自衛隊情報保全隊による情報収集活動の問題もありまして、これは仙台地裁、仙台高裁で一部違法という判決を得ています。それから、警視庁公安部のテロ捜査資料の流出事件でも、これも東京地裁で違法という判断が一部ではありますがなされています。また、有名なものとしては、日本年金機構からの大量漏えい事件というものが二〇一五年に起こっています。
総務省の研究会では、今回いただいた資料の中にも出ていますけれども、第三者機関にさせることについてはワークしないんだという言葉がキーワードのように使われておりますけれども、特定個人情報の取扱い、行政機関も個人情報保護委員会が監督をし、非識別加工情報、これも同様。では、個人情報全般について監督できないのはなぜか、ここには理由がないのではないかと。
むしろ、こういう穴の空け方というのは、情報をどこからを識別でき、どこからは識別できないかという判断も微妙な問題がありますし、これからますますいろんな形で個人情報というものを扱う場面が出てくると思います。そうしたときに、それぞれが自分の所管ではないというような考え方をしても困るわけでありまして、これは全般的に第三者機関というふうになっていかなければいけないのではないかというふうに考えます。ここにEUの十分性認定が受けられないことの原因が一つあるのではないかと思います。
それと、先ほど申し上げました、個人情報については、行政の現場では最も大量の個人情報があるのは市町村であるということであります。これは各自治体の条例で取り扱われるということになっておりますので、非常にそこは大きな問題です。全ての行政機関等の個人情報の取扱いにつき、個人情報保護委員会が監視、監督する制度にすべきであるというのが当委員会の考え、日弁連の考え方であります。
非識別加工情報についてですけれども、一般に、行政機関等の保有するパーソナルデータは取得プロセスの権力性、義務性、秘匿性が高いという特性があります。このようなパーソナルデータを商業目的で利活用することは、本人の予測の範囲を逸脱した目的外利用であり、プライバシー侵害のおそれがあるのではないかということでまとめさせていただいております。
以下は個人の見解ですけれども、そもそもなぜパーソナルデータの扱いに慎重な立場を取る必要があるのかということでありますけれども、昨今、パーソナルデータの収集、蓄積、検索、編集が誰にでも極めて容易にできる情報環境社会になっているということであります。つまり、大人でないとできないとか日本社会にいる人でないとできないとかというものではなくて、世界中どこにいる人であろうが子供であろうが誰であろうができると、その人が扱う動機が何であれできるという環境であります。
パーソナルデータは、一旦外部流出した場合、それ以上に広がることはあっても、なかったことにすることはできません。本人が気付かないうちに広がり、利用され、悪用され、本人が不利益を被るということが起こり得ます。誰がいつどのようなパーソナルデータを悪用するかは予測不可能であり、情報は有体物ではありませんので、不正利用している者以外には不正利用されているということが判明しづらいという現実があります。ここは有体物と違うところであります。
危険な情報環境、制度設計と運用、これをつくらないということが課題になるということであります。ここで課題と言いましたのは正解がないということであります。どういう方向性で考えていくべきかという方向をきちんと見据えて、つまり利活用と保護というものをどういうふうにバランスを取っていくかということを、環境が変わるごとにどんどんバージョンアップしていかなければいけないということであります。
我が国の個人情報保護法制の基本的な価値観ということですけれども、EUとアメリカというのが一つの比較になるかと思うんですけれども、EUの方は個人の尊厳を重視、政府や制度が個人の判断が及ばない部分を守る必要があるという観点があります。これに対して米国の方は、個人の自由、プライバシーというものが自己決定権というふうな意味で使われることもあります。政府の介入を基本的に嫌うということがあります。
この連休中、私の事務所の弁護士がアメリカ・ニューヨークに行きまして、この問題について弁護士さん、行政の方たちと話をしてきましたが、最近プライバシーという言葉でアメリカでは判決は出ていません。これはなぜかというと、プライバシーという説明の仕方で切るのではなくて、例えばイスラムの人たちの情報ばかりを集めるという問題については、プライバシー侵害の問題ではなくて平等原則違反という、つまり違った説明の仕方で切っておりまして、プライバシーの概念がどうするかによって変えてしまうのではなくて、この局面で何が問題になっているかということをよく考えて制度設計していくというのがアメリカの考え方というふうに考えた方がいいかと思います。そこの基本にあるのは個人の自由、自由に選択をしていくという価値観。これは、いわゆる移民国家として様々な民族が世界中から集まっている国家としてはそのような、まあ日本のように日本にずっと生まれ育って生きてきた人たちがいる社会のような考え方とは違うものになるということは、これは社会のありようとしてうなずけるところであります。
しかし、制度としてEUとアメリカはかなり違います。ただ、その中核として守るべきは、先ほど出ました医療の情報についても、こういうことは守るべきだよねという考え方はあったとしても、それをどう守るかというところについての理屈の立て方、制度のつくり方のところに違いがありますので、日本はどうすべきなのかということを、どこかのまねということではなくて、この国ではどうすべきかということを考えていくべきなんだろうと思います。
具体的なニーズを前提としない制度設計は無駄であり、無謀だということであります。
今回のことにつきましても、お配りいただいた資料でヒアリングをした資料がたしかあったと思うんですが、経済界からの意見の部分を見させていただいたんですけれども、そこで、百四ページ、百五ページですね、ここを見てがっかりしたんですけれども、つまり、要するに、使えるといいよねと言っているだけでありまして、何がしたいのかということが具体的にないことです。
様々な微妙な問題があるだけに、何がしたいのかということを具体的に提案をしていただくならば、どういう制度がある、どういうふうな法改正が必要だと具体的に言えるんですけれども、余りざっくりと言われてしまうと、やはり微妙な問題がたくさんあるだけに、こういったものが動機となって法律を作っていくというのはよろしくないのではないかというふうに考えております。
過去の例でいいますと、住基ネットがうまくいかなかったという原因は、市町村のネットワークでいいんですかというのを私としては意見を持っていました。つまり、市町村にニーズがないところにネットワークをつくるというのは、そこで各それぞれに責任を負わせるという仕組みは非常に問題があるのではないかというふうに思います。
マイナンバー制度についても、社会保障と税の一体改革というスローガンでやってしまいましたけれども、スローガンと具体的な制度設計というのは、これはなかなか結び付きません。ですので、ここにも難しい問題があったというふうに考えております。
飛ばしていただきまして、二千個問題のことについて一言言わせていただきますと、衆議院のときには新潟の鈴木先生が、様々な主体があって条文が違う、こんなに違っているんだというお話をされたんですけれども、条文の問題ではなくて、むしろ先ほど山本先生がおっしゃったように、誰が責任を持って管理するかということの方が重要であります。
条文のことについて言うと、それが、実際にはこの手の問題は、情報公開条例も個人情報保護条例も、どこかの自治体で幾つかサンプル的なものができると、よその自治体はほとんどそれをまねして作るというやり方をしていますので、条文は多少言い回しが違っていてもそれほど大きな差はありません。
例えば、認知症の行方不明者の情報公開について積極的な県、千葉県、静岡県などがある一方で、舛添東京都知事は、厚労省が公表すべきだと指摘していましたけれども、しばらく拒絶をしていました。その後、私の方でも新聞記者の方にいろいろとレクをしまして、東京都は方針を変えています。
参考として、六ページに東京都の個人情報保護条例と静岡県の個人情報保護条例を挙げています。これ、アンダーラインを引いているところは、このアンダーラインの解釈によって千葉県や静岡県のようにすることはできるんです。なのに東京都はしなかったというのは、これは知事の判断でそうしていないというだけの問題でありまして、とても人間的です。ですから、この解釈、運用をもっと合理的にしていくという必要があるのと、それから責任主体をもっと統一化していくと。
どういう責任主体をつくっていくかということも考えていく必要があります。自治体が個人情報を持っているときに、そこで集めて使っていることに対して、よその人間が全部それについて責任を持つということはできません。ですので、個人情報一本という形でつくっていくこともできるかもしれませんけれども、それぞれの利用目的の範囲内で使う、あるいは共有するというものを一つの法律で作りながら、責任の明確化ということを目指していく必要があるのではないかというふうに考えます。
ありがとうございました。
発言情報
speech_id: 119014601X01320160512_006
発言者: 清水勉
speaker_id: 18984
日付: 2016-05-12
院: 参議院
会議名: 総務委員会