宍戸常寿
内閣委員会
宍戸常寿の発言 (内閣委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○参考人(宍戸常寿君) 東京大学の宍戸でございます。
私は、憲法と情報法を研究しておりますが、内閣官房で昨年開催されました個人情報保護制度の見直しに関する検討会での検討に加わっておりました。本日は、その観点から、本委員会で御審議いただいておりますデジタル社会の形成を図るための関係法律の整備に関する法律案のうち、個人情報保護法制関係について意見を述べたいと存じます。
デジタル改革関連五法案の他の事項につきましては、仮に後の質疑で御質問があれば、不勉強でございますが、可能な範囲で所見を述べたいと考えております。
まず、今回の見直しの前提である個人情報保護制度の概要及び経緯を確認したいと存じます。
現在の個人情報保護法制は、民間部門を対象とする個人情報保護法、行政機関等を対象とする行個法、独立行政法人等を対象とする独個法、そして地方公共団体の条例の複合から成っております。こうした個人情報保護法制は、個人の権利利益を守ることを目的に、事業者や行政機関等による個人情報の取扱いを規律するものです。
その保護されるべき権利利益の一つとしては、プライバシーが含まれると解されております。このプライバシー権は、憲法十三条の幸福追求権の一部であり、私人間では明文のない人格権として保障されますが、その内実は、私生活の平穏を出発点として、現在では個人に関する情報をみだりに開示などされない自由を含むものへと流動的に変化しております。また、その制限の可否は、公益や他人の利益との個別具体的な比較考量によって判断されます。
これに対して個人情報保護法制は、あらゆる事業又は行政分野を通じて利活用と保護のバランスを定めるべく、ある情報の取扱いには公表や本人への通知を、別の取扱いには同意を要するというように定める形式的、画一的な規律が原則となっております。
また、個人情報保護法制以外にも、情報に関する権利利益としては通信の秘密があり、さらに、個人情報保護法制を一般法とすると、住民基本台帳やマイナンバー法等は情報の内容、性質に着目した特別法であると見ることができます。
このような個人情報保護法制は二〇〇三年に整備されましたが、近時は、個人データの保護と利活用の両面から様々な改正がなされてきました。中でも二〇一五年の改正は、民間部門に対する規制権限を個人情報保護委員会に集約いたしました。
独立した専門的な第三者機関の存在はEU基本権憲章でも個人データ保護の核心と考えられてきたことから、これにより、二〇一九年に日本とEUの間で個人情報保護の水準が同等であるということが相互に認定されたところです。もっとも、個人データの域外移転を認める十分性認定の効力は、委員会の権限が公的部門に及ばないために民間部門に限られ、また、義務規定の適用が除外される研究機関等にも及んでいないというのが現状でございます。
このような経緯を踏まえまして、御審議いただいているデジタル社会の形成を図るための関係法律の整備に関する法律案の第五十条は、民間、公的部門の個人情報保護法制を一元化する内容であり、五十一条は、地方公共団体の個人情報保護に関する全国的な共通ルールを設定するものです。両条文が施行される場合には、国、地方、民間、公的部門全てについて個人情報保護委員会の監視、監督体制が確立することになります。
さきに述べました内閣官房の検討会では、昨年の改正法案の国会審議と並行して公的部門の個人情報保護法制の在り方について議論をしておりましたが、ちょうど本委員会の附帯決議をいただき、さらに、新型コロナウイルス感染症の経験を踏まえて検討が加速したということを覚えております。
今回の改正法案の意義は、まず、個人情報保護法制の中で今や不要となった規制の不均衡、不整合を統一し、バランスの良い利活用と保護を実現することにあります。地方公共団体ごとに条例とその運用が異なるいわゆる二千個問題の解消に加え、制度の国際的調和を促進するものです。
デジタル技術が利便性を拡大し、新たな価値を創出する一方で、私たちの生活の監視にも使えてしまうということも明らかです。個人情報の取扱いに対する監視、監督体制の整備は、公的部門の個人情報の取扱いの透明性を高め、その保護を強化するものであり、監視社会に陥らないための権力の監視の必要条件であると考えます。
デジタル社会形成基本法案の第十条は、信頼性のある情報の自由かつ安全な流通の確保を基本理念の一つとして掲げていますが、今般の個人情報保護法制の見直しは、まさにその法的基礎をつくるものと考えております。
以下、法制の見直しの具体的な項目について申し上げます。
まず、公的部門における規律については、個人情報の保有を所掌事務又は業務遂行に必要な場合に制限することを始め、個人情報ファイルの保有の通知等、従来の枠組みを維持しております。その上で、今回の改正法は、民間部門との整合性を取るべく、個人情報の定義を整理し、従来の非識別加工情報制度を匿名加工情報制度に改め、さらに、二〇二〇年改正法の定める個人関連情報、仮名加工情報の仕組みを公的部門に導入しております。
特に強調すべきは、行政機関等にも漏えい等の報告を義務付け、不適正な利用及び取得の禁止を課しているところです。検討の過程では、特に不適正利用の禁止規定について不要論も見られましたが、この規定が適切に運用されるならば、重大かつ明白なプライバシー侵害が委員会の権限発動や本人による利用停止請求権の対象となり得る結果として、個人の権利利益の保護の強化が期待できると考えております。
次に、縦割りの個人情報保護法制が、医療、学術分野における個人情報の流通を必要以上に妨げ、連携医療や共同研究の障害となっていると指摘されております。検討会では、独立行政法人等の個人情報の取扱いの実質に照らし、行政機関に準じた規律を適用するのが適当かどうかという観点から整理を行い、これを受けて、今回の改正法案は、国立大学法人等のいわゆる規律移行法人に原則として民間事業者と同等の規律を適用することとしております。
これにも関連して、現行の法制では、研究機関等による研究目的での取扱いに対して一般の義務規定を除外してまいりました。しかし、現在では、個人情報保護の遵守が、データを集め、研究を進めるために必要となっております。他方、憲法の保障する学問の自由に、独立行政委員会とはいえ、行政の権限が及ぶことは必要最小限度にとどめる必要があります。そこで、改正法案は、学問の自由を妨げてはならないとの規定を存置し、要配慮個人情報の取得、共同研究や研究成果の発表等について例外規定を定め、安全管理措置等の規定は通常の事業者と同じく及ぶようにしております。このような規律の精緻化の結果として、EU十分性認定の効力が学術分野にも及び、データ流通による医療や研究の発展が期待されるところであります。
第四に、個人情報保護法制の歴史を振り返るときに、地方公共団体の取組が国に先行したということは重要なポイントであります。もっとも、現時点では、漏えい時の処罰などに係る条例の規定あるいは個人情報保護審議会の運用などの両面で不十分な事例が見られることも確かです。さらに、人口減少、少子高齢化に対応して地方行政サービスを維持するためには広域連携が一つの有効策でありますが、そのためには、システムの標準化などに加え、個人の権利利益の保護とデータ流通の両立が必要です。検討会では、地方公共団体への調査結果を踏まえながら、個人情報保護に関する全国的な共通ルールの設定について議論をしてまいりました。
改正法案は、それを受けて、地方公共団体向けのガイドライン策定など、国及び地方公共団体の責務、施策について定める規定にも整理がなされております。また、改正法案は、条例要配慮個人情報あるいは情報公開条例との整合性確保などのための条例制定を認める一方で、全体としての制度の整合性を損なうことがないよう、個人情報保護委員会による地方公共団体への情報提供などの規定も整備されています。
ルールの共通化に対しては、要配慮個人情報の取得を原則禁止としたりオンライン結合を禁止したりしている条例から見ると保護の切下げになるのではないかという懸念が指摘されております。私は、今回の改正法案は、全国的に見れば保護水準を高めるものであり、また、指摘されている点はおおむね安全管理措置や不適正取得禁止規定などによって対応可能であると考えますが、しかし、このような指摘は十分傾聴に値するものであり、適切な運用が図られるよう注視すべきであることはこの場で強調したいと考えております。
なお、整備法附則八条は、施行の準備行為について国が地方公共団体に技術的助言などをなし得ることを定め、個人情報保護法附則七条が指定都市以外の市区町村での匿名加工情報制度の実施について経過措置を定めるなど、共通化に伴う地方の負担の軽減策が取られていることも評価すべきものと考えます。
一枚おめくりください。個人情報保護委員会による公的部門の監視については、民間の立入調査におおむね相当する実地調査、指導、助言、勧告とそれに基づく措置の報告要求等の権限が認められております。マイナンバー法に比べると委員会の監視権限が弱いということは確かですが、ひとまずは、百七十四条が内閣総理大臣及び行政機関の長に協力を義務付けていることを踏まえ、委員会の権限発動に行政機関などが従うべきことを強調しておきたいと思います。
また、個人情報保護法制はあらゆる事業及び行政分野を横断するものであることから、おそれ、相当の理由などの規範的、抽象的な文言が多く用いられております。今後、これらの概念とその適用について委員会が判断を示し、デジタル社会にふさわしい保護と利活用のバランスの具体化を図ることが期待されます。
最後に、施行に向けた課題と今後の個人情報保護法制について、デジタル改革関連五法案全体に関わる点も含めて私見を述べたいと思います。
まず、個人情報保護法制の整備はこれで終着点ではなく、デジタル社会の法的基礎として運用を踏まえつつ継続的に見直していかざるを得ないことは明記する必要があります。改正法が成立した場合には、これまで以上に個人情報保護委員会の体制を強化することが不可欠です。また、地方自治を尊重しながら安定的な制度運用を図るためには、自治行政を所管する総務省やこれまで個人情報保護の研修などで実務上重要な役割を果たしてきた行政管理研究センターとの連携が有用であると考えます。
個人情報保護法の目的である個人の権利利益については、法秩序全体を見通した整理を政府、国会が進めることを希望しております。EUで、GDPR、一般データ保護規則の実効性を裏打ちしているのは、司法裁判所の判例が基本権憲章の保障する私生活の尊重の権利や個人情報の保護を求める権利に適合的に解釈を発展させてきたことにあります。日本でも、プライバシーを含むデジタル社会における人格権の保障について議論が深められるべきものと思います。
第三に、データ利活用は、経済的利益だけではなく、知る権利を含む民主主義社会の発展をも目標とすべきものであります。その観点からは、改正法のうち学術研究に関する義務規定の運用に当たっては、学界の自主規範などへの配慮とその規範策定への支援が有用と考えます。また、行政の現場で過度の実名隠し、匿名社会に陥らないよう、情報公開や報道、取材などに配慮した運用も求められると考えております。
第四に、信頼性の高いデータ利活用を進めるためには、利活用の主体が言わば最低限の規律である個人情報保護法制の上に立ってデータガバナンスを強化する必要があります。プライバシー・バイ・デザインの実装から進んで、経産省で発行されたDX時代における企業のプライバシーガバナンスガイドブックなどの文書を行政機関、地方公共団体なども参照し、個人情報保護審議会の活用なども含め、規律を実践することが有用と考えます。
最後に、捜査関係事項照会を始めとする民間部門の保有する個人情報への公的機関のアクセス、いわゆるパブリックアクセスに対しては、EUとの十分性相互認定の交渉でも議論の対象となったところです。今回の法改正により個人情報保護委員会の監視が警察等にも及び得ることとなり、情報の取扱いの透明性が高めることを受けて、国際的な制度調和の視点や、ムスリム個人情報漏えい事件、情報保全隊事件等の裁判例も踏まえつつ、刑事司法分野などでの個人情報の取扱いについて、根拠、手続法規の整備も含めた検討がなされることを希望します。
以上、駆け足で、しかも雑駁ではございますが、私からの意見陳述は以上でございます。
御清聴ありがとうございました。
私は、憲法と情報法を研究しておりますが、内閣官房で昨年開催されました個人情報保護制度の見直しに関する検討会での検討に加わっておりました。本日は、その観点から、本委員会で御審議いただいておりますデジタル社会の形成を図るための関係法律の整備に関する法律案のうち、個人情報保護法制関係について意見を述べたいと存じます。
デジタル改革関連五法案の他の事項につきましては、仮に後の質疑で御質問があれば、不勉強でございますが、可能な範囲で所見を述べたいと考えております。
まず、今回の見直しの前提である個人情報保護制度の概要及び経緯を確認したいと存じます。
現在の個人情報保護法制は、民間部門を対象とする個人情報保護法、行政機関等を対象とする行個法、独立行政法人等を対象とする独個法、そして地方公共団体の条例の複合から成っております。こうした個人情報保護法制は、個人の権利利益を守ることを目的に、事業者や行政機関等による個人情報の取扱いを規律するものです。
その保護されるべき権利利益の一つとしては、プライバシーが含まれると解されております。このプライバシー権は、憲法十三条の幸福追求権の一部であり、私人間では明文のない人格権として保障されますが、その内実は、私生活の平穏を出発点として、現在では個人に関する情報をみだりに開示などされない自由を含むものへと流動的に変化しております。また、その制限の可否は、公益や他人の利益との個別具体的な比較考量によって判断されます。
これに対して個人情報保護法制は、あらゆる事業又は行政分野を通じて利活用と保護のバランスを定めるべく、ある情報の取扱いには公表や本人への通知を、別の取扱いには同意を要するというように定める形式的、画一的な規律が原則となっております。
また、個人情報保護法制以外にも、情報に関する権利利益としては通信の秘密があり、さらに、個人情報保護法制を一般法とすると、住民基本台帳やマイナンバー法等は情報の内容、性質に着目した特別法であると見ることができます。
このような個人情報保護法制は二〇〇三年に整備されましたが、近時は、個人データの保護と利活用の両面から様々な改正がなされてきました。中でも二〇一五年の改正は、民間部門に対する規制権限を個人情報保護委員会に集約いたしました。
独立した専門的な第三者機関の存在はEU基本権憲章でも個人データ保護の核心と考えられてきたことから、これにより、二〇一九年に日本とEUの間で個人情報保護の水準が同等であるということが相互に認定されたところです。もっとも、個人データの域外移転を認める十分性認定の効力は、委員会の権限が公的部門に及ばないために民間部門に限られ、また、義務規定の適用が除外される研究機関等にも及んでいないというのが現状でございます。
このような経緯を踏まえまして、御審議いただいているデジタル社会の形成を図るための関係法律の整備に関する法律案の第五十条は、民間、公的部門の個人情報保護法制を一元化する内容であり、五十一条は、地方公共団体の個人情報保護に関する全国的な共通ルールを設定するものです。両条文が施行される場合には、国、地方、民間、公的部門全てについて個人情報保護委員会の監視、監督体制が確立することになります。
さきに述べました内閣官房の検討会では、昨年の改正法案の国会審議と並行して公的部門の個人情報保護法制の在り方について議論をしておりましたが、ちょうど本委員会の附帯決議をいただき、さらに、新型コロナウイルス感染症の経験を踏まえて検討が加速したということを覚えております。
今回の改正法案の意義は、まず、個人情報保護法制の中で今や不要となった規制の不均衡、不整合を統一し、バランスの良い利活用と保護を実現することにあります。地方公共団体ごとに条例とその運用が異なるいわゆる二千個問題の解消に加え、制度の国際的調和を促進するものです。
デジタル技術が利便性を拡大し、新たな価値を創出する一方で、私たちの生活の監視にも使えてしまうということも明らかです。個人情報の取扱いに対する監視、監督体制の整備は、公的部門の個人情報の取扱いの透明性を高め、その保護を強化するものであり、監視社会に陥らないための権力の監視の必要条件であると考えます。
デジタル社会形成基本法案の第十条は、信頼性のある情報の自由かつ安全な流通の確保を基本理念の一つとして掲げていますが、今般の個人情報保護法制の見直しは、まさにその法的基礎をつくるものと考えております。
以下、法制の見直しの具体的な項目について申し上げます。
まず、公的部門における規律については、個人情報の保有を所掌事務又は業務遂行に必要な場合に制限することを始め、個人情報ファイルの保有の通知等、従来の枠組みを維持しております。その上で、今回の改正法は、民間部門との整合性を取るべく、個人情報の定義を整理し、従来の非識別加工情報制度を匿名加工情報制度に改め、さらに、二〇二〇年改正法の定める個人関連情報、仮名加工情報の仕組みを公的部門に導入しております。
特に強調すべきは、行政機関等にも漏えい等の報告を義務付け、不適正な利用及び取得の禁止を課しているところです。検討の過程では、特に不適正利用の禁止規定について不要論も見られましたが、この規定が適切に運用されるならば、重大かつ明白なプライバシー侵害が委員会の権限発動や本人による利用停止請求権の対象となり得る結果として、個人の権利利益の保護の強化が期待できると考えております。
次に、縦割りの個人情報保護法制が、医療、学術分野における個人情報の流通を必要以上に妨げ、連携医療や共同研究の障害となっていると指摘されております。検討会では、独立行政法人等の個人情報の取扱いの実質に照らし、行政機関に準じた規律を適用するのが適当かどうかという観点から整理を行い、これを受けて、今回の改正法案は、国立大学法人等のいわゆる規律移行法人に原則として民間事業者と同等の規律を適用することとしております。
これにも関連して、現行の法制では、研究機関等による研究目的での取扱いに対して一般の義務規定を除外してまいりました。しかし、現在では、個人情報保護の遵守が、データを集め、研究を進めるために必要となっております。他方、憲法の保障する学問の自由に、独立行政委員会とはいえ、行政の権限が及ぶことは必要最小限度にとどめる必要があります。そこで、改正法案は、学問の自由を妨げてはならないとの規定を存置し、要配慮個人情報の取得、共同研究や研究成果の発表等について例外規定を定め、安全管理措置等の規定は通常の事業者と同じく及ぶようにしております。このような規律の精緻化の結果として、EU十分性認定の効力が学術分野にも及び、データ流通による医療や研究の発展が期待されるところであります。
第四に、個人情報保護法制の歴史を振り返るときに、地方公共団体の取組が国に先行したということは重要なポイントであります。もっとも、現時点では、漏えい時の処罰などに係る条例の規定あるいは個人情報保護審議会の運用などの両面で不十分な事例が見られることも確かです。さらに、人口減少、少子高齢化に対応して地方行政サービスを維持するためには広域連携が一つの有効策でありますが、そのためには、システムの標準化などに加え、個人の権利利益の保護とデータ流通の両立が必要です。検討会では、地方公共団体への調査結果を踏まえながら、個人情報保護に関する全国的な共通ルールの設定について議論をしてまいりました。
改正法案は、それを受けて、地方公共団体向けのガイドライン策定など、国及び地方公共団体の責務、施策について定める規定にも整理がなされております。また、改正法案は、条例要配慮個人情報あるいは情報公開条例との整合性確保などのための条例制定を認める一方で、全体としての制度の整合性を損なうことがないよう、個人情報保護委員会による地方公共団体への情報提供などの規定も整備されています。
ルールの共通化に対しては、要配慮個人情報の取得を原則禁止としたりオンライン結合を禁止したりしている条例から見ると保護の切下げになるのではないかという懸念が指摘されております。私は、今回の改正法案は、全国的に見れば保護水準を高めるものであり、また、指摘されている点はおおむね安全管理措置や不適正取得禁止規定などによって対応可能であると考えますが、しかし、このような指摘は十分傾聴に値するものであり、適切な運用が図られるよう注視すべきであることはこの場で強調したいと考えております。
なお、整備法附則八条は、施行の準備行為について国が地方公共団体に技術的助言などをなし得ることを定め、個人情報保護法附則七条が指定都市以外の市区町村での匿名加工情報制度の実施について経過措置を定めるなど、共通化に伴う地方の負担の軽減策が取られていることも評価すべきものと考えます。
一枚おめくりください。個人情報保護委員会による公的部門の監視については、民間の立入調査におおむね相当する実地調査、指導、助言、勧告とそれに基づく措置の報告要求等の権限が認められております。マイナンバー法に比べると委員会の監視権限が弱いということは確かですが、ひとまずは、百七十四条が内閣総理大臣及び行政機関の長に協力を義務付けていることを踏まえ、委員会の権限発動に行政機関などが従うべきことを強調しておきたいと思います。
また、個人情報保護法制はあらゆる事業及び行政分野を横断するものであることから、おそれ、相当の理由などの規範的、抽象的な文言が多く用いられております。今後、これらの概念とその適用について委員会が判断を示し、デジタル社会にふさわしい保護と利活用のバランスの具体化を図ることが期待されます。
最後に、施行に向けた課題と今後の個人情報保護法制について、デジタル改革関連五法案全体に関わる点も含めて私見を述べたいと思います。
まず、個人情報保護法制の整備はこれで終着点ではなく、デジタル社会の法的基礎として運用を踏まえつつ継続的に見直していかざるを得ないことは明記する必要があります。改正法が成立した場合には、これまで以上に個人情報保護委員会の体制を強化することが不可欠です。また、地方自治を尊重しながら安定的な制度運用を図るためには、自治行政を所管する総務省やこれまで個人情報保護の研修などで実務上重要な役割を果たしてきた行政管理研究センターとの連携が有用であると考えます。
個人情報保護法の目的である個人の権利利益については、法秩序全体を見通した整理を政府、国会が進めることを希望しております。EUで、GDPR、一般データ保護規則の実効性を裏打ちしているのは、司法裁判所の判例が基本権憲章の保障する私生活の尊重の権利や個人情報の保護を求める権利に適合的に解釈を発展させてきたことにあります。日本でも、プライバシーを含むデジタル社会における人格権の保障について議論が深められるべきものと思います。
第三に、データ利活用は、経済的利益だけではなく、知る権利を含む民主主義社会の発展をも目標とすべきものであります。その観点からは、改正法のうち学術研究に関する義務規定の運用に当たっては、学界の自主規範などへの配慮とその規範策定への支援が有用と考えます。また、行政の現場で過度の実名隠し、匿名社会に陥らないよう、情報公開や報道、取材などに配慮した運用も求められると考えております。
第四に、信頼性の高いデータ利活用を進めるためには、利活用の主体が言わば最低限の規律である個人情報保護法制の上に立ってデータガバナンスを強化する必要があります。プライバシー・バイ・デザインの実装から進んで、経産省で発行されたDX時代における企業のプライバシーガバナンスガイドブックなどの文書を行政機関、地方公共団体なども参照し、個人情報保護審議会の活用なども含め、規律を実践することが有用と考えます。
最後に、捜査関係事項照会を始めとする民間部門の保有する個人情報への公的機関のアクセス、いわゆるパブリックアクセスに対しては、EUとの十分性相互認定の交渉でも議論の対象となったところです。今回の法改正により個人情報保護委員会の監視が警察等にも及び得ることとなり、情報の取扱いの透明性が高めることを受けて、国際的な制度調和の視点や、ムスリム個人情報漏えい事件、情報保全隊事件等の裁判例も踏まえつつ、刑事司法分野などでの個人情報の取扱いについて、根拠、手続法規の整備も含めた検討がなされることを希望します。
以上、駆け足で、しかも雑駁ではございますが、私からの意見陳述は以上でございます。
御清聴ありがとうございました。
発言情報
speech_id: 120414889X01620210506_003
発言者: 宍戸常寿
speaker_id: 12306
日付: 2021-05-06
院: 参議院
会議名: 内閣委員会