「個人情報保護」カテゴリーアーカイブ

9/9 午後 個人情報保護条例改正への具体的取組事項を学ぶ

【拡散希望】9/9 個人情報保護条例改正への具体的取組事項を学ぶ
 ・法改正の簡単な経過
 ・条例改正について自治体への具体的要望事項

とうとう、来年2023年4月には、全国の個人情報保護条例が改正(廃止)され、国の個人情報保護法に統一・標準化された条例がスタートすることになっています。
それによって、各自治体の歴史と実情に沿った立法背景が消えてしまうだけでな く、住民の個人情報保護という使命が霞んでしまう、そんな危機を迎えています。
それに対抗したいと考えますが、法改正の資料も、条例改正に伴う「ガイドライ ン」にしても、あまりに大部で、しかも、広範な基礎知識がないと読みこなせないものとなっています。
かと言って、座視するわけにはいかない!
そこで、残された時間で、何をすべきか。
議会に、自治体に何を要求すれば良いのか、具体的に学びます。

参加対象者は、議員(元職・新人含む)や市民、(改正に関わる)自治体担当者(今回のメールを転送なさってあげて下さい) を想定しています。

事前に下記要望事項に、目を通しておくことをお勧めします。
「個人情報保護条例改正にあたっての自治体への要望事項」(全8頁)
http://www.bango-iranai.net/news/pdf/326-20220728SuggestionOfNecessary.pdf

★2022年9月9日(金) 午後1半〜4時
会場:東京都杉並区議会 第二委員会室
※オンライン会議(50名以上参加可能)
質疑の時間は、小一時間を予定しています。

◎講師:原田富弘(せたがや市民講座)

◎申込・お問合せ先:奥山たえこ 杉並区議会議員・無所属(090-9147-8383)
okuyama@suginami-kugikai.jp  (添付ファイル不可)

※申込方法:9月7日午後9時まで、上記奥山のメールに以下を送ってください。
・タイトル「9/9 条例改正勉強会申込みます」
・本文に、
   あなたの ”メールアドレス”。よければ、「●●議会」など、添えて下さい。
・9月8日午後5時までに、会議の URL をメールします(万一届かない場合は催促して下さい)。
以上

【参考】共通番号いらないネットの関連サイト
◇地方自治と住民の個人情報を守る個人情報保護条例改正を⇒こちら
◇個人情報保護条例改悪にいかに抗するか-先行事例をもとに考える⇒こちら
◇統合された個人情報保護法の問題点を考える市民の集い⇒こちら
◇住民の個人情報を守ってきた条例がリセットされようとしています⇒こちら
◇市民集会 個人情報保護条例がなくなる?─自治体からの抵抗は可能か⇒こちら

個人情報保護条例が
なくなっていいのか

7月18日個人情報保護条例改悪に抗する学習会

 2021年5月の個人情報保護法改正により、全ての自治体が2023年3月までに個人情報保護条例を「国基準」に見直すことを求められている。個人情報保護委員会は2022年4月20日に改正のガイドライン、4月28日にQ&Aと事務対応ガイドを公表し、現在各自治体で検討が進んでいる(都内市区町村については漢人都議の調査参照。かながわ市民オンブズマンの調査はこちら)。
 共通番号いらないネットでは7月18日(月)午後1時30分から文京シビックセンター4階シルバーホールで、個人情報保護と地方自治を守るために自治体はどのような取り組みができるか考える学習会を行う(集会案内はこちら)。

●個人情報保護条例の「改正」でなく「廃止」に

 条例改正というが、政府が求めているのは個人情報保護条例を廃止し、個人情報保護法の「施行条例」に作り替えることだ。4月28日に公表された「個人情報の保護に関する法律についてのQ&A(行政機関等編)」では、改正後の条例を「(個人情報保護)法施行条例」とよんでいる。2021年6月の自治体向け説明会で示した「条文イメージ」のように、条例に規定するのは手数料など法を執行するための手続的なことにかぎり、半世紀にわたって自治体が国に先行して住民情報を保護するために培ってきた個人情報保護制度は「リセット」されようとしている。その目的は「活発化する官民や地域の枠を超えたデータ利活用に対応するため」だ(ガイドライン74頁)。

 共通番号いらないネットでは、2022年1月25日「地方自治体のみなさまへ 個人情報保護を引き下げないでください」を発表(こちら)し、自治体から個人情報保護を守る取り組みを訴えた。4月1日には共謀罪NO! 実行委員会と「秘密保護法」廃止へ! 実行委員会の主催で、統合された個人情報保護法の問題点を考える市民の集いが開催された(資料や集会ビデオはこちら)。日弁連は2021年11月16日、「地方自治と個人情報保護の観点から個人情報保護条例の画一化に反対する意見書」を発表している。
 このブログでも法改正後の個人情報保護委員会の対応に対して「地方自治は「許容されない」?!個人情報保護委員会の条例対応」(こちら)と批判し、2022年1月28日から2月28日まで行われたガイドライン等の意見募集に対して、「地方自治を認めず個人情報保護を後退させる条例改正パブリックコメント」(こちら)で問題点を指摘してきたが、残念ながらまったく意見はガイドラインに取り入れられなかった(意見募集結果はこちら)。

●個人情報保護と地方自治が問われている

 個人情報保護委員会が「法施行条例」で規定を求めている「委任規定」は、開示等請求の手数料と匿名加工情報利用の手数料だけだ。
 また条例で定めることを「許容」するのも、「条例要配慮個人情報」の内容、個人情報取扱事務登録簿の作成・公表、開示請求等の手続や不開示情報の範囲、専門的な知見に基づく意見を聴くことが特に必要があると認めるときの審議会等への諮問で、それについても制限を付けている。
 その他認めるとするのは、自治体の内部的な手続の規定だ。
 従来の条例が定めてきた個人情報の収集・利用・提供・保管・廃棄等の規制については、個人情報保護法に規定のない個人情報保護やデータ流通に直接影響を与えるような事項(例:オンライン結合に特別の制限を設ける規定、個人情報の取得を本人からの直接取得に限定する規定)や、法と重複する内容を条例で定めることは「許容されない」とする(ガイドライン74頁)。

 憲法で規定する地方自治の本旨に基づき、自治体には条例の自主制定権がある。国も「我が国の個人情報保護法制は、地方公共団体の先導的な取組によりその基盤が築かれてきた」(「個人情報保護制度の見直しに関する最終報告案」2020年12月32頁)と述べているように、個人情報保護制度は自治体の創意工夫によって発展してきた。
 自治体の創意工夫を否定することは、個人情報保護の水準を低下させその発展を阻害し、住民と自治体との信頼関係を損なう。そればかりでなく、個人情報保護法制を突破口に地方自治そのものが破壊されていくのではないか、との懸念が専門家に広がっている。

●分かれつつある?自治体の検討状況

 個人情報保護法改正にあたって国会は、地方公共団体が条例を制定する場合には地方自治の本旨に基づき最大限尊重することを求める附帯決議をしていた。しかし個人情報保護委員会が立法府の意思に反して従来の保護措置を条例に残すことは「許容されない」という姿勢を崩さないために、自治体の対応は国から指示された手続的な「法施行条例」に変えるか、従来からの保護水準を維持するための工夫を検討するか、分かれつつあるようだ。

 後者では、たとえば1976年に「電算条例」をいち早く制定してその後の個人情報保護条例の原型を作った世田谷区は、次の3つの基本方針に沿って新たな個人情報保護制度を構築しようとしている。

1 世田谷区はこれまで実施してきた、区民の個人情報保護に係る先進的かつ丁寧な保護施策を維持・発展させるよう努めること。
2 区が扱う個人情報は、原則、区民が情報主体であることを十分に意識し、今後は一層、その実効性を担保しうる運用上の工夫に努めること。
3 行政への区民参加・区民監視の制度として審議会制度が有効であることを確認し、情報公開・個人情報保護審議会を今後も十分に機能させていくこと。

 また1990年に都道府県で最初に個人情報保護条例を制定した神奈川県は、情報公開・個人情報保護審議会で次のように法とガイドラインなどを詳細に検討しながら、対応を探っており参考になる。ただ後述するように公表された最新のO&Aの記載には、若干変化があることに注意が必要だ。

*検討経過(こちら
*法と条例の相違点と対応の方向性(こちら
*目的外利用・提供について(こちら
*要配慮個人情報の取扱い制限について(こちらこちら
*「条例要配慮個人情報」について(こちら
*個人情報の本人収集の原則について(こちら
*電磁的方法による提供(こちら
*審議会への諮問案件について(こちら
*個人情報ファイル簿及び個人情報事務登録簿(こちら
*保有個人情報の訂正請求及び利用訂正請求に係る開示請求前置主義(こちら
*開示決定等の期限(こちら
*費用負担(保有個人情報の開示請求に係る手数料(「開示手数料」)等)(こちら
*行政機関等匿名加工情報等の情報公開条例上の取扱いについて(こちら
*行政機関等匿名加工情報の利用に関する手数料の徴収について(こちら
*個人情報保護審査会規則の条例化等について(こちら
*改正個人情報保護法と神奈川県個人情報保護条例の対比(法律順条例順
*答申(2022年5月30日)(こちら

●「可能な」自治体の対応を考える

 住民情報は、住民が法律の規定やサービスを受けるために自治体に提供した情報であり、民間事業者の利用を目的とするものではない。自治体には住民情報の管理責任があり、まず考えるべきは情報主体である住民の意思であり、利活用ではない。
 地方分権のもとでは、法令の解釈について国と自治体は対等だ。住民に信頼される行政のためには、必要とあれば法の規定を超える個人情報保護委員会の統制は拒む姿勢が必要だ。
 とはいえ現実の国と地方の力関係では、国(個人情報保護委員会)の解釈を拒むことは首長の覚悟が必要だろう。しかしそこまで構えなくても、4月28日に個人情報保護委員会が公表した「個人情報の保護に関する法律についてのQ&A(行政機関等編)」では、批判を意識してか若干ガイドラインより工夫の余地のある解釈を示している。保護水準を低下させないための工夫が求められる。Q&Aのいくつかを紹介する(太字、改行は引用者)。

●自治体の審議会への諮問について

 ガイドラインでは、自治体の個人情報保護審議会等への諮問について、「個人情報の取得、利用、提供、オンライン結合等について、類型的に審議会等への諮問を要件とする条例を定めてはならない」(70頁)としている。この点について「Q&A」(23頁)では、「諮問」ができないとしているだけで、審議会が自発的に調査・審議・意見陳述することはかまわないとしている。

Q7-1-3 法施行条例において、 審議会等が諮問に基づかずに行う調査、審議又は意見陳述に関する規定を設けることは可能か。
A7-1-3 法第129条は審議会等に対して地方公共団体の機関が行う諮問について規定するものであり、地方公共団体が附属機関等として設置する 審議会等が自発的に行う調査、審議又は意見陳述を妨げるものではありません
 ただし、地方公共団体が調査等を受けることを事実上の要件としたり、審議会の意見を尊重することを義務として定めるような法施行条例の規定を設けることはできない点に留意する必要があります。(令和 4 年 4 月追加)

 いくつかの自治体の検討では、個人情報の取得等の諮問ができないので「事後報告」にする対策を出しているが、「事後」である必要はない。従来の諮問の代わりに事前に審議会に「報告」し、審議会自らが必要と判断したら調査・審議し意見陳述し、首長の判断で進めていくことは許容されている。諮問より行政に対する「拘束力」は低下するだろうが、識者や住民による行政の第三者チェックや、その結果の住民への公表、審議結果により個人情報保護のあり方について意見を提出することは可能だ。審議会や首長の自発的な姿勢が、より問われることになる。

●個人情報保護法以外の諮問は可能

 審議会の審議事項の中には、マイナンバー法に基づく特定個人情報保護評価の第三者点検がある。一般的には第三者点検は個人情報保護委員会が行うが、自治体については30万人以上の特定個人情報ファイルなどを対象に個人情報保護審議会等が行っている。Q&Aでこのような個人情報保護法以外の法令に基づく意見聴取は、従来どおり可能であることが明記された。
 また自治体によっては、たとえば住民基本台帳法に基づいて住基ネットの利用状況を審議会にはかっているところがあるが、こういう役割は今後も変わりない。

Q7-1-1 法第 129 条で規定する「個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要があると認めるとき」とは具体的にどのような場面を想定しているのか。
A7-1-1 ・・・・・・なお、いわゆる「オンライン結合制限」や目的外利用制限などに関する規律として、個別案件における個人情報の取扱いについて、類型的に審議会等への諮問を行うべき旨を法施行条例で定めることは認められません。
 一方で、特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号)第7条第4項に基づき審議会等に意見を聴く場合等、法第129条の規定に関わらず、個人情報保護法以外の法令に基づき、審議会等に対し意見を聴くことは妨げられません。(令和4年4月追加)

●匿名加工情報の提供も審議会に諮問可能

 2021年の個人情報保護法改正で、自治体も事業者からの求めがあれば住民情報を匿名加工し提供する制度が追加されたが、附則により当面は都道府県と政令指定都市に制度の実施が義務づけされ、その他の市区町村が制度を行うかは任意で判断することになっている。
 この提供の可否の基準について、審議会に諮問することも認められている。

Q6-1-2 地方公共団体の機関が法第 114 条第 1 項の規定に基づき法第 112 条第 1 項の提案の審査を行う場合において、法第 129 条の規定により、審議会等に対して諮問を行うべき旨を法施行条例で定めることは許容されるか。
A6-1-2 法第 114 条第 1 項各号に定める基準については、委員会においてその解釈を示すものですが、同項第 4 号の「事業が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであること」についての審査に当たり参照する基準の策定のために、必要な専門的知見を有する有識者に対して意見聴取を行うことは妨げられるものではなく、法第129条の規定により、法施行条例に定めを置いて、当該基準について専門的知見を有する委員で構成される審議会等に対して諮問することも妨げられません
 なお、この場合であっても、法第 114 条第 1 項第 4 号の適合の有無の判断は「行政機関の長等」が行うものであり、審議会等が実質的な判断を行うことはできないことに留意する必要があります。(令和 4 年 4 月追加)

●開示請求しなくても訂正請求等は可能

 個人情報の訂正等請求について、個人情報保護法では開示請求をして開示決定をうけた個人情報について訂正等請求を認めているが、多くの条例では開示請求をしなくても誤り等がわかれば請求を認めている。開示請求を前提とすると訂正のための負担が増え、開示決定まで訂正請求ができないなどの不都合が指摘されていた。
 Q&Aでは開示請求をせずに訂正請求・利用停止請求を認める条例を定めてもよいとされた。

Q5-8-2 法は、訂正請求や利用停止請求の対象となる保有個人情報について、本人が法の開示決定に基づき開示を受けたもの又は法第 88 条第 1 項の他の法令の規定により開示を受けたものに限っているところ(法第90条第1項及び第98条第1項)、法施行条例で規定することにより、本人が開示を受けていない保有個人情報についても訂正請求や利用停止請求の対象とすることはできるか
A5-8-2 法は、対象となる保有個人情報の範囲を明確にし、訂正請求及び利用停止請求の制度の安定的運用を図るため、これらの制度について開示を受けた保有個人情報を対象としています。
 他方、法第108条は、訂正及び利用停止の手続に関する事項について、法第5章第4節の規定に反しない限り、条例で必要な規定を定めることができることとしているところ、開示を受けていない保有個人情報について訂正請求及び利用停止請求の対象とすることは、これらの請求の前提となる手続に関するものであり、訂正及び利用停止の手続に関する事項に含まれるため、訂正請求や利用停止請求の制度の運用に支障が生じない限りにおいて、そのような法施行条例を規定することは妨げられません。(令和 4 年 4 月追加)

●利益相反する代理人からの開示請求

 虐待で保護している子の加害者である親が、居場所などを探るために法定代理人として子の情報の開示請求をすることへの対応に、自治体は苦慮している。また今回の法改正で、任意代理人による請求も認められたが、本人の意思に反した請求が行われることが危惧され、自治体ではこれら不当な請求を防ぐための措置を必要としている。
 Q&Aでは請求に応じるかについて、必要に応じて本人の意思の確認を条例に規定することが認められている。

Q5-3-1 未成年者とその法定代理人との利益相反が生じるような場合があり得るところ、未成年者の法定代理人による開示請求について、本人の意思を確認することはできるか。また、一律に本人の同意を証する書類の提出を義務付ける法施行条例の規定を設けることはできるか。
A5-3-1 法定代理人は、任意代理人とは異なり、本人のために代理行為を行う義務はっても、代理行為に本人の同意は要しないため、本人の意思と独立して開示請求を行うことができます。
 法第108条は、開示の手続に関する事項について、法第 5 章第 4 節の規定に反しない限り、条例で必要な規定を定めることができることとしていますが、未成年者の法定代理人による開示請求について、一律に本人の同意を証する書類の提出を義務付けることは、実質的に任意代理のみを認めて法定代理を認めないこととなり、開示請求権について法に定めの無い制限を課すものであって開示の手続に関する事項であるとはいえず、そのような規定を法施行条例で定めることは認められません
 もっとも、開示請求に係る保有個人情報について、当該保有個人情報を法定代理人に開示することにより本人の生命、健康、生活又は財産を害するおそれがある情報(法第78条第1項第1号に規定する不開示情報)に該当する場合もあるところ、同号該当性の判断に当たって、必要に応じて本人の意思を確認することは妨げられません。(令和 4 年 4 月更新)

Q5-3-3 任意代理人からの開示請求について、本人の意思を特に確認する必要があるときに、本人に対して確認書を送付し、返信をもって本人の意思を確認する手続をとることはできるか。また、これを認める法施行条例の規定を設けることはできるか。
A5-3-3 任意代理人による請求の場合は、法定代理人による請求の場合と異なり本人から委任を受けていることが要件となります。そのため、なりすまし等による開示等請求制度の悪用を防止する観点から、任意代理人の資格を確認することは重要であり、必要に応じて本人に対して確認書を送付し、その返信をもって本人の意思を確認することは妨げられません。また、法第108条に規定する開示の手続に関する事項としてこれを認める法施行条例の規定を設けることも妨げられません。(令和 4 年 4 月更新)

●条例要配慮個人情報の規定について

 自治体の裁量をほとんど認めない法改正の中で、唯一自治体の判断を「尊重」したのが、条例要配慮個人情報の新設だ。「個人情報保護制度の見直しに関する最終報告」(40頁)では、次のようにその必要を述べている。

「(5)条例で定める独自の保護措置
3.例えば、地方公共団体等がそれぞれの施策に際して保有することが想定される情報で、その取扱いに特に配慮が必要と考えられるものとして「LGBTに関する事項」「生活保護の受給」「一定の地域の出身である事実」等が考えられるが、これらは、国の行政機関では保有することが想定されず、行個法・行政機関の保有する個人情報の保護に関する法律施行令(平成15年政令第548号。以下「行個令」という)の「要配慮個人情報」には含まれていないものである。
 また、将来においても、地方公共団体等において新たな施策が展開され、その実施に伴い保有する個人情報が、行個法・行個令の「要配慮個人情報」には規定されていないものの、その取扱いには、「要配慮個人情報」と同様に特に配慮が必要な個人情報である場合も想定される。
 こうした個人情報について、不当な差別、偏見等のおそれが生じ得る情報として、地方公共団体が条例により「要配慮個人情報」に追加できることとすることが適当である。 」

 要配慮個人情報は2015年の個人情報保護法改正により新設された。不当な差別・偏見等のおそれが生じ得る情報として下記の個人情報を「要配慮個人情報」とし、取得の際は本人同意を得ることを義務化した。しかし行政機関については、取得に特別の規定は設けられていない。個人情報ファイル簿に要配慮個人情報であることを記載することや、要配慮個人情報の漏えい等が発生したときに個人情報保護委員会への報告などを求めているだけだ。
 一方多くの自治体は、条例でセンシティブ(機微)個人情報の取得を原則禁止し、審議会の意見を聞くなどを条件に例外的に取得可能にしている。またコンピュータへの記録を禁止している条例もある。

改正個人情報保護法について」2016年11月28日 個人情報保護委員会事務局

 多くの個人情報を扱う自治体は、(条例)要配慮個人情報の取扱いの規制の継続を望んでいたが、ガイドライン4‐2‐6は「条例要配慮個人情報について、法に基づく規律を超えて地方公共団体による取得や提供等に関する固有のルールを付加したり、個人情報取扱事業者等における取扱いに固有のルールを設けることは、法の趣旨に照らしできない」(16頁)と認めていない。
 Q&Aも同様だが、ただ行政内部の安全管理体制構築にあたり要配慮個人情報の取扱いを勘案することは考えられるとしている。

Q3-2-1 要配慮個人情報の取得制限を法施行条例で規定することは可能か。
A3-2-1 要配慮個人情報の取得を制限することは、行政機関等において要配慮個人情報の取扱いについて特別の制限を設けていない法の規律に抵触する規律を定めるものであり、個人情報保護やデータ流通について直接影響をあたえる事項に当たります。一方で、法はこのような規律を定めることについて委任規定を置いていません。よって、要配慮個人情報の取得制限を法施行条例で規定することは認められません
 他方、法は、行政機関等における要配慮個人情報の取得について特別の規定を設けていませんが、行政機関等において取り扱う個人情報全般について、その保有は法令(条例を含む。)の定める所掌事務又は業務の遂行に必要な場合に限定することとし(法第 61 条第1項)、特定された利用目的の達成に必要な範囲を超えて個人情報を保有してはならないこととしている(同条第 2 項)ほか、法第 63 条(不適正な利用の禁止)、法第 64 条(適正な取得)等の定めを置いており、要配慮個人情報の取扱いに当たってもこれらの規定を遵守する必要があります
 また、行政機関の長等の安全管理措置義務(法第 66 条)に関しても、求められる安全管理措置の内容は、保有個人情報の漏えい等が生じた場合本人が被る権利利益の侵害の大きさを考慮し、保有個人情報の取扱い状況(取り扱う保有個人情報の性質及び量を含む。)等に起因するリスクに応じて、必要かつ適切な内容とする必要があり、行政機関内部における安全管理体制の構築に当たって、取り扱う保有個人情報が要配慮個人情報に当たることを勘案することは考えられます。(令和 4 年 4 月追加)

 自治体の検討の中では、条例要配慮個人情報を定めても取得など取扱いが規制できないので規定する意味が乏しいと、規定に消極的な議論が多いようだ。しかし取得段階でのチェックができなくなるのであれば、取得後の扱いについての安全管理体制を整備することで、条例要配慮個人情報を定めることの意義はある。前述のように改正法の中で唯一自治体の裁量を尊重した規定であり、将来も考えれば自治体は積極的な規定を考えるべきではないか。

●法施行条例でなく個人情報保護条例を

 Q&Aでは条例と法との関係について、次のように条例に理念規定を設けることを認めている。

Q9-1-1 地方公共団体が定める法施行条例において、基本理念や事業者・市民の責務についての規定を設けることは可能か。
A9-1-1 法の目的や規範に反することがなく、また、事業者や市民の権利義務に実体的な影響を与えることがない限りにおいて、法施行条例上に独自の理念規定を設けることは妨げられません。(令和 4 年 4 月追加)

 実体的な影響を与える規定はできなくても、単なる手続き的な「法施行条例」ではなく、自治体としてどのように住民情報を保護しようとしているのか、その主体的な姿勢を示すことは重要だ。
 まずは名称を「個人情報保護法施行条例」ではなく「個人情報保護条例」とし、自治体としての個人情報保護に向けた理念を規定することを訴えたい。

地方自治を認めず
個人情報保護を後退させる
条例改正パブリックコメント

●2月28日までガイドライン案等の意見募集

 個人情報保護委員会は、2022年1月28日から2月28日まで、2021年5月の個人情報保護法改正による自治体の個人情報保護条例改正のためのガイドライン案などのパブリックコメントを行っている(意見募集はこちら)。来年3月までに、すべての自治体が条例改正を迫られている。
 この個人情報保護委員会のガイドライン案などは、共通番号いらないネットの「地方自治体のみなさまへ 個人情報保護を引き下げないでください」アピールにあるように、自治体が住民情報を守るために長年取り組んできた個人情報の取得・利用・提供等の制限や有識者・住民代表の参加する審議会によるチェックなどの条例の規定を、来年4月以降は「許容されない」として「リセット」(平井前デジタル大臣国会答弁)しようしている。
 目的は社会全体のデジタル化に対応した「保護とデータ流通の両立」と称する住民情報の利活用推進であり、「国際的な制度調和」と「成長戦略への整合」を図ろうとするものだ(こちら参照)。

●保護を後退させ、地方自治を破壊し、国会を無視

 この個人情報保護委員会の姿勢は、日弁連の「地方自治と個人情報保護の観点から個人情報保護条例の画一化に反対する意見書」(2021年11月16日) が指摘するように、個人情報保護を後退させ、デジタル社会におけるリスクを増大させるだけでなく、条例制定権を不当に制約し憲法の地方自治の本旨を否定するものだ。
 さらに法改正時に、国会が「地方公共団体が、その地域の特性に照らし必要な事項について・・・条例を制定する場合には、地方自治の本旨に基づき、最大限尊重すること」と附帯決議しているという立法府の意思も無視するものだ。
 個人情報保護委員会は、ガイドライン案を撤回すべきだ。
 パブコメに「個人情報保護を後退させるな、地方自治(条例制定権)を守れ」の声を届けよう。

●「技術的助言」だが従わないと法違反!?

 このガイドラインは、 普通地方公共団体に適用される部分については、地方自治法第245条の4第1項の「技術的な助言」だが、「ただし、本ガイドラインの中で、「しなければならない」、「してはならない」及び「許容されない」と記述している事項については、地方公共団体の機関及び地方独立行政法人についても、これらに従わなかった場合、法違反と判断される可能性がある。」と書いている( 1 本ガイドラインの目的 )。
 「技術的な助言」とは一般になじみのない用語だが、行政ではよく使われる。2000年の地方分権一括法により国と地方が対等な関係になったことに伴い、自治事務について国が法律の解釈や運用について自治体に示すものの、自治体を拘束しないものだ。
 それを従わなければ法違反、と言う根拠は何なのか。法違反なのは、このガイドラインではないか。かつて総務大臣は、技術的助言の範囲を越えて規範性を持つとか拘束性を持つようなものを出したとすれば違法だ、と答弁していた

  このガイドライン案にはさまざまな問題があるが、重要な論点として次の点を見ていきたい。
 ●個人情報保護審議会への諮問を不当に制約
 ●法改正の趣旨も超える保護委員会の強圧的姿勢
 ●センシティブな要配慮個人情報の保護が後退
 ●個人情報の「収集」を規制しない国の法律
 ●条例の画一的な国基準化は憲法違反の疑いも
 ●オンライン結合制限廃止によりリスクが高まる
 ●課題山積の国基準化 「共通ルール」の見直しを

●個人情報保護審議会への諮問を不当に制約

 多くの自治体の個人情報保護条例では審議会を設置して、行政の個人情報の利用をチェックしてきた。名称や構成員や開催状況等はさまざまだが 、住民の自治体行政に対する信頼を支えてきた。国にはマイナンバー利用事務での「特定個人情報保護評価」を除けばこのようなチェックの仕組みはなく、国の個人情報保護の遅れを象徴している。
 日弁連の意見書は、審議会の意義について次のように述べている。

 審議会に個人情報保護に関する重要な政策(個人情報保護条例の改正等)について諮問したり,個人情報保護条例の規定に基づき,要配慮個人情報の取扱い,目的外利用・提供,オンライン結合,本人外収集等原則として禁止とする事項について審議会への諮問を経て例外的に認めることができるようにしたりすることにより,地方公共団体における個人情報保護と行政運営上の利活用の必要性とを調整してきた。
 また,審議会は,審議過程で原案を修正させたり,運用上の留意点を指摘したりするなどして,適切な運用に寄与してきた。併せて審議会には専門家に加え住民の代表が加わるところもあり,また議論の過程を公表することで,個人情報を取り扱う政策についての住民参加や情報公開を果たしてきた。(7頁)

 この重要な審議会への諮問を、改正個人情報保護法では限定する規定をしている。

第129条(地方公共団体に置く審議会等への諮問)
 地方公共団体の機関は、条例で定めるところにより、第三章第三節(※地方公共団体の施策)の施策を講ずる場合その他の場合において、個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要であると認めるときは、審議会その他の合議制の機関に諮問することができる。

 この法律も問題だが、個人情報保護委員会のガイドライン案(56頁~ 9‐4 地方公共団体に置く審議会等への諮問)は、さらに法律にない制限をつけている。

 「特に必要な場合」とは、個人情報保護制度の運用やその在り方についてサイバーセキュリティに関する知見等の専門的知見を有する者の意見も踏まえた審議が必要であると合理的に判断される場合をいう。
 この点、個人情報の取得、利用、提供、オンライン結合等について、類型的に審議会等への諮問を要件とする条例を定めてはならない
 令和 3 年改正法では、社会全体のデジタル化に対応した個人情報の保護とデータ流通の両立の要請を踏まえて、地方公共団体の個人情報保護制度についても、法の規律を適用して解釈を委員会が一元的に担う仕組みが確立されたところ、地方公共団体の機関において、個別の事案の法に照らした適否の判断について審議会等への諮問を行うことは、法の規律と解釈の一元化という令和3年改正法の趣旨に反するものである。

 なにを「専門的知見」とするかは自治体が判断することで、「サイバーセキュリティに関する知見」には限定されない。個人情報保護委員会も例示だとしている。問題は個人情報の取得、利用、提供等について、類型的な審議会等への諮問を認めないという点だ。審議会の審議内容の大部分は取得・利用・提供の判断だ。日弁連の意見書が指摘している審議会の果たしている役割は、単にガイドラインに照らして判断すれば済むような矮小なものではなく、個人情報保護の後退は明らかだ。

●法改正の趣旨も超える保護委員会の強圧的姿勢

 個人情報保護委員会は、このような不当な制限の根拠を「改正法の趣旨」によるとしている。
 しかし法改正の基となった有識者会議や政府のタスクフォースによる「個人情報保護制度の見直しに関する最終報告」(2021.12)では、「法制化後は、法律による共通ルールについて国がガイドライン等を示し、地方公共団体等はこれに基づきあらかじめ定型的な事例について運用ルールを決めておくことにより、個別の個人情報の取扱いの判断に際して審議会等に意見を聴く必要性は大きく減少するものと考えられる。」(40頁)と、自治体が定型的な運用ルールを決めることは認めている。
 それだけでなく「条例で、審議会等の役割として、個人情報保護制度の運用についての調査審議やその在り方についての意見具申の役割を規定している例も多く見られるが、このような役割は今後も求められる」と、審議会の役割を評価している。

 また政府の立法担当者も、審議会への諮問は自治体の内部手続であり否定されないが、共通ルールを定め個人情報保護委員会が解釈することになり諮問の必要性は低下するので、改めて諮問の必要性を精査するように、と以下のように解説している(「一問一答令和3年改正個人情報保護法」2021.11.25商事法務 Q55への回答)。地方自治の本旨をふまえれば、自治体の判断に委ねるのは当然だ。個人情報保護委員会の強圧的姿勢は際立っている。

1 審議会への諮問は、地方公共団体の機関の間で行われる内部手続であり、改正法の施行後も、地方公共団体の長等が、意思決定に際して審議会等の意見を聴くこと自体は否定されません
2 その一方、Q54で述べたような理由から、改正法の施行後は、地方公共団体の長等が個別の個人情報の取扱いについて審議会等に諮問する必要性は低下するものと考えられます。
 それにもかかわらず、地方公共団体の長等が、従来の慣行を単純に踏襲し、本来必要ない場面で審議会等に諮問する事態が頻発するとすれば、改正法全体の趣旨に照らし、望ましくないとも考えられます
3 そこで、第129条は、「地方公共団体の機関は・・・特に必要であると認めるときは、審議会その他の合議制の機関に諮問することができる」と規定し、地方公共団体に対し、改正法全体の趣旨を踏まえ、審議会等への諮問の必要性を改めて精査することを求めています。

●センシティブな要配慮個人情報の保護が後退

 多量の住民情報を管理する自治体にとって、機微性の高いセンシティブ個人情報の保護は特に重要になる。多くの自治体の条例では、思想信条や差別偏見につながる個人情報は収集を原則禁止し、法令の定めや審議会の意見を聞いて必要があると判断したときだけ収集する扱いをしてきた。
 国は自治体に数十年遅れて2015年の個人情報保護法改正ではじめて、不当な差別や偏見が生じないよう特に配慮を要する個人情報について「要配慮個人情報」を新設し、取得は本人同意を得ることを義務化した。

「改正個人情報保護法について」(2016.11.28個人情報保護委員会)

 自治体のセンシティブ個人情報の対象は、法が定める「要配慮個人情報」と重なるところもあるが、自治体ごとの長い個人情報保護の検討の歴史のなかで様々な規定がされており、違いも少なくない。
 それをふまえて改正個人情報保護法は第60条5で「条例要配慮個人情報」を新設した。法で定める要配慮個人情報を除き、「地域の特性その他の事情に応じて、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして地方公共団体が条例で定める記述等が含まれる個人情報」とされている。ただ条例要配慮個人情報は、条例を定めた地方公共団体等が保有する個人情報にのみ適用される。
 法案の検討過程では、条例要配慮個人情報の対象を、国の行政機関では保有することが想定されない自治体の施策にかかわる個人情報として「LGBTに関する事項」「生活保護の受給」「一定の地域の出身である事実」等を想定していたが (「最終報告」40頁) 、法律でもガイドラインでも「地域の特性」と「その他の事情」とされ特に限定はしていない。ただガイドライン案では、条例に規定する場合は委員会に事前に相談することが望ましいとしている(4‐2‐6 条例要配慮個人情報)。自治体が必要と認める対象は規定すべきだ。

 問題はガイドライン案が、要配慮個人情報も条例要配慮個人情報についても、「法に基づく規律を超えて地方公共団体による取得や提供等に関する固有のルールを付加したり、個人情報取扱事業者等における取扱いに固有のルールを設けることは、法の趣旨に照らしできない。」としていることだ。
 個人情報保護委員会のQ&A案では、 Q3-2-1でその理由をこう説明している。

 法では、要配慮個人情報の取得について特別の規定を設けていませんが、個人情報全般について、その保有は法令(条例を含む。)の定める所掌事務又は業務の遂行に必要な場合に限定することとされており(法第 61 条第 1 項)、要配慮個人情報の取得が可能となる範囲は、要配慮個人情報の取得制限規定による場合と、実質的に同様となっており、法律の規律と重複するこのような規定を法施行条例で設けることは許容されません。 

 しかしこのQ&A案のように、国は要配慮個人情報の取得について特別の規制をしていない。収集制限を見ても、法律と条例は「重複」していない。
 日弁連意見書は、国の行政機関も速やかに要配慮個人情報についての取扱規制を導入することこそが必要であり、にもかかわらず要配慮個人情報の取得や提供等に関する独自の規律を地方公共団体には許されないとすると、これまでの地方公共団体や民間事業者における取組の実績を否定することとなり、要配慮個人情報を規定する意義を大きく損ない、個人情報保護の後退をもたらすことは明白であると指摘している(6頁)。

●個人情報の「収集」を規制しない国の法律

 多くの自治体の条例では、個人情報の収集について、利用目的を明らかにして本人から直接収集することを原則とし、例外として本人以外からの収集を、本人の同意がある場合や緊急の場合、本人から収集できない場合、審議会が認めた時などに限定してきた。自分の情報の扱いを自分がコントロールするためには、本人が情報を収集されていることを知り、その目的を知ることが出発点になるからだ。
 また要配慮個人情報でみたように、自治体の条例は収集禁止事項を定めて特に扱いに注意している。さらに自治体によっては、業務に必要な情報を適法に本人から収集する場合でも、収集する情報は必要最小限に限定するよう規定している。これはとかく行政機関が個人情報を集めたがることに対して、収集情報の精査を求めるもので、GDPR(EU一般データ保護規則)がデータ保護バイデザインの原則から、 特に個人データの取扱いの最小化などを求めている(前文78項)ことを先取りするような規定だ。

 一方、国の個人情報保護法には、行政機関による個人情報の収集を規制する考えがない。条例が国基準化すると個人情報保護法が自治体に適用され、いままでの自治体の条例は「リセット」され収集規制がなくなる。
 改正個人情報保護法で行政機関等における個人情報等の取扱いとして規定しているのは、以下のようなことだ。
 第61条(個人情報の保有の制限等)で、保有する場合は法令の定める所掌事務又は業務を遂行するため必要な場合に限り、かつその利用目的をできる限り特定し、特定された利用目的の達成に必要な範囲を超えて保有してはならないとする。しかし行政機関等が「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」で(本人が知らないまま)利用目的を変更できる。
 第62条(利用目的の明示)では、本人から直接書面(電磁的記録を含む)に記録された当該本人の個人情報を取得するときは、本人に利用目的を明示することになっているが、そもそも本人からの収集原則がなく、第三者から利用目的を本人が知らないまま収集される。
 第63条(不適正な利用の禁止)で、違法又は不当な行為を助長し又は誘発するおそれがある方法により個人情報を利用してはならない、第64条(適正な取得)で、偽りその他不正の手段により個人情報を取得してはならないなど、当たり前のことを規定している。国がこのような方法で個人情報を収集・利用しかねないから規定しているのかもしれないが、必要なのは合法的・適正な手段であっても収集・利用を自己情報コントロール権を保障するためにどう規制するかだ。
 このような法律が適用されれば、自治体の個人情報保護の後退は明らかだ。

●条例の画一的な国基準化は憲法違反の疑いも

 個人情報保護委員会のガイドライン案では、法に規定されていない「本人からの収集原則」などを条例に規定することは「許容されない」としている。

 個人情報保護やデータ流通について直接影響を与えるような事項であって、法に委任規定が置かれていないもの(例:オンライン結合に特別の制限を設ける規定、個人情報の取得を本人からの直接取得に限定する規定)について、条例で独自の規定を定めることは許容されない。 (11 条例との関係)

 法にない規定を条例で定めることは許容されないというのは、上乗せ条例の否定であり自治体の条例制定権を侵害する。個人情報保護の後退だけでなく、地方自治も損なう。日弁連の意見書は、次のように憲法違反の疑いを指摘している。

  憲法は,地方自治の本旨を規定し(第92条),地方公共団体に条例制定権を保障している(第94条)。・・・ 法律により,既にある地方公共団体の個人情報保護制度を強制的に画一化することは,地方自治法の上記諸規定に反するにとどまらず,憲法の保障する地方自治の本旨を否定し,条例制定権を不当に制約するものであって,憲法違反の疑いが強い
 したがって,改正法を合憲的に解釈するためには,地方公共団体の個人情報保護制度を国と同レベルのものに画一化するものではないという解釈運用がなされる必要がある。(9-10頁)

オンライン結合制限規定の廃止でリスクが高まる

 ガイドライン案は、オンライン結合に特別の制限を設ける規定について、条例で独自の規定を定めることは許容されないとしている (11 条例との関係) 。
 大部分の自治体の条例は、コンピュータを自治体の外部と回線結合することを制限する規定をしている。
 もともとは市区町村のコンピュータを反対の強い国民総背番号制にはつなげないと住民に約束して、市区町村内でコンピュータ化を推進しようという規定だった。たとえば条例制定を検討した杉並区の有識者会議の答申(1978年3月1日)では、「国民総背番号制に反対するという意味からも、国や地の地方公共団体との結合はしない、ということを基本にすえる必要がある」としていた。
 その後コンピュータ利用が進み、法令の定めがある場合や審議会が承認した場合は回線結合を認めるようになっており、オンライン結合する際の安全性やプライバシー保護の事前チェックの役割が大きくなっている。日弁連意見書は個人情報保護委員会の姿勢を「オンライン化における安全性の確保という課題を軽視するもの」と指摘し、以下のようにその必要性を述べている。

 オンライン化における安全性の確保はデジタル社会を成立させるための基盤であり,原則禁止はそのような基盤に資する制度である。
 デジタル社会を進める上でどのような規制が望ましいかは検討及び改善し続けるべき課題であり,地方公共団体がオンライン結合について規制を設けることを全面的に禁止することは,これまでの地方公共団体の実績を否定し,デジタル社会におけるリスクを増大させ,個人情報保護の後退をもたらすものである(6頁)。

 国でも行政機関等の間の情報連携を目的としたマイナンバー制度では「特定個人情報保護評価制度」を作り、マイナンバー利用事務については事前チェックを義務づけているが、その他の事務では第三者のチェックなしに利用を進めている。国の個人情報保護の遅れを象徴しており、自治体を見習ってマイナンバー利用事務以外も事前チェックの制度をつくるべきだ。
 個人情報保護法改正の立法担当者は、次のようにオンライン結合を制限する規定が不要である理由を述べている。

1 オンライン結合制限規定の趣旨は、情報管理の安全性を確保する点にあると考えられますが、近年の情報通信技術の進展を踏まえると、情報管理の安全性の水準がオンラインであるかオフラインであるかで決まると考えることに合理的な理由は見出せなくなっています。
2 民間部門においては、情報管理の効率性を実現する観点から、機微性の高い情報についても十分なセキュリティ対策を採りつつクラウドサービス等の積極的な活用を図ることが一般化しており、公的部門においてもこれと異なる考え方を採る理由はないと考えられます。
3 このため、改正後の公的部門の共通ルールでは、オンライン結合制限規定は設けておらず、情報管理の安全性は、安全管理措置義務の遵守を通じて、オンライン・オフラインを問わず、図ることとしています。
一問一答令和3年改正個人情報保護法」 55頁

 しかしオンラインで自治体の外部とつながることは、自らの自治体の中での情報連携や文書での連携とは異なるリスクがあり、オンラインでつながることのチェックの重要性は変わらない。
 昨年12月28日には、総務省の有識者会議「デジタル時代における住民基本台帳制度のあり方に関する検討会」が、DV等被害者の支援措置を外部との情報連携で共有する仕組みがなく、加害者への漏洩の懸念が払拭できないとする報告書を発表している(報告書15頁)。
 またクラウドサービス利用についても、政府はガバメント・クラウド上に国や自治体の情報システムを共同化していく方針で、昨年10月にアマゾン・ウェブ・サービスとグーグル・クラウド・プラットフォームの利用を決定していたが、今年2月には機密情報の海外流出を防ぐため、機密性の高い情報の管理は国産クラウドを採用する方針を決めた、と報じられている(2022.2.7読売オンライン)。報道が事実なら、住民情報や医療・教育などの機密性の高い個人情報をガバメントクラウドで運用するのは漏洩のリスクがあることになる。住民情報の安全管理責任を負っている自治体が、自らクラウド利用をチェックすることを否定する理由はない。
 なおガイドライン案も、「単なる内部の手続に関する規律にすぎない事項など、個人情報保護やデータ流通に直接影響を与えない事項については、条例で独自の規定を置くことも考えられる。」と述べている( 11 条例との関係 )。自治体の創意工夫が求められる。

●課題山積の国基準化 「共通ルール」の見直しを

 その他、条例の「国基準化」には、課題が多い。たとえば
▼議会は独自に個人情報の取扱を定める必要
 多くの条例は自治体の議会も対象に含むが、個人情報保護法では議会は対象外となっている。ガイドライン案(4‐1‐1)も、議会は「個人の権利利益の保護という観点からは、自律的な対応のもと個人情報の適切な取扱いが行われることが望ましい。」としており、取り扱いの整備が必要だ。
▼行政機関等匿名加工情報の扱い
 法改正により自治体も匿名加工情報の提案募集を実施しなければならない(ガイドライン案  8 行政機関等匿名加工情報の提供等)。しかし運用が難しい制度で、国でも2017年から開始して実績は1件しかなかったことが国会で明らかになった。当分の間、都道府県・政令指定都市のみに適用され、その他は任意で提案募集可能(附則第7条)とされており、できるだけ運用状況を見てから対応した方がいい。
▼死者に関する情報の扱い
 条例の中には、個人情報の中に死者の個人情報も含めているものがある。個人情報保護法では、個人情報を生存する個人に関する情報としているため、ガイドライン案では「 死者に関する情報を条例で「個人情報」に含めることはできない。ただし、死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報として法の保護の対象となる。」としている(4‐2‐1 個人情報)。
 ただ「最終報告」では「地方公共団体において、別途、個人情報とは別のものとして、死者に関する情報の保護についての規定を設け、必要な保護を図ることは考えられる。」としており(41頁)、保護水準を低下させない工夫を検討すべきだ。
▼個人情報ファイル簿の作成
 多くの自治体では、個人情報の取り扱いを住民に明らかにするため、事務単位で「個人情報登録簿」を作成し公表している。一方、個人情報保護法ではファイル単位の「個人情報ファイル簿」の作成を義務づけている。
 条例の国基準化により自治体も「個人情報ファイル簿」の作成が義務づけられるが、引き続き「個人情報登録簿」も併用して利用するかは自治体の判断に委ねられている(ガイドライン案 6‐2 個人情報ファイル簿の作成及び公表)。
 しかし自治体にとっては新たに「個人情報ファイル簿」を作成するのは、かなりの事務負担となる。
▼開示・訂正・利用中止請求
 行政機関等については、個人情報保護法は幅広い不開示情報を定めているが、それが自治体にも適用されることで、現行の運用が後退する虞れがある。また法では、訂正・中止請求の前に開示請求が必要になる。開示を受けられるまで訂正・中止請求できない。条例では、開示請求なしに訂正・中止請求できるところが多く、手続きに時間がかかることになる。
 さらに問題なのは、開示等の請求者に本人・法定代理人に加え任意代理人も認めていることだ。自治体の現場では、本人と「利益相反」する代理人からの開示請求や虐待ケースの加害者と思われる代理人からの請求など、運用に課題を抱えて苦慮している(詳しくは「2021年改正自治体職員のための個人情報保護法解説」183頁~参照(第一法規2021.11宇賀克也・宍戸常寿・高野祥一)

 その他にも多くの課題がある。自治体の条例を踏まえて「共通ルール」を定めるのではなく、国の行政機関個人情報保護法のルールを自治体に押しつけたために、個人情報保護の低下や事務負担などが心配される。長年にわたり住民の個人情報を守ってきた条例が、拙速な改正により混乱する虞れもある。
 国は、国会が「全国に適用されるべき事項については、個人情報保護法令の見直しを検討すること」と附帯決議していることを受け止め、再検討すべきだ。

検討過程の問題については当ブログの、「地方自治は「許容されない」?! 個人情報保護委員会の条例対応」を参照してください。

個人情報保護条例の画一化・国基準化に関する資料は、こちらに収録されています。

誰も取り残さないサイバー監視
サイバー警察局・特捜隊新設!

 警察庁にサイバー警察局を新設する警察法の一部を改正する法律案が、2022年1月28日国会に提出された。国の機関である警察庁の関東管区警察局に全国を管轄するサイバー特別捜査隊を新設し、重大サイバー事案の捜査を行う法案だ。近々審議入りが予定されている(法案概要はこちら)。

追記:2022.2.25(3箇所)

サイバー警察局を新設する警察法改悪案を廃案に!
       3・1院内集会
日時:2022年3月1日(火)12時~13時30分  
会場:衆議院第1議員会館  第1会議室
主催:
警察法改悪反対・サーバー局新設反対2・6実行委員会
  連絡先:小倉利丸(070-5553-5495)
  メール :no-cyberpolice.techcenter@aleeas.com
  詳しくは実行委員会のサイト

サイバー警察局・サイバー特別捜査隊の創設に反対する
  学者・弁護士共同声明   こちらをご覧ください

●(声明)警察法改悪反対、サイバー警察局新設反対

  私たちが日常利用している電子メール、SNSなどによるコミュニケーションを高度な技術力を駆使して捜査対象に据え、戦前の国家警察の反省から生まれた自治体警察の枠組が骨抜きにされようとしているが、個人情報の保護措置は示されていない。
 警察法改悪反対・サイバー局新設反対2・6市民集会の実行委員会は、2月14日反対声明を発表した。声明への賛同を呼びかけている(2.6市民集会の資料等はこちら)。

●政府のデジタル化強要で拡大するサイバー犯罪

 2022年2月10日警察庁は、「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版) 」を公表した。ランサムウェアによる被害が拡大し、国内の医療機関が標的となり市民生活に重大な影響を及ぼす事案が発生しているとしている。
 政府は昨年5月デジタル改革関連6法を成立させ、行政手続等を原則オンライン化し、全住民にマイナンバーカードを所持させ、誰一人取り残さずデジタル手続の利用を強要しようとしている。住民の個人情報を守ってきた個人情報保護条例の「リセット」や規制緩和によって、個人情報の利活用を推進しようとしている。 昨年10月の「デジタルの日」では「#デジタルを贈ろう」をテーマに、「祖父母にタブレット端末を贈ろう、子どもとプログラミング教室に行こう」などと呼びかけていた。デジタル庁によって国・地方の行政機関の情報を共有できるように標準化し、医療・教育など準公共分野のデジタル化を迫る「重点計画」を昨年12月に決定した。

  そのような中、昨年10月に徳島県つるぎ町立半田病院がランサムウェア攻撃を受け、システムが長期にダウンする被害が発生した医療機関を狙ったサイバー攻撃が多発している。昨年10月に運用開始した「健康保険証とマイナンバーカードの一体化」では、医療機関は健康保険情報を管理するオンライン資格確認等システムへの常時接続が必要になる。多くの医院はセキュリティに不安を抱き、利用機関は1割と低迷しているが(2022年2月6日時点、運用開始施設数11.7%)、政府は2023年3月末までに全ての医療機関で利用するよう迫っている。
 デジタルに不慣れな人や機関を強引にサイバー空間に参入させれば、サイバー犯罪の増加は避けられない。それを理由に「誰も取り残さないサイバーセキュリティ」戦略により市民監視を強化しようとするのがサイバー警察・特捜隊だ。サイバー犯罪の増加を市民や機関の「リテラシー不足」に責任転嫁する「なんでもデジタル化」政策の見直しこそ必要だ。

   サイバーセキュリティ戦略2021概要

●諜報活動と犯罪捜査の境が崩れ市民監視が拡大

 サイバー警察局・特捜隊の新設は、海外からのサイバー攻撃集団に対する国際共同捜査をその必要性の一つとしている。
  2021年9月28日に閣議決定された「サイバーセキュリティ戦略」は、2014年制定のサイバーセキュリティ基本法に基づく3回目の戦略だが、初めてサイバー攻撃の脅威国として中国・ロシア・北朝鮮を名指しし、「同盟国・同志国」と連携した安全保障の観点からの取組強化を求め話題になった。
 サイバー警察局もこのような安全保障戦略の中で、サイバー監視の国際共同オペレーションを進めていこうとしている。サイバーセキュリティ政策会議報告書は、関係国等と連携したサイバー空間の安全確保として、サイバー隊が国の捜査機関として前面に立ち、戦略的に国際捜査を推進すると述べている(30頁)。

 しかし国際刑事警察機構の元サイバーセキュリティ総局長である中谷昇氏が、中国によるデータ収集疑惑とともにNSA(アメリカ国家安全保障局)元職員のスノーデン氏が暴露したアメリカ政府機関による「同盟国」も含む世界的な通信傍受を例に、日本は「(中国・アメリカ)両国のデータ収集対象国となっている可能性は極めて高い、と考えておくのが妥当であろう」と近著(「超入門デジタルセキュリティ」講談社α新書156頁)で指摘されているように、中露北の脅威に偏したサイバー監視は誤りだ。
 安全保障戦略に基づく諜報活動(インテリジェンス)と犯罪捜査という法執行が、サイバー警察局ができることにより重なっていくことに対する懸念は、 警察庁サイバーセキュリティ政策会議でも委員から指摘されていた(第1回8-9頁)。警察庁は、指摘のような懸念が存在することは認識しており国民に誤解が生じないように丁寧に説明を行っていく必要がある、と応じているが説明はない。
 公共空間化したサイバー空間全体を俯瞰した、市民生活の大量監視システムを作らせてはならない。

●警察情報システムが警察庁の共通基盤に一元化

 サイバー警察局新設により、分散していた警察庁内のリソースを一元化し「刑事部門、生活安全部門、交通部門、警備部門など既存の警察部門と連携し、 警察組織全体でサイバー空間・実空間の両者にわたり隙間なく脅威に対処」(警察庁サイバーセキュリティ政策会議令和3年度報告書21頁)しようとしている。
 今国会には、マイナンバーカードと運転免許証を一体化する道路交通法改正案も提出予定だ。2021年12月24日閣議決定の 「デジタル社会の実現に向けた重点計画」では、 マイナンバーカードと運転免許証との一体化の実現として、「令和6年度(2024年度)末にマイナンバーカードとの一体化を開始する。これに先立ち、警察庁及び都道府県警察の運転免許の管理等を行うシステムを令和6年度(2024年度)末までに警察庁が整備する共通基盤(警察共通基盤)上に集約する」(46頁)とされていた。警察業務のデジタル化(93頁)では、警察情報管理システムを警察共通基盤上に順次共通化・集約化するとなっている。
 「警察庁デジタル・ガバメント中長期計画」は、 主な取組を運転免許業務及び警察情報管理システムの合理化・高度化としている。警察庁・都道府県警察が個別にシステム整備をしデータ標準化がされず連携しにくい現在の警察情報管理システムを、警察庁が共通基盤を整備し、他のシステムとの連携も含めた警察情報管理システム全体の合理化・高度化に取り組むとしていた。
 そのためのアクセンチュアによる「2020年度警察情報管理システムの合理化・高度化に関する調査研究業務調査報告書」では、下図のようにまず運転者管理と相談業務等の一元管理システムを作るが、将来的にはこれら9業務以外も集約する予定とされている(4頁)。

 またこの共通基盤システム上では警察庁及び各都道府県警察のデータはそれぞれ区別された状態で管理し、自都道府県警察以外のデータを許可なく参照及び更新できない仕組みにするが、「ただし、全国共有が可能なデータや警察庁への送受信が必要なデータについては、 警察庁が管理するデータとして一元的に集約を行う」(アクセンチュア報告書5頁)となっている。この具体的なシステムは、報告書では不明だ。

 サイバー警察局は、都道府県警察が捜査など法執行を行うという原則を超えて、国の機関である警察庁がはじめて捜査権限を持つ。それとともに、本来別々の目的で収集され目的外利用・提供をすべきでない都道府県警察の管理する刑事部門の捜査情報、生活安全部門の相談情報、交通部門の運転免許等の情報、警備部門の治安情報を、市民生活の大量監視に利用可能にしようとしている。

●警察保有の個人情報の保護とシステムの透明化を

 今年1月18日名古屋地裁は、無罪となったあとも再犯のおそれなど具体的な必要性を示さないまま指紋やDNA型、顔写真などを警察が保管し続けることを認めず、データの抹消を命じる判決を下した。

 2月21日岐阜地裁は、大垣市の風力発電所建設問題で、県警が収集した住民の氏名、住所、学歴、病歴、活動歴などの個人情報を、中部電力の子会社シーテックに提供したことを違法として損害賠償を命じる判決を下した。収集の違法性を認めない不十分な判決だが、提供については要保護性の高い情報を積極的・意図的に提供しており悪質とまで批判している。(裁判経過については、大垣警察市民監視違憲訴訟の勝利をめざす「もの言う」自由を守る会サイトを)
 警察の個人情報の保管に対しても提供に対しても、厳しい司法の判断が示されている。このような状態でサイバー監視のために警察の保有する個人情報を共有する「警察共通基盤」が作られようとしている。


 マイナンバー違憲差止訴訟では、 番号法が刑事事件捜査等にもマイナンバーで管理する個人情報の提供を認め、警察が必要と認めれば保管・利用でき、個人情報保護委員会の監督が及ばず捜査機関による濫用を防止できないことの合憲性が争点の一つになっているが、捜査名目による個人番号の利用についての 国側の 主張は変遷し曖昧な説明に終始している。
 2021年5月の個人情報保護法改正により、捜査機関が保有する捜査情報に含まれる個人情報の取扱いも個人情報保護委員会の監視対象になったが、国に甘く地方自治体や民間事業者に厳しい今の個人情報保護委員会の姿勢では、捜査機関への監視はまったく期待できない。法律上も個人情報保護委員会と他の行政機関とは上下の指揮命令関係にはないからとして、個人情報保護委員会が他の行政機関に対して法的拘束力のある命令は行えず、民間事業者には拒否すると罰則のある立入検査ができるのに、行政機関に対しては罰則のない実地検査しかできないと国会で答弁されている。これでも「高度の独立性を有する第三者機関」なのか。

 警察における個人情報の取扱いが法的に規制されず、システムも透明性を欠いており、基本的人権の保障が不十分なまま情報が共有され、市民生活の大量監視が防げないサイバー警察局・サイバー特捜隊を新設すべきではない。

普及せず、行き詰まりつつある
マイナンバーカード保険証利用

●これで10月20日から本格運用開始できるのか

 厚生労働省は「マイナンバーカードの健康保険証利用」を、2021年10月20日から本格運用すると9月22日公表した。しかしこのシステムを利用できる医療施設は1割に満たない。
 そのため国民向けには「受診する際、マイナンバーカードで受付できる医療機関・薬局かどうか事前に確認して下さい」と説明するという。このような状態で「運用開始」をPRすれば、医療機関の窓口でトラブルが起きるだけだ。

第145回社会保障審議会医療保険部会( 2021.9.22)資料2より

●今後も健康保険証はそのまま使える

 本格運用が始まっても、現在の健康保険証はそのまま使うことができる。マイナンバーカードがなくても受診は可能だ。
 システムとしても、自治体の行っている公費負担、柔道整復等や訪問看護、生活保護の医療扶助などの扱いは未定や検討中で、「本格運用」とは名ばかりの見切り発車だ。保険医の団体も、これまでどおり健康保険証を持参することを呼びかけている(右図 全国保険医団体連合会のポスター参照)。
 政府の計画でも、概ね全ての医療機関等での導入は 2023年3月末を目指すとなっており、受診のためにあわててマイナンバーカードを申請する必要はまったくない。
 いずれ健康保険証はなくなると流布されているが、そのような決定を政府はしていない。マイナンバーカード利用の普及状態をみながら検討していくことになっており、普及しなければ健康保険証は廃止できない。 

●普及しないマイナンバーカードの健康保険証利用

  「マイナンバーカードの健康保険証利用」と言われているオンライン資格確認等システムのためには、医療機関はカードリーダーを設置するだけではなくシステム改修やネットワーク環境の整備などの準備が必要だ。
 その準備の2021年9月12日時点の進捗状況が、9月22日の第145回社会保障審議会医療保険部会に報告されている。それによれば利用準備が完了している施設は、5.6%にすぎない。3月から始まった試行(プレ)運用に参加している施設は、わずか1.5%だ。
 マイナンバーカードをかざす顔認証付きカードリーダーの申込施設数は128,794施設で56.3%になっているが、前回7月29日の第144回医療保険部会の130,429施設(57.0%)からなんと減少している。7月9日に「集中導入開始宣言」をして、9月末までの集中導入を目指したにもかかわらずの減少だ。
 厚労省はこのオンライン資格等の導入のために消費税から1000億円近い基金を用意し、カードリーダーの無償提供のほか、導入費用も1台あたり42.9万円を上限に3/4を補助することにしていた。しかし普及が進まないため「加速化プラン」として、2021年3月までに申し込めば4/4を補助することにしたため、申込だけはして様子見をしている状況だ。

第145回社会保障審議会医療保険部会( 2021.9.22)資料2より

●医療機関にメリットは乏しく負担がかかる

(東京保険医新聞2021年9月5日号より)

 厚労省のサイトに掲載された10月10日時点の状況でも、利用準備完了施設は7.9%にとどまり、カードリーダー申込施設は56.2%とさらに減っている。厚労省は 「直近の導入ペースは、約900施設/週の増加となっており、10月の本格運用開始に向け確実に加速している」などと強弁しているが、停滞は明らかだ。
 進まない原因として厚労省は、新型コロナ対応や半導体不足によるパソコン等の調達困難、システム事業者の改修対応能力などをあげているが、医療機関にメリットが乏しくセキュリティ対策等の負担もあり費用対効果に見合わないことが最大の原因だ。

●進まないマイナンバーカードの利用登録

  マイナンバーカードを使ってオンライン資格確認をするためには、事前にマイナポータルで利用登録(初期設定)をしておく必要がある。その利用登録をした人も、9月12日時点でカード交付枚数に対し10.9%しかいない。人口比では5%にも満たない。市民もメリットを感じていない。
 マイナンバーカード自体の申請も、一時的に増加したがまた低迷している。
 マイナンバーカードは政府が2023年3月までにほぼ全ての住民に保有させることを目標に、一人上限5000円のマイナポイント付与などの利益誘導で普及をはかってきた。2021年4月までにマイナンバーカードを申請した人をマイナポイントの付与対象としたことや、2020年12月から約8000万人のカード未申請者に申請の案内を郵送したことなどにより、2021年1月には24.2%だった交付率が増加し、3月には月700万枚近い申請数になった。しかしその後は減少し、以前のような一日1万枚程度の申請数に戻っている(下図参照)。
 申請が急増したことでカードの交付に数カ月を要する事態になったため、交付数はしばらく増えているが、このままでは4割程度の交付率で頭打ちになる。保険証として利用する人が増える見込みも立っていない。

財政制度等審議会財政制度分科会(2021年10月11日)資料3P.19

●マイナンバーカードの保険証利用とは何か

 昨年8月、このスタッフブログ「マイナンバーカードの保険証利用 このままはじめていいのか」で、制度の概要を紹介した。
 マイナンバーカードの保険証利用とは、医療機関等を受診するときに健康保険証(被保険者証)の代わりに、窓口のカードリーダーにマイナンバーカードをかざせば保険資格確認をできる、という「オンライン資格確認」制度だ。マイナンバーカードの中に保険資格が記録されているわけではない。この制度のために保険資格を一括管理する「オンライン資格確認等システム」が、社会保険支払基金と国保中央会によりつくられた。
 オンライン資格確認等システムへの問合せにはマイナンバーは使わず、マイナンバーカードに内蔵(任意)の「公的個人認証サービス」の電子証明書を使う。そのために利用開始前に初期設定として、利用者証明用電子証明書の発行番号(シリアル番号)と保険資格を管理する個人単位化した被保険者番号のひも付けを行う必要がある。これは一度やればいいが、漏洩等で住民票コードを変更した場合は、再設定が必要とされている。

マイナンバー 社会保障・税番号制度概要資料(令和2年5月版)43頁

 この初期設定にはマイナポータルを使うほか、医療機関窓口や薬局の顔認証付きカードリーダーでも手続きができるが、不慣れな窓口に負担をかけることになる。また電子証明書が5年間の有効期限切れだったり、転居等で失効していると手続はできない。
 なおマイナンバーカードを使わずに、医療機関等の窓口で被保険者証の記号番号を入力して保険資格確認をすることもできる。

●健診結果や投薬情報なども提供される

「オンライン資格確認【等】システム」となっているように、提供される情報は健康保険資格だけでなく、薬剤情報や特定健診情報なども提供される。
 特定健診とはいわゆる「メタボ健診」で、40~74歳を対象に保険者(健保組合、協会けんぽ、市町村等)が腹回りのサイズや脂質や血糖などの検査をして、生活習慣病の発症リスクが高いと判断されると特定保健指導を受けることを求められる健診だ。
 保険者が検査結果や喫煙・飲酒・運動など生活習慣情報を管理するが、2015年の番号利用拡大法によりマイナンバーで情報管理し保険者が代わった場合はそのデータを引き継ぐことになった。さらにオンライン資格確認導入に合わせて、保険者の委託によりオンライン資格確認等システムがデータを一括管理する。
 また投薬情報は、診療報酬請求書(レセプト)に記載された情報が提供される。

第141回社会保障審議会医療保険部会(2021年3月4日)資料2 p.10

 これらの情報は、マイナポータルにより本人に開示されるだけでなく、本人の同意があれば医療機関や薬局に提供される。同意は提供の都度明示的に行いログ管理やアクセス制限をするなど、形式的にはプライバシー保護に配慮している。しかし医療機関に知られたくない健診結果や投薬内容や病歴も含まれているときに、はたして受診の際に医師から提供の同意を求められて患者の立場で断ることはできるだろうか。
 さらに提供する情報は厚労省のデータヘルス計画により、今後電子カルテによる診療内容全体やその他の健診にも拡大し、民間事業者のサービス活用のために連携することも計画されている(下図参照)。厚労省はメリットばかり宣伝するが、医師との信頼関係を損なったり、知られたくなくて受診を躊躇したり、民間企業からの「サービス」の押し売りを受ける事態も考えられる。

第129回社会保障審議会医療保険部会(2020年7月9日)資料3 P.11

●目的は医療・健康情報の共有化と利活用

 メリットの疑わしいマイナンバーカードを使ったオンライン資格確認システムを、政府が多額の費用を投じて整備しようとしているのは、それが医療情報を健康産業の育成など成長戦略に利活用する基盤になるからだ。
 2021年6月18日に閣議決定された「成長戦略実行計画」では、ライフサイエンスをデジタルやグリーンと並ぶ重要戦略分野として医薬品産業の成長戦略があげられ、「データヘルス改革を推進し、個人の健康医療情報の利活用に向けた環境整備等を進める。また、レセプト情報・特定健診等情報データベース(NDB)の充実や研究利用の際の利便性の向上を図る。」となっている(28頁~)。
 同じ6月18日に閣議決定された「デジタル社会の実現に向けた重点計画」でも、医療や教育という「準公共分野」のデジタル化が重視され、個人の健康・医療情報の記録・管理と医療機関等への共有、個人・保険者・医療機関等・国・地方公共団体・民間事業者の情報連携やレセプト情報の活用を求めている。
 9月に発足したデジタル庁は、「医療、教育、防災、モビリティ、契約・決済等の分野において、デジタル化やデータ連携を推進する体制を構築し、実装を進める。」ことを、当面のデジタル改革における主な項目の一つとしている。
 もともと医療保険のオンライン資格確認の構築は、下図報告のように、市民や医療機関の利便性ではなく、医療・健康分野の情報連携の基盤整備が目的だった。

画像に alt 属性が指定されていません。ファイル名: b08e5970a0edbdb9370e27f03477d0a5-1024x709.png
医療等分野における番号制度の活用等に関する研究会 報告書概要/参考資料(2015年12月10日)4頁

●個人情報保護を置き去りにした利活用

 医療や健康情報はプライバシー性が高く、個人情報保護法でも「要配慮個人情報」として、不当な差別や偏見その他の不利益が生じないように取扱いに特に配慮を要する情報とされている。本人の明示的な同意がなければ提供しないのが原則だ。
 しかし法令に定めがあれば提供が認められることを逆手にとって、法改正により本人同意なしに提供を広げていこうとしている。オンライン資格確認等システムからの特定健診の情報提供のために、事業主健診の結果を本人同意なく保険者に提供できるようにするための下図の法改正は、今年2月に国会提出され6月4日成立した。

第138回社会保障審議会医療保険部会( 2020年12月23日)資料3

 マイナンバー制度をつくるにあたり、特に医療分野の情報についてはマイナンバー制度開始時には利用対象とせず、 そのプライバシー侵害性を考慮して特別の立法措置を整備していくことが「社会保障・税番号大綱」 に特記されていた(55頁)。しかしその立法措置は講じられないまま、利活用だけが進行している。
 このような個人情報の利活用ばかりを優先する仕組みを、市民は利用する気にならないだろう。

●追記 (2021.10.28)  本格運用開始時の状況

 10月20日、オンライン資格確認等システムの「本格運用」が開始された。本格運用開始時点の状況について、10月22日に開催された第1回「マイナンバー制度及び国と地方のデジタル基盤抜本改善ワーキンググループ」の資料1で報告されているので、追記する(厚労省のサイトにも掲載)。
 相変わらず顔認証付きカードリーダーの申込施設は増えず、システム改修など準備が完了した施設が8.9%、実際に運用開始した施設は5.1%で、1割にも満たない。

        抜本改善WG資料1 14頁

●いったい何が便利になるのか

  「本格運用」を受けてメディアでも利用されていない実態が報じられているが、同時に「利用が進めば便利になる」というコメントが多い。政府も8月下旬から「マイナンバーカードが保険証利用で便利になる」などのテレビCMを流している。しかし市民にとって何が便利になるのか。
 政府の説明は、たとえば転職等があっても保険証として使えるので新しい保険証が届くのを待たなくていい、というものだが、「医療保険者等が変わる場合は、加入の手続が引き続き必要です」と注記されているように手続が必要で、自動的に切り替わると誤解して手続しないと保険診療が受けられない(いったん10割全額が請求され、あとで保険で負担する7割分等を返す扱いになる)。
  また特定健診情報や薬剤情報のデータが自動で連携されるので、口頭で医師や薬局に伝える必要がないというが、伝えたくない病歴なども伝わることになる。
 「限度額適用認定証がなくても、限度額を超える支払いが免除されます」というが、限度額は地方税額により決まるので、収入状況を医療機関等に伝えることを意味する。病院への入院時ならともかく、かかりつけ医にまで家計状況を知られたいだろうか。
 これら健診情報や薬剤情報、限度額の医療機関等への提供には本人同意が必要となっているが、同意しないとかかりつけ医と気まずい関係になるのが不安だ。
 受診の際の手間も増える。健康保険証であれば毎月はじめに保険証を見せるだけで受診できる運用が多いが、マイナンバーカードを利用すると受診の都度資格確認が必要だ。また具合が悪くて代理が窓口に行くと顔認証での本人確認はできず、代理人にマイナンバーカードの暗証番号を教えなければならない。

 一言でいえば、患者目線の利便性で作られているのではなく、医療・健康の個人情報を利用したい側が作ったシステムだ。その結果、自分が知らないうちに病歴や健康状態等が、いろいろなところに伝わることを心配しなければならない。
 マイナンバーカードの利用は拡大し様々な個人情報をひも付けしようとしており、持ち歩いて紛失したり悪用されるリスクも高まる。マイナンバーカードと暗証番号があれば、マイナンバーを付けて行政等が管理しているあらゆる「特定個人情報」がマイナポータルで見れるようになるだけでなく、本人に成りすまして手続することも可能だ。
 「便利になる」代償はプライバシー侵害だ。マイナンバーカードの保険証利用手続はしないで、健康保険証を持参しよう。

発足前にはやくも露呈する
民間主導のデジタル庁の危うさ

 2021年9月1日に発足するデジタル庁について、早くも官民癒着の疑惑が表面化している。デジタル庁の母体となる内閣官房IT総合戦略室 (IT室) が開発したオリンピック・パラリンピックの観客管理システム(オリパラアプリ)の入札で、8月20日に内閣官房が調達経過の疑惑に対して不適切だったと認める報告を公表した

●民間主導の異例の官庁=デジタル庁

 デジタル庁は民間主導の異例の官庁として、事務全体を監督する「デジタル監」などの人材を民間から登用する。職員の約1/3が民間から採用され、民間企業に在籍したまま非常勤公務員として勤務できる。
 そのため法案採決にあたり国会では「デジタル庁設置法の施行に関し、デジタル庁への民間からの人材確保に当たっては、特定企業との癒着を招くことがないよう配慮すること」が、附帯決議されていた

デジタル庁組織体制(2021年6月4日時点予定 )デジタル庁サイトより

●平井デジタル大臣の「脅す、干す」発言が発端

 この「オリパラアプリ」をめぐる官民癒着の疑惑は、6月11日朝日新聞の報道が発端だった。平井デジタル担当大臣がオリパラアプリの事業費削減をめぐり、4月のIT室の会議で同室幹部らに契約金額の減額交渉にあたり請負先の NECに対し、「NECには(五輪後も)死んでも発注しない」「今回の五輪でぐちぐち言ったら完全に干す」「どこか象徴的に干すところをつくらないとなめられる」などと発言し、さらに、NEC会長の名をあげて幹部職員に「脅しておいて」となどと発言していたことを報じた。
 平井大臣は「強気で減額交渉するよう求めた発言だったが、ラフな表現で不適切だった」と釈明したが、朝日新聞は会計検査院OBの弁護士の「国が不当な圧力をかけて請負金額の減額を迫ったとすれば優越的地位を背景とした事実上の強要で問題」との見解を紹介している。

●週刊文春、週刊新潮が相次ぎ続報

 その後週刊文春6月24日号がこの発言に関連して、デジタル庁の入退室管理システム導入にあたり平井大臣が自身と関係の深いベンチャー会社のシステムの方がNECより優秀と発言した報じ、平井大臣発言の音声データを公表した。個別の社名まで出して指示すると「官製談合防止法に違反する疑いがある」との元会計検査院局長の有川博日本大学客員教授の指摘を報じている。
 これに対して平井大臣は、4月7日の会議では「大手ベンダーのシステムに拘ることなく、ベンチャー企業を含めてしっかり勉強していくようにという趣旨で事務方に話をした 」もので社名は発言していないと否定している。その証拠として6月22日に音声データを公表したことを6月25日の記者会見で説明した。
 週刊文春は7月1日号でオリパラアプリを受注したNTTの平井大臣に対する接待疑惑を報じたが、平井大臣は割り勘で払っていると反論しているという。

 このオリパラアプリの契約についてはさらに7月1日号の週刊新潮が、オリパラアプリの開発を担当した民間出身のIT室幹部(室長代理)がNECが癒着し平井大臣と対立していたことが「脅す」発言の背景にあると報じた。

●訪日外国人監視のためのデータ連携基盤構築

 この疑惑を受けて7月8日にIT室は、4名の弁護士による 「統合型入国者健康情報等管理システムの調達に係る調査チーム」を設置し、8月20日に65頁の調査報告書を公表した。
 この報告書によれば「統合型入国者健康情報等管理システム」は、 オリ・パラを利用して訪日外国人管理のために関連する情報システムのデータを恒久的に連携する基盤を構築しようとするものだ。

「主に訪日外国人観客を対象として、CIQ(税関・入管・検疫)手続の利便性向上、国内滞在中の健康情報の登録、登録された健康情報と顔認証技術による競技会場への入場の効率化、帰国時に必要となる陰性証明書の取得支援をワンストップで実現するスマートフォンアプリ(オリ観アプリ)を開発して、訪日外国人観客に提供するとともに、外国人観客によって同アプリに入力される顔写真や各種情報を、関係する各省庁等の情報システム(eVISA システム(外務省)、空港検疫業務システム(厚生労働省)、入管システム(出入国在留管理庁)、税関システム(財務省)、HER-SYS(新型コロナウイルス感染者等情報把握・管理支援システム、厚生労働省)、入場管理システム(オリンピック・パラリンピック組織委員会)等)と紐付けするデータ連携基盤の開発・運用・保守を内容とする・・・」(報告書p.7-8)
「東京オリンピック・パラリンピック終了後も多くのインバウンド観光客用のプラットフォームとして活用することが予定されていた 」 (報告書p.21)

 2021年1月14日の入札でこのシステムを受注したのは、 NTTコミュニケーションズを代表幹事とするJBS(日本ビジネスシステムズ株式会社)、NEC(日本電気株式会社)、アルム、ブレインの5社で構成されるコンソーシアムで、その分担は以下のようになっていた (報告書p.47) 。なお入札に参加したのは本コンソーシアムのみだ。

NTTコミュニケーションズ:プロジェクト全体管理/統括・管理、全体統括/プロジェクトマネジメント、アプリ設計・開発・保守、サポートシステム設計・開発・保守、システム運用、コールセンター、情報セキュリティ管理、GDPR等海外法規制対応
JBS:関係省庁等データ連携基盤及び業務アプリ設計・開発・保守
NEC:顔認証連携システム設計・開発・保守
アルム:医療機関向け連携支援設計・開発・保守
ブレイン:多言語対応、コンソーシアム事務局

 しかし新型コロナ流行で外国人観光客を受け入れない方針が3月20日に決定されたため、 eVISAシステムとの連携は行わず、顔認証連携システムを利用せず、オリ・パラ終了後は CIQ(税関・入管・検疫)データの連携機能に絞ってシステムを利用することが決定された (報告書p.57)。
 それにともない5月31日に、契約額が73億1500万円から38億4840万8366円に変更された。平井大臣の「干す、脅す」発言の原因となったNECが担当していた顔認証サブシステムの契約額は0円とされたが、報告書では「IT室とNECが、それぞれ、本契約内容に関する法的観点からの検討等を十分に行った上で、両者の協議によって合意されたものであり、特段の問題を含むものではない。」(p.57-58)としている。それではあの平井大臣の「干す、脅す」の暴言は何だったのだろうか。

●調査報告も認めた不適切なシステムの調達

  このシステムはIT総合戦略室の神成淳司室⾧代理(K大学環境情報学部教授)を管理者とする、いずれも民間企業からの出向者等によるPTが開発にあたった (報告書p.10) 。
 報告書では、「守秘義務を負わない民間事業者をプロジェクト管理等の体制に組み込んでいたことは、秘密保持の観点からも問題」とか、入札にあたり予定価格を業者に漏らしたり他社が出した見積もりを別の会社に渡すという職務違反や、民間出身のIT室幹部の関与する企業に再委託する利益相反などの不適切な行為があったことを指摘している。
 ただIT室の事務室移転やパソコン更新で2月以前のメールのやりとりなどのデータが失われていたり、「限られた時間の中で、飽くまでも任意に協力を求めるかたちで行われた」などの制約があり、「本調査の結果は、関係者の法的責任及び職責を追及する上で万全の根拠となるものではない」としており (報告書p.3-4)、平井大臣発言との関係も触れておらず、法令違反も認めていない 。

●「公正性に国民の不信、秘密保持からも問題

 まず指摘しているのは、 IT室の仕様書作成作業に深く関与していた民間事業者が社長を務めるネクストスケープ社が、JBS(日本ビジネスシステムズ株式会社)からの再委託先としてシステム開発に関与していた点だ。守秘義務も負わない純然たる民間事業者を組み込んでいたことは秘密保持の観点からも問題であり、調達手続の公正性に対して国民の不信を招くおそれもあり、不適切だったとしている。

 「本システムにおいて、CIQ関係のデータや外国人観客の健康情報に関するデータなどの複数のデータをクラウド上でやり取りするデータ連携が必要となると考えられたことから、神成室⾧代理と親しく、クラウドサービス分野の第一人者であり、マイクロソフト社が実施しているコンテストの入賞歴もある株式会社ネクストスケープ代表取締役社⾧の(F社⾧)らに協力を依頼し、「本システムの具体的内容を含め、相当に機微にわたる情報を提供しながら、仕様書の作成への協力を仰いだ・・・あたかも(F社⾧)らを神成PT の一員とするような体制を構築していた。」 (報告書p.11-12)

 しかし秘密性の高い情報が漏洩された事実は確認できず、ネクストスケープが受注において有利な立場となった事実も確認できなかったとして済ませている。
 デジタル庁で民間人材を登用する理由として、公務員ではデジタル技術の専門的知識が不足していることが言われているが、民間人材で構成されたPTでも専門知識が足りずに関係する企業の力を不適切な形で借りていたということは、民間主導のデジタル庁の将来を暗示している。

●「利益相反が問題となり得る状況

  神成IT室⾧代理については、利益相反の問題も指摘されている。このシステムのデータ連携基盤には、神成室⾧代理 が開発責任者となり、ネクストスケープ社にプログラミング・コード化を委託して開発されたWAGRI(農業データ連携基盤)が採用されている。
  WAGRIの著作権は発注元の農業・食品産業技術総合研究機構にあるが、神成室⾧代理は著作者として実施料収入の一定割合の配分を受ける権利を持っているため、 WAGRIが使用されると神成室⾧代理は経済的利益を得ることが可能だ。
 報告書は、仕様書はWAGRIを利用せざるを得ないものにはなっておらず、API(外部とのデータ連携)の構築が簡易に行える WAGRIの利用は妥当としている (報告書p.23-28)。また神成室⾧代理は実施料収入の一定割合の配分を受ける権利の放棄を申し出て約107万円の配分を受けておらず、「WAGRI の利用によって、神成室⾧代理が経済的な利益を得たことはなく、将来的にその利益を得る見込みもない」という。
 しかし配分放棄を申し出たのは、週刊新潮7月1日号が疑惑を報じた後の7月6日頃だ。報告書は「週刊誌報道を受けて、これを放棄したのではないかとの国民の疑念を招くおそれがあるといわざるを得ない」 (p.51-52)と書いているが、報道があったから放棄したとみるのが自然だろう。

●入札にあたっての職務違反

 このシステムの調達は、2020年12月28日入札公告、2021年1月8日提案書提出期限、1月14日入札・開札の日程で行われた。年末年始を挟んだ短期間の手続では公正さに疑義が生じることは、デジタル法案の国会審議でも問題になっていた(2021年3年31日衆院内閣委川内委員質問)。
 報告書では、「法令違反は認められないものの、年末年始の休業日を挟んだことによって入札に参加することができない民間事業者が生じ、競争性が阻害されるおそれがあった面があることは否定できない」と指摘しながら、やむを得なかったとしている (p.31)。

 報告書が問題にしているのは、不適切な見積もりのとり方だ。3社から見積もりを聴取しようとしたところ、 NTTコミュニケーションズからは提出されたが、参考見積提出を打診した他2社からは、不確定要素が多く見積困難とか応札の意思がない案件に見積もりは出せない等断られていた。しかしなんとか見積もりを得ようと、見積額の概要を示して作成を依頼したり、他社の見積書を別の会社に示して参考にしながら作成するよう依頼するという、あり得ない依頼を行い予定価格を決定していた (p.32-41) 。
 報告書は、「見積もりに発注者側が関与することがあってはならない」とか「参考見積を徴取する趣旨を根本から没却するものであるし、場合によっては、適正な予定価格の作成を阻害するおそれすらある」とか「民間事業者が独自の積算に基づいて作成した参考見積書を他社に交付することは、自社の積算のノウハウを他社に掌握されてしまうという点において競争上大きな不利益を被らせかねない行為」と、当然の指摘をしている。
 しかし具体的な金額を教示していたと認定することはできないと判断し、「法令違反とはいえないものの、不適切な行為」「職務違反が認められ、公の入札方式による調達手続に関わる者としての意識を欠いたもの」と言うにとどめてる。

 このような調達の進め方は、今回、たまたまマスコミ報道があったために実態が明らかになったが、従来から行われていたのではないかという疑念が生じる。このような調達をしてきたことが「デジタル化の遅れ」の一因ではないのか。 

●コンプライアンス委員会は設置されたが

  8月20日の「統合型入国者健康情報等管理システム(オリパラアプリ)の調達に係る調査結果報告をうけて、 6月2日に設置されていた「デジタル庁における入札制限等の在り方に関する検討会」の取りまとめが 8月25日に報告され、それを踏まえて8月27日にコンプライアンス委員会が設置されている。
 8月27日には見積もりで不適切な行為をしたIT室の参事官と戦略調整官が訓告、 PT管理者だった神成室長代理が監督責任があるとして訓告、IT室の三輪昭尚室長と審議官、別の参事官も監督責任が問われて厳重注意の処分がされ、平井卓也デジタル改革相は決裁ルートに入っていなかったが 一定の監督責任があるとして大臣給与1カ月分を自主返納すると発表した
 軽い処分で幕引きということのようだ。

 しかしこの調査報告書は、意図的かどうかはわからないが肝心のところで指摘が甘くなっている。とくに発端である平井デジタル担当大臣の「暴言」の背景には、まったく触れていない。そればかりか、会議での平井大臣の音声データが外部に流出したことの「犯人探し」をしたが確定できなかったなどと書いている (p.60-61) 。調査の方向が逆ではないか。

●個人情報保護措置が空洞化する危惧

 この報告書を受けたコンプライアンスの方向にも危惧がある。例えば 「デジタル庁における入札制限等の在り方に関する検討会」の取りまとめでは、柔軟な調達契約の選択として民間で流行の「アジャイル型」の開発手法の採用を求めている。これは従来の「要件定義-設計-開発-テスト-運用開始」というシステム開発ではなく、機能単位の細かな「設計-開発-実装-テスト-修正」のサイクルを繰り返しながら開発していく手法だ。
 しかしこのやり方は、マイナンバー制度の個人情報保護措置の柱の一つである特定個人情報保護評価制度が、「要件定義-設計」段階で事前に評価書を作成して第三者評価やパブコメを行うことを求めていることと整合しない。
 すでに新型コロナワクチン接種記録システム(VRS)や公的給付のための預貯金口座へのマイナンバー付番・管理法案のマイナンバーの利用では、個人情報保護委員会は事前に実施することが原則である特定個人情報保護評価を「緊急時の事後評価」の規定を適用して事後でよいとするなど、政府の施策に追随して個人情報保護措置の空洞化を容認している。
 デジタル庁はマイナンバー制度を含む行政システムの再構築をしようとしているが、 個人情報保護措置が形骸化することが危惧される。

地方自治は「許容されない」?!
個人情報保護委員会の条例対応

 個人情報保護委員会は2021年7月1日、 「令和3年改正法の規律に関する考え方」 を公表した。国や地方自治体に、この内容で施行準備を促している。

●改正個人情報保護法施行に向けた今後の予定

 5月12日に成立し5月19日に公布されたデジタル社会形成整備法で、個人情報保護法が全面改正された(令和3年改正法)。官民の保護法の統合(整備法50条)については公布日から1年以内(来年春)に、地方自治体の条例の「リセット」と国基準化について(整備法51条)は、公布日から2年以内に施行予定となっている。
 施行に向けて5月19日の第174回個人情報保護委員会は、「個人情報保護委員会の今後の取組」を決めている。それによれば、官民の統合やそれに含まれる学術研究関係については、今年の夏~秋に政令・規則やガイドラインの意見募集(パブリック・コメント)を行い、自治体の条例改正の政令規則やガイドラインについては、冬に意見募集を予定している。

    「 個人情報保護委員会の今後の取組 」7頁

 6月23日の第176回個人情報保護委員会では、「予め現時点における公的部門全体を通じた規定の解釈等の概略を示す」ことで国・地方の施行に向けた着実な対応を促すために、
(1)公的部門(国の行政機関等・地方公共団体等)における個人情報保護の規律の考え方
(2)学術研究分野における個人情報保護の規律の考え方
を決め、7月1日に公表した。

●地方の独自性を「許容しない」規律

 このうち「(1)公的部門(国の行政機関等・地方公共団体等)における個人情報保護の規律の考え方」では、自治体の条例の国基準への統一について、争点となっていた国の法律を上回る条例の「上乗せ横出し」規定をことごとく「許容されない」としている。
 要配慮個人情報については、自治体は地域特性に応じて「条例要配慮個人情報」を条例に設けることはできるが、令和3年改正法の個人情報保護に関する全国共通ルールを法律で定めるという目的から、「法の規律を超えて、地方公共団体による取得や提供等に関する独自の規律を追加することや、民間の個人情報取扱事業者等における取扱いを対象に固有の規律を設ける等の対応は、許容されない。」
 オンライン結合制限についても、「改正後の個人情報保護法においては、オンライン化や電子化を伴う個人情報の取扱いのみに着目した特則を設けておらず、法が求める安全管理措置義務等を通じて、安全性確保を実現することとしており、条例でオンライン化や電子化を伴う個人情報の取扱いを特に制限することは許容されない。」
 自治体の個人情報保護審議会に諮問することについても、専門的な知見に基づく意見を聴くことが「特に必要である」場合に限って諮問することはできるが、「個人情報の取得、利用、提供、オンライン結合等について、類型的に審議会等への諮問を要件とする条例を定めることは、今回の法改正の趣旨に照らして許容されない。」
 死者に関する情報の扱いについても、「条例により個人情報に含めて規律することは、改正後の個人情報保護法の下では許容されない。」
としている(下図参照)。

  「公的部門における個人情報保護の規律の考え方」 8頁

 さらに個人情報や要配慮個人情報の定義については、「令和2年改正後の個人情報保護法で定める定義に統一することとし、条例で独自の定義を置くことは許容されない。」
 開示、訂正及び利用停止関係の規定については、 地方公共団体毎に定められている情報公開条例との整合性を確保するため、非開示情報、開示等手続細則及び審査請求手続については、法律の範囲内で独自規定を条例で定めることができるが、情報公開条例との整合確保と無関係な非開示情報を追加することや、法で定める開示決定等の期限を延長することは「許容されない
としている。

●条例の「リセット」を迫る平井デジタル大臣

 政府は国会審議では当初、自治体は保有する情報に一般的な管理権があり、地域の特性に配慮した要配慮個人情報の内容は自治体が条例で定めることができるとしているので、全てが画一的な制度になっているものではないと、 条例で独自の規定をすることを認めるかのような説明をしていた(3月17日衆議院内閣委員会塩川委員への答弁)。
 しかし3月19日の衆議院内閣委で平井デジタル担当大臣は、「現行の地方公共団体の条例の規定は、基本的には改正法の施行までに一旦リセットしていただくことになり、独自の保護措置として存置する規定等については改めて規定していただくことになる 」と答弁した。存置できる事項について政府参考人が説明したが、事務的な手続に関することばかりだった。
 この「リセット」発言には、野党だけでなく与党委員からも「自治体が熟議を重ね、独自に築き上げてきた個人情報保護条例をいとも簡単にリセットという、こういった表現をされるというのは、地方議会出身の私としましてはいささか釈然としない」など批判が集まった。

●地方自治の最大限尊重を求めた国会

 平井大臣も答弁しているように、日本の個人情報保護法制は地方公共団体の先進的な取組により主導されてきた(下記経過年表参照)。平井大臣は「今後、法の施行のためのガイドラインの策定や個人情報保護法の定期的な見直しを行う際は、住民に密着した行政を行う地方公共団体の意見や提案を積極的に反映していくことが重要である」とも答弁している
 デジタル改革法を審議した国会では、個人情報の利活用と連携・標準化・共同化の拡大にともなう個人情報保護の危うさが指摘され、多くの付帯決議が付された。その中で自治体の個人情報保護条例の制定にあたっては地方自治の本旨の最大限尊重や、全国共通ルールについて国の法令を押しつけるのではなく法令の見直しも検討すべきことを求めている。
 個人情報保護委員会の条例による「上乗せ横出し」を「許容されない」と拒み国の法令を押しつける姿勢は、このような国会の意思を軽視するものだ。

     衆参両院の内閣委員会の付帯決議
「四 2 地方公共団体が、その地域の特性に照らし必要な事項について、その機関又はその設立に係る地方独立行政法人が保有する個人情報の適正な取扱いに関して条例を制定することができる旨を、地方公共団体に確実に周知するとともに、地方公共団体が条例を制定する場合には、地方自治の本旨に基づき、最大限尊重すること。また、全国に適用されるべき事項については、個人情報保護法令の見直しを検討すること。」
 ※衆議院内閣委員会の付帯決議全文はこちら
 ※参議院内閣委員会の付帯決議全文はこちら 

         (筆者作成年表)

●個人情報保護条例の多様性は自治の証

 住民に信頼される行政を進めるために、自治体は国に先行して住民参加で個人情報保護に努めてきた。その結果、下記総務省調査のように条例の規定には多様性がある。

           総務省提出資料

 政府はこの条例の多様性を「2000個問題」として、自治体毎の相違がデータ流通の支障だと問題視している。しかし改正前の個人情報保護法第5条は自治体の責務として、その区域の特性に応じて個人情報の適正な取扱いを確保するために必要な施策を策定し実施することを求めてきた。条例の多様性は、自治体がその責務を果たすために努力してきた結果であり、それを「2000個問題」などと批判する資格は国にはない。
 相違をなくすだけなら、規制の厳しい自治体の基準に共通ルールを揃える方法もある。しかし政府は下図のように、条例の独自保護措置の「上乗せ横出し」をカットして国の法律の枠内に揃えようとしており、自治体の意見や提案を積極的に反映させる姿勢はない。

「個人情報保護制度の見直しに関する最終報告」概要より

 今回の法改正は「保護水準の低い地方公共団体がある」とか、GDPRなどとの国際的な制度調和など個人情報保護の向上を装っている。しかしその意図は、いままで住民情報の保護を目的として作られてきた条例を、国や企業が住民個人データを利用するのに支障になるとしてリセットし、「デジタル化に対応した個人情報保護とデータ流通の両立」と称して利活用を進めようとするものだ。
 私たちは行政手続の必要や行政サービスを受けるために、個人情報を提供している。その情報を勝手に提供して他の目的に利活用することは、プライバシーの侵害であるだけでなく、行政に対する信頼を損ない、行政への手続を躊躇わせることになる。

●「地域の特性」を判断するのは自治体

 改正法は要配慮個人情報については「条例要配慮個人情報」を新設して、「地域の特性その他の事情」により「取扱いに特に配慮を要するもの」を条例で定めることを認めている。
 要配慮個人情報とは、差別の原因になるなど慎重な取扱いを要する個人情報で、2015年の個人情報保護法改正で新設され、人種、信条、社会的身分、病歴、前科、犯罪被害の他、政令で障害、健診結果、保険指導・診療調剤情報、刑事事件手続や少年の保護手続が規定されている。本人同意なしに提供できないなどより厳しく保護される。
 しかしこの条例要配慮個人情報について「個人情報保護制度の見直しに関する最終報告」(40頁)では、地方公共団体の施策により保有する情報で国の行政機関では保有が想定されず国の法律に規定のない情報、例えば「LGBTに関する事項」「生活保護の受給」「一定の地域の出身である事実」等に限定し、国の法律を上回る規定は認めていない。

 また国会審議で政府参考人は、オンラインの結合の禁止については地域的な特性ということではないので条例で基本的には禁止はできない、という説明をしていたが、これは政府の勝手な解釈でしかない。
 住基ネットに対して、横浜市と同様に「段階的参加」を認めることを求めて国を訴えた杉並区の当時の山田宏区長(現自民党参議院議員)は、東京地裁に提出した陳述書(第8回口頭弁論 甲第41号証 )で、杉並という地域の特性として、高い自治意識からプライバシーについて敏感な反応を示してきたことを、1978年の電算個人情報保護条例制定の際の住民直接請求運動や、情報公開や個人情報保護条例のいち早い制定などを例に主張していた。
 杉並区の電算条例制定の際の杉並区個人情報保護対策研究協議会は、「国民総背番号制に反対するという意味からも、・・・国や他の地方公共団体との結合はしない、ということを基本にすえる必要がある」と答申し、オンライン結合を制限する条例を制定している。

 住民情報を保護するのは自治体の責任であり、その地域の特性を判断するのは自治体だ。多様であるがゆえに足らざるところもある自治体の条例の保護水準の向上は、地方自治を尊重しながら漸進的に進めるべきであり、デジタル化への移行のために「ショック・ドクトリン」でリセットすることなど許されない。

↓法改正参考資料(矢印をクリックすると画面が変わります)

20210605-1

デジタル監視法案を廃案へ!
院内集会で衆議院審議を検証

 デジタル改革関連6法案は、2021年5月12日の参議院本会議で可決成立しました。共通番号いらないネットは、5月13日に声明「市民監視を強化するデジタル改革関連法案の採決に抗議する」を発表しました。
 声明はいらないネットのサイト(こちら)に掲載しています。(2021年5月14日追記)

 菅政権の目玉政策であるデジタル改革関連6法案は、5法案が4月6日の衆議院本会議で採決され、4月16日には地方自治体の情報システムを標準化する法案も衆議院本会議で採決され、連休明けにも参議院で可決・成立が目論まれています。
 付帯決議が衆議院の内閣委員会総務委員会で合わせて43本もついたように、問題だらけの法案です。デジタル化礼賛一色だった世論も、法案の問題が知られるにつれて批判的な意見が増えてきました。
 新型コロナ対応の失敗をデジタルの遅れのせいして、それを口実に行政の縦割りを打破する突破口として強力な権限を持つデジタル庁を創設し、マイナンバー制度を基盤に個人情報の利活用と国民監視強化を「一気呵成」に進めようという法案です。
 4月27日(火)午後、衆議院第二議員会館第3会議室で、デジタル法案の衆議院審議を検証する院内集会が、 共謀罪NO!実行委員会、「秘密保護法」廃止へ!実行委員会、NO!デジタル庁の共催で開催されました。
 当日の資料 「デジタル法案衆議院審議の検証」 を掲載します。(画像をクリックすると左上の矢印で頁がめくれます)
※この資料は、衆議院の内閣委員会・総務委員会での審議を、審議録が公開される前にインターネット中継等を参考に作成したものです。
 正確な答弁内容は国会会議録検索システム等で確認してください。
 参議院の内閣委員会での付帯決議はこちら、総務委員会での付帯決議はこちら (5月14日追記) 。

20210427

    資料のダウンロードはこちらから
    院内集会の録画はこちらから

デジタル監視法案廃案に向けた行動に参加を

5・6デジタル監視6法案に反対する行動
■日時: 5月6日(木)12時30分~13時
■場所: 衆議院第二議員会館前
■挨拶: 国会議員
■発言: 市民団体
■共催: 共謀罪 NO !実行委
     「秘密保護法」廃止へ!実行委員会
    NO !デジタル庁
■協賛:戦争させない・9条壊すな!総がかり行動実行委

5・6デジタル監視6法案に反対する院内集会
■日時:5月6日(木)13時30分~15時30分
■会場:衆議院第二議員会館多目的会議室
■挨拶:国会議員
■お話:個人情報<利活用>の課題
   -デジタル関連法で何が変わるのか-
     山田健太さん(専修大学=言論法)
■共催:共謀罪NO!実行委員会
    「秘密保護法」廃止へ! 実行委員会
    NO!デジタル庁  
■オンライン配信 https://youtu.be/Uqh4jzFMc08

共謀罪 NO !実行委 、秘密保護法」廃止へ!実行委
NO!デジタル庁  デジタル庁反対院内集会の記録

デジタル庁と監視社会
–オールデジタルにならない社会を目指して-

■日時:4月6日(火)13時30分〜15時 30分
■会場:衆議院第2議員会館第4会議室
■お話:小倉利丸さん (批評家)
    お話の資料はこちらから
 院内集会の録画はこちらから

個人情報保護法改正の問題点
■日時:2021年3月24日(水)15時〜
■会場:衆議院第一議員会館 地下1階 第5会議室
■お話:三木由希子さん(情報公開クリアリングハウス理事長)
  院内集会の録画はこちらから

デジタル化される医療と教育
-人間の生涯管理に道を開くデジタル化-

■日時:2021年 3月 9日(火)13時30分~15時30分
■場所:衆議院第 2議員会館第2会議室
■お話:人間の生涯管理に道を開くデジタル化<医療編>
    知念 哲さん(神奈川県保険医協会)
    お話の資料はこちらから
■お話:デジタル化で狙われる「教育データ」     
    伊藤拓也さん (全国学校事務労働組合連絡会議)
    お話の資料はこちらから
 院内集会の録画はこちらから

デジタル庁下のマイナンバー制度
-「利用拡大」から「再構築」ヘ-

■日時:2021年2月 8日(月)13時30分~15時30分
■場所:衆議院第 2議員会館第4会議室
■お話:原田富弘さん (共通番号いらないネット)
    お話の資料はこちらから
 院内集会の録画はこちらから

デジタル庁なんていらない1・18院内集会
■日時 2021年1月 18日 (月 )13時45分~16時00分
■会場 衆議院第2議員会館多目的会議室
■発言:海渡雄―さん(共謀罪対策弁護団)
    お話の資料はこちらから
■発言:原田富弘さん(共通番号いらないネ ット)
    お話の資料はこちらから
 院内集会の録画はこちらから

国会行動などの記録はこちらから
個人情報保護法改悪についてはこちらも参照

コロナ予防接種で崩される!
マイナンバーの個人情報保護(3)

●1億人のマイナンバーと個人情報を民間で一括管理

 4月12日から新型コロナの予防接種が、高齢者を対象に始まろうとしている。
 この予防接種の接種記録システム(VRS)は、本ブログ「コロナ予防接種で崩される! マイナンバーの個人情報保護」( )で指摘してきたように、マイナンバー制度の個人情報保護措置にことごとく反している。
 「全国民」のマイナンバーと住所・氏名・生年月日・性別、さらに接種の有無という要配慮個人情報を、社員約40名のベンチャー企業が一括管理し、データは外資系のクラウド(Amazon Web Services)で管理される。にもかかわらず、そのリスク評価や漏えい等の発生時の責任は曖昧だ。

●無視されるマイナンバー制度の個人情報保護措置

  「コロナ予防接種で崩される! マイナンバーの個人情報保護」で指摘したように、この接種記録システム( VRS )はマイナンバー制度の個人情報保護措置に反したシステムになっている。
 第1に、漏えい等のリスクを事前に自己点検する「特定個人情報保護評価」を、事後評価で構わないとしている。さらにその評価書の「ひな型」を国が用意して自治体が書き写すことを容認し、保護評価制度そのものを軽視している。番号法では特定個人情報保護評価を実施していなければ、マイナンバーの利用も情報提供も認められていない。
 第2に、自治体しか予防接種事務にマイナンバーを利用できないが、この VRS は国が開発し国のシステム内の論理的に区分された各市区町村の領域でマイナンバーにより接種記録を保管し管理する。利用事務の法定という番号法の個人情報保護措置に反している。
 第3に、「収集・保管」が認められない国に自治体からマイナンバーを含む個人情報を提供するために、国のシステムへの提供ではなく受託業者と市区町村の業務委託による提供だと説明している。委託業者のシステムへのアップロードだから国への提供ではない、という脱法的解釈だ。
 第4に、漏えい等のトラブルについて国が全責任を負うと言っているが、自治体は委託先である(株)ミラボに対して監督責任を負うことも明記し、番号法上は自治体が責任を負う。自治体は国のつくった内容も運用実態もわからないシステムを監督しなければならず、危うい監督体制になっている。
 第5に、番号法では市町村間の情報連携は安全措置として情報提供ネットワークシステムを使わなければならないが、 VRS では番号法19条15の意識不明者への緊急治療時を想定した例外規定を適用して、市町村間での提供を認めるという拡大解釈をしている。

●マイナンバー法を逸脱する状態は解決していない

 その後1カ月たったが、これらの問題点は解消しないままシステムが運用される。
 全国知事会は2月27日の緊急提言で、政府にマイナンバー法等との整合性を明らかにすることやトラブルについて国の責任で対応することを求めていた。しかし3月20日の下記資料の対応状況を見ても、国はまったく説得力のない拡大解釈しか示していない。

2021.3.20全国知事会新型コロナウイルス緊急対策本部資料4より

●自治体から寄せられる疑問の声

 このようなシステムには、自治体から多くの疑問が出されている。政府のワクチン接種記録システム(VRS)のサイトに掲載されている自治体の質問と回答の中からいくつか抜粋して紹介する(番号はFAQ一覧表のNo 。 日付は回答日)。

システムの利用は義務ではなく、マイナンバーを利用しないことも可能むしろマイナンバーを利用すると面倒

 No95「VRSを使用しないことは認められますか(使用は義務ですか)」の問いに「全自治体が利用することを前提としています( 3月18日)」と回答しているように、システムを利用することは義務ではなく、市町村が利用を判断しなければならない。
 またマイナンバーの利用については、No96「マイナンバーを除く運用での参加も可能でしょうか」に対し「マイナンバーを活用せず接種記録システムを使用することは想定しておりません(3月18日)」と回答し、想定はしていないができないとは回答していない。
 システム上もマイナンバーの利用は必須ではない。システムへのデータの記録(消し込み)は「自治体コードと接種券番号」により行う(2月24日 No29 )。マイナンバー以外の項目だけ登録することも可能だ (3月18日 No269) 。接種会場でマイナンバーやマイナンバーカードを扱うことはない(3月5日 No78 )。転入者の過去の接種歴の確認は「本人同意の上マイナンバーで検索するか、もしくは3情報(氏名・生年月日・性別)を用いる」 (3月18日 No243) のでマイナンバーがなくても可能だ。
 むしろマイナンバーで検索するためには本人同意が必要で、「書面での同意にするか、口頭での同意にするか」各自治体で判断する必要があり(2月24日 No20)、世帯員の同意ではダメであくまで本人が行う必要がある(3月18日 No246)など手間がかかるので、3情報での検索の方が簡便だ。
 しかもシステムには転入先自治体で本人同意をとっているかを転出元自治体が確認できる機能は実装されておらず(3月23日 No317)、接種情報を提供する転出元市町村は本人同意がないのに提供するリスクがある。「今回のマイナンバー法第19条第15号の適用は「本人の同意を得る」ことを前提とするという解釈」(3月18日 No286)になっており、同意なく提供すると番号法違反になる。

 市区町村コードと宛名番号で対象者を検索できるのに、わざわざマイナンバーが必要である理由として「異なる市町村間で迅速に照会・提供を行うために、マイナンバーを用いる」必要があるとしている(3月1日 No84)。市町村内では予防接種記録はマイナンバーがなくても宛名番号(住民を一意に特定するために自治体内部で付番している番号)等で確実に管理されている。3情報(氏名・生年月日・性別)で他自治体に照会可能なら、マイナンバーを必要とする理由がない。
 そもそも今回の予防接種の対象者の中は、マイナンバーのない者も含まれる。接種日に住民基本台帳に記録されている者を対象としているが、「戸籍又は住民票に記載のない者その他の住民基本台帳に記録されていないやむを得ない事情があると市町村長が認める者についても、当該者の同意を得た上で、接種を実施することができる。」(「新型コロナウィルス感染症に係る予防接種の実施に関する手引き」8頁)。システムも、住所が設定できない方についての登録は可能となっている(3月18日 No196)。

市区町村は特定個人情報保護評価を行う必要がある

 事後でよいとされてはいるが、特定個人情報保護評価は実施する必要がある。個人情報保護委員会と調整した「特定個人情報保護評価関連の質問と回答」のQ1では、次のように評価の必要が説明されている。

 今般の新型コロナウイルスワクチンの接種に関する事務において、新システムを利用する場合、既存の予防接種に関する事務に加えて新型コロナウイルスワクチンの接種記録の管理等を行うため、特定個人情報等の取扱いについて、主に次の取扱いが新たに生じることが想定され、特定個人情報保護評価が必要となります。
①新型コロナウイルスワクチンの接種記録を特定個人情報ファイルとして取り扱う
②予防接種台帳を管理するシステム等から新システムへの特定個人情報の登録
③新システムを利用したワクチン接種記録の管理及び他市町村との接種記録の照会・提供(情報提供ネットワークシステムは使用しない)(2月17日更新)

 システムでマイナンバーを利用する限り、すべての市町村が特定個人情報保護評価の「基礎項目評価書」を作成し公表しなければならない。さらに人口(接種対象者)1万人以上の市町村では「重点項目評価書」を、10万人以上の市町村では「全項目評価書」を作成しなければならない。「全項目評価書」作成のためにはパブリック・コメントの実施が必須だ。事後評価であってもパブリックコメントは必要だ (3月22日 No316)。
※「接種対象者登録」の対象者は曖昧で、(1)全住民 (2)16歳以上の住民 (3)接種券発送者(初回は65歳以上の住民)のいずれとしてもいいとなっているが、「今後16歳未満も接種対象となりえますので、(1)で送っていただくことが望ましい」(3月22日 No290)とされている。

 特定個人情報保護評価を事後でも良いとしたり、そのひな型を国が示してコピペを容認することは、リスクを事前に自己点検する制度の趣旨に反し不当だ。事後評価でいいとする理由は、「実施機関が評価を事前に実施することが困難である場合には、緊急時の事後評価の規定の適用対象となる」というものだが、事後評価であっても「可及的速やかに評価を実施していただくことが必要」だ(2月24日 No80)。
 予防接種の開始がワクチン調達などにより遅れており、事前評価の趣旨からは「事後でいい」ではなく可及的速やかに実施する必要がある。しかし国は本日(4月11日)までに評価の再実施に必要な評価書のひな型を示しておらず、「できるだけ早くお示しできるよう、現在検討中です。」 (3月30日 No342)と回答している。

市区町村は個人情報保護条例での判断も必要

 市区町村の個人情報保護条例での対応も必要だ。「本接種記録システムにおけるマイナンバーの提供については、番号法第19条第15号(「人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるとき」)に該当するため、自治体側での条例整備等は不要」(3月5日 No86)と回答している。しかし意識不明者への救急治療など緊急事態における特定個人情報の提供を想定した例外規定(「番号法逐条解説」47頁)を市町村間の情報連携に適用するという、こんなトンデモ解釈を自治体が認めるのかどうか、判断が必要だ。
 なおマイナンバーを登録するか否かに関わらず、ほとんどの自治体条例で規定しているオンライン結合の制限規定にシステムは抵触する。「一般に、地方公共団体の条例には、オンライン結合について原則禁止としつつ例外的にオンライン結合制限を可能とする規定を置かれております。その場合には、条例に基づき判断する必要があると考えます。 (4月1日 No348) 」と回答しているように、いずれにせよ市区町村の個人情報保護審議会などでの判断が必要になる。

責任分担の曖昧なセキュリティ対策

 このシステムは 「全国民」のマイナンバーと個人情報を、健康情報システムに実績のある社員約40名のベンチャー企業が一括管理し、データは外資系のクラウド(Amazon Web Services)で管理するという、マイナンバー制度では前例のないシステムだ。最近も年金情報の業務委託先からの中国への漏えいやLINEの個人情報が韓国で保管されたり中国から閲覧可能になっていた問題などが相次いで発覚している。接種記録システムから漏えいや不正利用が発生すれば、その影響はこれらの問題の比ではない。

 漏えいや不正利用などのセキュリティについて、国は 「ワクチン接種記録システム(VRS)への御協力のお願い 」(2021.3.5)で自治体に、「システムの利用に関する障害やシステムから個人情報の漏えいが発生する等のトラブルについては国が全責任を負う」(5頁)と通知しているが、同時に「各自治体は、特定個人情報の取扱いの委託を前提として、番号法第11条に基づき、ミラボ社を監督する立場になります。その際の具体的な実地検査又は報告要求の方法については、自治体の過大な負担にならないよう検討し、追って連絡致します。」(6頁)と、自治体の監督責任も明記している。
 しかし「接種記録システムは、国が(株)ミラボ社と契約して開発したシステムを提供」しており、市町村でセキュリティなどを判断することは困難だ。システム利用終了後のデータ消去方法やサーバ等の機器廃棄方法についての問いに、「 VRSはクラウドサービスとなっており、サービス終了とともにデータ消去されます」 (3月22日 NO307)と回答されているが、どうやって市区町村がアマゾン・ウェブ・サービスに調査確認できるのだろうか。

 情報提供等の記録について住民から開示請求があった場合の対応も、開示請求の受付は各自治体が行うが、各自治体はミラボ社から「情報提供等の記録」を入手し対応することとなり、当該記録の入手に当たっては内閣官房情報通信技術(IT)総合戦略室に連絡しミラボ社へ連絡することになっている (3月26日 No 341) 。提供記録は自治体にない。
 自治体はこのようなマイナンバー法からの逸脱に対して住民から訴訟を起こされることを心配しているが、国は「仮に各自治体に対し訴訟を提起された場合は、各自治体は国に訴訟遂行を求めることができます。」 (3月30日 No345) と回答している。 

なぜマイナンバー法に従ったシステムにしないのか

 この接種記録システムは恒久的なシステムではなく、「現時点においては、新型コロナウイルス感染症ワクチン接種用として構築を進めている」(3月18日 No98 )。本来、番号法では自治体間の情報連携は危険防止のために情報提供ネットワークシステムを使うことになっている(3月5日 No90)。
 このシステムについても「本来、予防接種情報については情報提供ネットワークシステムにおいて情報連携することとしており、新型コロナウイルス感染症対策ワクチンの接種情報についても、今後、データ標準レイアウトを定義の上、同システムを通じた情報連携を実施予定」(「 VRS)への御協力のお願い 」6頁)となっており、 R4.6のデータ標準レイアウト改版までに情報ネットワークシステム経由での情報連携に対応させる ( 3月18日 No151)と回答している。

 いままで番号法では可能になっているにも関わらず情報連携が利用されなかったのは、予防接種を医療機関に委託実施しているため接種結果を自治体が予防接種台帳に記録するまで一定の時間がかかっていたためだ(厚労省2017.10.26 事務連絡)。そのため母子手帳などでの確認を優先してきた。
 今回、48億円を使ってタブレットを接種会場にレンタルし、接種券を読み取ってシステムに接種記録を登録することにしている。このような方法で台帳への記録時間が短縮できるのであれば、 番号法のルールにしたがって情報提供ネットワークシステムを利用してもVRSと同様のことは可能になる。

 ただこのタブレットを使った入力が、とくに医療機関での個別接種で順調にいくかはわからない。自治体からの「個別接種の医療機関からVRSの協力が得られない場合、市職員がタブレットを持ちまわるのは現実的に難しいと思われるが、このような事態が生じた場合はどのように対処すればよいか?」の問いに、「個別接種の医療機関からどうしてもVRS登録の協力が得られない場合は、予診票を回収の上登録をお願いします(業務委託でも問題ありません)」 (3月22日  No293 )と回答している。これでは従来と大差なく、リアルタイムでの把握はできない。
 医療機関にとってもこのタブレットを使った入力は負担が大きいのではないか。とくに一つの医療機関で複数の市町村の住民が接種した場合、「タブレットと自治体の組み合わせはシステム上固定されていますで、それぞれのタブレットで接種券の読み取りを行ってください」 (3月25日 No324)となっており、これでは医療機関は各自治体のタブレットを用意する必要がある。

●デジタル庁に向けた脱法的システムづくり?

 そもそも新型コロナ予防接種にマイナンバーを使うというのは、1月19日の記者会見での平井デジタル担当大臣の「ワクチン接種に向けて、マイナンバーを使うことを強く私は要望したい」との突然の発言に端を発している。記者会見では、「今回使わなくていつ使うんだ」「マイナンバー担当として、マイナンバーは使えないというような状況だけは避ける」などと発言していた。
 すでに各自治体の予防接種管理台帳と厚労省が昨年夏から構築してきたワクチン接種円滑化システム(V-SYS)によって予防接種を準備してきた自治体医療機関は、このような唐突なマイナンバー利用に対して困惑していた。

 この接種記録システムを平井デジタル担当は「この情報の話というのはこれからいろんな分野のガバメントクラウドの話の前哨戦」と言い、「デジタル庁の試金石」と報じられている。新型コロナへの不安を利用して接種記録システムを突破口に、マイナンバー制度の個人情報保護措置を空洞化して個人情報の利活用と国家による管理を進めようとする意図も感じられる。それはまさにデジタル庁が目指していることだ。
 市区町村は国に先行して個人情報保護条例を制定し、住民の個人情報の保護に努力してきた。しかしその条例を国は「リセット」し、オンライン結合制限規定を廃止させ、個人情報保護審議会で情報の収集・提供・利用について審議することを認めないデジタル関連法案を国会に提出している。このシステムに市区町村がどう対応するかは、自治体がこれから住民の個人情報保護にどう取り組んでいくかの試金石だ。

マイナンバーの危険性を増す
デジタル法案衆院可決に抗議

 2021年4月2日の衆議院内閣委員会で採決されたデジタル改革関連法案は、4月6日の衆議院本会議で、デジタル改革関連6法案のうち総務委員会に付託される地方公共団体の情報システムの標準化法案を除く5法案を一部修正し可決した。審議は参議院に移ろうとしている。

●デジタル庁で現実化するマイナンバー制度の危険

 共通番号いらないネットは、マイナンバー制度をますます危険にするデジタル庁構想に反対し、リーフレットNo9を発行してその危険性を訴えるとともに、廃案に向けて共謀罪NO!実行委員会秘密保護法」廃止へ!実行委員会デジタル監視法案に反対する法律家ネットワークデジタル改革関連法案反対連絡会などとともに、国会行動に取り組んできた。

 2015年に始まったマイナンバー制度に危険性があることは、政府みずからマイナンバーを用いた個人情報の追跡・名寄せ・突合による人権侵害や、集積・集約された個人情報の大量漏えい、成りすましなどによる財産その他の被害、国家による個人情報の一元管理などを認めてきた。
 ただ利用事務の法定や個人情報保護委員会の設置、特定個人情報保護評価による事前チェック、罰則、分散管理や情報連携にマイナンバーを用いないシステムなどの個人情報保護措置によって、その危険性は現実化しないと説明してきた

 しかし利用が広がらないマイナンバー制度に危機感を募らせた政府は、これら個人情報保護措置が普及を妨げているとみて、保護から利活用への転換をコロナ禍を利用して一気に進めようとしてきた(「新型コロナ危機に便乗してデジタル変革推進の骨太方針」)。2020年6月にデジタル・ガバメント閣僚会議に設置された「マイナンバー制度及び国と地方のデジタル基盤抜本改善ワーキンググループ」の「報告」が、デジタル改革関連6法案の基になっている。
 問われているのはマイナンバー制度という個人を特定識別して個人情報を分野を超えて生涯にわたりひも付けて管理することを目的とした仕組みを基礎としたデジタル化の是非であり、デジタル化一般の是非ではない。
 デジタル庁は権限と予算を集中する強力な司令塔として、マイナンバー制度の個人情報保護措置を切り崩しながら個人情報の利活用の推進と個人情報の国家管理システムの再構築をするために設置されようとしており、マイナンバー制度の危険性が現実化する。

●性急な法案の一括審議で誤りが多発

 今回の法案は、60以上の法律を一括して改正する束ね法案だ。法律の中には2001年に施行されたIT政策の基本法の全面改正や、40年以上の歴史を持つ国と地方自治体の個人情報保護法制を統合し全面改正する法案など基本法の改正も含まれる。国のあり方、行政の仕組みを左右する法改正であり、27時間程度の内閣委員会の審議時間では到底は足りない。
 膨大な法案を「一気呵成」に改正しようとする菅政権の性急な姿勢は、法案資料のかつてない多数の誤りを生んだ。「地縁」を「地緑」とするなど字句の誤りが報じられているが、整備法案の正誤表のほとんどは個人情報保護法制関係の条文の誤りだ。昨年改正された個人情報保護法がまだ未施行の状態で、さらに国関係の保護3法を整備法第50条で統合し、その上地方自治体の条例を整備法第51条で国基準化するという、複雑な改正内容が誤りの原因だ。
 平井デジタル担当大臣は法案資料誤りの責任を職員に押しつけているが、性急な一括改正が原因であり、デジタル庁により一気呵成に改革を進めようとすれば、このような乱暴な法改正の続発が危惧される。

●崩れた「一括法案」にする根拠

 本来、個々に検討すべき重要な法案を一括審議する理由として、平井デジタル担当大臣は密接不可分に関係する法制上の措置だからと述べていた。しかし6法案の一つである地方自治体の情報システムの標準化法案はまだ審議も始まっておらず、なんと4月6日の衆議院本会議で5法案が採決された後に趣旨説明が行われ、これから総務委員会で審議が始まる。
 密接不可分だから束ね法案にしたのなら、なぜ地方自治体情報システム標準化法案の審議が終了してから本会議で一括採決しないのか。一括法案の理由は崩れている。一括審議が必要だと主張するのであれば、参議院での審議は衆議院で6法案の採決がされた後に始めなければおかしい。

 とくに問題は、整備法(デジタル社会の形成を図るための関係法律の整備に関する法律案)の大部分を占める個人情報保護法制の改正だ。法案作成のプロである官僚も誤るような分かりにくい法改正であり、市民に理解困難な法改正で自らの個人情報の扱いが決められていくこと自体が、情報の自己決定権の侵害であり人権侵害だ。
 すくなくとも個人情報保護法制の改正は、参議院では一括法案から切り離して慎重に審議を進めるべきだ。

●内閣委で5本の修正案、28項目の付帯決議

 短期間の衆議院内閣委員会での審議だったが、そのなかでも多くの問題が明らかになった。内閣委員会採決にあたり28項目の付帯決議がされたことにも、いかに問題の多い法案かが示されている。採決の概要は以下のとおり。

デジタル社会形成基本法案について

デジタル社会形成基本法案に対しては、3本の修正案が出された。
1)立憲民主党後藤委員提案の自民・公明・立憲の3党修正案は、基本理念の第8条(利用の機会等の格差の是正)において、格差の要因の一つとして「身体的な条件」が記載されていることに対して、障害には知的障害や精神障害など様々な態様があり、「身体的な条件」を「障害の有無等の心身の状態」に改めるもの。
 採決の結果、賛成多数で修正された。

2)日本維新の会足立委員提出の自民・公明・維新の3党修正案は、基本理念の第9条(国及び地方公共団体と民間との役割分担)において、国と地方公共団体の役割として「国民の利便性の向上並びに行政運営の簡素化、効率化及び透明性の向上」が挙げられていることに対して、「公正な給付と負担の確保」も明記するよう求めるもの。
 提案趣旨は「所得と資産を捕捉した上で、取るべきところから取り、手を差し伸べるべき方々にしっかりと手を差し伸べる、そうした公正な給付と負担の確保というデジタル社会の理念」はマイナンバー法の目的でもあるので明記すべし、というもの。
 採決の結果、賛成多数で修正された。

3)立憲民主党後藤委員提案の修正案は、3点の修正を求めた。 趣旨は
・データ利活用の必要性に異論はないが、政府原案は国や企業によるデータの利活用推進に偏っており、個人情報保護の観点が欠落している
・政府原案では地方公共団体の情報システムの共同化・集約の推進が義務づけられているが、これでは自治体は国が用意する画一的なシステムを前提としたシステム改修を余儀なくされる
・政府原案では、デジタル社会の形成に関する重点計画の作成等に当たって、地方六団体の意見を聞くことになっているが、システムを利用する職員の意見にも耳を傾ける必要がある
というもの。

 修正案の内容は
①デジタル社会の形成に当たっては、情報の活用により個人の権利利益が害されることのないようにするとともに、高度情報通信ネツトワークの安全性及び信頼性の確保を図らなければならない
②国及び地方公共団体の情報システムの共同化及び集約の推進は、努力義務とする
③重点計画の案において地方自治に重要な影響を及ぼすと考えられる施策について定めようとする場合の意見聴取先として、地方六団体のみならず、地方公共団体の職員が組織する団体の全国的規模の連合体その他の関係者を追加する
 採決の結果、賛成少数で否決された。

 政府原案は自民・公明・維新・国民民主の賛成、立憲・共産の反対で、修正可決された。

デジタル庁設置法案について

 修正案はなく、政府原案が自民・公明・立憲・維新・国民民主の賛成、共産の反対で可決された。

デジタル社会の形成を図るための関係法律の整備に関する法律案について

 立憲民主党後藤委員より、5点の修正が提案された。趣旨は
・データ利活用の必要性に異論はないが、個人情報には性的マイノリティーに係る情報などセンシティブな情報もあり、これらは利活用にはなじまない
・政府原案では、行政機関等の間で「相当な理由」があれば個人情報の目的外の利用・提供が可能だが、目的外利用・提供は限定的かつ慎重に行われるべき
・憲法13条は自己の個人に関する情報の取扱いについて自ら決定できる権利も保障されているという考え方が多くの憲法学者に支持されているが、政府原案は国や企業のデータの利活用ばかりに目が向いて、個人に関する情報の自己決定権を認めないばかりか、そもそも個人情報保護法の目的に個人情報を保護することという文言すら入れておらず、個人の権利や利益の保護という観点が不十分
・地方公共団体は、デジタル化の進展に伴う個人情報の保護に対する住民からの懸念に対応するため、国に先んじて条例に基づく独自の個人情報保護制度を築き上げてきたが、委員会審議において政府は、地方公共団体が条例で規定できる独自の保護措置について、法律で特に認められた事項以外は基本的に認めないという立場を繰り返し示しており、重大な懸念を持つ
・政府原案では、マイナンバーカードの情報をスマートフオンに搭載できるようになるが、政府はマイナンバーカードの発行自体は必要であるとの立場を崩しておらず、マイナンバーカードの発行に係る地方公共団体や住民の負担は軽減されない。スマートフオンヘの搭載が行われてもマイナンバーカードを発行しなければならない理由が全く理解できない
と説明された。

 修正案の内容は
1)電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律について、地方公共団体情報システム機構が、署名利用者の同意がある場合において、署名検証者等の求めに応じて提供する特定署名用電子証明書記録情報の中から、当該署名利用者の性別に関する情報を除くこと(法案は下図参照)
2)個人情報保護法の目的に、憲法が保障する個人に関する情報の取扱いについて自ら決定する権利を確固たるものとする必要があること及び個人情報を保護することを明記すること
3)個人情報保護法の規定は、地方公共団体が、その機関と地方独立行政法人が保有する個人情報の適正な取扱いに関し、 地域の特性その他の事情に応じて、条例で必要な規定を定めることを妨げるものではない旨を明記すること
4)行政機関の長等が利用目的以外の目的のために保有個人情報を自ら利用できる場合について、行政機関等がその保有個人情報を利用しなければ法令の定める所掌事務又は業務の適正な遂行に著しい支障を及ぼす場合であり、かつ、他にこれに代わるべき方法がない場合であって、その保有個人情報の利用目的以外の目的を達成するために必要最小限度の範囲で利用するときに限定すること
5)政府は、マイナンバーカードの電子証明書をスマートフォンに搭載(移動端末設備用電子証明書)する際、マイナンバーカード用の電子証明書の発行の有無にかかわらずその発行を受けることができるようにするため、施行後一年以内を目途にその具体的な方策について検討し、その結果に基づいて法制上の措置その他の必要な措置を講ずること

 修正案は賛成少数で否決され、政府原案は自民・公明・維新・国民民主の賛成、立憲・共産の反対で可決された。

 民間の署名検証者へ個人情報提供(政府の法案説明資料より)

公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法案について

 預貯金口座へのマイナンバーの付番関連では、
1) 公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律(口座登録法案)
2) 預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律案 (口座管理法案)
2法案が提案されている。
 この口座登録法案では、預貯金者が公的給付の支給を受けるための預貯金口座を一つ、マイナンバーとともに登録し、 デジタル庁令で定める公的給付や資金貸付、税等の還付にマイナンバーを利用可能にするとされている。
 また口座管理法案では、 預貯金者がマイナンバーにより口座を管理されることを希望する旨の申出をすることができるとともに、預金保険機構を介して預貯金者の希望により他の金融機関の口座にもマイナンバーを通知可能にし、災害時や相続時に被災者や相続人に預貯金口座に関する情報を提供可能にしている。

 昨年6月、自民・公明・維新の3党が緊急時の迅速な給付のために任意でマイナンバーとひも付けた口座を登録する議員立法を提案するとともに、政府に全ての口座へのマイナンバーひも付け義務化について検討するよう求めていた。これに対し高市総務大臣(当時)は、給付のためにマイナンバーを付番した1人1口座の登録義務づけと、希望者について全口座にマイナンバー付番をする考えを示していた(「混乱するマイナンバーの口座への付番理由とその狙い」参照)。
 義務化について2015年に改正された現行法では、金融機関はマイナンバーで口座を管理できるようにする義務は負っているが、預貯金者がマイナンバーを提供するのは任意となっている。今回の法案では、政府は国民が番号を金融機関に告知する義務は引き続き規定しないものの、 金融機関が預貯金者に対してマイナンバーを利用して管理することを承諾するかどうかを確認することを新たに義務づけている(口座管理法案第3条2)。

 この預貯金口座の登録法案に対する修正案はなく、政府原案は自民・公明・立憲・維新・国民民主の賛成、共産の反対により可決された。

預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法案について

 国民民主党と日本維新の会より、マイナンバーの提供義務づけなど3点の修正案が提案された。
 提案趣旨は、政府原案は預貯金者の意思に基づきマイナンバーの口座付番を進めるものだが、情報の管理を効率化し情報を共有することで給付と負担の適切な関係の維持に資するとのマイナンバー制度の基本的な考え方からは、全ての預貯金口座への付番を強力に進めるべきであり、そのためには預貯金者の積極的な意思に基づくものではない場合でも預貯金口座への付番を進める必要があるというものだ。

 修正内容は、
1)金融機関に個人番号の提供を受ける義務を規定する。金融機関は少額の取引を除く金融に関する取引を行おうとする場合には、一定の事項を説明した上で、預貯金者の本人特定事項を確認するとともに、個人番号の提供を受けなければならない。
 預貯金者が本人特定事項の確認や個人番号の提供に応じないときには、金融機関は、預貯金者が確認に応じ、かつ、個人番号の提供をするまでの間、取引に係る義務の履行を拒むことができる
  また、金融機関が預貯金者の個人番号の提供を受けた場合には、 預貯金者の意思にかかわらず、他の金融機関の預貯金口座に預金保険機構を経由して付番がされる仕組みとする。
2)預貯金の内容等に関する情報の適切な管理について、金融機関が個人番号で管理している預貯金の内容等に関する情報について、漏えい、滅失又は毀損の防止などの適切な管理のための措置を講じなければならない
3)預貯金の内容等に関する情報の提供記録の作成及び保存の義務について、行政機関の長等は、金融機関に個人番号を利用して管理されている預貯金口座に係る預貯金の内容等に関する情報の提供を求め、又は金融機関から情報の提供を受けたときは、その記録を作成し保存しなければならない。
 また金融機関が行政機関の長等に対して個人番号を利用して管理している預貯金口座に係る預貯金の内容等に関する情報を提供する場合も、その情報提供に関する記録を作成し保存しなければならない

 この修正案は賛成が維新、国民、反対が自民、立憲、公明、共産で少数否決され、政府原案が自民・公明・維新・国民民主の賛成、立憲・共産の反対で可決された。なお立憲民主党は反対の理由として、預貯金者がどの金融機関に口座を持つかとの情報が預金保険機構に一元的に管理されることの懸念等を指摘している