自治体の住民情報を守ってきた個人情報保護条例が潰される!

●個人情報保護法制の大改革を3週間の意見募集で

 政府(内閣官房)は2020年12月26日から2021年1月15日(必着)まで 、「個人情報保護制度の見直しに関する最終報告」に関する意見募集(パブリック・コメント)を行っている。その後、通常国会に改正法案を提出予定だ。
 今回の見直しは、個人情報保護関係の3法(個人情報保護法、⾏政機関個⼈情報保護法、独⽴⾏政法⼈等個⼈情報保護法)を一つの法律に統合するとともに、自治体ごとに定めている個人情報保護条例の内容を国の法律に合わせて共通ルール化し、自治体独自の保護措置を原則として認めないという大改革だ。にもかかわらず年末年始を挟んで3週間という短い意見募集で立法化しようとしている。
 改正案にはさまざまな問題があるが、とくに住民情報を企業や研究者が利活用しやすくするために個人情報保護条例を国基準化することは、プライバシー保護よりも利活用を優先し、 行政と住民の信頼関係を損ない、地方自治を破壊する大問題だ。
◆パブコメ対象の保護法制改正の「最終報告」はこちら
◆最終報告の「概要」はこちら
◆国の検討経過資料はこちら。(条例の国基準化関係は主に個人情報保護制度の見直しに関する検討会の第7回~第10回)
◆ 個人情報保護委員会の行った 「地方公共団体の個人情報保護制度に関する懇談会」の資料はこちら

  個人情報保護制度の見直しに関する最終報告(概要) より

●国に先行して作られてきた自治体の保護条例

 日本の個人情報保護制度は、住民のプライバシーを守り住民に信頼される行政を運営しようとする地方自治体の創意工夫で作られてきた。1970年代から各地で条例が作られたが、国は10年遅れて1988年に行政機関のコンピュータ処理のみを対象とした法律をつくり、個人情報保護法ができたのは2003年だった。
 今回の「最終報告」でも「国の法制化に先立ち、多くの団体において条例が制定され、実務が積み重ねられてきた。独創的な規定を設けている条例も見られるなど、地方公共団体の創意工夫が促されてきたところであり、我が国の個人情報保護法制は、地方公共団体の先導的な取組によりその基盤が築かれてきた面がある。」(32頁)と評価している。地方自治が発揮された条例だ。
 にもかかわらず「最終報告」は、自治体で積み重ねられた成果を尊重せず、独創的な規定を認めない国基準化を強権的に押しつけようとしている。

●条例の「国基準化」とはどういうことか

 自治体が 創意工夫で条例をつくり、審議会など住民参加で運用してきたことから、自治体ごとに規定の違いがある。
 「最終報告(概要)」の図示(下図)では、国と同様の規定をしている団体(A)もあれば一部事務組合など保護条例のない団体(B)もあり、法律に比べて保護規定が不足している団体(C)もある。その一方で国にはない独自の保護規定をしている団体(D)や規定は国と同様でも収集・提供・利用などで審議会の意見を聞く手続きを付け加えている団体(E)など、上乗せ横出しもある。
 それを国の法律と同じ規定(下図の青色)に揃えて、共通化ルール化し、独自の規定を極力なくそうとしている。「最終報告」では、個人情報の定義、要配慮個人情報の定義、個人情報の取扱い(保有の制限、安全確保措置、利用及び提供の制限等)、個人情報ファイル簿の作成及び公表等、ほぼすべての規定を国と同じにするとしている。

  個人情報保護制度の見直しに関する最終報告(概要) より

●条例の独自の保護規定はどうなるのか

 自治体の中には、共通ルール化しても現在の保護規定は残せると思って(期待して)いる団体もあるようだ。しかし「最終報告」はそうではない。
 (5)条例で定める独自の保護措置(「最終報告」39頁~)では、以下のように述べている。(イタリック体は私の意見
1.共通ルールより保護水準を下げるのは認められない(これはいい)
2.共通ルールより保護水準を高める規定は「必ずしも否定されるものではない」。ただし「共通ルールを設ける趣旨が個人情報保護とデータ流通の両立を図る点にあ」り、条例で独自の保護措置を規定できるのは、特に必要な場合に限る(保護のみを考えた規定は認めないということ)
3.国が保有することがない個人情報(LGBT、生活保護の受給、一定の地域の出身である事実等)については、不当な差別・偏見のおそれが生じる得る情報として条例で保護規定を追加できる(これら以外の追加は認めない)
4.法律で共通ルールを定め、解釈は国がガイドラインで示すので、個別の収集・利用・提供などの取扱いについて「審議会等に意見を聞く必要性は大きく減少する」(審議会等で取扱いを判断するな、ということ)
 つまり国が許容する独自の保護規定は、3.だけということだ。

●個人情報保護委員会が監視し、国が従わせる

 では自治体が独自の保護規定を残したり、追加しようとするとどうなるのか。「最終報告」では、独自の保護措置を「必要最小限」に抑制するための手続きを書いている(下図参照)。
 独自の保護規定を条例で規定しようとする自治体は、個人情報保護委員会に事前確認し、定めた条例を個人情報保護委員会に届け出、委員会は必要に応じて助言等監視し、違法または著しく適正を欠く場合は国は地方自治法等に基づき助言・勧告をし、是正の要求をして「国地方係争処理委員会」や裁判に訴えて従わせる、としている(41頁)。
 地方自治は憲法で保障され、自治体は法律の上乗せ横出しなどの自治立法権を持っている。また個人情報保護法第5条は「地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。」と規定している。
 「最終報告」は地方自治を軽視し、地域の特性に応じた個人情報保護の要請にも反している。

個人情報保護制度の見直しに関する検討会 第10回資料1より

●どんな規定が国と自治体で違うのか

 総務省の調べでは、下図のように自治体間でも規定している項目が異なる。さらに国にない独自の規定(※印)として、死者に関する情報、情報の種類(要配慮個人情報)による収集・記録の規制、外部機関とのオンライン結合制限をあげている。

地方公共団体の個人情報保護制度に関する懇談会第1回資料4

●争点としての「外部オンライン結合制限」規定

 この自治体の独自規定で、国と地方の争点になってきたのは「外部機関とのオンライン結合制限」規定だ。自治体により規定の仕方は異なるが、「個人情報を処理するために、その自治体以外の機関との通信回線による電子計算組織の結合を行ってはならない」とか、「必要な保護措置が講じられている場合に限り、 通信回線による電子計算組織の結合ができる」という規定がされている。
 ただ結合できる例外的な場合として「法令の定めがある場合」「審議会が特に必要と認める場合」などを定めており、この規定によって住基ネットやマイナンバー制度などに不参加の自治体はない(「住基ネット不参加自治体」は、国が約束に反して個人情報保護措置を講じていないこと等を理由にしていた)。
 それでも国はことあるごとに、IT社会実現に支障として見直し(廃止)を求めてきた。今回の「最終報告」では行政機関個人情報保護法第6条、第8条等により個人情報の安全性の確保等が図られているため、オンライン結合制限規定を置くことは不要で「共通ルールには当該規定は設けない」と明記している(37頁)。
 しかし自治体は国の法律があっても、93% 1669団体がこの規定を維持してきた。それはこの規定が、住民情報の管理は自治体が責任を持つ、という住民との約束として作られてきたからだ。

   個人情報保護制度の見直しに関する検討会 第8回資料1

●なぜ自治体で先行して個人情報保護制度が?

 自治体は大量の個人情報を扱い、プライバシー性の高い「センシティブ(機微)情報」「要配慮個人情報」も多く、個人情報の扱いはもともと重要な課題だった。ただ1970年代に次々と個人情報保護条例(当初は「電算条例」)が誕生したのには理由がある。
 きっかけは1967年の住民基本台帳の制定で、市区町村ではそれまで税務、国保、年金など業務別に管理してきた住民情報を、住民基本台帳を中心にコンピュータを使って市町村の中で統合化していくことになった。
 一方1970年に当時の行政管理庁が準備を始めた「各省庁統一個人コード」に対して、「国民総背番号制」として反対運動が大きく盛り上がり検討は中止になった。住民基本台帳のコンピュータ化に対しても、国民総背番号制につながるのではないかとして、各地で反対運動が起きた。

 そのような中で自治体事務のコンピュータによる統合化を進めるために「国の国民総背番号制にはつなげない」という住民との約束をしたのが「外部オンライン結合制限規定」だった。
 1978年に条例を定めた杉並区の個人情報保護対策研究協議会の答申では、
「区において事務処理の効率化と区民サービスの向上に寄与するため、電子計算組織を利用することを否定するものではありません。住民記録の電算化が、直ちに国民総背番号制に結びつくとは考えませんが、反面、絶対につながらないという保障もありません。
 このため、杉並区においては、電子計算組織を利用するにあたって、国あるいは他の地方自治体のシステムとの結合を行うようなことは、絶対に避けなければならないと考えます。」
と述べている。これは当時次々と条例を作った市区町村に共通する思いだった。

●国民総背番号制と個人情報保護の歴史

 日本における個人情報保護法制は、下図のように「国民総背番号制」に反対する世論との関係で作られてきた。
 「最終報告」は改正理由として官民や地域の枠を超えたデータ利活用が活発化しており、現行法制の縦割りに起因する規制の不均衡や不整合がデータ利活用の支障になっているとしている。とくに自治体条例の違いは、産業界やメディアから「2000個問題」などと中傷されてきた。
 個人データの流通が進む時代だからこそ、信頼される行政を作るためには条例の規定を「支障」とみて強権的に国基準に揃えるのではなく、むしろ自治体が住民参加で先導的に作り上げてきた個人情報保護条例の運用に学ぶ必要がある。

●自治体が40年先行した「要配慮個人情報」保護

個人情報保護委員会資料(2016年11月)

 国は2015年の個人情報保護法改正で、「要配慮個人情報」の規定を新設した。要配慮個人情報は不当な差別や偏見その他の不利益が生じないように取扱いに特に配慮を要する個人情報で、その他の個人情報と違い取得や第三者提供には原則として本人の同意が必要で、 オプトアウトによる第三者提供は認められていない。

 しかし自治体では国に先行してすでに1970年代から「センシティブ個人情報」として思想、信条、宗教、人種や差別の原因となる社会的身分の収集制限やコンピュータへの記録禁止などを条例に定め、審議会の意見を聞きながら運用してきた。
 そのため地域のプライバシー意識や施策に応じてさまざまな規定がされている。それを画一的に国基準に統一すれば、住民の信頼を損なうことになる。不十分な規定があれば、個人情報保護委員会が条例改正を支援すれば済むことだ。

●審議会で住民参加とシステムの透明性を確保

 条例の「国基準化」で運用上大きな問題になるのが、自治体の個人情報保護審議会だ。構成や運用や名称は自治体でさまざまだが、住民代表や学者有識者が参加しているところが多い。
 自治体が新たに個人情報を収集・記録・利用・提供したり外部オンライン結合をする際に、審議会の意見を聞くために行政機関はシステムや個人情報の内容を説明し、審議結果は住民に公開するという「第三者点検」を行っている。間接的だが、住民の自己情報コントロール権を保障する意味もある。不十分な内容だと審議会の了承が得られないため、行政機関は個人情報保護に常に注意している。

 これに対し国は、マイナンバーを利用する事務についてだけは「特定個人情報保護評価」制度によって同様の第三者点検をしているが、その他は行政機関の判断で記録・利用・提供がされておりシステムの透明性も確保されていない。自己情報コントロール権も、マイナンバー違憲差止訴訟で未だに国は憲法で保障された権利ではないと主張している。
 また自治体の個人情報保護審議会は、行政の進める利活用を個人情報保護の視点からチェックしているのに対して、国の個人情報保護委員会は「個人情報の有用性」と個人情報保護のバランスを重視し、2015年の法改正でさらに有用性・利活用を重視する規定が目的に加わっている。

 国と自治体では個人情報保護の取り組みも違っている。個人情報保護委員会が主催し自治体との意見交換を行った「地方公共団体の個人情報保護制度に関する懇談会」では、第4回の議事録のように、条例の国基準化の必要性を疑問視する自治体側に対して委員会は民間事業者からの利活用推進の声を力説し「どういったニーズがあるかということについては必ずしも現場の実務をやっている皆様方の心に刺さる形では日々届いていないのだなということが改めて分かりました」などと、自治体の利活用への無理解を嘆いていた。
 自治体がまず住民の「個人情報を守ってほしい」というニーズから考えるのは当然だ。住民は法律の定めや行政サービスを受ける必要から、その目的に限って使われると思って個人情報を自治体に提供している。利活用されるために提供しているのではない。
 「最終報告」では国の法律とガイドラインに従い、審議会は個別の個人情報の取扱いの判断をせず、個人情報保護制度の運用についての調査審議や意見具申に役割を限るよう求めており(40頁)、住民参加やシステムの透明性は確保されなくなる。むしろ国が自治体の審議会の運用に学び、参加と透明性確保を図る制度にすべきだ。

●国基準化で個人情報保護は向上するか

 「最終報告」は保護法制改正の必要として「デジタル庁を創設し、国及び地方公共団体の情報システムの標準化・共通化や教育、医療、防災等の各分野における官民データ連携等の各種施策をこれまで以上に強力に実施していくことが予定されている。こうした改革の方向性について国民の理解を得るためには、増大が予想される官民のデータ流通を個人情報保護の観点から適正に規律し、個人の権利利益を引き続き十全に保護することが不可欠」と、保護の水準を向上させる必要を述べている(5頁)。
 自治体の条例については、条例がないなど求められる保護水準を満たさない団体があることや、小規模団体では条例の運用が負担になっていること、個人情報保護委員会の監督が及ばずEUのGDPR(⼀般データ保護規則、 2016年4月制定)など国際的な制度調和がとれないことなどを指摘していた。

 しかし保護水準を満たさない団体に国基準を押しつけても実効性は確保されず、個人情報保護委員会や都道府県などの丁寧な支援で向上を図る必要がある。
 町村など小規模団体は、 限られた人員で多くの業務を抱え個人情報保護を含め専任の職員がいないことが一般的であり、むしろ国基準化によって条例改正の負担や「匿名加工情報」の扱いなどで負担が大きく「本来業務に支障が生じたり、圧迫しかねない制度設計には反対」とヒアリングで述べている。
  GDPRなど国際的な制度調和が自治体でどこまで課題になるか不明だが、GDPRが「特殊な種類の個人データ」の取扱い原則禁止を規定していることについて、国は2015年に要配慮個人情報を規定して合わせたが自治体はすでに1970年代から整備してきたように、自治体の方が国際的な制度調和に合致している面もある。
 第三者委員会としての個人情報保護委員会が保護制度を監視する必要については、「特定個人情報保護評価」の第三者点検を自治体では審議会が行い委員会に評価書を提出しているように、 条例を委員会に報告して一覧性を確保するなど、地方自治に配慮した監視に止めるべきだ。

●自治体から異議申立てを

 条例の国基準化の動きに対して、意見書を国に提出している自治体も出てきたが、まだあまり知られてはいない。
◆国立市議会  「日本で最初に個人情報保護に関する条例を制定した自治体として、法律による自治体の個人情報保護制度の標準化について慎重な検討を求める意見書」意見書はこちら
◆あきる野市議会「個人情報保護法の改正について慎重に検討するよう求める意見書」意見書はこちら
◆小金井市議会「法律による自治体の個人情報保護制度の標準化に反対する意見書」意見書はこちらの議員案68号

 全国知事会、全国市長会、全国町村会は、これまで確保してきた保護水準が維持されるならば、として共通ルール化に理解を示しているが、これまでの条例の運用を否定し統一することが国基準化の目的であり維持されない。維持するためには、自治体からの強力な働きかけが必要だ。
 自治体の個人情報保護の取り組みと地方自治を軽視した国基準化に対して、地方議会や個人情報保護審議会、自治体の首長が関心を向け、問題を発信してほしい。

●参考資料 2021年1月11日学習会資料

20210111

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です