●2月28日までガイドライン案等の意見募集
個人情報保護委員会は、2022年1月28日から2月28日まで、2021年5月の個人情報保護法改正による自治体の個人情報保護条例改正のためのガイドライン案などのパブリックコメントを行っている(意見募集はこちら)。来年3月までに、すべての自治体が条例改正を迫られている。
この個人情報保護委員会のガイドライン案などは、共通番号いらないネットの「地方自治体のみなさまへ 個人情報保護を引き下げないでください」アピールにあるように、自治体が住民情報を守るために長年取り組んできた個人情報の取得・利用・提供等の制限や有識者・住民代表の参加する審議会によるチェックなどの条例の規定を、来年4月以降は「許容されない」として「リセット」(平井前デジタル大臣国会答弁)しようしている。
目的は社会全体のデジタル化に対応した「保護とデータ流通の両立」と称する住民情報の利活用推進であり、「国際的な制度調和」と「成長戦略への整合」を図ろうとするものだ(こちら参照)。
●保護を後退させ、地方自治を破壊し、国会を無視
この個人情報保護委員会の姿勢は、日弁連の「地方自治と個人情報保護の観点から個人情報保護条例の画一化に反対する意見書」(2021年11月16日) が指摘するように、個人情報保護を後退させ、デジタル社会におけるリスクを増大させるだけでなく、条例制定権を不当に制約し憲法の地方自治の本旨を否定するものだ。
さらに法改正時に、国会が「地方公共団体が、その地域の特性に照らし必要な事項について・・・条例を制定する場合には、地方自治の本旨に基づき、最大限尊重すること」と附帯決議しているという立法府の意思も無視するものだ。
個人情報保護委員会は、ガイドライン案を撤回すべきだ。
パブコメに「個人情報保護を後退させるな、地方自治(条例制定権)を守れ」の声を届けよう。
●「技術的助言」だが従わないと法違反!?
このガイドラインは、 普通地方公共団体に適用される部分については、地方自治法第245条の4第1項の「技術的な助言」だが、「ただし、本ガイドラインの中で、「しなければならない」、「してはならない」及び「許容されない」と記述している事項については、地方公共団体の機関及び地方独立行政法人についても、これらに従わなかった場合、法違反と判断される可能性がある。」と書いている( 1 本ガイドラインの目的 )。
「技術的な助言」とは一般になじみのない用語だが、行政ではよく使われる。2000年の地方分権一括法により国と地方が対等な関係になったことに伴い、自治事務について国が法律の解釈や運用について自治体に示すものの、自治体を拘束しないものだ。
それを従わなければ法違反、と言う根拠は何なのか。法違反なのは、このガイドラインではないか。かつて総務大臣は、技術的助言の範囲を越えて規範性を持つとか拘束性を持つようなものを出したとすれば違法だ、と答弁していた。
このガイドライン案にはさまざまな問題があるが、重要な論点として次の点を見ていきたい。
●個人情報保護審議会への諮問を不当に制約
●法改正の趣旨も超える保護委員会の強圧的姿勢
●センシティブな要配慮個人情報の保護が後退
●個人情報の「収集」を規制しない国の法律
●条例の画一的な国基準化は憲法違反の疑いも
●オンライン結合制限廃止によりリスクが高まる
●課題山積の国基準化 「共通ルール」の見直しを
●個人情報保護審議会への諮問を不当に制約
多くの自治体の個人情報保護条例では審議会を設置して、行政の個人情報の利用をチェックしてきた。名称や構成員や開催状況等はさまざまだが 、住民の自治体行政に対する信頼を支えてきた。国にはマイナンバー利用事務での「特定個人情報保護評価」を除けばこのようなチェックの仕組みはなく、国の個人情報保護の遅れを象徴している。
日弁連の意見書は、審議会の意義について次のように述べている。
審議会に個人情報保護に関する重要な政策(個人情報保護条例の改正等)について諮問したり,個人情報保護条例の規定に基づき,要配慮個人情報の取扱い,目的外利用・提供,オンライン結合,本人外収集等原則として禁止とする事項について審議会への諮問を経て例外的に認めることができるようにしたりすることにより,地方公共団体における個人情報保護と行政運営上の利活用の必要性とを調整してきた。
また,審議会は,審議過程で原案を修正させたり,運用上の留意点を指摘したりするなどして,適切な運用に寄与してきた。併せて審議会には専門家に加え住民の代表が加わるところもあり,また議論の過程を公表することで,個人情報を取り扱う政策についての住民参加や情報公開を果たしてきた。(7頁)
この重要な審議会への諮問を、改正個人情報保護法では限定する規定をしている。
第129条(地方公共団体に置く審議会等への諮問)
地方公共団体の機関は、条例で定めるところにより、第三章第三節(※地方公共団体の施策)の施策を講ずる場合その他の場合において、個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要であると認めるときは、審議会その他の合議制の機関に諮問することができる。
この法律も問題だが、個人情報保護委員会のガイドライン案(56頁~ 9‐4 地方公共団体に置く審議会等への諮問)は、さらに法律にない制限をつけている。
「特に必要な場合」とは、個人情報保護制度の運用やその在り方についてサイバーセキュリティに関する知見等の専門的知見を有する者の意見も踏まえた審議が必要であると合理的に判断される場合をいう。
この点、個人情報の取得、利用、提供、オンライン結合等について、類型的に審議会等への諮問を要件とする条例を定めてはならない。
令和 3 年改正法では、社会全体のデジタル化に対応した個人情報の保護とデータ流通の両立の要請を踏まえて、地方公共団体の個人情報保護制度についても、法の規律を適用して解釈を委員会が一元的に担う仕組みが確立されたところ、地方公共団体の機関において、個別の事案の法に照らした適否の判断について審議会等への諮問を行うことは、法の規律と解釈の一元化という令和3年改正法の趣旨に反するものである。
なにを「専門的知見」とするかは自治体が判断することで、「サイバーセキュリティに関する知見」には限定されない。個人情報保護委員会も例示だとしている。問題は個人情報の取得、利用、提供等について、類型的な審議会等への諮問を認めないという点だ。審議会の審議内容の大部分は取得・利用・提供の判断だ。日弁連の意見書が指摘している審議会の果たしている役割は、単にガイドラインに照らして判断すれば済むような矮小なものではなく、個人情報保護の後退は明らかだ。
●法改正の趣旨も超える保護委員会の強圧的姿勢
個人情報保護委員会は、このような不当な制限の根拠を「改正法の趣旨」によるとしている。
しかし法改正の基となった有識者会議や政府のタスクフォースによる「個人情報保護制度の見直しに関する最終報告」(2021.12)では、「法制化後は、法律による共通ルールについて国がガイドライン等を示し、地方公共団体等はこれに基づきあらかじめ定型的な事例について運用ルールを決めておくことにより、個別の個人情報の取扱いの判断に際して審議会等に意見を聴く必要性は大きく減少するものと考えられる。」(40頁)と、自治体が定型的な運用ルールを決めることは認めている。
それだけでなく「条例で、審議会等の役割として、個人情報保護制度の運用についての調査審議やその在り方についての意見具申の役割を規定している例も多く見られるが、このような役割は今後も求められる」と、審議会の役割を評価している。
また政府の立法担当者も、審議会への諮問は自治体の内部手続であり否定されないが、共通ルールを定め個人情報保護委員会が解釈することになり諮問の必要性は低下するので、改めて諮問の必要性を精査するように、と以下のように解説している(「一問一答令和3年改正個人情報保護法」2021.11.25商事法務 Q55への回答)。地方自治の本旨をふまえれば、自治体の判断に委ねるのは当然だ。個人情報保護委員会の強圧的姿勢は際立っている。
1 審議会への諮問は、地方公共団体の機関の間で行われる内部手続であり、改正法の施行後も、地方公共団体の長等が、意思決定に際して審議会等の意見を聴くこと自体は否定されません。
2 その一方、Q54で述べたような理由から、改正法の施行後は、地方公共団体の長等が個別の個人情報の取扱いについて審議会等に諮問する必要性は低下するものと考えられます。
それにもかかわらず、地方公共団体の長等が、従来の慣行を単純に踏襲し、本来必要ない場面で審議会等に諮問する事態が頻発するとすれば、改正法全体の趣旨に照らし、望ましくないとも考えられます。
3 そこで、第129条は、「地方公共団体の機関は・・・特に必要であると認めるときは、審議会その他の合議制の機関に諮問することができる」と規定し、地方公共団体に対し、改正法全体の趣旨を踏まえ、審議会等への諮問の必要性を改めて精査することを求めています。
●センシティブな要配慮個人情報の保護が後退
多量の住民情報を管理する自治体にとって、機微性の高いセンシティブ個人情報の保護は特に重要になる。多くの自治体の条例では、思想信条や差別偏見につながる個人情報は収集を原則禁止し、法令の定めや審議会の意見を聞いて必要があると判断したときだけ収集する扱いをしてきた。
国は自治体に数十年遅れて2015年の個人情報保護法改正ではじめて、不当な差別や偏見が生じないよう特に配慮を要する個人情報について「要配慮個人情報」を新設し、取得は本人同意を得ることを義務化した。
自治体のセンシティブ個人情報の対象は、法が定める「要配慮個人情報」と重なるところもあるが、自治体ごとの長い個人情報保護の検討の歴史のなかで様々な規定がされており、違いも少なくない。
それをふまえて改正個人情報保護法は第60条5で「条例要配慮個人情報」を新設した。法で定める要配慮個人情報を除き、「地域の特性その他の事情に応じて、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして地方公共団体が条例で定める記述等が含まれる個人情報」とされている。ただ条例要配慮個人情報は、条例を定めた地方公共団体等が保有する個人情報にのみ適用される。
法案の検討過程では、条例要配慮個人情報の対象を、国の行政機関では保有することが想定されない自治体の施策にかかわる個人情報として「LGBTに関する事項」「生活保護の受給」「一定の地域の出身である事実」等を想定していたが (「最終報告」40頁) 、法律でもガイドラインでも「地域の特性」と「その他の事情」とされ特に限定はしていない。ただガイドライン案では、条例に規定する場合は委員会に事前に相談することが望ましいとしている(4‐2‐6 条例要配慮個人情報)。自治体が必要と認める対象は規定すべきだ。
問題はガイドライン案が、要配慮個人情報も条例要配慮個人情報についても、「法に基づく規律を超えて地方公共団体による取得や提供等に関する固有のルールを付加したり、個人情報取扱事業者等における取扱いに固有のルールを設けることは、法の趣旨に照らしできない。」としていることだ。
個人情報保護委員会のQ&A案では、 Q3-2-1でその理由をこう説明している。
法では、要配慮個人情報の取得について特別の規定を設けていませんが、個人情報全般について、その保有は法令(条例を含む。)の定める所掌事務又は業務の遂行に必要な場合に限定することとされており(法第 61 条第 1 項)、要配慮個人情報の取得が可能となる範囲は、要配慮個人情報の取得制限規定による場合と、実質的に同様となっており、法律の規律と重複するこのような規定を法施行条例で設けることは許容されません。
しかしこのQ&A案のように、国は要配慮個人情報の取得について特別の規制をしていない。収集制限を見ても、法律と条例は「重複」していない。
日弁連意見書は、国の行政機関も速やかに要配慮個人情報についての取扱規制を導入することこそが必要であり、にもかかわらず要配慮個人情報の取得や提供等に関する独自の規律を地方公共団体には許されないとすると、これまでの地方公共団体や民間事業者における取組の実績を否定することとなり、要配慮個人情報を規定する意義を大きく損ない、個人情報保護の後退をもたらすことは明白であると指摘している(6頁)。
●個人情報の「収集」を規制しない国の法律
多くの自治体の条例では、個人情報の収集について、利用目的を明らかにして本人から直接収集することを原則とし、例外として本人以外からの収集を、本人の同意がある場合や緊急の場合、本人から収集できない場合、審議会が認めた時などに限定してきた。自分の情報の扱いを自分がコントロールするためには、本人が情報を収集されていることを知り、その目的を知ることが出発点になるからだ。
また要配慮個人情報でみたように、自治体の条例は収集禁止事項を定めて特に扱いに注意している。さらに自治体によっては、業務に必要な情報を適法に本人から収集する場合でも、収集する情報は必要最小限に限定するよう規定している。これはとかく行政機関が個人情報を集めたがることに対して、収集情報の精査を求めるもので、GDPR(EU一般データ保護規則)がデータ保護バイデザインの原則から、 特に個人データの取扱いの最小化などを求めている(前文78項)ことを先取りするような規定だ。
一方、国の個人情報保護法には、行政機関による個人情報の収集を規制する考えがない。条例が国基準化すると個人情報保護法が自治体に適用され、いままでの自治体の条例は「リセット」され収集規制がなくなる。
改正個人情報保護法で行政機関等における個人情報等の取扱いとして規定しているのは、以下のようなことだ。
第61条(個人情報の保有の制限等)で、保有する場合は法令の定める所掌事務又は業務を遂行するため必要な場合に限り、かつその利用目的をできる限り特定し、特定された利用目的の達成に必要な範囲を超えて保有してはならないとする。しかし行政機関等が「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」で(本人が知らないまま)利用目的を変更できる。
第62条(利用目的の明示)では、本人から直接書面(電磁的記録を含む)に記録された当該本人の個人情報を取得するときは、本人に利用目的を明示することになっているが、そもそも本人からの収集原則がなく、第三者から利用目的を本人が知らないまま収集される。
第63条(不適正な利用の禁止)で、違法又は不当な行為を助長し又は誘発するおそれがある方法により個人情報を利用してはならない、第64条(適正な取得)で、偽りその他不正の手段により個人情報を取得してはならないなど、当たり前のことを規定している。国がこのような方法で個人情報を収集・利用しかねないから規定しているのかもしれないが、必要なのは合法的・適正な手段であっても収集・利用を自己情報コントロール権を保障するためにどう規制するかだ。
このような法律が適用されれば、自治体の個人情報保護の後退は明らかだ。
●条例の画一的な国基準化は憲法違反の疑いも
個人情報保護委員会のガイドライン案では、法に規定されていない「本人からの収集原則」などを条例に規定することは「許容されない」としている。
個人情報保護やデータ流通について直接影響を与えるような事項であって、法に委任規定が置かれていないもの(例:オンライン結合に特別の制限を設ける規定、個人情報の取得を本人からの直接取得に限定する規定)について、条例で独自の規定を定めることは許容されない。 (11 条例との関係)
法にない規定を条例で定めることは許容されないというのは、上乗せ条例の否定であり自治体の条例制定権を侵害する。個人情報保護の後退だけでなく、地方自治も損なう。日弁連の意見書は、次のように憲法違反の疑いを指摘している。
憲法は,地方自治の本旨を規定し(第92条),地方公共団体に条例制定権を保障している(第94条)。・・・ 法律により,既にある地方公共団体の個人情報保護制度を強制的に画一化することは,地方自治法の上記諸規定に反するにとどまらず,憲法の保障する地方自治の本旨を否定し,条例制定権を不当に制約するものであって,憲法違反の疑いが強い。
したがって,改正法を合憲的に解釈するためには,地方公共団体の個人情報保護制度を国と同レベルのものに画一化するものではないという解釈運用がなされる必要がある。(9-10頁)
●オンライン結合制限規定の廃止でリスクが高まる
ガイドライン案は、オンライン結合に特別の制限を設ける規定について、条例で独自の規定を定めることは許容されないとしている (11 条例との関係) 。
大部分の自治体の条例は、コンピュータを自治体の外部と回線結合することを制限する規定をしている。
もともとは市区町村のコンピュータを反対の強い国民総背番号制にはつなげないと住民に約束して、市区町村内でコンピュータ化を推進しようという規定だった。たとえば条例制定を検討した杉並区の有識者会議の答申(1978年3月1日)では、「国民総背番号制に反対するという意味からも、国や地の地方公共団体との結合はしない、ということを基本にすえる必要がある」としていた。
その後コンピュータ利用が進み、法令の定めがある場合や審議会が承認した場合は回線結合を認めるようになっており、オンライン結合する際の安全性やプライバシー保護の事前チェックの役割が大きくなっている。日弁連意見書は個人情報保護委員会の姿勢を「オンライン化における安全性の確保という課題を軽視するもの」と指摘し、以下のようにその必要性を述べている。
オンライン化における安全性の確保はデジタル社会を成立させるための基盤であり,原則禁止はそのような基盤に資する制度である。
デジタル社会を進める上でどのような規制が望ましいかは検討及び改善し続けるべき課題であり,地方公共団体がオンライン結合について規制を設けることを全面的に禁止することは,これまでの地方公共団体の実績を否定し,デジタル社会におけるリスクを増大させ,個人情報保護の後退をもたらすものである(6頁)。
国でも行政機関等の間の情報連携を目的としたマイナンバー制度では「特定個人情報保護評価制度」を作り、マイナンバー利用事務については事前チェックを義務づけているが、その他の事務では第三者のチェックなしに利用を進めている。国の個人情報保護の遅れを象徴しており、自治体を見習ってマイナンバー利用事務以外も事前チェックの制度をつくるべきだ。
個人情報保護法改正の立法担当者は、次のようにオンライン結合を制限する規定が不要である理由を述べている。
1 オンライン結合制限規定の趣旨は、情報管理の安全性を確保する点にあると考えられますが、近年の情報通信技術の進展を踏まえると、情報管理の安全性の水準がオンラインであるかオフラインであるかで決まると考えることに合理的な理由は見出せなくなっています。
2 民間部門においては、情報管理の効率性を実現する観点から、機微性の高い情報についても十分なセキュリティ対策を採りつつクラウドサービス等の積極的な活用を図ることが一般化しており、公的部門においてもこれと異なる考え方を採る理由はないと考えられます。
3 このため、改正後の公的部門の共通ルールでは、オンライン結合制限規定は設けておらず、情報管理の安全性は、安全管理措置義務の遵守を通じて、オンライン・オフラインを問わず、図ることとしています。
「一問一答令和3年改正個人情報保護法」 55頁
しかしオンラインで自治体の外部とつながることは、自らの自治体の中での情報連携や文書での連携とは異なるリスクがあり、オンラインでつながることのチェックの重要性は変わらない。
昨年12月28日には、総務省の有識者会議「デジタル時代における住民基本台帳制度のあり方に関する検討会」が、DV等被害者の支援措置を外部との情報連携で共有する仕組みがなく、加害者への漏洩の懸念が払拭できないとする報告書を発表している(報告書15頁)。
またクラウドサービス利用についても、政府はガバメント・クラウド上に国や自治体の情報システムを共同化していく方針で、昨年10月にアマゾン・ウェブ・サービスとグーグル・クラウド・プラットフォームの利用を決定していたが、今年2月には機密情報の海外流出を防ぐため、機密性の高い情報の管理は国産クラウドを採用する方針を決めた、と報じられている(2022.2.7読売オンライン)。報道が事実なら、住民情報や医療・教育などの機密性の高い個人情報をガバメントクラウドで運用するのは漏洩のリスクがあることになる。住民情報の安全管理責任を負っている自治体が、自らクラウド利用をチェックすることを否定する理由はない。
なおガイドライン案も、「単なる内部の手続に関する規律にすぎない事項など、個人情報保護やデータ流通に直接影響を与えない事項については、条例で独自の規定を置くことも考えられる。」と述べている( 11 条例との関係 )。自治体の創意工夫が求められる。
●課題山積の国基準化 「共通ルール」の見直しを
その他、条例の「国基準化」には、課題が多い。たとえば
▼議会は独自に個人情報の取扱を定める必要
多くの条例は自治体の議会も対象に含むが、個人情報保護法では議会は対象外となっている。ガイドライン案(4‐1‐1)も、議会は「個人の権利利益の保護という観点からは、自律的な対応のもと個人情報の適切な取扱いが行われることが望ましい。」としており、取り扱いの整備が必要だ。
▼行政機関等匿名加工情報の扱い
法改正により自治体も匿名加工情報の提案募集を実施しなければならない(ガイドライン案 8 行政機関等匿名加工情報の提供等)。しかし運用が難しい制度で、国でも2017年から開始して実績は1件しかなかったことが国会で明らかになった。当分の間、都道府県・政令指定都市のみに適用され、その他は任意で提案募集可能(附則第7条)とされており、できるだけ運用状況を見てから対応した方がいい。
▼死者に関する情報の扱い
条例の中には、個人情報の中に死者の個人情報も含めているものがある。個人情報保護法では、個人情報を生存する個人に関する情報としているため、ガイドライン案では「 死者に関する情報を条例で「個人情報」に含めることはできない。ただし、死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報として法の保護の対象となる。」としている(4‐2‐1 個人情報)。
ただ「最終報告」では「地方公共団体において、別途、個人情報とは別のものとして、死者に関する情報の保護についての規定を設け、必要な保護を図ることは考えられる。」としており(41頁)、保護水準を低下させない工夫を検討すべきだ。
▼個人情報ファイル簿の作成
多くの自治体では、個人情報の取り扱いを住民に明らかにするため、事務単位で「個人情報登録簿」を作成し公表している。一方、個人情報保護法ではファイル単位の「個人情報ファイル簿」の作成を義務づけている。
条例の国基準化により自治体も「個人情報ファイル簿」の作成が義務づけられるが、引き続き「個人情報登録簿」も併用して利用するかは自治体の判断に委ねられている(ガイドライン案 6‐2 個人情報ファイル簿の作成及び公表)。
しかし自治体にとっては新たに「個人情報ファイル簿」を作成するのは、かなりの事務負担となる。
▼開示・訂正・利用中止請求
行政機関等については、個人情報保護法は幅広い不開示情報を定めているが、それが自治体にも適用されることで、現行の運用が後退する虞れがある。また法では、訂正・中止請求の前に開示請求が必要になる。開示を受けられるまで訂正・中止請求できない。条例では、開示請求なしに訂正・中止請求できるところが多く、手続きに時間がかかることになる。
さらに問題なのは、開示等の請求者に本人・法定代理人に加え任意代理人も認めていることだ。自治体の現場では、本人と「利益相反」する代理人からの開示請求や虐待ケースの加害者と思われる代理人からの請求など、運用に課題を抱えて苦慮している(詳しくは「2021年改正自治体職員のための個人情報保護法解説」183頁~参照(第一法規2021.11宇賀克也・宍戸常寿・高野祥一)
その他にも多くの課題がある。自治体の条例を踏まえて「共通ルール」を定めるのではなく、国の行政機関個人情報保護法のルールを自治体に押しつけたために、個人情報保護の低下や事務負担などが心配される。長年にわたり住民の個人情報を守ってきた条例が、拙速な改正により混乱する虞れもある。
国は、国会が「全国に適用されるべき事項については、個人情報保護法令の見直しを検討すること」と附帯決議していることを受け止め、再検討すべきだ。
検討過程の問題については当ブログの、「地方自治は「許容されない」?! 個人情報保護委員会の条例対応」を参照してください。
個人情報保護条例の画一化・国基準化に関する資料は、こちらに収録されています。