■ 行政機関法改正の論点 国会会議録から抜粋(パーソナルデータ保護法制の行方 その23)
行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律が、原案通り衆議院と参議院で可決し、5月27日に公布された(概要、新旧対照条文、衆議院総務委員会附帯決議、参議委員総務委員会附帯決議)。これにより、行政機関個人情報保護法と独立行政法人等個人情報保護法が改正(これに伴い行政機関情報公開法及び独立行政法人等情報公開法並びに個人情報保護法の一部も改正)され、主に匿名加工情報の公的部門版が導入されるほか、個人識別符号と要配慮情報も導入される。
去年の基本法改正のときと同様に、国会会議録から関係する部分を抽出して重要な部分にマーキングし、テーマ別に分割したので、以下に転載しておく。色分けは以下の通り。 なお、今改正で、公的部門では匿名加工情報のことを「非識別加工情報」と言い換えることになったが、ここでは、抽象概念としての匿名加工情報を「匿名加工情報」と表記し、条文に関して記述する場合のみ「非識別加工情報」と記す。
- 黄色: 質問(橙色: そのうち特に重要な部分)
- 紫: 行政管理局長答弁(ピンク: そのうち特に重要な部分)
- 水色: その他の答弁(青: そのうち特に重要な部分)
- 緑: 参考人発言、転載者コメント
- 匿名加工情報 定義と照合による識別
- 匿名加工情報 法目的
- 匿名加工情報 ニーズと対象ファイル
- 匿名加工情報 契約とオプトアウト
- 個人情報保護委員会の権能とEU十分性認定
- 地方公共団体匿名加工情報と2000個問題
- 個人識別符号
- 要配慮個人情報
- 安全確保措置
- 医療分野での利用と今後
作業中にだいたい内容を把握したので、まずは簡単にここに雑感を書き残しておく。
「1. 匿名加工情報 定義と照合による識別」については、個人情報保護法制全体の体系を破壊しかねない重要な論点であった。衆議院の参考人質疑に鈴木正朝先生が呼ばれ、問題点の指摘と修正案の例示がなされている。
問題点を簡潔にまとめると、「匿名加工情報」であったはずの名称が、閣議決定直前に「非識別加工情報」という別の名称に変更されたこと、また、その「非識別加工情報」の定義が、民間部門の「匿名加工情報」定義とは指している情報の範囲が異なり得る(個人情報保護委員会規則によって可変になっている)ことから、行政機関で作成された匿名加工情報である「非識別加工情報」と民間部門の「匿名加工情報」の概念同一性が不確かとなってしまった。「非識別加工情報」が民間事業者に提供されたときその受領者には再識別禁止の義務を課すのがこの制度のキモであるが、法案では行政機関法にその規定を盛り込んでおらず、改正個人情報保護法の38条(識別行為の禁止)でそれを担保する予定であったのに、閣議決定直前の変更により両者の概念同一性が不確かとなったことから、必ずこの義務がかかるのかが謎な法案となってしまったのである。
鈴木参考人の修正案は、定義中の2番目の括弧書きを削除して委員会規則への委任規定を排し、定義が指す情報の範囲を民間部門の「匿名加工情報」と同一にし、かつ、名称を「匿名加工情報」に戻すとするものであったが、結局は採用されていない。
この結果、この法案を正当化するために、行政管理局は、いくつもの無用な理屈を答弁せざるを得なくなった。まず、名称をわざわざ違える理由は、民間部門では匿名加工情報が当該事業者において非個人情報であるとされているのに対して、「公的部門では当該機関において個人情報に当たる」から、そのように違うものだということを明確化するためのものとされた。次に、公的部門でそのように匿名加工情報が個人情報に該当する理由が、民間部門と異なり「公的部門では再識別禁止の規定を入れていない」ことによるとされた。ここで、第1の誤りが固着してしまった。この理屈を正当化するために、「民間部門では匿名加工する事業者自身による再識別を禁止する規定がある」旨の答弁が繰り返されたが、改正個人情報保護法36条5項は、「自ら当該匿名加工情報を取り扱うに当たっては」と限定的なケースについて禁止しているだけであって、常に禁止しているわけではない。すなわち、民間部門で匿名加工情報が非個人情報となるのは、匿名加工する事業者に再識別禁止の義務が課されているからではないのである。この第1の誤解釈を前提として「再識別禁止の義務があれば容易照合性が否定される」という理屈が用いられ、これが第2の誤りの固着となった。次に、そうすると「なぜ公的部門にも再識別禁止規定を置かないのか」という指摘が入るものだから、置かないことの正当化に奔走することとなり、「公的部門では元データとの照合を必要とするから」という理屈が編み出され、ありもしない不必要な具体事例がでっち上げられて答弁される事態となった。さらに、「個人情報であるのに提供してよいのか」という指摘も出てくるので、これに対抗して、「民間部門では提供元基準かもしれないが、公的部門では提供先か提供元かという基準は設けていない」と答弁せざるを得なくなり、これが第3の誤りの固着となった。このとき、民間部門とでそのような違いが生ずる理由として、「公的部門では民間部門とは違い、利用目的以外の目的のために第三者に提供するという場面は例外的な場合に限られているから」などというイミフな理屈まで飛び出した。
このような答弁をせざるを得なくなった行政管理局は誠にお気の毒であったが、これら第1〜第3の誤りは、基本法の解釈にも悪しき影響を及ぼす看過できないものである。このように法が成立したことで、今後、心ない有識者らがこれら多数の誤りを含む国会答弁の理屈をそれがあたかも当然の真理であるかの如く無批判に自身の教科書に転記していくことになるだろう。その読者らがそれを真に受けてしまえば、我が国の個人情報保護法制体系の完成は遠のくばかりである。せめて行政管理局におかれては、已む無く捻出した理由の部分についてはあえて逐条解説に書かないでおくという正義を示してほしいところである。
この論点については、次回以降で改めて詳細に検討する予定である。
「2. 匿名加工情報 法目的」では、行政機関法第1条の目的規定に「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、」という文が挿入されたことについて、昨年の民間部門の改正でも同様の目的規定の改正があったが、それは、元からあった「個人情報の有用性に配慮しつつ」という文を膨らませたものであったのに対し、行政機関では、そのような文は元よりないのであり、ないところにこのような目的を付け加えることはやりすぎではないかという指摘があった。「なるほどー」と思ったが、去年の改正は基本法部分としての1条の改正であったと考えれば、さほどおかしいことではなかろう。ただ、民間部門では、匿名加工情報の取扱いの規律を定めただけだったのに対して、公的部門のこの改正は、それに留まらず、提案の募集と審査と契約といったオープンデータ活用に係る手続きまで組み込んでいることから、もはやこれは単なる「保護法」ではなくなっていることから、むしろ法律の題名が不釣合いとなっているように思えた。
参考人質疑では、法目的について、藤原参考人は「全体としてこの法案は妥当なものであろう」と、鈴木参考人は「本法案の趣旨については、私は賛成であります」と、宇賀参考人は「個人情報の保護と利用の適正なバランスをポジティブサムの考え方の下に模索したものと評価できる」としている。
「3. 匿名加工情報 ニーズと対象ファイル」では、そもそもニーズがあるのかということが繰り返し問われている。行政管理局は、具体的な例を問われたのに対し、法律が成立してから各行政機関、独法が検討することだから今の時点ではわからないと答弁し、参考人から挙げられた数個の例が出るのみであった。参議院でも繰り返しニーズに疑問が呈され、「新たな産業の創出というのはどういうものか」と問われたのに対し、大臣から「行管局長や私が発案できるようなレベルのものであったらそれは新たな産業とは言えないんではないか」という答弁が飛び出した。
匿名加工のソースとなる個人情報ファイルにどのようなものが対象となるかについても、繰り返し問われている。基本的には、もし情報公開法に基づき開示請求があったとしたなら全部開示か部分開示となるような個人情報ファイルが対象とされているのだが、部分開示といっても、タイトルと項目名だけという部分開示もこれに該当してしまうので、そのようなものが対象となるのか否かに疑問が残った。
具体的には、国立病院や国立大学付属病院が保有している患者のカルテがこの制度の下で匿名加工のソースとなるのかが関心の高いところであろう。山本参考人は匿名加工のソースとなると想定されている様子だった。しかし、厚労省は、「カルテを非識別加工して出すのか」との問いに対し、「個別具体的に今どういった情報につきましてどう対応するかということにつきましてはまだ検討をしていないところ」と答弁するにとどめた。
タイトルと項目名だけの部分開示があり得るといっても、さすがにカルテの個人情報ファイルの全部などという開示請求に対しては、全部不開示とするものではないかと思い、さっそく、東京大学情報公開室に電話で相談してみた。「東大病院の保有するカルテの個人情報ファイルの全部を開示請求したら、部分開示されるか」と持ちかけてみたところ、タイトルや項目名などのみ残して他を黒塗りしたものの開示はできると即答だった。そうするとこれは匿名加工のソースになるということであろうか。
「4. 匿名加工情報 契約とオプトアウト」では、民間事業者からの提案について、それをどう選考し、契約するかといったことが確認的に質問されている。特に興味深かったのは、思っていた以上に選考基準は厳しいものとなりそうな点であった。行政管理局長は「本当に我が国における新たな産業の創出あるいは我が国の国民の豊かな生活の実現に資するかということ、これは明らかにしていただく必要がある」と答弁している。もっとも、この答弁は、外国企業からの提案でも契約するのかとの質問に、排除していないとした上でその正当性を述べたものであるから、若干厳しめに答えている可能性も否めないが、当然ながら、国内事業者の提案についても同様の基準で審査されることになるはずである。
また、手数料について、職員の人件費を含むと明らかにされた点も意外だった。匿名加工の作業を外注するときの外注費だけかと思いきや、その前後にかかるであろう職員の作業時間の分の人件費を手数料に含めるようだ。これはけっこうな高額になると思われ、提案がそもそも「新たな産業の創出」「国民の豊かな生活の実現」に資することが求められているのに、かかる手数料も高額となると、はたしてそれほどの応募があるのか心配になってくる。
これに関係して、同一のデータについて複数の事業者が提案する場合は、費用負担はどうなるのかという疑問も湧く。事業者Aが高額な手数料を払って匿名加工してもらったデータAがすでに行政機関に保管されているとき、別の事業者Bが同じものを求めたとき、Bは加工費を含まない安い手数料でデータAを手に入れることができるのだろうか。参議院で、そういう趣旨っぽい質問があったが、質問者があまり意味を理解していなかったのか、明確な答えを引き出せていない。
それから、民間部門の匿名加工情報では、提供された匿名加工情報はさらに他の事業者へと転々流通していくことが想定された制度であった(いわゆる「FTC 3要件」がそういう書きぶりだったので)のに対し、公的部門では、二次提供は基本的に許さないように契約するということが答弁された点も意外だった。しかも、衆議院の前半では、二次提供はあり得るけれども契約の中で決めておくと答弁していたのが、参議院では「二次流通ということは基本的には考えていない」と、答弁ぶりが変遷していく様子が見られた。たしかに、二次提供をどうするかは法律上の規定はないわけであり、契約でそれを縛ると答弁しているものの、そのような契約をすべての行政機関と独法に促すのは、どこで規定するのであろうかという疑問が残った。
そして、オプトアウトについてが論点となる。宇賀参考人は、「第三者に対する意見書の提出の機会を付与した結果、提案に係る行政機関等非識別加工情報の作成に反対の意思を表示した意見書が提出されましたときは、当該提案に係る個人情報ファイルから当該第三者を本人とする保有個人情報を除いた部分を当該提案に係る個人情報ファイルとみなす」と、44条の8(第三者に対する意見書提出の機会の付与等)の規定を示して、オプトアウトできるようになっている旨のことを述べたが、他の参考人や野党からは、「オプトアウトもできない制度だ」という理由で法案に反対するとしていた。
これに対して、政府側からは、「オプトアウトはできるようになっている」とする答弁はなかった。「そもそもそういう提供が嫌だということは、国民は拒否をすることはできるんですか。」というズバリの質問に対して、行政管理局長は、「繰り返しになりますが、非識別加工情報というのは、個人が特定できない、識別できないというものでございますので、そういう意味では、個々人の方々の権利利益を侵害するというおそれはないものと思っております。したがいまして、そういうことでございます。」と答えており、不自然な答弁となっている。宇賀参考人が言うようにオプトアウトの仕組みがあるのなら、「できます。」と答えればよいところなのに、そう答えなかったのはなぜか。
条文を改めて読んでみたところ、この44条の8は不思議な規定になっていることがわかった。まず、個人情報ファイル簿に44条の3 3号の印が付いた個人情報ファイルを匿名加工のソースとするときには、情報公開法13条の規定を準用するというもので、これを実施するには、個人情報ファイルの各本人に通知をして、意見聴取することになる。匿名加工の提案があるたびに、何万、何千もの本人に通知をするというのは大変なことになるわけで、ワークしないおそれがある。この「44条の3 3号の印」というのは、2条9項2号の「ロ」に該当する場合に付けることとなる印のことであり、その「ロ」とは、情報公開法で13条の規定により意見書提出の機会を与えることになる場合とされている。そして、個人情報ファイルが、匿名加工のソースとして使える条件は、この「ロ」の場合と、「イ」(全部開示か部分開示)の場合のいずれかとなる場合とされている。ここで疑問なのは、部分開示となるときなら意見聴取することなく匿名加工ができるのであるから、この44条の8の出番は無いように思われるところだ。
おそらく、情報公開法の部分開示と意見聴取の仕組みをそのまま鏡に映す形で匿名加工の制度を設計したつもりが、部分開示と匿名加工とでは本質的に違うものである(部分開示では、個人を特定することとなる記述を除いた部分がなお個人の権利利益を害するおそれがある場合があるから意見聴取の仕組みが設けられているのに対し、匿名加工では、匿名加工によって「個人の権利利益を害するおそれがある」情報は消えてしまう。)ために、意見聴取の仕組みが意味をなさなくなってしまったのではないか。もっとも、行政機関や独法の裁量で、あえて意見聴取をする「ロ」の印を付けるという運用はアリなのかもしれない。
この点については、再度詳しく検討したい。
「5. 個人情報保護委員会の権能とEU十分性認定
」では、公的部門の一般個人情報に関する監督権限を委員会に移さないのかということについて問われている。今回そのようにしなかった理由は、「個人情報の取り扱いにつきましては、今回の改正は、法の基本的な構造を変更するものでないことから、現行の体制を変更することとはしていないところ」と答弁された。そうすると、このままではEUの十分性認定は得られないとする指摘が相次ぐわけで、それに対し、大臣は、昨年の改正法の附則12条第6項に「個人情報の保護に関する法制の在り方について検討する」との規定があることを示しつつ、これが「個人情報の取扱いに関する監督体制にも関わり得るもの」であるとして、「今後、改正法の施行状況などを踏まえて検討をしてまいりたい」と答弁している。
「6. 地方公共団体匿名加工情報と2000個問題」では、この改正で誕生する「行政機関非識別加工情報」の制度を、地方公共団体にも同様のことをさせるべく条例を改正させるのか、また、どうやってさせていくのか、本気でそんなことをするのかということが問われている。また、それ以前に、条例が2000個あって統一されていないという「2000個問題」についても論じられている。これらについて、今改正法の附則4条に「一体的な利用促進のための措置を講ずると」されていることが、将来の解決への道筋になっている旨が示された。ただし、この「一体的な利用促進のための措置」というのが、「一体的に利用されることが公共の利益の増進及び豊かな国民生活の実現に特に資すると考えられる分野における個人情報の一体的な利用促進」と、分野で限定されているようでもあり、どんな範囲になるのかははっきりしていない。
「7. 個人識別符号」については、去年の民間部門の改正と同じであるが、ここでも再び、携帯電話番号が入るのかとか、端末IDが入るのかといったことが問われている。驚いたのは、端末IDについて、EUや米国と比べてどうかと問われた個人情報保護委員会事務局長が、「保護されるべき個人情報の範囲の概念は大きく変わっていないのではないかというふうに認識をしております」と答弁してしまった点である。即座に質問者に「明らかにEUとは基準が私は違うと思います。」と突っ込まれているが、これは、昨年の向井答弁と明らかに違っている。国会会議録第189回国会参議院内閣委員会第9号で、向井内閣審議官が、「携帯電話番号と端末IDはいずれもEUデータ保護指令が定める個人データに該当するとされております」「アメリカも、御指摘のとおり、そういう草案は出ております」「これらの状況をよく見ていく必要が今後あるんだろうなということは十分認識をしておりますが」と答弁したとある。
「8. 要配慮個人情報」については、公的部門に要配慮個人情報を入れた意味は何なのかが問われている。個人情報ファイル簿に印を付けることしか義務はない。これによって、透明性が確保されるほか、現場で要配慮個人情報が含まれることをそれぞれの職員が意識できるようになるのがその意義だという。
その他、「9. 安全確保措置」の話題と、「10. 医療分野での利用と今後」の話題があった。
