平成28年4月5日
衆議院総務委員会第11号
平成28年4月19日
衆議院総務委員会第14号
○奥野(総)委員 ちょっと空席が目立つように思います。これは定足数ぎりぎりですかね。割れていないようですが、委員長の方からもしっかり注意していただきたいと思います。
(略)
だから、今言ったように、税務情報みたいな強制的に取り扱うものは厳しく保護していく、一方で、任意で提供しているような情報については、私ども、照合禁止義務もかけて、完全に個人情報じゃなくしてしまって利活用してもらう、こういう仕組み、しかも、こういったものについては、統一的な法制で、行政機関等の法律、民間の法律というんじゃなくて、統一的な視点でまとめていくべきだと思います。
最後、大臣、この附則四条に従って、ここに二年後の見直し規定がありますが、私が今申し上げたような点について、どうお考えですか。使える情報はもっと広く使えるべきだと思いますが、もう一度確認させていただきます。
○高市国務大臣 民間部門については個人情報保護法によって、また国の公的部門については行政機関個人情報保護法、独立行政法人等個人情報保護法によって、また地方公共団体については条例によってということで、我が国の個人情報保護法制というのは規律されていて、当面はこの枠組みでの対応が基本になると思います。
ただ、今後、一体的に規定するということを含めて、個人情報の保護に関する法制のあり方について検討を行うということが附則第十二条第六項で盛り込まれておりますので、やはり将来的な課題として検討していくこととしております。
○奥野(総)委員 これで終わります。ありがとうございました。
○遠山委員長 次に、田村貴昭君。
○田村(貴)委員 日本共産党の田村貴昭です。
(略)
続いて、行政機関個人情報保護法の改正案について伺います。
まず最初に、時間もちょっとないんですけれども、個人情報の取り扱いというのは慎重にも慎重を重ねなければならない問題であります。行政の場合は、情報の種類も幅広く、取り扱いの監督体制はより厳密でなければならないと思います。私は、やはり独立性、専門性を持った第三者機関による監督が必要であると思います。
改正案では、外国の事業者も、日本の行政が保有する匿名加工情報の利用から排除されていません。諸外国との関係では、どういった体制が求められるんでしょうか。例えば、個人情報保護に関するEUの十分性認定はクリアできるんでしょうか。この点についてお答えいただきたいと思います。
○上村政府参考人 お答えいたします。
今回の改正におきましては、もう委員も御承知のとおりでございますが、非識別加工情報というものが行政機関等から民間事業者に提供されるというものでございますので、国の行政部門、それから民間部門の監視、監督、これを同じ機関が行うということが合理的であろうという観点から、そうしたものを個人情報保護委員会に一元化するということにしてございます。
他方、この法案では、それ以外の個人情報の取り扱い、行政機関等が保有するものでございますけれども、何ら変更することとはいたしておりませんので、その取り扱いは、引き続き総務大臣が所管するということにしているものでございます。
また、EUの十分性認定についてのお尋ねがございましたけれども、その基準というものにつきましては、まだ明確に示されたものというのは存在しないというふうに承知をしております。今後、EU側とその十分性認定取得等に向けまして取り組んでいく中で、そうしたものは明らかになっていくものであろうかと思っております。
なお、日本の個人情報保護制度につきまして、EUの関心事項であると推測される諸点に関しましては、例えば、今回、これは昨年の個人情報保護法でも同じでございますけれども、要配慮個人情報の規定を設ける、こうした対応は一方で図っているというところでございます。
○田村(貴)委員 個人情報保護委員会は、行政の個人情報の取り扱いはしませんよね。そうすると、EUの基準には達しないという理解でよろしいですか。もう一度答えてください。
○上村政府参考人 繰り返しの答弁になりますけれども、十分性認定が、官民一体の委員会がなくてはならないのかどうか、そういった基準についてはまだ明確に示されたものはないと承知しております。
○田村(貴)委員 まだまだ質問通告していたんですけれども、この続きは梅村さえこ議員の方から質問させていただきますので、私は質問を終わります。
以上です。
平成28年4月19日
衆議院総務委員会第14号(参考人質疑)
○藤原参考人 中央大学の藤原でございます。
(略)
第三に、このような匿名になるように加工された情報は、公的部門、民間部門を通じて個人情報保護委員会が一元的に所管するという仕組みになっております。詳細な手続等に関する規定は個人情報保護委員会規則で定めることとなります。改正個人情報保護法附則の第十二条一項の関係でございますが、加工の基準を含め、行政機関等における匿名加工された情報についても、その取り扱いは個人情報保護委員会が所管することとなっております。
(略)
さて、三番目の項目として、我が国の個人情報保護法制の改正がEU等との関係で語られることもありますので、比較法的な観点も一言だけ述べておきたいと存じます。
まずは、欧米諸国といいますが、実は、EUとアメリカでは、個人情報保護の透明性を求めるという点ではかなり共通しておりますけれども、共通項もございますけれども、やはり哲学はかなり違います。例えで言えば、アメリカのプライバシー法は自由という引力の軌道の中で回っており、ヨーロッパのプライバシー法は人間の尊厳という引力の軌道の中で回っているんだと、よく例えられるところでございます。したがって、我が国は、EUという鏡とアメリカという鏡の両方を見なければならないという点は重要だと考えております。
時間の関係で多くの国の紹介はできませんが、公的部門の規制を見ても、カナダのように官民で法律が異なる国、ドイツのように、一本の法律の中にはあるのですけれども、やはり公的部門と民間部門は章が異なるというところがございますし、公的部門と民間部門の法制のあり方というのは、改正個人情報保護法の附則十二条六項にもございますように、今後の課題であろうと思います。ここでも、国際情勢をにらみつつ、我が国としてのバランスとスタンスが求められていると考えております。
さらに、我が国では、地方公共団体の条例まで含めて細かい規律があるということも考慮要素になろうかと思います。
最後に、今申し上げた法制のあり方に関連して、本日のコメントの対象であります行政機関個人情報保護法等の改正法の附則の四条が、個人情報の一体的な利用促進に係る措置について規定しております。この法律の公布後二年以内に、官も民も、この場合には、地方公共団体や独立行政法人等も含んで、官民一体での個人情報の利活用に触れております。
個人的な見解でございますけれども、ここは医療情報などに大きな貢献をするのではないかとも思われます。したがって、着実に施策を講ずることが重要だと考えております。
時間がちょうど参りましたので、私のお話はこれで終了させていただきます。
どうも御清聴ありがとうございました。(拍手)
○遠山委員長 次に、鈴木参考人、お願いいたします。
○鈴木参考人 新潟大学から参りました鈴木正朝と申します。
(略)
次に、二千個問題と越境データ問題対応について一言申し述べたいと思います。
民間部門の個人情報保護法では、原則として全主務大臣がその監督権限を個人情報委員会に引き渡しました。民間部門の規律は委員会中心に行われることになりました。しかし、公的部門の個人情報保護法については、法律の所管がいまだ行政管理局に残ったままであります。
いびつな権限配分であろうということは重々御理解いただいていると思うんですが、あえて言いますと、非識別加工情報は個人情報委員会が所管する。マイナンバーという個人番号の特別な個人情報については、個人情報委員会が所管する。ところが、一般の個人情報は、法律の所管のみ行政管理局で、あとは各行政機関の大臣、それから独立行政法人等の長が監督します。年金機構の問題がありましたが、あそこは理事長が監督するわけです。委員会は監督できないわけです。これでいいのか。
例えば、非識別加工情報を取り上げても、もとデータが個人情報であるにもかかわらず、あえて両者の法律の所管を二つの行政庁に分割し、それぞれにおいて政令案の起草や規則や告示を制定するということですが、合理性があるんでしょうか。
個人情報ですよ。非識別加工情報ですよ。ここから非識別加工情報に加工するんですよ。それなのに、こちらは委員会、こちらは各大臣。その場合には、非識別加工情報にするにおいては、もとデータの個人情報も委員会の所管なのだというふうに再整理していくんでしょうけれども、やはり一般個人情報も委員会が見るのが筋です。あと、マイナンバーがぽんと入ると、突然、委員会の監督に入る。何ゆえ今回ここを整理しなかったのか。
確かに役所の権限問題は極めてセンシティブでありますが、私にとっては余り関係がない。筋論を言う係であろうと思っております。
こういった理屈の問題だけではなく、実は実害が出てまいります。何かというと、次に書いてありますが、EUの搭乗者名簿、EUの航空会社に対して搭乗者名簿のデータをくれと日本政府は正式にオファーしたというニュースが載っておりました。これはどういうことだろうと思いました。
テロ対策であります。搭乗者名簿をいただいて、ブラックリストと照合して、水際でテロリスト等を防御しなければ、東京五輪を前に、パリ、ブリュッセルの例がありますから、やはり日本も万全を期す必要がある。絶対、搭乗者名簿をいただかなければならないわけであります。
ところが、いただいたこのデータ、入管は法務大臣が管理するんですか。税関は財務大臣が管理するんですか。セルフチェックであります。ところが、欧州はそれを許さないはずです。行政機関が行政機関自身のデータを管理するというセルフチェックでは足りずに、欧州では、プライバシーコミッショナーという第三者機関が、行政機関が適切に管理しているかどうか監督できるような体制を求めている。
実は、これに関して、米国ともトラブっているわけですね、EUは。カナダとも、司法当局が無効判決を出すのではないかということが騒がれていて、みんなで注視しているということで、EUは、米国、カナダに対しても、この搭乗者名簿、国防上重要であっても、なおかつ問題があるといって、データを出すことについて疑義が生じている。
ところが、今回の改正法のままでありますと、早晩このPNR問題が紛糾し、やはり行管自身に権限を残すことはまずいのではないかという問題が必ず惹起されるであろうと思っております。
このあたりを踏まえて、法案という形にもうなっておりますから、炎上する外交リスクがあるんだということを御認識いただいて、もし起きた場合の初動が早く動くように、この権限問題をきっちり顕在化して、論点として認識しておく必要があろうと私は思います。
(略)
○坂本参考人 日弁連情報問題対策委員会の委員長をしております坂本と申します。
本日は、このような機会を与えていただきまして、ありがとうございます。
本日、この法案に関しまして、二点、意見を述べさせていただきたいと思います。メモを配付させていただいておりますので、適宜御参照ください。
第一点は、個人情報保護委員会の権限についての問題です。
この法案で、行政機関等が取り扱う非識別加工情報の取り扱いについてのみ個人情報保護委員会が一元的に所管するということになっていますが、これでは、個人情報保護委員会の権限としては非常に不十分であると考えます。
これは先ほど鈴木先生がおっしゃったこととも共通するのですが、全ての行政機関、独立行政法人等における個人情報の取り扱い全般について、個人情報保護委員会が監視、監督する権限を与えるべきだと考えております。
当連合会の見解は、かねてより、きょう配付もさせていただいていますけれども、プライバシー保護のために、専門性が高く、独立性の強い第三者機関が必要であるということを繰り返し表明してまいりました。一番最初は、二〇〇二年の十月に開催しました人権大会での宣言を初めとしまして、配付資料をつけておりますので、御参照いただければと思います。
二〇〇三年に個人情報保護法が制定されましたけれども、主務大臣が監督するという方式を採用しましたために、プライバシーコミッショナーのような、個人情報を保護するための第三者機関というのは置かれませんでした。
二〇一五年九月、昨年ですが、改正個人情報保護法により、民間部門の個人情報の取り扱いについては個人情報保護委員会が一元的に監督する、ようやくこういう体制がつくられました。
そして、今回の行政機関個人情報保護法等の改正におきましては、行政機関等についても個人情報保護委員会が一元的に監督する制度が採用されることが強く期待されておりました。総務省が開催しておりました行政機関等が保有するパーソナルデータに関する研究会でも、行政機関等の監督をどうするかが議論され、当連合会も、個人情報保護委員会が一元的に監督すべきであるという意見を述べてきたところでございます。
ところが、同研究会の「「中間的な整理」その2」の中では、個人情報保護委員会に官民を一元的に監督させる制度は理想形ではあるが、ワークしない、実効性がないという意味だと思いますけれども、このような理由で見送りを図ることになってしまいました。
そして、今回出てきた改正法案が、行政機関の非識別加工情報についてのみ個人情報保護委員会に監督権限を与える、こういう不十分な法案が出てきたわけでございます。
ですが、行政部門こそ独立性のある第三者機関が監督する必要があると考えます。先ほど鈴木先生の方からもそういう御見解の表明がありましたけれども、ちょっと違う角度から述べたいと思います。
一般に、行政機関等が保有するパーソナルデータは、法令上の根拠に基づき、行政事務の遂行のために収集、保有されております。したがって、本人にとって、提供するかどうかについて選択の余地のない場合がほとんどであります。また、行政機関等が保有する情報の中には、病歴や収入、資産等センシティブな情報も含まれております。したがって、プライバシーとして保護する必要性が高いと言えます。
ところが、そのような行政部門におきまして、個人情報が違法または不当な取り扱いをされているという例が時折明らかになります。
幾つか御紹介します。
まず、二〇〇二年、防衛庁が、当時防衛庁でしたが、同庁に対する情報公開請求をした請求者についてリストをつくりまして、さまざまな個人情報をいろいろな部署からかき集めてきて、この情報公開請求をしてきている人は反戦自衛官だとか、この情報公開請求をしている人は子供さんが病気だとか、そういうのを集めてきたのを使ってリストをつくっている、こういうのが明らかになりました。この問題については、防衛庁自身も不当性を認めて、再発防止策を提言しているところであります。
あるいは、二〇〇七年には、自衛隊の情報保全隊が、自衛隊のイラク派遣に反対する市民運動等に関しまして広く情報収集を行っていたということが判明しました。この中では、広く一般の市民運動も含めて情報収集の対象となっておりました。この問題については、仙台の方で裁判が起こされておりまして、地裁も高裁も、このような情報収集活動の一部について違法性を認定する判決を出しているところでございます。
さらに、二〇一〇年には、警視庁公安部のテロ捜査資料とされるものがインターネット上に流出した事件がありました。この中で、警視庁公安部が、テロ関連の捜査対象者等として在日イスラム教徒等のさまざまな個人情報を収集していたことが判明しております。イスラム教というのは、それ自体は完全に合法的な宗教であります。そのような宗教を信仰しているというだけの理由でテロとの関連を疑われて、情報収集あるいは監視の対象とされていたことが明らかになっているわけです。
こうした事件は、行政機関等による情報収集活動の一端を示すものにすぎないと思われます。たまたま漏えいや内部告発等によって明るみに出ましたけれども、ごく一部であろうと考えます。行政機関等による個人情報の収集や取り扱いの全体について、国民が知るすべはありませんし、またチェックする機関等も全くないのが実情であります。こうした情報収集活動等に行き過ぎがないかどうかを監督するためには、やはり独立した第三者機関、現実的には個人情報保護委員会の監督に委ねる必要があろうと思います。
また、昨年発覚した日本年金機構からの大量の漏えい事件でも、改めてそのことが再認識させられました。年金機構も独立行政法人でありまして、厚生労働大臣から個人情報の取り扱いについて監督を受けているというふうに思われますが、それでも、報道の限りでは、結構ずさんな取り扱いがなされていて、大量の個人情報が漏えいするという事態を招いてしまいました。やはり身内による監督では限界があって、個人情報保護委員会といった第三者機関の監督が不可欠であろうというふうに思います。
研究会の中間整理では、先ほども御紹介したように、ワークしない、個人情報保護委員会が監督するのではワークしない、こういうことで見送りになりました。ですが、番号法、マイナンバー法ですが、この規定によって、特定個人情報、マイナンバーつきの個人情報の取り扱いについては、行政機関等も個人情報保護委員会が監督することになっております。さらに、今回の法案でも、非識別加工情報については、行政機関等についても個人情報保護委員会が監督することになっています。では、なぜ個人情報全般について監督を任せることができないのか。全く理解のできないところであります。
公的部門に対する独立した第三者機関の監督は、EUを初めとして、世界的なスタンダードであります。決して非現実的な理想ではありません。それどころか、このままではEUの十分性認定が受けられないのではないかということが懸念されるところであります。
したがって、非識別加工情報だけでなく、全ての行政機関等の個人情報の取り扱い全般について、個人情報保護委員会が監視、監督する制度が導入されるべきであろう。その観点からいって、法案は不十分であると考えます。
(略)
○遠山委員長 ありがとうございました。
以上で参考人の意見の開陳は終わりました。
―――――――――――――
○遠山委員長 これより参考人に対する質疑に入ります。
○濱村委員 公明党の濱村進でございます。
(略)
○濱村委員 提供元の照合禁止規定についてここで議論するともう時間が終わっちゃうので、また改めてさせていただくとしまして、もう一つ本当は聞きたかったのですが、最後、ちょっと坂本先生に御質問させていただきます。
その前に、EUのPNRの提供、これは私も非常に注目をしております。ただ、四月の二十九日、三十日でG7の情報通信大臣会合というものがございます。そこでしっかり議論をしていかれるものであろうというふうに思っておりますので、そこにしっかりと準備をして期待しようというところで思っております。本当はこの点も観点としては非常に大事なので質問したかったのですが、時間がどうにも足りませんので。
最後に一つだけ。坂本先生、お待たせしました。
先生おっしゃるとおりで、個人情報保護委員会が監視、監督する権限を与えるべきだということでおっしゃっておられます。これは、鈴木先生も同様のことをおっしゃっておられるわけでございます。
一方で、今回の法案の五十一条の五、六、七ですね、資料の提出の要求及び実地調査、そしてまた指導及び助言が五十一条の六で、五十一条の七には勧告ができるということとなっておるわけでございます。
私は、監督できる権限が必要かどうかというところと、こうした実地調査、指導及び助言、そして勧告ができる、実質的にどう違うんだというようなところも含めて、何がこれじゃ足りないんだというようなところを言っていただかないと、監視、監督の権限を与えるべきというふうに言われても、どれをどのようにどう直すべきなんだろうというのがなかなかわかりません。ぜひ先生の御意見をお伺いできればと思います。
○坂本参考人 個人情報保護委員会は、例えば、マイナンバーの取り扱いについては立入検査も含めてできる権限が与えられていますよね。マイナンバーの取り扱いについて立入検査ができるのに、それ以外の個人情報一般になるとできないというのでは足りない、こういうふうに考えています。
マイナンバーについて行政機関に対する監督ができるのと同じ権限を、個人情報の取り扱い全般について行政機関に対して行使できるようにすべきだ、こういう考えです。
○濱村委員 ありがとうございます。
マイナンバーと同じようにという意味でいえば、非常に大事な視点かもしれません。
一方で、これは個人情報も同様にということなんですが、行政が、個人情報保護委員会自体が行政を、国の行政機関あるいは独法に対してそれを監督するというのは、自分で自分を監督するということにもなりそうなわけでございますので、私、非常に違和感があると言われれば違和感はあるんです。
そういう意味において、権限として実質的に同様にするべきだということであるならば、私は、この規定、五十一条の五、六、七で十分なのではないかというふうにも思ったりする次第でございますが、非常に貴重な御意見だというふうに思いました。
ぜひ、今後も、これはまだまだ、二千個問題も含めてまだ第一歩です。一歩というどころか、半歩かもしれません。ですが、着実に進めていくことが必要でございますので、先生方の御意見、引き続きお伺いできるようしっかりとやってまいりたいと思います。
ありがとうございました。
○遠山委員長 次に、田村貴昭君。
○田村(貴)委員 日本共産党の田村貴昭です。
(略)
○田村(貴)委員 次に、坂本参考人にお伺いします。
政府は、さきの個人情報保護法の改正で、EUにおける十分性取得を念頭に置いた法改正であるとし、独立した第三者行政機関の存在が必要であるとして、個人情報保護委員会をつくりました。
では、EU等諸外国で適切な保護措置として認められる独立した第三者機関と日本の個人情報保護委員会との間にはどのような違いがあるのでしょうか。これについて教えていただきたいと思います。
○坂本参考人 これまで日本には個人情報保護委員会がなくて、民間部門も主務大臣制、公的部門は自分のところで何とかしろ、自己点検ですね、そういう形ではできない、十分性認定は受けられないと言われていました。
民間部門について、個人情報保護委員会が監督する体制をつくったことによって少しはEUに近づいた、こういうことだと思います。もちろん、民間部門が主務大臣制のままでは十分性認定を受けられないのははっきりしていて、個人情報保護委員会が民間部門を一元的に監視、監督するようにしたのは大きな前進です。
ただし、そこはあくまでも民間部門だけに限られていて、相変わらず行政部門については自分のところで自己点検でしっかりしますと。こういう体制ではだめだ。
公的部門についても、民間部門と同じ主体が公的部門を全部監督するのか、それとも公的部門を独自に監督する第三者機関をつくるのかという議論はあり得ると思うんですけれども、いずれにせよ、各省庁任せでやっているというのはだめで、例えば公取とか会計検査院なんかは、行政機関に対しても監督し、場合によっては立入検査をする権限を持っていますよね、公的部門に対しても。それと同じように、個人情報保護委員会が公的部門に対しても監視、監督できるようにならなければ、十分性認定は受けられないのではないかというふうに考えています。
○田村(貴)委員 それでは、諸外国ではスタンダードと言われる独立した第三者行政機関について、私は勉強不足もありますのでよく知りません。独立した第三者行政機関について、またその要件について、まだ少々時間がありますので、先生、教えていただきたいと思います。
○坂本参考人 そこを詳しく御紹介するとなると、恐らく藤原先生か鈴木先生の方がお詳しいと思いますけれども。
少なくとも、欧米諸国、特にEUですけれども、アメリカはまた違いますけれども、EUでは、プライバシーコミッショナーという、これがまさに個人情報保護委員会に相当する機関だと思いますけれども、そこが、民間部門あるいは公的部門についても一元的に取り扱う、あるいは省庁の枠を超えて監視、監督する権限を持っています。いろいろな省庁を超える問題が生じたときも、プライバシー、個人情報の取り扱いについてはプライバシーコミッショナーが対応する。
日本でも、グーグル・ストリートビューを撮るためにグーグルが日本の中を車を走らせていろいろ写真を撮る、あのときに、住宅地なんかに入っていって、家の中が見えているじゃないか、こういう問題が起こりました。
あれは、グーグルが世界じゅうで走らせたときに、ほかの国では、プライバシーコミッショナーがいるところでは、プライバシーコミッショナーとグーグルとの間で、こういうことをやってもいいですか、こういうやりとりが行われたのですが、日本にはそういうプライバシーとか個人情報に関して一元的に取り扱う機関がなかったがために、そういう事前のやりとりもなく、いきなり入ってきて、うちの洗濯物が写っていてどうしてくれるんだとか、私の顔が写っているけれどもどうしてくれるんだという混乱が一時生じたんです。
そういう意味でも、個人情報、プライバシーについて、このことならこの機関というのをつくる必要があろうというふうに思います。
○田村(貴)委員 それでは、坂本参考人、もう一つお伺いします。
(略)
○足立委員 おおさか維新の会の足立康史でございます。
(略)
今、鈴木先生の方からも政治主導というお話がありました。政治家も得手不得手がいろいろありますが、特に今回みたいな、技術も関係ある、制度、法律も関係ある、この両方にかぶさる制度論というのは、本当に政治家もよほどよく勉強してやらなあかん、こう自戒をするわけです。
ちなみに、日本の総務省は、皆さん、行政とは当然藤原先生を筆頭に接点があると思いますが、役所はちゃんとわかっていますか。総務省でも内閣府でもいいんですけれども。要すれば、わかっている人はちゃんといる、ただ、そのわかっている人が何かちょっとまだ格が低くて、その上の課長さんとか局長さんが言うことを聞かなくてうまいこといっていないとか、いろいろありますね。いやいや、最近の役人はそもそもわかっていないと。どうですか。
○藤原参考人 我が国は、先生御存じのように、技術者系の職員の方がいらっしゃいますし、政府CIOもいらっしゃいますし、さらに言えば内閣官房のIT室、総務省、連携をとってやっていると思いますので、そこのところは理解はきちんとしておると信じております。
○鈴木参考人 やはり官僚はゼネラルなシステムですから、二年交代でどんどん多くのことを経験していくという状況においては、もちろん、もう名指しですぐれた方はいらっしゃいますけれども、残念ながらITから離れていくということもたびたび経験しております。
したがいまして、諸外国のように、立法政策の周辺に、国会議員の先生や官僚の周辺に、ある程度十年選手の知見をためる必要があると思いました。
具体的にどうするか。一般財団法人の情報法制研究所を今立ち上げようということで、方々の企業にお金を下さいと回っているところなんですが、とりあえず個人的には、そういった十年選手を個人情報保護委員会の傍らに、技術者、法律家、ビジネスモデルがわかる人を百人くらい集めている最中でございます。個人的にできることはやっていきたいというふうに思っております。
○坂本参考人 各省庁の職員の方は、立派な方もいらっしゃいますし、優秀な方もいらっしゃいますし、一生懸命仕事をなさっていると思います。
今回の法案がちょっと拙速じゃないかと思っているのは、基本的には、このビッグデータを利活用して経済を再生して、日本経済、何とかやっていこうという国家目標というか、今、政府の掲げるそういう目標があって、これに使えるような法案を、行政分野でも使えるような法案を出してこいというふうに、ニーズもないところに上からそういう号令をかけられて、優秀な職員の皆さんが一生懸命考えてひねり出してこられた、ひねり出した感のある法案なのです。
そうではなくて、政府として経済成長とかいうのを掲げられるのはもちろん立派なことだと思うんですけれども、やはり個々の政策は、これをこうやりたいという具体的な現場のニーズに基づいて政策をつくらないと、上から号令をかけて箱物をつくるでは、ちょっとうまくもいかないのではないかというふうに思います。
○足立委員 ありがとうございます。
今、鈴木先生がおっしゃった研究会ですか、ホームページで私も拝見しています。いろいろネットワークをつくられて準備されているということで、そういうお取り組みは本当に、研究者というか、行政もかかわるインフラとしてとても大事だと思っていますので、個人的にというか、応援を政治からもさせていただきたいと思います。
(略)
○吉川(元)委員 社会民主党の吉川元です。
(略)
次に、鈴木参考人にお伺いしたいと思います。
越境問題に関連してなんですけれども、EUにおいて、二〇一二年一月に、個人データの取り扱いに係る個人の保護と当該データの自由な移動に関する欧州議会及び理事会の規則提案というものが行われたものの、その後、非常に議論が紛糾をし、最終的には、ようやく昨年の十二月、ですからもう足かけ四年近くですか、欧州議会、EU加盟各国政府それから欧州委員会の三者の代表によって合意に至ったということで、参考人の論文の中にもこうしたことが紹介をされておりました。
今回のEUでの個人データ保護の新たな規則について、どういう点が論点になったのかということがまず一点目。それから、最終的に合意された規則の特徴というのが、どういうものがあるのか。それから、今回、越境問題ということで、先ほどから車のビッグデータの話もありますが、今回の改正との関係で、このEUの新たな規則はどういうふうに、この規則をクリアできるような内容になっているのかどうなのか。
この三点についてちょっと伺いたいと思います。
○鈴木参考人 そもそも論として、EUはどういう国かと申しますと、まさに、日本の今の状況に直面するにおいて参考になる点がございます。
まさに、コンピューター、汎用機というのは戦後登場してきたものであります。IBMを主体に、全世界の七割、八割というシェアを持っていた。ヨーロッパにおいては、まさに民族系、EU系のコンピューターメーカーが北米系企業に全部席巻されてしまったわけですね。これを日本に置きかえてみますと、日本のさまざまな行政機関のシステムを、例えば韓国や中国やインドに発注するような状況に近いわけです。国内にコンピューターメーカーがなくなってしまうということは、全て北米企業に委託しなければならないという状況になった。
では、今日、それでEUはその後、ナチのユダヤ人狩りの原体験もございましたので、歴史的にも産業的にも幾分保護主義的な方向性に走られた。その中で、一九九五年のEU個人データ保護指令によって、九八年十月までに、国内の個人データ保護法を統一せよ、EU個人データ保護指令に即して法整備を図れということで、各国平準化を図った国内立法をしたわけでありますが、その思想は、やはり域外とのデータ交換にあっては十分性を見きわめて、EUの保護水準に達していない国との間ではデータ交換するなよという思想のもとで、基本権をベースに構築された。
しかし、ばらつきがあったわけですね。一つのEUに向かって人も物も金も情報もできるだけ統一化しようとしているにもかかわらず、ばらつきがあった。それを規則で統一しようと考えた。さらに、強化した。
一つのルールで強化したがゆえに、日本と同様に、包括規制ですから、いろいろ、医療では困る、何では困るというもので紛糾してきたように思っております。
○吉川(元)委員 そうしますと、まさに医療だとかいろいろな立場立場で、これはきついとかこれは大丈夫だとかというところで議論になったということでありますけれども、今回の例えば日本の改正の中で、いわゆる越境問題、先ほどは搭乗者リストのお話がありましたけれども、これは果たしてクリアできるというふうに考えられるものなのかどうなのか。
ほかにも、例えば、日本の企業がヨーロッパで事業を展開しているときに、従業員のデータすら日本には持ってこられない、そういうこともありますので、これは今回の法改正と直接関係ないですけれども、例えば今回の行政のこの問題については、果たしてクリアできる水準にあるものなのかどうなのかについてはいかがでしょうか。鈴木参考人に。
○鈴木参考人 まさに十分性認定、午前中ですか、行政管理局の説明は、十分性認定の基準は曖昧であるがゆえに判断留保されているということでありましたが、日本はまさにEUに対して十分性認定をしてくれといまだ言ってはいないので、ペンディング状態で推移しております。ところが、搭乗者名簿のデータをくれと言ったことによって、実はスイッチを押してしまうことになりはしないかというところを懸念しております。
十分性認定のざっくりとした審査基準は明確でありまして、独立監視機関の設置というのは繰り返しEUは言っております。それゆえに個人情報保護委員会をつくったわけですが、まさに今法改正において、実は行管の権限が残ってしまった。これを委員会に移せば、まずは交渉テーブルに着くだけの資格を有する独立機関があると言える。
ところが、それが今回ないということは、議論はありましょうが、どう考えても十分性認定など遠いと言わざるを得ないと私は思っております。
○吉川(元)委員 次に、藤原参考人に一点お聞きしたいと思います。
先ほど、最初の意見陳述の際に、諸外国の公的部門、民間部門の区別と法制ということでお話がございました。その際に、ドイツは一本で章立てが違うところにある、それからカナダは全く別の法律でやっているということであります。
今回、日本の場合は公的部門と民間部門それぞれ別々ということでありますが、これは、カナダの法体系と日本というのはよく似ているという認識でよろしいんでしょうか。それから、そういう法体系をとっているのは、世界的に言うと一般的に見られる傾向なのでしょうか。
○藤原参考人 お答えします。
まずその前に、外国のことですけれども、EUの規則は、四月の十四日に、新データ保護規則として新しくヨーロッパ議会を通っております。その中には十幾つ注目すべき点がありますけれども、それは私に対する御質問ではありませんのでここでは飛ばしますが。
カナダがどうかといえば、法体系が違うという意味では似ておりますけれども、システムが、コミッショナー制度まで含めればやはり全く同じということではございません。
それから、別々にやっている国がどのくらいあるかは、数えたことはないんですけれども、それほどひょっとすると多くないかもしれません。しかしながら、規律の内容が官と民でそれでは同じレベルで規律しているかというと、これも少し違うんだろうなという気がします。やはり官と民では情報の性質が違うということは配慮していると思います。
○吉川(元)委員 もう時間もあとわずかですので、坂本参考人に最後に一問お聞きしたいと思います。
先ほどから議論になっております、個人情報保護委員会、ここに一元的に監督をさせるべきだと。これは、越境問題も含めて先ほど鈴木参考人からもそういう観点がありました。
越境問題はおいておいたとしても、これを一元化する意味というのは、諸外国との関係ではなくてどういう点があるのかということを最後にお聞きしたいと思います。
○坂本参考人 行政機関はすごく大事な個人情報を法令に基づき強制的に集めてくる機関ですよね、基本的には。そういうところが間違った個人情報の取り扱いの仕方をしていると、やはり個人情報、プライバシーに対する侵害度が高いというふうに思うわけです。
今は、基本は、日本の行政機関は悪いことをしないだろうというような性善説に立って、自分のところで正しく使います、間違った使い方はしませんよ、法律に基づいてやっているから信用してください、でも、具体的な中身は見せませんよということになっています。
時々漏えい事件が起こったりして、年金機構で、ああ、結構いいかげんなことをやっていたんだなというのが時々わかったり、あるいは、警視庁というのは、イスラム教というだけで尾行とか張り込みまでされて情報収集されているんだなというのが時々ちょっと出てきたりするだけで、でも、それも当該役所に言わせると、いや、きちんとやっています、法令の範囲でやっていますと。ばれて、問題になって、裁判になって、違法になって初めて、改めますと。こういうことなんですね。
そうすると、私たちの目に隠されたところでどんな個人情報の取り扱いがされているのか、その全てを国民に明らかにするまではできないかもしれないですけれども、少なくとも、自分が自分でチェックするのではなく、自分の役所じゃない役所からチェックされる、こういうふうにしないと、いや、日本の行政はちゃんとしていますから大丈夫ですというのでは不十分であろう、こういうふうに考えております。
○吉川(元)委員 時間が来ましたので、これで終わります。本当にありがとうございました。
○遠山委員長 これにて参考人に対する質疑は終了いたしました。(略)
平成28年4月21日
衆議院総務委員会第15号
○梅村委員 日本共産党の梅村さえこです。
(略)
時間の関係で、最後になります。
先ほども第三者委員会についてありました。公聴会でもこれについて厳しい指摘がありました。最初、全てをこの第三者委員会、個人情報保護委員会でというような話もあったかというふうに思いますけれども、途中からそうではなくなっていったというような経過も聞きました。
この点、いかがでしょうか。しっかりと個人情報保護委員会の方で行っていくという点、なぜしなかったのか、御答弁いただきたいと思います。
○古賀大臣政務官 今の御指摘の点、個人情報保護委員会についてでありますが、今回の改正は、非識別加工情報が行政機関等から民間事業者に提供されるものでありまして、国の行政部門と民間部門の監視、監督を同じ機関が行うことが合理的であるという判断で、個人情報保護委員会に一元化したものであります。
一方、行政機関等における個人情報の取り扱いにつきましては、今回の改正は、法の基本的な構造を変更するものでないことから、現行の体制を変更することとはしていないところであります。
なお、個人情報の保護に関する法制のあり方につきまして、今回の改正法の施行状況等を踏まえて検討することとなっておりまして、監督体制についてもこの検討を踏まえて対応していくことになる、そのように承知しております。
○梅村委員 身内との批判もありますので、やはりしっかり独立した機関を個人情報をめぐっては設けるべきだというふうに私は思いますし、しっかりとした体制をつくることを最後に申し上げて、質問を終わりたいと思います。
(略)
○吉川(元)委員 社会民主党の吉川元です。
(略)
○吉川(元)委員 例えば今回の件でいうと、オプトアウトも含めて本人の関与が必要ではないか、なぜ関与がないのか、あるいは、個人情報保護委員会の関与が民間と行政でかなり差があるというようなことも質問したかったんですけれども、時間がありませんので、最後に大臣に二点ほどお尋ねしたいと思います。
一つ目は、今回、プライバシーコミッショナーというものが、この間総務省の研究会報告書でも検討が必要であるということは言われておりましたし、プライバシーコミッショナー制度の創設、常々必要性が指摘をされております。また、これは内閣府の方ですか、検討会の方でも、プライバシーコミッショナーの整備を、今後、法的措置を講ずべきだというふうに掲げられております。
このプライバシーコミッショナー制度、これは一体どうなったのかということが一点目。
それからもう一つ。今回の法改正、民間部門の個人情報と行政機関の個人情報について、個人情報保護委員会のかかわり方、あるいはその権限、差異がありますが、とりわけ行政機関については、個人情報の管理は、これは先日の参考人の際にも二千個問題等と言われましたけれども、所管省庁に委ねられたままです。
このままでは、行政機関の保有する個人情報について、先ほど、後ほど質問すると言いましたけれども、EUの十分性認定、これを取得するのは困難ではないのか。参考人もそうした指摘をされておりました。
この二点についてどのようにお考えなのか、尋ねます。
○高市国務大臣 まず、プライバシーコミッショナー制度でございますが、過去に行われてきた検討では、主に民間分野についての監督機関について議論が行われてきたと考えております。
プライバシーコミッショナーは、パーソナルデータの保護のための独立した第三者機関のことを指すと理解しておりますけれども、我が国におきましては、民間部門につきましては個人情報保護委員会がこれに当たるのだろうと思います。
今回の改正では、行政機関等における非識別加工情報の取り扱いにつきましては、個人情報保護委員会に一元化していますけれども、個人情報そのものにつきましては、法の基本的な構造を変更するというものではございませんので、国の行政部門の個人情報の取り扱いにつきましては、総務大臣による所管のところは変更していないということでございます。
それから、EUの十分性認定の基準でございますが、これも明確に示されたものが存在しないと承知していますので、今後のEU側との十分性認定取得に向けた取り組みの中で明らかになっていくと考えています。
EUの関心事項であると推測される点につきましては、例えば今回の法案では、新たに要配慮個人情報の規定を設けるといった形で対応を図っております。
○吉川(元)委員 時間が来ましたので、終わります。
○遠山委員長 これにて本案に対する質疑は終局いたしました。
―――――――――――――
○遠山委員長 これより採決に入ります。
行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案について採決いたします。
本案に賛成の諸君の起立を求めます。
○遠山委員長 起立多数。よって、本案は原案のとおり可決すべきものと決しました。
平成28年4月26日
衆議院総務委員会第16号
平成28年5月12日
参議院総務委員会第13号
○参考人(宇賀克也君) 東京大学の宇賀と申します。
(略)
○参考人(山本隆一君) 本日は参考人として意見を述べさせていただく機会をいただき、ありがとうございます。
(略)
○参考人(清水勉君) 日本弁護士連合会情報問題対策委員会の委員の清水と申します。
お手元に意見のメモをお配りをしております。第一から三ページまでのところは日弁連の意見としまして、四ページ以下は私の個人的な意見です。断続しているわけではないんですけれども、日弁連の委員として来ているものですから、まず日弁連の見解というものを御説明した上で私の意見を述べさせていただきます。
日弁連といたしましては、個人情報保護の問題に関しましては、第三者機関によるチェックという仕組みが必要だということを住基ネットが施行された二〇〇二年の人権大会のときから提起をしておりまして、以後、事あるごとにこの第三者機関をということを申し上げてきました。
マイナンバー法の成立に関しましては、実は、反対はしておりましたけれども、当委員会としましては条文作りにつきましてもかなり意見を常々申し上げておりまして、その中でマイナンバーについては第三者機関を入れるべきではないかということを検討しまして、また各党にもお願いに回りまして御了解を得て、マイナンバー法の中には第三者機関が入るということになりました。その後さらに、今回新たにできました改正個人情報保護法の中では第三者機関、民間については全般的に及ぶというものになりました。
そういった意味では、日弁連が二〇〇二年に提案してきたことが民間の方に関しては実現をしてきたということが言えるというふうに考えています。
ですが、行政機関の方について見ますと、法案はまだ不十分ではないかということを考えております。ここでは、非識別加工情報の取扱いについてのみ個人情報保護委員会が官民を通じて一元的に所管をするということになっております。また、全ての行政機関、独立行政法人における個人情報の取扱い全般について、個人情報保護委員会が監視、監督する権限を与えるべきだというふうに考えております。
二番目に書きましたものは、これまで日弁連が独立性の強い第三者機関をということで提案をしてきたものの意見の紹介であります。
法案提出までの第三者機関に関する経緯としまして、三のところで説明をしております。
四のところですけれども、行政機関が保有するパーソナルデータの特質としまして、法令上の根拠に基づいて行政事務の遂行のために必要な範囲内で収集、保有をし、これには本人は選択の余地はありません。ここが民間と基本的に違うところでありまして、民間のところは、どこにそれを提供するかということ、考え方としては基本的に自由でありまして、一定もう出さないことによって契約ができないこともあれば、それでも構わないというようなこともありますけれども、行政の場合にはそういう選択は基本的にありません。また、病歴、収入、資産等のセンシティブ情報があり、プライバシー保護の必要性が高いということもありますし、民間と違いまして、行政の場合には個人情報の蓄積が非常に長期間のものであり、また全国的に組織的にということがあります。
ただ、ここで一つ注意しなければいけないのは、今回の法律の不十分性にも関連するんですが、個人情報がある行政組織はどこかといいますと、国の行政機関ではなくて、県ではなくて、市町村が一番多いということであります。したがいまして、市町村が持っている個人情報についてそれをどうするのかということを考えないと、それに対して、じゃ、県はどう関わるのか、国はどう関わるのかという関係性になるのでありまして、この法律の附則の四条を見ると自治体の方まで考慮していることは分かるんですけれども、これがトップダウン方式になっておりまして、むしろボトムアップ的に考えていくべきではないかというふうに考えます。
行政機関における違法、不当な取扱い例としましてここに幾つか例を挙げましたけれども、防衛省における情報公開請求者リスト事件がありましたし、また、自衛隊情報保全隊による情報収集活動の問題もありまして、これは仙台地裁、仙台高裁で一部違法という判決を得ています。それから、警視庁公安部のテロ捜査資料の流出事件でも、これも東京地裁で違法という判断が一部ではありますがなされています。また、有名なものとしては、日本年金機構からの大量漏えい事件というものが二〇一五年に起こっています。
総務省の研究会では、今回いただいた資料の中にも出ていますけれども、第三者機関にさせることについてはワークしないんだという言葉がキーワードのように使われておりますけれども、特定個人情報の取扱い、行政機関も個人情報保護委員会が監督をし、非識別加工情報、これも同様。では、個人情報全般について監督できないのはなぜか、ここには理由がないのではないかと。
むしろ、こういう穴の空け方というのは、情報をどこからを識別でき、どこからは識別できないかという判断も微妙な問題がありますし、これからますますいろんな形で個人情報というものを扱う場面が出てくると思います。そうしたときに、それぞれが自分の所管ではないというような考え方をしても困るわけでありまして、これは全般的に第三者機関というふうになっていかなければいけないのではないかというふうに考えます。ここにEUの十分性認定が受けられないことの原因が一つあるのではないかと思います。
それと、先ほど申し上げました、個人情報については、行政の現場では最も大量の個人情報があるのは市町村であるということであります。これは各自治体の条例で取り扱われるということになっておりますので、非常にそこは大きな問題です。全ての行政機関等の個人情報の取扱いにつき、個人情報保護委員会が監視、監督する制度にすべきであるというのが当委員会の考え、日弁連の考え方であります。
(略)
○委員長(山本博司君) ありがとうございました。
以上で参考人の方々の意見陳述は終わりました。
これより参考人に対する質疑を行います。
質疑のある方は順次御発言願います。
(略)
○石上俊雄君 民進党・新緑風会の石上俊雄でございます。
(略)
続きまして、済みません、じゃ、清水先生に御質問させていただきたいと思いますが、EUの先ほど十分性の認定といった話もちょっと資料の中に書いてありましたけれども、EUデータの保護指令による十分性の認定を我が国が申請して認定を受ける見込みについてどのような認識を持たれているかということについて、ちょっとお伺いしたいと思います。
二〇一八年から一般データ保護規則が導入されまして、各国ばらばらだった保護ルールが統一されるというふうな動きであるわけでありますが、先ほど先生がちょっとこの資料の中で御説明をいただいたように、アメリカの考え方とかとEUの考え方がちょっと全然違うところでありながら連携しているということもありますので、官民の執行機関の問題であるということを考えれば、百点満点を求める方向を追求していくのか、そういったところも含めて御示唆をいただけますでしょうか。
○参考人(清水勉君) この問題というのは、今この瞬間の正解というのが五年後の正解ではないわけですね。ですので、制度をつくるときどう考えるかというと、これからどういう方向へ進んでいくんだろうかということを考えて、じゃ、今どういう感じのものにしておくかということなんだろうと思うんですね。
そうしますと、日弁連でずっと第三者機関というふうに言っているのは、どうしても扱っている人というのは使いたくなってしまうし、あれもできるね、これもできるねってなるし、ほかの人がそれ使いたいんだけどっていうと、それはいいことだから使ってもいいよというふうになりがちなんですね。それがいい仕事であればなおさらのこと、そうしたくなるというのはあるわけですけれども、その中に、データ化してしまったときに善意だけで情報は管理されないという問題があるということであります。
そうしますと、やはり方向性としては、個人情報の扱いについて、そもそもその制度が制度的にプライバシーの侵害性が強烈でないかどうか、それに対してメリットの方が大きいかどうかというところを制度設計として考えていく、プライバシー・バイ・デザインですけれども。この考え方というのは、実は今回のマイナンバー法の中にもそれは取り入れられていますし、個人情報保護法の中にもその考え方は採用されてきているわけですけれども、これが国のところだけでいいという話ではなくて、市町村レベル、県レベルでも必要ですし、民間でも広く必要だ、その全体について第三者機関がチェックをする。
第三者機関は自分自身でその情報を扱う立場ではないというところに意味がありまして、世界の流れがどうなっているかということを踏まえながら、今のままだと恐らく半年後、一年後にはこういう問題が起こってしまうということも予測しながらチェックをしていくということを仕組みをつくる、ものをつくることによってこの十分性については十分対応できるのかなと。これは、その十分性は決してEUだけではなくて、アメリカとの関係でも十分対応できると思っています。
○石上俊雄君 ありがとうございました。
(略)
○吉良よし子君 日本共産党の吉良よし子です。
今日は、三人の参考人の皆様、貴重な御意見聞かせていただき、ありがとうございます。
それでは、早速ですが、質問に移らせていただきます。
先ほど来お話を聞いておりますと、やはり個人情報というのは一度流出してしまうと取り返しが付かない、そういった中で取扱いというのは相当慎重にしなければならないというお話があったかと思います。
とりわけ、清水参考人からは、行政機関が扱うがゆえに、長期間にわたって組織的に、そして選択の余地なく集められた情報が蓄積されている行政機関の扱う個人情報であるがゆえに、その扱いということがかなり問題になってくるというお話があったかと思います。
そこで、そのパーソナルデータを守る上で重要なのが第三者機関だというお話もありましたが、清水参考人はその中で、今回の本法案においてはその権限が非識別加工情報の取扱いのみとされている点についても極めて不十分であり、全般に監督すべきという点を強調されたかと思うんですけれども、具体的に、では第三者機関とはどのような形であるべきかという点お聞きしたいのと、同じ観点で第三者機関についてどうあるべきかという点、宇賀参考人、山本参考人にも伺いたいと思います。
○参考人(清水勉君) 先ほど来から何度も申し上げておりますように、法律がどこでも個人情報という枠で規定しちゃうものですから、その中で、差別の深刻性の問題、あるいはプライバシー侵害性の深刻なものと隔たって全然そうでもなさそうなものというものが全部一緒の言葉の中へ入ってしまっているために、どういうふうに保護すればいいのかというのが、条文を幾ら並べたところでそれが適正にできないという限界があります。
ですので、第三者機関が必要だということ、扱っている当人じゃない、しかも専門性の高い、独立性の強い、それが今現在ある個人情報保護委員会だというように認識しておりますけれども、ここで重要なのは、形として独立性の強いものをつくったから、専門性のあるものをつくったからいいというふうに安心してはいけないのでありまして、実際にそれが確保できているかどうか。
これは、そこのスタッフの人数が十分この制度に対応できるものになっているかどうか、またそれが、ここで働いている人たちの専門性、例えば二年、三年で職員がどんどん替わっていくというような組織だとすれば、ここの専門性はなくて、単にそこに行って帰ってくるだけの組織になってしまいます。
また、私たち日弁連でも個人情報保護委員会に委員を入れたことはあったんですけれども、結局、弁護士の月々の報酬に合わせてくれとかということではないんですけれども、一日一万円とかという金額ですと、とても十年ぐらいやっているような弁護士は絶対行けないのでありまして、大きな事務所の新人弁護士に行かせることができるかというくらいな状況になっています。
私どもの委員会の感覚からすると、せめて五年くらいは私どもの委員会で専門性を身に付けた者、弁護士がそこの事務局に入っていくというようなことが何人かできるならば、現に情報公開審査会、個人情報保護審査会、国の方ですけれども、ここには弁護士が入ったりはしています、かなりベテランも入っていますけれども。それに比べると、こちらの方の第三者機関はかなり事務量も多いですし専門性も高いだけに、是非外部の弁護士なども入れるようなものになる必要があるかなと。
実際のところは、行政機関から、各省庁から来てくださる方はいい仕事をしてくださっていることは承知はしています。私自身もその委員会のスタッフ等とも付き合いがありますので分かっていますが、是非、役所の人たちだけが集まってくるものではなくて、それ以外、弁護士、弁護士以外でも専門性の高い方がいるのであればそのスタッフに入れるような、そういうものが必要かなというふうに思います。
○参考人(宇賀克也君) その独立した監督機関ですけれども、組織的に独立をしているということはこれは当然必要だと思いますけれども、今、清水参考人もおっしゃられたように、やはりそれだけでは不十分であって、その機関がまず十分な権限を有しているということ、これが必要ですし、また、実際にそこで働く委員、職員が十分な専門性を持っているということが必要であります。
この点について、EUの司法裁判所ではその独立性ということについて非常に高いレベルの水準を求めておりまして、やはりその専門性とかそういった面についても十分配慮しなければ真の独立した監督機関にはならないのではないかと考えております。
○参考人(山本隆一君) 独立性に関してはヨーロッパが特に強く求めていますけれども、多分、歴史的にEU等では、プライバシーというのは基本的には公権力が個人の情報を操作することに関する権利意識というのがあったように思います。したがって、公権力から独立していないとプライバシーコミッショナーとしての意味がないということで、多分十分性認定でかなり強く求めてくるんだろうと思います。それは私もそう感じております。
それから、医療の立場からいうと、やはりその第三者委員会の専門性がすごく気になっているところでありまして、これは英国のナショナル・ヘルス・サービスが自分たちのデータの利活用に関して審査をする機関を持っているんですけれども、その機関だけで職員が二千人を超えているんですね。そこで、もう様々な申請に対してEUの規律あるいはイギリスのデータ・プロテクション・アクトの規律等を照合してデータの利活用を説明ができる形で決めていくというふうなことをやって、それでもその申請処理に結構間に合わないというぐらいですから、今の我が国の個人情報保護委員会だと、やや専門性とその規模の点で少し心配があるというふうに言わざるを得ないんじゃないかなと思っています。
○吉良よし子君 ありがとうございました。
(略)
○又市征治君 社民党の又市征治でございます。
(略)
次に、個人情報保護委員会の役割、位置付けについて宇賀参考人、清水参考人にお伺いしたいと思うんですが、昨年の改正の個人情報保護法では、EU個人データ保護指令二十五条を非常に強く意識されてやられたと思うんですが、そこで民間部門の個人情報について一元的に監督する個人情報保護委員会が新設をされた。改正法では、保護委員会の、個人情報取扱事業者等が個人情報保護法の規定に違反した場合の違反行為を是正するための必要な措置をとるべき旨の勧告であるとか違反行為の中止などの措置命令が規定をされておりますけれども、しかし、この本法案では、改正個人情報保護法に規定する個人情報保護委員会による違反行為の中止その他違反を是正するための必要な措置をとるべきことが規定をされていないというふうに思うんですね。
これで果たして個人情報保護委員会がEUなどの考える第三者委員会とみなされるのかどうか。また、そういったものを離れて考えた場合、この措置命令すら規定されることがなくて本当に個人情報の保護が可能なのかどうか。この二点について、お二方からお伺いしたいと思います。
○参考人(宇賀克也君) 今回の法案におきまして、行政機関等の非識別加工情報につきまして個人情報保護委員会が一元的に監視、監督することになったわけですけれども、基本的な考え方としては、昨年の個人情報保護法改正で個人情報保護委員会が個人情報取扱事業者に対して持つ権限を与えると、これが基本的な考え方であったと思います。
ただ、対象が国の行政機関の場合、個人情報保護委員会もまたこれ内閣府の外局の委員会でございますので、行政組織法的に見ますと、その監督の、監視の対象になる行政機関と組織的には対等なわけでございますので、そこの特殊性を配慮して命令という制度にはしなかったということと、それから、民間の場合には立入検査となっております、ここをやはり行政機関であるということから実地調査というふうにしておりまして、これは公文書管理法なども同じ仕組みを取っております。
そのように、個人情報保護委員会が他の監視される行政委員会と組織的に対等ということを考慮して、そこの特殊性を反映した形での整理になっておりますけれども、基本的には民間の個人情報取扱事業者に対するものと同じようにしようというのが基本的な考え方であったというふうに理解しております。
○参考人(清水勉君) 第三者機関も問題なんですけれども、第三者機関が行政機関との対話ができるかどうかが問題なんですね。
つまり、命令ができるかどうかではなくて、ただ、立入調査をやりヒアリングをやったときに行政機関の方がそうですねって理解してくれるような関係性ができていさえすれば命令は必要ないわけですが、これまでの日本の行政機関では各省庁が完全縦割りになっておりまして、それぞれの省庁がどういう情報の管理の仕方をしているかというのはばらばらですね。その証左に、情報公開請求を同じ項目でやっても回答ばらばらです。私は、宇賀先生と同じで、秘密保護法の関係で情報保全諮問会議のメンバーをやっていますけれども、そこで事務局と話をしていても、各省庁の情報の管理のばらつきがあるということについては間接的にいろいろと伺っています。
まず、だから各省庁の情報の管理の在り方を平準化するということが必要で、そのためには各省庁とも情報の管理の重要性というものをちゃんと位置付けていただいて、専門家が、専門の職員が情報管理をしていくというものが必要なんだと思います。そうしますと、第三者機関の方との会話が成り立ちますので、決して強制権力を行使しなくても運用はうまくいくのではないかというふうに私は思います。
○又市征治君 次の質問したら時間がオーバーしそうですから、ここで終わります。
ありがとうございました。
(略)
○委員長(山本博司君) 以上で参考人に対する質疑は終了いたしました。
参考人の方々には、長時間にわたり貴重な御意見をお述べいただきまして、誠にありがとうございました。委員会を代表いたしまして厚く御礼を申し上げます。(拍手)
平成28年5月19日
参議院総務委員会第14号
○井原巧君 おはようございます。自由民主党の井原でございます。
(略)
次に、個人情報での個人の権利利益の保護と有用性、先ほど両立の話がありましたが、その理念としては非常に理解もできました。対等ではなくて保護をまず優先しましょうと、ポジティブサムでやりますと、こういうふうな話でしたが、そこで、具体的に、今回、非識別加工情報を作成、提供するということになっておりますが、しっかりとその過程で個人の権利利益の保護に立脚して取り組むという仕組みとなっているかどうか、是非具体的な説明を古賀大臣政務官にお伺いしたいと思います。
○大臣政務官(古賀篤君) 今、井原委員御指摘ありました個人の権利利益の保護の観点でありますが、本法案におきましては、個人情報保護法と同様に、一定の基準に従って加工を行い、情報漏えい防止措置を講じる、あるいは提供を受けた民間事業者には識別行為の禁止義務が課せられる、また官民を通じて個人情報保護委員会が一元的に監視、監督をするといった措置を講じているところであります。
個人情報保護委員会は、個人の権利利益を保護するために、義務違反を行った事業者に対し勧告あるいは命令といった権限を行使し、さらに命令に従わなかった者には刑事罰を科すると、こういったことも設けているところであります。さらに、行政部門におきましては、行政機関非識別加工情報の対象となる個人情報を公表されている個人情報ファイル簿に掲載されているものに限定する、そしてその対象範囲をそういったことで適切に設定するということ、あるいは不適格な提案者を排除するといった規定も設けておりまして、個人の権利利益の保護に万全を期することとしているところであります。
○井原巧君 ありがとうございました。保護について非常に強化されていることに大変心強く思っております。
その中で、今お話ありました個人情報保護委員会についてお伺いしたいと思います。
今回の改正では、この非識別加工情報というんですけれども、今お話しいただきましたように、個人情報保護委員会が独立して監視、監督等を行うということになっております。
ただ、この委員会は既に、当委員会の所管でもありますけれども、マイナンバーの適正な取扱いの確保を図るための業務を担っている、そして先ほどの、行政機関じゃなくて民間の方の個人情報保護法も所管しておると。今回新たに行政機関等の今回の法案についての所管が増えて業務が増えるということを非常に懸念をしております。
例えば、その業務の中でも、今回の行政機関個人情報保護法、題名が長くて大変ですけれども、これの仕事が増えるだけで、ただ量が増えるだけじゃなくて、その加工基準というのは非常に今の時代難しいと思うんですね。インターネットとか広がって、今までは個人情報じゃないなと思っていても、様々なデータがインターネットで照合できたら本人を特定できるとか、非常に線引きが、昔よりは不安感があるので非常に明確に基準を作らなきゃならないと。そうなると、保護委員会の役目というのは、しっかりそれを守ってあげなきゃならないですから、保護の基準を明確にしなきゃならないし、その能力というのも非常に問われることになってくるというふうに思っているわけであります。
そういうことで、今の信頼される第三者機関である同委員会の体制整備というのは非常に最重要課題ではないのかなというふうに思っておりまして、お伺いいたしますのは、単純な業務の増加に加えて、今申し上げた非識別加工情報の加工基準に関する個人情報保護委員会の規則の策定とか、あるいは事業者の監督のためには専門性を有した人材の確保も必要と思いますが、現状の体制と今後どのように充実を図っていくのか、お伺いいたします。
○政府参考人(其田真理君) ただいま先生から御指摘をいただきましたように、個人情報保護委員会は、マイナンバーに関する監視、監督を行うとともに、改正個人情報保護法の全面施行に向けまして政令、規則等の策定、また全面施行後には事業者の監督を一元的に担うことになりますので、体制の整備は大変重要なテーマだというふうに認識をしております。
現状までの事務局の体制について申し上げますと、平成二十六年度末定員が三十二名でございましたけれども、平成二十七年度末が五十二名、今年度は七十八名と拡充してきていただいておりまして、現在はITの専門家、弁護士、相談員など外部から採用した職員等を含めまして九十名の体制になっております。また、七月以降は百名の体制になることを想定をしております。
また、今後の事務局の体制強化につきましても、引き続き、関係機関と御相談しながら、委員会として必要な体制の整備に努めてまいりたいと思います。
○井原巧君 ありがとうございます。これは、この強化は信頼の基なので、是非充実に努めていっていただきたいと思います。
次に、国際化に向けた今後の個人情報保護行政の課題について少しお話を申し上げたいと思います。
このパーソナルデータの利活用というのは、インターネットと同じように、インターネットももう瞬く間に国境を越えて世界中で利用されたということがありますけれども、このパーソナルデータの利活用も多分世界規模で今後利活用される方向に向かうんだろうというふうに思っております。逆に言うと、個人情報保護の体制に不安がある国だと漏えいするというおそれがありますから、当然他の国からは敬遠されて、その利活用の世界の輪には入れないということになってしまいますから、やはり世界標準という中に我が日本も入っていなきゃ駄目だなというふうに思います。
これまで我が国始め各国の個人情報保護の考え方は、お聞きしますと、一九八〇年九月二十三日にOECDの理事会で採択された、これはなかなか長くなるんですけれども、OECD八原則というものが採択されたそうで、収集制限、データ内容、目的明確化、利用制限、安全保護、公開、個人参加、責任という八原則が皆さんで確認されて、それに基づいてこれまで個人情報保護の取組が各国でされてきたというふうにお聞きしていますけれども、ところが、その後、一九九五年十月に、これもまた長いんですけれども、個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令という非常に長い言葉で、一般的にはEU個人データ保護指令というふうなものが制定されて、その二十五条の中に、加盟国による個人データの第三国への移転は、当該第三国が十分なレベルの保護措置を確保している場合に限って行うことができるという旨の規定がありますから、EUの方からここは十分だよと言われればデータの流通ができますけれども、駄目だよと言われたら不安があるからいただけないと、こういうことになるわけでありまして、前回の法整備後十年以上たっても我が日本はその十分性の認定をもらえていなかったと、こういう現状があって、今回のこの民間の方のも行政機関の方のも、改正はこのことを一つ視野に入れて恐らく改正されたものだと思いますし、その内容を見たら、かなり前進しているというふうに私も理解はいたしております。
なかなか受け取ってくれなかったその理由を調べると、一つは独立した第三者機関の設置がなかったじゃないかと、この辺のことが言われていたり、あるいは社会的差別につながるおそれのあるような要配慮個人情報ですね、配慮が必要な個人情報の規定がなかったり、あるいは開示請求権等の明確化による司法的救済の確保がなかったり、そういうものが整備されているかどうかということがEU側が受け入れるかどうかということであったというふうにお聞きいたしておりまして、今回それを見ると、ほぼそれが含まれているような法改正になっているというふうに思っております。
そこで、お伺いするわけですけれども、今回の改正はEU個人データ保護指令の十分性認定に向けた改正と評価いたしますけれども、まだ着手すべき課題もあるというふうに考えております。十分性認定の見込みと、あわせて、その課題と思われます、今回の法案では個人情報の取扱い部分については先ほど答弁もありましたけれども変更していないわけでありますが、より独立性を持ち、十分性認定を受ける上でも評価されると思われる行政機関等の個人情報の部分についても個人情報保護委員会が将来的には監督すべきと思いますが、その検討についての御所見をお伺いいたします。
○政府参考人(上村進君) お答えいたします。
まず、監督機関の方からちょっとお答えをさせていただきたいと思いますけれども、今回の改正案では、非識別加工情報が行政機関等から民間事業者に提供されるものでございまして、そういう意味で、国の行政部門と民間部門の監視、監督、これを同じ機関が行うことが合理的であろうということから、個人情報保護委員会にこの部分は一元化するということにしているわけでございます。
他方で、行政機関等における個人情報の取扱いにつきましては、今回の改正案では法律の基本的な構造は変更するということにはしておりませんので、現行の、そういう意味では監督体制は変更することとはしていないわけでございます。
一方、個人情報のこうした取扱いに関する監督体制につきましては、昨年の改正の個人情報保護法等、これの附則第十二条六項におきまして、個人情報の保護に関する法制、このいろいろな規定の集約、一体化等の在り方についてのこうした検討に関わるものであると考えております。その附則の十二条六項では、今後、今回の改正案の施行状況等も踏まえましてこうしたものを検討するということになってございますので、御指摘の監督体制の問題につきましても、これを踏まえて対応していくことになるんであろうと思っております。
それで、お尋ねのEUの十分性認定の見込みでございますけれども、この認定の基準というのはいまだ明確に示されているものは存在していないと承知しております。
私どもといたしましては、国際的なデータの流通が委員御指摘のように適切に確保される必要がございますので、EUと積極的に情報交換を行いまして、まずはこの互いの制度につきまして理解を深めていくことが必要であろうと認識をしているところでございます。
また、先ほども委員からも御指摘をいただきましたけれども、今回の法案では新たに要配慮個人情報の規定を設けるなどの対応を図ってございます。これは、一つにはEUの関心事項の一つであろうと推測される点でございまして、こうした点につきましては対応を図っているということでございます。
以上でございます。
○井原巧君 御答弁のとおり、ほぼほぼ多分十分性認定はいただけるのかなと私も思うんですけれども、今後更なる課題として、先ほどの個人情報保護委員会が行政機関等の個人情報の部分についても監督する方向で今後また検討を進めていただきたいと思います。
(略)
○石上俊雄君 おはようございます。民進党・新緑風会の石上俊雄でございます。
(略)
それでは、次の八の②に資料を付けさせていただきましたが、総務省の研究会の中間的な整理で、今回の行個法の所管の総務大臣や各運営、運用を行う行政機関の長の権限に対して、その情報提供の公益性判断に関する意見を具申というか、申し入れるとか、加工基準の策定に関する意見をしっかり言うとか、そういう機関を持つ、専門機関を検討すべきではないかという指摘があったというふうにお聞きするわけでありますけれども。
実際に統計法とかでは、匿名データを作成する場合、統計法の第三十五条の第二項によりまして、「あらかじめ、統計委員会の意見を聴かなければならない。」とあるわけでありますが、非識別加工情報の場合には、個人情報保護委員会の事前の意見聴取や同委員会の届出義務は、これまずあるのかどうか、こういったところもお聞きしたいと思いますし、民間部門の認定団体による指針決定におけるマルチステークホルダープロセスというのがあるわけでありますが、制度上何らかの形で加味されているのかというところ、そもそも行政機関には個人情報を加工提供する動機はないということや、昨今のIT技術の進展、経済社会情勢の変化は、急激に変化するということも考えると、専門機関を含めて客観的な機動的な、要は様々意見を入れ込むといったところが行政機関に与える制度上の仕組みは意義があるというふうに思うわけでありますが、そもそも専門機関をつくらなかった、じゃ、この辺はどういうふうに対応していったらいいのかということに対して、総務省のお考えをお聞きしたいと思います。
○政府参考人(上村進君) お答えをいたします。
三点御質問があったかと思いますが、まず最初の意見聴取等を行わないということなんですけれども、御指摘のとおり、今回の御提案におきましては、各行政機関等におきまして非識別加工情報を作成する場合、事前に意見聴取、個人情報保護委員会等の意見聴取を行うこととはしていないところでございます。
ただ、他方で、この一連の民間事業者から提案を受けて契約締結、作成するというプロセスにおきまして、例えば提案募集の段階、あるいは契約締結の段階、それから非識別加工情報の作成の段階、これはそれぞれ個人情報保護委員会規則等の定めるところによって行うということになっておりまして、行政機関がそういう意味では恣意的にこれを運営するというような可能性は排除されるということになっているものでございます。
それから、二つ目に、届出義務を課さないということについてでございます。
御指摘のとおり、個人情報保護委員会に今回の法案で非識別加工情報の作成の届出というのはないわけでございますが、別途、非識別加工情報を作成した場合は、元となる個人情報を含んでいる個人情報ファイルがございまして、そのファイル簿にこういう作成したという旨を記載するということになっております。これは総務大臣の通知、それから公表というものがございますので、ここで把握をしていただくことは可能でありますし、情報共有が可能であるというふうなことを思ってございます。
いずれにいたしましても、この情報というのは非常に安全なものということになってございますので、これは民間部門の方の匿名加工情報も同じであると承知をしておりますけれども、届出義務というものは課していないということでございます。
それから、三点目に、マルチステークホルダープロセスについての御質問でございます。
これも御指摘のとおり、今回、新たな制度ではいわゆるマルチステークホルダープロセスというものは組み込んでいないわけでございます。ただ、今回御提案の非識別加工情報の一連の運用を監視、監督する個人情報保護委員会、これのメンバーの方々は、個人情報の保護、利活用、それから消費者保護、情報処理技術などに知見を有する多様な分野からの専門家の方々で構成されているものと承知をしておりますので、こうした方々の専門的知見を活用した的確な制度運営が図られていくものであると考えております。
○石上俊雄君 ありがとうございます。
ちょっとこの辺が難しいので、しっかりやっていただきたいと思います。
(略)
○石上俊雄君 それでは次に、冒頭、井原先生からもEUの十分性認定に対する質問がございましたが、今回の行個法の改正案では、その第三者機関と総務省、各行政機関の関係についてEU十分性認定取得を念頭に様々な検討が行われたというふうにお聞きしているわけでありますが、改正案成立後には、このEU十分性の認定申請を行った場合、承認の見込みは、取れるというふうにお考えになられているのかどうなのかといったところをお聞きしたいというふうに思います。
さらには、先ほどの変則五角形という形を海外の人に説明するのもなかなかこれ難しいところがございまして、アメリカの、ちょっと、もわっ、ふわっとした形でセーフハーバーというのも作りながら対応しているところもあるわけでありますので、官民の執行機関問題で百点満点を目指すところまで突き進む必要があるのかどうか、このことについて個人情報保護委員会のお考えをお聞きしたいと思います。
○政府参考人(其田真理君) お答え申し上げます。
企業活動のグローバル化に伴いまして、個人情報を保護しつつ、その適正かつ円滑な流通を確保することが重要であるというふうに認識をしてございます。
委員御指摘のとおり、昨年九月に成立した個人情報保護法等の改正によりまして、独立した第三者機関の整備、機微情報に関する規定の整備、小規模取扱事業者に対しての法の適用、越境データについての制限、開示請求権の明確化など、EUを含めまして国際的な整合の取れる枠組みが構築されたものと認識をしてございます。
これを踏まえまして、当委員会といたしましても、国際的なデータの流通が適切に確保されるよう、米国やEU等各国と積極的に情報交換を行いまして、まずはお互いの制度について理解を深めてまいりたいと思います。
○石上俊雄君 いよいよ終わりに近づいてまいりました。
最後、資料の十二の②に個人情報保護委員会の定員についての質問を準備させていただいておりましたが、常勤ポストが五なんですね。しかし、指定分野が六つあるのにこれ五人でいいのかという質問をさせていただこうと思ったんですが、ちょっと余りにもあれなのでこれは飛ばさせていただきまして……(発言する者あり)あっ、そうですか。時間がないのでやめさせていただくということでございます。これ、六あるんですね。
最後になりますが、るる改正案について質問をさせていただいてきました。いろいろ、読めば読むほどいろいろ、ああ、もうちょっとこういうのがあればいいなとかと思うんですが、今後、政令や委員会規則、あと業界の指針その他運用ルールなど、今後の作業はまだ相当量残っているというふうなことが今の現状じゃないかなと、そういうふうに思います。
また、今回の改正案は、基本的に行政機関の匿名加工情報を民間が活用するといったところが前提に作られているわけですが、情報の流れというのは、官とか独法から民間だけではなくて、独法から官とか、官から独法、独法から独法とか、官から官へということもあり得るわけであります。実際この辺についてどうなのかといってお聞きすると、ちょっとここは検討していないということであります。
しかし、時代は猛烈なスピードで動いているわけでありまして、問題が顕在化してから動くのではなくて、是非、有識者研究会の早期再開など、最善、最適の対応を常時対応でお願いしたいなと、そういうふうに考えているところでございます。
そこで、高市総務大臣は、行政機関等に対する総合的な監督権限、現在の行個法における報告徴取及び意見陳述の権限、経験、ノウハウの集積もあるわけでございますので、法の所管大臣として不断の改革を行う決意をお伺いしたいと、そういうふうに思います。よろしくお願いします。
○国務大臣(高市早苗君) 石上委員におかれましては、本日、九十分にわたって質疑をされて、そしてもう本当にこの法律案について細かい点まで深く掘り下げて御質疑いただいたことを心から敬意を表し、また私どもも感謝を申し上げます。
そして、この法律案、成立をいただきましたならでございますが、まずは個人情報保護委員会としっかりと協力をしながら、この法案の施行に向けた準備についてしっかりと対応してまいります。
今委員がおっしゃっていただいたとおり、たくさんの準備がございます。その上で、やはり社会経済情勢の変化というものもございますから、この非識別加工情報の利用者、それからまた、国民の皆様のお声をしっかり聞きながら、本制度については不断の検討を加えて、より良いものとしていくというのはこれはもう政府として当然の責務だと考えておりますので、新しい制度の実施状況を見ながら対応を進めてまいります。
○石上俊雄君 ありがとうございました。よろしくお願いします。
以上で終わります。
(略)
○横山信一君 公明党の横山信一でございます。
(略)
午前中、井原委員からも石上委員からも質問が出ているところなんですが、私からも三度目の質問になりますけれども、EUの十分性認定についてであります。
ICTの普及は、クラウドサービスなど国境を越えた情報の流通が容易な状況を生み出しています。その一方で、国際的な調和の取れた自由な情報の流通、そしてまたパーソナルデータの保護という共通した考え方が求められているということにもなります。EUには、分野横断的なデータ保護指令があります。これは、EU加盟国にパーソナルデータ保護のための独立した監督機関の設置を義務付けているものでもあります。また、EU域内から第三国への個人データの移転は十分なレベルの保護措置を確保しているということが条件になっております。これは、独立した監督機関の存在と、それが効果的に機能していることというふうにされているわけでありますけれども、ここは大臣に伺いたいんですが、本法律案の整備によってEUとの調和を図ることができるのか、この点について伺います。
○国務大臣(高市早苗君) EUのデータ保護指令につきましては、これに代わるデータ保護規則が本年四月に成立しており、二〇一八年五月から加盟国に適用される予定だと伺っております。
EUデータ保護指令やデータ保護規則との調和ということになりますと、EUの十分性認定の取得との関係を念頭に置いた御指摘なんだろうと思うのですが、この十分性認定の具体的な基準については明確に示されたものは存在しないと承知しております。今後のEU側との十分性認定取得に向けた取組の中で明らかになっていくものだと考えます。
今回、法律案の中で新たに要配慮個人情報の規定というものを設けるといった対応、これがEUの関心事項であると推測される点でございまして、その中の一つでございます。先日、G7情報通信大臣会合がございました。その折に、日本、EU間の円滑なデータの流通や利活用に関しまして、我が国の制度ですとか取組につきまして理解が得られますように欧州委員会に働きかけを行いました。
今後も、様々な機会を捉えて説明に努めてまいりたいと存じます。
○横山信一君 分かりました。
(略)
○又市征治君 社民党の又市です。
(略)
○又市征治君 次に、先ほどの委員の質問ともダブってまいりますが、先日の参考人質疑の際にもお尋ねをした個人情報保護委員会の位置付けについてであります。
個人情報保護法の改正に当たっては、いわゆるEU個人データ保護指令第二十五条の規定に基づく十分性認定を得ることが大きな課題であったというふうに宇賀参考人は論文でも書いておられますし、答弁されました。その際、一番大きな課題が、当時個人情報保護のための独立した第三者機関が設置されていなかったことだと述べているわけです。そこで改正によって民間部門の個人情報を一元的に監督する個人情報保護委員会が設置をされたということですね。
今回の法改正においても、総務省の研究会が改正に向けた考え方をまとめていますが、それによりますと、個人情報保護委員会が行政機関の匿名加工情報の監督の任に当たることや行政機関等における匿名加工情報の取扱いに対する監督、監視についても委員会が併せて行うことが改正個人情報保護法の趣旨に一致すると、こういうふうにされています。
しかし、本法案では、改正個人情報保護法に規定する個人情報保護委員会による違反行為の中止であるとか、あるいはその他違反を是正するために必要な措置をとること、いわゆる措置命令などが当然規定をされていないわけですけれども、その理由は何なのか。これは第三者機関ということであるならば、そのことはできるんではないかと思うんですけれども、その理由をまず伺います。
また、これでEUの十分性認定を得ることができるのかどうか。この二点、伺っておきます。
○政府参考人(上村進君) 御指摘いただきましたとおり、個人情報保護法と違いまして、民間の方の個人情報保護法は委員会による措置命令が定められているところでございますけれども、今回御提案を申し上げております行政機関個人情報保護法では命令ということまでは定めていないわけでございます。これは、権限行使の対象がこの当該委員会と同じ行政機関でありますので、命令という強制的な権限はなじまないという判断から措置していないということでございます。
ただ、今回の改正では、従来この行政機関個人情報保護法で総務大臣が持っています権限に比べまして、実地調査という権限を導入する、あるいは法に基づく勧告という強力な権限を措置しておりまして、そういう意味では、行政機関に対する監視、監督に係る権能、権限というのは大幅に強化されたものだと考えております。
それで、EUの十分性認定の御質問でございますが、先ほど来御答弁申し上げている点もございますが、この十分性認定の条件というのは何かというのは必ずしも現段階で明らかにはなっていないというふうに承知をしておりますが、当方の制度の説明、それからEUの方の制度の御説明もいただきながら、双方の制度の理解を得ていく中でそうしたものについてもきちんとした対応を図っていくべきものであろうというふうに思っております。
○又市征治君 行政機関が行政機関に命令をすることはなじまないというのは、これ一般的にはそうなんですが、だとすれば第三者委員会に、先ほども申し上げましたけれども、すればいいわけであって、そういう措置が必要だろうと思いますよ。それぐらいのことをしなけりゃ個人情報の保護に力を入れていますとは言い切れない、言えないんじゃないのかということを申し上げておかなきゃならぬと思うんです。
様々まだいろんなことがありますが、限られた時間の中でありますし、そういう意味では、いろんな、どうしても、今申し上げてきたように、この法律は極めて拙速な、まだまだ詰めなきゃならぬ問題いろいろとある中で拙速に出されている。こういう点でいうならばこれは賛成し難いということを最後に申し上げて、私の今日の質疑を終わりたいと思います。
ありがとうございました。
○吉良よし子君 日本共産党の吉良よし子です。
(略)
やはり、その厳格な個人情報保護、先ほども安心の確保はするということをおっしゃっていたわけですけれども、ここで、第三者機関、個人情報保護委員会のことについて伺いたいと思うわけです。
先ほど来もありますとおり、参考人質疑でも、個人情報保護委員会、第三者機関の権限について様々議論されているわけですけれども、それについて不十分という意見も出されました。
本法案において個人情報保護委員会の管理下に入るのは行政機関等が作成、提供する非識別加工情報だけとなっておりますが、それはなぜなのか、お答えください。
○政府参考人(上村進君) お答えいたします。
今回の法改正でございますけれども、御提案している内容が、非識別加工情報を民間に御提供を申し上げる、これでパーソナルデータの利活用を進める枠組みをつくっていくということでございますので、この部分に関しましてどういう監督体制が最も適切なのかということを考えたわけでございます。
その検討におきまして、この運用というのは、いろいろな面で官民通じて利用される、あるいは有機的に結び付くという面がございますので、これは官と民、別々ではなくて同じ機関が行うことが合理的であろうという結論に至りましたので、今回の御提案を申し上げている改正案のうち、この非識別加工情報の取扱いに係る監視、監督は個人情報保護委員会が一元的に監視、監督を行うというのが適当であろうと考えて御提案に至っているものでございます。
他方で、その他の部分につきましては、現行法の取扱いの基本的な構造、これを変更するということにはなっていないものでございますから、そういう意味では現行の監督体制をこれを維持する、変更することはしていないと、こういうことでございます。
○吉良よし子君 ただ、昨年の個人情報保護法改正において、その民間部門が扱う個人情報については個人情報保護委員会が一元的に監督することとされた一方で、今回、この行政機関等が収集し保有している個人情報についてはそれぞれの省庁あるいは独立行政法人等が監督していて、それがまた非識別加工情報となれば今回個人情報保護委員会の監督下に置かれるというふうなことになっていくわけで、そういうのはいびつな権限配分ではないかというふうな指摘もあるわけですよ。
さらに、参考人質疑で清水参考人は、個人情報保護委員会が個人情報全般について監督できない理由はないんだとして、情報を、どこからを識別でき、どこからは識別できないかという判断は微妙な問題もあるし、また、それぞれの行政機関等が自分の所管ではないという考え方をしてもらっても困るということから、やはり全般的に第三者機関で監督をすべきではないかという指摘があったわけです。
やはり非識別情報のみならず、行政機関の扱う個人情報全般を個人情報保護委員会の監督下に置くべきではないかと私考えるのですが、大臣、いかがでしょうか。
○国務大臣(高市早苗君) 現行の法制では、行政機関が保有する個人情報につきましては、権力的、義務的に収集されるものが多いということなど、民間事業者が保有する個人情報とは性質が異なるということなどから民間部門とは別の法制となっていて、行政制度一般に関する基本的事項を所管する総務大臣が政府全体としての法運用の統一性、法適合性確保の観点から監督を行っています。
なお、個人情報保護法等改正法附則第十二条第六項におきまして「個人情報の保護に関する法制の在り方について検討する」という旨の規定がございますので、これは個人情報の取扱いに関する監督体制にも関わり得るものであります。ですから、同項に基づきまして、今後、改正法の施行状況などを踏まえて検討をしてまいりたいと思っております。
○吉良よし子君 民間とは性質が異なるとはいえ、元々は行政機関が保有していた個人情報を非識別加工したというところで個人情報保護委員会にということなわけですから、そういう意味では、もうそういう情報を加工するかどうかじゃなくて、やはりそれをどこまで加工したらいいのかとか、そういうことも含めて第三者機関の中できちんと適切に検討できるように、やはり全般的に対象にすべきだと私は思いますし、大臣、検討するということであれば、是非きちっとそこのところも含めて、権限の拡大、検討していただきたいと思うわけですよ。
やはり第三者機関が重要という意味合いでは、清水参考人だけではなく、ほかのお二人の参考人からも、政府からの独立、専門性の向上、体制の強化が必要との意見も出されておりました。そうした意味で、こうした個人情報保護委員会の権限そして体制の強化というのは、私、欠かせないと思うんです。
これは先ほど来も確認されていることでありますが、個人情報保護委員会にもう一度確認をいたします。
不十分とはいえ、非識別加工情報が個人情報保護委員会の監督下に置かれることで新たな業務の追加となる。その中で体制が強化されるのかという点と、また、今後もさらにそうした体制の強化や権限の拡大等々、やはり第三者委員会の扱うものというのは大きくなっていくべきと考えるわけですが、その点、いかがでしょうか。
○政府参考人(其田真理君) お答え申し上げます。
個人情報保護委員会は、マイナンバーに関する監視、監督を行うとともに、改正個人情報保護法の全面施行のための政令等の作成、また全面施行後は事業者の監督を一元的に行うことになりますことから、委員から御指摘いただきましたように、事務局の体制整備は極めて重要な課題と認識をしております。
現状までの事務局の体制について申し上げますと、平成二十六年度末定員が三十二名でございましたが、二十七年度末は五十二名、今年度は七十八名と拡充してきておりまして、現在は、ITの専門家、弁護士、相談員など外部から採用した非常勤職員等を含めますと約九十名の体制になっております。七月以降は約百名の体制を予定しております。
また、今後の体制につきましても、引き続き、関係機関と御相談しながら、委員会として必要な体制の整備に努めてまいりたいと思います。
また、権限の強化につきましては、委員会といたしましては、与えられた権限を中立的かつ公正に執行する独立した機関として、法律で与えられた任務を達成できるよう全力で取り組んでまいりたいと思います。
○吉良よし子君 体制の強化重要だというお話もあって、その方向でということですので、是非権限も含めて拡大していっていただきたいと思うわけですし、改めて、大臣もおっしゃったように、総務省の検討会の中間的整理においても、将来的には第三者機関への一元化はあるとの意見があることや、国際的整合性の問題などを踏まえて更なる改善点があれば見直しが行われる可能性があり得るとされているわけですから、先ほど来申し上げていますとおり、非識別情報のみならず、行政機関の扱う個人情報全般を個人情報保護委員会の監督下に置くことを是非検討していただきたいということを重ねて申し上げた上で、もう幾つか続けて伺いたいんですが、やはり今回の改正で不十分な点というのはまだまだあると思うわけです。
(略)
○委員長(山本博司君) 他に御発言もないようですから、質疑は終局したものと認めます。
(略)
これより採決に入ります。
行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案に賛成の方の挙手を願います。
〔賛成者挙手〕
○委員長(山本博司君) 多数と認めます。よって、本案は多数をもって原案どおり可決すべきものと決定いたしました。
(略)