行政機関個人情報保護法等改正の国会審議 第190回国会会議録から抜粋
(安全確保措置)

平成28年4月5日

衆議院総務委員会第11号



平成28年4月19日

衆議院総務委員会第14号


○菅家委員 自由民主党の菅家一郎でございます。(略)


(略)


○菅家委員 先ほど大臣から御答弁があった中で、提案がなされた場合に、個人情報を適正に加工して非識別加工情報として提供するわけでありますけれども、この非識別加工情報を外部へ委託されるという答弁がありましたが、これは確認なんですけれども、外部へ業務委託ということを考えていらっしゃるのかどうかの確認です


○上村政府参考人 お答えいたします。


この行政機関非識別加工情報の作成には専門的、技術的な能力が求められることや、また行政機関等におきます人員の制約等を考慮いたしますと、作成業務を外部に委託する、こういうことを可能にしておく必要はあると思います。


このため、非識別加工情報の作成等に関しましては、外部への委託を想定いたしまして、本法案第四十四条の十第二項におきまして、委託先に対しましても、行政機関と同様に、個人情報保護委員会で定める基準に従い適正に加工する義務、これを課すこととしているところでございます。


○菅家委員 ある意味では、提案がなされて、それを加工する業務に当たって、基本的には庁内を基本として作業が行われるわけですが、場合によっては外部に委託されるというのも現実的には考えられることだ、このように認識をするわけです。


ただ、外部に業務委託した場合、先ほどセキュリティー、これがやはりしっかりとしていくべきだ。つまり、加工する前の個人情報、これらが例えば情報漏えいするわけにはいきませんし、また、内部不正、不正提供や不当な目的での利用などの不正行為の未然防止が重要だ、このように実は考えているわけでありますので、例えば、一人に集中、依存するのを避けて、必ず複数で対応するなどの不正防止マニュアル等を整備し、不正が起こらないように対応すべき、このように考えますが、お考えをお示しいただきたいと思います。


○上村政府参考人 お答え申し上げます。


御指摘の情報の漏えい防止に関しましては、本法案第四十四条の十五第二項におきまして、委託先につきましても、非識別加工情報等の取り扱いに関して、行政機関と同様の安全確保のための必要な措置を講ずる義務、これを課すこととしております。また、四十四条の十六におきまして、委託先の従事者に対しましても、行政機関の職員と同様に、非識別加工情報の不正提供や不当な目的での取り扱い、これを禁止することとしております。


政府といたしましては、これらの規律の遵守の徹底を図り、委託時に情報漏えいや不正利用が生まれないように、より詳細な、御指摘の不正防止マニュアル、こうしたものの整備も含めまして、十分な対応策を検討してまいりたいと考えております。


○菅家委員 外部からハッカーとかそういった、攻撃されて漏えいするということを未然に防止するということと、やはり内部ですね、「ジュラシック・パーク」などもスタッフが不正行為でああいう状況になったという、あれも非常にショッキングだったんですけれども、そういったことのないような不正防止マニュアルをしっかり作成すべきだと思うんです。


各省庁内での非識別加工情報への加工業務も、同じように不正防止対策に力を入れるべきだと思いますが、どうでしょうか。お考えを示していただきたいと思います。


○上村政府参考人 まさにおっしゃるとおりであろうと考えております。


ただいまお答えいたしました受託事業者に係ります各種の規律というのは、当然行政機関みずからにも適用されるものでございます


もちろん、委託先はもとより、同じ四十四条の十五の第一項でございますが、行政機関につきましても、漏えい防止のために安全確保の義務を課すことにしてございます。また、やはり四十四条の十六、これは、行政機関の職員に対しまして、非識別加工情報の不正提供、それから不当な目的での取り扱いを禁止することといたしております。


外部委託の場合はもとより、行政機関みずからが非識別加工情報を取り扱うに当たりましても、これらの規律の遵守の徹底を図り、情報漏えいや情報の不正利用が生じませんように、御指摘いただきましたマニュアル等の整備も含め、十分な対応策を検討してまいりたい、このように考えております。


(略)


○濱村委員 公明党の濱村進でございます。(略)


(略)


基本的には、もともと、民間で匿名加工情報、ビッグデータとして情報の利活用のためにこういう規定を置いたということでございますが、一方で、行政機関においても利活用できる可能性については非常に高まっていくのではないかということだと思います。ここはしっかりと期待してもいい部分なのかなというふうに思いますので、この行政機関の個人情報保護法の改正、絶対まず進めていくべきだと私は思っているわけでございます。


今、実は、必要性については確認できたというふうに思うわけでございますが、許容性について確認したいと思うわけでございます。


民間並びで考えますと、非常に規制が緩いんじゃないんですかというような御懸念もあるわけでございまして、そういった御指摘についてはどう応えていけるのか。行政機関の職員が、業務上の必要性、そしてまたそういった業務外の利用についてどこまでどう照合できるのか、あるいは照合できないのか、こうしたところについてもしっかりと規定しておかなければいけないと思いますが、いかがでございましょうか。


○上村政府参考人 お答えいたします。


御指摘の点につきましては、本法案第四十四条の十六におきまして、行政機関非識別加工情報等につきまして、その取り扱いに従事する行政機関の職員等に対し、その業務に関して知り得た行政機関非識別加工情報等について、不当な目的で利用してはならない、こういうことを定めております


行政機関の職員が、今委員が御指摘になりましたように、業務上の必要性と関係なく照合することがあるといたしますと、今申し上げました条項の行政機関非識別加工情報を不当な目的に利用する、これに該当するということでございますので、本規定によりましてそのような行為は明確に禁止をされている、こういうことになります。


○濱村委員 ありがとうございます。


四十四条の十六、「業務に関して知り得た行政機関非識別加工情報等の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。」ということでございます。


この「利用」というところでございますが、照合というものは利用の一形態であるというふうに理解されるものでありますので、そういった観点からも、業務に関係なく不当な目的で照合されるということは一切ないということでございます。そうした意味でも、この法改正、非常に大事なことをやっているというふうに私は思いますし、そしてまた、今後、運用が非常に大事になってくるかと思います。


個人情報保護委員会の委員会規則、ここにおいて定められる基準というのは大変重要になってまいります。基準については、しかるべき手続を踏んで速やかに公開され、周知されることを期待するわけでございますが、政府におかれましても、そのための準備をぜひ行っていただきたいというふうに思う次第でございます。


(略)


○梅村委員 日本共産党の梅村さえこです。


(略)


さて、質問に入らせていただきますが、今回、個人情報保護法を議論していくに当たって、まず、国の管理、取り扱いがそもそも適正に行われているか、これが重大な問題だと思います。


昨年、不正アクセスが原因とはいえ、年金機構で百二十五万件の重大な個人情報流出事案が起こりました。まだ一年もたっておりません。全貌も明らかになっておりません。


そこで、大臣にお伺いしますが、二〇一四年、二〇一五年に、個人情報に関する不適正管理、漏えいや不正流出が起こっている件数、その内容はどのようになっているのか、そして、そうした事案の中で、年金流出も含め、国民の不安の声をどう感じておられるのか、お答えいただきたいと思います。


○高市国務大臣 二〇一四年、二〇一五年ということでしたが、二〇一五年については、ちょっとまだ数字を申し上げるのは難しゅうございます。


二〇一四年、平成二十六年度の施行状況調査によりますと、行政機関及び独立行政法人等が保有する個人情報の漏えい等事案については、行政機関が五百三件、独立行政法人などが五百七十二件でございます。その多くは漏えいに係る個人の数が比較的少数であり、また、行政機関、独立行政法人等ともに、近年は漸減傾向にございます。


発生形態につきましては、行政機関及び独立行政法人等ともに、誤送付、誤送信が件数の約二割を占めていて最も多く、次いで紛失が多くなっております。


個人情報の取り扱いに当たりましては、行政の適正かつ円滑な運営を図りながら、個人の権利利益を保護するということが重要です。


昨年の日本年金機構における大量流出事案が生じたことを踏まえまして、行政機関、独立行政法人などが保有する個人情報の適切な管理のための措置に関する方針を改正しました。安全確保措置の徹底を各機関に要請してきておりまして、国民の皆様に安心していただける取り扱いになるように、引き続き努力を続けてまいります。


○梅村委員 今御紹介いただきました数字、配付資料の一にもありますが、九百十六件。ネット上の流出は、九件から十七件ということで、ふえたりしてきております。


今御答弁いただきましたように、こうした不安を取り除くこと、これが今、政府には求められているというふうに思います。にもかかわらず、今回の法案では、こうした行政機関が保有する情報について、非識別加工情報にして民間の事業者に提供する、とりわけ、本人の同意を得ることなく個人情報が第三者に提供されるというものであり、個人情報保護という点でリスクも生まれる、大変重大な内容であると思います。


(略)


平成28年4月19日

衆議院総務委員会第14号(参考人質疑)


○田村(貴)委員 日本共産党の田村貴昭です。


(略)


○田村(貴)委員 それでは、坂本参考人、もう一つお伺いします。


今回の法案では、民間事業者が利活用するために、個人情報の非識別化を行うとしています。


日弁連の意見書では、匿名加工情報が再識別化のリスクにさらされているとしていますけれども、この再識別化というのはどういうことなんでしょうか


○坂本参考人 非識別加工というのは、そもそも、データベースの中から名前とか住所とか、その人と結びつけるような情報を全部削除するとか、いろいろな技術を使って一体これが誰のデータかわからないようにする、こういうことなのですけれども、それを一旦外に出してしまうと、外に出ていった先で、また、出回っているいろいろなデータベースと照合することによって、これは誰のかわかっちゃう、こういうことが起こり得るというふうに思うのです。技術的にはそういうことは十分可能とされていて、数学的な措置を施して、これとこれは同じだとかいうのを証明していくらしいんです。


これが、もちろん、先ほど鈴木先生の方からもありましたけれども、出していった先で再識別禁止という条文が直接適用されるかどうかに疑義がある上に仮にだめと言っても、やる人はいますよね。特に犯罪者集団とかは違法覚悟でやるところもあります。


そういうことに使われる危険性は十分あろうかと思いますので、行政機関が保有するパーソナルデータをこういう形で民間に出すというのはそういう犯罪者集団によって利用されることも含めて幾ら法律が再識別化禁止と言ったとしても再識別化してしまうような人たちも世の中にはいっぱいいるという前提で枠組みがつくられるべきであろうというふうに思います。


(略)


平成28年4月21日

衆議院総務委員会第15号


○梅村委員 日本共産党の梅村さえこです。


(略)


さらに、非識別加工情報をめぐってちょっとお伺いしたいというふうに思います。


行政の機関内では個人情報として取り扱われるが、非識別加工を施した情報は、個人情報ではない、安全な情報として民間事業者に提供されるという点もやはり深められなければいけないというふうに思います。


だから提供可能との説明ですけれども、そもそもこの点では、個人情報保護に基づき匿名加工情報として照合できない情報として扱われるというふうに思いますけれども、裏を返せば、照合すれば大変危険であるということを法案そのものがおっしゃっている


照合を特別な措置として禁止する契約を事業者にするということだというふうに思いますけれども、もしそれを守らなかった事業者が出たらどうするのか。また、やはり最初から危険性を前提とした法案になっているのではないか。その点はいかがでしょうか。


○上村政府参考人 基本的には、非識別加工情報、民間事業者に渡れば匿名加工情報というふうになりますが他の情報と照合をして識別ができないように、そういう加工をするということではございますけれども、いろいろな現在の情報処理技術の進展とか、そういうのを考え合わせますと、全くこれがどんな手段を用いても復元ないし照合が不可能であるということまでは言えないということでございます。


そこを担保するためと申しましょうか、照合禁止義務をかけている、こういうふうに理解しておりまして、基本的には安全なものでありますが、念のためこういう規制をかけて、そこを担保しているというふうに御理解をいただければと思います。


○梅村委員 安全なものだけれども念のため担保してということも、やはりここもなかなか、個人情報の保護という点では十分理解されるんだろうかという点だというふうに思います。


実は昨年六月の参議院の内閣委員会で、私たち日本共産党の山下芳生参議院議員が、個人情報とマイナンバーをめぐって、四つのリスクという問題を提案させていただきました。


一つは、一〇〇%情報漏えいを防ぐ完全なシステム構築は不可能ではないか。二番目が、意図的に情報を盗み、売る人間がいる。三番目に、一度漏れた情報は流通、売買され、取り返しがつかなくなる。四番目は、情報は集積されるほど利用価値が高まり、攻撃されやすくなる。こういう提案をさせていただいて、政府などもこれを認めるような、論戦の中で、いろいろ御議論させていただいた経過があるというふうに思います。


まさにこの四つのリスクということを踏まえた場合に、照合を禁止する契約をするでは、余りにも危機意識がどうなのか、対策となっていないような気もいたしますけれども、その点、いかがでしょうか。


○上村政府参考人 安全性ということでございますけれども、先ほどお答えしたとおりであるのですが、通常の技法、技術におきましては、これは識別はできないというものでございますので、繰り返しになりますが、これは基本的には、安全なものとして取り扱っていただけるというものだと思っております。


それから、どういう表現をしたらよろしいのか、悪意がある、あるいは意図を持ってそれを復元する、識別をしようとする者に対する対策ということでございますが、基本的には、私どもの今御提案している法案では、まず一つには、これは何度も御説明をしておりますけれども、提案者の欠格条項というものを定めております


過去、この法律の違反があった方あるいは刑罰を受けた方、その他いろいろございますが、そうした者をまず一次的には欠格条項として提案者から排除をする。その上で、これまた何回か答弁はさせていただいたところでございますが、利用目的、それから安全管理体制、その他いろいろ、契約を結ぶに当たりまして、提案の審査をさせていただくということになっております。


先ほど大臣からも答弁がありましたように、事業の計画書でありますとか、どのようにイノベーションに結びつくのか、これを審査した上でお渡しするということでございまして、そういう意味では、当然のことながら、興味本位の利用でありますとか、場合によっては反社会的な利用というのは、もう当然、審査の過程ではねられるということになります。


その上で、さらに契約内容におきまして、適切な使用、あるいは不正な使用をした場合の措置等々を盛り込むことがこれから考えられるわけでございまして、こうした手だてを通じて、私どもの法律の方では、そういう意図ある方への対策ということを考えているところでございます。


それから、これも繰り返しになりますが、一旦、民間に出たこの情報は、個人情報保護法の匿名加工情報として個人情報保護委員会の監督を受けることになります。こちらの委員会は、これも御承知のとおりでございますが、資料、説明の聴取、それから立入調査、勧告、命令、命令違反の罰則までかかっております。


そうした、いわば二重、官民からの監督、監視という措置がかかっているものだと思っております。


それから、一度出てしまった情報というのは、これは情報の性質上、そうなんでございますが、基本的に、私どもの今御提案している法案では、契約を結んで、お渡しをし、手数料をいただき、目的を審査し、欠格条項を見てということでございますので、基本的に、その契約いただいた相手、提案事業者にのみ使っていただくさらにそこからどこかほかへ出ていくということは極めて例外的な、しかも、事前に中身をお聞きして、契約条項にそれを盛り込むというふうにしてございます


したがいまして、転々流通するということは当然のことながら考えていない、こういう仕組みにさせていただいているということでございます。


○梅村委員 四つのリスクということで御紹介させていただきましたけれども、その点、やはり非常に危機意識がいかがなのかなというふうに思わざるを得ません。


そして、今御答弁がありましたけれども、今回の法案に基づいては、かなり各省庁が今後行う仕事が、しかも、個人情報をめぐって重たい仕事が課せられていくというふうに、今の御答弁でも改めて思いました。


事前のレクチャーでは、いわゆる提案してもらったのを認定していく作業も含めて、ふだんの行政運営に支障が生じないことを前提にしていくというふうになっていますけれども、ふだんでも各省庁の皆さん、忙しく、さまざまお仕事をされているというふうに思うんです。


本当に、国民の公的データを、一旦漏れてしまったら重大な人権侵害にもなるというような重い仕事を現在の体制の中でやっていく、そういう担保があるのかどうか。また、そういうことができるのかどうか。苦情の処理なんかも行っていくということもお仕事の一つとなっておりますね。本当にやっていけるものなんでしょうか。


○上村政府参考人 今回、この法案を御成立いただきましたら、これも繰り返しになりますけれども、法律の目的であります新産業の創出、活力ある経済社会、それから豊かな国民生活の実現、こういう大きな目的に向かった政策として実施していくものでございますので、そこは、各省庁いろいろ、おっしゃるように人員その他の資源の制約はございますけれどもこれは全力を尽くして取り組んでいくということになる、当然そういうことになるものだと考えております。


付言をいたしますれば、私どもの所管している法律でも、情報公開、それから行政不服審査、あるいは個人情報保護に関するいろいろなお申し立てもございますそれは、一々、そういう言い方もあれではございますけれども、労力、時間、経費もかかる作業をやっているわけでございます。それは、私どもの通常の業務をやっていく中で真摯に対応しているつもりでございますので、そうした姿勢あるいはやり方というのはこの法律においても同じでございますので、そこは変わることがないのであろうと思っております。


○梅村委員 そうしますと、今までと比べて、今度の法案に基づくリスクというようなものはそんなに高くないという御認識ですか。リスクはやはり高くなっていくという御認識なんでしょうか。


○上村政府参考人 リスクが高くなるかという御質問でございますか。ちょっと済みません、よく御質問の御趣旨があれでございましたけれども、こういうことをやることによりまして行政の扱ういろいろなリスクが高くなるか、こういう御質問でございましょうか。


済みません、ちょっと申しわけございません、よく御趣旨を理解しておりませんでしたので、もしよろしければもう一度お願いをできますでしょうか


○梅村委員 今までにはない、公的データを民間に提供していくという、新しい、今までやったことがないことに今後踏み出そうとしているわけですよね。ですから、個人情報をめぐって、やはり今回の措置によって、今まで聞いていると、大丈夫だ、安全だ、そういう感じの御答弁が多いわけです。しかし、新しい分野に今後踏み出そうとしているわけですから、そのもとで新たなリスクが生まれるという認識はないのですかということを確認させていただきたかったんです。


○上村政府参考人 質問の御趣旨をちょっと正確に理解しているかあれでございますけれども、二つのことをおっしゃっているのかなと。全く新しい分野に乗り出すことによるいろいろな情報処理上のリスクそれから事務運営上のリスクということかと思います。


二つあわせてお答えするならば、まず、先ほどからもお答えしていますように、提案対象となる個人情報の範囲、これは限定をするわけでございます。したがいまして、そこが個人情報保護法の規定それから情報公開法の条件と完全に一致するわけではございませんが非常に機微な情報それから秘匿性の高い情報というのが全て加工されるというわけではございませんそこはある程度のスクリーニングがかかる


それから、これも繰り返しになりますけれども、どんな方でも提案できるというわけではございません。それは、欠格条項、プラス、しっかりしたビジネスプランをお持ちの提案者の方に提案をしていただくということでございます。


そういう意味では、まず、情報の性質、それから、これはもうるるここで繰り返しませんけれども、各種講じておる安全管理措置、それからそういった情報の対象となる情報の範囲の質的、量的な制約、あるいはそのビジネスプランを具体的に提出いただける方といいますか、企業の方がどのぐらいのものであるかというものを総合的に予測しませんと一概には言えませんけれども、当然、私どもとしては、通常の業務をこなしつつも、これはやっていかなくてはならない仕事でございますしそのリスクにつきましては、今申し上げたようなことで十分対処ができる、当然そういうことの前提のもとに御提案をしている、こういう法案でございます。


○梅村委員 そうしますと、国民にとってはやはり今までにないリスクは考えられる、しかし、十分な体制をとっていきたいという御答弁だったというふうに思います。


しかし、今回の法案を見ておりますと、そこら辺が、十分体制としてもやっていけるのか、後で第三者委員会の問題も触れさせていただきますけれども、その体制も含めて、やはり非常に不安が多く残る分野だというふうに思うわけなんですね。


次に移りたいというふうに思います。


(略)


○吉川(元)委員 社会民主党の吉川元です。


(略)


ちょっと関連してお伺いしたいんですけれども、いわゆる加工が不適当といいますか、今の二条九項三号の規定によって、これはだめですよ、できませんよというその認定というのはどなたが行うものなんでしょうか所管する行政機関の長なのか、それとも個人情報保護委員会が判断をするのか、この点についてはいかがでしょうか。


○上村政府参考人 それは行政機関の長になります。


○吉川(元)委員 では、その判断が適正なものなのかどうなのかというのは、長が判断をして、これはだめだということでその判断をされるわけですけれども、それについて、いや、そんなことはないでしょうということ、異議申し立てといいますか、そういうことはできるのか、また、できるとすれば、それは誰にすればよろしいんでしょうか


○上村政府参考人 一つは、各行政機関におきまして非識別加工情報の取り扱いに関する苦情の体制を整備することにしておりますので、そこに申し出ていただくということはあると思います。


それから、もう委員も御指摘になりました個人情報保護委員会でございますが、これは成立をいただきましたら、各行政機関におきます非識別加工情報の取り扱いの施行状況、この報告徴収その他をすることになってございます。そういう方面からのチェックあるいは指導というのも考えられると思っております。


(略)


次に、加工作業の業務委託ということですけれども、四十四条の十の一項、二項において、個人情報保護委員会の規則でその基準というのが定められるというふうになっております。読みますと、情報加工を委託できるというふうにも書かれております。


外部委託、生データを渡すわけですから、漏れると大変なことになるわけで、具体的には情報加工の委託を請け負う事業者について何らかの基準を設けているのか。また、具体的にはどのような事業者を想定しているのか


それから、全ての情報について非識別加工情報にするわけではないと思いますけれども、膨大な、行政機関で六万四千、独法で一万五千の個人情報ファイルが存在しますから、進んでいくと外部委託のケースが多くなるのではないかと思いますけれども、この点についてどのように考えているのか。


○上村政府参考人 個人情報の取り扱いに係る業務を外部に委託する場合でございますが、既に現行制度のもとで、個人情報そのものの委託に関しまして、行政機関の保有する個人情報の適切な管理のための措置に関する指針という指針を定めております


この中で幾つか要件を定めておりますが、主なものといたしましては、個人情報の適切な管理を行う能力を有しない者を委託業者に選定することがないよう必要な措置を講ずること、あるいは、契約書に秘密保持義務、複製制限、情報漏えい時の措置等を明記すること、それから、委託する個人情報の内容等に応じまして個人情報の管理状況につきまして年一回以上定期検査等により確認することなどとしているところでございます。


今回の行政機関非識別加工情報の加工に係る委託につきましても、この指針などを踏まえまして、問題が生じないように対処してまいりたいと思っております。


それから、もう一つの御質問で、具体的にどの程度の作業が業務委託されるかという点につきましては、法が成立しておりませんので一概にお答えすることが難しいところでございます。今後、提案に係る情報のデータの量、情報項目それから加工方法などを踏まえて適切に判断されることになると考えられております。


○吉川(元)委員 例えば今回の件でいうと、オプトアウトも含めて本人の関与が必要ではないか、なぜ関与がないのか、あるいは、個人情報保護委員会の関与が民間と行政でかなり差があるというようなことも質問したかったんですけれども、時間がありませんので、最後に大臣に二点ほどお尋ねしたいと思います。


(略)


平成28年4月26日

衆議院総務委員会第16号



平成28年5月12日

参議院総務委員会第13号



平成28年5月19日

参議院総務委員会第14号


○横山信一君 公明党の横山信一でございます。


(略)


午前中、井原委員からも質問があった部分でもあるんですが、再度お聞かせいただきたいんですけれども、パーソナルデータの利活用においては、常にその流出あるいは不正利用について考慮する必要があるのは当然です。特に、今回の法案によって、利活用されるのは行政機関等が国民から様々な行政活動を経て収集したデータでありますので、不正利用が行われた際には国民が行政に対して大きな不信感を抱くことになりかねません。そういう意味では、保護体制を整えることは大事であります。


一方で、そうした不正利用が発覚した場合どうしていくのか。まず、その非識別加工情報を利用する事業者の不正利用を防ぐための手だてについて伺います。


○大臣政務官(古賀篤君) 委員の御指摘ごもっともでございまして、大変その点重要だというふうに考えております。


民間事業者による不正利用によって個人の権利利益の保護が侵害されることを防止するために、本法案におきましても個人情報保護法と同様に措置を講じているところでございます。


具体的には、各行政機関において一定の基準に従って加工を行い、情報漏えい防止措置を講ずることで不正利用を未然に防止するということ、それから、提供を受けた民間の事業者には識別行為の禁止義務が課されるということ、そして、官民を通じて個人情報保護委員会が一元的に監視、監督をすることといった措置を講じるとしているところであります。そして、個人情報保護委員会は、例えば、苦情の受付や情報提供を通じてこうした義務違反行為の存在を把握した場合に、事業者に対しまして勧告や命令といった権限を行使することができるようになっております。さらに、この命令に従わなかった場合には刑事罰を科すということも設けているところであります。


このように、厳格な規律の下で非識別加工情報を作成、提供することとしておりまして、民間事業者による不正利用による個人の権利利益の侵害防止を十分に図りつつ利活用を促進する仕組みであるというふうに考えております。


○横山信一君 何遍も申しますけれども、ポジティブサムという、保護と利活用の両立という、そういう考えの下で進めていくわけでありますが、一方で悪用ということもやっぱりしっかりとした体制で臨んでいかなければいけませんので、今おっしゃられたことについてしっかりと対応をお願いしたいと思います。


(略)


○又市征治君 社民党の又市です。


(略)


次に、行政機関等は必ずしも個人の同意を得て個人情報を収集するわけではないことはもう言うまでもありません。また、同意するにしても、それは個人情報の取扱いに対する行政機関等への暗黙の信頼があるということだと思うんですね。行政機関が収集できる個人情報というのは、質、量共に民間事業者が収集するものとはもう雲泥の差がある、これはもう言うまでもありません。しかし、法案によれば、個人情報は非識別加工されて非識別加工情報として民間事業者にビジネス目的で提供する、こういうことになるわけですね。つまり、情報が外部に出されていくというわけです。


この情報が行政機関等から外部に出されることによって生じる漏えいリスクの増大、国民各々は知ることのできない目的のための情報の利用ということによって、国民が行政機関等への情報の提供、提出というか提供ということについてまさに戸惑いを覚えるんではないのか、ここのところについてはどういう認識ですか。


○国務大臣(高市早苗君) この非識別加工情報ですが、個人情報保護委員会規則で定める基準に従って個人情報を適切に加工するということによって特定の個人を識別できないものとなりまして、安全な形で民間事業者に提供されるものです。また、非識別加工情報の提供を受けた民間事業者が加工の方法などを入手して当該情報を他の情報と照合することを法律上禁じているほか、個人情報保護委員会が官民を通じて監督するということとするなど、個人の権利利益の保護に支障が生じないような仕組みとしております。


やはり、委員が御指摘いただいたように、それぞれの皆様が、こういうことだったら行政機関に情報を提供できないよねというようなことになってしまっては困りますので、あくまでも個人の権利利益の保護を大前提として利活用の促進を図るものであるということを、皆様に対して新制度の趣旨、内容を十分に周知をするということで御指摘のような事態が生じないように努めてまいります


○又市征治君 大臣から、リスクが低くなる、低くするようにしなきゃならぬということのお話なんだと思うんですが、少し具体的にこの問題について上村行政管理局長に伺いますが、衆議院の委員会質疑において局長は、匿名加工情報は他の情報と照合して識別ができないように加工するが、現在の情報処理技術の進展等を考えると、復元ないし照合が不可能であるとまでは言い切れないというか、言えない、こういう旨の答弁をされたように思います。


そこで聞きますけれども、この認識は、現在の段階では復元ないし照合は不可能だけれども将来的には可能性もあるあるいは現在でも復元、照合は可能かもしれないという認識なのかいずれにしても、今回の法案によって以前に比較すると個人情報が漏えいするリスクは増大するという、このことについての認識も併せて伺いたいと思うんです。


○政府参考人(上村進君) お答え申し上げます。


衆議院の総務委員会でお答えいたしましたのは、現在の、あるいは今後のでもよろしいのですが、情報処理技術がどんどん進展してまいりますので、そうした場合に、そういうものを考えますと、どんな手段を用いても全くこれが復元ないし照合が不可能であるということは特に言えない特に将来にわたって不可能であるとは言えないということをお答えしたつもりでございます。


そういう意味におきましては、非識別加工情報は、現在及び将来において通常想定し得る手段、方法によっては特定の個人は識別できない、元になった個人情報を復元することができない程度にまで加工するしっかり加工すると。言い換えますと、安全な情報とするということが大前提になっております。


それに加えまして、制度的な担保といたしまして、これは午前中の質疑でもお答えいたしましたけれども、個人情報保護法の規定で、識別行為の禁止でありますとか個人情報保護委員会の監視、それから最終的には罰則を科すというところまで担保していることでございますので、個人の権利利益の保護につきましては万全を期しているというふうに考えているところでございます。


○又市征治君 つまり、従来行政機関内にとどまっていたデータが外部に出るわけですから、リスクは当然高まるということだということですね。だから、識別行為の禁止等の規定が改正個人情報保護法にあるというのも、識別が可能だから、そういうふうに考えるのは当然だと思うのでやはり率直にリスクが高まるということを認識した上での対処ということがいやが応でも求められる、これ、局長言ったことはそういう意味でよろしいですか


○政府参考人(上村進君) 繰り返しになりますけれども通常の方法、手段ではもうこれは復元できない安全なものであるしかし全く一〇〇%かということは言い切れない、そこは念には念を入れて制度的な担保として識別行為の禁止その他を入れていると、こういうことでございます。


○又市征治君 リスクは高まるということを前提にしてということですね。


そこで、今回の法案において、要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴等々、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報と定義をされているわけですが、そこで伺いますけれども、行政機関には、ここで、この中で言っているところの国民の信条を収集することができるのかどうか、できるとすればその目的は一体何なのか、そしてどのような手段、方法でそうした国民の信条の収集はできることになるのか、この点について伺います。


○政府参考人(上村進君) まず、一般論でございますけれども、行政機関等においては、従来より、所掌事務を遂行するために要配慮個人情報に当たるような機微な情報というのは収集する必要があるというふうに考えてございます。一般的には、犯罪予防のために例えば被害情報を収集するというケース、それから公衆衛生政策ですとか疾病予防等のために病歴情報を収集するケースなどがこれに当たってくると思います。


その利用目的、収集手段というのは様々でございまして、許認可、それから補助金の申請、それからいろいろな入所等に当たってこういうものを収集するとか、それから行政施策の遂行上の調査ですとか、そういうのに当たって調べる等いろいろな態様はあると思います。


委員御指摘の信条というのは思想と信仰両方含むものだと思いますけれども、これもそれぞれの行政機関の行政目的に応じまして必要な限度で収集されることは当然あり得るものだろうと思っております。


○又市征治君 大変重大な問題なわけで、国民の信条を収集する、しかも、国家がそれを本人の知らないところで行うことがとても適切だとは思えません適切だと言うなら、どういう信条なら収集するのか、どういう信条なら問題がないということが明らかにされて、そういう意味で国民の納得がなければ、これはそんなことをやれる話じゃない、まさに憲法違反になるわけで、その基準が適正かも検討される必要がある今日はこのことを論議する場でもありませんから、取りあえず、極めてこれ重大な問題をはらんでいるということだけはここでは指摘しておきたい、このように思います。


(略)


様々まだいろんなことがありますが、限られた時間の中でありますし、そういう意味では、いろんな、どうしても、今申し上げてきたように、この法律は極めて拙速な、まだまだ詰めなきゃならぬ問題いろいろとある中で拙速に出されている。こういう点でいうならばこれは賛成し難いということを最後に申し上げて、私の今日の質疑を終わりたいと思います。


ありがとうございました。


(略)


○片山虎之助君 それじゃ、順次質問いたします。


(略)


○片山虎之助君 それで、やっぱりここで、この一連の中で、情報漏えいをどうやって防ぐかというのは大きな問題で、情報セキュリティーについて御所見を賜りたいんです。その関係の方、どうぞ


○政府参考人(谷脇康彦君) お答え申し上げます。


政府機関等のサイバーセキュリティー対策につきましては、昨年の九月に閣議決定をしましたサイバーセキュリティ戦略に基づきまして、年金情報漏えい事案ございましたけれども、こうしたものの教訓なども踏まえながら、抜本的な強化策、対策を今図っているところでございます。


具体的には、私ども内閣サイバーセキュリティセンター、NISCの中にございます政府機関に対するサイバー攻撃の監視等を行うチームがございます。このチームが運用いたしますシステムのサイバー攻撃に係る検知ですとか解析機能あるいは運用体制の強化、こういったことを行っております。また、私どもが行っております政府機関に対する監視あるいは監査といったような業務につきまして、その対象範囲を独立行政法人、あるいは政府機関と一体となって公的業務を行う特殊法人などにも範囲を拡大する予定でございます。加えて、大量の個人情報等の重要情報を取り扱う情報システムについては、これをインターネットから分離をするといったような策を含む攻撃リスク低減のための対策強化を行っているところでございます。


政府といたしましては、このサイバーセキュリティ戦略に基づきまして、対策の強化に引き続き努めてまいりたいと考えております。


○片山虎之助君 それに関して、ちょっと頭の体操みたいなことを言いますけれども、ある情報についていろんな提案が集中して、別々に別の加工をやってその情報を出す、それで、その受け取る方が、別々の加工をされて出たものを集めて突合して情報が分かってしまうと、そういうケースがあり得るというんですよね。そういうケース、考えられますか。


(略)


○片山虎之助君 それに関して、ちょっと頭の体操みたいなことを言いますけれども、ある情報についていろんな提案が集中して、別々に別の加工をやってその情報を出す、それで、その受け取る方が、別々の加工をされて出たものを集めて突合して情報が分かってしまうと、そういうケースがあり得るというんですよね。そういうケース、考えられますか


○政府参考人(上村進君) 匿名加工をされた情報あるいは非識別加工がされた情報でありましても、元となった個人情報との照合は当然ですが、加工の程度とかそういうものによりましては、委員がおっしゃいますように、複数のデータを突き合わせることによって識別可能性が出てくるということはあり得るだろうと思っております。


○片山虎之助君 それで、可能性であり得るのなら、そうなった場合は止められる仕組みが必要だと思うんですよ。ストップできると。それはどうですか。


○政府参考人(上村進君) その点につきましては、これはるる御答弁申し上げているところでございますが、まず法律上は、これは禁止、識別禁止措置でございます。その上で、この禁止措置の義務違反がありました場合は、これは一義的には、個人情報保護委員会がそういう実態を把握したならば、その委員会が、当該違反行為を中止、その他是正のための必要な措置、まずは勧告、その後命令ということになると思いますが、この命令違反につきましては罰則も担保もあると承知をしております。


また、行政機関の場合は、これを契約で提供するということをどこかの御答弁で申し上げたと思いますが、この契約の中で当然そうした義務を課すわけでございまして、そういう義務違反があれば、当然その段階で契約解除、それ以降の利用は停止、提供した情報は廃棄と、こういう措置がとられるということになると思っております。


○片山虎之助君 まあ大変未知の、あるいは難しい問題にこれから乗り出していくので、トライ・アンド・エラーにならざるを得ないですけど大変プラスの効用もたくさんあるしそうでない感じもあるし、まあ十分これから検討していきます。


終わります。


(略)


○吉良よし子君 日本共産党の吉良よし子です。


(略)


まず、個人情報保護法においては匿名加工情報の提供を受けた匿名加工情報取扱事業者の義務について定めています。第三十九条の安全管理措置等においては、匿名加工情報の安全管理のために必要かつ適切な措置、取扱いに関する苦情の処理その他適正な取扱いを確保するための必要な措置について自ら講じ、かつ内容の公表をするよう努めなければならないとしており今回の改正ではそれがそのまま非識別加工情報の提供を受けた民間事業者に適用されることとなっております。


ただ、これが努めなければならないという努力義務規定であるという点について総務省の検討会では今後の検討課題とされているわけですが、行政機関等が保有する個人情報の特質性に照らしてみれば、やはり努力義務規定のままでよいのか、それは問題なのではないかと思われるのですが、総務省、いかがでしょうか。


○政府参考人(上村進君) お答えいたします。


まず、前提といたしまして、これまでの御答弁の繰り返しにはなりますけれども、民間事業者の方に提供申し上げるこういう情報といいますのは、一つは、繰り返しになりますが、まず対象となる個人情報ファイル簿が公表されているもの、そういう意味では、国の安全ですとか公共の治安ですとか、そういったものは対象にならないと。それから、加えまして、情報公開請求があったならば開示がされるものである、逆に言うと全部開示にならないような、不開示になってしまうようなものは提供されないと。そうしたことをスクリーニングしていく中で、国民の権利利益の侵害に当たるような情報というのは基本的にはその中で絞り込まれていきまして、基本的には出ていかないというふうな仕組みになっております。


その上で、これもるる述べておるところでございますけれども、いろいろな欠格要件、それから提案目的、それから事業者の側の安全管理措置、これを審査させていただくということになってございます。この点につきましては民間の方を規律します個人情報保護法にはない点でございまして、こちらの方で、こちらの方といいますのは、個人情報保護法で努力義務となっている安全管理措置、それにつきましては、私どもの方の提案の審査、それから契約締結の過程でそこはどうなっているかというのを見させていただくということは可能な仕組みになってございます。その上で、契約条項でございますので、契約違反の不適切な使われ方をしているふうなことがあれば、これも先ほど御答弁いたしましたけれども、直ちに契約解除ですとか、そういうふうに、すぐ契約解除になるかどうかはあれでございますけれども、いろいろな適切な措置を講じまして利用停止をするというふうなことも可能なところでございます。


このように、まず情報自体の性格、それからいろいろな規律、制度的な担保措置、幾重にも定めることによりまして適正な取扱いのための万全な措置を講じているということでございます。


○吉良よし子君 努力義務であっても様々な段階で様々な審査もされるから大丈夫だと、なおかつ非識別加工なんだから大丈夫だと、そういうお話ですけど、ただし、先ほどもあったように、識別行為の禁止というのが本法案に書かれていること自体、再識別化のリスクがあるということを認識されていることだと思うわけです。


それに、やはり悪質な民間事業者というものが必ずいるわけでして、それが最初から悪意を持って、識別行為を行いますとか安全管理措置なんかしませんなんということを最初から言うわけがないわけでして様々な審査も擦り抜けて提供を受けたところで識別行為を行って個人情報の流出が行われてしまう、そういう危険性もないとは言い切れないわけですよね。だから、そういう段階で手を打っていてはやはり遅いわけで、努力義務規定で民間事業者任せにしておくということは私はやっぱり問題だと思うわけです。


先ほどその欠格事由のことがお話しされましたが、今回のこの改正案の四十四条の六において非識別加工情報の提案を行う事業者についての欠格事由というのが定められているわけですが、これまでにその欠格事由に該当した事業者というのはいるのでしょうか


○政府参考人(上村進君) 今回御提案をしております法案の御指摘の四十四条の六というのは、この法案に関して新たに導入するということでございますので、そういう意味ではこれに該当する民間事業者というのはまだいないということであります。


○吉良よし子君 これからだから、まだいないということでしたけれども、ということは、つまり、過去に個人情報の流出や漏えいに関わった、若しくは関わったとされる報道があったような事業者であったとしても本法案がスタートする時点では利活用の提案というものができてしまう、それを妨げることはできないということなわけであり、これでは欠格事由があるから不適切な事業者は提案者として排除できるという説明は成り立たないのではないかと思うわけです。


この間、いわゆる名簿屋と言われるような事業者による個人情報の売り買いによる個人情報流出などが社会問題となっている中で、今までであったら統計情報とか学術研究のためといった具体的な国民のために還元するというニーズに限定して利活用させてきた行政機関等の個人情報が、民間も含め更に広く利活用させようというのが今回の法案なわけであり、まず、これで悪用が防げるのかという点は本当に疑問なわけです。


もう一点伺いますけれども、本法律案では、非識別加工情報を提供された民間事業者が再識別行為を行うなどしてその情報の漏えい、流出など重大な契約違反事例が起きるなどとした場合には、先ほどもあったように、契約解除ができるとしているわけですけれども、その契約解除以外に行政機関等がそうした漏えいを防ぐためにどのような権限を行使できるのか口頭注意とかそういったものがあると思うんですが、その点はいかがでしょうか。


○政府参考人(上村進君) これは、基本的には民間事業者の監督は個人情報保護法における個人情報保護委員会でございますので、例えばそれを察知した行政機関が個人情報保護委員会に通知をし、適切な監督権限の発動を求めると、こういうことはできると思います、これは間接的にはなりますが。それから、一般論でございますが、当然、民法上の損害賠償請求というのも可能でございます。


さらに、実際の民間事業者と行政機関の関係は契約関係でございますので、これは契約の中身によってくるわけでございますが、当然、提供した情報の適正な取扱いに関し必要な条件を付すということは考えられるわけでございまして、その条件の遵守状況をフォローするいろいろな措置というのは当然考えられると思っております。委員が今おっしゃったようなやり方も一つはあるとは思います。


いずれにいたしましても、その辺のことも含めまして、御成立をいただけましたならば施行までの間に十分その辺も含め検討してまいりたいと思っております。


○吉良よし子君 結論としては、口頭注意とか文書による注意とか様々行政が行えることはあるはずなんだけれども現時点ではそうした権限ということは付されていないこれから検討することだと、あとはもう契約時点でのやり取りだというお話なわけですけれども、やはりそれでいいのかということなんですね。


例えば医療分野のように利活用の必要な個人情報を悪用を防ぎながら適切に利活用するためにはその悪用リスクを未然に防ぐ何重もの構えが必要なわけですよ。何か起きたら契約解除するしかないという立て付けであれば、その利活用を優先する余り、何か不正を見過ごすとか黙っておいてしまうとか、そういう不正を暴くことをちゅうちょしてしまう可能性だってあり得ると思うわけですね。


やはりそういう意味合いでは、契約解除に至る前に様々な権限が行使できるようにしておかなければ、本当の意味での保護ということはできないと思うわけです。何か、保護と利用のバランスとか調和とかおっしゃりながら、現時点ではそうした契約解除以外の制度の詳細というのが詰めて議論されていない、これからだというところでやはり今回の制度改正の不十分さというのが現れているのではないかと私思うわけであります。


(略)


○主濱了君 生活の主濱了であります。


(略)


次の質問に移りたいと思います。この非識別加工情報の作成時のリスク対策についてであります。


行政機関等において非識別加工情報の作成を行う際に、加工作業を外部の事業者に委託することが可能とされているわけであります。委託先の事業者には個人情報そのものが提供されるわけですね、渡されるわけですが、その当該事業者における個人情報の取扱いや加工が適正に行われることがどのように担保されるのか、この点であります。


一昨年に発覚したあのベネッセコーポレーションの個人情報漏えい事件では、再委託先の従業員が情報を不正に持ち出した、こういうふうな案件であります。委託先はもちろんでありますが、再委託先あるいは再々委託先、そういうふうなところにおいても個人情報を適正に今管理させる、これが必要だと思いますが、まず、どのような対策を講ずるのか伺いたいと思いますし、もう一つ、再委託以降は認めない、こういうふうな方法もあると思いますが、どのような対策を講じようとしているのか、方針を伺いたいと思います。


○大臣政務官(古賀篤君) 非識別加工情報の作成の委託を受けた民間事業者についてでありますけれども、行政機関と同様に、個人情報保護委員会の規則で定めるところに従いまして、加工を行い、そして情報漏えい防止の措置を講ずる義務を課すというふうにしております。また、その受託事業者が個人の秘密に属する事項を不正に提供した場合あるいは保有個人情報を不正な利益を図る目的で提供した場合には罰則を科すことにもしているところであります。


こうした法律上の規律に加えまして、委託者たる行政機関は適切な監督を行う必要がありまして仮に受託者において違法行為があった場合には委託契約を解除することとなります。


そして、再委託の御指摘ございましたが、非識別加工情報の作成に係る再委託につきまして、そういった必要が出てきた場合に、個人の権利利益の保護に支障が生じないように、契約において委託先を通じた適切な管理を確保するために必要な措置を講じる必要があると考えております。


○主濱了君 私が伺いたいのは、その最後の適切な措置、そこのところを伺いたいわけですよ


○大臣政務官(古賀篤君) その適切な措置の具体的なところについては、今後、例えばガイドライン等で設けることになりますが、いずれにしましても、その契約の内容でそういったことをしっかりと定義付ける、書いていくということになるかと思います。


○主濱了君 先を急ぎます


(略)


○吉良よし子君 私は、日本共産党を代表して、行政機関等個人情報保護法など個人情報の利活用を進める関係法律の整備法案についての反対の討論を行います。


本法案は、産業界からの要望に沿って、従来になかった新しい産業、思いもよらなかったイノベーションが起きてくることなどを期待して、行政機関等が保有する個人情報を利活用させようとするものです。行政機関が保有する個人情報は、行政事務の執行のため収集、管理されているものです。だからこそ、厳格な個人情報の保護の下で社会的な要請に応えた利活用が求められているのです。しかし、本法案は、個人情報の保護は不十分なままで、行政機関の側から個人情報の利活用を民間事業者に求めていくものであり、やめるべきです。


また、本法案は、民間企業等からの提案に沿って行政機関等が個人情報に非識別加工を施し提供しますどんなに高度な加工が施されたとしても、本人が想定していない民間企業等に個人情報が提供、利用されるという問題が残ります。そもそも、識別行為の禁止が本法案で明記されること自体、再識別化のリスクがあることを意味しています。


そして、もし民間事業者に提供した非識別加工情報や個人情報がリスクにさらされた場合、情報を提供した行政機関等が行使できる権限などについて曖昧な点が残されています。


さらに、総務省は不適格事業者を提案者から排除できると言いますが、いわゆる名簿屋のような事業者も本法案のスタート時には個人情報の利活用を提案できるという懸念が残ります。


個人情報の非識別加工についても外部の民間事業者に委託することもできるとされ、不適切な個人情報の漏えいや流出につながりかねないことから、本法案に反対します。


また、本法案は、個人情報を多く保有している市町村にも、国がその一体的な利用を促進していくことを明記しており、看過することはできません。


以上を述べて、討論とします。


○委員長(山本博司君) 他に御意見もないようですから、討論は終局したものと認めます。


これより採決に入ります。


行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案に賛成の方の挙手を願います。


   〔賛成者挙手〕


○委員長(山本博司君) 多数と認めます。よって、本案は多数をもって原案どおり可決すべきものと決定いたしました。


(略)