ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

行政機関個人情報保護法改正に関する国会答弁の重要部分まとめ

情報法

個人的メモです。
行政機関個人情報保護法改正に関する国会答弁の重要部分をまとめます。

第190回国会 総務委員会 第14号(平成28年4月19日(火曜日))

  • 安全確保のためにどのような措置を講じているか?(大臣答弁)
    • 行政機関非識別加工情報の作成に当たりまして、行政機関及び行政機関から作成の委託を受けた民間事業者には、行政機関非識別加工情報やその加工の方法などについて、個人情報保護委員会規則で定める基準に従い、情報漏えいを防止するための安全措置を講ずる義務を課すこととしております。具体的には、情報を取り扱う端末のセキュリティー対策や情報へのアクセス制限、取扱者に対する教育といったことが想定されます。
      • (水町注)第44条の10第2項のみではない。同項は、委員会規則で定める基準に従う加工義務である。これ以外に、44条15、16を適用する。なお、6条2項からは、非識別加工情報と削除情報は除外。
    • また、委託先の民間事業者を含め行政機関の職員などが個人の秘密に属する事項が記録された個人情報ファイルを不正に他者に提供した場合には、罰則、二年以下の懲役または百万円以下の罰金を科すこととしています。
    • さらに、行政機関非識別加工情報の提供を受けた民間事業者は、加工の方法などを入手したり、当該情報を他の情報と照合することが法律上禁じられておりますとともに、個人情報保護委員会による監督が行われることになっており、適正な取り扱いが行われるように措置しています。
  • 自治体の対応は?
    • 菅家委員 もう一点は、地方自治体が持つ個人情報、これは新制度の対象外になっているわけでありますけれども、ただ、市町村長が前向きにこういったものに取り組みたいということで、例えば各市町村が条例を定めれば、国と同じ対応をとることは可能なのかどうかという点をお示しいただきたいということと、もしも可能であるならば、やはり各地方自治体における対応についても今のような不正行為の防止は極めて重要だと思うんですが、国として、そういう場合の対応についてお示しいただきたいと思います。
      • (水町注)自民党菅家委員。与党。
    • 地方公共団体保有する個人情報の取り扱いはこの法律の対象ではなくて、各地方公共団体の条例によって規律されているところでございます。各地方公共団体保有されています個人情報を対象として、国の非識別加工情報と同様の対応をとることにつきましては、条例の改正により可能であると認識しております。それから、こうした個人情報の取り扱いについて、どういうふうなことを政府としてしているかということでございますけれども、繰り返しになりますが、各地方自治体等が保有しています個人情報の取り扱いは、それぞれ区域の特性に応じまして条例で規定する必要があると思っております。 政府といたしましては、関係機関が密接に連携をいたしまして、地方自治体に対して、今回の法案それから改正個人情報保護法、これの趣旨等を丁寧に情報提供いたしまして、非識別加工情報の活用、それから御指摘の安全管理、こうしたものに関する地方の理解を深めてまいりたい、このように考えているところでございます。
      • (水町注)とはいえ、個情法5条に基づき、自治体は「法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する」。もっとも、全団体が非識別加工情報を導入するのは事実上不可能。
    • 梅村委員 今の地方自治体での個人情報の保護の行政と、今後、この法案に基づいて地方公共団体などがどのような流れになっていくのか?
      • 第190回国会 総務委員会 第15号(平成28年4月21日(木曜日))
    • 原田政府参考人 我が国の個人情報保護法制におきましては、地方自治体は条例により規律がされておるところでございます。個人情報保護法におきましては、地方公共団体の責務としまして、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じた個人情報の適正な取り扱いを確保するための施策の策定、実施を規定する。あわせまして、その具体化としまして、地方公共団体保有する個人情報の性質、保有目的を勘案した適正な取り扱いが確保されるよう必要な措置を講ずることに努めなければならないと規定されているところでございます。今回の法案が成立した暁には、地方公共団体は、今回の法案、また改正個人情報保護法の趣旨を踏まえまして、地域の特性に応じた個人情報の適正な取り扱いを確保すべく、条例の見直しなど、必要な措置を検討することとなると考えております。
  • 自治体はちゃんと対応できますか。
    • (水町注)おおさか維新の会足立委員質問。
    • 足立委員 これは私、私見ですけれども、前もこの委員会で申し上げました。私は、平成の大合併は失敗した、こう勝手に言っているわけですが、やはり小さな町、村もたくさん残っています。そういうところも含めて、こういう大変高度な制度インフラ。国は、こうして総務省が、あるいは内閣府が、保護委員会が一生懸命やります。専門家も集まってきます。委員会でもこうやって審議します。しかし、本当に個々の自治体でそれにちゃんとついていけるのか、私は課題があると思っています。これは、そもそも地方自治の本旨とよく言われている、役割分担ですね、国の役割と地方自治体の役割分担。これに、何でもかんでも自治体のことは自治体でやってくれということ自体に若干無理が出てきているんじゃないかなと思いますが、これはまた別の機会に譲りたいと思います。
    • 梅村委員 地方公共団体は、この法案のもとでは、今後、匿名加工情報の作成も含めた作業も必要になっていくんじゃないかというふうに思うんですけれども、そういった体制がそもそもあるのか、セキュリティーは大丈夫なのか、また、自治体の新たな財政負担は生まれないのか、この点はいかがでしょうか。
      • 第190回国会 総務委員会 第15号(平成28年4月21日(木曜日))
    • 原田政府参考人 繰り返しになりますけれども、いずれにいたしましても、地方公共団体は、今回の法案、改正個人情報保護法の趣旨を踏まえて、地域の特性に応じて必要な措置を検討することになります。今後、今回、国の公的部門における匿名加工情報制度の仕組み、こういうものの詳細が決まってまいることとなろうと思っておりますし、運用なども出てくると思われますので、そういうことについても地方公共団体に対しまして逐次丁寧に情報提供してまいることで、地方公共団体の理解を深め、その中で検討していただくことになろうと思います。
  • 非識別加工情報と匿名加工情報、なぜ名称が違うのか、どういう違いがあるのか?
    • (水町注)公明党濱村委員質問。与党。
    • 匿名加工情報と非識別加工情報は、双方とも、特定の個人を識別できず、もとの個人情報を復元できないように加工したものである、こういう点では共通するものでありますけれども、個人情報保護法が適用される民間事業者におきましては、この作成者それから需要者ともに、識別行為の禁止義務、これは三十六条五項及び三十八条で課せられています。したがいまして、匿名加工情報は、いずれにおきましても個人情報の該当性が否定されるものでございます。
    • 他方、行政機関におきましては、非識別加工情報の作成後におきましても、もとの個人情報のデータを保有するところ、民間事業者に課せられる識別行為の禁止義務に相当する規定を設けておりません。そのことから、理論上、非識別加工情報は、その作成のもととなったデータと照合することが可能であるために、基本的にこの非識別加工情報は個人情報に該当することになります。
    • このように、個人情報保護法が適用される民間事業者と行政機関個人情報保護法が適用される行政機関とでは、加工後の情報が個人情報に該当するか否かという点で法律上の位置づけが異なるわけでございます。このような法律上の位置づけを踏まえまして、名称を変えているということでございます。
    • 濱村委員 一方で、民間と行政で名称が違うということがわかりにくいということをおっしゃる方もおられるわけでございますけれども、私は、そんなことはない。行政が非識別加工情報をつくり、そしてそれを民間に渡した、民間に渡した瞬間、匿名加工情報になるわけですね。民間は一貫して匿名加工情報しか扱いません。
    • (奥野委員への答弁も追加)匿名加工情報といい、非識別加工情報ともいいますけれども、双方とも、特定の個人を識別できず、また、もとの個人情報を復元できないように加工したものである点では共通するものでございますので、非識別加工情報の提供を受けた民間事業者におきましては、個人情報保護法に基づき、匿名加工情報として適正な取り扱いが求められることになります。
  • 行政ではなぜ照合が禁止されないのか?
    • 濱村委員 非識別加工情報を今後作成していきながら、匿名加工情報として民間に提供されてビッグデータとなって、いろいろな情報が付与されたり情報が集約されたり、それで情報に傾向性が見られるというようなこと、あるいはある種の仮説が成り立ちますねというようなことが想定されていくことになります。そうなれば、その結果として、特定の製品についてふぐあい情報が見つかるというようなことも想定されるわけでございます。そうなった場合に、行政機関としては、当然するべきことを考えるならば、行政指導を行うべきかどうか適切に判断しなければいけません。その際に、そうするべきかどうかということについては調査をしなければいけませんので、製品の所有者等を見つけて、ふぐあいについて分析をするということになりますが、所有者を見つけるためにはどうするかというと、もととなる個人情報と照合するというような必要性が出てくるわけでございます。だから、行政機関においては、照合する必要性がある。これは極めて限られたときに必要であるということでありますが、こうした背景を考えたときに、もともとこれは法案を作成したときから想定されていた業務であって、そのような活用も考えられるというふうに想定していたと考えてよいのか、確認したいと思います。
    • (水町注)公明党濱村委員質問。与党。
    • 上村政府参考人 今回の法案は、一義的には、行政機関が作成した非識別加工情報を民間事業者において活用されることを想定したものではございますが、ただ、今委員御指摘いただきましたように、行政機関から提供された非識別加工情報を民間事業者が活用している中で、製品事故情報のような情報が発見されることもあり得ます。そのような情報が行政機関にフィードバックされたような場合には、行政機関側で行政指導など適切な対応を行うため、もとの個人情報との照合が必要な場合もあり得るところだと考えております。このように、行政機関におきましては、行政としての責務を果たすために照合しなければならない場面があり得ることから、照合禁止義務に係る規定を設けていないところでございます。
  • 民間と比べると、行政への規制は緩いのではないか?
    • (水町注)公明党濱村委員質問。与党。
    • 本法案第四十四条の十六におきまして、行政機関非識別加工情報等につきまして、その取り扱いに従事する行政機関の職員等に対し、その業務に関して知り得た行政機関非識別加工情報等について、不当な目的で利用してはならない、こういうことを定めております。行政機関の職員が、今委員が御指摘になりましたように、業務上の必要性と関係なく照合することがあるといたしますと、今申し上げました条項の行政機関非識別加工情報を不当な目的に利用する、これに該当するということでございますので、本規定によりましてそのような行為は明確に禁止をされている、こういうことになります。
  • 目的規定を読む限りは、情報保護法ではなくて情報利活用法ではないか?
    • (水町注)民進党逢坂委員質問。
    • いわゆるビッグデータの活用、中でもパーソナルデータをいかに活用していくかということは、民間のみならず、官民を通じた重要な課題であるというふうに認識をしているところでございます。 そういう意味では、昨年に提出されまして成立した個人情報保護法につきましても、今委員が御指摘になりましたような、適正かつ効果的な活用のための改正というものがなされたわけでございます。これを踏まえまして、官の方におきましても、行政機関の保有する個人情報につきまして、あくまでも個人の権利利益の保護に支障を生じない、そういうことを前提とした上で有効な活用の仕組みを設けるということにして、この改正案をお諮りしているわけでございます。 御指摘の法の目的規定でございますけれども、こうした改正内容、経緯も含めまして、こうした改正内容に的確に対応する条文といたしておりまして、今御指摘をいただきましたような、新たな産業の創出ですとか活力ある経済社会、それから豊かな国民生活の実現、これは民間の方の個人情報保護法の規定にあるものを引いておりまして、そうしたものの有用性に配慮をする、こういうふうなことを書いております。
    • ただ、書いておりますが、あくまでも最終的な法律の目的は個人の権利利益の保護を図ること、こういうふうにしているということでございまして、適切な内容になっているものと考えております。
    • (水町注)規定ぶりに沿った至極妥当な答弁。
  • 行政が保有する個人情報を民間企業がビジネスに使うということについて、国民の皆様はどう思われるか、これで理解が得られるのか。何か、行政が持っている情報を商売のために使う、本当にいいんですか?
    • (水町注)民進党逢坂委員質問。
    • いわゆるビッグデータの活用によりまして、いろいろ御指摘いただいています新たな産業の創出等々の目的に資するものでありますので、適切な規律のもとに、民間事業者の提案を受けて非識別加工情報を提供する仕組みというふうなことにしているところでございます。したがいまして、今般の改正の法目的に照らしますと、イノベーションを実現する、こうしたものは、事業活動を担う、そういう意味ではビジネスを行っている民間事業者が利用するものでございますので、そうした意味におきましても、民間事業者の利用であっても非識別加工情報を提供することとしたものでございます。なお、申し添えますと、この非識別加工情報というのは、もととなった個人情報とは違いまして、誰のものかはわからない、それから、個人の権利利益の侵害のおそれがないように、対象となる個人情報の範囲自体限定をしておりますし、加工基準も、個人情報保護委員会が定めます基準に従った適切なものになるようにこれを審査していく。幾重にも安全管理その他適切性を確保したものというふうにしてございますので、御理解を得られる仕組みであるというふうに考えております。
  • 一回利活用していいよと言われた民間事業者は、別の企業にその情報を提供することは可能なんですか?
    • (水町注)民進党逢坂委員質問。
    • 一旦提供を受けた事業者から仮にほかの事業者へ移すということが予定されているのであれば、そういうことにつきまして、これは実際、契約の中でそういうことを決めていただくということになるかと思います。基本的には、その提供、審査を受けて、そういう意味では、審査を通過された方に提供されるものだと思います。したがって、そこでとまるものだと思いますが、契約の中身によりましては、その提供を受けた事業者と関連のある事業者さんですとか、そちらの方が安全が確保できるとか、そういうことが担保できるのであれば、それはよく審査した上での、あるいは契約条項を見た上でありますけれども、必ずしも現時点で全て排除されるものでもないのかなというふうに思ってございます。
    • (水町注)戸籍、住基についても質問があったが、事前通告していなかった模様。
  • 直観ですごく気持ち悪いんですよね。これがあるということは、識別ができてしまうということですよね。復元はできないにしても、識別はできてしまう。要するに、特定の個人がわかってしまう。特定の個人がわかってしまうような情報を民間に渡してしまう。まさに個人情報を民間に渡すということになるわけですね。渡した瞬間にこれは名前が変わると言っていますが、しかし、個人情報ですよね。個人情報を民間に渡してしまう気持ち悪さというのがあると思うんですよ。そもそも、やはり個人情報の定義についても、行政の方が広い。それは理解はできるんですよ。権力を使って情報を集めるわけですから。それについてはなるべく丁寧に扱っていこう、保護していこうということで、個人情報の範囲を広げていくというのは、民間より広いというのはわからないではないです。ただ、それを今度使いましょうという話になると、結構おかしなことになってくる。
    • 奥野委員質問。
    • 政府参考人答弁は一般論にとどまり、若干かみ合わない感があるが、これに対して私が答えるなら次の通り。
    • 公的機関の責任として、民間事業者よりも個人情報保護を厳格に行っていこうと、個人情報の定義が民より官の方が広いのは委員ご指摘の通り。持っている個人情報を国民生活のために活用していこうとして匿名加工したのが、匿名加工情報と非識別加工情報。非識別加工情報も民間に渡した時点では、民間では個人は特定できず、個人情報ではない。行政においても、その民間に渡した情報のみでは個人は特定できず個人情報ではない。しかし民間に渡した情報を、もともと持っている他の個人情報と組み合わせれば、個人が特定できるようになってしまう。したがって個人情報である。しかしそれは行政の中ではプライバシー権侵害の問題は生起しないものと考えられる。なぜなら、元々例えば、事業開業届を国税庁が持っている場合を想定すると、そこから個人を特定できる情報をカットして、仮に、こういう時期にこういう事業が開業されているというデータとして、民間で活用したいとなって、民間に提供するとする。民間ではその情報からは個人を特定できないので、個人情報ではありませんね、匿名加工情報ですね、となる。一方、国税庁では、その情報だけでは個人を特定できないものの、元の事業改行届というバリバリの個人情報を持っているので、民間に渡した情報を後で行政で照合して、元に戻そうとすれば、できてしまう。しかしそれはもともとバリバリの個人情報を持っていて、そこから加工した情報がさらに行政の手元に残るということであり、照合しちゃいけないという義務をかけるほどのプライバシー・リスクが生起されるのかどうかというと、そうではないと思われる。それよりも、民間から何か「これはどういうことか?」といった問い合わせがあった時に、元のバリバリの個人情報と照合できないと、対応できず、それが上記の答弁にもあったが、公務をちゃんとやるという意味で、支障が生じるおそれがある。プライバシー・リスクを十分鑑みた上で、行政においては照合禁止はかかわらない。なぜならもともと持っているから。一方、民間はもともと持っていない情報を、個人を特定しない形で行政からもらうから、そこは、照合が禁止されないと、個人が特定できてしまう形でもともと持っていない情報を行政からもらえることになりおかしい。
    • もっとも、改正個情報36条5項は、元々の個人情報取扱事業者に対しても、自ら作成して自ら匿名加工情報を取り扱う際にも照合禁止義務を課している。官と民の公務性の違いが理由とするべきか。
  • 加工基準は?
    • 奥野委員質問。
    • 個人情報保護委員会事務局長答弁 匿名加工情報の加工方法につきましては、個人情報保護法改正案の法案審議のときに政府側からも御答弁申し上げておりますけれども、委員会規則におきまして、匿名加工情報を作成する事業者全てに共通する一般的な加工手法、その他最低限の規律を定めることを想定しております。こうした上で、このような個人情報保護委員会規則に加えまして、事業の特性でありますとか取り扱うデータの内容に応じた詳細なルールにつきましては、民間の場合には、認定個人情報保護団体が定める個人情報保護指針等の事業者の自主的なルールに委ねることも想定をしてございます
    • 奥野委員 そうすると、ばらつきが生じないか。ちょっと若干奇異に思うのは、まず民間が決まってしまって、民間の方に引っ張られる形で国が決まる、公立が決まるということになると思うんですが、これは統一的に運用しなきゃいけないと思うんですね。
    • (水町注)加工基準を一律に作成するのは極めて困難。しかしこの指摘は至極当然である。
  • 外国はどうなっているのか?
    • 奥野委員質問。
    • EUの場合でございますけれども、今回の非識別加工情報に類似するものということでございますと、例えば、データ主体が識別できないような方法で匿名化されて、個人とひもつく可能性のない匿名データ。それからもう一つは、仮名化されたデータというカテゴリーがございまして、情報の安全保護のために仮名化、仮の名前の措置を施すものですが、これは多少、個人が識別される見込みがあるものということになってございます。 こうしたカテゴリーについての記述はございますが、我が国の今御提案申し上げているような非識別加工情報のような提供の仕組みは見られない、また、実際の事例は承知していないというところでございます。
    • それから、米国でございますが、これはもうよく御承知のとおりと思いますが、民間部門につきましては、連邦取引委員会、FTC、これはFTC三条件とかというものを決めまして、匿名化された個人情報の取り扱いに関する指針を示しているところでございます。ただ、行政機関の保有する個人情報を民間事業者が利用している事例というのは、必ずしも承知をしてはおりません。
    • その他、スウェーデン等ではそういう事例は多少はあるということは承知をしております。
    • 奥野委員 だから、今言ったように、税務情報みたいな強制的に取り扱うものは厳しく保護していく、一方で、任意で提供しているような情報については、私ども、照合禁止義務もかけて、完全に個人情報じゃなくしてしまって利活用してもらう、こういう仕組み、しかも、こういったものについては、統一的な法制で、行政機関等の法律、民間の法律というんじゃなくて、統一的な視点でまとめていくべきだと思います。
  • EUの十分性認定はクリアできるんでしょうか?
    • 共産党田村委員質問。
    • 非識別加工情報というものが行政機関等から民間事業者に提供されるというものでございますので、国の行政部門、それから民間部門の監視、監督、これを同じ機関が行うということが合理的であろうという観点から、そうしたものを個人情報保護委員会に一元化するということにしてございます。他方、この法案では、それ以外の個人情報の取り扱い、行政機関等が保有するものでございますけれども、何ら変更することとはいたしておりませんので、その取り扱いは、引き続き総務大臣が所管するということにしているものでございます。また、EUの十分性認定についてのお尋ねがございましたけれども、その基準というものにつきましては、まだ明確に示されたものというのは存在しないというふうに承知をしております。今後、EU側とその十分性認定取得等に向けまして取り組んでいく中で、そうしたものは明らかになっていくものであろうかと思っております。なお、日本の個人情報保護制度につきまして、EUの関心事項であると推測される諸点に関しましては、例えば、今回、これは昨年の個人情報保護法でも同じでございますけれども、要配慮個人情報の規定を設ける、こうした対応は一方で図っているというところでございます。
    • 田村(貴)委員 個人情報保護委員会は、行政の個人情報の取り扱いはしませんよね。そうすると、EUの基準には達しないという理解でよろしいですか。もう一度答えてください。
    • 上村政府参考人 繰り返しの答弁になりますけれども、十分性認定が、官民一体の委員会がなくてはならないのかどうか、そういった基準についてはまだ明確に示されたものはないと承知しております。
    • 梅村委員 しっかりと個人情報保護委員会の方で行っていくという点、なぜしなかったのか
      • 第190回国会 総務委員会 第15号(平成28年4月21日(木曜日))
    • 古賀大臣政務官 今回の改正は、非識別加工情報が行政機関等から民間事業者に提供されるものでありまして、国の行政部門と民間部門の監視、監督を同じ機関が行うことが合理的であるという判断で、個人情報保護委員会に一元化したものであります。一方、行政機関等における個人情報の取り扱いにつきましては、今回の改正は、法の基本的な構造を変更するものでないことから、現行の体制を変更することとはしていないところであります。なお、個人情報の保護に関する法制のあり方につきまして、今回の改正法の施行状況等を踏まえて検討することとなっておりまして、監督体制についてもこの検討を踏まえて対応していくことになる、そのように承知しております。
  • 具体的なニーズがあるのか?
    • 共産党梅村委員質問。
    • 本制度でございますけれども、この法案の成立をいただきましたならば、その後に、各行政機関等におきまして、提案募集の対象となる個人情報ファイルをまず特定いたしまして、それから募集をするということでございますので、現時点で、民間事業者等から具体的なデータ等の名称を挙げて要望をいただくということが困難であるということは御理解をいただければと思います。ただ、先ほど申し上げました有識者研究会におきます経済団体からのヒアリングにおきましては、非常に信頼性が高い基礎データでありますところの公共データ、これを民間で活用することについての期待は非常に高いということが述べられますとともに、行政機関等が保有いたしますパーソナルデータの適正な利用を促進するため、利用可能なパーソナルデータに関するデータカタログといったようなものを整備することについて要望は示されているところでございます。
    • 吉川(元)委員 今回の立法措置ですけれども、立法事実というのが本当にあるのかというのは私も疑問に感じざるを得ません。
  • 膨大な個人情報ファイル簿のうち、匿名加工情報の提供可能性のあるファイル簿は、どのような範囲で、どれぐらいあるのか?
    • 共産党梅村委員質問。
    • 類型といたしましては、私が先ほどから申し上げているようなことでございまして、個々の個人情報ファイル簿、これがまず公表されているかどうかということ。それから、繰り返しになりますけれども、情報公開請求等があったならば、部分開示がされ得るものであるかどうか。それともう一つ、行政機関等に過大な負担が起きないかどうか。そういったことを勘案いたしまして、各省庁がこれを特定していく、法案の成立をいただきましたならばそういうことをしていくということになりますので、現時点ではどのぐらいの数になるかということは、ちょっとお答えするのは難しいと思います。

水町注:議事録を見ていて気付いたが、N参事官が内閣府政府参考人としてご出席。私、この国会、随行しなかったんだなあ。随行してたら、お会いできたのでは。お懐かしい。


第190回国会 総務委員会 第15号(平成28年4月21日(木曜日))

  • 法改正等今後の予定は?
    • 高井委員 非識別加工情報という言葉に途中から変わった。私が調べたところでは、法制局から閣議決定の一週間ほど前に指摘をされて変わった。そして、そのことがいろいろこの法律の矛盾が出てきてしまっている原因になっているということを何度も指摘してまいりました。大臣にぜひお聞きいたしたいんですが、この法律の施行状況とか、あるいは、今回、ビッグデータ、オープンデータに資する法律でありますので、私は、趣旨としてはぜひ賛成をしたいわけでありますけれども、そうしたメリットを受ける民間事業者の声も聞いていただいて、今回、法律がかなり急ごしらえでできた印象もあります。また、個人情報保護法制との整合性ということも、参考人質疑で随分意見が出ました。こういったことを踏まえて、近い将来、この法律上の文言を統一するということも検討すべきだと思いますけれども、総務省において、この施行状況とか、あるいはそういったニーズの把握、そして法改正も含めて、今後見直しを行うという考えはあるかどうか、お聞かせください。
    • 高市国務大臣 昨年の通常国会個人情報保護法、民間部門の改正、それ以降、約一年かけて議論をしてきた結果でございます。この改正案につきましては、政府として、文言も含めて十分考え、問題がないものという認識のもと、御審議をお願いしております。非識別加工情報に係る法の施行状況の把握というものにつきましては、本法案の成立をいただきましたら、個人情報保護委員会において行うこととなってまいります。非識別加工情報の利用者であられる民間事業者の方々やまた国民の皆様の声をしっかりと聞いて、本制度について不断の検討を加え、また、技術の革新というのも出てきます、そういった課題もあるでしょうから、常に不断に検討を加えて、よりよいものとしていくということは当然の政府の責務だと考えております。
  • 年金機構はいつからマイナンバーを使うのか?
    • 武正委員 昨年の個人情報保護法改正案の質疑の中で、日本年金機構からの情報漏えいがあったことで、このマイナンバーのところに書いてありますように、日本年金機構への相談、照会は延期となり、国の機関での情報連携も延期となったわけでございます。まずは、この全体像の中で、昨年、個人情報保護法の審議でもきっかけとなりましたこの法改正、日本年金機構への相談、照会の延期について、これがどういう見通しなのかお答えいただければというふうに思います。
    • 高市国務大臣 昨年の年金情報流出といったことがございまして、ことし一月に予定されておりました日本年金機構におけるマイナンバーの利用開始時期を政令で定める日まで延期する旨の規定が議員修正によって置かれました。この政令で定める日をいつにするかということですが、まずは、日本年金機構において必要な体制が整備されているかどうか、これを監督官庁厚生労働省が検証された上で、マイナンバー法の監視、監督の権限を有する個人情報保護委員会が確認するということが必要でございます。その結果、安全であるということが確認されましたら、これは適切に判断をしていくということになります。
  • マイナンバーカードを健康保険証で利用する件は?
    • 高市国務大臣 健康保険証とマイナンバーカードの一体化につきましては、平成二十七年六月に閣議決定された日本再興戦略において、平成二十九年七月以降の早期に可能とするということになっています。今、厚生労働省を中心に、マイナンバーカードの公的個人認証を活用した被保険者資格をリアルタイムでオンライン確認することでマイナンバーカードを健康保険証として利用する仕組みというものが検討されている、その最中であると承知をしています。健康保険証とマイナンバーカードの一体化は、お使いになる方の利便性に資するものでありますので、引き続き検討は進めてまいりたいと思います。なお、医療IDにつきましては、これは厚労省において検討中で、まだ結論を得ているとは伺っておりません。
  • 足立委員 今御答弁いただいたのは、厚生省でいうと官房なんですよ、多分。官房ですよね、官房。こういう一般的な質問をすると、官房がお答えになるんですよ。いいですよ、全然。それで、本当は、大事なのは、医療の保険者たちが情報を持っているわけです。保険者の質問をしようと思うんだけれども、保険局はなかなか、現場を持っていて、答えられないんですよ、重たくて。だから、僕は、本当に今、行政というのは難しい時代ですけれども、保険局と官房、官房の思いを、原局である保険局とかとちゃんと連携して、現場が重たいのはわかるし、医師会とか、いろいろ四の五の言ってくるところはあると思いますが、大体、医療等IDをつくったのも合理性はないんですよ。医師会の肩をもむためにつくったんですよ。まあいいけれども、とにかく合理的にやってください。
  • 個人識別符号
    • 吉川(元)委員 一般社団法人インターネット広告推進協議会、JIAAというところが、これは内閣府の方ですか、パーソナルデータに関する検討会の中で資料として出しているものを見せていただきました。その中では、「個人情報以外の情報も含めてガイドラインの対象とする」。その中で、インフォマティブデータを定義するというふうになっております。このインフォマティブデータというものの中には、今ほども言いましたID、それ以外にも、メールアドレスやIPアドレス、クッキー情報、こうしたものがインフォマティブデータに含まれるとした上で、「単体では個人識別性を有しないが他の情報と容易に照合し、個人識別性を獲得する場合があり、個人情報に準ずる扱いとすべきである。」こういうガイドラインを策定しております。ですから、端末IDについては、これも十分に個人識別符号に含まれる、業界がそういうふうにガイドラインをつくっているにもかかわらず、そうではないというのは、これはおかしいんじゃないでしょうか。この点、いかがですか。
    • 其田政府参考人 個人情報保護法は、営利、非営利、業種、取り扱う個人の情報の種類を問わず、民間部門の個人情報を用いて事業活動を行う事業者にひとしく適用される法律でございますが、業界の特性に応じてより細やかな自主的なルールが定められることについては、個人情報や消費者の安心につながるものというふうに認識をしてございます。こうした自主的なルールにつきましては、より適切な扱いを行うためのものとして、これは、法令という共通のルールを前提とした上で、さらに適切な取り扱いを行うということでございますが、あくまで業界の特性に応じたルールであるというふうに認識をしてございます。
    • 吉川(元)委員 はっきりと個人が識別できるというふうにJIAAは言っているわけですよ。これは大丈夫なんだ、それは業界によってそれぞれやってくれというのは、おかしな話ではないかというふうに私は言わざるを得ません。私の知る限り、端末IDについては、EUそれから米国ともに、一部個人情報保護の対象としていると聞いております。過去ですけれども、政府自身も、携帯番号については個人情報に含めるというふうな説明を一時していた報道もあり、そうすると、当初はそう考えていたんだけれども、いろいろなところから声を聞いたところ、恐らく経済界等々からだと思いますが、規制が緩くなってしまったのではないかというふうにも思います。そこで、尋ねますけれども、端末IDも含めて、個人情報保護の対象範囲、日本とEU、米国との間でどういった差異があるのか、簡単に教えてください。
    • 其田政府参考人 EUにおきましては、保護対象として、個人データというもので規定をしてございます。個人データとは、識別されたまたは識別され得る自然人に関する全ての情報をいい、識別され得る個人情報とは、特に個人識別番号、または肉体的、生理的、精神的、経済的、文化的並びに社会的アイデンティティー等に特有な一つまたはそれ以上の要素を参照することによって直接的または間接的に識別されるものをいうというふうにされております。米国におきましては、平成二十七年二月に大統領府が公表いたしました消費者プライバシー権利章典法案というものがございますが、こちらはまだ成立をしておりませんので、日本の個人情報保護法に相当する包括的な法体系はないというふうに承知をしてございます。我が国の現行の個人情報保護法におきまして、個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、他の情報と容易に照合することができることとなるものを含むというふうに規定をしておりまして、改正後もこの部分は変更がございませんで、委員会が検討しております政令における個人識別符号の定めにかかわらず、事業者の内部において容易に照合ができて、特定の個人を識別することができるものは個人情報に該当することとなります。このように、諸外国の定義を単純に比較することはできませんけれども、保護されるべき個人情報の範囲の概念は大きく変わっていないのではないかというふうに認識をしております。
    • 吉川(元)委員 明らかにEUとは基準が私は違うと思います。これは後ほど大臣にお聞きをしようと思っていますので、また戻ってまいりますけれども、EUの基準と日本の基準、正直、今のお話を伺っても、やはりEUの方が厳しい、より厳しい基準になっている。ということは、後々、EUとの十分性の問題、私はこれも出てくるのではないかということを指摘させていただきます。
  • 業務の運営に支障を来すとは?
    • 吉川(元)委員 今回、行政機関が保有する個人情報ファイルから、個人の特定ができず、なおかつデータを復元できないように加工した情報を提供できるというふうになっております。ただし、法案の第二条九項三号では、行政の適正かつ円滑な運営に支障を来さない範囲で非識別加工情報を作成することができるものと規定をしております。ということは、行政の適正かつ円滑な運営に支障を来す情報については非識別加工情報にはできないということになると考えます。そこで、業務の運営に支障を来すものとして、加工が不可能な個人情報、情報ファイルがあって、なおかつ、一部または全部が情報公開によって開示されているにもかかわらず業務の運営に支障を来すというものは、一体具体的にどういうものを想定されているのか、尋ねます。
    • 上村政府参考人 行政の適正かつ円滑な運営に支障を及ぼす場合でございますが、例えば、行政機関の人員等の制約から電算処理されていないようなファイル、これはいわゆるマニュアルファイルと申しますが、紙ベースの情報が大量にある場合、これを加工してビッグデータの形にしていくということは多大な作業が必要となりますので、こうしたものは一例となろうと思っております。それから、電子計算機処理されているものでありましても、電子計算機の仕様上、情報を加工するためには一旦稼働中のシステムを運用停止させてデータを引き出す等々、それをやることによりまして日常運用されています円滑な業務運営に支障が生じる場合、こうした場合も考えられます。それから、これはもう少し厳しいケースになりますが、システム外への情報持ち出しが仕様上できないというふうな、これは事実上対応困難でございますので、こういったケースは代表的事例に当たろうかと思っております。
    • 吉川(元)委員 ちょっと関連してお伺いしたいんですけれども、いわゆる加工が不適当といいますか、今の二条九項三号の規定によって、これはだめですよ、できませんよというその認定というのはどなたが行うものなんでしょうか。所管する行政機関の長なのか、それとも個人情報保護委員会が判断をするのか、この点についてはいかがでしょうか。
    • 上村政府参考人 それは行政機関の長になります。
    • 吉川(元)委員 では、その判断が適正なものなのかどうなのかというのは、長が判断をして、これはだめだということでその判断をされるわけですけれども、それについて、いや、そんなことはないでしょうということ、異議申し立てといいますか、そういうことはできるのか、また、できるとすれば、それは誰にすればよろしいんでしょうか。
    • 上村政府参考人 一つは、各行政機関におきまして非識別加工情報の取り扱いに関する苦情の体制を整備することにしておりますので、そこに申し出ていただくということはあると思います。それから、もう委員も御指摘になりました個人情報保護委員会でございますが、これは成立をいただきましたら、各行政機関におきます非識別加工情報の取り扱いの施行状況、この報告徴収その他をすることになってございます。そういう方面からのチェックあるいは指導というのも考えられると思っております。
  • 定期的な提案の募集とは?
    • 上村政府参考人 御指摘のとおり、御提案しております法案第四十四条の四におきましては、定期的に実施することとしているところでございます。これから詳細は決定していくことになると思いますが、毎年度募集を行うというようなことを考えておりまして、年度ごとに募集期間を設定する、こういうことが制度の円滑な運営に資するということだろうと思っております。具体的には、繰り返しになりますけれども、法律の成立をいただきましてから検討しますけれども、毎年度一カ月から二カ月程度、こうした募集期間を設定するということを想定しております。
    • 吉川(元)委員 もう一つ、関連なんですが、その募集期間というのは、全ての省庁そろってやるということでよろしいんでしょうか。
    • 上村政府参考人 その点につきましては、今後検討の課題になってくると思っております。
  • 契約における利用期間とは?
    • 吉川(元)委員 行政機関非識別加工情報を取り扱う提案が許可されて、契約を結んだ、情報を受けた民間業者というのは、四十四条の七の第一項五号において、その利用期間は個人情報保護委員会で定める期間を超えないものとされております。この利用期間、おおむねどのぐらいの期間を想定されているのかということが一点目。それから、利用期間が終了した際、民間事業者には匿名加工情報としてあるわけですけれども、この情報はどのようにその後処理をされることになるのか。また、当然、利用期間が終われば利用してはいけないということになろうかと思うんですけれども、利用期間後も利用してしまった場合、それを防止する手だてというのは講じられているんでしょうか。
    • 上村政府参考人 まず、利用できる期間でございますけれども、具体的には、提案者のニーズそれから適正管理の面、こうしたものを踏まえまして行政機関と提案者との間で利用契約を締結するわけでありますが、その契約の中でそれぞれ定めることになろうと思っております。
    • 上村政府参考人 それから、その利用期間を超えてしまった場合、行政機関非識別加工情報をどうするかということでございますが、この取り扱いも基本的には契約において定めることとなると思いますが、具体的には、それは廃棄ないしは返却ということを定めるということになるんだろうと思っております。その契約条項を守らなかった場合どうするかということでございますけれども、行政機関といたしましては、契約、一旦結びましたものの履行状況を適切にフォローアップしてまいりますし、法律上も、例えば、偽りその他不正な手段により契約を締結した、それから、契約事項について重大な違反があったというときには当然契約を解除することができますし、その段階で利用は停止になります。解除に際しましては、民間事業者に対しまして、提供された情報の廃棄義務を課すことも考えられるわけでございます。 こうした契約に違反をいたしますと、当然契約解除になりますが、その先、また、この法律の欠格条項に該当いたしまして、新たな提案もできなくなるというようなことになっております。
    • 吉川(元)委員 今、ちょっと答弁の中で一点気になる言葉があったんですが、利用期間が終わった非識別加工情報については廃棄または返却ということですけれども、これは、民間の事業者にある間は非識別加工情報じゃないんじゃないですか。匿名加工情報じゃないんですか。
    • 上村政府参考人 おっしゃるとおり、それは匿名加工情報でございます。
    • 吉川(元)委員 もう局長からして、非識別加工情報と匿名加工情報、答弁で混乱しちゃっているじゃないですか。
    • 上村政府参考人 大変不適切な答弁だったかと思いますが、私が申し上げたかったのは、要するに契約をした側の行政機関から見れば非識別加工情報、それをフォローアップする、解除するということでございまして、これは民間事業者から見たらどうなるのかというふうな御質問でございましたので、それは民間事業者から見れば匿名加工情報であるとお答えをしたということでございます。
  • 委託は大丈夫?
    • 吉川(元)委員 次に、加工作業の業務委託ということですけれども、四十四条の十の一項、二項において、個人情報保護委員会の規則でその基準というのが定められるというふうになっております。読みますと、情報加工を委託できるというふうにも書かれております。外部委託、生データを渡すわけですから、漏れると大変なことになるわけで、具体的には情報加工の委託を請け負う事業者について何らかの基準を設けているのか。また、具体的にはどのような事業者を想定しているのか。
    • 上村政府参考人 個人情報の取り扱いに係る業務を外部に委託する場合でございますが、既に現行制度のもとで、個人情報そのものの委託に関しまして、行政機関の保有する個人情報の適切な管理のための措置に関する指針という指針を定めております。この中で幾つか要件を定めておりますが、主なものといたしましては、個人情報の適切な管理を行う能力を有しない者を委託業者に選定することがないよう必要な措置を講ずること、あるいは、契約書に秘密保持義務、複製制限、情報漏えい時の措置等を明記すること、それから、委託する個人情報の内容等に応じまして個人情報の管理状況につきまして年一回以上定期検査等により確認することなどとしているところでございます。今回の行政機関非識別加工情報の加工に係る委託につきましても、この指針などを踏まえまして、問題が生じないように対処してまいりたいと思っております。

行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案に対する附帯決議(案)

  政府は、本法の施行に当たっては、本法が個人情報の有用性に配慮しつつ、個人の権利利益の保護を目的としていることを踏まえ、行政の適正かつ円滑な運営を図りながら、個人情報の適正かつ効果的な利活用が進み、活力ある経済社会及び豊かな国民生活の実現に資するよう、特に次の諸点につき適切な措置を講ずべきである。

 一 個人情報の定義等を政令等で定めるに当たっては、国民及び事業者等に分かりやすいものとなるよう、これらの者から幅広く丁寧に意見を聴取するとともに、保護対象を可能な限り明確化すること。

 二 非識別加工情報の規定の趣旨が個人情報の利活用を促進するものであることに鑑み、行政機関非識別加工情報等を活用する者が個人情報保護法に基づく匿名加工情報と同様に取り扱うことができることについて、十分な周知を行うこと。

 三 個人情報保護委員会は、行政機関非識別加工情報等の作成に係る基準を策定するに当たっては、行政機関及び独立行政法人等の保有する個人情報の特質に十分に配慮するとともに、情報通信分野において日々進展する技術革新に伴って、特定の個人を識別される危険性を排除するために、当該基準に関し、適宜必要な見直しを行うこと。

 四 個人情報保護委員会は、本法を含む個人情報保護法制及び個人情報保護委員会規則の適切な運用に努めるとともに、事業者や関係団体に対し、利活用に資する情報を提供する等、必要な支援を行うこと。

   また、そのために、個人情報保護委員会の委員、専門委員及び事務局においては、行政機関及び独立行政法人等における個人情報保護制度及び民間における個人情報の利活用の実務について十分な知見を有する者のほか、個人情報が収集され、提供される国民の権利利益の保護に精通する者などを適切に登用すること。

 五 今後、各地方公共団体において、地方公共団体が策定し、又は実施する個人情報の保護に関する施策の見直しに向けた検討が行われることが想定されることから、その円滑な検討に資するよう、速やかに相談窓口を設け、必要な情報提供を行うなど国が地方公共団体に対して協力を行うための体制整備に努めること。

 六 我が国の個人情報の保護水準が国際的に十分なものであることを、行政機関非識別加工情報等の制度的な導入も含め、諸外国に積極的に周知し、相互理解を十分に深めること。

 七 行政機関等の保有する個人情報には、当該個人情報の取得プロセスにおける義務性・権力性が高いものや、本人にとって秘匿性が高いものが多いことに鑑み、行政に対する国民の信頼を確保する観点から、行政機関等は、保有する個人情報の保護に係る実効性ある情報セキュリティ対策の在り方について不断の検討を行い、必要な対策を遺漏なく確実に実施すること。

 八 行政機関及び独立行政法人等においては、非識別加工情報が行政機関等の内部においては個人情報に該当することを十分に認識し、個人情報を取り扱う業務に従事する者のICTの知識とモラルの向上、法令・情報セキュリティポリシーの遵守の徹底を図るための研修実施など、継続的な人材育成に必要な措置を講ずるとともに、非識別加工情報と他の情報との照合は、所掌事務の遂行に必要であり、かつ、人の生命、身体又は財産の保護のために緊急に必要がある場合に限る等、個人情報の保護に万全の体制を構築すること。

 九 本法の適正な運用を確保するため、責任者を定めて責任の所在を明確にするなどの管理体制の整備、指針の作成、研修の実施等による指導の徹底を図ること。

 十 教育、広報その他の継続的な活動を通じて、個人情報及び非識別加工情報の適正な取扱いの下での利活用の推進に関する国民の理解と信頼を深めるよう努めること。

 十一 附則第四条に規定する「個人情報の一体的な利用の促進のための措置」を講ずるに際しては、「法制上の措置」も含めて検討するなど、以上の諸点を踏まえ、必要な見直しを行うこと。

  右決議する。

総務委員会名簿はここ

なお、参議院未済。会議録はここ