2021年1月21日 行政のデジタル化等の急進による個人情報保護制度の改悪に反対する声明を発表しました
行政のデジタル化等の急進による個人情報保護制度の改悪に反対する
2021年1月21日
自 由 法 曹 団
第1 デジタル化を強固に進める政府の態度と現場の乖離
政府は、2020年12月25日、「デジタル社会の実現に向けた改革の基本方針」(以下、「政府方針」という。)を公表した。政府方針では、「行政のデジタル化の遅れに対する迅速な対処や、データの蓄積・共有・分析に基づく不断の行政サービスの質の向上こそが行政のデジタル化の真の目的である」とし、「社会のデジタル化を強力に進めるため、施策の策定に係る方針等を定める高度情報通信ネットワーク社会形成基本法(平成12年法律第144号。以下「IT基本法」という。)の全面的な見直しを行うとともに、デジタル社会の形成に関する施策を迅速かつ重点的に推進する新たな司令塔としてデジタル庁(仮称)を設置する」等、急進的にデジタル化を推し進めようとしている。
かかる政府方針に先立ち2020年7月17日に発表された「経済財政運営と改革の基本方針2020~危機の克服、そして新しい未来へ~」(以下、「骨太方針2020」という。)及び2020年6月26日付地方制度調査会による「2040年頃から逆算し顕在化する諸課題に対応するために必要な地方行政体制のあり方等に関する答申」(以下、「地制調答申」という。)においても、人口減少と高齢化、インフラの老朽化やコロナウィルス感染症のリスク等を上げ、これらに対処するために「目指すべき地方行政の姿」として、デジタル化を掲げている。
しかし、デジタル化を進めさえすれば行政の効率的運用が実現するというのは幻想にすぎない。新型コロナウィルス感染症の蔓延に伴い、保健所が大幅に削減されてきたことが問題視されたことは記憶に新しく、公立学校の教員不足、医療における人員不足が浮き彫りになったにもかかわらず、その対応も不十分と言わざるを得ない。また、自治体では行政サービスの外部委託が進められており、サービスの質の低下と職員の労働条件の悪化が懸念される。実際の労働を担う人員の確保や労働環境の改善などの手段を講じることなく、デジタル化のみを推し進めようとする態度は、根本的に誤っているといわざるを得ない。
第2 行政のデジタル化等に伴う個人情報保護制度の統一化・平準化の危険性
1 個人情報保護制度の統一化・平準化の方針の明示
政府は、このような急激なデジタル化の推進により、国民の個人情報の保護体制も大きく改変しようとしている。
政府方針では、「国・地方公共団体を通じて情報システムや業務プロセスがバラバラで、地域・組織間で横断的なデータの活用が十分にできないこと」を課題の一つに挙げ、「国及び地方公共団体において、相互に連携しつつ、情報システムの共同化・集約の推進」等の措置を講ずること、新たに設置されるデジタル庁が総務省と連携し「地方公共団体の情報システムの標準化・共通化に関する企画と総合調整を行う」としている。
骨太方針2020及び地制調答申は、より具体的に、「国・地方自治体を通じて情報システムや業務プロセスがバラバラで、地域・組織間で横断的にデータも十分に活用できないなど、様々な課題が明らかになった。こうした行政のデジタル化の遅れに対して迅速な対処が必要である。」(骨太方針2020・15頁)、「各地方公共団体が制定している個人情報保護条例においては、個人情報の定義や制度内容に差異が存在するほか、独自の規制を設けている場合もあり、官民や官同士での円滑なデータ流通の妨げとなっていると指摘されている」(地制調答申・9頁)と問題視し、「民間の人材・技術・知恵を取り入れ、徹底した見直しを行い、ベンダーロックインを避け、オープンアーキテクチャを活用し、個人情報の保護を徹底し国民の理解を得つつ、利用者目線に立ちデジタル化・オンライン化を前提とする政策システムへの転換を進める」(骨太方針2020・15頁)と、個人情報保護の在り方の見直しを進める方針が示されている。
菅義偉首相も、2020年9月25日、第3回マイナンバー制度及び国と地方のデジタル基盤抜本改善ワーキンググループにおいて、2025年度末までに自治体の業務システムの統一・標準化を行うことを表明した[1]。
さらに、自由民主党行政改革推進本部による「デジタル社会構築に向けた中間とりまとめ」(以下、「自民党中間取りまとめ」という。)では、地方公共団体の条例による独自の個人情報保護措置に対しては、現状存在する上乗せ規制、横出し規制に対する場合を含め、法律が示す共通ルールが優先されることを法律に明記すべき」、「地方公共団体が、個人情報保護に関する条例を定めようとする時は、事前に個人情報保護委員会と協議すべきこと、事後に届け出るべきことを法律で定めるべき」、「地方公共団体による当該条例が法律に違反する又は著しく適正さを欠くと国が判断するときは、国が是正の要求又は是正の指示ができることを法律で定めるべきである」と、地方公共団体による個人情報保護に関する条例制定権そのものを大きく制限しようとしている。
しかし、このような個人情報保護制度の在り方の統一化・平準化は、憲法13条が保障し、個人情報保護法及び自治体の個人情報保護条例によって構築されてきた国民のプライバシー権を脅かすものであり、断じて許されない。
2 分権的な個人情報保護システムの意義
我が国においては、個人情報保護に関する一般法として、個人情報保護法があり、行政機関の有する個人情報については、行政機関の保有する個人情報の保護に関する法律(行政機関個人情報保護法)が制定されている。かかる現在の法体制は、2000年代に入ってようやく整備されたものであるが、これらの国による法整備に先立ち、先進的な自治体は、個人情報保護条例を制定し、我が国における個人情報保護法制の構築に大きく貢献してきた。
このような経緯もあり、我が国の行政機関が保有する個人情報保護の在り方は、分権的なシステムが採用されている。すなわち、行政機関個人情報保護法は国家が保有する個人情報のみを対象とし、地方公共団体の有する個人情報は個人情報保護条例によって保護される。先進的な自治体による個人情報保護の在り方に遅れて法整備を行った国が、条例を廃止して一元的に規制することは適切ではないと判断され、また、個人情報保護は公共団体の自治事務であり、「国は、地方公共団体が地域の特性に応じて当該事務を処理することができるよう特に配慮しなければならない」(地方自治法2条13項)からである。
このような我が国の法体系及び個人情報保護制度の構築の経過から、近時においても、国に先立ち各公共団体において先進的な制度が構築される例もある。例えば、かねてから必要性が議論されつつも未だに法制度として認められていない法人の自己情報開示請求権について、神奈川県秦野市はこれを認める条例を制定している。
3 画一的な個人情報保護規制の問題点
これまでも、複数の公共団体にまたがって転院した場合の医療記録の共有が困難である等、分権的な個人情報保護システムの問題は指摘されているところではあるが、そのような問題点は個別法の制定によって解消してきた。
しかし、上記骨太方針2020及び地制調答申や菅首相の発言は、このような個別的対処ではなく、行政のデジタル化を理由に、行政が有する個人情報すべてについて、以上のような我が国の分権的な個人情報保護システムの在り方を根本から転換し、国による統一的な規制を行う方針を示したものといえる。
かかる方針は、各公共団体において、住民との合意のもとで制定されてきた独自の個人情報保護の在り方を破壊し、公共団体による先進的な個人情報保護制度の構築を後退させるものになりかねない。
特に、近時においては行政事務の外部委託が急激に進められており、行政が取り扱う個人情報の管理を民間企業が担う場面が今後さらに増えていくものと思料され、公共団体ごとにその実情に合わせた個人情報保護の在り方を独自に構築していくことの重要性はますます高まるものといえる。
情報科学技術の発達により、行政のデジタル化自体は進められるものとしても、これによって市民の個人情報保護がおざなりとなることはあってはならず、上記のような我が国の個人情報保護制度の構築経過からすれば、公共団体による独自の個人情報保護制度をないがしろにすることは許されないというべきである。
第3 個人情報利用制限の緩和は行ってはならない
1 個人情報保護制度統一化・平準化の狙い
上記のような個人情報保護制度の在り方の統一化・平準化は、各自治体における個人情報保護条例による個人情報保護を緩和することを狙いとするものと考えられる。
実際、2020年10月28日に開催されたデジタル改革関連法案ワーキンググループ第2回会合において、慶應義塾大学教授宮田裕章氏は、「21世紀の基本的人権」と称し、データ共同利用権の確立の必要性を主張した。その内容は、「パーソナルデータも含めたデータへのアクセスを推進するとともに、データによる価値実現を促進する」ことを目的とし、「データの第三者からの一定条件でのアクセスと利用を可能とするような、データポータビリティの担保もしくはAPI連携の義務化を行うこと」、「データホルダーによる許諾だけに基づくものではなく、データ取得方法、データの管理主体、データの利用目的等に鑑みて相当な公益性がある場合に、データ利用を認めるもの」としている[2]。
政府方針、自民党中間とりまとめにおいても、以下で述べるような情報主体たる個人の自己情報の管理等に関する権利などは一切触れられていない。
このことからも、政府方針等で示された個人情報保護制度統一化・平準化の真の狙いは、個人情報保護制度の充実ではなく、行政の効率化や企業等による個人情報利用を容易にすることにあることは明白である。
2 個人情報は情報主体である個人のものである
EUにおける一般データ保護規則(General Date Protection Regulation:GDPR)は、前文において、「個人データの取り扱いと関連する自然人の保護は、基本的な権利の一つである」(1)、「特に、その個人データ保護の権利を尊重する」(2)とし、「自然人は、自身の個人データの支配権を持つべきである」(7)と述べた上で、「個人データの取り扱いは、人間に奉仕するために設計されるべきである」(4)としている[3]。その上で、情報主体によるアクセス権(15条)、訂正の権利(16条)、消去の権利(17条)、取り扱いの制限の権利(18条)、異議を述べる権利21条)等、情報主体の権利を定めている。このように、GDPRは、個人情報の取り扱いは情報主体である個人の保護にあることを前提として、個人情報の利活用を制限しているのであり、かかる情報主体自身による自己情報の管理を可能とすることを中心に据える制度設計が世界標準であるというべきである。
データ共同利用権の創設等の上記方針は、このような個人情報保護の在り方は情報主体たる個人を中心にすべきという前提に立つことなく、行政の効率化や企業によるデータの利活用を重視するものといえ、世界における個人情報保護の在り方の趨勢に真っ向から反するものと言わざるを得ない。例えば、GDPRが認めるデータポータビリティ権は、第三者が個人情報にアクセスする権利を定めたものではなく、「データ主体に権利を付与し、データ主体が自己の個人データをよりコントロールできるようにする」[4]ために、データ主体が、データ管理者に対し、個人データ(当該データ管理者において収集した当該個人の情報)を他のデータ管理者に移転するために持ち出したり、直接移転させたりする権利である。すなわち、あくまでデータ主体における管理を前提としているのであり、公益性を背景に第三者が本人に無断で個人情報を利用する「データ共同利用権」とは全く異なる概念であるというべきである。日本国憲法13条が保障するプライバシー権には、自己情報コントロール権も含まれると解すべきことは学説上の圧倒的通説であり、上記GDPRの諸規定は、日本国憲法下においても保障されるべきものといっていい。
「データ共同利用権」は、国家又は経済界による個人情報の収集・管理を想定しているものと考えられる。かかる国家等による個人情報の管理は、ナチスドイツにおけるユダヤ人の迫害、我が国におけるハンセン病患者への迫害等に利用されてきた歴史的経緯からも、基本的人権にはなりえないし、むしろ、基本的人権であるプライバシー権(自己情報コントロール権を含む)を大きく侵害するものであり、断じて認められるべきものではない。
上記のとおり、政府方針、自民党中間とりまとめにおいても、GDPRに列挙される情報主体の権利については何ら具体的に言及していないのであり、データの利活用のみが優先されているといわざるを得ない。このような方針が具体化されれば、情報主体の権利はないがしろにされ、政府や経済界の効率化及び儲けの手段として個人情報が使われることになることは自明である。このような事態を招きうる政府方針に基づく個人情報保護制度の改悪は、憲法13条が保障するプライバシー権を侵害するものであり、断じて許されない。
3 個人情報保護システムの統一化・平準化及び情報の一括管理の危険性
さらに、自民党取りまとめにおいては、新たに設立する「デジタル庁」について、「デジタル社会形成に関する司令塔となるべきであり、デジタルに関する全権限がデジタル庁に集中されるべき」とし、現在、国からは独立した機関として運営されている地方公共団体情報システム機構(J-LTS)及び情報処理推進機構(IPA)を国が監督するとしている。しかし、かかる個人データの管理方法の統一及びデータ自体の一括管理は、深刻化しているサイバー攻撃に対して脆弱であり、攻撃を受けた際に被る被害も甚大なものとなることは明らかである。このような方針は、情報セキュリティの在り方について事故が生じうることを前提として構築すべきとするセキュア・ジャパン2009にも反しうるものである。
したがって、かかる個人情報保護利用の緩和及び個人情報管理の標準化・統一化、国家等によるデータの一括管理は行うべきではない。
4 小括
以上のとおり、政府方針において示された個人情報保護制度の統一化・平準化は、個人情報の帰属主体は個人であるという前提を排除し、行政の効率化及び企業によるデータ利活用をその真の目的として、個人情報保護制度の規制緩和を図るものである上、情報セキュリティの面からも大きな問題がある。これは前述のとおり、憲法13条の保障するプライバシー権を侵害するものであり、断じて認められない。
第4 デジタル化のみに頼るのではなく現場で真に求められる行政サービスを実現すべきである
政府は、2021年通常国会において、デジタル化関連法案として、デジタル庁法案、マイナンバー改正法案、IT基本法改正法案等、5本を超える法案を一括審議し、成立させる方針であると報道されている[5]。自民党中間取りまとめにおいても、しかし、上記のとおり、個人情報保護の在り方に関する議論状況は到底習熟したものとは評価しえない。また、論点が大きく異なる法案を一括して処理することは、基本的人権であるプライバシー権や地方自治に関わる重要な論点を含むにもかかわらず、十分な審議が担保されないおそれがある。したがって、かかる議論は、十分に国民に周知した後、個別の論点について国会での十分な議論を経るべきであり、かかる一括審議には強く反対する。
以上のとおり、現在進められようとしている行政のデジタル化は、これを推進すること自体を目的化し、人員の拡充等行政サービスの質の向上に不可欠な課題から目をそらし、デジタル化自体のために障害となり得る個人情報保護制度の在り方の根本を転換し、その保護の在り方を弱体化させるおそれが強く、問題が大きいと言わざるを得ない。
したがって、自由法曹団は、かかる拙速なデジタル化の推進及びこれによる個人情報保護制度の見直しには強く反対し、デジタル化のみに頼るのではなく、真に住民への行政サービスを充実させるために必要な施策を講じることを求める。
以上
[1] NHK NEWS WEB https://www3.nhk.or.jp/news/html/20200925/k10012633981000.html
[2] 首相官邸HP(デジタル改革関連法案ワーキンググループ(第2回)議事次第
https://www.kantei.go.jp/jp/singi/it2/dgov/houan_wg/dai2/gijisidai.htm
[3] 個人情報保護委員会HPにおける翻訳文
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
[4] データポータビリティの権利に関する個人情報程委員会HPにおける翻訳文
https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/
[5] 日本経済新聞2020年10月22日https://www.nikkei.com/article/DGXMZO65279000R21C20A0PP8000