個人情報保護法改正による問題点

2月26日、弁護士で神奈川県・逗子市・神奈川県後期高齢者医療広域連合の個人情報保護に関する審議会等の委員の森田明さんに「個人情報保護法改正による条例『リセット』の問題点」と題するお話を伺いました。

 

個人情報保護法制のあゆみ

個人情報保護法は1970年代半ば以降、地方自治体がリーダーシップをとって制定してきました。1988年には国が行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律(旧行政機関個人情報法)を制定しました。1990年には、神奈川県個人情報保護条例が都道府県で初めて制定されました。この後、都道府県レベルで制定が進みました。2003年には個人情報保護関連5法(個情法、改正行個法など)成立。2015年には個人情報保護法の改正があり、個人情報の利活用が強調され、匿名加工情報が導入されました。また附則で「施工後3年ごとの見直し」が規定されました。2017年には総務省は改正行個法に合わせた条例改正を地方公共団体に求めましたが、地方公共団体は、匿名加工情報など利活用拡大のための改正には消極的でした。

2019年には内閣官房タスクフォースが設置され、2020年に個人情報保護制度の見直しに関する検討会が開かれ、有識者からの意見を聴取しました。2020年9月には菅内閣が誕生し、「デジタル庁」が目玉政策となりました。そのため、情報の利活用を進めるために支障となる地方公共団体がそれぞれ制定している個人情報保護条例を画一化し、保護を緩和する方向に進んでいきました。2020年12月には内閣官房タスクフォースの最終報告が出ました。そこには「すべての地方公共団体等に適用される全国的な共通ルールを法律で規定することが効果的で適当」「共通ルールについて国がガイドラインを示し、地方公共団体等はあらかじめ定型的な事例について運用ルールを決めておくことにより、個別の個人情報の取り扱いの判断に際して審議会等に意見を聞く必要性は大きく減少する」「独自の保護措置を条例で制定しようとする地方公共団体は個人情報保護委員会に、その内容を事前に確認し、情報の提供、助言等の必要な支援を求めることができる」というような内容でした。

2021年2月にはデジタル改革関連法案が6つの束ね法案として上程されました。非常に分かりにくく、国会の審議も不十分なまま5月には成立。当時平井デジタル大臣は「個人情報保護条例はリセットする」と答弁しました。6月には個人情報保護委員会を立ち上げ、「規律の考え方」を提示し、地方公共団体への周知を進めてきました。現在ガイドライン案についてのパブリックコメントを開始しています。来年2023年4月には改正法51条(条例画一化に関する改正部分)が施行予定です。

 

個人情報保護制度見直しの全体像

①個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し全体の所管を個人情報保護委員会に一元化。

②医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用。

学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精密化。

個人情報の定義等を国・民間・地方で統一するとともに。行政機関等での匿名加工情報の取り扱いに関する規律を明確化。

 

地方公共団体は、住民と直接的に関わることから、大量かつ多様な個人情報を保有しています。個人の権利や利益の保護のために独自に条例によるルールを作り必要な保護措置を講じてきた経緯があります。

要配慮情報(センシティブ情報)の取扱制限、本人外収集の制限、目的外利用・提供の制限、オンライン結合の制限があり、審議会には大きな役割があります。その地域にふさわしいものを有識者や住民代表で議論して制定してきたのです。ですから法改正によって共通ルールで条例を標準化することは今までの運用と整合性が保てなくなることになります。(要配慮個人情報の取扱制限、本人外収集の制限、オンライン結合の制限などについては法に定めがないから条例で規制することは許されなくなる)

審議会の諮問事項が限定的になる、開示請求が任意代理人で認められることになる、匿名加工情報が地方自治体においても法律で義務付けられることになるなど、問題点が多く個人情報保護の後退につながることが危惧されます。

 

地方自治、条例制定権との関係は

すでに条例がある分野について、法律で一律に規制をかけるのは異例で地方自治の本旨に反するものとされる恐れがあり、しかも個人情報保護の分野では条例が先駆的な役割を果たしてきています。法律で統一化することで個人情報保護の後退を招くことになれば、合理性を欠く制約として条例制定権を侵害します。

地方公共団体は地域の特性に応じて必要な個人情報保護の施策を取ることが義務付けられているから、国が制約することは許されない。憲法、地方自治法の趣旨からも地方公共団体にかかわる法令の解釈について、自立的、主体的に行うべきで、地方公共団体の主体的な解釈を否定して一方的に押し付けるのは問題だとされました。

 

私たちは何をすればいいのか

これまで自治体は国より厳しい規制で住民の権利を守ってきました。川崎市では1985年に制定しています。個人情報を本人から直接収集するという原則がなくなると、自己情報のコントロール権がなくなってしまいます。

また要配慮情報(思想、信条、社会的身分、病歴、犯罪歴など)の収集の制限なくなることは、人権侵害にならないのか非常に危惧されます。共通ルールにどこまで上乗せができて、認められるのでしょうか。

審議会の役割を「特に必要な場合」につき専門的知見を有する者の意見を踏まえた審議が必要としていて、諮問事項が限られてしまうことも問題です。

個人データの利活用が成長戦略に組み込まれていますが、個人の権利をどう守っていくのか、本人が知らない間に集められた個人情報が、情報連携して、集積、利用されることに不安を感じます。

神奈川県はすでに個人情報に関する審議会を定期的に開いて検討しています。来年4月施行のためには、この秋には制定する必要がありますが、まだまだ自治体の動きは遅く議論の立ち上げもできていないところが多いとのこと。先行している県の動きも参考に、川崎市でも個人情報保護が後退することがないように声を上げていきます。