個人情報の国家集中管理 監視社会よぶデジタル法案

個人情報の国家集中管理 監視社会よぶデジタル法案

山田健太・専修大学文学部ジャーナリズム学科教授(言論法)

衆院内閣委員会で質問に答えるため挙手する菅義偉首相(右)。左は平井卓也デジタル改革担当相=国会内で2021年3月31日、竹内幹撮影

衆院内閣委員会で質問に答えるため挙手する菅義偉首相(右)。左は平井卓也デジタル改革担当相=国会内で2021年3月31日、竹内幹撮影

 国会で審議中のデジタル改革関連法案で、政府は法目的として「デジタル社会が目指す方向性」を示している。10の基本原則を掲げ「人間中心のデジタル化」「誰一人取り残さない」「人に優しいデジタル化を目指す」などとうたっている。

10の基本原則のうち、冒頭の三つが「オープン・透明」「公平・倫理」「安全・安心」だ。まさに原則の中の原則とされている。ではこの三つは法案できちんと守られ、具現化しているのか――。

最初に結論を述べるなら、NOである。しかも単に果たされないだけでなく、その逆を行こうとしており、それを覆い隠さんがために、美辞麗句を並べていると言ってもよい状況だ。

さらにいえば、数ある問題点を見えなくするがために、一括法案でごまかしているのではないかとすら思える。これこそが、疑問に答えることも、その余裕もないまま急ピッチでの審議が進む、この法案をみるうえでの大きなポイントだ(本稿は、筆者の衆院内閣委員会参考人意見陳述と一部重複する。また関連として、拙稿「メディア時評」琉球新報20年11月14日付がある)。

法案の内容は

4月6日に衆院を通過した五つの法案は、全部で63本の法改正を束ねる一括法案にもかかわらず、担当する内閣委員会では30時間弱で採決に至った。本会議での実質審議はゼロだった。にもかかわらず、その内容は多岐にわたり、現行制度の抜本的な変更になるものもある。

提出された法案の名称は、

・デジタル社会形成基本法案

・デジタル庁設置法案

・デジタル社会の形成を図るための関係法律の整備に関する法律案

・公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律案

関連記事

<山田健太氏>ネットの「自由な言論」をどうするか

<田中秀明氏>デジタル庁と政府の信頼

<田中秀明氏>総務官僚接待問題で考える不透明な「許認可」行政

<田中秀明氏>東日本大震災から10年 復興のあり方を問う

<田中均氏>コロナ感染拡大阻止には政治への信頼が不可欠だ

<小川和久氏>危機管理の基本忘れた日本のコロナ対策

 ・預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律案

の五つで、これに総務委員会での審議が予定されている、

・地方公共団体情報システムの標準化に関する法律案

をあわせた六つが、今回の政府が進めるデジタル化政策の中核をなす。

しかし実際の中身は、

①IT国家基本戦略の見直し

②行政を横串して権限を集中させるデジタル庁の設置

③個人情報保護法制の全面改定と一本化

④国と地方の個人情報保護制度の標準化

⑤マイナンバー制度の整備強化

 であることがわかる。これまでは「デジタル強靱(きょうじん)化」を、2000年にできた高度情報通信ネットワーク社会形成基本法(通称IT基本法)に基づき実施してきたが、首相の肝いりであるとともに、コロナ禍のなかでの政府対応の悪さをデジタル化の遅れのせいとして、一気に衣替えを狙ったものだ。

具体的には、スマート自治体への転換の遅れが給付金などの支給遅延を招いたとして、制度の一本化を図ることで手続きのスピードアップを実現するとともに、マイナンバーカードを義務的に国民全員が保有することで、より利便性をアップすることをめざす。

あわせて、自治体ごとに個人情報保護の制度や運用が異なることで、政府の統制が利きにくいとして、標準化の名のもとに権限の政府集中を図っている。個人情報の政府集中管理を進めるとともに、利活用をより円滑に行えるようにし、経済成長の柱にしようというわけだ。

情報公開は完遂されているか

では改めて、冒頭に紹介したゴールを目指すための原則がきちんと守られているかをチェックしてみよう。一つ目の「オープン・透明」だが、具体的には、利用者への説明責任を果たすと書かれている。これは言い換えれば、「情報公開(行政の見える化)」のことだ。

公文書の作成、保管や、政府の説明責任義務、知る権利の実効的制度としての情報公開制度に基づく開示が、この情報公開の中身であることは言うまでもない。しかし現実には、大変残念ながら、公文書の改竄(かいざん)、隠蔽(いんぺい)、廃棄や、記録作成義務違反の状態が、今回のコロナの専門家会議の中でも見られているところだ。あるいは、特定秘密などのブラックボックスの拡大もあると指摘されている。

今日のコロナ対策とりわけ感染者追跡システムとして、韓国や台湾がモデル例として挙げられることがあるが、その前提は行政の徹底した情報開示、そして自己情報へのアクセス権の確保だ。

それによって政府の信頼性を高め、そのうえでさまざまな施策を打っているわけであって、まさに、情報公開の完遂こそが個人情報に関する制度の立案にあたっては、まず前提にすべきだと改めて確認しておきたい。

自己情報のコントロール権は確保されているか

二つ目の「公平・倫理」について政府の説明ペーパーは、個人が自分の情報を主体的にコントロールすることとある。これは、自己情報コントロール権を意味し、権利の拡張をうたうものだ。

実際、データ主体の権利保護は国際標準だし、自己情報コントロール権は今日のプライバシー権の中核でもある。あるいは、マイナンバー制度におけるマイナポータルの最初のうたい文句としても、権利の拡充が言われていた。しかし、実際はそうなっていないのではないか。

今回の法案を見ても、本人の同意なしに第三者提供されたり、目的外使用されたりする可能性が指摘されている。それは後述する、「相当の理由」という極めて低いハードルでの目的外利用を認める仕組みに象徴的に表れる。

 まさに、法構造自体が、保護よりも利用が優先されている日本の特徴を表している。

もともと、日本の個人情報の保護の守り方は、いわゆる情報を持っている組織や団体や企業を縛って個人情報を守る仕組みであって、個人の権利(たとえば自己情報コントロール権)を権利化して個人を守ることについては不十分だ。この点でも、保護よりも行政機関や民間企業の利活用に軸足が置かれていることがわかる。

今回の場合、この縛りを緩めることが法案の中身であることは否定のしようがない。であるならば、バランスを取るために、当然ながら個人の権利を強化する必要がある。

せっかく個人情報保護法を一回リセットして、新しく組み替えるならば、その冒頭に個人の権利の強化、まさに自己情報コントロール権をきちんと明文化していくことこそが求められる。

漏えいは防止できるか

三つ目は、「安全・安心」で、ここには個人情報を保護することで、デジタル利用による不安を低減するとある。この安心・安全は具体的にはいろいろあると思われるが、もっともベーシックな対応は情報漏えいの防止だ。

一般的な漏えいの原因は、ヒューマンエラー、システムの欠陥、ハッキングとされる。これまでも一般的な対策として、分散管理、保護義務の徹底、取扱者の限定などが行われている。

では今回の法案はどうなっているか。まさにこの分散管理を集中管理の方向により強めるものにほかならない。非常に大きな集中管理のシステムを、さらにより大きくしようとしている。そうなれば何が起きるかといえば、業務が増えて再委託が増えていくことにならざるをえない。

例えば地方自治体のマイナンバー関連の業務は、いま現在でも4次、5次下請けだ。それがさらに6次、7次下請へと増えていく可能性をこの法案ははらんでいる。当然、それは漏えいの危険が増大することになる。実際、すでにさまざまな局面で、こうした漏えい問題は起きているにもかかわらず、精神論で止めるといっても実現性は乏しい。

しかも、今法案でより膨大な個人情報が政府に集約され、しかもマイナンバーにひもづけることで、その漏えいリスク・深刻度は格段に上がる。

国際標準に逆行

以上、改めて法案が有する三つの懸念をまとめておこう。一つ目には、前提となる情報公開制度の不備があり、それゆえに監視制度の強化が必要だ。本来であれば、制定以来一度も改定をしないことで国際水準から立ち遅れている情報公開制度をバージョンアップするのが正しい筋道だ。

あるいは、文書管理や情報開示の運用を、いちから見直し、せめて「当たり前」のことをできるようになってから、初めてデジタル化の話が出てくるべきだ。

二つ目は、本人同意なき利活用を止めていくことだ。そのための方策として、権利を縮減するのではなくて拡大していくことが求められる。具体的には、自己情報コントロール権を明示するなど、同意原則の明確化と本人情報の追跡の徹底が図られる法内容にすることが条件になる。

そして三つ目は、一元管理の危険性にどう歯止めをかけるかだ。そのためには、下請け構造による漏えい危険性の拡大を止めることが重要だ。民間情報も含め、すべてをデジタル庁の長である首相に一元化できるような仕組みはおかしくないか。

いま、ヨーロッパを中心に、行政が保有する情報の分散化が大きなテーマになり、実際に動きつつある。それはデジタル化された情報をまとめるのは危険、というのが世界の常識だからだ。そうした中で、日本がまったく逆の道を歩もうとしていることを知らねばならない。

マイナンバーカードの問題点

次にマイナンバーカードの搭載情報について確認をしておきたい。個人情報(プライバシー)はおおよそ、以下の四つに分けて考えるとわかりやすい。

①絶対秘=センシティブ情報 憲法上の要請で絶対非公開

②原則秘=プライバシー情報 法律で保護された要配慮情報など

③相対秘=パーソナル情報 名前や住所といった個人識別情報

④公開秘=オープン情報 個別法によって公開義務付け

ここでいう①は、憲法が収集自体を絶対禁止している思想・信条などをさす。②は、自分と当事者の相手方しか持っていない情報だ。国が持っているものでいえば税務情報等々があるし、病院での医療情報、あるいは学校単位での教育情報などがこれに当たる。③も、もちろん個人情報ではあるが完全に一対一で持っているものではなく、もう少し幅広くみんなが知っているもの、例えば名前であったり住所であったり、最近ではLINEのアドレスもそうかもしれない。④は、個人情報ではあるが法律などによって公開が義務づけられているものをさす。例えば、政治家の資産公開などがそれに当たる。

ではマイナンバーは、あるいはマイナンバーカードの搭載情報はどれに当たるのか。実際、まず③の個人識別情報については、マイナンバーカードの搭載が最初から予定されていた。あるいは②についても、一定程度限定的にマイナンバーカードに搭載されることが最初から予定されてはいた。しかし、それはあくまでも限定的だった。

しかし、今回この法案で変わる二つの大きなポイントがある。一つは、今まではカードを作るのも作らないのも自由だったものが、健康保険証との一体化などによって義務化が進むことになる。しかも③のカテゴリーは名前や住所にはじまり、銀行口座番号など一気に義務的搭載が進むことになる。

しかも、②のプライバシー情報については、これまではほんの一部だったのが、ほぼ全面的にこれらをマイナンバーカードに搭載する形になっている。

いわゆる機微情報、要配慮情報と言われるような医療情報が含まれ、マイナンバーカードに載せるには躊躇(ちゅうちょ)があったにもかかわらず、既にこの3月からマイナンバーカードに搭載することで作業が進んでいる。

しかもそれらにプラスして、認証のために生体情報まで入れることになっている。この生体情報やセンシティブ情報は、まさに①に近い、すなわち絶対秘に近いものともいえる。この野放図な収集と搭載、そして義務化に対し、一体どこで歯止めをかけるのかを、いま一度このタイミングで考える必要があるのではないだろうか。

利活用拡大の歴史

個人情報保護法の一本化ももっぱら、民間や政府が収集した個人情報の、ビッグデータをはじめとする利活用のためとされている。これまでは民間を主たる対象とした個人情報保護法と、政府・自治体を対象とした行政機関個人情報保護法、そして独立行政法人等を対象とした独立行政法人等個人情報保護法の三つが存在した。これを一つにまとめるのは、確かに形式的には美しい。

ただし実際は、一つにまとめれば当然、図体(ずうたい)は大きくなる。全部で200条近い法律が誕生し、その構成も極めて複雑で、いったいどこに何が書いてあるのか判読するのに一苦労だ。

あえて勘ぐれば、わかりづらくすることで、制度の「穴」を見つけづらくしているとしか思えない代物だ。しかもありがちな話として、こういう複雑怪奇な法律を作ると、行政解釈に沿ったコメンタール(ハンドブック)が必ず出され、省庁の思うがままの運用が始まることになる。

今回の場合は、結果、間違いなく行政機関は「目的外利用」がしやすくなり、個人情報の名寄せがおこなわれ、場合によっては結合もされるだろう。それらを、個別の法によって認めるのではなく、担当者の「相当な理由」という極めて軽い判断だけで自由に行えるということだ。

これまでも、民間収集の情報を提供させ(例えば、コロナ禍における人流データ)、一方で政府収集の情報も民間提供してきているが、これらは原則「匿名化」され個人が特定できなくなることで、個人情報ではなくなる理屈だった。それをさらに拡大しようということも起きるだろう。

国に合わせる

さらにもう少し細かい点を指摘すれば(ただし、極めて重要な改正点だ)、国と地方の一本化が「国に合わせる」ことになっているのがさまざまな問題を生むことになる。

第一には、これまで自治体は本人からの直接収集を原則としていたが、国にはこのルールが適用されていないので、「合わせる」ことで今後は自治体も、本人了解なしに勝手に情報を収集することが可能になる。同様に、要配慮情報と言われるセンシティブな情報も、これまで自治体は原則禁止だったが、国のルールに合わせるとOKだ。

要するに、国に合わせるということは、より基準を緩やかにして、住民の個人情報しかも思想信条といったセンシティブなものも含め、集めることができる、ということだ。そして自治体が集めた情報はそのまま国が吸い上げることになる。

さらにいえば、自治体の場合は審議会と呼ばれる外部委員によるチェック機関があって、自治体の監視役を務めてきたが、法案ではそういった組織はいらないとしている。教育委員会をなくしたのと同様の国の直轄化だ。

フルスペックの「利活用」

前述したが、もともと日本の個人情報の守り方は、情報を収集・保有・利用する側を縛るものだ。一方で、情報の主体である本人は蚊帳の外で、当事者にもかかわらず守る術を有していない。

にもかかわらず、情報を有する側の縛りを一貫して緩めてきたのが日本の法制度であって、一方で自己情報コントロール権も含め、個人の権利化は進捗(しんちょく)がない。その結果、両者のバランスはますます崩れる一方となる。

第1世代の旧・コンピューター個人情報保護法(1988年)から始まって、現行の個人情報保護法と行政機関個人情報保護法のオリジナル(2003年)である第2世代、そしてビッグデータ活用法と呼ぶべき第3世代の改正・個人情報保護法(2015年)と並べてみても、そこでの法目的は常に「利活用」であり、改正はその拡大のためだった。

今回の法改正はその完成版であって、フルスペックの包括的個人情報利活用法だといえるだろう。決して第4世代が「進化」したわけではないことを確認しておく必要がある。

弱いチェック機能

しかも推進役としてデジタル庁を設置し、権限を集中する。首相が長を務める異例の行政機関で、首相と内閣情報調査室に全国民の個人情報を集約できる仕組みとなる。

同庁は、負の側面にも配慮した監視役も兼ねることになるという。こうして、アクセルとブレーキの両方を兼ねる方式は、チェック機能を弱体化させることになるだろう。

コロナ感染症の抑制・防止対策を、経済振興担当の経済産業省が担うのと発想は同じだが、為政者の「真の目的」のために不都合な機能を弱める制度にするといった、ある意味で日本の行政組織の特徴ともいえる(原子力行政における、経産省と原子力安全委員会<現・規制委員会>の関係も同じだ)。

政府が個人情報を思うがままに収集・保有・活用できるということは、個人情報の国家集中管理の強化そのものであり、監視社会化につながる危険性が間違いなく高まる。

とりわけ捜査情報は個人情報保護委員会の監視の対象から事実上外されているほか、特定秘密保護法に基づき秘密指定されると、これまた個人情報保護委員会は手も足も出せない。

もちろん、本人であっても政府がどんな情報を有しているかは闇の中だ。これは、情報がより集約化・一元化される一方で、その実態はより厚いベールに隠されるという、制度としてはあってはならない構造だ。

「これ一枚」のリスク

マイナンバーカードは、すでに公務員とその家族に義務化し、健康保険証との一体化も進めている(これまたシステムの不備で実施が先延ばしになってはいるが)。今後は自動車免許や国家資格情報の搭載、さらにはスマートフォンへの実装も正式に予定化されている。

生体情報(指紋、顔認証等)を搭載することも決まっている。並行して今回の法改正で、銀行等の口座の登録も事実上義務付けられることになったが、「これ一枚」で済ませることができる社会は、それだけ情報漏えいや悪用の危険性も高まるということだ。

そもそも、マイナンバー制度開始時の重要な約束事は、自己情報コントロール権の実効化として、マイナポータルで本人情報の開示が受けられることであった。しかし実際は、匿名化によって形骸化している以上に、そもそも、「誰がどのような情報を保持しているか」という基本的な事項でさえ、本人が知るのは困難な状況だ。いかに政府が、この点に無関心かの証左だ。

効率性を追求しすぎる危険

最後に、「考える(ことができる)社会」について触れておきたい。デジタル化社会は、分かりやすさと効率性がポイントになっている。それは非常に大事なことだ。

しかし一方で、それを追求しすぎてしまうと、今まさにSNSなどで問題になっているような問題、誹謗(ひぼう)中傷などが起きることが、経験則で分かってきた。すなわち、分かりやすさの穴を埋めるためには、少し法制度、法構造に「こぶ」を作る、ひっかかりを作ることが必要だ。

あるいは、効率性の穴を埋めるためには、少し法構造、法制度に余裕を持たせなければならない。にもかかわらず、現在考えられている法制度、法構造はそうなっていない。

これらを総合すると、せっかく自らが設定したあるべきゴールを全く無視して、違う道を意図的に進もうとする今回の法律群は、いちから出直してもらうしかなかろう。

政治プレミアトップページはこちら

Categories Uncategorized

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this:
search previous next tag category expand menu location phone mail time cart zoom edit close