会議全体の議事録はこちら
○島津委員 日本共産党の島津幸広です。
民間企業が保有するデータを民間同士で流通することについては、個人情報保護法などの現行法で制度化されています。
本法案の真意は、官民データといいつつも、国、地方公共団体、独立行政法人が保有する個人情報を民間企業が利活用できるようにし、イノベーションを起こし、利益を上げられるようにするところにあります。
確かに、行政機関が保有するデータは膨大で、かつ多様です。適切に活用することで国民が享受するメリットが大きいことは否定しません。
問題は、どれだけ個人情報が守られるかです。
行政機関が保有する個人情報は、行政事務を執行するために収集しており、非常にセンシティブな情報が多い。だからこそ、厳密に管理されています。
内閣府大臣官房広報室が、個人情報保護に関する世論調査をしています。その中で、自分の個人情報が漏れているのではないかと不安に感じることがある、こう答えた方はどのぐらいいるんでしょうか。
○其田政府参考人 お答え申し上げます。
今委員から御紹介をいただきました世論調査は、平成十七年に個人情報保護法が施行された翌年、約十年前になりますが、実施されたものでございます。
この調査におきまして、安全管理が十分でないため、自分の個人情報が漏れているのではないかと不安を感じることがあるかという質問に対しまして、強く感じる、または、ある程度感じると回答した者の割合の合計は七一・一%でございます。
○島津委員 この調査では、それ以外にも、自分の個人情報が自分の予期しない目的で利用されているのではないかと不安に感じることがある、こう答えた方は、強く感じる、ある程度感じる、合わせて六九・六%です。また、自分の個人情報が知らないうちに他人に提供されているんじゃないかと不安に感じることがある、こう答えた方は七二・六%です。
このように、国民の約七割は、企業が保有しているにせよ、行政機関が保有しているにせよ、個人情報の取り扱いで情報漏えいに不安を感じ、自分の知らないところで第三者に提供されているんじゃないかと、目的外使用に不安を感じています。決して積極的に個人情報の利活用を望んでいるとは言いがたいわけです。
個人情報、この保護を厳格に保障し、こうした不安を完全に払拭するだけの具体的な対策と技術的根拠がなければ、官民データが利活用されることに国民は納得できません。
提案者、これはどうお考えなんでしょうか。
○平井委員 今回の法律は、個人情報の保護とデータの利活用のバランスをやはりとっていきたい。
個人情報保護法の改正というのを我々はやりました。匿名加工というような話もそこで規定をさせていただきました。
一方で、今回の法律は、個人や法人の権利を保護しつつデータを使っていこうということで、その戦略をつくるときには、個人情報保護委員会そして内閣官房情報セキュリティセンター、つまり、個人情報保護の観点からと、それと同時に、技術的に、今、いろいろなサイバー攻撃というようなものがいろいろなところで起きているわけで、そういうものを両方あわせて十分に考えた上でそのデータを使っていこうというふうに考えておりますので、世の中、心配事はたくさんありますが、そういうものをできるだけ乗り越えながら、前向きに対応していきたいと考えております。
○島津委員 マイナンバーでは、本人の同意を得て個人の情報を使うことが原則です。
この法案では、自分の個人情報が第三者へ提供されること、目的外使用されることに同意を得ることにしているんでしょうか。
○平井委員 今回我々が規定しているのは、匿名加工の個人情報、また個人情報ではないセンサー情報等々を、まず一番に想定しています。
匿名加工情報というのは、基本的には、個人とは切り離されて、個人に戻ってこれないわけなんですね。ですから、それに関して言えば、匿名加工された情報というものは、社会のために有益に使えるというふうに考えています。
○島津委員 その問題についてはまた聞きますけれども、今回の官民、とりわけ官のデータというのはどのようなものなんでしょうか、生データなんでしょうか。
○平井委員 官民データは、国もしくは地方公共団体または独立行政法人もしくはその他の事業者により、その事務または事業の遂行に当たり、管理、利用、提供される電磁的記録に記録された情報のうち、国の安全を損なうおそれや公の秩序の維持を妨げるおそれ、公衆の安全の保護に支障を来すことになるおそれがあるものを除いたデータという形で定義をされているところでございます。
○島津委員 匿名化、非識別化すれば個人情報ではなくなるということなわけですけれども、しかし、匿名化されたデータが再識別化されたら、それは個人情報になるわけで、匿名化や非識別化されたデータは絶対に再識別化、つまり本人特定されるものはないということで言い切れるんでしょうか、私は心配なんですけれども。
○平井委員 匿名加工ということは、要するに、識別化されるのであれば匿名加工とは言わないということでございます。
委員が問題意識でお持ちなのは、もしかしたら、本人が希望して、匿名加工したものを本人が特定できる可能性を残しておくこと、要するに連結可能匿名化というのを本人が希望する場合は、それはまた別だとして、我々が考えている匿名化というものは本人戻りができませんので、それはもう個人情報ではないというふうに思います。
○島津委員 絶対に戻らないということなんですけれども、技術の開発が進めば、今ある加工技術でもやはり再識別化されるわけですから……(発言する者あり)いや、だけれども、戻る技術がこれから、それは水かけ論になるから、もうやめます。
では、匿名化、非識別化について聞くんですけれども、この処理というのは、技術的、コスト的にできない行政機関も出てきます。そういうところは民間業者に業務を委託することになるんでしょうか。
○堀江政府参考人 お答えいたします。
先般改正されました行政機関個人情報保護法におきまして、先ほどから御指摘の、行政機関非識別加工情報の作成という仕組みが入れられております。
これにおきましては、その作成を外部に委託することも可能でございますけれども、委託を受けました民間事業者につきましても、行政機関同様、個人情報保護委員会規則で定める基準に従いまして、行政機関非識別加工情報等の漏えい防止のために必要な安全確保措置を講ずることが義務づけられております。
また、取り扱いの委託を受けた者については、従事者の義務が定められているほか、個人の秘密に属する事項が記載された個人情報ファイルを他者に提供した場合等には必要な罰則を科すような仕組みが設けられているところでございます。
○島津委員 いろいろ、仕組み、罰則の話がありましたけれども、やはり私、心配なんです。
民間事業者にどう使われるかわからない。同じ企業であればイントラネットがあり、データが流出するということがあり得る心配。同じ企業内だからいいのか。しかも、それを禁止した場合でも、データが流出されないように、個人情報の匿名化を行うサービス事業部門は企業のイントラネットから外すのかどうか、データが流出されていないかどうかは誰がチェックするのか、こういう心配があるんですけれども、これはどうでしょうか、こういう心配は。
○平井委員 これは、要するに、今回の法案のみならず、政府全体の情報管理のセキュリティーのことを問われているんだと思います。
ついこの間も、年金記録の漏えい問題に対して、この委員会で我々が議員立法で制定したサイバーセキュリティ基本法が初めて適用されて、その後、原因究明等々も行われたわけですが、これは、政府のみならず、常に対策を講じていく必要があると考えています。
ただ、インターネットを使うことが前提となってしまっている社会というのは、実は私、IT基本法を制定する議論に初めて、国会議員として当選して参加したんですが、今の時代は全く想定していませんでした。セキュリティーという概念も、当時、ビッグデータもなければIoTも何にもなかったです。
しかしながら、一気に全てのものがインターネットの上に乗ってしまったら、これはやはり、利便性ということを考えるときに、その脅威は常にある、そこに対応していくということが国も一番重要なところで、NISCを中心とした国のサイバーセキュリティー対策というものは、さらに予算を確保して強化をしていかなければならない時代だというふうに認識しています。
○島津委員 やはり、全てのデータに脅威があるわけですから、そのリスクをさらすという点で非常に問題があるんじゃないかと思うんですけれども、さらにお聞きしたいんですけれども、官民データを活用しようとする企業、これは、どんな手続で、そしてどういう形で提供されるんでしょうか。
○堀江政府参考人 先般改正されました、行政機関非識別加工情報についてのお尋ねとしてお答えさせていただきます。
先般改正された法律におきましては、提案者、提案する民間企業等におきまして、その利用目的等々を書いて申請をし、それを行政機関の側で審査を行った上で適切な加工を施して提供する、そういう仕組みになっております。
○島津委員 申請方式だということなんですけれども、そうしますと、利活用の目的によっては、今審査という話がありましたが、使わせないということもあるわけですね。国民の安全を脅かすのはだめだというのは当然なんですけれども、しかしそれは、誰がどんな基準で判断していくのか、また、選挙や政治活動での利活用なんかもできるんでしょうか。
○堀江政府参考人 非識別加工情報の提供の仕組みは、新規産業の創出あるいは豊かな国民生活の実現のためという目的でございますので、そういった目的に沿ったものであるかどうかという観点からのチェックをするということになります。
○島津委員 次に聞きます。
本法案の第十二条は、「事業者の競争上の地位その他正当な利益の保護に配慮しつつ、」「個人に関する官民データを当該個人の関与の下で適正に活用することができるようにするための基盤の整備その他の必要な措置を講ずる」としています。これは、このまま読みますと、個人の権利や利益よりも事業者の地位や利益を保護することを目的にしているというふうに読めるんですけれども、そういうことなんですか。
○平井委員 今、十二条、要するに、個人に関する官民データに関して当該個人が関与しというところの話ですね。
この法案で活用を推進しようとする官民データについては、基本的には、昨年改正された個人情報保護法に基づく匿名加工情報や、個人に関係しないIoTのセンサーデータといったものを想定しています。
もっとも、本法案の目的である、国民が安全で安心して暮らせる社会及び快適な生活環境の実現に寄与する上で、例えば、医療や介護や防災等を初め、個々人のニーズを踏まえたきめ細かい対応が必要な公益性の高い分野もあると考えています。
第十二条の、個人に関する官民データには、匿名化されていないデータも含まれると考えており、そこで、本法案十二条は、個人がみずからのデータがどこに流通しているのかをトレースできるような仕組みなど、従来の個人情報の保護よりも安全、安心な仕組みを構築することを求めているものであります。
また、個人の関与の仕組みをどのように具体化していくか、どのように基盤を整備していくかについては、本法案成立後、政府において検討が行われ、適切に判断されることになると考えますが、匿名加工されていない個人のデータについては、誰にどの情報を提供するかをみずからが判断し選択する仕組みについても、その検討の中で議論されるのではないか。
これは、EUでも、自分の情報のポータビリティーとかセルフコントロール権というようなことも議論をされておりますし、先ほど私が言いましたけれども、GAFA、グーグル、アップル、フェイスブック、アマゾンみたいなところに、皆さん同意をして情報を提供して、勝手に使われているというような状況を考えると、要するに、自分の情報を自分でコントロールするという道を、今回の法案をもとにスタートさせていきたいというふうに考えています。
○島津委員 時間がなくなってきたんですけれども、個人の権利利益を保護するには、本人が自分の個人情報は何に利活用されているのか、誰に提供されるのか、自己情報をコントロールする機会と権利を保障し、個人が関与できるようにすることが不可欠なわけです。
先ほどエストニアの話が出ました。エストニアでは、政府のポータルサイトから自己の情報にいつ誰がアクセスしたかを知ることができ、苦情がある場合には各機関や裁判所に申し立てることができるようになっています。このような措置というのは講じないんでしょうか。
○平井委員 本法案においては、個人情報との関係では、第三条第一項における、官民データ活用の推進は個人情報保護法による施策と相まって行われるものと定めており、また、第二十一条第四項及び第六項において、官民データ活用推進基本計画の案の作成や官民データの活用の推進に関する重要事項について、官民データ活用推進戦略会議は、個人情報保護委員会の意見を聞くとともに、緊密な連携を図ると定めています。
また、第十二条は、個人の関与のもとで多様な主体による官民データの適正な活用について定め、個人がみずからのデータがどこに流通しているのかをトレースできるような仕組みなど、従来の個人情報よりも安全、安心な仕組みの構築について定めているところであります。
また、先ほどお話ししたとおり、この仕組みの具体的な内容については、今後政府に検討していただき、適切に判断されることになると考えています。
また、苦情の申し立てや情報開示などについても、必要があればこの検討の中で議論されることになると考えますし、今、個人情報ということであれば、個人情報保護委員会がそれを守ることに関しては責任を持っていると考えています。
○島津委員 そもそも、国、地方公共団体の保有する個人データは、第三者への提供を前提としていません。そのための本人同意も得ていません。しかも、健康保険、年金、生活保護、投薬、受診、税金、資産などセンシティブな情報も多く、さらに、七割もの国民が、民間企業、行政機関の持つ個人情報の取り扱いに不安を抱いています。
にもかかわらず、本法案は、国民の個人情報についての具体的な対応や施策、安全性をどう確保するのか、国民の知られない権利をどう保障するか、全て今後の実施法や本部に委ねるたてつけになっていて、何も明確にしておらず、曖昧になっています。
また、本法案の十二条の「事業者の競争上の地位その他正当な利益の保護に配慮しつつ、」「個人に関する官民データを当該個人の関与の下で適正に活用することができるようにするための基盤の整備その他の必要な措置を講ずる」という条文からもわかるように、企業利益のためであれば、匿名化され非識別化されているのだから、行政機関が事業者へ官民データを提供していいんだ、本人が関与する仕組みはつくるが、その意思はどうであれ、匿名化しているのだから、そのデータを使っていいんだということになっています。個人の権利や利益の軽視であり、看過できません。ここにこの法律案の本質があります。
経団連は、ことしの七月十九日、「データ利活用推進のための環境整備を求める」という提言を発表し、官民の間での一体的なデータ流通促進や手続の原則電子化、規格統一、省庁横断的なデータ利活用推進本部の設置などを求めています。本法案は、まさにこの産業界の要望に沿ってつくられ、応えようとするものです。
本法案は、国民の個人情報の保護や権利利益を守ることよりも、事業者が利益を上げることを優先し、そのために行政が保有するデータを活用するようにするものであり、余りにも個人の権利や利益をないがしろにしていると言わざるを得ません。国民の多くも納得できるものではありません。
我が党は本法案に反対であることを表明し、終わります。