「2000個問題」の立法的解決の必要性
鈴木正朝氏
鈴木:新潟大学から参りました鈴木と申します。「2000個問題」について、具体的に何が問題かということについて、私からお話をさせていただきたいと思います。まずはわかりやすいところでは、定義規定に限らず条文にばらつきが存在することです。「個人情報保護条例」は約2000もありますが、各自治体のそれを比較してみると条文がかなり異なります。だいたい「行政機関個人情報保護法」に近いかたちでできているのではないかというのは印象論に過ぎません。一般財団法人情報法制研究所(JILIS)では、湯淺先生を中心に実際に2000個近い条例を集めて、上原先生、高木先生らを中心に比較、整理しているところです。
まず、「個人情報」の定義だけでもざっくり6類型以上があります。解釈で統一しうるという先生もいらっしゃいますが、地方自治体の問題等を整理する中で国の解釈に準拠することを求めるということは、やはり矛盾した要請であります。ここは、法律を作って、日本においては一つの個人情報の定義で運用するということが基本だと思います。
それから、平成27年に「個人情報保護法」の改正がありました。平成28年に「行政機関個人情報保護法」と「独立行政法人等個人情報保護法」の改正がありました。そこでは、「個人識別符号」という新しい用語が採用されています。これによりまして、例えば、ゲノム情報の単体ですとか、生体情報システム等で生成されたいわゆる特徴量情報単体が個人情報だということになりました。しかし、「個人識別符号」という用語はすべての自治体においては未だ採用されておりません。となりますと、ゲノム情報単体が個人情報になる国や民間の病院と、未だ個人情報にならない公立病院とが併存するような事態を招いています。
加えて、東京五輪等を目前にテロ対策強化が要請されておりますが、例えば、都道府県警察本部が顔識別システムを入れたとします。その時の特徴量情報単体が「個人情報」に該当するか否かは各都道府県の「個人情報保護条例」の定めによることになりますが、「個人識別符号」がない状態では、解釈もまたばらつきうるということになります。また、各都道府県警本部の集めた情報を警察庁など国が集約するときの官官データ連係については、果たしてどの程度精査が進んでいるのか。個人情報の保護と安全の維持ということの整理もままなりません。ルールとその解釈権、執行権が2000近くもありますと、国として統一的に運用はできないだろうと思います。
それから、民間部門では「匿名加工情報」、公的部門では「非識別加工情報」という新しい用語が採用されましたが、これも、自治体の「個人情報保護条例」では全く採用されていません。オープンデータ政策のために導入したといいながら、最も利活用に資する大量の情報を有する肝心の基礎自治体がそれを採用していない。オープンデータの前提たる非個人情報化の考え方も判断基準もばらつくわけです。国の方でいくら旗を振っても、2000自治体の条例の整理、統一を待たなければ前に進めないという状況です。
それから、「要配慮個人情報」という概念も新たに入りましたが、自治体では「機微情報」といっています。だいたい同じだろうと思う方もいるかと思いますが、両者は範囲が少し異なりますし、「要配慮個人情報」は取得及び第三者提供が本人同意型、自治体の「機微情報」は原則取得禁止型です。
それから何より重要なのが、学術研究目的での適用除外条項をほとんどの自治体が持っていないということです。昨今、医療関係の医療研究関連の指針が厚労省等より出ておりますが、こういった指針、ガイドライン等の告示は、適用除外を前提として、自主規制領域だという建前で指針を作っております。ところが、条例で適用除外がありませんから、公立病院、公立大学、公立研究機関においては、条例の義務規定を遵守せよという要請が働きます。学術研究を自由にして、研究開発に力を入れて技術立国として産業力強化を図ろうという中で、こう言ったばらつきを残してよいのか。研究の成果であるシーズが出てこないということは、産業振興においても、極めて問題だと思います。
一方、総務省自治行政局等は、モデル条例で統一するということをお考えのようですが、この「2000個問題」の本質は、解釈権と法執行権が各自治体にあるというところです。定義の2000個問題ではないのです。条文のばらつきに加えて解釈権が各自治体にあるということによる問題です。ということは、モデル条例で統一しても、提供元基準か提供先基準か、例えば、記名式Suica履歴データ無断提供事件のような事例は適法か違法か、特徴量情報は個人情報に該当するかしないか、条文が同じでも、今日の経緯を見て参りますと、必ずやばらつきます。個人情報審議会、審査会等の判断基準や各種手続きの標準化政策も根本の条文がばらついている以上、業務の標準化もままならないという状況になります。従いまして、やはり国家法で引き取らざるを得ないだろうと思います。
医療個人情報保護法やゲノム法などの特別法で対応するという意見もありますが、これは私も賛成です。すぐにでも仕事にとりかかるべきです。しかし、分野別の特別法だけでは、その分野内のみでの流通が円滑になるだけで終わります。ビッグデータ分析の成果は、主に分野横断によるところが大ということになりますと、医療情報と介護、医療情報とヘルスケア、医療情報と環境情報といった分野横断型の分析を要するとなると、またそこで「2000個問題」に直面します。やはり一般個人情報保護法のレベルで、しっかりと基本的考え方の整合を図ることが重要になります。
さらに、「個人情報保護委員会」の監督が及ばない、公的部門のガバナンス上の問題が今後課題になりうるということは、留意しておいた方がよいと思います。EUとの越境データ問題を今やっております。トヨタその他自動車ビックデータ、遺伝子創薬等製薬会社等々からも色々ご相談を受けておりますが、いわゆるプライバシーコミッショナーとしての機能を十分に個人情報保護委員会が備えているかというと、公的部門が2000に分立して、それぞれの自治体で監督している状況で、国として医療データすら統一的に管理できていないではないかと。この点が、諸外国に明らかになると、やはり、問題が発生しうるのだろうと思います。
国家法である個人情報保護法は附則で3年毎の見直し条項をおいています。3年ごとに、これから、越境データ問題解決のために、国家法の方は次々と改正が進みます。それに自治体は3年ごとにモデル条例をもらって、第一版に準拠して、地方議会が条例を作ります。また3年後に第二版の条例がくる、また改正する。これを2000の自治体が3年毎に繰り返すのでしょうか。そうなりますと、基礎自治体あたり、本来業務いっぱいありますから、疲弊して参ります。マイナンバー条例だってあるわけです。こういった形式的な仕事のために自治体が疲弊するというのは、多分本意ではなかろうと思います。やはり国家で引き取るべき、法律で引き取るべき事項はあるということは明白であろうと思います。
広域災害の問題はいうに及ばずということだろうと思います。結論としては、今回、官民データの基本法を作っていただきました。まさに、大歓迎であります。19条で2000個問題を解決しろという条文が入ったと、官民データというところを中心に、特別法として法律を一個作る、その他の部分は条例に残す、上乗せ横出し条例も容認するということで、自治の特徴は残りうるのだろうと。要は、国内越境データしうる官民データを統一するということをもって、各種IT政策の基盤整備をはかるべきではないかと思います。私の方からは以上です。
森田:はい、ありがとうございました。ご丁寧な説明であったと思います。それでは、この点につきまして、まだご発言をいただいていない横尾市長と、その後で、経済界の観点から梶浦さんからお話をいただきたいと思います。では、横尾さんよろしいでしょうか。
