共通番号制度、国民ID時代における個人情報保護法改正の論点 -プライバシー情報保護法制への転換と第三者機関の必要性

開催日 2010年9月17日
スピーカー 鈴木 正朝 (新潟大学大学院 実務法学研究科 教授)
モデレータ 杉浦 秀明 (経済産業省 商務情報政策局 情報政策課 情報プロジェクト室長)
ダウンロード/関連リンク

議事録

なぜ、共通番号なのか

鈴木 正朝写真「共通番号制度」導入の背景と論点としては、主に財政再建の問題とそれに絡む消費税の問題、さらには逆進性の緩和のための給付金付き税額控除、そのための納税番号制度の必要性があります。そこから、税と社会保障の一体化政策の推進のための、納税番号と社会保障番号の共通化(共通番号化)につながっています。

「納税番号」というといかにも管理社会という印象ですが、各論での受け止め方は非常に違ってきます。実際の現場では、いかに現状の業務フローを改善するか、システムを再設計するかが最大の焦点となっています。

少子高齢化社会に向けて、納税と社会保障に関する事務処理を少なくとも民間並みに効率化する必要があります。その点に関しては問題無いと見ていますが、一方、社会保険庁の情報管理や年金記録に関する問題については、独立した第三者監査機関の設立が必要です。

さらには国自体もガバナンス強化に向けて大きく舵を切る時期にきています。実際に政府内では第三者監視機関の創設が案として浮上していますが、その設計に関しては殆ど議論されていない、そもそも担当部局すら明確でないのが現状です。

法改正の先行がもたらす、制度的ミスマッチ

消費者庁の消費者委員会において個人情報保護法の改正に向けた議論が始まっていますが、いかに実際の業務に沿った法制度にするかが問題です。

組織を設計するにつれ、ルールは変わる――。このことを念頭に、ルールありきではなく、むしろ組織に合わせてルールを設計する必要があります。少なくとも組織とセットで考えないと個人情報保護法は機能しないと見ています。

現行の個人保護法は主務大臣制を前提に設計されています。仮に第三者監督機関を設置した場合、主務大臣制度と併置にするのか、それとも主務大臣制度を一旦撤廃して第三者機関に権限を集中させるか、を決める必要があります。そうした基本的な問題を解決しないまま、消費者委員会が先に法改正を進めることにより、今後の共通番号制度とは非常にミスマッチな法制度ができてしまうことを非常に危惧しています。

消費者庁は、民間企業における個人情報の保護が使命です。基本的に「企業対消費者」を軸に考えます。一方、共通番号制度の導入は、「国対個人」を軸とし、行政機関個人情報保護法の改正が中心となります。官民で法律が異なるのはとにかく、理論的に一致しない制度が別々に存在するのは、やはり問題です。たとえば、納税番号は金融機関など民間企業も利用することになります。そのため、個人情報保護法と行政機関個人情報保護法は、別々ではなくセットで改正するのが必須ですが、そうした総括をする部署は、工程表を見る限り無い印象です。

国際的動向との関係

さらに第三者機関が必要な理由として、国際的なガイドライン改訂の動きがあります。第1に、OECDプライバシーガイドライン改正の機運が高まっていること。第2に、EUにおいても、第三国へのデータ流通に関する法改正の向きがあること。「EU並の保護水準に達していない国に関しては、各国のコミッショナー等がデータの提供を停止する権限を有する」という規定が仮に執行されれば、十分性の要件を満たしていない日本にとって、いずれ何十兆円規模にも上るといわれるクラウドコンピューティング市場を拡大する上でこれが足かせとなる状況が生じる可能性もあります(現時点のステータスは「協議中」)。第3の動きとして、APECにおいても越境データ保護の取り組みが進行中です。しかし、この3つの連携が必ずしもとれていないのが現状です。

日本は、いずれの場においても、国益にそった主張を展開するどころか、むしろ決定事項を国内に持ち帰って立法の根拠としています。

ちなみに、現行の個人情報保護法も1980年のOECDプライバシーガイドラインに基づいて起草されていますが、政府間の合意にすぎないOECDのガイドラインを法制度の下敷きにするのがまずおかしいのです。

なお、現行個人情報保護法には、同ガイドラインに関する専門家のメモランダムに従って、Sensitive Dataという言葉は使われていませんが、代わりに「特定個人の識別情報」という非常に形式的かつ外形的な基準が導入されています。これが名刺から医療カルテにいたるまで同じ基準を適用するといった過剰反応を生む背景となっています。こうした価値的要素を一切捨象した現行法から、情報の中身を見極めた制度にいかに再設計しなおすかが、今後の改正に向けての根本的な論点となります。

プライバシー権との関係

さらに国内動向として、共通番号制度とプライバシー権との齟齬をどうするかという問題が立ち上がっています。

さらに問題なのは、経済産業省のJIS Q 15001が並存していることです。当初はEU指令に対応する目的で創設されました。工業標準化法を通じて電子計算機にかかわる全事業者にルールを適用できるという考えで、JIS化を図った訳です。

2006年の改正時に、JIS不要論も論点としては浮上しましたが、結局、改正して継続という形になりました。事業者の権利義務に関することは国会の専権事項なので、JIS化とは本来、相容れないものです。しかも、改正時には消費者保護に軸足を移したことから、個人情報保護法に上乗せして義務を課すバイアスがかかってしまったのです。さらに、これがプライバシーマークの審査基準となったばかりに、委託先の選定・監督義務を課す個人情報保護法第22条とあいまって、電通などの大手企業がこれを購買条件とする傾向が助長されました。こうした一種の民々規制、二重行政が、事業者の疲弊を招くと同時に、対外的交渉もできない状況を作っています。

改革のチャンスを逃すな!

そもそも、個人情報保護法は小渕内閣の時代、住基ネットを作る目的で制定されたものです。霞ヶ関は当初、この考えに後ろ向きでしたが、トップダウンでわずか半年で立法された、まさに政治主導の走りのような法律です。したがって、プライバシー権利に関する哲学論争をしている猶予はなく、価値的要素は一切斟酌しない、「特定個人の識別」のみを軸にルール化を図ったのです。逆にいうと、そうした目的意識が無い限り、個人情報保護は、国にとっての優先順位が低い故に、省みられないのが普通です。したがって、共通番号の導入が持ち上がっている今の時期こそ、全体的な見直しをする千載一遇の機会といえます。民間企業だけでなく、行政担当者も非常に困惑している状況――結果、消費者も国民も不便を被っている状況――を一刻も早く解消すべきです。

現行法としては、個人情報保護基本法、行政機関個人情報保護法、独立行政法人個人情報保護法が並存していますが、最大の問題は地方公共団体(約1800団体)による個別の条例です。これらを撤廃し、総務省主導で一元化する意見が出ています。膨大な量の事務作業を伴うとはいえ、立ち止まってはいけないと思います。ここで問題を残すと、国内の越境問題が将来顕在化するからです。

個人情報の定義と解釈の争点

「個人情報」には2つの定義があります。1つは、氏名や顔貌といった特定個人識別情報。もう1つは、ID系の特定個人識別可能情報です。その該当性の判断には、(1)個人(自然人)に関する情報か、(2)生存者の情報か、(3)特定個人が識別できる情報、の3つが条件となっています。実は(3)に関しては、いわゆる個人識別情報以外に、(i)他の情報と照合することで特定の個人を特定でき、かつ(ii)他の情報との紹介が容易である情報も該当します。

迅速性と画一性が要求される行政実務の場合、「プライバシーにかかわる情報か」といった価値的要素を持つ定義を仮に導入すると、強い行政調査権が伴わない限り、行政側としては身動きがとれなくなります。外形的な基準を持ち込むのは、その意味である程度仕方がないことです。しかし、国民ID番号制度の導入に際して、はたして(3)の定義を現行のまま据え置くべきか、という問題があります。

また、「識別者は誰か」という問題も、条文中に主語が明記されていないため、解釈上の論点となっています。これに関しては、本人基準説と事業者基準説があります。その解釈が分かれているために、A大学では学籍コードで生徒を呼び出す一方でB大学は本人名で呼ぶといった違いが実際に起きています。とりわけ、この点に関して経済産業省と総務省との解釈が分かれていることが、IT事業者にとって悩みの種となっています。たとえば、個人情報保護法23条の第三者提供の条文。提供者側と受領者側で個人識別性の有無が異なる場合に、これが問題となります。提供者側では個人を識別できるが受領者側では個人を識別できない情報を提供する場合、経済産業省は本人同意を必要としていますが、総務省は不要としています。その具体例が、携帯電話の契約者IDの取り扱いです。これは顧客データベースとつながっているので、携帯電話会社(キャリア)においては明らかに個人識別性があります。各携帯会社はこれをコンテンツプロバイダと事業者に自動的に発信していますが、そこからさらに第三者に情報が流れた場合に、問題とはならないのでしょうか。これは共通番号制度導入を考える際にも、重要な視点となります。

抽象論ではなく、組織論を――第三者機関の設置に関する提案

共通番号制度に対する日弁連等の批判は、「番号で管理するのは管理社会につながる」といった非常に抽象的なものに終始し、「管理社会」というネガティブなイメージばかりが先行した反対論になっています。そうではなく、行政の効率化を図る上で、共通番号の導入が具体的にどのような弊害をもたらすのか、それにどう対処すべきかを各論で考えていく必要があります。たとえば、情報を共用した結果、それが課や局、さらには省を超えて無制限に結合されたり、情報の漏洩などミスマネジメントが起きたりするといった弊害が1つ考えられます。この問題は民間の携帯電話IDで既に顕在化し始めています。たとえば、利用履歴付きのIDが複数の事業者に共有され、ターゲティング広告に使われるといった現象です。外部監視性と個人消費者の自衛可能性を担保できるよう、公権力が踏み込める状況を法的に整備する必要があります。むしろ、公的な第三者監視機関設置を機に、民間で流通するIDの監視も視野に含めるべきだと思います。

第三者監視機関に関しては、国勢調査権の範囲内で監査を実施する情報監査院を議会にぶらさげる形で設置する案も民主党内で出ています。私案を含めて、主に以下の3つの設置方法が考えられます。

(1)行政府に設置(主務大臣制撤廃)
・三条委員会(独立行政委員会)
(2)立法府に設置(主務大臣制度併置?)
・情報保護院(私案)
(3)会計検査院の活用(主務大臣制度併置)
・プライバシー情報検査権の付与(会計検査院法改正)

今のところ「三条委員会」案が現実的ですが、こうした独立機関がはたしてどこまで専門的な判断ができるか、という点に関して疑問が残ります。業務が確実に回るよう、市中の弁護士、公認会計士、IT研究者、その他専門家を独立採用して長期間勤めていただく必要があるかと思われます。その意味でも、やはりまずは組織を固めていく必要があります。

しかし、そうした組織論をしないまま、その場しのぎの個人情報保護法の改正だけが先行して進んでいるのが現状です。他方、民間では個人情報IDの乱用が拡大する一方で、国民IDの民間利用を望む声も出てきています。これを規律していく制度論が今こそ求められています。

質疑応答

Q:

ご提案の第三者監視機関と、EUのプライバシーコミッショナー制度との関係は。

A:

同じEU域内でも、コミッショナーの権限は各国により異なります。ただ、権限以上に重要となるのが個人情報の識別です。その点に関して注目すべきは、OECDがシステム全体で判断するのに対して、EU各国は特定の情報の単位で判断しているように見られる点です。

仮に、日本に第三者機関を設置するとしたら、固有情報か外縁情報かの判断基準をクリアにする必要があります。いずれにしても、個々の判断はシステム全体で見ていく必要があります。相応の権限に加えて、そういった判断ができる専門家の育成組織もセットで考えないと、ややもすれば非合理的な形式的判断ばかりが先行し、弊害が強くなるおそれがあります。

Q:

民主党政権の国家戦略室が共通番号制度に対する考えを今年6月に出しています。実現には最低でも3年かかるといわれていますが、長すぎることはないのでしょうか。

A:

省庁で縦割りとなっていることを考えると、3年は決して長くはないと思います。財務省は納税番号だけに焦点を絞って前倒しで導入したい考えですが、他のグランドデザイン担当の部署は、国家戦略局の縮小やその他政局もあって、司令塔不在の状態です。政治主導が繰り返し強調されますが、まさにこうした省庁横断的なところでこそ発揮すべきです。省庁の縦割り解消にまで踏み込んだ構想が必要だからです。

かつての通産省には、管轄外の分野にも踏み込んでいく文化があった気がしますが、そうした突破力を再び発揮してほしいと期待しています。法技術的ないし行政実務的な部分の詰めは、内閣官房でもなく、消費者庁でもなく、やはり主務省庁のノウハウが必要と考えます。

この議事録はRIETI編集部の責任でまとめたものです。