HOME>公表資料>意見書等>year>2002年>「行政機関の保有する個人情報の保護に関する法律案」に関する意見書

「行政機関の保有する個人情報の保護に関する法律案」に関する意見書

2002(平成14)年4月20日
日本弁護士連合会


本意見書について

第1 意見の趣旨

「行政機関の保有する個人情報の保護に関する法律案」(以下「法案」という。)には,(1)収集制限に関する明確な規定がないこと,(2)行政機関等による目的外利用を広く認めていること,(3)安全確保義務違反に対する罰則がないこと,(4)非開示事由が広範にわたること,(5)裁判管轄が東京地方裁判所にしか認められないことなど,個人情報保護の観点から重要な問題があるので,根本的な見直しが必要である。


第2 意見の理由

1. はじめに

1988年(昭和63)年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(以下「現行法」という。)が成立した当時は,コンピュータはごく限られた一部の者のみが利用するものであったが,今日では世界中で一般市民が日常生活の一部としてごく当たり前にコンピュータを利用するようになり,さまざまな情報を収集し利用するようになった。行政機関内部においてもコンピュータの普及による行政の効率化も目覚しいものがあり,情報のデータベース化による情報管理が急速に進んでいる。


今年8月5日から実施される住民基本台帳ネットワークシステム(以下「住基ネット」という。)は,全国民に11桁の番号(住民票コード)を振り当てこれを行政のあらゆる分野の共通番号として利用することによって,個人情報を一元的に管理しようとする制度である。国の行政の効率化という観点からすると非常に便利なものになるであろう。


しかし他方で,全国の市区町村のコンピュータ管理において高度なセキュリティを一律に維持させることが困難であること,自治体職員の職務の負担が過重になっていること,費用対効果の観点から市区町村にとって費用面が大き過ぎることなどの問題が指摘されている。


本年3月15日,閣議決定された法案は,そもそも現行法が制定の当初からプライバシー保護として極めて不十分なものであったことから,常々,改正の必要性が指摘されていたところへ,1999年(平成11年)8月に住民基本台帳法を改正し住基ネットを採用することを法案として国会で決めた際に,住基ネットの運用に際してのプライバシー保護を実効あらしめる必要があるということで大幅な改正を迫られていたものである。


行政機関内部あるいは行政機関相互間におけるコンピュータネットワークの普及は行政事務の効率化を著しく高めている面があることは否定できないが,同時に個人データの蓄積も膨大なものになっており,行政機関が一人ひとりの人間の個人データを把握することによって技術的に人間そのものを管理することを可能にしつつある。また行政組織内外を問わずだれにも不正使用されないようにすることも重要な課題となっている。したがって,いま考えるべき視点は,プライバシー保護の観点から現行法と比較してより進んだものになっているかどうかという空虚な比較論ではなく,行政機関が個人データをコンピュータ管理していることを前提に実効性をもってプライバシー保護ができるかどうかということでなければならない。


2. 個人情報保護の基本的な考え方

行政機関が膨大な個人データを管理することはその利用の仕方如何によっては非常に効率的で便利であるが,同時に重大な人権侵害になる危険性がある。個人情報保護の中核には個人の尊厳がある。個人の尊厳を如何に守るかが重要な課題となっている。


自己情報コントロール権という考え方は個人の尊厳を実効あらしめるための権利である。自己情報コントロール権の具体的な内容として自己情報開示請求権,訂正請求権,利用停止請求権などがあると言われる。


これらを権利として明確に位置づけることは個人の立場からすると極めて意義あるものである。しかし,現実問題として考えたときに,行政機関が保有する個人情報について個々人が日常的に自分の個人データの収集利用状況を知るために頻繁に開示請求権を行使することなどあり得ない。また個人が開示請求している間にもその人の個人データは止まることなく行政機関内部で利用されるし,どこまで拡散しているかを正確に把握することはほとんど不可能である。訂正請求をしてもそれまでに拡散した個人データがどこまで訂正できるのかも定かでない。


このようにしてみると,個人の尊厳を現実的に重要な価値として位置づけつつ,コンピュータの利便性を活かすには,まず第一に,できるだけ個人情報を収集しないことである。特にデジタル情報として集積しないことが重要である。目的外利用を基本的に禁止し,例外については厳格な制限を加え,容易に個人情報が拡散することを防ぐ必要がある。


3. 条文の問題点

ところが,法案は上記指摘のコンピュータ特有の問題を明確に意識しておらず,今日のコンピュータ社会における個人情報保護制度としては極めて不十分である。


以下,主要な点について指摘する。


(1) 目的(1条)


目的規定は,当該法律の条文解釈の指針を示すものとして重要な意味を持っている。


ところが法案では、e-japan構想の進展に伴い、今後膨大な量の個人情報が電子化され,各行政機関等のコンピュータシステム上,ないしは総合行政ネットワーク上で管理されようとしていることへの配慮がない。民間事業者を対象とする個人情報保護法案の第1条ですら、「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、」と述べて、情報化社会の進展に伴い個人情報保護の必要性が高まってきたことに配慮している。したがって、専ら行政機関を対象とする法案においても、「高度情報通信社会の進展に伴い、行政機関においても個人情報の電子的な蓄積及び利用が著しく拡大していることにかんがみ」との文言を付加すべきである。


加えて、多くの地方自治体が制定している個人情報保護条例では,開示請求権や訂正請求権などを具体的に明示して,個人情報保護制度における個人(本人)の重要性をはっきり指摘している。東京都条例の場合も,「個人情報の開示及び訂正を請求する権利を明らかにし」(1条)と明記している。


これに対し法案では,「行政機関における個人情報の取扱いに関する基本的事項を定めることにより,行政の適正かつ円滑な運営を図りつつ」ということが重視され,個人の開示請求権や訂正請求権には全く言及しないで,「個人の権利利益を保護することを目的とする」と,個人を単なる保護の対象として位置づけている。これは行政機関の都合を優先したものであり,個人情報保護の基本的な考え方に反する。


(2) 「個人情報」の定義(2条2項)


法案では,「『個人情報』とは,生存する個人に関する情報であって」としており,保護の対象を「生存する個人」に限っている。


これは死者の個人情報は法案では守らないことを意味するが,コンピュータに蓄積された個人情報は数十年後に利用することが可能である。現在,本人が生きている間に何も利用されなくても,死後,10年,20年経ったときに死者の子孫に関連して利用され,その子孫に重大な不利益をもたらす危険性がある。


死者の個人情報をどのように保護するかが明確にされるべきである。


加えて、3項では、「「保有個人情報」とは、行政機関の職員が職務上作成し、又は取得した個人情報であって」、「ただし、行政文書(行政機関の保有する情報の公開に関する法律(平成十一年法律第四十二号)第二条第二項に規定する行政文書をいう。以下同じ。)に記録されているものに限る。」と定義しており、ネットワーク結合により国の行政機関側が,住基ネットを参照するだけであるとすると、法案の対象となる「保有個人情報」に該当しない疑いがある。


したがって,行政機関側がネットワーク結合の形態で住基ネットから本人確認情報の提供を受ける場合についても,法案が適用される旨明示すべきである。


(3) 個人情報の収集制限


法案には収集制限を明記した規定がない。法案3条1項には「保有するに当たっては」という曖昧な表現になっていて,収集制限規定としては極めて不十分である。明確な収集制限規定の存在は,行政機関に収集制限を日々自覚させることができるとともに,個人の側からも収集制限規定に違反する収集に対して正当な権利行使として収集拒否をすることができるという意味で有意義である。


例えば東京都条例4条1項では「実施機関は,個人情報を収集するときは,個人情報を取り扱う事務の目的を明確にし,当該事務の目的を達成するために必要な範囲内で,適法かつ公正な手段により収集しなければならない。」と明記し,2項でセンシティブ情報の収集の原則禁止,3項で直接収集の原則を明記している。


(4) 利用目的の変更


法案3条3項では,利用目的の変更を「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」で認めており,本人の同意を得ることを要件としていない。「相当の関連性」の有無を判断するのは当該行政機関であるから,「相当の関連性」の判断は確実に甘くなり,「相当の関連性」は個人情報の拡散の歯止めにならない。利用目的の明示(4条)が形骸化するおそれがある。


本人の同意を要件とするか,少なくとも本人への通知を要件とすべきである。そうすることによって,本人は利用目的の変更があったことを知ることが出来,利用目的の変更の違法性を争うことが可能になる。


(5) 利用目的の明示(4条)


利用を限定させるためには取得時の利用目的の明示が重要である。


4条には明示の方法が規定されていない。口頭で告げるだけだと曖昧になり,行政実務がかえって混乱する。原則として文書により明示することにすべきである。


1号から4号で利用目的を明示しない場合を規定しているが,漠然として広範囲にわたっている。各号への該当性の判断は各行政機関で行うことになるので,恣意的な運用にならないように配慮した規定の仕方がなされるべきである。


また,事前の明示が困難であるとしても,事後的に目的を明示すべきでない理由はないし,一旦取得した個人情報が他の個人情報と同様に行政機関において利用されることからすれば,少なくとも事後には目的を明示すべきである。


1号の「財産の保護のため」というのが具体的にどのような場合を指すのか不明確である。


2号の「本人又は第三者の生命,身体,財産その他の権利利益を害するおそれ」という概念はかなり広く運用される可能性がある。より具体的かつ限定的な規定にすべきである。


3号の「適正な遂行に支障を及ぼすおそれがある」という条件については,そもそも本人に利用目的を示すこと自体が一般的に支障を生じるきっかけになるものなので,かなり広く適用される可能性がある。しかしそれでは原則的に事前に利用目的を明示するとしたことが形骸化する。単なる「支障」ではなく,「重大な支障」という限定を加えるべきである。


4号は「取得の状況からみて利用目的が明らかであると認められるとき」としており,客観的に明らかだからあえて明示する必要はないという考え方に立っているが,「取得の状況」には様々な場合があり得るし,行政機関内部でも利用目的を限定するはずであるから,利用目的を本人に明示しておく意味がある。


(6) 安全確保の措置(6条),従事者の義務(7条)


これらの義務違反に対する罰則がない。国家公務員法100条,地方公務員法34条では公務員の守秘義務を規定しているが,これらの規定は「職務上知ることができた秘密」を「漏らし」たときにのみ,1年以下の懲役又は3万円以下の罰金を科せられることがある(国公法109条12号,地公法60条2号)だけで,漏らしたという結果が発生していなければ処罰されないし,被害が極めて重大かつ深刻になる場合が考えられるのに公務員法ではあまりにも法定刑が軽過ぎる。


したがって、法案に義務違反に対する罰則の規定を設けるべきである。法定刑も「1年以下」ではなく,重大かつ深刻な被害が生じ得ることに対する罰則であることが明らかになるような法定刑(3年ないし5年)とすべきである。


(7) 利用・提供の制限(8条)


収集時に利用目的を明示(4条)させるのは,その範囲内で個人情報を利用するという説明をすることによって,利用範囲について本人の納得を得るためである。そうだとすると,目的外利用を緩やかに認めることは,上記の利用目的の明示を無意味にしてしまう。


2項2号,3号は,およそ行政機関は職務上必要があれば,だれの個人情報も利用できることを認めている。「必要な限度」「相当な理由」の有無は行政機関が判断することになるので,利用制限の歯止めにならない。


しかも,今後住基ネットが稼働することより、この規定は住民票コードを検索KEYとしてあらゆる個人情報を行政機関が自己の判断で自由に使うことを法的に承認することを意味し,極めて問題である。特に行政機関の一部門である警察庁が除外されておらず、警察庁があらゆる行政機関と総合行政ネットワークを経由して、あらゆる個人情報を検索利用できることになるが、これこそ国民総背番号制への道を開く暴挙である。また、本人の知らない間に個人情報が流用されることを防ぐためと,正確性の確保(5条)のために,改めて本人から取得するようにすべきである。少なくとも,目的外利用することについて事前に本人に新たな利用目的と利用する行政機関を知らせ,利用停止請求権(36条以下)を行使する機会を保障すべきである。


(8) 個人情報ファイル(11条)


個人の尊厳を守るという観点から,国がどのような個人情報を持っていてよいかということを考えなければならない。そのためには国が保有する個人情報に関する全てのファイル簿名が公表されていなければ判断できない。ファイル簿名を知ることと,ファイル簿内の具体的な個人情報を知ることとは全く別問題である。全面非開示処分を受けるとしても,ファイル簿名を知ることには独自の意味がある。


ところが,法案はファイル簿の作成を各行政機関の判断に委ねており,ファイル簿の公表について広範な例外を規定している。3号の「政令で定める」個人情報ファイルはどこまで広がるかが不明である。


(9) 個人情報の開示義務(14条)


個人情報保護は本来,個人の尊厳を中心に考えるべきものである。自分のどのような情報が集められ,どこでどのように利用されているかを知ることは,自己情報コントロール権の基本である。自分にとって重要な情報ほど開示の権利が認められるべきである。


ところが,14条では1号から7号まで広く例外を規定している。


1号は,自己決定権の尊重という観点からして不必要な規定である。本人を説得しても開示を望むということは大いにあり得るのであって,そのような場合に開示を拒否できるとする必要はない。


2号は,個人情報が競合するような場合について規定したものであるが,これは競合している者だれにとっても自己情報だという考え方ができるのであって,競合するから行政機関だけが利用できるとすることが個人の尊厳に資するとは考えられない。またそもそも多くの情報は完全にひとりひとり区別できるわけでなく,複数の人が関係しているものであるから,法案のような考え方によればかなり多くの個人情報が本人に開示されないということが起こり得る。


3号から7号は情報公開法の非公開事由と同じである。規定の仕方が抽象的でかなり広範に非開示にされるおそれがある。「相当の理由」(4号,5号),「不当に損なわれるおそれ」(6号),「支障を及ぼすおそれ」(7号)は国に対する情報公開請求で広く非公開の口実に利用されている。


(10) 手数料(26条)


「実費の範囲内において」手数料を徴収することになっているが,情報公開請求の場合とちがって,だれもが大量請求するかもしれないという状況は考えられない。他方,行政機関にとっては本人によって誤情報を指摘してもらう機会にもなっているのであるから,情報公開請求の場合と同様に手数料を徴収しなければならないということはない。無料とすべきである。


(11) 訂正請求権(27条以下)


訂正請求があったとき,訂正の対象とされた情報をそのまま利用することを止める手段が保障されていない。訂正は訂正請求があった日から30日以内(31条1項),または60日以内(同条2項),さらに「相当の期間」(32条)延期されることがあることになっているが,その間,訂正の対象となった個人情報は普通に流通してしまうのだとすれば問題である。


訂正請求が認められた場合,実務的にはどの範囲まで訂正してもらえるのか不明である。訂正請求した部署だけで訂正しても,他にすでに広まっている場合にはそこだけ訂正してもあまり意味がない。拡がってしまった誤情報の訂正について,法案35条では,「行政機関の長」が「必要があると認めるときは」「当該保有個人情報の提供先に対し」「通知するものとする」とあるが,長が必要と認めなければ通知されないということになる。しかし,誤情報であるものが平然と社会的に通用するというのは明らかに不合理である。誤情報の訂正は原則として行われるべきである。明らかに必要がない場合にのみ通知を不要とすべきである。


(12) 利用停止請求権(36条)


利用停止請求があったとき,利用停止の対象とされた情報をそのまま利用することを止める手段が保障されていない。


利用停止訂正は利用停止請求があった日から30日以内(31条1項),または60日以内(同条2項),さらに「相当の期間」(32条)延期されることがあることになっているが,その間,訂正の対象となった個人情報は普通に流通してしまうのだとすれば問題である。


(13) 不服申立(42条)


審査会(15人構成)は東京に1つ置くだけ(個人情報保護審査会設置法案3条1項)。3人ずつの5部会制をとるものと思われるが,東京以外の住人にとっては非常に不便な制度である。情報公開のような運動性がない個人的な請求が多いことが見込まれるだけに,東京だけでしか不服申立の意見陳述ができないというのは,地方在住者にとって「意見陳述は出来ない」というのと同じになってしまい,不合理である。


(14) 裁判管轄


法的に権利として保障されていると言えるには,実際に裁判で争いやすい条件が充たされていなければならない。


法案には裁判管轄に関する明示の規定がない。行政訴訟の一般原則を規定した行政事件訴訟法12条1項の規定により東京地方裁判所だけということになる。そうだとすれば,現実に裁判を起こせる人は都内及びその近辺に限られる。請求者の居住地を管轄する地方裁判所に提訴できるようにする必要がある。


以上