HOME>公表資料>意見書等>year>2003年>行政機関の保有する個人情報の保護に関する法律案の修正案に対する意見書

行政機関の保有する個人情報の保護に関する法律案の修正案に対する意見書

2003年1月31日
日本弁護士連合会


本意見書について

第1 意見の主旨

平成15年度通常国会で再提案が予定されている、行政機関の保有する個人情報の保護に関する法律案についての与党3党修正案は、法案の持つ問題点をなんら解消するものではなく、日弁連の求める法案の抜本的修正には程遠いものであって、日弁連としては、この与党修正案にも反対である。

そこで日弁連は、第三者機関の設置、データマッチング規制及びセンシティブ情報の収集制限規定の導入など、その抜本的修正案を提案するとともに、→別紙(PDF形式)のとおり第三者機関の試案を公表する。


第2 意見の理由

1.行政機関の保有する個人情報の保護に関する法律案についての与党3党修正案(以下「与党修正案」という)は、行政機関の職員に対して次の処罰規定を設けるというものである。


  1. 自己の利益を図る目的で職権を濫用した個人の秘密の収集
  2. 個人情報の盗用又は不正目的での提供
  3. コンピュータ処理されている個人データの漏えい

2.与党修正案では、日弁連の「行政機関の保有する個人情報の保護に関する法律案に関する意見書」(2002年4月20日)で指摘した問題点が未解決のまま残っている。詳細は当該意見書に譲るが、ここでは与党修正案に織り込むべき特に重要な事項についてのみ指摘する。


(1) 第三者機関の設置

(i) 設置の必要性

現行の行政機関個人情報保護法(以下「現行法」という)及び与党修正案では、各省庁の個人情報の取り扱いを監督する独立した機関は置かれていない。現行法の運用は各省庁の判断に任され、チェック体制がなかったために、個人情報の取り扱いについて緊張感を持って取り組む環境が欠如しており、加えて現行法の制度上の不備もあって、防衛庁情報公開請求者リスト問題が生じたことは疑いがない。

我が国の行政機関は、各省庁毎に権限が分断されており、各省庁内部における個人情報の管理に関しては、各省庁毎に管理するしか方法がなかったともいえるが、各行政機関内における個人情報の統一的な管理体制の構築を図るためには、スウェーデンのデータ検査院など、公正な第三者機関を設置し、かかる第三者機関に行政機関の保有する個人情報保護の管理監督を委ねるのが1995年EUデータ保護指令の要求である。

特に我が国は平成14年8月5日、国民に統一番号(住民票コード)を付与して全国民データベースである住基ネットを稼働させた。かかる住基ネットの基本6情報が行政機関側に提供されることにより、今後、電子政府化される行政機関側においては住民票コードで検索可能な個人情報データベースが構築されることは疑いがない。

したがって、我が国においても、すでに国民総背番号制を採用しているスウェーデンと同様な第三者機関を設置して、行政機関内における個人情報の保護に配慮すべきであり、今回の与党修正案には、かかる電子政府に対応した仕組みを構築しようとする意図が欠如している。

日弁連は、個人情報保護法大綱(1998年3月19日)において、独立した機関である個人情報保護委員会の設置をすでに提言しているが、今日の状況を踏まえて、更に検討を加え、→別紙のような第三者機関の試案を作成した。この機関は、個人情報の収集・利用・提供等について関与するほか、独自の調査権限を有する。また、後述する通り、データマッチングの制限についてもこうした第三者機関がチェック機能を発揮する必要がある。

なお、民間事業者についても、個人情報保護法修正案のように各主務大臣が個別に監督するのではなく、必要な範囲でかかる第三者機関が公正に民間事業者を指導監督することが必要不可欠である。


(ii) 第三者機関の位置づけ

我が国の行政組織の中で、すでに第三者機関として機能している組織がいくつかある。

もっとも権限の強い機関としては私的独占の禁止及び公正取引の確保に関する法律に基づく公正取引委員会があり、比較的権限の弱い機関としては、電気通信事業法に基づく電気通信事業紛争処理委員会がある。

よって、我が国においても個人情報保護のための第三者機関として、独立行政委員会(以下「個人情報保護委員会」という)を設置することは可能であるばかりか、今後の電子政府の到来に鑑みれば、その設置は必須であると言わざるを得ない。

日弁連としては、内閣府に個人情報保護委員会を設置することを提案したい。なお、行政機関の一部局でありながら,独立して職務を行う「職能的な独立」が最低限必要である。

委員会の性格上、「委員は個人情報保護に関して優れた識見を有する者のうちから、両議院の同意を得て、内閣総理大臣が任命する」とした。


(iii) 第三者機関の権限

個人情報保護委員会にいかなる権限を持たせるべきかは議論のあるところであるが、単なる行政機関の諮問機関では不十分であり、1995年のEUデータ保護指令の水準を満たしていない。

個人情報保護委員会は、行政機関を監視する職務を果たすため、少なくとも、以下の権限を付与されるべきである。


1.立ち入り調査権限

  1. 「個人情報保護委員会」は、関連行政機関その他個人情報の処理が行われている場所に対し、立ち入り調査を行うことができること。
  2. 立ち入り調査先には、地方自治情報センターも含むこと。
  3. 地方自治情報センターから、地方自治情報センターが行政機関へ提供した住基ネットデータの具体的な提供内容の報告を受けられること。
  4. 地方自治情報センターから、住基ネットデータに対するアクセスログの提供を受けられること。

2.利用停止命令

  1. 「個人情報保護委員会」は、個人情報が違法な方法で処理されている場合あるいはそのおそれがある場合、個人データの利用停止命令等適当な措置を発動する事ができること。

3.データマッチング規制(データマッチング規制の必要性に関しては、後述する)

  1. データマッチング申請書を受理した場合、かかる申請書面を、申請と同時に官報および「個人情報保護委員会」のインターネット・ホームページに掲載すること。
  2. データマッチングの同意を求める申請書面を検討して、法の定めるマッチング要件を充足しているか審査し、充足していると判断した場合は、申請に同意するとともに、「個人情報保護委員会」のインターネット・ホームページに掲載すること。
  3. 「個人情報保護委員会」は、関連行政機関に対し、データマッチング実施方法の変更又はデータマッチングの中止を勧告する権限を持つこと。

4.センシティブ情報収集制限(センシティブ情報収集制限の必要性に関しては、後述する)

  1. センシティブ情報収集の同意を求める申請書を受理した場合、かかる申請書面を、申請と同時に官報および「個人情報保護委員会」のインターネット・ホームページに掲載すること。
  2. センシティブ情報収集申請書面を検討して、法の定める収集要件を充足しているか審査し、充足していると判断した場合は、申請に同意するとともに、「個人情報保護委員会」のインターネット・ホームページに掲載すること。
  3. 「個人情報保護委員会」は、関連行政機関に対し、センシティブ情報収集の実施方法の変更又はセンシティブ情報収集の中止を勧告する権限を持つこと。

5.目的外利用の制限(目的外利用の制限の必要性に関しては、後述する)

  1. 目的外利用の同意を求める申請書を受理した場合、かかる申請書面を、申請と同時に官報および「個人情報保護委員会」のインターネット・ホームページに掲載すること。
  2. 目的外利用の同意を求める申請書面を検討して、法の定める目的外利用の要件を充足しているか審査し、充足していると判断した場合は、申請に同意するとともに、「個人情報保護委員会」のインターネット・ホームページに掲載すること。
  3. 「個人情報保護委員会」は、関連行政機関に対し、目的外利用の実施方法の変更又は目的外利用の中止を勧告する権限を持つこと。

6.提供の制限(提供の制限の必要性に関しては、後述する)

  1. 他の行政機関等に対する個人情報の提供に関する同意を求める申請書を受理した場合、かかる申請書面を、申請と同時に官報および「個人情報保護委員会」のインターネット・ホームページに掲載すること。
  2. 他の行政機関等に対する個人情報の提供に関する同意を求める申請書面を検討して、法の定める提供の要件を充足しているか審査し、充足していると判断した場合は、申請に同意するとともに、「個人情報保護委員会」のインターネット・ホームページに掲載すること。
  3. 「個人情報保護委員会」は、関連行政機関に対し、他の行政機関等に対する個人情報の提供の実施方法の変更又は他の行政機関等に対する個人情報の提供の中止を勧告する権限を持つこと。

(iv) その他必要なルール


  1. 「個人情報保護委員会」は、一定期間毎に、自らの活動に関する報告書を作成しなければならないこと。
  2. 利用停止命令等適切な処置を発動した場合、直ちにその旨を、「個人情報保護委員会」のインターネット・ホームページに掲載すること。
  3. 「個人情報保護委員会」は委員及び事務職員は職務上の守秘義務を雇用終了後一定期間に限り負うこと。
  4. 内閣総理大臣は個人情報の保護に関して委員会に諮問することができること。
    なお、第三者機関の具体的な規定案としては、→別紙を参照されたい。

(2)データマッチング規制の導入

今日、個人情報保護を推進する上で欠くことができないのが、データマッチングの規制である。福祉国家・行政国家化の進展により、生活のあらゆる場面に関わって、大量の個人情報が行政機関により収集・蓄積されている。それらの情報が電子化されると、住民票コードによって容易に結合・検索することができるので、国家が個人を監視、管理する「監視国家」「管理社会」が容易に形成されることになる。

コンピュータ先進国である米国では、このような「監視国家」、「管理社会」への危機感から、1988年にコンピュータマッチング及びプライバシー保護法が制定された。同法は1974年プライバシー法を改正するもので、2つ以上の記録システムに含まれる記録をコンピュータによって照合すること(マッチングプログラム)について、ⅰ提供機関と受領機関との間で書面による取り決めを行い、実施の30日前までに議会へ報告し、国民の閲覧に供すること、ⅱ監督、調整のため、各行政機関にデータ保護委員会を設けることなどを内容としている。

電子政府化を推し進めている日本においても、米国のように、データマッチングが規制されるべきであり、行政機関個人情報保護法にかかる規制が盛り込まれるべきである。その際、次の点に留意する必要があろう。


  1. 米国では議会への報告が求められているが、日本ではデータマッチングの審査手続に関与する機関は、国会ではなく上述した第三者機関たる個人情報保護委員会とすべきである。
  2. 米国と異なり市民による政治監視が十分機能していない日本では、米国のように公示から実施まで30日間の時間を置くだけでは、不適切なデータマッチングの抑制効果を十分には期待できない。データマッチングの実施は、個人情報保護委員会による事前承認を条件とすべきである
  3. 米国では、定型的な行政目的のために行われるマッチングプログラム等について規制から除外されることになっており、それにより制度が形骸化しつつあるとの批判もある。 したがって、安易にデータマッチング規制の例外規定を設けるべきではない。

以上を踏まえ、データマッチング規制のあり方をまとめると次のようになる。


  1. データマッチングの定義は「2つ以上の個人情報ファイルにそれぞれ含まれる電子データを電子計算機を用いて比較、検索及び結合すること」とすること。
  2. 行政機関の長は、データマッチングを行う場合または従来のデータマッチングの方法を変更する場合には、一定の事項を記載した書面により申請することによって、個人情報保護委員会から事前の承認を受けることとすること。かかる申請書面は、申請と同時に官報および個人情報保護委員会のインターネット・ホームページに掲載されること。
  3. なお、個人情報保護委員会が、データマッチングについて、調査・勧告の権限を持つことは前述した。

データマッチング規制規定の具体例としては、以下の規定を提案したい。


1 行政機関の長は、次に定める場合を除き、2つ以上の個人情報ファイルにそれぞれ含まれる電子データを電子計算機を用いて比較、検索及び結合してはならない。

  1. 法令の規定に基づくとき。
  2. 行政機関が法令に定める所掌事務の遂行に必要な限度であって、当該個人情報ファイルにそれぞれ含まれる電子データを、電子計算機を用いて比較、検索及び結合することがやむを得ないと認められるとして、委員会が同意したとき

2 行政機関の長は、前項各号に基づき2つ以上の個人情報ファイルにそれぞれ含まれる電子データを、電子計算機を用いて比較、検索及び結合した場合は、その実施を公示しなければならない


(3) 収集制限規定の導入

コンピュータ・ネットワークが進展した社会では、いったんコンピュータ入力された情報がどこまで拡散し、利用されているかを把握するのが困難であり、そもそもできるだけ個人情報を収集しないこと、特にデジタル情報として集積しないことが重要である。しかしながら、与党修正案は、このような視点を欠いている。センシティブ情報の収集禁止規定は、約6割の地方自治体が個人情報保護条例に明記していること、直接収集の原則も多数の条例で明記されていることに鑑みるならば、与党修正案にもセンシティブ情報の収集禁止、直接収集の原則が明記されるべきである。

さらに一定限度で例外が認められるとしても、行政機関の長が一定の事項を記載した書面により申請することによって、個人情報保護委員会から事前の承認を受けること、かかる申請書面は、申請と同時に官報および個人情報保護委員会のインターネット・ホームページに掲載されること、が必要である。


(4) 利用・提供制限(第8条)、提供情報の開示

同条2項2号、3号は、「相当な理由」があれば個人情報の利用・提供を認めており、その判断は第1次的には行政機関が行うため、利用・提供制限の歯止めにはならない。米国プライバシー法にも利用・提供制限の例外はあるが、与党修正案のような概括的・抽象的な例外規定ではなく、たとえば、「他の行政機関による民事上または刑事上の法執行活動の用に供するために提供する場合。ただし、かかる活動が法に基づくものと認められ、かつ提供を要請する行政機関又は政府機関の長が記録を保有する行政機関に対し、書面により、記録の必要部分及び記録が必要とされる法執行活動を明記して要求する場合に限る」といった規定方法がとられている(米国プライバシー法552a条(b)(7))。

したがって、一定の要件の基に、行政機関による保有個人情報の目的外利用ないしは他の行政機関への提供を認めるとしても、一定の事項を記載した書面により申請することによって、個人情報保護委員会から事前の承認を受けること、かかる申請書面は、申請と同時に官報および個人情報保護委員会のインターネット・ホームページに掲載されること、が必要である。

また、例外的にでも保有個人情報の行政機関による目的外利用が認められる場合は、保有個人情報の目的外利用の日付、根拠及び目的を記録し、本人が入手できるようにするべきである。

さらに、自己情報コントロール権および個人による行政活動の監視を十分確保する観点からは、行政機関が個人情報を他の行政機関に提供した場合は、提供の日付、提供の目的、提供を受けた者の名称等を記録保存し、かかる情報を本人が入手できるようにする必要がある(米国プライバシー法552a条(c)は同様の規定を置いている)。そして、その例外は、情報公開法に基づく開示の場合、警察等への開示で提供の事実を本人に開示すると犯罪捜査に支障を来たす場合に限定すべきである。


(5) 個人情報ファイルの公表

与党修正案は、公表されるべき個人情報ファイルについて広汎な例外規定を設けている(第11条、10条)。しかし、国民主権の社会にあって、国家機関が国家予算を用い、主権者の知らない個人情報ファイルを秘密のうちに作成するようなことは認められるべきではない。どのようなファイルが作成されているか(具体的に誰のどのような情報が掲載されているかではない。)は国民に公表され、そのようなファイルの作成自体の正当性を含め、広く国民に批判・検証の機会が設けられるべきである。


(6) 裁判管轄

実際に裁判で争いやすい条件が満たされていなければ、権利保障としては十分ではない。与党修正案には裁判管轄に関する明示規定がなく、このままでは行政事件訴訟法の原則により東京地方裁判所でしか裁判を提起できないことになるが、それでは地方在住者にとっては裁判で争うことは実際には困難である。請求者の居住地を管轄する地方裁判所にも管轄を認めるべきである。

以上