なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:デジタル庁

デジタル認証アプリイメージ図
前回のブログ記事でも取り上げた、デジタル庁のデジタル認証アプリに関するパブコメに対して以下のような意見を提出しました。


『デジタル認証アプリについては、個人が官民の各種サービスを利用した履歴が一元管理され、不当な個人のプロファイリングや、関連性のないデータによる個人の選別・差別、国家による個人の監視などの個人の権利利益の侵害や個人の人格権侵害のリスクがあります(マイナンバー法1条、個人情報保護法1条、3条、憲法13条、「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」2024年2月26日付日経クロステック参照)。そのため、「法律による行政の原則」(憲法 41 条、65 条、 76 条)の観点から、公的個人認証法の施行規則の一部改正だけではなく、マイナンバー法そのものを一部改正し、根拠条文を設置し、利用目的や目的外利用の禁止、安全管理措置等を規定し、違法・不当な利用に歯止めをかけるべきと考えます。

また、デジタル認証アプリで収集された個人情報(「連続的に蓄積」されたサービス利用履歴等も含む。個情法ガイドライン(通則編)2-8(※)参照。)についても、利用目的の制限、第三者提供等の制限、安全管理措置、保存期間の設定、データ最小限の原則、開示・訂正請求など本人関与の仕組みの策定、情報公開・透明性の仕組みの確保、不適正利用・プロファイリングの禁止などの法規制がなされるべきと考えます。

さらに、マイナンバーカードの電子証明書の発行番号(シリアル番号)についても、マイナンバー(個人番号)に準じたものとして取扱うように法規制し、利用目的の厳格化、目的外利用の禁止、第三者提供の制限、厳格な安全管理措置などの法規制を、マイナンバー法を改正するなどして盛り込むべきだと考えます。(同様に、マイナンバーカードやマイナポータルなどについてもマイナンバー法に根拠条文が非常に少ないため、これらについても「法律による行政の原則」の観点から、政令や施行規則・通達等の整備ではなく法規制を実施すべきだと思われます。)』


■参考文献
・電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案に対する意見募集について|e-GOV
・マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク|日経クロステック
・マイナンバーカードの取得を強く求める政府 本当の狙いはどこに|朝日新聞
・マイナカード、目に見えない「もう一つの番号」 規制緩くて大丈夫?|朝日新聞
・民間事業者が公的個人認証サービスを利用するメリット|J‐LIS
・水町雅子『逐条解説マイナンバー法』267頁、269頁

■関連するブログ記事
・デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

my_number_card2

1.はじめに

2024年2月26日付の日経クロステックの記事「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」が、デジタル庁が本年4月から提供予定のマイナンバーカードを使って本人確認をする「デジタル認証アプリ」が、個人が行政や民間企業のサービスのログインなどで同アプリを使って認証することで、その本人の様々な官民の各種サービスの利用状況がデジタル庁のサーバーに蓄積され、国が個人について広範囲に情報を把握することとなり、不当なプロファイリングなどにつながるプライバシーリスクがあるという趣旨の報道しています。

2.デジタル認証アプリのしくみ

このデジタル認証アプリとは、マイナンバーカードの内臓ICチップに搭載されている電子証明書を読み取り、オンラインで本人確認を行うためのアプリであるそうです。

マイナンバーカードのデジタル認証アプリサーバーの図
(「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」2024年2月26日付日経クロステックより)

官民の各種サービスのウェブサイトのログインなど、本人確認が必要な際に、デジタル庁のアプリサーバーがそのサービスからのリクエストに応じてマイナンバーカードの電子証明書を受け付け、J-LIS(地方公共団体情報システム機構)のサーバーに問い合わせてその有効性を確認し、有効性が確認できたらその結果をサービス側のサーバーに返すことでサービス利用時の本人確認が行われる仕組みとなっています。

そしてこの本人確認の際に、デジタル庁のアプリサーバーにマイナンバーカードのICチップの電子証明書発行番号(シリアル番号)、事業者別リンクコード、認証状況などの情報が保存されます。電子証明書発行番号は個人の保有するマイナンバーカードと1対1で紐付き、事業者別リンクコードはサービス事業者と1対1で紐付くため、誰がどのサービス事業者のサービスの利用において本人確認を行ったかという情報がデジタル庁のサーバーに保管・蓄積されることになります。

このようなデジタル認証アプリの仕組みにより、国民個人が行政や民間企業のサービスのログインなどで同アプリを使って認証することで、その本人の様々な官民の各種サービスの利用状況がデジタル庁のサーバーに蓄積され、国が個人について一元的に情報を把握することとなり、不当なプロファイリングなどのプライバシーリスクがあることになります。

(なお、このマイナンバーカードの電子証明書は5年ごとに失効するので心配ないとの意見もあるようですが、J-LISは平成29年からいわゆる「新旧シリアル番号の紐付けサービス」を提供しており、官民の機関・事業者は電子証明書の新旧の発行番号を管理することにより、本人を追跡し続けることが可能です。)

3.マイナンバーカードの電子証明書の発行番号に関する法規制

このようにマイナンバーカードのICチップの電子証明書の発行番号(シリアル番号)は、マイナンバー(個人番号)と同様に取扱注意な番号ですが、それに対する法規制がマイナンバーに対する法規制と異なりゆるいことが大きな問題の一つであるといえます。

マイナンバーについてはマイナンバー法が利用目的を税、社会保障、災害対応の3分野に限定しそれ以外の用途への利用を禁止し、提供先の機関も法定され(9条、別表1)、厳格な安全管理措置が規定され(27条以下)、罰則(48条以下)も設けられています。

一方、電子証明書の発行番号についてはそこまでの利用目的の制限がなく、また発行番号は特定個人情報(マイナンバーを含む個人情報)にも該当しないとなっており、特定個人情報に対する厳格な安全管理措置の適用もありません。公的個人認証法(JPKI法)で、発行番号を含めた外部提供用のデータベースを作成することが禁止されていますが(63条)、罰則についてはそのようなデータベースを繰り返し作成する等した事業者が、国の命令に従わなかった場合にしか科されないなど、ゆるい法規制にとどまっています(75条)。

このように、マイナンバーカードの電子証明書の発行番号の法規制はマイナンバーに比べて非常にゆるいと言わざるを得ません。これで国民の個人情報保護やプライバシー保護などは大丈夫なのでしょうか。

この点、上でみた日経クロステックの記事によると、取材に対してデジタル庁幹部は「サーバーに保有する記録の中には氏名、住所、生年月日、性別といった個人情報は含まずプライバシーインパクトは大きくないため、特段の法制度上の対応は必要ないと考えている」と回答したとのことです。

しかしこのデジタル庁の見解はいろいろと甘いのではないでしょうか。「氏名、住所、生年月日などが含まれていなければ個人情報ではない」との個情法の定義の理解は完全に間違っています。

また、個人情報保護委員会は、例えばCookieやサービス利用履歴等についても「連続的に蓄積」され特定の個人を識別できるものは個人情報としているのですから(個情法GL(通則編)2-8(※))、デジタル庁のサーバーに「連続的に蓄積」された発行番号や利用履歴等も個人情報として安全管理措置を講じる必要があるはずです(個情法66条)。

個情法ガイドライン通則編2-8
(個人情報保護委員会の個人情報保護法ガイドライン(通則編)2-8(※)より)

しかも上で見てきたように、デジタル認証アプリでデジタル庁のサーバーに広範囲に保存・蓄積されるマイナンバーカードの電子証明書の発行番号のデータは本人の様々な官民の各種サービスの利用状況であり、国家による個人の監視や不当なプロファイリング、関連性のないデータによる個人の選別・差別のおそれがあるのですから、マイナンバー並みの厳格な管理が必要なはずです。

この点、上の記事では日経クロステックの取材に対して、OpenID ファウンデーション・ジャパンの富士榮尚寛代表理事がつぎのように回答されています。

OpenID ファウンデーション・ジャパンの富士榮尚寛代表理事のコメント

「問題は、性質や提供者が異なる、国のサービスも民間サービスも含めて1人の個人にひも付いた利用状況がデジタル庁のサーバーに蓄積することだ」と指摘。デジタル庁のWebサイトでは同アプリについて「行政サービスでも民間サービスでも利用可能な国が認定する個人認証サービスを提供します」としている。

「例えばデジタル認証アプリで本人確認をして『富士榮が確定申告をした』だけならば、そもそも国家が把握している情報なので問題ない。ところが、そこに『富士榮が映画のチケット購入時に本人確認をした』『富士榮が18禁のサービス利用時に本人確認をした』など民間サービスの利用状況もひも付き一元管理されるとどうか」

「Google Knows You Better Than You Know Yourself」ならぬ「デジタル庁はあなたよりあなた自身のことを知っている」ということになりかねない懸念があるというわけだ。

(「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」2024年2月26日付日経クロステックより)

4.まとめ・デジタル庁のパブコメが実施中

デジタル認証アプリについては、個人が官民の各種サービスを利用した履歴が一元管理され、不当な個人のプロファイリングや、関連性のないデータによる個人の選別・差別、国家による個人の監視などの個人の権利利益の侵害や個人の人格権侵害のリスクがあります(マイナンバー法1条、個人情報保護法1条、3条、憲法13条)。

そのため、「法律による行政の原則」(憲法 41 条、65 条、 76 条)の観点から、デジタル認証アプリについて、公的個人認証法の施行規則の一部改正だけではなく、マイナンバー法そのものを一部改正し、根拠条文を設置し、利用目的や目的外利用の禁止、安全管理措置等を規定し、違法・不当な利用に歯止めをかけるべきと考えます。

また、デジタル認証アプリで収集された個人情報(「連続的に蓄積」された電子証明書の発行番号(シリアル番号)やサービス利用履歴等も含む。個情法ガイドライン(通則編)2-8(※)参照。)についても、利用目的の制限、第三者提供等の制限、安全管理措置、保存期間の設定、データ最小限の原則、開示・訂正請求など本人関与の仕組みの策定、情報公開・透明性の仕組みの確保、不適正利用・プロファイリングの禁止などの法規制がなされるべきと考えます。

さらに、マイナンバーカードの電子証明書の発行番号(シリアル番号)についても、マイナンバー(個人番号)に準じたものとして取扱うように法規制し、利用目的の厳格化、目的外利用の禁止、第三者提供の制限、厳格な安全管理措置などの法規制を、マイナンバー法を改正するなどして盛り込むべきだと考えます。(同様に、マイナンバーカードやマイナポータルなどについてもマイナンバー法に根拠条文が非常に少ないため、これらについても「法律による行政の原則」の観点から、政令や施行規則・通達等の整備ではなく、まずは法規制を実施すべきだと思われます。)

なお、このデジタル認証アプリに関しては、現在、デジタル庁がパブコメを実施中です。(2024年2月29日まで。)

・電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案に対する意見募集について|e-GOV

この問題に興味・関心のある多くの方が意見を提出することが望まれます。

■追記(2024年2月28日)
上でもコメントを引用させていただいた、OpenID ファウンデーション・ジャパン代表理事の富士榮尚寛先生が、ブログでこのデジタル認証アプリのパブコメを取り上げておられます。
・デジタル認証アプリがやってくる(その後)|IdM実験室
・デジタル認証アプリがやってくる|IdM実験室

■追記(2024年2月29日)
一般社団法人MyDataJapanが本パブコメに対する意見を公表しています。
・「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案」に対するパブコメ(2024/2/29)|MyDataJapan

■追記(2024年2月29日)
本パブコメに意見を提出しました。
・デジタル庁のデジタル認証アプリに関するパブコメに意見を提出してみた

このブログ記事が面白かったらシェアなどをお願いします!

■参考文献
・マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク|日経クロステック
・マイナンバーカードの取得を強く求める政府 本当の狙いはどこに|朝日新聞
・マイナカード、目に見えない「もう一つの番号」 規制緩くて大丈夫?|朝日新聞
・民間事業者が公的個人認証サービスを利用するメリット|J‐LIS
・水町雅子『逐条解説マイナンバー法』267頁、269頁

■関連するブログ記事
・備前市が学校給食無償をマイナンバーカード取得世帯のみにすることをマイナンバー法から考えたーなぜマイナンバー法16条の2は「任意」なのか?(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・政府の検討会議で健康・医療データについて患者の本人同意なしに二次利用を認める方向で検討がなされていることに反対する

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

images (7)
本ブログ記事の概要
最高裁第一小法廷令和5年3月9日判決は住基ネット訴訟と同様に構造審査の手法をとりマイナンバー制度を合憲とした。ただし本判決はマイナンバー制度が税・社会保障・災害対策の3点に利用目的を限定していることを合憲の理由の一つとしているので、最近のデジタル庁のマイナンバー法「規制緩和」法案は違法の可能性がある。また、本判決はマイナンバーカードについては検討していないため、「マイナ保険証」等の問題や、xIDなどの民間企業によるマイナンバーカードの利用にはお墨付きを与えていない。

1.はじめに
3月9日にマイナンバー制度はプライバシー権の侵害であるとする訴訟について、マイナンバー制度は合憲とする最高裁判決が出され、同日、裁判所サイトにその判決文が掲載されたため読んでみました(最高裁第一小法廷令和5年3月9日判決)。

・最高裁第一小法廷令和5年3月9日判決・令和4(オ)39マイナンバー(個人番号)利用差止等請求事件|裁判所

2.事案の概要
本件は、マイナンバー法(令和3年の改正前のもの。以下「番号利用法」)により個人番号(マイナンバー)を付番された上告人Xらが、被上告人(国)Yが番号利用法に基づき上告人らの特定個人情報(個人番号をその内容に含む個人情報)の収集、保管、利用又は提供(以下、併せて「利用、提供等」という。)をする行為は、憲法13条の保障する上告人らのプライバシー権を違法に侵害するものであると主張して、Yに対し、プライバシー権に基づく妨害予防請求又は妨害排除請求として、Xらの個人番号の利用、提供等の差止め及び保存されているXらの個人番号の削除を求めるとともに、国家賠償法1条1項に基づき、慰謝料等の支払を求める事案である。裁判所はつぎのように判示してXらの上告を棄却した。

3.本判決の判旨
『第2 上告理由のうち憲法13条違反をいう部分について
1 憲法13条は、国民の私生活上の自由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の自由の一つとして、何人も、個人に関する情報をみだりに第三者に開示又は公表されない自由を有するものと解される(最高裁平成19年(オ)第403号、同年(受)第454号同20年3月6日第一小法廷判決・民集62巻3号665頁)。

2 そこで、行政機関等が番号利用法に基づき特定個人情報の利用、提供等をする行為が上告人らの上記自由を侵害するものであるか否かを検討するに、前記…のとおり、同法は、個人番号等の有する対象者識別機能を活用して、情報の管理及び利用の効率化、情報連携の迅速化を実現することにより、行政運営の効率化、給付と負担の公正性の確保、国民の利便性向上を図ること等を目的とするものであり、正当な行政目的を有するものということができる。』

『3 もっとも、特定個人情報の中には、個人の所得や社会保障の受給歴等の秘匿性の高い情報が多数含まれることになるところ、理論上は、対象者識別機能を有する個人番号を利用してこれらの情報の集約や突合を行い、個人の分析をすることが可能であるため、具体的な法制度や実際に使用されるシステムの内容次第では、これらの情報が芋づる式に外部に流出することや、不当なデータマッチング、すなわち、行政機関等が番号利用法上許される範囲を超えて他の行政機関等から特定の個人に係る複数の特定個人情報の提供を受けるなどしてこれらを突合することにより、特定個人情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じ得るものである。しかし、番号利用法は、前記第1の2イ及びのとおり、個人番号の利用や特定個人情報の提供について厳格な規制を行うことに加えて、前記第1の2のとおり、特定個人情報の管理について、及び特定個人情報の漏えい等を防止し、特定個人情報を安全かつ適正に管理するための種々の規制を行うこととしており、以上の規制の実効性を担保するため、これらに違反する行為のうち悪質なものについて刑罰の対象とし、一般法における同種の罰則規定よりも法定刑を加重するなどするとともに、独立した第三者機関である委員会に種々の権限を付与した上で、特定個人情報の取扱いに関する監視、監督等を行わせることとしている。

また、番号利用法の下でも、個人情報が共通のデータベース等により一元管理されるものではなく、各行政機関等が個人情報を分散いところ、前記第1の2管理している状況に変わりはなのとおり、各行政機関等の間で情報提供ネットワークシステムによる情報連携が行われる場合には、総務大臣による同法21条2項所定の要件の充足性の確認を経ることとされており、情報の授受等に関する記録が一定期間保存されて、本人はその開示等を求めることができる。のみならず、上記の場合、システム技術上、インターネットから切り離された行政専用の閉域ネットワーク内で、個人番号を推知し得ない機関ごとに異なる情報提供用個人識別符号を用いて特定個人情報の授受がされることとなっており、その通信が暗号化され、提供される特定個人情報自体も暗号化されるものである。以上によれば、上記システムにおいて特定個人情報の漏えいや目的外利用等がされる危険性は極めて低いものということができる。
(略)

これらの諸点を総合すると、番号利用法に基づく特定個人情報の利用、提供等に関して法制度上又はシステム技術上の不備があり、そのために特定個人情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない。

4 そうすると、行政機関等が番号利用法に基づき特定個人情報の利用、提供等をする行為は、個人に関する情報をみだりに第三者に開示又は公表するものということはできない。したがって、上記行為は、憲法13条の保障する個人に関する情報をみだりに第三者に開示又は公表されない自由を侵害するものではないと解するのが相当である。

以上は、当裁判所大法廷判決(最高裁昭和40年(あ)第1187号同44年111- 12 - 2月24日大法廷判決・刑集23巻12号1625頁)の趣旨に徴して明らかである。論旨は採用することができない。』

4.検討
(1)本判決の概要
本判決は前半の「第1」の部分でマイナンバー制度を概説した上で、後半の「第2 上告理由のうち憲法13条違反をいう部分について」のおおむね上で引用したような判旨でマイナンバー制度の合憲性を検討しています。そしてその検討をみてみると、まず「1」の部分では、住基ネット訴訟最高裁判決(最高裁平成20年3月6日判決)を引いて、「憲法13条は…個人の私生活上の自由の一つとして、何人も、個人に関する情報をみだりに第三者に開示又は公表されない自由を有するものと解される」と憲法13条に基づくいわゆる古典的プライバシー権(静的プライバシー権)が問題になっていることを明らかにしています。

つぎに本判決は「2」の部分で、マイナンバー制度がこのプライバシー権を侵害しているかを検討するためにマイナンバー制度の目的の検討が必要であるとします。そして、「同法は、個人番号等の有する対象者識別機能を活用して、情報の管理及び利用の効率化、情報連携の迅速化を実現することにより、行政運営の効率化、給付と負担の公正性の確保、国民の利便性向上を図ること等を目的とするものであり、正当な行政目的を有する」として、マイナンバー制度の目的は行政権の行使として正当であるとしています。

さらに本判決は、マイナンバー法が個人番号の利用範囲を「社会保障、税、災害対策およびこれらに類する分野の法令又は条例で定められた事務に限定」されていること、目的外利用の許容される例外事例も一般法である(旧)行政機関個人情報保護法よりも限定されていること、政令への委任も白地委任とはなっていないこと等を判示し、法的にマイナンバー制度が問題ではないとしています。

なお本判決は「3」の部分で、特定個人情報(マイナンバーを含む個人情報)は、個人の所得や社会保障の受給歴等の秘匿性の高い情報が含まれるところ、理論的には識別能力を有するマイナンバーを利用して名寄せや突合を行い、個人の分析や不当なデータマッチングなどが行われる「具体的な危険」があるとしつつも、マイナンバー法は罰則を置き、監督を行う第三者機関として個人情報保護委員会が設置されている等の理由で、そのような目的外利用や情報漏洩などがなされる危険性は「極めて低い」としてしまっています。(そのため、本判決はプライバシー権の本質論について、基本的に古典的プライバシー論と構造審査論に立っており、最近の「自己の情報を適切に取扱われる権利」論は採用していないように思われます。)

加えて本判決は、マイナンバー制度は情報連携を行う情報提供ネットワークシステムにおいてはマイナンバーそのものは利用されていないこと等を理由として情報システム上もマイナンバー制度は問題がないとしています。

その上で本判決は「これらの諸点を総合すると、番号利用法に基づく特定個人情報の利用、提供等に関して法制度上又はシステム技術上の不備があり、そのために特定個人情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない。」とし、マイナンバー制度は法的にもシステム的にも問題はなく、上告人らのプライバシー侵害はないと結論付けています(いわゆる「構造審査」論)。構造審査論をとっていることから、本判決は基本的に構造審査論を採用した住基ネット訴訟判決を承継するものといえます。

加えて本判決は「以上は、当裁判所大法廷判決(最高裁昭和44年2月24日大法廷判決)の趣旨に徴して明らかである」として、本判決は警察官によるデモ隊の写真撮影によるプライバシー権および肖像権の侵害が争われた京都府学連事件(最高裁昭和44年2月24日大法廷判決)に連なる判例であることを明らかにしています。

(2)本判決は令和3年改正前のマイナンバー法を対象としており、またマイナンバーカードについては検討していない
このように本判決は、国民個人のプライバシー権との関係でマイナンバー制度は違法・違憲ではないと判示しましたが、その一方で、本判決は令和3年改正前のマイナンバー法を対象としており、またマイナンバーカードについては検討していない点は注意が必要です。

すなわち、令和3年(2021年)のいわゆるデジタル社会形成法案の一つとしてマイナンバー法も一部改正がなされましたが、その際に追加された、国家資格をマイナンバーに紐付け管理する等の法改正は本判決の範囲外となります。

デジタル社会形成法案の概要
(令和3年のデジタル社会形成法案の概要。個人情報保護委員会サイトより。)

同様に、現在デジタル庁が国会に法案を提出した、マイナンバー制度の目的を税・社会保障・災害対策に限定せず「規制緩和」を行うことや、その改正を法律によらず政省令で可能にすること等も本判決の対象外であり、司法府のお墨付きを得ているわけではありません。むしろ、本判決はマイナンバー制度の合憲の根拠の一つにマイナンバー制度の目的が税・社会保障・災害対策の3つに限定されていることを挙げているのですから、「規制緩和」法案は違法・違憲の可能性があるのではないでしょうか。

また、本判決はマイナンバーカードについては司法判断を行っていないため、例えば本年大きな問題となっている、保険証をマイナンバーカードに一体化して国民にマイナンバーカードを事実上強制する等の「マイナ保険証」の問題も司法のお墨付きを得ているわけではありません。同様に、児童・子どもの教育データをマイナンバーで国が一元管理するというデジタル庁の「子どもデータ利活用ロードマップ」等も司法のお墨付きを得ているわけではありません。あるいはxIDなどのようにマイナンバーカードのICチップ部分の電子証明書等の民間企業の利用についても司法は合憲と判断しているわけではない状況です。

(3)まとめ
以上見てきたように、本判決は住基ネット訴訟と同様に構造審査の手法をとりマイナンバー制度を合憲としています。ただし本判決はマイナンバー制度が税・社会保障・災害対策の3点に利用目的を限定していることを合憲の理由の一つとしているので、最近のデジタル庁のマイナンバー法「規制緩和」法案は違法の可能性があります。また、本判決はマイナンバーカードについては検討していないため、「マイナ保険証」等の問題や、xIDなどの民間企業によるマイナンバーカードの利用にはお墨付きを与えていません。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
・黒澤修一郎「プライバシー権」『憲法学の現在地』(山本龍彦・横大道聡編)139頁
・成原慧「プライバシー」『Liberty2.0』(駒村圭吾編)187頁
・山本龍彦「住基ネットの合憲性」『憲法判例百選Ⅰ 第7版』42頁
・高木浩光「個人情報保護から個人データ保護へ(6)」『情報法制研究』12号49頁

■関連する記事
・マイナンバー制度はプライバシー権の侵害にあたらないとされた裁判例を考えた(仙台高判令3・5・27)
・備前市が学校給食無償をマイナンバーカード取得世帯のみにすることをマイナンバー法から考えたーなぜマイナンバー法16条の2は「任意」なのか?(追記あり)
・デジタル庁のマイナンバー法9条および別表の「規制緩和」法案を考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?



[広告]






このエントリーをはてなブックマークに追加 mixiチェック

マイナンバーカード
このブログ記事の概要
デジタル庁のマイナンバー法の「規制緩和」法案は、マイナンバー法9条および別表1・2の趣旨・目的から非常に疑問であり、また現在全国で係争中のマイナンバー訴訟の裁判所の判断に抵触しているおそれがあり、さらに「法律による行政の原則」や法治主義、民主主義の観点からも疑問である。デジタル庁など国は本法案の見直しを行うべきである。

1.マイナンバー法が規制緩和?
2023年1月22日付の朝日新聞の「マイナンバー、法規定緩和へ 用途拡大、法改正不要に デジ庁法案 漏洩リスク、識者「説明を」」によると、デジタル庁はマイナンバーの利用用途を拡大する際に法改正を不要とするための法改正のための法案を本年の通常国会に提出する方針であるそうです。

マイナンバー法は①税、②社会保障、③災害対応、の3つのみに利用目的を限定しており、そのことはマイナンバー法9条および別表1・別表2に限定列挙で規定されています。つまり別表1でマイナンバーを利用できる行政機関とその業務を限定列挙し、別表2でマイナンバーを使って情報連携できる行政機関やその業務を規定しています。

本記事によると、デジタル庁の今回の法案は、別表1に規定された業務に「準ずる事務」であれば法律に規定がなくてもマイナンバーを利用できるようにし、また別表2を法律から政省令に格下げするとのことです。デジタル庁は新型コロナなど新たな事態が起きた際にマイナンバー制度を柔軟に運営できるようにするためと法案の趣旨を説明しているとのことです。しかしこのようなマイナンバー法の「規制緩和」は法的に許容されうるものなのでしょうか?

マイナンバー法
(利用範囲)
第9条 別表第一の上欄に掲げる行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者(法令の規定により同表の下欄に掲げる事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。第四項において同じ。)は、同表の下欄に掲げる事務の処理に関して保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用することができる。当該事務の全部又は一部の委託を受けた者も、同様とする。
(略)

2.マイナンバー法9条の趣旨・目的から考える
なぜマイナンバー法9条が厳格に利用を制限しているかについて、マイナンバー法の立案担当者の水町雅子先生の『逐条解説マイナンバー法』140頁はつぎのように解説しています。

『個人番号が悪用された場合には、この機能(=幅広い機関が保有する個人情報を名寄せ・突合し、情報検索・情報管理・情報連携を行うことができる機能)ゆえに、行政機関や地方公共団体、民間事業者等を始めとする幅広い機関が保有する大量多種の個人情報が名寄せ・突合され、国家が個人を管理したり、国家に限らずさまざまな機関が個人情報を集約・追跡したり、個人を分析し個人の人格像を勝手に作り上げたりするなど、さまざまな危険が考えられる。』『一般法(=個人情報保護法)では、個人情報を利用できる範囲を限定していないが、本条は、個人番号を利用できる範囲を限定しており、…本条は一般法に規定のない義務であり、個人番号の悪用の危険性に鑑み設けられた規定である。』
(水町雅子『逐条解説マイナンバー法』140頁より)

つまりマイナンバーは官民の幅広い機関が保有する個人情報を名寄せ・突合し、情報検索・情報管理・情報連携を行うことができる機能を有するため、個人番号が悪用された場合、行政や民間が保有する幅広い個人情報が名寄せされ、国・民間企業等が個人を監視したり、追跡を行ったり、個人を分析・プロファイリングして人物像を勝手に作り選別・差別を行う危険があります。そのためマイナンバー法はマイナンバーを利用できる用途や利用できる機関を限定列挙で規定するという厳格な法規制を置いているのです。

このようにマイナンバー法9条および別表1・2はマイナンバー制度の「肝」の部分であるのに、この部分を緩和してしまおうというデジタル庁の方針には、マイナンバーの危険性の防止の観点から非常に疑問を感じます。

また、本記事によるとデジタル庁の本法案は、マイナンバー法9条の別表1に「準じるもの」も利用可能としたり、別表2は法律でなく政省令に格下げしてしまう内容であるそうですが、これではデジタル庁など国の勝手にマイナンバー法9条が改変できるようになってしまい、これは公法の大原則の一つである「法律による行政の原則」(実質的法治主義)がないがしろになってしまうのではないでしょうか。

つまり主権者である国民から選抜された国会議員の国会での審議により法律を作り、行政(政府)にその法律に従わせることにより行政を民主的にコントロールし、もって国民の人権保障を確保しようという国民主権国家の大原則をないがしろにしてしまうのではないでしょうか。これは日本の国民主権・民主主義を軽んじているのではないかと非常に疑問です。

3.住基ネット訴訟・マイナンバー訴訟から考える
住民基本台帳ネットワークが適法であるかが争われた住基ネット訴訟の最高裁平成20年3月6日判決は、その適法性の審査方法として、一つは住基ネットによる個人情報の利用は行政目的として違法とはいえないこと、もう一つとして住基ネットは①システムの技術上の安全性、②十分な法的手当の存在などにより住基ネット制度を合法としています(構造審査)。

住基ネット訴訟最高裁判決(最高裁平成20年3月6日判決)
『また,前記確定事実によれば,住基ネットによる本人確認情報の管理,利用等は,法令等の根拠に基づき,住民サービスの向上及び行政事務の効率化という正当な行政目的の範囲内で行われているものということができる。住基ネットのシステム上の欠陥等により外部から不当にアクセスされるなどして本人確認情報が容易に漏えいする具体的な危険はないこと,受領者による本人確認情報の目的外利用又は本人確認情報に関する秘密の漏えい等は,懲戒処分又は刑罰をもって禁止されていること,住基法は,都道府県に本人確認情報の保護に関する審議会を,指定情報処理機関に本人確認情報保護委員会を設置することとして,本人確認情報の適切な取扱いを担保するための制度的措置を講じていることなどに照らせば,住基ネットにシステム技術上又は法制度上の不備があり,そのために本人確認情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない。

そして、現在、全国の裁判所で係争中のマイナンバー訴訟では、裁判所はこの住基ネット訴訟の構造審査を援用して、マイナンバー制度を合法であるとしています(仙台高判令3・5・27、大阪高判令4・12・15など)。

そのため、もしデジタル庁など国がマイナンバー法の法規制を緩和する方向で法改正を行った場合、それは裁判所の住基ネット訴訟やマイナンバー訴訟で使われている構造審査に抵触し、裁判所からマイナンバー制度は違法という判断が出されてしまう可能性があるのではないでしょうか。この点もデジタル庁など国の考え方は非常に疑問です。

4.まとめ
このようにデジタル庁のマイナンバー法の「規制緩和」法案は、マイナンバー法9条および別表1・2の趣旨・目的から非常に疑問であり、また現在全国で係争中のマイナンバー訴訟の裁判所の判断に抵触しているおそれがあり、さらに「法律による行政の原則」や法治主義、民主主義の観点からも疑問です。デジタル庁など国は本法案の見直しを行うべきです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・水町雅子『逐条解説マイナンバー法』140頁
・山本龍彦「住基ネットの合憲性」『憲法判例百選Ⅰ 第7版』
・櫻井敬子・橋本博之『行政法 第6版』12頁

■関連する記事
・マイナポータル利用規約と河野太郎・デジタル庁大臣の主張がひどい件(追記あり)
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・マイナンバー制度はプライバシー権の侵害にあたらないとされた裁判例を考えた(仙台高判令3・5・27)



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

マイナンバーカード
1.はじめに
マイナンバーカードに保険証を一体化すると政府が方針を打ち出すなど、最近、マイナンバー制度が話題ですが、今度はマイナポータルの利用規約の免責条項の部分がひどいとネット上で炎上ぎみとなっています。つまり、マイナポータル利用規約の免責条項が、何かあっても「国は一切の責任を負わない」と規定していることがひどいと話題になっているところ、本日(2022年10月29日)のネット記事(「情報流出しても責任負わず? マイナポータル「免責事項」に疑義続出 河野デジタル相の回答は?」ITmediaニュース)によると、河野太郎・デジタル庁大臣は「一般的な(IT企業のサービスの)利用規約と変わらない」と反論しているとのことです。そこで私もマイナポータルの利用規約を読んでみました。

2.マイナポータル利用規約3条と23条1項
すると、マイナポータル利用規約3条と23条1項はたしかに「国は一切の責任を負わない」との趣旨の規定していますが、これはいくらなんでも無理筋と思われます。

マイナ1
(マイナポータル利用規約3条)

マイナ2
(マイナポータル利用規約23条1項)

・マイナポータル利用規約|デジタル庁

3.定型約款
たしかに民間企業などの契約書や約款などの作成の実務においては、民法の一般原則として、「契約自由の原則」があるために、労働基準法などの強行法規に抵触しない限り、約款や契約書などは当事者が原則自由に作成し、それに基づいて契約などを締結することができます。このマイナポータル利用規約も約款の一つといえます。

しかし、近年改正された民法は定型約款の規定を新設して約款の取扱いを明確化しています(民法548条の2以下)。そして同548条の2第2項は消費者契約法10条に似た条文ですが、「相手方の権利を制限し、又は相手方の義務を加重する条項であって、その定型取引の態様及びその実情並びに取引上の社会通念に照らして第一条第二項(=信義則)に規定する基本原則に反して相手方の利益を一方的に害すると認められるものについては無効」と規定しています。

つまり、約款が有効であっても、その個別の約款条項が相手方の権利を制限し、又は相手方の義務を加重する条項であり、取引上の社会通念に照らして信義則に反して相手方の利益を一方的に害するような約款条項は無効なのです。そのため「何があっても一切の責任は負わない」という趣旨のこのマイナポータル利用規約3条、23条1項は法的に無効と評価される可能性が高く、無理筋といえます。

4.マイナンバー法・個人情報保護法
また、マイナンバー(個人番号)は行政が保有する国民個人の個人データを名寄せ・突合できる”究極のマスター・キー”ですので、マイナンバー法は国の責務として「国は…個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講」じなければならないと法的義務を規定しています(マイナンバー法4条1項)。

マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
(国の責務)
第4条 国は、前条に定める基本理念(以下「基本理念」という。)にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用を促進するための施策を実施するものとする。
(略)

5.ベネッセ個人情報漏洩事件
この点、マイナンバー法の一般法にあたる個人情報保護法は民間企業や行政機関等に個人データの滅失、棄損や漏洩などを防止するための安全管理措置を講じなければならないと法的義務を課しています(法23条)。

そして、2014年に発覚したベネッセ個人情報漏洩事件において被害者がベネッセに損害賠償請求を行った民事裁判では、最高裁はベネッセ側の安全管理措置が不十分であったことを認定し、審理を高裁に差戻し、大阪高裁はベネッセ側の損害賠償責任を認めています(最高裁平成29年10月23日判決)。

つまり、企業や行政機関等が安全管理措置などを怠った場合、損害賠償責任が発生することがあると最高裁は認めています。したがって、この判例からも、「何があっても一切の責任をデジタル庁は負わない」というこのマイナポータル利用規約3条、23条1項の免責条項はちょっと無理筋すぎます。

6.国家賠償法
なお、万が一マイナンバー制度で個人情報漏洩事故などが発生した場合には、被害者の国民はデジタル庁や国を相手取って国家賠償法に基づく損害賠償請求の訴訟を提起することになると思われます。

国家賠償法1条1項は「国又は公共団体の公権力の行使に当る公務員が、その職務を行うについて、故意又は過失によつて違法に他人に損害を加えたときは、国又は公共団体が、これを賠償する責に任ずる。」と規定しています。そのため万一国賠訴訟になった場合には、「一切の責任を負わない」というマイナポータル利用規約3条、23条はあまり意味がないように思われます。行政と民間企業の違いを河野大臣やデジタル庁の官僚たちが理解できているのか疑問です。

国家賠償法
第1条 国又は公共団体の公権力の行使に当る公務員が、その職務を行うについて、故意又は過失によつて違法に他人に損害を加えたときは、国又は公共団体が、これを賠償する責に任ずる。
(略)

7.まとめ
このブログではこれまで何回かデジタル庁に関して取り上げてきていますが、河野太郎大臣やデジタル庁の官僚の方々は、法律面があまり強くない方々ばかりなのでしょうか。国民の一人としては大いに心配になります。

個人情報保護法制の趣旨・目的は「個人情報の利活用」の面だけでなく「個人の権利利益の保護」と「個人の人格尊重」(個人情報保護法1条、3条)の面があるわけですので、デジタル庁の役職員の方々は、デジタル行政の企画立案や運営にあたっては、個人の個人情報やプライバシー権(憲法13条)の保護への十分な配慮もお願いしたいものです。

■追記(2022年11月24日)
本日の朝日新聞が本件を取り上げていますが、マイナンバー法の立案担当者の弁護士の水町雅子先生の「一般的に利用規約は、免責の範囲を広くとる記述に偏りやすい。規約への同意の有効性にも問題が残る。ただ、マイナポータルは、嫌なら使わなければいいという民間のサービスとは違う。よりわかりやすい説明が求められる。」とのコメントが掲載されています。

・マイナポータル、国は免責 「一切負わない」規約に批判も|朝日新聞

■追記(2022年11月30日)
神奈川新聞によると、河野太郎大臣はマイナポータル利用規約の免責規定の改定を行う方針を記者会見で公表したとのことです。

・マイナポータル規約 河野デジタル相が「修正指示」|神奈川新聞

■追記(2022年12月29日)
朝日新聞などによると、批判を受けて、デジタル庁はマイナポータルの利用規約を見直すことを表明したとのことです。

・マイナポータル「一切免責」改定 デジタル庁、規約へ「無責任」批判受け|朝日新聞

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)



[広告]










このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ