なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:デジタル関連法案

display_monitor_computer
1.自治体の個人情報保護条例を国の個人情報保護法に強制的に一元化してよいのか?
自治体の個人情報保護条例を国の個人情報保護法に統一化・一元化する内容を含む、デジタル関連法案が衆議院を通過し、現在、参議院で審議中です。

・「デジタル社会の形成を図るための関係法律の整備に関する法律案」の閣議決定について|個人情報保護委員会

デジタル関連法案の概要
(「デジタル関連法案の概要」 個人情報保護委員会サイトより)

今回の2021年の個人情報保護法改正に賛成する情報法の学者の先生方は、個人情報保護条例の統一化について、「自治体により個人情報保護条例が異なると大企業・国が個人情報を利活用しにくい」と主張しておられます(いわゆる「2000個問題」)。

しかし大企業等が自治体等が保有する個人情報を利活用しにくいということは、住民の個人情報が条例の壁により守られているとプラスに評価すべきではないでしょうか。

国の個人情報保護法においても、その立法目的・基本理念は、企業等による「個人情報の有用性に配慮」だけでなく、「個人の権利利益を保護」、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの」と規定されているのですから、住民・国民の個人情報の保護による、国民・住民のプライバシー権や人格権などの人権保障も重要な個人情報保護法制の立法目的です。

例えば防犯カメラの問題について、個人情報保護法に個別の規定はなく(法18条4項4号による)、個人情報保護委員会は企業寄りのガイドライン・QAを公表しているのみです(QA1-11など)。

一方、自治体においては、例えば三鷹市、世田谷区等は住民の人権をも考慮した「防犯カメラ条例」を制定し、事業者等の防犯カメラの設置や運用に規制を設けています。

デジタル関連法案、個人情報保護法改正で、全国の自治体のこのような画期的な取組が国に潰されてよいのでしょうか?

日本は中国のような全体主義・国家主義の国でなく、西側自由主義諸国に並ぶ、国民の個人の尊重と人権保障を国の目的とする近代憲法をもつ国民主権の国のはずです(憲法1条、11条、13条、97条)。

2.自治体の団体自治・条例制定権
また、自治体には国から独立して権力分立の関係で自治を行う権限(「団体自治」・憲法92条)があり、国から独立した条例制定権を有しています(94条)。そのため、国が強制的に自治体の個人情報保護条例を国の個人情報保護法に一元化することは、憲法の地方自治の条文に抵触しており、国の統治の観点からも大きな問題をはらんでいます。

政府・与党は、このように問題の多い2021年の個人情報保護法改正・デジタル関連法案を今一度見直すべできす。

3.国家資格保有者の個人情報を国が一元管理するマイナンバー法改正
4月30日には、東京オリンピック組織委員会が日本看護協会に、大会の医療スタッフとして看護師500人の確保を要請したことに関連し、菅首相「休んでいる方もたくさんいると聞いている。可能だと考えている」と発言したことが注目されました。

また、5月3日には、同じく組織委員会は、医師をボランティアとして約200人募集したことが明らかになりました。

・菅首相 五輪・パラリンピックの看護師500人確保は可能「休んでいる人多い」|東京新聞
・東京五輪の組織委、ボランティアの医師200人を募集|朝日新聞

今回のデジタル関連法案のなかのマイナンバー法改正法案には、「国家資格保有者の個人情報をマイナンバーを使って国が一元管理するための改正」も含まれています。(冒頭の「デジタル関連法案の概要」の上から2番目の「マイナンバーを活用した情報連携による行政手続きの効率化」の部分。)菅首相はこのマイナンバー法改正を念頭に発言をしたものと思われます。

しかし、上でもみたように、わが国は個人の自由意思を基本とする自由主義国です。たとえ看護師などの国家資格を保有していたとしても、当該資格を有している方が看護師として働くか否かは本人の自由意思に委ねられます(自己決定権・憲法13条)。また、憲法は職業選択の自由(22条)財産権の自由(29条)を規定しており、個人や法人には営業の自由が認められています(22条、29条)。この職業選択の自由や営業の自由には、ある職業を選択しない自由や、営業しない自由が含まれているのは当然のことです。

(なお、医師法19条は診療に関する医師の応召義務を規定していますが、医師は「正当な理由」があれば診療の拒否が可能であり、また同義務は罰則規定もない公的義務です(神戸地裁平成4年6月30日判決)。そのため、医師法19条を根拠に五輪組織委員会や国が医師などにオリンピックへの協力を強制できるとは思えません。)

にもかかわらず、国が看護師などの国家資格保有者の個人情報データベースを作成し、コロナ禍で働き手が足りないから等と資格保有者の方に書面やメール、電話などで看護師等として働くよう促すことは、軍国主義・全体主義の戦前・戦中の日本政府の「赤紙」と同じです。

現行の憲法は、このような国の命令による強制労働について、「奴隷的拘束」「意に反する苦役」を明文で禁止しています(憲法18条)。

また、国から国民に刑罰が科される場合には、それが正しく行われることを担保するために、法律に定められた手続きによることが要求されますが(適正手続きの原則・憲法31条)、この適正手続きの原則は、刑罰だけでなく国・自治体の行政にも適用されます(最大判昭47年11月22日判決・川崎民商事件)。

今回の日本看護協会への組織委員会の要請について、菅首相は「可能であると考えている」と、国として看護協会あるいは個々の看護師への要請あるいは事実上の強制を行うような発言を行ったわけですが、この菅首相の言動には法的な根拠がなく、憲法31条の適正手続きの原則にも違反しているように思われます。

日本国憲法

第十八条 何人も、いかなる奴隷的拘束も受けない。又、犯罪に因る処罰の場合を除いては、その意に反する苦役に服させられない。

第三十一条 何人も、法律の定める手続によらなければ、その生命若しくは自由を奪はれ、又はその他の刑罰を科せられない。

このように、国の命令により国民を強制労働させる目的で、国が国家資格保有者の個人情報データベースを作成することは、憲法18条、31条に抵触すると思われますので、そのような国家資格保有者の個人情報データベースを用意するためのマイナンバー法改正は違法・違憲であり、政府・与党はこれを撤回すべきです。

なお、菅政権は、商社・銀行など大企業の従業員を国が管理・監督し、当該従業員を地方の企業等で働かせる政策も公表しています。

・菅首相 “大企業の人材 地方の中小企業に派遣 活性化を”|NHK

しかしこの政策も、看護師などの国家資格保有者の個人情報を国が一元管理し、強制労働に利用しようという全体主義・国家主義的な考え方に似ています。今後、政府・与党が、国家資格保有者だけでなく、大企業の従業員の個人情報を一元管理する施策を打ち出さないか、国民は注目する必要があると思われます。

■関連するブログ記事
・2021年の個人情報保護法の改正法案の学術研究機関の部分がいろいろとひどい件-デジタル関連法案
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』30頁、92頁
・芦部信喜『憲法 第7版』378頁
・石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修大学ロージャーナル』3号19頁










このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.はじめに
デジタル関連法案が2021年の国会で審議中です。ところが、そのなかの個人情報保護法の改正法案の内容が非常にひどいことに驚いてしまいました。今回の個人情報保護法改正の目玉は、個人情報保護法と行政機関個人情報保護法・独立行政法人個人情報保護法の統一化地方自治体の個人情報保護条例の個人情報保護法への統一化学術研究開発機関における個人情報の取扱の明確化などとなっていますが、とくに研究開発機関に関する改正法案の条文を読むと、政府・与党の「デジタル至上主義」、「研究開発至上主義・経済至上主義」があまりにも露骨となっています。

・「デジタル社会の形成を図るための関係法律の整備に関する法律案」の閣議決定について|個人情報保護委員会
・新旧対照表|個人情報保護委員会
デジタル関連法案の概要
(デジタル関連法案の概要。個人情報保護委員会サイトより)

2.学術研究機関は本人の同意のない個人情報の目的外利用が可能となる
2021年の個人情報保護法改正法案では、学術研究機関は本人の同意なしに個人情報の目的外利用(改正法18条)が可能となってしまっています。

改正法案16条8項は、学術研究機関について、「この章において、「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう」と幅広に定義しています。

そのため、この条文を読む限り、大学などに限らず、およそ学術研究的な業務を行う団体やそれに所属する人間は、この「学術研究機関等」に該当してしまうように読めます。つまり、「〇〇の研究開発」という業務目的を定款の業務目的の一部にでも規定さえしておけば、民間企業であっても、この「学術研究機関等」に該当してしまうように思われます。

2021年改正個人情報保護法目的外利用

現行法16条1項は、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と規定し、事業者は個人情報をプライバシーポリシーなどであらかじめ公表している利用目的を超えて、本人の同意なしに利用することを禁止しています(目的外利用の禁止)。

ところが、改正法案18条3項5号、6号の新設条文は、個人情報取扱事業者が学術研究機関である場合(5号)や、一般の事業者が学術研究機関に個人情報を提供する場合(6号)には、目的外利用の禁止の条文の適用外とすると規定しています。つまり、個人情報取扱事業者が学術研究機関である場合や、一般の事業者が学術研究機関に個人情報を提供する場合には、本人の同意のない目的外利用を許すとなってしまっています。

なお、この改正法案18条3項5号、6号はかっこ書きのなかに、一応、「個人の権利利益を不当に侵害する場合を除く」という一文をおいています。個人情報保護法は3条で「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの」と規定し、同1条は「個人の権利利益を保護」と規定しています。そのため、この「個人の権利利益」とは、憲法13条に基づくプライバシー権、自己情報コントロール権などが含まれると思われます(宇賀克也『個人情報保護法の逐条解説 第6版』32頁)。

この点、ベネッセ個人情報漏洩事件に関する最高裁平成29年10月23日判決は、ベネッセの安全管理措置違反による顧客のプライバシー権侵害による不法行為責任(民法709条)を認めています。

ところで、2019年の就活生の内定辞退予測データの販売のリクナビ事件を受けて、2020年の個人情報保護法改正では、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」との不適正利用禁止の条文が新設されました(16条の2)。

この不適正利用禁止の規定に関するガイドライン制定のための資料において、個人情報保護委員会は、同規定の趣旨・目的は、「個人の権利利益の保護」であるとしつつも、「法目的に照らして看過できないような相当程度悪質なケースを念頭において規定」と、消極的な見解を示しています。

・改正法に関連するガイドライン等の整備に向けた論点について(不適正利用の禁止) |個人情報保護委員会

2021年改正の改正法案18条3項5号、6号に関するガイドラインが制定されるのはまだ先の話です。国民の「個人の権利利益の保護」について、個人の側から見て積極的なガイドラインが策定されるかもしれませんが、個人情報保護委員会の大企業寄りの姿勢をみると、消極的なものにとどまるかもしれません。

3.学術研究機関は本人の同意のない要配慮個人情報の収集が可能となる
病院で医師が患者を診察して作成したカルテ情報、処方箋情報、検査結果などの医療データ個人の思想・信条や内心にかかわる情報人種、社会的身分、犯罪歴などの社会的差別の原因のおそれのある個人情報など、いわゆるセンシティブ情報は2017年の法改正で「要配慮個人情報」と定義されました(法2条3項)。

そして、法17条2項は、たとえば患者が意識不明の状態で病院に救急搬送されたような場合など、公衆衛生のために必要で本人の意思を確認することが困難なときなど以外の場合は、あらかじめ本人の同意なしに事業者が要配慮個人情報を収集することを禁止しています。

ところが、2021年の個人情報保護法改正法案では、学術研究機関は本人の同意なしに要配慮個人情報の収集が可能(改正法案20条)となってしまっています。

つまり、法17条2項に対応した改正法案20条2項は、「次に掲げる場合のほか、本人の同意なしに要配慮個人情報の収集をしてはならない」の「次に掲げる場合」として、同条同項5号から7号において、個人情報取扱事業者が学術研究機関等である場合を列挙しているのです。

2021年改正個人情報保護法要配慮個人情報保護法

なお、改正法案20条2項5号から7号は、「個人の権利利益を不当に侵害する場合を除く」という規定を置いているのは上と同様の論点です。

4.学術研究機関は本人の同意のない個人情報の第三者提供が可能となる
また改正法案27条1項5号から7号までは、これも第三者提供には本人の同意が必要とする原則(現行法23条1項)の例外規定として、学術研究機関が研究目的で個人情報を利用する場合は、本人の同意なしに第三者提供を行うことができると規定してしまっています。

2021年改正個人情報保護法第三者提供


この改正法案27条1項5号から7号にも、上と同様に、「個人の権利利益を不当に侵害する場合を除く」との規定が置かれていますが、個人情報保護委員会がガイドラインなどでどのような場合が具体的にそれに該当すると示すかが注目されます。

5.学術研究機関は第三者提供の際の記録作成義務が免除される
2017年の個人情報保護法改正の際に、いわゆる名簿業者対策として、個人情報の第三者提供・個人情報の売買にトレーサビリティー(追跡可能性)を確保するために、事業者が個人情報の第三者提供を行う場合には、提供先の名称や提供年月日などの第三者提供の記録の作成義務が新設されました(現行法25条)。

しかし、改正法案29条ただし書きは、「ただし、個人データの提供が、第27条1項各号(=学術研究機関の第三者提供の場合)…に該当する場合には、この限りではない」と規定し、学術研究機関の個人情報の第三者提供の場合には、記録の作成義務を免除してしまっています。

2021年改正個人情報保護法第三者提供の記録の作成

6.学術研究機関はcookie・サイト閲覧履歴など個人関連情報の第三者提供の際の確認義務が免除される
上でみた2019年の就活生の内定辞退予測データの販売が問題となったリクナビ事件においては、cookieやサイト閲覧履歴などの、それ単体では個人を識別できない情報・データであるが、その情報・データをリクルートキャリアなどの事業者からトヨタなどの求人企業が売買により第三者提供を受けることによって、社内で他のデータと照合するなどして、就活生の内定辞退予測データを活用し、就活生の採用の合否を決めるという、就活生の情報を就活生の意思や利益に明らかに反する形で利用する、個人情報保護法の抜け道を迂回するような脱法的な手法が大きな社会問題となりました。

このリクナビ事件を受けて、2020年の個人情報保護法改正では、cookieやサイト閲覧履歴などの情報・データを「個人関連情報」と定義し、「事業者は、第三者が個人関連情報を個人データとして取得することが想定されるときには、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない」と、個人関連情報の第三者提供の制限規定が新設されました(2020年改正法26条の2)。

ところが、この個人関連情報の第三者提供の制限に関しても、今回の改正法は、つぎのように学術研究機関に対して除外規定を設けてしまっています。

「個人情報取扱事業者は、第三者が個人関連情報を個人データとして取得することが想定されるとき第27条1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない」

2021年改正個人情報保護法個人関連情報の第三者提供

この「第27条1項各号に掲げる場合」とは、上でみたように、学術研究機関等が個人情報を第三者提供する場合のことです。

つまり、学術研究機関が関わる第三者提供に関しては、cookieやサイト閲覧履歴などの個人関連情報を、データの本人の意思や利益に反するように第三者提供しても、個人情報保護法上は問題がないということになってしまいます。これは個人情報保護法の先祖返りとしかいいようがありません。法目的の「個人の権利利益の保護」「個人の人格尊重の理念」(法1条、3条)は一体どこに行ってしまったのでしょうか。

7.まとめ
このように、コロナ禍で国民の関心が削がれていることをいいことに、内閣IT戦略室、デジタル庁、個人情報保護委員会はデジタル関連法案、個人情報保護法改正法案においてやりたい放題の状況です。

上でみたように、とくに学術研究機関等は、本人の同意のない要配慮個人情報の収集が許されることになり、また、学術研究機関等は、本人の同意なしに個人情報の目的外利用と第三者提供が可能となり、さらに第三者提供の際の記録作成義務も免除されてしまっています。

これでは、学術研究機関等が新たな名簿業者として、個人情報を法の網の目を逃れてやり取りするための新たなブラックボックスとなってしまうのではないでしょうか。

つまり、IT企業、製薬会社、自動車メーカーなどの研究開発を行う大企業に対しては、個人情報保護法の本人同意のない目的外利用の禁止・第三者提供の禁止・要配慮個人情報の取得禁止などの規制が骨抜きとなってしまうおそれがあります。

第三者提供の記録の作成義務が除外されるということは、IT企業、製薬会社、自動車メーカーなどに対して、個人情報保護委員会などが報告徴求や立入検査しても何もわからないということになりかねません。これは、国民の知る権利(憲法21条)や国民主権・民主主義(1条)の観点からも大問題なのではないかと思われます。

かつての20世紀の帝国主義時代の列強諸国や日本は、「国家は間違うはずがない」という国家無謬説の国家観に立った行政活動や立法が行われていました。この点、わが国の2021年の個人情報保護法改正法案やデジタル関連法案は、「自然科学は間違うはずがない、研究開発は間違うはずがない、自然科学による経済発展は間違うはずがない」という「科学技術無謬説」・「デジタル無謬説」あるいは「科学技術の発展による経済成長無謬説」に立脚しているように思えます。しかしそれは20世紀の帝国主義が悲惨な2度の世界大戦を招いたように、時代錯誤な考え方に思えます。

国家主義・全体主義の中国などとは異なり、日本は国民の個人の尊重と基本的人権の確立を国の目的とする近代憲法の自由主義・民主主義の国家です(憲法11条、97条)。にもかかわらず、国民の人権保障を放棄して国や経済界のエゴをむき出しにした感のある、デジタル至上主義、研究開発至上主義・経済至上主義の2021年の改正個人情報保護法は、わが国の憲法の趣旨そのものにも反しているように思われます。

大企業・国の経済的利益のための2021年の個人情報保護法改正は、国民の人権保障を重視するEUのGDPRなどの西側世界の個人データ保護法からどんどん乖離して、むしろ全体主義の中国などの個人情報保護法制に近づいてゆくように思われます。日本の個人情報保護法がEUのGDPRの十分性認定を取消しされる日も近いかもしれません。

■関連するブログ記事
・デジタル関連法案による、自治体の個人情報保護条例の国の個人情報保護法への統一化について
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』32頁、92頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』33頁、60頁
・EUがAIに包括規制案 世界で初、顔認証利用に事前審査も|日経新聞
・Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence|European Union







このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ