なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:マイナンバー

マイナンバーカード
このブログ記事の概要
デジタル庁のマイナンバー法の「規制緩和」法案は、マイナンバー法9条および別表1・2の趣旨・目的から非常に疑問であり、また現在全国で係争中のマイナンバー訴訟の裁判所の判断に抵触しているおそれがあり、さらに「法律による行政の原則」や法治主義、民主主義の観点からも疑問である。デジタル庁など国は本法案の見直しを行うべきである。

1.マイナンバー法が規制緩和?
2023年1月22日付の朝日新聞の「マイナンバー、法規定緩和へ 用途拡大、法改正不要に デジ庁法案 漏洩リスク、識者「説明を」」によると、デジタル庁はマイナンバーの利用用途を拡大する際に法改正を不要とするための法改正のための法案を本年の通常国会に提出する方針であるそうです。

マイナンバー法は①税、②社会保障、③災害対応、の3つのみに利用目的を限定しており、そのことはマイナンバー法9条および別表1・別表2に限定列挙で規定されています。つまり別表1でマイナンバーを利用できる行政機関とその業務を限定列挙し、別表2でマイナンバーを使って情報連携できる行政機関やその業務を規定しています。

本記事によると、デジタル庁の今回の法案は、別表1に規定された業務に「準ずる事務」であれば法律に規定がなくてもマイナンバーを利用できるようにし、また別表2を法律から政省令に格下げするとのことです。デジタル庁は新型コロナなど新たな事態が起きた際にマイナンバー制度を柔軟に運営できるようにするためと法案の趣旨を説明しているとのことです。しかしこのようなマイナンバー法の「規制緩和」は法的に許容されうるものなのでしょうか?

マイナンバー法
(利用範囲)
第9条 別表第一の上欄に掲げる行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者(法令の規定により同表の下欄に掲げる事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。第四項において同じ。)は、同表の下欄に掲げる事務の処理に関して保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用することができる。当該事務の全部又は一部の委託を受けた者も、同様とする。
(略)

2.マイナンバー法9条の趣旨・目的から考える
なぜマイナンバー法9条が厳格に利用を制限しているかについて、マイナンバー法の立案担当者の水町雅子先生の『逐条解説マイナンバー法』140頁はつぎのように解説しています。

『個人番号が悪用された場合には、この機能(=幅広い機関が保有する個人情報を名寄せ・突合し、情報検索・情報管理・情報連携を行うことができる機能)ゆえに、行政機関や地方公共団体、民間事業者等を始めとする幅広い機関が保有する大量多種の個人情報が名寄せ・突合され、国家が個人を管理したり、国家に限らずさまざまな機関が個人情報を集約・追跡したり、個人を分析し個人の人格像を勝手に作り上げたりするなど、さまざまな危険が考えられる。』『一般法(=個人情報保護法)では、個人情報を利用できる範囲を限定していないが、本条は、個人番号を利用できる範囲を限定しており、…本条は一般法に規定のない義務であり、個人番号の悪用の危険性に鑑み設けられた規定である。』
(水町雅子『逐条解説マイナンバー法』140頁より)

つまりマイナンバーは官民の幅広い機関が保有する個人情報を名寄せ・突合し、情報検索・情報管理・情報連携を行うことができる機能を有するため、個人番号が悪用された場合、行政や民間が保有する幅広い個人情報が名寄せされ、国・民間企業等が個人を監視したり、追跡を行ったり、個人を分析・プロファイリングして人物像を勝手に作り選別・差別を行う危険があります。そのためマイナンバー法はマイナンバーを利用できる用途や利用できる機関を限定列挙で規定するという厳格な法規制を置いているのです。

このようにマイナンバー法9条および別表1・2はマイナンバー制度の「肝」の部分であるのに、この部分を緩和してしまおうというデジタル庁の方針には、マイナンバーの危険性の防止の観点から非常に疑問を感じます。

また、本記事によるとデジタル庁の本法案は、マイナンバー法9条の別表1に「準じるもの」も利用可能としたり、別表2は法律でなく政省令に格下げしてしまう内容であるそうですが、これではデジタル庁など国の勝手にマイナンバー法9条が改変できるようになってしまい、これは公法の大原則の一つである「法律による行政の原則」(実質的法治主義)がないがしろになってしまうのではないでしょうか。

つまり主権者である国民から選抜された国会議員の国会での審議により法律を作り、行政(政府)にその法律に従わせることにより行政を民主的にコントロールし、もって国民の人権保障を確保しようという国民主権国家の大原則をないがしろにしてしまうのではないでしょうか。これは日本の国民主権・民主主義を軽んじているのではないかと非常に疑問です。

3.住基ネット訴訟・マイナンバー訴訟から考える
住民基本台帳ネットワークが適法であるかが争われた住基ネット訴訟の最高裁平成20年3月6日判決は、その適法性の審査方法として、一つは住基ネットによる個人情報の利用は行政目的として違法とはいえないこと、もう一つとして住基ネットは①システムの技術上の安全性、②十分な法的手当の存在などにより住基ネット制度を合法としています(構造審査)。

住基ネット訴訟最高裁判決(最高裁平成20年3月6日判決)
『また,前記確定事実によれば,住基ネットによる本人確認情報の管理,利用等は,法令等の根拠に基づき,住民サービスの向上及び行政事務の効率化という正当な行政目的の範囲内で行われているものということができる。住基ネットのシステム上の欠陥等により外部から不当にアクセスされるなどして本人確認情報が容易に漏えいする具体的な危険はないこと,受領者による本人確認情報の目的外利用又は本人確認情報に関する秘密の漏えい等は,懲戒処分又は刑罰をもって禁止されていること,住基法は,都道府県に本人確認情報の保護に関する審議会を,指定情報処理機関に本人確認情報保護委員会を設置することとして,本人確認情報の適切な取扱いを担保するための制度的措置を講じていることなどに照らせば,住基ネットにシステム技術上又は法制度上の不備があり,そのために本人確認情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない。

そして、現在、全国の裁判所で係争中のマイナンバー訴訟では、裁判所はこの住基ネット訴訟の構造審査を援用して、マイナンバー制度を合法であるとしています(仙台高判令3・5・27、大阪高判令4・12・15など)。

そのため、もしデジタル庁など国がマイナンバー法の法規制を緩和する方向で法改正を行った場合、それは裁判所の住基ネット訴訟やマイナンバー訴訟で使われている構造審査に抵触し、裁判所からマイナンバー制度は違法という判断が出されてしまう可能性があるのではないでしょうか。この点もデジタル庁など国の考え方は非常に疑問です。

4.まとめ
このようにデジタル庁のマイナンバー法の「規制緩和」法案は、マイナンバー法9条および別表1・2の趣旨・目的から非常に疑問であり、また現在全国で係争中のマイナンバー訴訟の裁判所の判断に抵触しているおそれがあり、さらに「法律による行政の原則」や法治主義、民主主義の観点からも疑問です。デジタル庁など国は本法案の見直しを行うべきです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・水町雅子『逐条解説マイナンバー法』140頁
・山本龍彦「住基ネットの合憲性」『憲法判例百選Ⅰ 第7版』
・櫻井敬子・橋本博之『行政法 第6版』12頁

■関連する記事
・マイナポータル利用規約と河野太郎・デジタル庁大臣の主張がひどい件(追記あり)
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・マイナンバー制度はプライバシー権の侵害にあたらないとされた裁判例を考えた(仙台高判令3・5・27)



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

マイナンバーカード
1.はじめに
マイナンバーカードに保険証を一体化すると政府が方針を打ち出すなど、最近、マイナンバー制度が話題ですが、今度はマイナポータルの利用規約の免責条項の部分がひどいとネット上で炎上ぎみとなっています。つまり、マイナポータル利用規約の免責条項が、何かあっても「国は一切の責任を負わない」と規定していることがひどいと話題になっているところ、本日(2022年10月29日)のネット記事(「情報流出しても責任負わず? マイナポータル「免責事項」に疑義続出 河野デジタル相の回答は?」ITmediaニュース)によると、河野太郎・デジタル庁大臣は「一般的な(IT企業のサービスの)利用規約と変わらない」と反論しているとのことです。そこで私もマイナポータルの利用規約を読んでみました。

2.マイナポータル利用規約3条と23条1項
すると、マイナポータル利用規約3条と23条1項はたしかに「国は一切の責任を負わない」との趣旨の規定していますが、これはいくらなんでも無理筋と思われます。

マイナ1
(マイナポータル利用規約3条)

マイナ2
(マイナポータル利用規約23条1項)

・マイナポータル利用規約|デジタル庁

3.定型約款
たしかに民間企業などの契約書や約款などの作成の実務においては、民法の一般原則として、「契約自由の原則」があるために、労働基準法などの強行法規に抵触しない限り、約款や契約書などは当事者が原則自由に作成し、それに基づいて契約などを締結することができます。このマイナポータル利用規約も約款の一つといえます。

しかし、近年改正された民法は定型約款の規定を新設して約款の取扱いを明確化しています(民法548条の2以下)。そして同548条の2第2項は消費者契約法10条に似た条文ですが、「相手方の権利を制限し、又は相手方の義務を加重する条項であって、その定型取引の態様及びその実情並びに取引上の社会通念に照らして第一条第二項(=信義則)に規定する基本原則に反して相手方の利益を一方的に害すると認められるものについては無効」と規定しています。

つまり、約款が有効であっても、その個別の約款条項が相手方の権利を制限し、又は相手方の義務を加重する条項であり、取引上の社会通念に照らして信義則に反して相手方の利益を一方的に害するような約款条項は無効なのです。そのため「何があっても一切の責任は負わない」という趣旨のこのマイナポータル利用規約3条、23条1項は法的に無効と評価される可能性が高く、無理筋といえます。

4.マイナンバー法・個人情報保護法
また、マイナンバー(個人番号)は行政が保有する国民個人の個人データを名寄せ・突合できる”究極のマスター・キー”ですので、マイナンバー法は国の責務として「国は…個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講」じなければならないと法的義務を規定しています(マイナンバー法4条1項)。

マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
(国の責務)
第4条 国は、前条に定める基本理念(以下「基本理念」という。)にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用を促進するための施策を実施するものとする。
(略)

5.ベネッセ個人情報漏洩事件
この点、マイナンバー法の一般法にあたる個人情報保護法は民間企業や行政機関等に個人データの滅失、棄損や漏洩などを防止するための安全管理措置を講じなければならないと法的義務を課しています(法23条)。

そして、2014年に発覚したベネッセ個人情報漏洩事件において被害者がベネッセに損害賠償請求を行った民事裁判では、最高裁はベネッセ側の安全管理措置が不十分であったことを認定し、審理を高裁に差戻し、大阪高裁はベネッセ側の損害賠償責任を認めています(最高裁平成29年10月23日判決)。

つまり、企業や行政機関等が安全管理措置などを怠った場合、損害賠償責任が発生することがあると最高裁は認めています。したがって、この判例からも、「何があっても一切の責任をデジタル庁は負わない」というこのマイナポータル利用規約3条、23条1項の免責条項はちょっと無理筋すぎます。

6.国家賠償法
なお、万が一マイナンバー制度で個人情報漏洩事故などが発生した場合には、被害者の国民はデジタル庁や国を相手取って国家賠償法に基づく損害賠償請求の訴訟を提起することになると思われます。

国家賠償法1条1項は「国又は公共団体の公権力の行使に当る公務員が、その職務を行うについて、故意又は過失によつて違法に他人に損害を加えたときは、国又は公共団体が、これを賠償する責に任ずる。」と規定しています。そのため万一国賠訴訟になった場合には、「一切の責任を負わない」というマイナポータル利用規約3条、23条はあまり意味がないように思われます。行政と民間企業の違いを河野大臣やデジタル庁の官僚たちが理解できているのか疑問です。

国家賠償法
第1条 国又は公共団体の公権力の行使に当る公務員が、その職務を行うについて、故意又は過失によつて違法に他人に損害を加えたときは、国又は公共団体が、これを賠償する責に任ずる。
(略)

7.まとめ
このブログではこれまで何回かデジタル庁に関して取り上げてきていますが、河野太郎大臣やデジタル庁の官僚の方々は、法律面があまり強くない方々ばかりなのでしょうか。国民の一人としては大いに心配になります。

個人情報保護法制の趣旨・目的は「個人情報の利活用」の面だけでなく「個人の権利利益の保護」と「個人の人格尊重」(個人情報保護法1条、3条)の面があるわけですので、デジタル庁の役職員の方々は、デジタル行政の企画立案や運営にあたっては、個人の個人情報やプライバシー権(憲法13条)の保護への十分な配慮もお願いしたいものです。

■追記(2022年11月24日)
本日の朝日新聞が本件を取り上げていますが、マイナンバー法の立案担当者の弁護士の水町雅子先生の「一般的に利用規約は、免責の範囲を広くとる記述に偏りやすい。規約への同意の有効性にも問題が残る。ただ、マイナポータルは、嫌なら使わなければいいという民間のサービスとは違う。よりわかりやすい説明が求められる。」とのコメントが掲載されています。

・マイナポータル、国は免責 「一切負わない」規約に批判も|朝日新聞

■追記(2022年11月30日)
神奈川新聞によると、河野太郎大臣はマイナポータル利用規約の免責規定の改定を行う方針を記者会見で公表したとのことです。

・マイナポータル規約 河野デジタル相が「修正指示」|神奈川新聞

■追記(2022年12月29日)
朝日新聞などによると、批判を受けて、デジタル庁はマイナポータルの利用規約を見直すことを表明したとのことです。

・マイナポータル「一切免責」改定 デジタル庁、規約へ「無責任」批判受け|朝日新聞

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)



[広告]










このエントリーをはてなブックマークに追加 mixiチェック

my_number_card2
2022年10月13日に河野太郎・デジタル庁大臣が紙の保険証を廃止しマイナンバーカード(個人番号カード)に一本化する方針を示したことをが大きな賛否を呼んでいます。

マイナンバー(個人番号)は税・社会保障・災害対応の3つに利用目的が法定されており、それ以外に利用することは違法となります(法9条)。一方、マイナンバーカードは法9条にとらわれずに身分証明書に利用ができるほか、マイナンバーカードのICチップには①公的個人認証のための電子証明書と②空き領域があります。

マイナンバーカードの3つの利用箇所
総務省サイト「個人番号カードの普及・利活用について」3頁)

①公的個人認証のための電子証明書は、e-TAX、マイナポータルの他、総務大臣が認定した民間事業者の利用も想定されています。具体例としては、金融機関のインターネットバンキング、インターネットショッピングなどです。

また、②ICチップの空き領域は、国の機関は総務大臣の定めるところにより、市町村等は条例で定めるところにより利用できるとされており、具体例としては、印鑑証明書、住民票の写し等のコンビニ交付、証明書自動交付、図書館利用カード、公共施設予約、地域の買い物ポイントなどが想定されています。

さらに上述の総務省の資料9頁によると、政府与党は学歴・職歴なども②のICチップの空き容量に収集することを検討しているようです。(注:2021年に成立したデジタル関連法のなかのマイナンバー法改正では、医師・看護師などの国家資格を国がマイナンバーで一元管理するための法改正なども実施された。)

2bcb9702
(2021年のデジタル社会形成法案の概要。個人情報保護委員会サイトより)

このように「国民の利便性向上」という名目のために、マイナンバーカードは今後もますます多目的化・ワンカード化が推進されるものと思われます。

この点、マイナンバー法の立案担当者である弁護士の水町雅子先生は著書でつぎのように解説しておられます。

カードや番号が幅広く多目的化すると、万一、カードや番号が悪用された場合に、さまざまな情報を名寄せ、盗用される危険性があるなど、プライバシー権を始めとする個人の権利利益を侵害するおそれが高い。

個人番号カードの取得は義務制ではない。(=マイナンバー法16条の2)…個人にとっては…自らが個人番号カードを持つのか持たないのか選択し、また個人番号カードの機能について選び取るという意識が必要であると考える。また政府が政策判断をするにあたっては、国民の利便性の向上、個人番号カードの可能性のみを検討するのではなく、多目的化を脅威と感じる国民の感情を受け、国民が個人番号カードを選択するかどうか、どの機能を選択するかどうか、自身で十分な情報を得た後に選び取れるような周知が必要であると考える。
(水町雅子『逐条解説マイナンバー法』257頁~258頁より)

このようにマイナンバー法の立案担当者である水町先生は、「政府が政策判断をするにあたっては、国民の利便性の向上、個人番号カードの可能性のみを検討するのではなく、多目的化を脅威と感じる国民の感情を受け、国民が個人番号カードを選択するかどうか、どの機能を選択するかどうか、自身で十分な情報を得た後に選び取れるような周知が必要である」と解説しておられますが、今般の「マイナ保険証」による"マイナンバーカードの事実上の強制"を打ち出した河野大臣、岸田首相などの政府与党の方針は、マイナンバー法の定めるマイナンバーカード制度の趣旨・目的に大きく反すると考えられます。

日本は自由な民主主義国家であり(憲法前文、1条)、国家主義・全体主義の中国やロシアなどとは違うのですから、河野大臣、岸田首相や政府与党は今からでもマイナンバーカードの国民への強制という国家主義・全体主義的な政策を撤回すべきです。

■追記
なお、上でもふれたとおり、マイナンバー(個人番号)はマイナンバー法9条が限定列挙する税・社会保障・災害対策の3つの目的のために法9条を根拠として行政機関等が強制的に個人のマイナンバーを含む個人情報を利用することが可能となっている一方で、マイナンバーカードに紐付いた個人情報については法9条に縛られず行政機関や民間企業等が自由に個人の個人情報を利用可能となっているため、当該個人がマイナンバーカードを取得し利用すること、マイナンバーカードを利用するとしてどのような機能を利用するかについて、当該個人の本人の任意の判断(本人の同意)が必須となっています。マイナンバー法16条の2第1項、同17条1項が、マイナンバーカードの取得を国民個人の申請に基づく任意のものと明記しているのはその趣旨ともいえます。
マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)

(個人番号カードの発行等)
第16条の2 機構は、政令で定めるところにより、住民基本台帳に記録されている者の申請に基づき、その者に係る個人番号カードを発行するものとする。
(略)

(個人番号カードの交付等)
第17条 市町村長は、政令で定めるところにより、当該市町村が備える住民基本台帳に記録されている者に対し、前条第一項の申請により、その者に係る個人番号カードを交付するものとする。この場合において、当該市町村長は、その者が本人であることを確認するための措置として政令で定める措置をとらなければならない。
(略)

このマイナンバー法16条の2第1項、17条1項の規定や趣旨からも、河野大臣、岸田首相の保険証のマイナンバーカードへの一体化による国民へのマイナンバーカードの事実上の強制は違法であるといえます。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・水町雅子『逐条解説マイナンバー法』257頁~258頁
・黒田充『あれからどうなった?マイナンバーとマイナンバーカード』163頁、199頁
・総務省サイト「個人番号カードの普及・利活用について」

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・マイナンバー制度はプライバシー権の侵害にあたらないとされた裁判例を考えた(仙台高判令3・5・27)



[広告]









このエントリーをはてなブックマークに追加 mixiチェック

mynumber_people
1.はじめに
マイナンバー訴訟について、国民のプライバシー権(憲法13条)を侵害するものではないとする仙台高裁令和3年5月27日判決が『判例時報』2516号(2022年6月21日号)26頁に掲載されていました。ざっと読んでみたのですが、行政運営の効率化等の制度の目的は適法であり、法制度および情報システム技術上も相応の安全管理の対策が講じられているのでマイナンバー制度は違法・違憲ではないとの住基ネット訴訟(最高裁平成20年3月6日判決)のいわゆる「構造審査」を踏襲した判決となっているようです。本判決は結論は妥当であると思われますが、いくつか気になった点を見てみたいと思います。

・仙台高裁令和3年5月27日判決(令和2(ネ)272・各個人番号利用差止等請求控訴事件)|裁判所

判示事項の要旨
  控訴人らは,国のマイナンバー制度により憲法13条の保障するプライバシー権が侵害されると主張し,被控訴人国に対し,プライバシー権に基づく妨害排除又は妨害予防請求として個人番号の収集,保存,利用及び提供の差止め並びに削除を求め,国家賠償法1条1項に基づき各11万円(慰謝料10万円及び弁護士費用1万円)の損害賠償と訴状送達の日の翌日から民法所定の年5分の割合による遅延損害金の支払を求めた。

 マイナンバー制度によって,控訴人らが,憲法13条によって保障された「個人に関する情報をみだりに第三者に開示又は公表されない自由」を侵害され,又はその自由が侵害される具体的な危険があるとは認められないから,国がマイナンバー制度により控訴人らの個人番号及び特定個人情報を収集,保存,利用及び提供する行為が違法であるとは認められない。

 よって,プライバシー権に基づく妨害排除又は妨害予防請求として控訴人らの個人番号の収集,保存,利用及び提供の差止め並びに削除を求め,これらの行為による損害の賠償を求める控訴人らの請求は,国による個人番号の収集,保存,利用及び提供の行為が,控訴人らのプライバシー権を侵害する違法な行為であるとは認められないから,すべて理由がない。
(仙台高裁令和3年5月27日判決の判示事項。裁判所サイトより)

2.事案の概要
本件は、仙台市等に在住する8名の個人(Xら)が国のマイナンバー制度によりプライバシー権(憲法13条)が侵害されているとして、プライバシー権に基づく妨害排除又は妨害予防請求権として個人番号の収集・保存・利用及び提供の差止めと個人番号の削除を求めるとともに、国賠法1条1項に基づき慰謝料10万円と弁護士費用の損害賠償を求めるものです。Xらはプライバシー権の侵害とともに、自己情報コントロール権の侵害、またマイナンバー制度による個人情報の容易かつ確実な名寄せ・突合(データマッチング)により本人の関与のないままにその意に反して個人像が作られる危険があること等を主張しました。

3.判旨(仙台高裁令和3年5月27日判決・棄却・上告中)
(1)マイナンバー制度の趣旨目的、しくみ等について
本判決は、マイナンバー制度の趣旨目的について「行政機関…が個人番号…の有する特定の個人を識別する機能を活用し…行政運営の効率化及び行政分野におけるより公正な給付と負担の確立を図」るものであるとしています。

そして本判決は、個人番号および特定個人番号(個人番号を含む個人情報)の提供等ができる範囲は、「国・地方の機関での社会保障分野、国税・地方税の賦課徴収および防災に係る事務での利用」等に限定されているとしています。

(2)情報漏洩等を防止するための法制度上の措置
本判決は、情報漏洩等を防止するための法制度上の措置として、個人番号利用事務等実施者による個人番号の漏洩等を防止するために必要な措置(安全管理措置)の実施義務付け、行政機関等による情報提供の記録・保存の義務付け、情報連携が実施された際の記録を本人が確認するためのマイナポータルの設置、総務省等による秘密の管理のために必要な措置の実施義務付け、罰則の準備などの法制度上の措置が講じられていることを判示しています。

また、情報漏洩等のリスクを防ぐために、マイナンバー制度は個人情報を集中的に管理するのではなく、情報の分散管理などのシステム技術上の措置が講じられているとしています。

(3)マイナンバー制度の運用によるプライバシー侵害の有無
本判決は、「何人も個人に関する情報をみだりに第三者に開示又は公表されない自由」としてのプライバシー権を有するところ、Xらは、「マイナンバー制度の目的はこのようなプライバシー権を制約するための目的として、高度に重要であるとはいえない」と主張しているとしてその検討を行っています。

そしてマイナンバー制度は「社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤を構築するため」のものであるとして、重要性がないとはいえないとして、Xらのプライバシー権に関する主張を退けています。

(4)自己情報コントロール権について
Xらはマイナンバー制度は自己情報コントロール権の侵害であるとの主張も行っていますが、本判決は、「Xらの主張する自己情報コントロール権については、マイナンバー制度の運用によってXらの同意なく個人番号や個人番号に結び付いた特定個人情報を第三者に提供することが、すべて自己情報コントロール権の侵害となり、憲法13条の保障するプライバシー権の侵害にあたるという趣旨の主張であるとすれば、原判決「事実及び理由」第3の1の説示のとおり、そのような意味内容を有する自己情報コントロール権までは、憲法13条の保障するプライバシー権として認められるとは解されない。」と判示しています。

(5)マイナンバー制度によるプライバシー侵害の具体的な危険性について
本判決は、「マイナンバー制度で取り扱われる個人情報のなかには所得や社会保障の受給歴など秘匿性の高い情報も含まれること」や、「様々な個人情報が個人番号をキーに集積・集約されて本人が意図しない形で個人像が構築されるデータマッチングの危険」などがあることを認定しています。

しかし本判決は、「Xらが…プライバシー権に基づく妨害予防又は妨害排除請求として、Xらの個人番号の収集、保存、利用及び提供の差止め並びに削除を求め、これらの行為による損害の賠償を求め…るには、国がマイナンバー制度の運用によってXらの個人番号の収集、保存、利用及び提供をすることが違法であるといえる必要があり、制度の運用に…具体的な危険が生じているといえる必要がある」としています。

その上で本判決は、「マイナンバー制度は正当な行政目的の範囲内で行われるように制度設計がなされている」とし、さらに「法制度上も、システム技術上も、相当の措置が講じられている」としています(=「構造審査」)。

とはいえ本判決は「通知カードや個人番号カードが誤交付された事例」があることや、「平成30年分の公的年金等の受給者の扶養親族等申請書記載の個人番号を含む個人情報…が中国のインターネット上に流出し、自由に閲覧できる状態になっていた事故事例も発生している」と認定しています。

しかし本判決は、これらの事故事例は「人為的な誤りや不正行為に起因するものであり、番号利用法の法制度上又はシステム技術上の不備そのものに起因するものとはいえない」と判示していますが、この点については、法制度上又はシステム技術上の不備と人為的なミス等を分離して考えてよいのか疑問が残ります。

その上で本判決は、「Xらの懸念する個人情報の不正な利用や情報漏洩の危険性が一般的抽象的には認められるとしても、…具体的な危険を生じさせる…ということはできない」として、結局、「国がマイナンバー制度によりXらの個人番号を収集、保存、利用及び提供する行為が違法であるとは認められず、マイナンバー制度やこれを定めた番号利用法が憲法13条に違反してプライバシーの権利を侵害するものとは認められない」としてXらの請求を棄却しています(上告中)。

4.検討
(1)自己情報コントロール権について
1970年代以降のコンピュータの発達を受けて、憲法学の学説においては、プライバシー権を「一人でほっておいてもらう権利」(古典的プライバシー権)としてだけでなく、「個人の私生活上の事項を秘匿する権利を超えて、より積極的に公権力による個人情報の管理システムに対して、個人に開示請求、修正・削除請求、利用停止請求といった権利行使が認められるべきである」とする見解(自己情報コントロール権)が有力に展開されています。しかしこの権利は包括的である一方で、漠然性が高く法的な要件化が困難であるとの批判もなされています(渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法1基本権』121頁)。

ところで本判決は上の3.(4)の部分によると「原判決「事実及び理由」第3の1の説示のとおり」と述べているので、原判決(仙台地裁令和2年6月30日判決)の該当部分をみると、憲法12条、13条の条文がコピペされ、「憲法が国民に保障した権利が「公共の福祉」により制約されることを認めているから、個人に関する情報に係る国民の権利についても「公共の福祉」によって制約されることを認めていると解される」として自己情報コントロール権を否定しています。

しかしこれはやや乱暴な判示のように思われます。つまり、憲法12条、13条の「公共の福祉」による基本的人権とは、原則として「国民・個人の基本的人権は絶対無制限なものではなく、他の個人の基本的人権と衝突する限度において制約される」というものです(内在的制約説)。

ところが仙台地裁の原判決は、この憲法12条、13条を「国家が法律で制約さえすれば国民の基本的人権は制限できる」という意味で「公共の福祉」という用語を使用しているように見えますが、これはまるで明治憲法の「法律の留保」と同様の理解のようであり、現行憲法の理解として疑問が残ります。現行憲法は明治憲法と異なり天皇主権(政府主権)ではなく国民主権(現行憲法1条)であり、また国民の個人の尊重と基本的人権の確立という目的のために行政などの統治機構は手段として存在する構造をとっています(11条、97条)。

そのため、政府・国会が企画・立案して制定した「社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤を構築するため」のマイナンバー制度を国民はありがたく推し戴くべきであり、そのためには当然に国民の基本的人権は制限されるという考え方は明治憲法に先祖返りするようなもので疑問が残ります。

この原判決の考え方を是認した仙台高裁の本判決を含め、裁判所は自己情報コントロール権についてより精密な判断を行うべきではないかと思われます。本判決はせっかく国民本人に勝手に公権力が個人番号をキーにして個人情報を名寄せ・突合して個人像を作成してしまうデータマッチング、あるいはプロファイリングの危険性については認めたのですから、「自己の情報の開示・非開示、そして開示する場合はその内容について相手に応じて自分が決定できる」という自己情報コントロール権についてより精密な検討を行ってほしいと思います。

(2)個人情報漏洩事故は人為的なミスに過ぎないのか?
また、本判決は上の3.(5)でみたように、全国で発生している通知カードや個人番号カードの誤交付や漏洩などは「人為的なミス」に過ぎないとして、マイナンバー制度は「法制度やシステム技術」に準備された各種の措置には落ち度はないので制度として問題ないと強調しています。

しかし、マイナンバー法は委託・再委託の規律(法10条、11条)や個人番号利用事務等実施者に安全管理措置を義務付け(法12条)、総務大臣などに秘密の管理のために必要な措置の実施を義務付け(法24条)などの法的規定を置いており、それを受けてシステム上の措置として、情報提供ネットワークシステムにおけるアクセス制御や地方自治体におけるシステムのインターネットからの分離などが義務付けられているのです。

にもかかわらず全国の自治体等で通知カードや個人番号カードの誤交付や漏洩などの漏洩事故が多発し、平成30年には日本年金機構の約500万件もの大量の個人番号を含む個人情報が中国に漏洩してしまったという事件が発生していることは、人為的なミスでは済まされず、マイナンバー法の法制度やシステム技術そのものに重大な問題があると考えるべきなのではないでしょうか。

すなわち本判決が前提としている住基ネット訴訟で最高裁が示した「構造審査」は、その前提が崩れているのではないでしょうか。

最近の2022年6月にも兵庫県尼崎市で、個人番号は含まれていませんでしたが、全市民約46万件の個人情報がUSBメモリにより持ち出され漏洩した事件が起きたばかりです(ただし当該USBメモリは回収された)。にもかかわらず裁判所がマイナンバー法は法制度と情報システムがしっかりしているのだから、マイナンバー制度には問題はないと判示することは空論なのではないかとの疑問が残ります。本裁判は上告中であり、最高裁の判断が待たれます。

■参考文献
・『判例時報』2516号26頁
・渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法1基本権』121頁
・黒澤修一郎「プライバシー権」『憲法学の現在地』(山本龍彦・横大道聡編)139頁
・山本龍彦「住基ネットの合憲性」『憲法判例百選1 第7版』42頁
・仙台高裁令和3年5月27日判決(令和2(ネ)272・各個人番号利用差止等請求控訴事件)|裁判所

■関連する記事
・尼崎市が全市民46万人分の個人情報の入ったUSBメモリを紛失したことを個人情報保護法制的に考えた(追記あり)
・日本年金機構の500万人分の個人情報が中国業者に-独法個人情報保護法から考える
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)



[広告]










このエントリーをはてなブックマークに追加 mixiチェック

まえばしIDのイメージ図
(前橋市サイトの「まえばしID」の解説資料より)

このブログ記事の概要
前橋市の「まえばしID」にはマイナンバー法の「広義の個人番号」「裏番号」の問題がある。また、政府の推進するスーパーシティ構想、デジタル田園都市構想には個人情報保護法や憲法上の法的問題がある。

1.デジタル田園都市構想・スーパーシティ構想の問題
前回のブログ記事(「スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園」)で、政府与党が推進している「デジタル田園都市構想」・「スーバーシティ構想」にはマイナンバー法や個人情報保護法だけでなく憲法に抵触するおそれがあることを見てみました。
(関連)
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園

2.群馬県前橋市のスーパーシティの共通IDの「まえばしID」
ところで、政府の推進するデジタル田園都市構想(スーパーシティ構想)の交通・医療・介護・行政サービス・水道・エネルギーなどの官民のさまざまなサービスを利用する住民の利用履歴などの個人番号を連結して利活用するために、群馬県前橋市は「まえばしID」という共通IDを作成し利用する方針だそうです。

・まえばしIDの利活用アイデア及び名称に関する公募について|前橋市

まえばしIDに関する前橋市や、同市から委託を受けている日本通信の資料によると、スーパーシティ構想(デジタル田園都市構想)における住民の共通IDとして「まえばしID」を準備しているところ、これは①マイナンバーカードの公的個人認証の利用者電子証明書の発行番号(シリアル番号)と②電子署名法の認定した証明書と、さらに③顔認証データ3つを組み合わせて利用するものと説明されています。そして日本通信は前橋市以外にも2つの自治体で「myID」という名称で、同様の準備をすすめているとのことです。

・年頭にあたり - JCI blog(日本通信公式ブログ)

3.「まえばしID」の問題点
まえばしIDを本人確認の目的に利用すること自体はもちろん合法です。しかし、まえばしIDをスーパーシティ構想の、交通・医療・介護・行政サービス・水道・エネルギーなどの官民の各サービスの個人データの名寄せの共通IDに利用するためには、住民が転入・転出することを考えると「まえばしID」がだぶらないように、国が国民すべてに(悉皆性)、一人一つの番号(唯一無二性)の備える番号にならざるを得ないように思われます。

しかし、悉皆性・唯一無二性の性質を持つ番号は「広義の個人番号」「裏番号」(番号法2条8項かっこ書き)であり、税・社会保障・災害対策以外の「スーパーシティの共通ID」という目的に利用するとマイナンバー法9条違反となるのではないでしょうか。

この点、官民のサービスの共通IDとして作成されたxID社のxIDはマイナンバー法違反ではないかと2021年秋にネット上で炎上したことを受けて、個人情報保護委員会は10月22日付で「番号法第2条第8項に定義される個人番号の範囲について(周知)」とのプレスリリースを出して、「悉皆性・唯一無二性の「広義の個人番号」の性質を有する番号・符号等はマイナンバー(個人番号)と法的に同等のもので、これを税・社会保障・災害対応以外の目的で利用することはマイナンバー法9条違反のおそれがある」とダメ出しをしたばかりです。
・「番号法第2条第8項に定義される個人番号の範囲について(周知)」|個人情報保護委員会(令和3年10月22日)

そのため、まえばしIDも個人情報保護委員会などからマイナンバー法9条違反と判断されてしまう可能性があるのではないでしょうか。

4.政府のデジタル田園都市構想・スーパーシティ構想の問題
同様に、内閣官房とデジタル庁の「デジタル田園都市会議」の資料でも、デジタル田園都市(スーパーシティ)の官民の様々なサービスの住民の個人データの名寄せに「統合ID」を使うと解説されていますが、この共通IDも悉皆性・唯一無二性のある番号・符号でないとだぶってしまい意味がないので、xIDやまえばしIDと同様に「広義の個人番号」であり、法的にマイナンバーと同等のものであり、これを税・社会保障・災害対策以外の「スーパーシティの共通ID」という目的で利用することは、マイナンバー法9条違反となるのではないでしょうか。
・デジタル田園都市国家構想実現会議(第1回)議事次第|内閣官房

デジタル田園都市のイメージ
(内閣官房の「デジタル田園都市国家構想実現会議(第1回)議事次第」サイトより)

前橋市サイトによると、2020年に成立したスーパーシティ法により、同市はスーパーシティ構想の対象となる国家戦略特区に指定され、自治事務に関する部分は条例の制定で、国の事務に関する部分は国の立法や法改正により、マイナンバー法や個人情報保護法などの規制緩和を行い、まえばしIDの利用を行うようですが、まえばしIDは前橋市内ではスーパーシティ法で合法でも、同市の外ではマイナンバー法違反となるのではないでしょうか。
・地域の「困った」を最先端のJ-Tech(※)が、世界に先駆けて解決する。企業の技術力を、地域で役立てる!スーパーシティの実現を国がともに取り組みます!|内閣府

スーパーシティ法の概要図
(スーパーシティ法の概要。内閣府サイトより。)

まえばしIDや国のスーパーシティ構想の共通IDは、マイナンバーカードの公的個人認証の利用者電子証明書の発行番号(シリアル番号)を利用することになっていますが、このシリアル番号にはマイナンバーのような厳格な法規制はなく、黒田充先生の『あれからどうなった?マイナンバーとマイナンバーカード』85頁は、総務省やJ-LISは企業にシリアル番号で顧客の個人情報管理や顧客のプロファイリングができると利活用を奨励しているなど、法規制のない「野放し」の状態にあるとしています。
・民間事業者が公的個人認証サービスを利用するメリット|J-LIS

マイナンバーカードの電子証明書は5年更新の証明書ですが、総務省とJ-LISは新旧のシリアル番号の同一性を証明する仕組みも用意しているので、企業等はシリアル番号で国民・個人を一生追跡できることになります。

しかし、マイナカードの電子証明書のシリアル番号も、国が国民すべてに発行し国民に一人一つの関係となるので、悉皆性・唯一無二性を有する「広義の個人番号」「裏番号」(番号法2条8項かっこ書き)ですので、これを企業などが顧客個人情報の管理に使ったり、顧客個人情報のデータベースの管理IDに利用したり、国・自治体がスーパーシティの共通IDに使うことは、これもxIDのように、マイナンバーや裏番号は税・社会保障・災害対応以外の目的に使ってはならないとの番号法9条違反なのではないでしょうか。

(ご参考)
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて(追記あり)

そもそもマイナンバーカードの電子証明書は、「なりすまし」などを防ぐための「本人確認」のための機能です。にもかかわらずマイナンバーカードの電子証明書のシリアル番号を、「共通ID」としてマイナンバーのように利用することは、マイナンバーカードの趣旨・目的そのものに反しているのではないでしょうか。

また、マイナンバー(個人番号)は、行政の効率化やコストダウンなどのために、国がすべての国民に(悉皆性)、一人一つのマイナンバーを付番し(唯一無二性)、さまざまな官庁や自治体などが分散して保有する国民・住民の個人データをマスターキーとして名寄せ・突合できるようにしたものです。

しかしマイナンバーは行政や自治体が保有するさまざまな国民の個人データを名寄せ・突合できてしまう強力なマスターキーであるため、それが国や大企業などに不正に利用されると、国民の個人データが国に勝手に名寄せ・突合され、プライバシー侵害のリスクや監視国家のリスク、国により国民がさまざまな個人データを名寄せ・突合されその情報をもとに国民が勝手にプロファイリングされてしまうリスクなど深刻な人権侵害のリスクが存在します。

そこでマイナンバー法は、マイナンバーの利用目的を、税・社会保障・災害対応の3つだけに限定し、それ以外の目的で行政や自治体、民間企業などがマイナンバーを利用することを禁止しています(法9条)。また、本人や行政や自治体、民間企業などが税・社会保障・災害対応の3つ以外の目的でマイナンバーを提供することも禁止(法19条)するなど、厳しい歯止めの法規制を設けて、マイナンバーによるプライバシー侵害のリスクやプロファイリングのリスクを防止しています。

にもかかわらず、マイナンバーは利用できないから、マイナンバーカードの電子証明書のシリアル番号を共通IDとしてマイナンバーのように利用するということは、マイナンバー法を潜脱して電子証明書のシリアル番号を利用するものであり、法9条に照らして許されないのではないでしょうか。

5.まとめ
内閣官房・デジタル庁などの政府は、デジタル田園都市構想・スーパーシティ構想がマイナンバー法、個人情報保護法、憲法などの観点から法的に問題ないのか再度、検討するとともに、野党やマスメディアなどはこの問題を追及するべきなのではないでしょうか。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考
・水町雅子『逐条解説マイナンバー法』85頁、86頁
・堤未果『デジタル・ファシズム 日本の資産と主権が消える』39頁、41頁、45頁
・黒田充『あれからどうなった?マイナンバーとマイナンバーカード』85頁
・「番号法第2条第8項に定義される個人番号の範囲について(周知)」(令和3年10月22日)|個人情報保護委員会
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記


■関連する記事

・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)

・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別

・コインハイブ事件の最高裁の弁論の検察側の主張がひどいことを考えた(追記あり)
・コインハイブ事件高裁判決がいろいろとひどい件―東京高裁令和2・2・7 coinhive事件
・Log4jの脆弱性に関する情報をネット上などでやり取りすることはウイルス作成罪に該当するのか考えた
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求や、SNSの「裏アカ」の調査などを労働法・個人情報保護法から考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング





















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ