なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報保護条例

大阪市サイト
(大阪市サイトより)

1.大阪市がコロナ患者の管理システム「HER-SYS」への個人データ入力を契約書の締結などを経ずに委託し、さらに委託先企業が勝手に再委託の事実が発覚
新聞報道などによると、大阪市は市議会で2月17日、新型コロナウイルスの感染者情報の管理システム「HER-SYS(ハーシス)」に個人データなどをデータ入力する業務について、契約書を作成せずに民間企業の言い値で約1億円で委託していたことを明らかにし、陳謝したとのことです。
・コロナ業務委託、業者の言い値「1億円」で口頭契約|読売新聞

さらに大阪市議会議員の前田和彦氏(@kazuhikomaeda)の2月17日のTwitterの投稿によると、大阪市から個人データの入力の委託を受けた委託先企業は、なんと大阪市の承諾を取らずに当該入力業務を別の企業に再委託してしまったのだそうです。これには驚いてしまいました。

『さらに本件はもう1つ重大な問題がある。先日大阪市のワクチン配送が委託先から再委託されていた。この再委託は事前の大阪市の承諾がなく大変問題となった。本件ハーシス入力業務委託もさらに別事業者に再委託されている事実が判明。この再委託は大阪市の事前の承諾どころか未だ承諾が行われていない。(前田和彦・大阪市議のTwitterより)
前田市議3再委託
再委託の書面
https://twitter.com/kazuhikomaeda/status/1494308685656752131
(前田和彦・大阪市議のTwitterより)

2.個人情報保護法制から考える
(1)大阪市個人情報保護条例
今回の事件は大阪市健康局が「実施者」としてHER-SYS(ハーシス)へのコロナ感染者の個人データの入力業務を民間企業に委託しているので、大阪市個人情報保護条例が適用されることになります。

(2)要配慮個人情報
大阪市個人情報条例(以下「本条例」とする)は、「要配慮個人情報」とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして市規則で定める記述等が含まれる個人情報をいう。」と定義しています。

つまり「病歴」は要配慮個人情報(いわゆるセンシティブ情報)なので、コロナ感染者の個人情報は要配慮個人情報に該当します。要配慮個人情報は機微な情報であるため、原則は収集禁止であり、「本人の同意のある場合」や「法令等に定めがある場合」などに限り例外的に収集が許される(本条例6条2項)とされているなど、とりわけ厳重な取扱いが要求される個人情報です。

(3)適正管理措置・委託
本条例13条2項は、「実施機関は、保有個人情報の保護に関する責任体制を明確にし、保有個人情報の漏えい、滅失、き損及び改ざんの防止その他の保有個人情報の適正な管理のために必要な措置を講じなければならない。」と、個人情報の適正管理措置(=安全管理措置)を講じることを大阪市の実施機関に求めています。

そして本条例14条は、大阪市の実施機関が個人情報に係る業務を委託する場合には、「委託に関する契約書個人情報の漏えい、滅失、き損及び改ざん等の防止に関する事項、契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど」の適正管理措置を講じなければならないと規定しています。また、本条例15条2項は、委託先(受託者)は実施機関の承認を受けずに受託した業務を第三者に再委託してはならないと規定しています。

大阪市個人情報保護条例

(事務処理の委託)
第14条 実施機関は、個人情報を取り扱う事務の全部又は一部の処理を委託しようとするときは、委託に関する契約書個人情報の漏えい、滅失、き損及び改ざん等の防止に関する事項、契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど、個人情報の適正な管理のために必要な措置を講じなければならない。

(受託者等の義務)
第15条 実施機関から個人情報を取り扱う事務の全部又は一部の処理を受託している者又は受託していた者(以下「受託者」という。)は、次に掲げる行為をしてはならない。
(1) (略)
(2) 実施機関の承認を受けずに、受託した事務を第三者に委託すること
(後略)
・大阪市個人情報保護条例

つまり、本条例上、大阪市の各部門や機関などの実施機関は、保有する個人情報の滅失、棄損、漏洩などが発生しないように個人情報について適正管理措置を講じることが求められています(本条例13条2項)。

そして個人情報に係る業務を民間企業などに委託する場合には、個人情報の漏洩、滅失、棄損などの防止のために委託先が講じなければならない事項や、もし問題が発生した場合の契約解除や損害賠償に関する事項を委託契約書に規定して委託契約を締結などしなければならないところ(本条例14条)、大阪市健康局は実施機関として委託契約書を締結などせずに口約束で本委託契約を結んでおり、本条例14条に違反しています。

また、実施機関である大阪市健康局の承諾なしに再委託を実施したこの委託先企業本条例15条2項違反しています。

(4)委託基準
さらに、大阪府は個人情報に係る業務の委託に関する内部規則として「個人情報取扱事務委託基準」を制定しサイトで公表しています。

この大阪府の委託基準をみると、「3.委託にあたっての留意事項」(2)(3)は、「契約に先立ち、委託事務の内容や取り扱う個人情報の内容、記録媒体の実態等に応じ、委託先が個人情報の保護について遵守すべき事項を十分に検討し、別紙「個人情報取扱特記事項(例)」を参考に、当該委託事務における個人情報保護のための特記事項(以下「個人情報取扱特記事項」という。)を定めること。」「委託先は、個人情報取扱特記事項を遵守できるものを慎重に選定すること。」と規定しています。

委託にあたっての留意事項
大阪府「個人情報取扱事務委託基準」の「3.委託にあたっての留意事項」より。)

おそらく大阪市にも大阪府の「個人情報取扱事務委託基準」と同様の内部規則があるであろうことを考えると、事前に個人情報の安全管理措置を講じるための個人情報取扱特記事項を遵守できる委託先を慎重に選定せず、委託契約書や特記事項などすら作成せずに委託契約を締結している大阪市健康局は、委託基準などの内部規則にも違反しているものと思われます。

3.まとめ
現在、コロナの第6波が襲来しており、大阪市も新規陽性者が4293人、現在陽性者数が59104人(2月18日現在。大阪市サイトより。)と、大阪市が大変逼迫した業務の状況であることはよくわかります。 しかし、上でもみたようにコロナの感染者に関する個人情報はセンシティブな個人情報の要配慮個人情報であり、特に厳重な取扱いが必要であることをも考えると、大阪市健康局が委託契約書や個人情報取扱特記事項などを作成・締結せずに、委託先企業を決定し、相手方の言い値で約1億円の委託契約を締結したことは大阪市個人情報保護条例14条などに違反する違法な行政行為です。本件は事務監査請求や住民監査請求、住民訴訟などの対象になりうる事件なのではないでしょうか。

本事件については、大阪市健康局は、本件の委託について、他の業務を一旦止めてでも、あらかじめ十分に委託先企業を選定し、委託契約書や個人情報取扱特記事項などの書面を作成し、委託契約を締結すべきだったのではないでしょうか。

地方公務員法32条は法令遵守を地方公務員に求めており、一般の会社員などよりも自治体や公務員はより高いコンプライアンス意識やガバナンスが要求されるのですから。

大阪市はトラブルシューティングと再発防止に取り組むべきですし、野党やマスメディアはこの問題を追及するべきです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第3版』512頁、516頁、517頁

■関連する記事
・コロナにより自宅療養・自主療養等した場合、生損保の医療保険の入院給付金は支払われないのか?(追記あり)
・茅ヶ崎市の小学校が生徒のGoogle Workspace For Educationのパスワードの提出を求めていることを情報セキュリティ・個人情報保護法制から考えた(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.自治体の個人情報保護条例を国の個人情報保護法に強制的に一元化してよいのか?
自治体の個人情報保護条例を国の個人情報保護法に統一化・一元化する内容を含む、デジタル関連法案が衆議院を通過し、現在、参議院で審議中です。

・「デジタル社会の形成を図るための関係法律の整備に関する法律案」の閣議決定について|個人情報保護委員会

デジタル関連法案の概要
(「デジタル関連法案の概要」 個人情報保護委員会サイトより)

今回の2021年の個人情報保護法改正に賛成する情報法の学者の先生方は、個人情報保護条例の統一化について、「自治体により個人情報保護条例が異なると大企業・国が個人情報を利活用しにくい」と主張しておられます(いわゆる「2000個問題」)。

しかし大企業等が自治体等が保有する個人情報を利活用しにくいということは、住民の個人情報が条例の壁により守られているとプラスに評価すべきではないでしょうか。

国の個人情報保護法においても、その立法目的・基本理念は、企業等による「個人情報の有用性に配慮」だけでなく、「個人の権利利益を保護」、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの」と規定されているのですから、住民・国民の個人情報の保護による、国民・住民のプライバシー権や人格権などの人権保障も重要な個人情報保護法制の立法目的です。

例えば防犯カメラの問題について、個人情報保護法に個別の規定はなく(法18条4項4号による)、個人情報保護委員会は企業寄りのガイドライン・QAを公表しているのみです(QA1-11など)。

一方、自治体においては、例えば三鷹市、世田谷区等は住民の人権をも考慮した「防犯カメラ条例」を制定し、事業者等の防犯カメラの設置や運用に規制を設けています。

デジタル関連法案、個人情報保護法改正で、全国の自治体のこのような画期的な取組が国に潰されてよいのでしょうか?

日本は中国のような全体主義・国家主義の国でなく、西側自由主義諸国に並ぶ、国民の個人の尊重と人権保障を国の目的とする近代憲法をもつ国民主権の国のはずです(憲法1条、11条、13条、97条)。

2.自治体の団体自治・条例制定権
また、自治体には国から独立して権力分立の関係で自治を行う権限(「団体自治」・憲法92条)があり、国から独立した条例制定権を有しています(94条)。そのため、国が強制的に自治体の個人情報保護条例を国の個人情報保護法に一元化することは、憲法の地方自治の条文に抵触しており、国の統治の観点からも大きな問題をはらんでいます。

政府・与党は、このように問題の多い2021年の個人情報保護法改正・デジタル関連法案を今一度見直すべできす。

3.国家資格保有者の個人情報を国が一元管理するマイナンバー法改正
4月30日には、東京オリンピック組織委員会が日本看護協会に、大会の医療スタッフとして看護師500人の確保を要請したことに関連し、菅首相「休んでいる方もたくさんいると聞いている。可能だと考えている」と発言したことが注目されました。

また、5月3日には、同じく組織委員会は、医師をボランティアとして約200人募集したことが明らかになりました。

・菅首相 五輪・パラリンピックの看護師500人確保は可能「休んでいる人多い」|東京新聞
・東京五輪の組織委、ボランティアの医師200人を募集|朝日新聞

今回のデジタル関連法案のなかのマイナンバー法改正法案には、「国家資格保有者の個人情報をマイナンバーを使って国が一元管理するための改正」も含まれています。(冒頭の「デジタル関連法案の概要」の上から2番目の「マイナンバーを活用した情報連携による行政手続きの効率化」の部分。)菅首相はこのマイナンバー法改正を念頭に発言をしたものと思われます。

しかし、上でもみたように、わが国は個人の自由意思を基本とする自由主義国です。たとえ看護師などの国家資格を保有していたとしても、当該資格を有している方が看護師として働くか否かは本人の自由意思に委ねられます(自己決定権・憲法13条)。また、憲法は職業選択の自由(22条)財産権の自由(29条)を規定しており、個人や法人には営業の自由が認められています(22条、29条)。この職業選択の自由や営業の自由には、ある職業を選択しない自由や、営業しない自由が含まれているのは当然のことです。

(なお、医師法19条は診療に関する医師の応召義務を規定していますが、医師は「正当な理由」があれば診療の拒否が可能であり、また同義務は罰則規定もない公的義務です(神戸地裁平成4年6月30日判決)。そのため、医師法19条を根拠に五輪組織委員会や国が医師などにオリンピックへの協力を強制できるとは思えません。)

にもかかわらず、国が看護師などの国家資格保有者の個人情報データベースを作成し、コロナ禍で働き手が足りないから等と資格保有者の方に書面やメール、電話などで看護師等として働くよう促すことは、軍国主義・全体主義の戦前・戦中の日本政府の「赤紙」と同じです。

現行の憲法は、このような国の命令による強制労働について、「奴隷的拘束」「意に反する苦役」を明文で禁止しています(憲法18条)。

また、国から国民に刑罰が科される場合には、それが正しく行われることを担保するために、法律に定められた手続きによることが要求されますが(適正手続きの原則・憲法31条)、この適正手続きの原則は、刑罰だけでなく国・自治体の行政にも適用されます(最大判昭47年11月22日判決・川崎民商事件)。

今回の日本看護協会への組織委員会の要請について、菅首相は「可能であると考えている」と、国として看護協会あるいは個々の看護師への要請あるいは事実上の強制を行うような発言を行ったわけですが、この菅首相の言動には法的な根拠がなく、憲法31条の適正手続きの原則にも違反しているように思われます。

日本国憲法

第十八条 何人も、いかなる奴隷的拘束も受けない。又、犯罪に因る処罰の場合を除いては、その意に反する苦役に服させられない。

第三十一条 何人も、法律の定める手続によらなければ、その生命若しくは自由を奪はれ、又はその他の刑罰を科せられない。

このように、国の命令により国民を強制労働させる目的で、国が国家資格保有者の個人情報データベースを作成することは、憲法18条、31条に抵触すると思われますので、そのような国家資格保有者の個人情報データベースを用意するためのマイナンバー法改正は違法・違憲であり、政府・与党はこれを撤回すべきです。

なお、菅政権は、商社・銀行など大企業の従業員を国が管理・監督し、当該従業員を地方の企業等で働かせる政策も公表しています。

・菅首相 “大企業の人材 地方の中小企業に派遣 活性化を”|NHK

しかしこの政策も、看護師などの国家資格保有者の個人情報を国が一元管理し、強制労働に利用しようという全体主義・国家主義的な考え方に似ています。今後、政府・与党が、国家資格保有者だけでなく、大企業の従業員の個人情報を一元管理する施策を打ち出さないか、国民は注目する必要があると思われます。

■関連するブログ記事
・2021年の個人情報保護法の改正法案の学術研究機関の部分がいろいろとひどい件-デジタル関連法案
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』30頁、92頁
・芦部信喜『憲法 第7版』378頁
・石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修大学ロージャーナル』3号19頁










このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ