タグ：法律による行政の原則

2024年06月23日

デジタル庁のデジタル認証アプリのパブコメ結果を読んでみた

１．デジタル庁のデジタル認証アプリのパブコメ結果が公開される
デジタル庁のデジタル認証アプリについてはこのブログで何回か取り上げていますが、そのパブコメ結果が公表されているので読んでみました。つぎのパブコメ意見13番は私が送った意見とその回答です。
・「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案」に係る意見募集の結果について｜e-Gov

パブコメ意見13番のデジタル庁の回答
デジタル認証アプリにおいては、個人情報を取り扱う場合、個人情報保護法に基づき適切に取り扱い対応します。シリアル電子証明書の発行番号をもとに、氏名等の４情報を照会することは、目的外利用に当たるため行うことができません。
また、デジタル庁がデジタル認証アプリを提供する際には、改正案の第29条第２項に基づき、セキュリティに関してプラットフォーム事業者と同等の基準を遵守する必要があります。
なお、デジタル庁を含む署名検証者については、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律（以下「公的個人認証法」といいます。）第52条及び第53条において、シリアル番号を含む、地方公共団体情報システム機構から受領した電子証明書失効情報等について確認以外の目的での利用・提供が禁止されております。

２．「基本４情報は個人情報保護法上、目的外利用しない」
公的個人認証法の施行規則の一部改正で、デジタル庁が署名検証者になると個人の官民の各種サービスの利用履歴が一元管理され、国による名寄せやプロファイリング等の危険があるのでは？との趣旨の意見を私は送りました。しかし、デジタル庁の回答は「基本４情報は個人情報保護法上、目的外利用しない」だけです。

名寄せやプロファイリングの危険の対象は氏名・住所などの基本４情報というよりは官民の各種サービスの利用履歴であるわけですが、これら基本４情報以外の利用履歴等の情報の問題についてはデジタル庁は答えていないのは肩透かしであるように思えます。

３．公的個人認証法52条、53条の「電子証明書失効情報等」
また、パブコメ回答は公的個人認証法52条、53条が「電子証明書失効情報等」についても認証業務以外の利用が禁止されている旨を書いていますが、電子証明書失効情報等は同法の条文を読む限り、電子証明書が失効しているかどうかの情報であって、個人の官民の各種サービスの利用履歴の問題には関係ないように思われます。ここも肩透かしの回答のように思われます。

４．法律による行政の原則
さらに、デジタル庁が署名検証者になるという国民のプライバシーリスクのある今回の重大な制度改正について、国会による法律でなく施行規則（行政の内部規則）の一部改正だけで対応することは、「法律による行政の原則」（＝国会による行政の民主的コントロール、憲法 41 条、65 条、 76 条）に反するとも私はパブコメ意見を書きました。しかし、この点は完全にゼロ回答となっています。

この点に関しては、デジタル庁に憲法・行政法をわかっている職員の方がいないのだろうかと、やや心配です。（デジタル庁の役職員の方々は、自分達を行政ではなく民間IT企業と勘違いしているのではないかと心配になることがあります。）

５．デジタル認証アプリのプライバシーポリシー
なお、デジタル庁は「基本４情報は個人情報保護法上、目的外利用しない」と回答しているので、デジタル認証アプリの利用目的をみるためにデジタル認証アプリのプライバシーポリシーを見てみると、「2. 取得する情報の範囲及び利用目的」の２項が「デジタル認証アプリサービスは、行政機関等又は民間事業者の依頼を受け、マイナンバーカードの読み取り等又は検証等を行い、当該読み取り等又は当該検証等に係る情報を当該行政機関等又は当該民間事業者（以下「委託者」という。）に連携するに当たり、利用者証明用電子証明書のシリアル番号、委託者、依頼に係るサービス、検証等の結果又は検証等若しくは連携等の日時を記録します。保有する当該記録は、デジタル認証アプリサービスの運用のために必要がある場合のみ利用します。」と規定しています。

すなわち、「シリアル番号、委託者、依頼に係るサービス、検証等の結果又は検証等若しくは連携等の日時」などの利用履歴に関する情報については、「デジタル認証アプリサービスの運用のために必要がある場合のみ利用します。」と規定されています。

そのため、デジタル認証アプリによりデジタル庁のサーバーに蓄積・保存された国民個人のさまざまな官民のサービスの利用履歴を政府（デジタル庁）が不当に名寄せ・プロファイリングなどしてしまうのではないかとのプライバシーリスクの問題については、デジタル認証アプリのプライバシーポリシーで一応対応がなされているように思われます。（しかしこのような重大な問題を、法律でなくプライバシーポリシー・レベルで対応してよいのか？という問題は依然として残るように思われます。）

ただし、デジタル認証アプリのプライバシーポリシーの「3. 利用及び提供の制限」は、「デジタル庁は、法令に基づく場合を除き、デジタル認証アプリサービスにおいて保有する情報を前条の利用目的以外の目的のために自ら利用し、又は第三者に提供いたしません。」と規定しており、「法令に基づく場合」にはデジタル庁が保有する各種の利用履歴が政府の各部門に利用やされる余地が残されている点は、やや心配です。

タグ：: #デジタル認証アプリ; #デジタル庁; #パブコメ; #公的個人認証法; #マイナンバーカード; #マイナンバー; #個人情報; #法律による行政の原則; #security; #privacy

2023年01月22日

デジタル庁のマイナンバー法９条および別表の「規制緩和」法案を考えた

このブログ記事の概要
デジタル庁のマイナンバー法の「規制緩和」法案は、マイナンバー法９条および別表１・２の趣旨・目的から非常に疑問であり、また現在全国で係争中のマイナンバー訴訟の裁判所の判断に抵触しているおそれがあり、さらに「法律による行政の原則」や法治主義、民主主義の観点からも疑問である。デジタル庁など国は本法案の見直しを行うべきである。

１．マイナンバー法が規制緩和？
2023年1月22日付の朝日新聞の「マイナンバー、法規定緩和へ　用途拡大、法改正不要に　デジ庁法案　漏洩リスク、識者「説明を」」によると、デジタル庁はマイナンバーの利用用途を拡大する際に法改正を不要とするための法改正のための法案を本年の通常国会に提出する方針であるそうです。

マイナンバー法は①税、②社会保障、③災害対応、の３つのみに利用目的を限定しており、そのことはマイナンバー法９条および別表１・別表２に限定列挙で規定されています。つまり別表１でマイナンバーを利用できる行政機関とその業務を限定列挙し、別表２でマイナンバーを使って情報連携できる行政機関やその業務を規定しています。

本記事によると、デジタル庁の今回の法案は、別表１に規定された業務に「準ずる事務」であれば法律に規定がなくてもマイナンバーを利用できるようにし、また別表２を法律から政省令に格下げするとのことです。デジタル庁は新型コロナなど新たな事態が起きた際にマイナンバー制度を柔軟に運営できるようにするためと法案の趣旨を説明しているとのことです。しかしこのようなマイナンバー法の「規制緩和」は法的に許容されうるものなのでしょうか？

マイナンバー法
（利用範囲）
第９条　別表第一の上欄に掲げる行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者（法令の規定により同表の下欄に掲げる事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。第四項において同じ。）は、同表の下欄に掲げる事務の処理に関して保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用することができる。当該事務の全部又は一部の委託を受けた者も、同様とする。
（略）

２．マイナンバー法９条の趣旨・目的から考える
なぜマイナンバー法9条が厳格に利用を制限しているかについて、マイナンバー法の立案担当者の水町雅子先生の『逐条解説マイナンバー法』140頁はつぎのように解説しています。

『個人番号が悪用された場合には、この機能（＝幅広い機関が保有する個人情報を名寄せ・突合し、情報検索・情報管理・情報連携を行うことができる機能）ゆえに、行政機関や地方公共団体、民間事業者等を始めとする幅広い機関が保有する大量多種の個人情報が名寄せ・突合され、国家が個人を管理したり、国家に限らずさまざまな機関が個人情報を集約・追跡したり、個人を分析し個人の人格像を勝手に作り上げたりするなど、さまざまな危険が考えられる。』『一般法（＝個人情報保護法）では、個人情報を利用できる範囲を限定していないが、本条は、個人番号を利用できる範囲を限定しており、…本条は一般法に規定のない義務であり、個人番号の悪用の危険性に鑑み設けられた規定である。』
（水町雅子『逐条解説マイナンバー法』140頁より）

つまりマイナンバーは官民の幅広い機関が保有する個人情報を名寄せ・突合し、情報検索・情報管理・情報連携を行うことができる機能を有するため、個人番号が悪用された場合、行政や民間が保有する幅広い個人情報が名寄せされ、国・民間企業等が個人を監視したり、追跡を行ったり、個人を分析・プロファイリングして人物像を勝手に作り選別・差別を行う危険があります。そのためマイナンバー法はマイナンバーを利用できる用途や利用できる機関を限定列挙で規定するという厳格な法規制を置いているのです。

このようにマイナンバー法９条および別表１・２はマイナンバー制度の「肝」の部分であるのに、この部分を緩和してしまおうというデジタル庁の方針には、マイナンバーの危険性の防止の観点から非常に疑問を感じます。

また、本記事によるとデジタル庁の本法案は、マイナンバー法９条の別表１に「準じるもの」も利用可能としたり、別表２は法律でなく政省令に格下げしてしまう内容であるそうですが、これではデジタル庁など国の勝手にマイナンバー法９条が改変できるようになってしまい、これは公法の大原則の一つである「法律による行政の原則」（実質的法治主義）がないがしろになってしまうのではないでしょうか。

つまり主権者である国民から選抜された国会議員の国会での審議により法律を作り、行政（政府）にその法律に従わせることにより行政を民主的にコントロールし、もって国民の人権保障を確保しようという国民主権国家の大原則をないがしろにしてしまうのではないでしょうか。これは日本の国民主権・民主主義を軽んじているのではないかと非常に疑問です。

３．住基ネット訴訟・マイナンバー訴訟から考える
住民基本台帳ネットワークが適法であるかが争われた住基ネット訴訟の最高裁平成20年3月6日判決は、その適法性の審査方法として、一つは住基ネットによる個人情報の利用は行政目的として違法とはいえないこと、もう一つとして住基ネットは①システムの技術上の安全性、②十分な法的手当の存在などにより住基ネット制度を合法としています（構造審査）。

住基ネット訴訟最高裁判決（最高裁平成20年3月6日判決）
『また，前記確定事実によれば，住基ネットによる本人確認情報の管理，利用等は，法令等の根拠に基づき，住民サービスの向上及び行政事務の効率化という正当な行政目的の範囲内で行われているものということができる。住基ネットのシステム上の欠陥等により外部から不当にアクセスされるなどして本人確認情報が容易に漏えいする具体的な危険はないこと，受領者による本人確認情報の目的外利用又は本人確認情報に関する秘密の漏えい等は，懲戒処分又は刑罰をもって禁止されていること，住基法は，都道府県に本人確認情報の保護に関する審議会を，指定情報処理機関に本人確認情報保護委員会を設置することとして，本人確認情報の適切な取扱いを担保するための制度的措置を講じていることなどに照らせば，住基ネットにシステム技術上又は法制度上の不備があり，そのために本人確認情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない。』

そして、現在、全国の裁判所で係争中のマイナンバー訴訟では、裁判所はこの住基ネット訴訟の構造審査を援用して、マイナンバー制度を合法であるとしています（仙台高判令３・５・27、大阪高判令４・12・15など）。

そのため、もしデジタル庁など国がマイナンバー法の法規制を緩和する方向で法改正を行った場合、それは裁判所の住基ネット訴訟やマイナンバー訴訟で使われている構造審査に抵触し、裁判所からマイナンバー制度は違法という判断が出されてしまう可能性があるのではないでしょうか。この点もデジタル庁など国の考え方は非常に疑問です。

４．まとめ
このようにデジタル庁のマイナンバー法の「規制緩和」法案は、マイナンバー法９条および別表１・２の趣旨・目的から非常に疑問であり、また現在全国で係争中のマイナンバー訴訟の裁判所の判断に抵触しているおそれがあり、さらに「法律による行政の原則」や法治主義、民主主義の観点からも疑問です。デジタル庁など国は本法案の見直しを行うべきです。

このブログ記事が面白かったらブックマークやシェアをお願いします！

■参考文献
・水町雅子『逐条解説マイナンバー法』140頁
・山本龍彦「住基ネットの合憲性」『憲法判例百選Ⅰ 第７版』
・櫻井敬子・橋本博之『行政法第６版』12頁

■関連する記事
・マイナポータル利用規約と河野太郎・デジタル庁大臣の主張がひどい件（追記あり）
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の２（追記あり）
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか？
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか？
・マイナンバー制度はプライバシー権の侵害にあたらないとされた裁判例を考えた（仙台高判令３・５・27）

［広告］