なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:番号法

kojinjouhou_rouei_businessman
2月17日のNHKなどの報道によると、国会審議において、2018年に発覚した日本年金機構の国民から提出された扶養親族等申告書の個人情報約500万人分のデータ入力業務が年金機構から委託された日本企業から、違法に中国企業に再委託されていた問題に関連し、野党が「マイナンバーも流出しているのではないか」と質問したのに対して、水島藤一郎・年金機構理事長が「流出していない」として、追加の調査などを拒否したとのことです。

報道によると、水島理事長はその根拠として、「調査にあたった外部企業によれば流出の事実はない」こと、「調査にあたった外部企業の報告によれば、中国企業に送付されたのは「氏名・ふりがな」データのみであるので個人情報の流出はない」こと等をあげているそうです。



すでにつっこみどころ満載な気がしますが、年金機構の主張は正しいのでしょうか?

この点、2018年6月に公表された、第三者委員会調査報告書(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」委員長:安田隆二・一橋大学教授)を読み直すと、同報告書が認定した事実は、日本年金機構の委託先のSAY企画から中国企業に無断で再委託がなされ、「氏名・ふりがな」データが送付されたとする日本IBMの調査結果の報告書を、そのIBMの報告書を再検査したTIS社が、「IBMの検査は妥当」と判断したということだけです。



年金01
年金02
(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」7-8頁)

つまり、独立行政法人等個人情報保護法7条1項違反(安全確保措置)で中国企業に再委託がなされ、個人情報が中国企業に渡ってしまったということが、外部の調査を行った企業などが認定した事実です。「マイナンバーや個人情報が日本年金機構から流出してない」などということは、IBMもTISも第三者委員会も認定していないのです。この点、水原理事長の発言は間違っています。

独立行政法人等個人情報保護法
(安全確保の措置)
第七条 独立行政法人等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。
 前項の規定は、独立行政法人等から個人情報(独立行政法人等非識別加工情報及び削除情報に該当するものを除く。次条、第三十八条及び第四十七条において同じ。)の取扱いの委託を受けた者が受託した業務を行う場合について準用する。

また、「「氏名・ふりがな」データは個人情報・個人データではないから個人情報は流出していない」と水原理事長は発言したそうですが、日本年金機構のトップは正気でこんなことを国会で発言したのでしょうか?

独法個人情報保護法2条2項1号は、「当該情報に含まれる氏名、生年月日その他の記述等(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(略)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」に該当する「生存する個人に関する情報」は「個人情報」であると定義しています。

つまり、ものすごく短くまとめると、生存する「個人に関する情報」であって「当該情報に含まれる氏名、住所、生年月日・・・により特定の個人を識別できるもの」が個人情報保護法制上の個人情報です。

例えば、今回の事件で問題となった扶養親族等申告書であれば、申込書に記載された給与所得者本人の氏名、ふりがな、住所、生年月日、続柄、個人番号、所得の見込み額、学生か否か、寡婦か否かなどはすべて個人情報(特定個人情報)です。

給与所得者の扶養控除等申告書
(扶養親族等申告書)

よく、これらの個人情報のうち、氏名・住所などを黒塗りや削除などすれば、他の情報は個人情報ではないという誤解がなされますが、「個人に関する情報」であって「・・・により特定の個人を識別できるもの」が個人情報なので、氏名・住所などを削除したとしても、それ以外の情報も個人情報あることに変わりはありません。

とはいえ、世間でよくある個人情報の誤解でも、「氏名・ふりがな」だけを抜き出したらその情報・データは個人情報ではないと誤解する人はなかなかいません。そのような人物が組織のトップであるという一点においても、日本年金機構は当事者能力の有無が厳しく問われる事態なのではないでしょうか?

さらに、「外部の調査をした会社によれば」と水島理事長は主張しているようですが、IBMやTISはあくまで2018年当時の調査で2018年時点の報告書を出してるのですから、もしマイナンバーも漏れてるおそれがある、そのような告発やメールなどが最近発覚しているのであれば、年金機構は「IBMの調査では」とか呑気なことを言ってないで、今すぐ追加調査を実施すべきではないでしょうか?

約1億件の保有個人情報を国民から預かっている日本年金機構は、国民のマイナンバーや個人情報を一体何だと思っているのでしょうか。また、同時に日本年金機構は、マイナンバー法や独法個人情報保護法や総務省・個人情報保護委員会の関連通達を遵守しようという意識があるのかどうか非常に不安です。1億件のマイナンバーおよび個人情報に関する安全確保措置の法的責任は極めて重大であると思われます。

加えて、この日本年金機構の事件のほかにも、最近は厚労省のコロナの接触確認アプリCOCOAのシステム開発の業務委託が多重下請けがなされたあげく非常に杜撰な開発・運営・保守が行われていたことが大きく社会的批判を浴びています。政府与党や国会は、国・自治体や年金機構など公的法人の業務委託のあり方について、今一度全体的に見直しを行うべきではないでしょうか。

■関連するブログ記事




個人情報保護法〔第3版〕

番号法の逐条解説(第2版)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

akutoku_shouhou_houmon - コピー
NHKなどの報道によると、政府(総務省)は、マイナンバーカード未取得者約8000万人に対して、マイナンバーカード発行の申請手続き書類を再度郵送する方針だそうです。

・マイナンバーカード未取得者 約8000万人に申請書発送へ 総務省|NHK

かりに三つ折りハガキで郵送するとしても、郵送料だけでも単純計算で約48億円もの出費ですが、この莫大な行政コストは一体誰が負担するのでしょうか?

そもそもマイナンバー制度とは、国民一人一人にマイナンバー(個人番号)を付番した情報システムを行政が整備・運営することにより、「行政運営の効率化及び行政分野におけるより公正な給付と負担の確保」を図る制度です(番号法1条)。

つまり、従来は多くの人員と書類でやっていた行政の事務処理を、各官庁をまたいだ名寄せのためのマスターキーであるマイナンバー(個人番号)を付番した情報システムで行うことにより、行政を効率化・迅速化しコストダウンを図ろうという制度です。

マイナンバー制度概要図総務省
(総務省サイトのマイナンバー制度の解説より)


そのため、マイナンバー制度開始の平成27年に、国が国民全員にマイナンバーを情報システム上で付番した段階で、「行政の効率化とコストダウン」というマイナンバー制度の立法目的の本丸は達成されているのです。

なのに、なぜ政府・与党は制度のオマケのはずのマイナンバーカードに偏執的にこだわるのでしょうか?

制度の検討段階で「マイナンバーカードを国民に広く普及させたい」「住民基本台帳カードの二の舞にはならない」という目標を政府与党は掲げたようですが、その目標にこだわるあまり、オマケの目的が自己目的化して政府与党が暴走しているようにも思えます。(「行政の効率化やコストダウン」が制度目的のはずなのに、今回の政府方針だけでも約48億円もの行政の税金の無駄づかいに思えてなりません。)

政府与党は、「これからの日本はIT社会デジタル化を目指さなくてはならない。マイナンバーカードには本人認証機能があるから、日本のデジタル化の基盤である。だから国民は全員、マイナンバーカードを持たねばならない」と主張しているようです。

「日本はデジタル化を目指さなくてはならない」という理念を政府与党や国会が掲げるのはある意味自由です。しかし、わが国が「個人の尊重」「個人の基本的人権の尊重」を掲げる自由主義国家である以上は、それぞれの国民がどのような国家像や行政を望むか、そしてその国家に対して国民個人がなにをどの程度するかについては、原則として、国民一人一人の自由意思に委ねられています。わが国の主人公は国民であり、行政・国はその使用人(サービス機関)にすぎないのですから。

とくにマイナンバー(個人番号)は各官庁が持つ国民の個人情報・プライバシー情報を簡易・迅速にシステム的に名寄せする仕組みですから、その使い方を誤れば、いわば「国家の前に国民が丸裸となる状態」(金沢地裁平成17年5月30日判決)の危険をはらんでおり、マイナンバー制度は国民個人のプライバシー権(憲法13条)に隣接する制度です。

番号法17条1項が、マイナンバーカードの取得や所持を国民の義務とするのではなく、国民の任意による自治体への申請を踏まえて発行される建付けとしている趣旨は、このようにマイナンバー制度が国民のプライバシーに隣接する制度であることや、オマケとしてのマイナンバーカード(やそれに随伴する本人認証機能)を利用するか否かは国民個人の自由意思にゆだねているからであろうと思われます。

番号法
(個人番号カードの交付等)
第17条
   市町村長は、政令で定めるところにより、当該市町村が備える住民基本台帳に記録されている者に対し、その者の申請により、その者に係る個人番号カードを交付するものとする。この場合において、当該市町村長は、前条の政令で定める措置をとらなければならない。

この点、情報法や行政法の第一人者である学者にして最高裁判事の宇賀克也・東大教授の番号法の解説書は、番号法17条1項に関してつぎのように解説しています。

個人番号カードの取得を強制することは、(略)個人番号カードの取得を希望しない者や必要としない者に(市区町村の事務所への)出頭を強制してまで取得を義務づけることは適切でないと考えられたため、申請により取得することとしている。』(宇賀克也『番号法の逐条解説』78頁)

また、マイナンバーカードがICチップ部分に本人認証機能を有しながらも、本来はいわば「実印」のように慎重にも慎重に保管すべきマイナンバー(個人番号)が表面にでかでかと印刷されてしまっていること等など、マイナンバーカードの制度設計上の「おそまつさ」もマイナンバーカードの問題を難解なものにしています。先般の「10万円給付金」の電子申請の件で露呈したように、政府の運用する情報システムのレベルが非常に低いものであること等も、国民の心を冷やしています。

少なくとも今回の政府方針のように、マイナンバーカード普及というお役所が勝手に立てた目標のために、国の予算を大量に使い、本来、国の主人公である国民に、その使用人であるはずの国・行政が無理やりにでもマイナンバーカードを取得させようというのは、番号法17条1項違反であり、もっといえば国民の自由意思(憲法13条)や国民主権原理(憲法1条など)の侵害であるようにすら思われます。

番号法の逐条解説 第2版

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ