5月12日にデジタル関連法案が参議院で可決・成立したことを受けて、デジタル庁が早々とウェブサイトを作成したようです。また、デジタル庁が最近いろいろと物議を醸しているnoteを使った宣伝活動を開始したことが早くも炎上しているようです。
・デジタル庁サイト
・デジタル庁「noteはじめました」→ドメインが「.go.jp」であることの問題点を高木浩光先生が指摘|togetter
そこで、デジタル庁のサイトを私もみてみました。
ざっとみると、現在のデジタル庁サイトは、①情報発信の業務と、②国民からの意見・要望募集の業務、③新卒・中途の職員の採用業務の3つをメインに行っているようです。
そこで、プライバシーポリシーを見てみると・・・
条文形式にすらなっていないのが気になります。どこかのオシャレなITベンチャー企業のプレスリリースをコピペしてきたのでしょうか?文章も素人臭い感じで、本当に内閣IT推進室などの霞が関の個人情報保護法や情報セキュリティの専門家のエリート官僚達が作っているのか少し心配になってきます。
プライバシーポリシー(プラポリ)の内容としても、気になる点がいくつかあります。
第一に、このデジタル庁サイトは上でみた①から③までの業務・サービスを行っているのですが、「2.収集する情報の範囲」は、収集する個人情報を、「お問い合わせの種別、お名前、メールアドレス」と、「ご意見・ご要望」に関する個人情報しか記載されていません。
しかし、デジタル庁サイトは新卒・中途の職員採用業務も実施しており、またプラポリの「3.利用目的」では、「当ウェブサイトが提供するサービスを円滑に運営するための参考として利用」するとも記載されています。
そのため、採用活動でやり取りする、就活生・求職者の氏名、試験区分、参加希望日時、参加希望形式などの個人情報・個人データなども「収集する情報の範囲」に明記するべきです。
また、「当ウェブサイト運営の参考」のための、ウェブサイト閲覧者のIPアドレス、デバイスの種類、OSの詳細、ブラウザの詳細、サイト閲覧履歴などの個人情報・個人データ・個人関連情報も収集していることを明記すべきです。
第二に、プラポリ「3.利用目的」には、個人情報は、①「当ウェブサイト運営の参考のため」と②「ご意見・ご要望」を今後の政策立案の参考にし、関係府省に第三者提供することの2点しか明記されていません。
しかしデジタル庁サイトは採用活動も行っているのですから、「3.利用目的」に「新卒・中途の採用活動」に関しても個人情報・個人データを利用していることを明記すべきです。
第三に、「4.利用及び提供の制限」もやっつけ仕事というか、いい加減です。
まず冒頭が「当室では」とありますが、主体はデジタル庁であって内閣IT推進室ではないのですから、これは明らかに誤字脱字でしょう。(世の中に公開するプライバシーポリシーなのに、しかも官庁のプライバシーポリシーなのにダブルチェックや上の人の決裁などを受けていない文章なのでしょうか?)
また、「法令に基づく開示要請があった場合、不正アクセス、脅迫等の違反行為があった場合その他特別の理由のある場合を除き…3の利用目的外に自ら利用し、又は第三者に提供しません」とあります。(ここは完全に素人臭い文章で、官僚なら職場で叩き込まれているはずの法律知識や法令用語の使い方を無視しているので、おそらくどこかの零細ITベンチャー企業などのプラポリをコピペしているのだろうと思われます。)
この部分については、例えば現在はまだデジタル庁に適用される行政機関個人情報保護法の8条1項はつぎの各号の場合には、行政機関は個人情報を目的外利用・第三者提供することができると規定しています。
・「本人の同意があるとき」(1号)
・「行政機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき」(2号)
・「他の行政機関(略)に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき」(3号)
・「学術研究の目的・統計利用の目的」(4号)
しかしデジタル庁のプライバシーポリシーが「4.利用及び提供の制限」でまったくこれらに触れていないのは、デジタル庁がIT・デジタル化や個人情報・マイナンバーや情報セキュリティが所管業務であるのに、その役職員が個人情報保護法制などのまったくのド素人なのか、あるいは最初から法律や社会常識などをはなから守るつもりがないのか、よくわからないところです。
第四に、せっかくプライバシーポリシーを作ったのに、国民・利用者が開示・訂正・削除などの請求をするための手続きやそのための手数料などを明記していない点も非常に疑問です。この点も、完全にド素人の作成したプライバシーポリシーであることを伺わせます。(なお、行政機関は必ず手数料を設定しなければならないと規定されています(行個法28条)。)
第五に、「5.安全確保の措置」では、ここでも冒頭の「当室」が誤字脱字で、その内容も、デジタル庁自身の安全確保措置と、個人データの取扱の委託先に対する監督については一応明記がありますが、デジタル庁の役職員に対する監督や、役職員の守秘義務が記載されていないのも法的にどうなのかと思います(行個法6条、7条)。
また、デジタル庁のプライバシーポリシーにおいては、個人情報の事務の委託先や、第三者提供先がまったく明らかになっていません。これでは国民・利用者は、自分の個人情報がどこに行くのか予測することがまったくできません。
少し前には、LINEの個人情報の問題が大炎上しました。しかしデジタル庁のプライバシーポリシーは、LINEのプライバシーポリシーの足元にもおよばないレベルです。またデジタル庁はnoteでしきりに「透明性」を宣伝しているようですが、自庁の個人情報の取扱の段階で「透明性」がまったく看板倒れとなっています。
これはITやデジタルに関する中央官庁なのに本当に許されるのでしょうか?日本は民主主義国家であり、行政部門の暴走や独断専行を防ぐために、国民から選択された議員による国会で作られた法律を、行政は守らなければなりません(「法律による行政の原則」・「行政の法律による民主的統制の原則」)。内閣IT推進室でデジタル庁設立のために働いている官僚の人々は、たとえ理系の方であったとしても、国家公務員試験の憲法・政治学などの科目でこれくらいは勉強しているはずなのに、デジタル庁のプラポリのグデグデな状況は非常に謎です。
5月12日のデジタル関連法案の成立により、今後はデジタル庁などの行政機関についても、個人情報に関する事柄については、個人情報保護委員会の監督下になるそうなので、個人情報保護委員会は、一足早く、このデジタル庁のツッコミどころ満載のプライバシーポリシーと、同庁の情報管理の実務について行政指導などを実施すべきなのではないでしょうか?
なお、Twitterでみかけた次のようなIT企業の社長さんらしき方のツイートによると、デジタル庁に採用されたIT企業の従業員は、出向などでなく、デジタル庁とその民間企業に両方勤務する掛け持ち状態になるようです。しかしそのような状態は、利益相反やデジタル庁職員としての守秘義務、さらにはデジタル庁と特定企業との癒着などの問題は大丈夫なのでしょうか?
デジタル庁は組織や人員という観点からも非常に「ブラックボックス」的であって「透明性」がまったく欠如しているように思われます。
行政庁や公務員は憲法に定められた国民の福祉(25条)や基本的人権(11条)などの実現のために働く機関であり、そこで働く人々です。そのためその業務には公共性・公平性・中立性が要求されます。つまり公務員は一部の国民や特定の業界・業種のために働くのではなく、日本の全ての国民のために働く職業(15条2項・「公務員は一部の奉仕者でなく全体の奉仕者」)なのですから、デジタル庁やその役職員がIT企業や製薬会社、自動車メーカーなど特定の企業・業界のために便宜を図ることは許されません。
国家公務員法も、「すべて職員は、国民全体の奉仕者として、公共の利益のために勤務」しなければならないと規定(96条1項)し、国家公務員は業務に関して守秘義務を負い(100条)、さらに国家公務員は営利企業の職員を兼務したり、営利企業を経営することが禁止されています(103条・私企業からの隔離)。
デジタル関連法案などの法改正で、これらの点の手当が一応なされているのかもしれませんが、「日本社会をデジタル化する」「そのために民間企業などのITエンジニアを大量にデジタル庁に中途採用する」というデジタル庁そのものが、本当に公共機関である国が主体となって行うべきものなのか、あるいは民間の職員を大量に採用して公務員に代用するという手法が、公共機関である官庁のやり方として本当に正しいのか、大いに疑問です。
2000年頃から日本でも始まった、新自由主義の政府・与党による「政治主導」の「行政改革」「規制緩和」「官から民へ」の政策は、国・自治体の職員の削減・非正規化、指定管理者制度、PFIなどさまざまな形でわが国の公の部門をやせ細らせ、憲法が国民に保障する、本来国民が享受できたはずのさまざまな「福利」、つまり社会保障や社会権をやせ細らせてきました(晴山一穂『現代国家と行政法学の課題』161頁)。今回のコロナ禍における日本全国の医療崩壊、1万人を超える死者などはその典型例であると思われます。
「日本社会をデジタル化」するために、それを主導する公的機関を、民間の人員を動員して行政庁ではなく「スタートアップ企業」的な「民間IT企業的な組織」とすることは、このような「官から民へ」の新たな形態であるように思えます。しかしそれは、上でみたような憲法や国家公務員法の趣旨や基本原則を大きく逸脱しているのではないかと思われます。
■追記(9月1日)
9月1日となり、デジタル庁の発足を受け、同庁サイトもリニューアルされています。そこでプライバシーポリシーをざっと読んでみたのですが、「当室」との単語が「デジタル庁」に変わった以外は変更はないようです。デジタル行政を所管するデジタル庁には、個人情報保護法制の素人しかいないのでしょうか? 国民の一人としては非常に心配です。
■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・海老名市立中央“ツタヤ”図書館に行ってみた/#公設ツタヤ問題
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権
■参考文献
・岡村久道『個人情報保護法 第3版』423頁、434頁
・晴山一穂『現代国家と行政法学の課題』161頁