なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:security

こども家庭庁トップ画面

日本版DBS(こども性暴力防止法案)の導入の議論が国会で始まりました。この制度については刑法上の論点(刑法34条の2との整合性等)、憲法上の論点(職業選択の自由・営業の自由(憲法22条、29条)、プライバシー権(13条)等)などがありますが、このブログ記事では、個人情報保護法上の論点について見てみたいと思います。

まず犯罪歴は社会的な差別のおそれがあるため要配慮個人情報(個情法2条3項)の一つに分類されており、犯罪歴や前科などの情報の収集には原則として本人の同意が要求される等、厳格な取扱いが求められています(個情法20条2項)。

そして、個情法124条1項は行政機関等に対する本人からの個人情報の開示請求につき、犯罪歴等を対象外と規定しています。

個人情報保護法
(適用除外等)
第124条 第四節の規定は、刑事事件若しくは少年の保護事件に係る裁判、検察官、検察事務官若しくは司法警察職員が行う処分、刑若しくは保護処分の執行、更生緊急保護又は恩赦に係る保有個人情報(当該裁判、処分若しくは執行を受けた者、更生緊急保護の申出をした者又は恩赦の上申があった者に係るものに限る。)については、適用しない。

この条文は、雇用主が採用予定者の前科の有無等をチェックする目的で、本人に開示請求をさせる等の、本人の社会復帰や更生の阻害を避ける趣旨であるとされており、旧・行政機関個人情報保護法45条1項を承継するものです(岡村久道『個人情報保護法 第4版』554頁、宇賀克也『新・個人情報保護法の逐条解説』715頁)。つまり、個情法124条1項はまさに日本版DBS制度のようなことが行われることを防止している条文なのです。

このように、個人情報保護法には、犯罪歴等のある従業員等の更生のために、雇用主による従業員等の前科等のチェックが行われることを防止する条文が存在します(法124条1項)。その観点からも、政府や国会は、日本版DBSについて慎重な検討を行うべきです。

(なお、同様のことは、これも国会で法案が成立した、セキュリティ・クリアランス制度についても言えるのではないかと思われます。)

いうまでもなく子どもに対する性犯罪は許しがたい犯罪です。子どもに対する性犯罪の防止は重要です。しかし、政府が政策を実施するためには、日本が近代立憲主義の法治国家である以上、犯罪防止や被害者の権利利益の保護と、過去に性犯罪を犯した者の権利利益とのバランスが必要となります。

政府与党は「被害者がかわいそう」と感情的に思考停止するのではなく、日本版DBS制度が過去に性犯罪を犯した者の社会復帰や更生にどのような影響を与えるのか、その影響にどのような歯止めをかけるのか(比例原則に応じた犯罪歴の保存期間・照会可能期間の限定、犯罪歴を参照できる事業者等の制限、本人からの開示・訂正・削除請求など本人関与の仕組み、目的外利用の禁止、安全管理措置)等について、もう少し慎重に議論をすべきではないでしょうか。国会でもこの点を十分に議論してほしいと思います。情報法・行政法・憲法などの学者の先生方も社会に情報発信していただきたいと思います。

■参考文献
・高平奇恵「日本版DBSの課題と展望」『法学セミナー』2024年3月号52頁
・岡村久道『個人情報保護法 第4版』554頁
・宇賀克也『新・個人情報保護法の逐条解説』715頁
・「日本版DBS」についてぜひ考えてほしいこと|園田寿

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

dai_byouin2

1.4月3日の個人情報保護委員会の議論

個人情報保護委員会では現在、個人情報保護法の「いわゆる3年ごと見直し規定に基づく検討」、つまり次の個人情報保護法改正に向けた検討が行われています。そして2024年4月3日の同委員会では、AIと医療関係に関する有識者ヒアリングが行われたそうです。

・第279回個人情報保護委員会|個人情報保護委員会

そして同委員会では、医療データの取扱いについて患者の本人の同意を原則不要とする方向の議論が行われたようですが、私個人はこの方向性に反対です。

すなわち、4月3日の個人情報保護委員会の有識者ヒアリングにおける森田朗・名誉教授の資料「医療情報の利活用の促進と個人情報保護」には、医療関係において一時利用(=治療)の場合の患者の本人の同意を不要とし、二次利用(=製薬会社やIT企業などによる二次利用)の場合にも本人の同意を不要とする(ただしオプトアウトについては要検討)となっています。

森田氏資料の図
(4月3日の個人情報保護委員会資料より)

現行の個人情報保護法は目的外利用の場合、第三者提供の場合、要配慮個人情報の取得の場合、には本人の同意が必要と規定しています(法18条、20条2項、27条1項)。また、厚労省・個人情報保護委員会の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」も、これらの場合には患者の「黙示の同意」が必要であるとしています。そのため、現在、個情委など政府で議論されていることは、仮に実現した場合、従来の個人情報保護法制の基本的なルールの大きな転換をもたらすものです。

2.プライバシーや個人情報保護法(個人データ保護法)の趣旨・目的

憲法・情報法学上、学説や下級審判例においては、プライバシーや個人情報保護法(個人データ保護法)の趣旨・目的を「個人の私生活上の事項の秘匿の権利を超えて、より積極的に公権力による個人情報の管理システムに対して、個人に開示請求、修正・削除請求、利用停止請求といった権利行使が認められるべきである」とする自己情報コントロール権(情報自己決定権)説が学説上の通説とされています。

近年、曽我部真裕教授、音無知展教授などによる「自己の情報を適切に取扱われる権利」説が有力に唱えられ、また情報技術者の高木浩光氏の「関連性のないデータによる個人の選別を防止する権利」説なども主張されていますが、現状では自己情報コントロール権(情報自己決定権)説が学説上の通説であると思われます(渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』120頁、曽我部真裕など『情報法概説 第2版』209頁、宍戸常寿等『憲法学読本』93頁、村上康二郎「情報プライバシー権の類型化に向けた一考察」(2023年12月)など)。

「自己の情報を適切に取扱われる権利」説からは、個人の個人情報・個人データが官民の情報システムで「適切」に取扱われている限りは、個人の側は官民の情報システムの管理者・運営者に対して何も言えないことになってしまいますが、自己情報コントロール権説からは、個人の人格的自律や自己決定権の観点から情報システムの管理者に対して自己の情報に対して申出ができることになります。日本が個人の人格的自律を基本とする自由主義・民主主義国家(憲法1条、13条)である以上、現状では自己情報コントロール権説(または自己情報コントロール権と「自己の情報を適切に取扱われる権利」との折衷説(村上康二郎))が現状では妥当であるように思われます。

そして自己情報コントロール権説からは、個人情報保護法が目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合において、事業者や行政機関等が患者などの本人の同意を取得することが必要と規定されていることは当然のことと考えられます。

そのため、この目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合に本人の同意の取得を不要とする森田朗名誉教授などの主張は自己情報コントロール権説に反し、つまり個人情報保護法(個人データ保護法)の趣旨・目的に反していることになります。

また、法律論を離れても、たとえば4月3日の個人情報保護委員会の有識者ヒアリングでは、横野恵准教授の「医療・医学系研究における個人情報の保護と利活用」との資料13頁の「ゲノムデータの利活用と信頼」においては、一般大衆の考えとして、ゲノムデータの利活用に関する「信頼の醸成に寄与する要素」の2番目に「オプトアウト制度」があがっています(“Public Attitudes for Genomic Policy Brief: Trust and Trustworthiness.” )。

横田氏資料
(4月3日の個人情報保護委員会資料より)

したがって、医療データの利用等に関して、患者の本人の同意やオプトアウト制度を廃止する考え方は、一般国民の支持を得られないのではないでしょうか。

3.すべての国民個人は医療に貢献すべきなのか?

森田名誉教授など、医療データの製薬会社やIT企業などによる利活用を推進する立場の人々は、「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」との考え方を前提としているように思われます。

たしかに患者が医療に貢献することは一般論としては「善」かもしれません。しかし上でも見たように、日本は個人の自由意思を原則とする自由主義・民主主義国です(憲法1条、13条)。患者個人が医療や社会に貢献すべきか否かは個人のモラルにゆだねるべき問題であり、ことさら法律で強制する問題ではないはずです。すなわち、患者の医療への貢献などは、自由主義社会においては自由な討論・議論によって検討されるべきものであり、最終的には個人の内心や自己決定にゆだねられるべきものです(憲法19条、13条)。

「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」「そのような考え方を個人情報保護法の改正や新法を制定し、国民に強制すべきだ」との考え方は、中国やロシアなど全体主義・国家主義国家の考え方であり、自由主義・民主主義国家の日本にはなじまないものではないでしょうか。

また、患者の疾病・傷害にはさまざまなものがあります。風邪などの軽い疾病のデータについては、製薬会社などに提供することを拒む国民は少ないかもしれません。しかし、がんやHIVなど社会的差別のおそれのある疾病や、精神疾患など患者個人の内心にもかかわる疾病など、疾病・傷害にはさまざまな種類があります。それをすべて統一的に本人同意を不要とする政府の議論は乱暴なのではないでしょうか。

4.まとめ

したがって、憲法の立憲主義に係る基本的な考え方からも、医療データの一時利用・二次利用について患者の本人の同意を原則として不要とする議論は、個人情報保護法の趣旨・目的に反しているだけでなく、わが国の憲法の趣旨にも反しているのではないでしょうか。以上のような理由から、私は医療データの一時利用・二次利用について患者の本人の同意を原則として不要とする個人情報保護委員会や政府の議論には反対です。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・政府の検討会議で健康・医療データについて患者の本人同意なしに二次利用を認める方向で検討がなされていることに反対する

■参考文献
・渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』120頁
・宍戸常寿など『憲法学読本』93頁
・曽我部真裕など『情報法概説 第2版』209頁
・駒村圭吾『Liberty2.0』187頁(成原慧執筆)
・村上康二郎「情報プライバシー権の類型化に向けた一考察」(2023年12月)

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

welcomeHRトップ画面

1.WelcomeHRの個人情報漏洩事故が発覚

カオナビ子会社のワークスタイルテック(東京都港区)が運営する労務管理クラウドサービス「WelcomeHR」で、ユーザー情報16万人分近くが外部から閲覧可能になっており、うち15万人分近くが実際に第三者にダウンロードされたとワークスタイルテック社が3月29日にニュースリリースを公表しました。
・弊社サービスをご利用いただいているお客様への重要なご報告とお詫び|Workstyle Tech

プレスリリース
(ワークスタイルテックのプレスリリースより)

ワークスタイルテックのリリースによると、2020年1月5日から2024年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書(マイナンバーカード、運転免許証、パスポートなど)や履歴書の画像が閲覧可能だったとのことです。原因は、ストレージサーバのアクセス権限に設定ミスがあったことであり、外部からファイルを閲覧したり、ダウンロード可能な状態だったということです。

このニュースリリースに対しては、個人情報保護委員会に報告は行われているのか、マイナンバーカードの表面の画像の情報が漏洩したことは間違いないとして裏面のマイナンバーなどの情報も漏洩したのか?の2点がネット上で話題となっていました。

2.マイナンバーも漏洩していたことが発覚

その後、4月13日頃より、Twitter(現X)などSNSにおいて、ワークスタイルテックより今回の個人情報漏洩事故の被害者の方々に対して、お詫びのメールにて漏洩事故の詳細が送られてきたことが報告されています。このお詫びのメールによると、マイナンバーそのものも漏洩していたことが明らかにされています。

被害者のツイート
通知1
通知2
(被害者の方のTwitterの投稿より)

3.ワークスタイルテックの個人情報漏洩事故の対応の問題点

このワークスタイルテックの個人情報漏洩事故の対応については、いくつも疑問があります。

まず第一に、今回の事故の原因から、マイナンバーの漏洩も当初から明らかであり、ワークスタイルテックは3月29日のプレスリリースの段階で、マイナンバーも漏洩していたことをぼかさずに明らかにすべきだったのではないでしょうか。

個情委の個人情報保護法ガイドライン3-5-2は、「なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。」としているからです。

第二に、この被害者あてのお詫びのメールを読むと、「マイナンバーについて(略)一方で、マイナンバーに記載されている情報(略)から、より詳しい個人情報を抜き取られることはありません。」と説明されていることは非常にミスリーディングなのではないでしょうか。

つまり、いわゆる名簿屋がこのような個人情報のデータセットを収集した場合、他で取得した複数の個人情報のデータセットと名寄せ・突合し、被害者本人の人物像を作り出し、それを販売するであるとか、プロファイリングを行う等の行為が可能となってしまいます(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』224頁)。そしてマイナンバーは悉皆性・唯一無二性を有する究極のマスターキーなので、これが漏洩してしまうと他の個人情報のデータセットとの名寄せ・突合が容易になってしまいます。

にもかかわらず、まるで「マイナンバーが漏洩したけれどあまり心配はいりません」と言いたげなこのお詫びメールのアナウンスは非常に不適切であると思われます。

そのため、ワークスタイルテックは被害者の方々に対して、市役所等の自治体にマイナンバーカードの再発行を行うことを奨励すべきなのではないかと思われます(マイナンバー法17条5項参照、下の追記参照)。

第三に、本事件ではマイナンバーを含む約15万件の個人情報が漏洩してしまったわけであり、ワークスタイルテックは被害者の方々に対してお詫び金(例えば500円程度)を支払うべきであるのに、それがお詫びメールに記載されていないのは奇異な感じがします。(なお、お詫び金はお詫びの意思を表明するものであり、損害賠償の金銭とは別物です。)

このように、ワークスタイルテックの個人情報漏洩事故の対応は非常に稚拙であると思われます。社内にしっかりとした情報システム部門や法務・コンプラ部門がないのだろうかと心配になります。

■追記:4月15日 マイナンバーカードの利用停止・再発行について

個人情報保護委員会に電話で確認したところ、「本件のようにマイナンバーの悪用のおそれがある場合には、被害者の方は、市役所等の自治体にマイナンバーカードの利用停止と再発行の申出を行ってほしい、それにより再発行されるマイナンバーは新しい番号に切り替わるとのことでした。なお、自治体によってはデジタル庁のマイナンバー総合フリーダイヤルへの申出を行うようお願いされるかもしれないが、まずは自治体に問い合わせてほしい」とのことでした。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

school_jugyou_tablet

1.はじめに

個人情報保護委員会が令和6年4月10日付で公表している「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方②)」の資料を読んでみました。今回の資料は、①子どもの個人情報、②消費者団体訴訟制度、の2点を取り上げています。

2.子どもの個人情報

本資料1頁は、まず「現行の個人情報保護法上、子どもの個人情報の取扱い等に係る明文の規定はない」とした上で、個人情報保護法ガイドライン(通則編)2-16および個人情報保護法ガイドラインQA1-62が、「「本人の同意」を得ることが求められる場面(目的外利用、要配慮個人情報の取得、第三者提供等)について、以下のとおり、「一般的には12歳から15歳までの年齢以下の子どもの場合には法定代理人等から同意を得る必要がある」とされている」と説明しています。

ppc1

つぎに本資料は、児童の権利条約(1989年)やデジタル環境下のこどもに関するOECD勧告(2021年)が、子どものプライバシーやデータ保護が重要であると規定していると説明しています。

また、本資料3頁以下は、子どもの個人情報に関する外国制度として、EU、イギリス、アメリカ、中国、韓国、インド、インドネシア、ブラジル、カナダ等の法制度を概観しており、「子どもの個人情報等をセンシティブ情報又はセンシティブデータと分類した上で特別な規律の対象とするケース」や「子どもの個人情報に特有の規律を設けるケース」が多いと分析しています。

ppc2
ppc3
ppc4

さらに本資料8頁以下は、子どもの個人情報に関する外国における主な執行事例として、InstagramやTikTok、YouTubeなどの事例をあげています。

ppc5
加えて本資料10頁は、日本における子どもの個人情報に関する社会的反響の大きかった事例として、①全寮制の学校Aが、全生徒にウェアラブル端末を購入してもらい、心拍数、 血圧、睡眠時間等の個人データを収集しようとした事件(広島叡智学園事件(2018年))、②学校Bで、生徒の手首につけた端末で脈拍を計測し、授業中の集中度を測定する実証研究を行った事件(市立鷲宮中学校事件(2021年))の概要が紹介されています。

また、子どもの個人情報に関連して個人情報保護法に基づく行政上の対応が行われた事例として、四谷大塚事件(2024年2月)の概要が紹介されています。

ppc6

なお本資料12頁は、「個人情報保護法相談ダイヤルにおける子どもの個人情報等に係る相談事例等」として、頻度の多い相談事例や、その他の相談事例等をあげていますが、とくに「事例C 事業者がパンフレットに児童の個人情報を掲載しているが、当該掲載について児童から口頭で同意をとったのみであり、親には何らの連絡もなかった」事例や、「事例D 未成年の娘あてに事業者からDMが届いた。発送先の事業者に確認したところ、名簿販売業者から娘の情報を取得したうえで営業をかけているようであった」という事例、「事例G 事業者が保有する児童の個人情報について、親が開示・削除等の請求をしているにもかかわらず、なかなか応じてくれない」事例、などを読むと、やはり子どもの個人情報の法規制は待ったなしだと思われます。

ppc7

3.消費者団体訴訟制度

本資料15頁は、適格消費者団体は、「不当な勧誘」、「不当な契約条項」、「不当な表示」などの事業者の不当な行為をやめるよう求めることができるとし、「事業者が不特定かつ多数の消費者に対して消費者契約法等に違反する不当な行為を行っている、又は、行うおそれのあるとき」には差止請求を行うことができると説明しています。この「消費者契約法等」には消費者契約法のほか、景品表示法、特定商取引法、食品表示法が規定されていると説明されています。(個人情報保護法はまだ規定されていない。)

また本資料17頁は、団体訴訟の差止請求に関連し、「個人情報に係る本人が不特定かつ多数と評価しえる事例に係る個人情報保護法に基づくこれまでの主な行政上の対応」として、Facebook事件(平成30年10月)、JapanTaxi事件(平成30年11月、令和元年9月)、リクルート内定辞退率予測データ事件(2019年)、破産者マップ事件(令和4年)、ビジネスプランニング事件(令和6年1月)の概要をあげています。

ppc8
ppc9

さらに本資料21頁は、「不法行為の成否と個人情報保護法の関係」として、令和5年の顔識別機能付き防犯カメラ報告書からつぎのように一部を抜粋しています。

『「不法行為法と個人情報保護法はその目的や性格に異なる部分があることから、不法行為が成立する場合、同時に個人情報保護法違反となる場合もあり得るが、不法行為が成立したからといって必ずしも個人情報保護法違反となるわけではない。」
不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。
(出典)「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(令和5年3月)から引用。』
「不法行為の成立=個人情報保護法違反ではない」としつつも、「不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。」と個人情報保護委員会がしていることは、個情委が今後、不適性利用禁止条項を積極的に発動する可能性があるのではないでしょうか。個人的には個情委のこの取組みに期待したいです。

また本資料21頁は、個人情報の取扱いにおいて損害賠償責任が問題となった主な事例として、早大名簿提出事件(最高裁平成15年9月12日判決)とベネッセ個人情報漏洩事件(最高裁平成29年10月23日判決)をあげています。

ppc10

ベネッセ個人情報漏洩事件はおよそ3500万件もの個人情報が漏洩した事件ですが、このように被害者が不特定かつ多数の個人情報漏洩事件について、消費者団体訴訟における損害賠償請求ができるようになることは、被害者救済の観点から重要であると思われます。また、団体訴訟制度の個人情報保護法への導入は、事業者の実務への影響は非常に大きいと思われます。

■関連するブログ記事
・PPCの「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(2023年11月)を読んでみた
・個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」を読んでみた
・埼玉県の公立中学校の「集中しない生徒をリアルタイムで把握」するシステムを個人情報保護法や憲法から考えた
・戸田市の教育データを利用したAI「不登校予測モデル」構築実証事業を考えた-データによる個人の選別

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

デジタル認証アプリのイメージ図
(デジタル庁のパブコメの資料より)

デジタル庁のデジタル認証アプリについては、これまでも本ブログで取り上げてきたところ、そろそろデジタル認証アプリが4月リリース予定とのことで、パブコメ結果の公表などを待っていたのですが、本日(3月30日)に読売新聞が大きく解説記事「国の個人認証アプリ 迷走…デジタル庁 構想・開発」を掲載しているとのことで読んでみました。(コンビニで買ってきました!)

デジタル認証アプリとは、マイナンバーカードによる公的個人認証のためのアプリであり、デジタル庁が開発・運営し、同庁が認証業務を行う「署名検証者」になるというものです。

しかしこのデジタル認証アプリ構想は、①国民個人の官民の各種ネットサービスの利用履歴がデジタル庁に蓄積し個人のプロファイリングが行われるリスクなどのプライバシーリスクがあること、②そもそもこのような制度を公的個人認証法の施行規則の改正という行政の内部で決定してよいのかという問題、などがあり、1月にパブコメが開始され情報公開がなされるとネットなどで批判が起きていました。

本記事によると、パブコメには「29件の意見が寄せられた。プライバシー侵害のおそれのほか、民業圧迫との批判、「デジタル庁の想定するユースケースは犯罪収受移転防止法の要件を満たさないので実現できないのではないか」といった実務の観点からの指摘もあった。数は多くないとはいえ、いずれも専門家からの厳しい指摘だった。」「デジタル庁は…3月中に予定していた施行規則の改正はいったん見合わせ、4月に予定していたアプリのリリースも「数か月遅れる可能性がある」という。」とのことです。

この点は、パブコメを書いて提出された方々、ネット上などで批判されてきた方々などの勝利といえるのではないでしょうか。願わくば、この問題についてはデジタル庁など政府が密室で決定してしまうのではなく、国会で議論を行い必要な法改正などを行うことが望まれます。(また、デジタル庁は読売新聞にはパブコメ結果を開示したのですから、一般国民に対しても早期にパブコメ結果を開示してほしいと思います。)

ところで、本記事においてはマイデータ・ジャパン理事長の崎村夏彦先生と山本龍彦教授のコメントが掲載されており、大変参考になりました。

マイデータ・ジャパン理事長の崎村夏彦先生のコメント
「これでは国民がいつどんなオンラインサービスを使っているのか政府が網羅的に把握できるおそれがある。」「こうした識別子は大量の情報の名寄せが可能でプライバシーの観点から十分な配慮が必要」

慶応大学・山本龍彦教授(憲法・情報法)のコメント
「国が包括的な検証者となることは立法時に想定されていたのか。そこで生じうる名寄せのリスクは検討されていたのか。まずはそこから確認する必要がある。」「仮に今回の変更が立法時の想定を越えるものであるならば、本来は「開かれたアリーナ」である国会で議論すべきもの。」

(「国の個人認証アプリ 迷走…デジタル庁 構想・開発」読売新聞2024年3月30日付より)
デジタル認証アプリについては、個人が官民の各種サービスを利用した履歴が一元管理され、不当な個人のプロファイリングや、関連性のないデータによる個人の選別・差別、国家による個人の監視などの個人の権利利益の侵害や個人の人格権侵害のリスクがあります(マイナンバー法1条、個人情報保護法1条、3条、憲法13条)。

そのため、「法律による行政の原則」(憲法 41 条、65 条、 76 条)の観点から、デジタル認証アプリについて、公的個人認証法の施行規則の一部改正だけではなく、マイナンバー法そのものを一部改正し、根拠条文を設置し、利用目的や目的外利用の禁止、安全管理措置等を規定し、違法・不当な利用に歯止めをかけるべきと考えます。

また、デジタル認証アプリで収集された個人情報(「連続的に蓄積」された電子証明書の発行番号(シリアル番号)やサービス利用履歴等も含む。個情法ガイドライン(通則編)2-8(※)参照。)についても、利用目的の制限、第三者提供等の制限、安全管理措置、保存期間の設定、データ最小限の原則、開示・訂正請求など本人関与の仕組みの策定、情報公開・透明性の仕組みの確保、不適正利用・プロファイリングの禁止などの法規制がなされるべきと考えます。

さらに、マイナンバーカードの電子証明書の発行番号(シリアル番号)についても、マイナンバー(個人番号)に準じたものとして取扱うように法規制し(マイナンバー法2条8項)、利用目的の厳格化、目的外利用の禁止、第三者提供の制限、厳格な安全管理措置などの法規制を、マイナンバー法を改正するなどして盛り込むべきだと考えます。(同様に、マイナンバーカードやマイナポータルなどについてもマイナンバー法に根拠条文が非常に少ないため、これらについても「法律による行政の原則」の観点から、政令や施行規則・通達・ガイドライン等の整備ではなく、まずは法規制を実施すべきだと思われます。)

■関連するブログ記事
・デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた
・デジタル庁のデジタル認証アプリに関するパブコメに意見を提出してみた

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ