デジタル改革法案成立で個人情報保護制度が形骸化する!~「デジタル独占体制」からの「監視国家化」を防ぐには
三宅弘( 弁護士、法学博士)
(構成・文/仲藤里美)
5月12日、「デジタル改革関連6法」が参議院本会議で可決、成立した。9月にデジタル庁を設置し、デジタル化を推進すると華々しく報道されたが、この法案の中に「個人情報保護法」の大きな改正が含まれていることはあまり知られていない。IT化推進の名目のもと、私たちの個人情報を保護するしくみは今後どう変わるのか。情報公開制度や個人情報保護に詳しい三宅弘弁護士にうかがった。

三宅弘弁護士
「デジタル改革関連法」の問題点とは
「デジタル改革関連6法」とは、デジタル庁を9月に創設する「デジタル庁設置法」を柱に、デジタル社会の理念を定めた「デジタル社会形成基本法」と、改正個人情報保護法など全部で63もの法案をひとまとめにした「束ね法案」などです。条文案が閣議決定されたのは2月9日ですが、そこから間を置かず、一般の意見を聞くパブリックコメントも行われないまま国会に提出されてしまいました。審議に入ってからも、関係資料の誤りが多数発覚するなどの不備がありましたし、採決に至るまでに衆参両院で十分な審議が尽くされたとはとてもいえません。国会を軽視した拙速な採決であると同時に、個人情報という重要な情報を扱っているという謙虚さがまったくないと感じました。

行政のデジタル化の推進自体は、時代の趨勢という意味でも避けられないことだと思います。新型コロナへの対応においても、台湾や韓国がITを活用して一定の効果を上げたのに対し、日本では接触確認アプリひとつまともに運用することができないでいる。デジタル化において、日本の行政が世界的に見ても非常に遅れた状況にあるのは明らかですから、その改善に向けた措置が必要なのは確かでしょう。
ただ、デジタル化を推進するということは、それだけ情報の漏洩・悪用の危険性が大きくなるということでもあります。だから本来であれば、デジタル化を進めると同時に、個人情報を守るための施策を強化する必要がある。ところが、今回成立したデジタル改革関連法には、その点で非常に大きな問題点がいくつもあるのです。
本人の同意なしに、個人情報が利用される?
まず問題なのは、最近ようやく報道されるようになりましたが、デジタル改革関連法には個人情報保護法(民間を対象とする「個人情報の保護に関する法律」〈個人情報保護法〉、省庁などを対象とする「行政機関の保有する個人情報の保護に関する法律」〈行政機関個人情報保護法〉、独立行政法人等を対象とする「独立行政法人等の保有する個人情報の保護に関する法律」〈独立行政法人等個人情報保護法〉の3法)の統合および改正が含まれていることです。改正後の統合された個人情報保護法においても、行政機関の長は「相当な理由」や「特別の理由」があれば、政府の行政機関、独立行政法人等、地方自治体、民間企業とで共通仕様化したデジタル個人情報について、本人の同意を得なくても個人情報を利用でき、他の行政機関、自治体への提供もできると定められています。「相当」「特別」というあいまいな基準で、自分の知らないうちに、行政機関の部局の壁もなく共通仕様化した個人情報が利用・提供されてしまう可能性があるのです。
この枠組みは、2003年に制定された行政機関個人情報保護法からそのまま引き継がれるものですが、制定時から「個人情報保護の例外の範囲が広がってしまう」と指摘されていました。総務省の見解によれば、「相当な理由」は「社会上通念上、客観的にみて合理的な理由のあること」、「特別の理由」は「『相当な理由』よりも更に厳格な理由であること」(例として「国際協力のため外国政府、国際機関等に提供する場合等」)とされていますが、基準があいまいで、恣意的な運用につながりかねません。2003年当時「行政機関等個人情報保護法制研究会」の委員を務めていた私もそのことを主張したのですが、結局は「今後の検討課題」として先送りされていたのです。しかし、今回の改正の審議過程では、この点は一切検討されないままでした。
しかも、今回新設されることになる「デジタル庁」は、内閣総理大臣直轄の組織です。個人情報を含むすべてのデジタル情報が、総理の下に集中管理されるようになるわけですから、その権限は計り知れません。また、総理の下に置かれるデジタル大臣は、他のすべての行政機関に対して勧告ができるなど、認められている権限も非常に大きい。総理直轄の組織としては他に復興庁がありますが、時限的組織である復興庁と違って、デジタル庁は国家の根幹に関わる恒久的組織です。そのすべての権限を総理が握るというのは権力的統制であり、「デジタル独占体制」ともいえるのではないでしょうか。
また、今回の個人情報保護法改正によって、これまでそれぞれの地方公共団体が独自に条例で定めていた個人情報保護制度が共通仕様化して一本化され、個人情報保護法に統一されることになりました。自治体によっては法律よりも厳しく設定していた保護制度が後退する場合があるだけでなく、今後自治体独自の制度を設ける場合には、国に届け出をしなくてはならなくなる。ある自治体が国のルールよりも規制の強い制度をつくろうとしたら、「それは行き過ぎだからやめろ」と言われる可能性もあるわけで、地方自治の本旨(憲法92条)の観点からも、条例制定権(憲法94条)を侵害するのではないかということで、非常に問題だと思います。

チェック機能の貧弱さ──ドイツの例と比較して
そしてもう一つ、非常に大きな問題だと思うのは、こうした個人情報の取り扱いに関するチェック機能の弱さです。
今後、個人情報の取り扱いに関する監督・監視は、政府の「個人情報保護委員会」に一元的に委ねられます。これまでは民間の事業者を主な対象としていた組織ですが、加えて行政組織も対象にすることになったわけです。
この委員会は民間の事業者に対しては立ち入り調査や命令、帳簿類のチェックなどの権限が認められており、例えば今年3月、LINEの利用者情報が中国の企業によって閲覧できるようになっていると判明した問題では、立ち入り調査を行っています。しかし、行政機関に対してはそういった権限の定めがありません。立ち入り調査も命令もできず、指導や助言、勧告しかできないとしたら、あまりにも権限が弱すぎます。現状わずか150人ほどの体制を今後どうするのか、組織規模や人員確保についても不明な点が多く、十分なチェック機能を果たせるとは思えません。
ヨーロッパなどには、行政機関や警察の情報管理をチェックするための、強い権限を持った機関が設けられている国が多くあります。たとえばドイツでは、連邦政府にも各州政府にもそれぞれ個人データ保護のための機関が置かれています。2年に1回は政府の持つ電子データをすべてチェックでき、不正があれば削除も要求できるそうです。
2017年にベルリンで、州のデータ保護監察官に会ったことがあるのですが、この人は個人情報保護のために活動するNPOの理事でもありました。しかも、担当する業務を尋ねたら「当局などが“右翼過激派”としてリストアップしたデータベースから、『この人は市民運動家であって過激派ではない』という人物をピックアップし、当局に削除を要求している」というのです。そんなことまでチェック機関に権限を認めているというのがすごいなと思いました。
まだコンピュータのなかったナチスドイツの時代、ドイツ政府は国民を分類・管理するために「パンチカード」というものを使っていたそうです。一人ひとりのカードに開けた穴の位置で、名前や年齢、性別をはじめ、人種や信仰、身体的特徴や職能なども分かる仕組みで、もちろんユダヤ人弾圧にも利用されました。それが今日的なデータベースのはしりとも言われています。そういう歴史への反省が、ドイツの「データベースは必要だから作るけれど、その管理はきっちりしなくてはならない」という考えにつながっているのかもしれません。
さらなる「監視国家化」に抗うために
著者情報
弁護士、法学博士
三宅弘
みやけ ひろし
1953年福井県生まれ。78年東京大学法学部卒業。83年弁護士登録(第二東京弁護士会)。93年筑波大学修士課程経営・政策科学研究科修了、2020年京都大学大学院法学研究科法政理論専攻博士後期課程研究指導認定退学(博士(法学))。東京都における情報公開制度のあり方に関する懇談会委員、内閣府・高度情報通信社会推進本部個人情報保護検討部会委員、総務省・行政機関等個人情報保護法制研究会委員、内閣府・公文書等の適切な管理、保存及び利用に関する懇談会委員、総務省・情報公開法の制度運営に関する検討会委員などを歴任。著書に『監視社会と公文書管理――森友問題とスノーデン・ショックを超えて』(花伝社、2018年)、『知る権利と情報公開の憲法政策論――日本の情報公開法制における知る権利の生成・展開と課題』(日本評論社、2021年)など多数。