5月12日、「デジタル改革関連6法」が参議院本会議で可決、成立した。9月にデジタル庁を設置し、デジタル化を推進すると華々しく報道されたが、この法案の中に「個人情報保護法」の大きな改正が含まれていることはあまり知られていない。IT化推進の名目のもと、私たちの個人情報を保護するしくみは今後どう変わるのか。情報公開制度や個人情報保護に詳しい三宅弘弁護士にうかがった。
三宅弘弁護士
「デジタル改革関連法」の問題点とは
「デジタル改革関連6法」とは、デジタル庁を9月に創設する「デジタル庁設置法」を柱に、デジタル社会の理念を定めた「デジタル社会形成基本法」と、改正個人情報保護法など全部で63もの法案をひとまとめにした「束ね法案」などです。条文案が閣議決定されたのは2月9日ですが、そこから間を置かず、一般の意見を聞くパブリックコメントも行われないまま国会に提出されてしまいました。審議に入ってからも、関係資料の誤りが多数発覚するなどの不備がありましたし、採決に至るまでに衆参両院で十分な審議が尽くされたとはとてもいえません。国会を軽視した拙速な採決であると同時に、個人情報という重要な情報を扱っているという謙虚さがまったくないと感じました。
行政のデジタル化の推進自体は、時代の趨勢という意味でも避けられないことだと思います。新型コロナへの対応においても、台湾や韓国がITを活用して一定の効果を上げたのに対し、日本では接触確認アプリひとつまともに運用することができないでいる。デジタル化において、日本の行政が世界的に見ても非常に遅れた状況にあるのは明らかですから、その改善に向けた措置が必要なのは確かでしょう。
ただ、デジタル化を推進するということは、それだけ情報の漏洩・悪用の危険性が大きくなるということでもあります。だから本来であれば、デジタル化を進めると同時に、個人情報を守るための施策を強化する必要がある。ところが、今回成立したデジタル改革関連法には、その点で非常に大きな問題点がいくつもあるのです。
本人の同意なしに、個人情報が利用される?
まず問題なのは、最近ようやく報道されるようになりましたが、デジタル改革関連法には個人情報保護法(民間を対象とする「個人情報の保護に関する法律」〈個人情報保護法〉、省庁などを対象とする「行政機関の保有する個人情報の保護に関する法律」〈行政機関個人情報保護法〉、独立行政法人等を対象とする「独立行政法人等の保有する個人情報の保護に関する法律」〈独立行政法人等個人情報保護法〉の3法)の統合および改正が含まれていることです。改正後の統合された個人情報保護法においても、行政機関の長は「相当な理由」や「特別の理由」があれば、政府の行政機関、独立行政法人等、地方自治体、民間企業とで共通仕様化したデジタル個人情報について、本人の同意を得なくても個人情報を利用でき、他の行政機関、自治体への提供もできると定められています。「相当」「特別」というあいまいな基準で、自分の知らないうちに、行政機関の部局の壁もなく共通仕様化した個人情報が利用・提供されてしまう可能性があるのです。
この枠組みは、2003年に制定された行政機関個人情報保護法からそのまま引き継がれるものですが、制定時から「個人情報保護の例外の範囲が広がってしまう」と指摘されていました。総務省の見解によれば、「相当な理由」は「社会上通念上、客観的にみて合理的な理由のあること」、「特別の理由」は「『相当な理由』よりも更に厳格な理由であること」(例として「国際協力のため外国政府、国際機関等に提供する場合等」)とされていますが、基準があいまいで、恣意的な運用につながりかねません。2003年当時「行政機関等個人情報保護法制研究会」の委員を務めていた私もそのことを主張したのですが、結局は「今後の検討課題」として先送りされていたのです。しかし、今回の改正の審議過程では、この点は一切検討されないままでした。
