第189回国会 内閣委員会 第5号

・個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案(内閣提出第三四号)

○井上委員長 次に、輿水恵一君。

 

○輿水委員 公明党の輿水恵一でございます。

 

 本日は、多岐にわたる貴重な御意見、まことにありがとうございます。

 

 本当にまさに活力ある経済をどのようにつくっていくか、そういった意味ではこのパーソナルデータの利活用が大変重要になってくる、そのように思いますが、各先生方から、やはりプライバシー・バイ・デザインというか、まず保護が前提になって、そこからの活用だという、そういった御意見もいただきました。

 

 このような中で、何か事件が起こる、また問題が起こったときに、その保護という観点に立ったときにはやはり規制は強化をされる、そういった状況というのが起こり得るわけで、できればそういったことがない形でうまく運用できる、これが今後のためにも一番いいのかなと思うんですけれども、先ほど来何回か出ました、やはり今回一つの事件が起きたという、そういった問題について私も言及をさせていただきながら、取り組み方等について皆様と確認をさせていただければと思っております。

 

 まさに、個人情報漏えい対策、名簿屋対策といいますでしょうか、不正に取得されたそういった名簿データが、名簿屋を転々としまして、最後は同業者に渡って、そこから大量の漏えいが発覚したというそういった事件、ベネッセの事件でございます。

 

 この個人情報の漏えい事件というのは、名簿屋、名簿屋と先ほど結構強調されていますけれども、どちらかというと、事業者のコンプライアンスあるいはガバナンスの問題、そういったものもある、その先に名簿屋があったというふうな問題であると私は感じているわけでございます。

 

 そういった中でも、それでは、名簿屋の対策。当然、事業としてやる限りは、事業者としてしっかりとしたコンプライアンスを整えて事業は運営をしていく。と同時に、名簿屋に対しては、ではどういった取り組みが必要になってくるのか、そういったことが問われる中で、ここで質問になるわけですけれども、宇賀参考人は、かつて、個人情報保護法の二十四条の一項が保有個人データベース等の入手元の情報の公表を義務づけていない、そういった点が問題である、そんな指摘もされている。

 

 そして、先ほど長田参考人の方からは、名簿対策として、名簿にもいろいろある、自治会というか町内会のそういった名簿もあれば、また、商品の購入者リストというふうなそういった名簿、名簿の中身、そういった問題もいろいろある中で、単純な名簿屋対策というのはちょっとおかしいんじゃないか、あるいは、取り扱う主体、企業であったり、消費者団体あるいは個人であったり、その主体によっても、一律にそういった形の中での規制はもしかしたらちょっと違うのではないか、そういった御指摘もいただきました。

 

 また、寺田参考人の方からは、違法性のないものについても過度な規制となる、そういった副作用がある、こういった御指摘をいただき、さらに、坂本参考人からも、名簿屋の実態を調査した上で必要かつ十分な規制ということで、そういった御指摘をいただきました。

 そこで、皆様に確認をさせていただきたいんですけれども、今回の改正によりトレーサビリティーの確保が求められている、この改正についての見解をまずお一人お一人お聞かせ願えますでしょうか。

 

○宇賀参考人 私は、今回の改正でトレーサビリティーの確保のためにこういう規定が設けられたということは、一般論として評価しております。

 

 先ほど、保有個人データの求めの対象にデータの入手元が入っていないということで、これは、諸外国の例では、こうしたものも入れている例がございます。

 

 どこからデータを入手したかということがわかりませんと、実は現在、個人情報の保護に関する法律で利用停止等の求めができることになっているわけですけれども、これは、不正な取得が行われたときとか、それから、目的外の利用が目的の正義に反して行われたときとか、あるいは、本来第三者に提供できないのに行われているという場合、こうした場合に限定して利用停止等の求めができることになっているんですけれども、この点のトレーサビリティーがそもそも確保されていませんと、不正な取得なのか、それから第三者への提供が適法に行われたかどうかということを確認できませんので、利用停止等の求めの規定が形骸化してしまうということになるわけです。

 

 ただ、委託元をこうした形で出すということについては、それが営業秘密に当たるのではないかというような御意見もございまして、ここは、そこを重視するか、あるいは個人情報の保護の方を重視するかという価値判断の問題が絡んでくるわけですけれども、そういうこともあって、今回、そこまでは踏み込まずに、しかし、そうしたデータの入手元についての記録等の作成を義務づけ、その保存を義務づけるということになりました。

 

 それから、特に、不正な取得だということを知りながら取得すると、これも不正な取得になるんですけれども、しかし、これまでの名簿屋の実態では、そもそも、どういう経緯で入手したかということが、怪しいと思っても聞かない、だから、不正な取得とはわからなかったということで全く規制を逃れてしまう。そこを是正するという意味で、そこの確認を求めるということは非常によいことではないかと考えております。

 

○長田参考人 トレーサビリティーの確保というのは重要だと思っています。

 

 ただ、その確保すべきものというのが何なのかをもう少し整理すべきで、脱法行為を防ぐために個人データとなったというその考え方はわかるのですけれども、そのことによって起こる、記録したりしなきゃいけない人たちが余りにも、非常に範囲が大きくなるということについては、先ほどから御指摘もございましたけれども、また別の枠組みでの規制とともに、あわせることによって何とか有効な、本当にトレーサビリティーを確保しなきゃいけない部分について確保させ、そして不必要であるところについてはそれが除外されるという工夫をぜひ法律の専門家の先生方にお考えいただきたいというふうに思っています。

 

○寺田参考人 トレーサビリティーにつきましては、非常に必要であるという部分と、もろ刃のやいばとなる部分があります。

 

 現在、問題を起こした場合、そういったものを発見するためにはトレーサビリティーがしっかりできていないとだめだということがありますので、ここに関して言えば、技術がどんどん進化していきますので、そういったものに合わせて柔軟に対応できるような形でのトレーサビリティー確保の方法というのはしっかり明記していく必要があるとは思います。

 

 その一方で、トレーサビリティーが明確になっていく、しっかりできるようになっていくということは、個人情報をどこまでも追いかけていくことができるという別の問題も発生いたします。

 

 ですので、このあたりというのは、単純にトレーサビリティーをしっかりと確保しましょうではなくて、それによるマイナス部分というのもしっかり念頭に入れながら検討していく必要があるだろうというふうに思っています。

 

○坂本参考人 トレーサビリティーの確保に関する規定が個人情報保護法に入ったことによって、今回の漏えい事件のような、あれにかかわった名簿屋あるいは最後のエンドユーザーになった大手企業に対する一定の規律はできたと考えてはいるのです。

 

 ただ、翻って考えますと、現行の個人情報保護法の中にも適正に取得しなければならないという規定は既にありまして、その適正に取得するという中には、不正なものを取得しない、不正なものを不正に入手されたと知って取得しない、さらに言うと、これはどうやって入手してきたんですかというのを確認する。あんな、子供の生年月日とか住所、名前が入った大量のデータを、普通に考えれば、違法じゃないの、こういうことは気づけよというような規定は入っているのです。

 

 そういう意味では、ベネッセから盗み出した従業員の人、それから間の名簿屋さん、最後のエンドユーザーになった大手企業、名簿屋さんたちと最後のエンドユーザーの大手企業の人たちがきちっと現行の個人情報保護法、適正取得の規制を守っていれば起こらなかったはずなのです。

 

 なので、今回、個人情報保護法の中にトレーサビリティーに関する規定を追加したとしても、間の名簿屋さんとかエンドユーザーになったところできちっと確認をしなければ、やはり事件は起こるときは起こるのではないか。そういう意味では、やはり名簿屋に特化した規制が必要じゃないか、こう思うのであります。

 

○輿水委員 どうもありがとうございました。

 

 全体としては、トレーサビリティー、かつてからそういったことはやって当たり前だ、しかし、記録をしていくということによってそれがより明確になるという部分ではある程度の歯どめもきいてくる上で、やはり、本当に必要なものは何か、そういった視点も持ちながら適切に進めていく必要がある、そういうふうに理解をさせていただいたんです。

 

 ここで、名簿屋の対策について、一方で、今回の改正で、大量の個人情報を取り扱う名簿屋の対策というよりも、個人情報の規模が五千以下の小さい事業者も含めたトレーサビリティーの確保が求められる、そういった状況でございます。トレーサビリティー確保のための負担については、先ほども若干触れていましたけれども、特に小規模事業者あるいは地域の皆様にとっては大変配慮が必要なのかなというふうに感じるわけでございますが、そこで、まず、事業者の立場からの意見を寺田参考人に伺いたいと思います。

 

 先ほど来ありましたとおり、二十五条、二十六条の問題なんですけれども、第三者提供のときの記録、保管義務の事業者への負担について、今の法案をそのまま読みますと、個人データを提供するとき、つまり、個人情報を一つでも提供すれば記録が義務づけられるということになるわけでございます。この点について、これはどうなのかという、事業者の立場での見解をちょっとお聞かせ願えますでしょうか。

 

○寺田参考人 ここは範囲の問題というのが出てくるんですが、例えば、SNSとかブログとか、こういったものに関しても、それは第三者提供に当たりますというくくりになってしまいますと、個人のデータって一日にどれぐらい出ていますでしょうか。それに対して、小企業のところでも、例えば、いわゆるキュレーションといいまして、情報をいろいろなところから集めて一つのコンテンツにつくっていくような、こういった場合のときは、一体、一日に幾つ見て、その中でいいものを持っていくわけですけれども、見ただけで第三者提供になってしまうわけですから、見るごとに全部書いていくって現実的に可能ですかと聞かれると、不可能としか言いようがなくなってしまいます。

 

 厳密にこれを運用してくださいと言われますと、今やっているビジネスの相当多くがそんなことに対応できませんという答えになってしまう、それが現実的な回答になってしまうと思います。

 

 ですので、ここはやはり、もう少し深く考えていただきたいなというところはあります。

 

○輿水委員 どうもありがとうございます。

 

 まさに、昨年の十二月の骨子案の中では、個人データではなくて、個人情報データベース等、そういうある程度の固まり、そういった中での処理ということで考えられていたんですけれども、まさに、管理監督あるいは記録、保存をする上でも、どちらかというとやはり固まりという形でないと現実的に不可能な問題であるのかなということは、確かにおっしゃるとおりだと思います。

 

 そういった中で、今、SNS関係で、ちょっとしたデータを提供して、見る、それでもこれに値する可能性がある、そういった御指摘の中で、こういった問題については、ちょっと丁寧に対策を打っていかないと混乱をする、そういったことを認識させていただきました。

 

 ここで一点、もし、寺田参考人、御存じであれば事業者として教えていただきたいんですけれども、このようなトレーサビリティーの義務というものが諸外国ではあるのかないのか、また、どのようになっているのかについて、お聞かせ願えますでしょうか。

 

○寺田参考人 私の方では、そういった明確な義務がある国というのは存じ上げておりません。

 

 全てのものを見ているわけではありませんが、確認をしなさいとか、そういったところまでは義務化されているところはあるんですが、それを記録しなさいというところまでの義務というのは、恐らく、多分、今回、日本が先進国では初めての規定になるのではないかと思いますし、現実的に、海外でこれを記録しなさいという形になっていないのは、データ量が多くなり過ぎて無理だからというのがある意味明らかというところがありますので、そこまでは求めていない、そういう判断なんだろうというふうに思っています。

 

○輿水委員 ありがとうございます。まさに、これをやり出したら日本だけが苦労してしまうみたいな、そういったことも予測されるということがわかりました。

 

 次に、同じ課題で、このトレーサビリティー確保のための記録、保管義務について、消費者団体として御意見をお聞かせ願えますでしょうか。

 

○長田参考人 何度か申し上げていますけれども、この義務がもしかかることになれば、本当に、全て、非常に幅広い人たちに義務がかかるということになります。

 

 先ほど、マイナンバーの周知ができていないという話が出ていましたけれども、それと同じように、義務がかかったことを知らない、任意の団体も含め、小さい規模の会社、いろいろな人たちも出てくると思いますので、非常に混乱はするだろうというふうに考えておりますし、日々の業務への影響はあるだろうと。

 

 何が必要で何が不要なのかというところをぜひ整理していただければいいと思いますし、先ほどお話も出ていました、八十三条の方の提供罪というんですか、それが個人情報データベース等となっているのであれば、そこにそろえるということも一つの案ではないかというふうに思っています。

 

○輿水委員 どうもありがとうございます。

 

 まさにそういった一つ一つ丁寧な対応が必要なのと、坂本先生がおっしゃられた、本来は不正なデータを活用して何かをするということはあり得ないわけで、記録とか保存されているからとかないとかではなくて、きちっと適切に運用される、そういったことも大事なのかなと。そういった中で、規制というものをどこにどういう形ではめ込みながら一番いい状態でその運用をしていくのか、そういったことは今後もしっかり検討課題として受けとめさせていただきたいと思います。

 

 次に、似たような御指摘をいただいて、私もはっとしたことがあるんですけれども、先ほどの寺田参考人の資料の七ページ、「匿名加工情報について」ということで、ここで、法案上は復元できないという表現があると。確かに、これをそのまま読んでしまうと、簡単に復元できないということにこだわり過ぎると、どこまでもこの取り組みというか、その重みが増してくる。その辺のあんばいというか、その辺をどのような形で今後捉えながら整理をする必要があるかということなんですけれども、宇賀参考人と坂本参考人にも、この件についての見解についてお聞かせ願えますでしょうか。

 

○宇賀参考人 私、かつて、内閣府の統計委員会の委員をしておりましたときに、匿名データ部会に所属しておりました。

 

 統計法では、匿名データを作成する場合に統計委員会の意見を聞くということが義務づけられておりまして、そのときに、匿名データをつくるときに、一方で、個人が識別されないようにするという必要がございます。他方で、余りにもそのためにさまざまなデータを削除していきますと、今度はそれが統計情報として役に立たないという問題が出てくるわけです。

 

 そこで、その部会では、統計学者の方々の御意見を聞きながら、ここまでやらないと危ない、しかし、逆にここまでやってしまうともう統計上のデータとして研究に役立たない、そういったことを両方をバランスをとりながら、ではどの程度どういうやり方で匿名データを作成しているかということをそこで判断してきました。

 

 同じ問題がこの匿名加工情報にもあるというふうに思っておりますので、一方で社会通念から見て復元できないような形に持っていく必要がありますけれども、逆に匿名加工情報としての利用価値ということも考慮に入れて、適切なバランスをとっていくということが必要かと思います。

 

○坂本参考人 今、宇賀先生もおっしゃられたとおりなんですけれども、何でもかんでも消してしまえばいいかというと、そうでもないんですね。その必要もないし、それでは役に立たなくなる。

 しかも、匿名加工情報というのは個人情報の中から識別できるようなものを取り除くという作業なので、きょう私が配付しているレジュメの私の名前をマジックで消したら、匿名加工情報をつくったのではないか、これは技術基準に適合しているのではないか、適合していないのではないか、こんなばかげたことを心配しなくていいように、きちっと適切に個人情報保護委員会なり何なりで明確に定めてほしいというふうに思います。

 

○輿水委員 どうもありがとうございました。

 

 では、最後に質問をさせていただきますが、やはり今回、今お話があった個人情報保護委員会、この役割というのは本当に大きいなというふうに感じるわけですけれども、それぞれのお立場で、この個人情報保護委員会、理想的な委員会のあり方、先ほど寺田先生から、民間のいろいろな力も活用した、アメリカでのセーフハーバー型共同型、そういった提案もいただいたんですけれども、どういった形がある程度理想的なものなのか、またこういったものを目指すべきだという、その個人情報保護委員会のあり方について一言ずつ御示唆いただけますでしょうか。

 

○宇賀参考人 今、国際的にプライバシーコミッショナーの、国際データ保護プライバシー・コミッショナー会議というのがございます。我が国では、これまで、そうした第三者機関がなかったことから、消費者庁がオブザーバーとしての参加は認められておりましたけれども、正規のメンバーとして認められていなかったわけです。今回、個人情報保護委員会という第三者機関ができますと、恐らく、ここに正式なメンバーとして参加することができるようになります。そうしますと、さまざまな国際的なこうした個人情報の保護に関するルールづくりに日本が積極的に参加できるようになります。

 

 私は、この個人情報保護委員会が、今後、国際的にもこうしたルールづくりでイニシアチブをとっていくような、そういうものに成長していくということを強く期待しております。

 

○長田参考人 今の宇賀先生に加えまして、普通の国民の目線も忘れずに、個人情報の保護のルールづくりのときもそうですし、また周知、広報、それから、その他いろいろな教育の場面でも力が発揮できるような、ある程度きちんとした規模を持つ委員会であってほしいと思っております。

 

○寺田参考人 お二人に加えまして、さらに、非常に新陳代謝が重要になってくる委員会だと思っています。どんどん新しい考え方であったりとか技術が出てきます。特に、今ここで問題になっている個人情報というのも、三十歳代から上からいくとほとんどネガティブ世代という形で保護側に寄ってしまいますが、十代、二十代前半の方たちはどちらかというとポジティブ世代で、これがあるのが当たり前ということを前提にしてどうしていくのかというふうに考えていく世代と、大きく変わってきます。そういったところにもしっかりと追いついていけるような、新陳代謝ができる委員会になっていただきたいと思っています。

 

○坂本参考人 今皆さんおっしゃられたとおりなんですけれども、さらにつけ加えるとすると、やはり予算と人員を潤沢に、きちっとしないといけない仕事をできるだけの予算と人員を投入する、これが不可欠だと思います。

 

 聞くところによると、スクラップ・アンド・ビルド原則に縛られて、ここに人員、予算をとってくるには、こっちを削ってこっちに回すという作業を苦心してなさっているように聞きますけれども、新しい個人情報保護委員会が今できるときに、余りそこにかかずらわって、もうとってくるところがないからこれだけしかできませんでした、こういうふうになったら非常によくないと思いますので、予算と人員をぜひ確保していただきたいというふうに思います。

 

○輿水委員 大切な御意見、本当にありがとうございました。

 

 以上で質問を終わらせていただきます。