川崎市個人情報保護条例・・要配慮個人情報、匿名加工情報などを外部に提供
12月7日、川崎市議会12月議会で日本共産党の代表質問が行われ、「川崎市個人情報保護施行条例」について質疑が行われましたので、紹介します。
◎質問
議案第167号「川崎市個人情報の保護に関する法律施行条例の制定について」です。
デジタル社会の形成を図るために、個人情報保護法、行政機関の保有に関する個人情報保護に関する法律、独立行政法人等の保有する個人情報保護に関する法律を統合するとともに、地方公共団体の個人情報保護制度について、統合後の個人情報保護法において全国的な共通ルールを規定し、その所管を個人情報保護委員会とし、地方公共団体は個人情報保護法施行条例として整備されることになりました。7月に川崎市情報公開運営審議会から答申が出され、それに沿って今回の議案が出されました。
現行の川崎市個人情報保護条例は、1985年6月に政令市では全国第1号として制定され、他の自治体の見本となり、数々の先駆的な規定を持っています。全国に先駆けて制定した川崎市の個人情報保護条例の先進的な保護規定をいかに守っていくのかが問われています。
条例の目的についてです。
国の個人情報保護委員会は「個人情報の保護と利用のバランス」「個人情報の保護と利活用の両立を図る」ことが法改正の目的であるとし、専門家からは利活用を優先し個人情報保護の後退を危惧する声が上がっています。利活用よりも個人情報保護を優先させる趣旨を目的に定める必要があります。現行の条例には「個人情報を保護することが個人の尊厳の維持を図るために必要不可欠である」として「市民の基本的人権を擁護することを目的とする」としています。現行の条例にあるような目的を施行条例にも取り入れるべきです、市長に伺います。個人情報の保護の目的を後退させないように、利活用よりも個人情報保護を優先させるべきであると思いますが、市長の見解を伺います。
要配慮個人情報についてです。
改正法は60条5項で「本人に対する不当な差別、偏見その他の不利益が生じないように特に配慮を要するものとして地方公共団体が条例で定める記述等が含まれる個人情報」を定め、改正法が明記する「要配慮個人情報」に該当しない「条例要配慮個人情報」を条例で定めることができるとしています。答申でも条例要配慮個人情報として定め、「国が示している事例に限らず、慎重かつ広範に検討を進めていくことが適当」と述べています。国が要配慮個人情報に明記していない事例についても、必要に応じて条例等で要配慮個人情報に加えるようにすべきです、伺います。
本人からの直接取得についてです。
改正法には個人情報を本人から直接取得することを原則とする規定はありません。現行の条例の第10条で「個人情報を収集する場合は、本人から直接収集しなければならない」としています。個人情報は本人のものであり、自己情報コントロール権を保障するために、本人からの直接取得を原則とする規定を条例等に設けるべきです、伺います。
個人情報の目的外利用、外部提供の制限についてです。
現行条例では「利用目的の範囲を超えた保有個人情報の利用(目的外利用)をしてはならない」と規定しています。目的外利用、外部提供についても「市長への届け出」「本人通知」、外部提供者に対して「利用、方法の制限をつけて、その漏洩の防止など適切な管理のための必要な措置を講ずること」としています。答申でも「引き続き審議会において、目的外利用等に係る基準表を定めて運用を行い、保有個人情報の取扱いについて慎重な配慮を行うべき」としています。今回の改定条例に目的外の利用や外部提供について、自治体で独自に審議会において基準を定めるなどの措置はあるのか、伺います。現行条例にある「市長への届け出」「本人通知」、「外部提供者に対する制限や必要な措置」などを規定しているのか、伺います。
オンライン結合についてです。
現行の条例では「川崎市以外のものとの間において通信回線による電子計算機の接続をして保有個人情報の処理は行わない」としています。答申でも「個人情報の適正な取り扱いを確保するため、事前の監査や審査の実施、市長への届け出書類の提出、必要に応じて審議会に報告するなどの手続きを定めることが適当」と述べています。事前の監査や市長への届け出、審議会の関与など、オンライン結合を制限する規定を設けるべきです、伺います。
審議会への諮問、権限についてです。
現行条例では、要配慮個人情報の取得、本人以外からの個人情報の取得、個人情報の目的外利用・外部提供、オンライン結合の場合などについて原則禁止とし、その例外規定として個人情報保護審議会に諮問し、その答申を経るなどして個人情報の適切な管理に努めてきました。答申でも「特に必要であると認める場合には、引き続き、審議会へ諮問することが適当である」と述べています。審議会は、個人情報の保護を専門的知見からチェックするとともに、住民自治の観点から主権者である住民が参加して自治体の個人情報の取扱いを監視する機関としても重要な役割があります。審議会を形骸化させず、個人情報保護をめぐる重要な案件については、できる限り審議会への諮問等を行うようにするべきです、伺います。
匿名加工情報の提供についてです。
改正法により行政機関匿名加工情報制度の導入が、都道府県と政令指定都市に義務付けられ、川崎市は導入せざるをえなくなりました。どのような匿名加工情報が審査基準をクリアするのかについては自治体が審査をして決めることとなっています。自治体において厳格かつ公正な審査が行われるようにするために参照基準を審議会が策定するなどの措置が必要です。答申でも「参照基準を審議会として策定することにより、審査の公平性を担保するものとすることが適当である」としています。参照基準を審議会が策定するなどの措置を取るのか、伺います。
◎答弁(市長)
個人情報保護制度は法律に一元化されますことから、法律とは別に条例に目的を定めることはできませんので、個入清報を適正に取り扱うための措置を条例に定め、個人の権利利益を保護することが、現行条例の目的である基本的人権の擁護につながるものと考えているところでございます。
次に、個人情報保護の優先につきましては、行政機関等匿名加工情報の提供制度の導入など、法に定められた利活用を進めることとなりますが、法においては、これまでと同様に個入盾報の有用性に配慮しつつ、個人の権利利益を保護することを目的としているところであり、本市も、こうした法の趣旨を踏まえ、個人情報を適正に保護してまいります。
◎答弁(総務企画局長)
条例要配慮個入情報につきましては、法において、地域特性等の事情があることが要件とされていることから、本市におきましては、条例要配慮個入盾報を定めないこととしたところでございます。
次に、個入恬報の原則本人からの取得につきましては、条例にその定めを置くことは認められないとされているところでございます。本市としましては、本人以外から取得する場合につきましても、「個人情報の保有の制限に関する規定」、「不正な手段等による取得を禁じた規定」などの法の趣旨を踏まえ、個人情報の取得を適切に行ってまいります。
次に、個人情報の目的外利用、外部提供につきましては、本市において窓意的な運用とならないよう、条例ではなく運用における基準として、目的外利用等ができる場合を定めた基準表を川崎市情報公開運営審議会で策定いただくことを検討しているところでございます。また、「市長への届出」については、引き続き規定し、「本人への通知」については、条例にその定めを置くことは認められないとされており、「外音肘是供者に対する制限や必要な措置」については、法において定められているところでございます。
次に、オンライン結合につきましては、「事前の監査の実施」、「個入清報の取扱いに関する事項の市長への届出」、及び「それらの内容の審議会への報告』により、オンライン結合の安全性の確認を行ってまいります。
次に、審議会の役割につきましては、法では、個入盾報の取得、目的外利用等について、類型的に審議会への諮問を要件とする条例を定めることは認められないとされておりますが、個別の事案について疑義がある場合には、個人情幸畏保護委員会に助言を求めることとし、また、条例の制定・改廃、地域の特性に応じた保護措置を講じる場合などの重要な案件につきまして諮問事項とすることを条例で定めるものでございます。
次に、行政機関等匿名加工情報につきましては、審議会の答申において、新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものか否かに係る審査について、公平陛を担保するため、参照基準を策定することが適当とされたところでございまして、審議会において策定いただくことを検討しているところでございます。
◎再質問
条例の目的についてです。
「現行の条例にあるような目的を施行条例にも取り入れるべき」との質問に対して、「法律に一元化されることから、条例に定めることはできない」という答弁でした。しかし、改正法の目的は「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」というだけです。これでは利活用の有用性の配慮のために個人情報保護を後退させることも考えられます。現行条例では、「個人情報を保護することが必要不可欠」、「市民の基本的人権を擁護することを目的とする」と明確に規定しています。この目的を条例上、または運用上どのように保証するのか、伺います。
本人からの直接取得についてです。
答弁は「条例に定めを置くことは認められない」というものでした。また、目的外利用、外部提供についても「本人への通知」は「定められない」という答弁です。しかし、憲法13条に基いた「自己情報コントロール権」、すなわち住民は自分のどんな個人情報がどこに集められているかを知り、不当に使われないように関与し、その情報の削除を求める権利を有するとされています。この権利・規定により、現行条例でも、本人からの直接取得を基本とし、目的外利用・外部提供は原則禁止としてきました。条例に定めることができないとすれば、どうやってこの原則、自己情報コントロール権を保証するのか、伺います。
匿名加工情報の提供についてです。
改正法により行政機関匿名加工情報制度の導入が、義務付けられましたが、いろいろな専門機関から、その危険性が指摘されています。イギリスの科学誌ネイチャーは、匿名化して公開されているアメリカ国勢調査局のデータの属性情報を使って検証。生年月日、性別、人種、学歴に加え、車の所有状況や住宅ローンなど15の属性情報を使うと99.9%の確率で個人を特定できたと発表しています。匿名加工情報を外部に提供しても個人が特定されない、安全だという保証はどこにあるのか、伺います。
◎答弁
個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としております。本市としましても、法に定められた個人情報の保護に関する措置のほか、「保有個人情報の管理責任者の設置」、目的外利用等に係る届出や公表」の定めを置くなど、個人情報を適正に取り扱うための手続を条例に定めて管理を行い、法の目的である個人の権利利益を保護することが、基本的人権の擁護につながるものと考えているところでございます。
次に、個人情報の本人からの取得につきましては、条例にその定めを置いておりませんが、「個人情報ファイル簿の公表」、「個人情報保護制度の運営状況の公表」の定めを置くなどにより透明性の確保を図るとともに、保有個人情報につきましては、開示請求、利用停止請求等の本人が請求できる制度を定めているところでございます。
次に、行政機関等匿名加工情報につきましては、法において、特定の個人の識別及び保有個人情報の復元ができないように加工して提供するものでございます。また、法は、提供を受けた者が、匿名加工情報に係る本人を識別する目的で、復元する方法に関する情報等を取得し、又は当該匿名加工情報を他の情報と照合するとことを禁止しているところでございます。