【内閣委員会】個人の情報守れるか/法改定案を批判

 個人情報保護法改定案についてただしました。

 昨年発覚した、就職情報サイト・リクナビが就活生の閲覧記録を分析し、内定辞退率を本人の同意なく採用企業に販売していた問題。

私は、個人情報を分析し、評価・選別を行うプロファイリングから、同改定案で個人の権利を守れるのかと質問。

 衛藤晟一個人情報保護担当相が「権利利益を害するおそれがある場合」も本人が事業者に利用停止請求等が可能になると答弁。

 私は答弁に対し、利用停止が可能になる「おそれ」の要件が不明確で、しかも「おそれ」があると第一義的に判断するのは事業者であり、実効性がないと批判しました。

 また、「忘れられる権利」やプロファイリング規制などが必要だと強調しました。


衆議院TV・ビデオライブラリから見る


「議事録」

<第201通常国会 2020年5月22日 内閣委員会 13号>

○塩川委員 日本共産党の塩川鉄也です。
 個人情報保護法改正案について質問します。
 まず最初に、当委員会の審議でも大きな議論となった黒川東京高検検事長の人事の問題について、内閣の一員としての衛藤大臣に質問をいたします。
 衛藤大臣、この黒川弘務東京高検検事長が、かけマージャンをしていたことを認め、辞表を提出し、政府としてもそのことを決定しました。安倍内閣は、余人をもってかえがたい、公務に重大な支障を来すとして、東京高検検事長である黒川氏の定年を延長する閣議決定を行いました。このような閣議決定を行った内閣の一員として、その責任が問われていると思いますが、大臣はどのように受けとめておられますか。
○衛藤国務大臣 昨日、総理からも、法務省、検察庁において人事の請議がなされたわけだが、最終的には内閣として決定するので、当然責任があるとの発言をされておられますとおり、私も、内閣の一員として、責任の一端は当然あると考えております。
○塩川委員 責任があるというのでも、言葉だけで言われても困るわけで、かけマージャンで同席をしていた新聞記者の発言でも、報道を見れば、緊急事態宣言が出ていた四月にも二回、五月と合わせると四回、金銭をかけて黒川氏とマージャンをしていた。四人は、この三年間に月二、三回程度の頻度でマージャンをしていたという話であります。
 緊急事態宣言の期間は、まさに、この国会で、当委員会で、検察庁法の審議が行われていたときであります。黒川氏がかけマージャンを行った五月の十三日というのは、直前に与党が法案の採決を提案をし、緊迫した情勢の中で審議が行われ、検察官定年延長の要件について、武田大臣がまともに答弁できずに審議が中断した、そういうさなかの日だったわけであります。
 検察官として全く前例のない定年延長を強行し、その法的根拠を説明できずに、法律の解釈変更までしてごり押しをし、さらには、法律そのものさえ後づけで書きかえようとした。その人事の結果がかけマージャンかよというのが問われているんじゃないでしょうか。
 かけマージャンは賭博罪に問われます。黒川氏が法務事務次官だったときに、カジノの違法性を阻却をする決定を行って、そのもとでカジノ法案が国会に提出をされ、強行された。こういう経緯もある中で、カジノのうさん臭さを明らかにするものではないでしょうか。
 こんな人物を、閣議決定までして、なぜ東京検事長にしたのか、その点についてはいかがですか。
○衛藤国務大臣 なぜと言われましても、これは人事のことでございまして、とりわけ、また法務・検察にかかわる人事のことでありますから、私からコメントできることはありません。
○塩川委員 内閣の一員としての責任があるとおっしゃっているわけですから、そのことも含めてしっかりと受けとめるべきであります。
 そもそも安倍総理の任命責任が問われる話であり、法案の撤回、閣議決定の撤回を求めたい。
 この間、安倍内閣においては、日銀の人事、NHKの人事、内閣法制局の人事、そして検察庁の人事など、人事権行使を通じて、国政の私物化が問われるような問題がある。こういったことをきっぱりと改めさせる、これこそ国民の声だということをしっかりと受けとめるべきだ、このことを申し上げ、法案について質問をいたします。
 大臣、個人情報保護を考えた際に、やはり、この間、GAFAやBATなどと言われるデジタルプラットフォーマー、この巨大なデジタルプラットフォーマーの経済社会への影響力が大変大きくなっている。こういったデジタルプラットフォーマーの影響力の大きさについて、政府として、大臣としてはどのように認識、評価をしておられるのか、この点についてまず伺います。
○衛藤国務大臣 委員御指摘のとおり、GAFAやBATのようなデジタルプラットフォーマーの経済社会への影響力は大変大きく、また、近年、増していると考えています。
 こういった事業者は、個人情報の利活用をそのビジネスの中核としていると認識しており、個人情報保護委員会を担当する大臣としては、個人情報が適正に取り扱われ、個人の権利利益が保護されているかという観点からも関心を持っているところでございます。
○塩川委員 大変そういう個人情報の利活用をビジネスの中核にしているという企業等、事業者ということで、そういう点では、域外適用の問題なんかも当然今回の措置としてあるわけですけれども、その巨大さというのは大変大きなものがあるわけであります。
 二〇一八年のデータで見ても、売上げだけで見ても、グーグルが十三兆円、アマゾンが二十三兆円、アップルが二十六兆円、フェイスブック五千六百億円。また、利用者数でも、実際公表しているデータそのものが非常に限られているわけですけれども、フェイスブックの利用者を見ても、全世界で月間二十六億人とか、国内においては、二〇一七年の数字で二千八百万人とか、大変大きな利用者があって、そういう中での膨大な個人情報の集積、集中が行われている。それをもとにしたプロファイリングやスコアリングなどを始めとした、ターゲティング広告などを含めたさまざまなビジネスモデルとして収益を上げる。そういうときに個人の権利保護がどうなっているのかというのは、まさに焦点の問題だと思います。
 個人の尊厳に係るプライバシー権、みずからの情報をコントロールする権利が侵害される危惧が高まっているときに、このような権利侵害の危険性について、権利保護が適切に実施されてきたのかが問われております。
 そこで、このような個人情報の利活用のビジネスモデルがプライバシーを侵害する、そういう懸念が顕著にあらわれた事例の一つがリクナビ問題ではないでしょうか。
 リクルートキャリアは、就活生の閲覧履歴などを分析をし、約九万人分の内定辞退率をスコア化し、採用企業一社当たり四百万円から五百万円で内定辞退率を販売していたということであります。しかも、その学生らの内定辞退率を購入したのが、トヨタや三菱電機を始めとする名立たる大企業三十五社だったということも、社会に大きな衝撃を与えました。
 リクナビや購入企業らは、選考に利用することはなかったと主張しているが、それを信用しろというのは、なかなかにわかにそんなことは受けとめられないというのが多くの方の受けとめではないでしょうか。
 リクナビ問題が、学生たちの就職活動、人生に不利益をもたらす影響を与えてしまった可能性というのは否定しようがない。こうした個人情報を評価、格付をするスコアリングやプロファイリングなどに対して、個人の権利を守るための規制が強く求められています。
 そこで、お尋ねしますが、EU、GDPRでは、異議申立ての権利など、プロファイリング規制やデータの消去権、忘れられる権利などを基本的な人権として確立をしております。改正案は、プロファイリングをどのように規制しているのか、また、忘れられる権利を保障するものなのか、この点について、大臣、お答えください。
○衛藤国務大臣 ただいま御指摘いただきましたプロファイリング、忘れられる権利に関しては、今回の改正において、利用停止、消去等の要件の緩和、不適正利用の禁止、第三者提供記録の開示、提供先において個人データとなることが想定される情報の本人同意等といった規律を導入することとさせていただきました。
 これらの規律は、個人情報に係る個人の権利利益を保護してほしいという個人からの要請に相当程度従うものというぐあいに考えているところでございます。
○塩川委員 個人情報保護法は、不正取得があった場合や権利侵害のおそれがある場合など、利用停止の条件は狭く設定をされています。その点で、GDPRでは、本人が同意を撤回した場合や、データの収集が目的に照らして必要なくなった場合など、消去権、忘れられる権利を広く認めている、こういう違いがあるということをしっかりと見ておかなければいけないと思います。
 次に、改正案の三十条では、権利利益を害するおそれがある場合に利用停止を認めておりますが、そのおそれというのは何なのか、また、十六条の二では、不当な行為を助長するおそれがある方法で個人情報を利用することを禁止するとありますが、そのおそれとは何か、この点について、大臣、お答えください。
○衛藤国務大臣 本法案によりまして新たに禁止することといたしました、不当な行為を助長し又は誘発するおそれがある場合について、例えば、違法な行為を営む業者に個人情報を提供することが想定されます。
 また、利用停止等の請求の対象となる本人の権利又は正当な利益が害されるおそれがある場合としては、例えば、本人の意思に反して事業者がダイレクトメールを繰り返し送付している場合等が考えられます。
○塩川委員 おそれは何かといった場合に、その定義の話じゃなくて、例えば、例えばの話になっているわけなんです。
 法律上の要件が不明確だ、また、利用停止を求めても、そのおそれがあるかどうかを第一義的に判断するのは事業者となっている、この点でも、法律の実効性が担保されていないと言わざるを得ません。
 それで、リクナビの経緯を見ても、二〇一九年当時にリクナビが掲載していた利用規約には、行動履歴等を分析、集計し、採用活動補助のための利用企業等への情報提供のために利用すると書かれていただけで、内定辞退率を算出して採用企業に提供することなど、まさか想像できないということだったわけであります。これでは、やはり利用停止を求める以前に権利利益が害されるおそれがあることを知りようもない、このことを指摘をせざるを得ません。
 次にお尋ねしたいのが、内定辞退率を採用企業に提供するというリクナビのような行為は、学生の就職活動に不利な影響を与えるおそれがあります。
 リクナビのような事例は、十六条の二で禁止する不当な行為を助長するおそれとして禁止されるんでしょうか。
○衛藤国務大臣 法は遡及適用されるものではないため、過去の事案について仮定の当てはめを行うことは適切ではないと思いますが、その上で、一般論として申し上げれば、法令に違反することを認識しているような場合において、違法行為を助長し又は誘発するような個人情報の取扱いを行うことは、不適正な利用に該当する場合があるものと考えております。
○塩川委員 やはりリクナビの問題で具体的にどうなのかということをしっかりと検証することが必要だと思います。
 リクナビの問題では、約九万五千人の内定辞退率が算出され、採用企業に提供されております。そのうち約二万六千人は、第三者提供の同意を得ていなかったと問題となりました。しかし、残りの約七万人は、内定辞退率の第三者提供に同意したと言えるのか。こうしたわかりにくい同意取得が問題ではないのかと言わざるを得ません。
 現行法では、利用目的は通知又は公表すればよいとしておりますが、プロファイリング等も含めて、個人情報を取得、利用する際は事前に本人の明確な同意をとる、こういう仕組みにするべきではないかと考えますが、大臣、いかがでしょうか。
○衛藤国務大臣 御指摘のとおり、リクナビ問題においては、個人データの第三者提供に係る説明が明確ではなかったという問題がありました。そのため、本人が同意に係る判断を行うために必要とされる合理的かつ適正な範囲の内容を明確に示すことを今回求めたものであります。
 また、本事案を踏まえまして、本法案においては、本人関与のない個人情報の収集方法が広まることを防止するため、出し手側では個人データでなくても、受け手側で個人データとなることが想定される場合は、本人同意を前提とするなどの規律を課すことといたしました。実効性を得られるように、運用についても我々は頑張ってまいりたいというように思っております。
○塩川委員 企業は、個人情報の利活用について、本人にわかるような説明をしていないわけです。事前に本人の明確な同意を得る、そういう仕組みこそ最も担保をするということを指摘をしておきたいと思います。
 それで、今回の改正で利用停止を拡大したといいますが、そもそも個人情報の定義が狭いのではないかという問題があります。
 閲覧履歴等を保存するクッキー等は、個人情報の保護対象となっておらず、事業者には説明責任がなく、権利侵害のおそれがあっても利用停止を求められない。閲覧履歴等を分析すれば、病歴や思想、信条など、要配慮個人情報であっても、本人の同意なく取得、推測し、利活用できる、この点が法律の抜け穴となっている。
 大臣、このような問題について、GDPRのように、保護の対象とすべきではないでしょうか。
○衛藤国務大臣 現行法でも、事業者が閲覧履歴などのクッキー等を特定の個人を識別できる形で取り扱っている場合は個人情報となり、個人情報保護法上の規律に服することになります。
 今回の改正では、それに加えて、個人関連情報に関する規律を導入をし、提供元では個人データに該当しないものの、提供先において個人データになることが想定される情報について、あらかじめ本人の同意を取得することを求めるということにさせていただきました。
○塩川委員 第三者提供の一部の規制ということですけれども、逆に言えば、第三者提供の一部しか規制しないということであります。クッキーが個人情報に該当しないと整理をしている以上、事業者は説明責任を負わないし、利用停止に応じる義務もない。これでは保護につながらないと言わざるを得ません。
 そもそも、日本の個人情報保護法のペナルティーについては、非常に弱いということも指摘をされてきているわけです。やはり抑止力を働かせていく、そういう点で、アメリカなどもそうですけれども、GDPRのペナルティーと比べて、日本の個人情報保護法の罰則というのは極めて不十分ではないのかと思いますが、大臣はいかがですか。
○衛藤国務大臣 御指摘のとおり、GDPRでは、法違反の場合には、制裁金として、二千万ユーロ、約二十四億六千万とか、又は、世界全体における年間売上総額の四%のいずれか高い方を上限として制裁金を課せられることがあるというぐあいに承知をいたしております。
 一方、今回の我が国での改正では、昨今の違反事案の増加等の事由を踏まえまして、罰則の法定刑を引き上げることとしたものであります。
 例えば、法人と個人の資金格差等を勘案して、法人に対してはより重い罰金刑を科せられるようにしております。法人に対して、一億円以下の罰金を科すものというぐあいにいたしております。個人の場合は、委員会の命令に対する違反行為があった場合は、一年以下の懲役又は百万以下の罰金というぐあいになっております。
 これは、GDPRに比すれば軽いんじゃないかということも言われますけれども、我が国の類似する他の経済事犯と同等のレベルでありまして、妥当なものではないかというぐあいに考えております。
○塩川委員 いや、日本国内のペナルティーとの関係でそれなりの水準という話じゃなくて、やはり国際的に、まさにGAFA、BATなどが問われているような、グローバルな経済活動を行っているようなデジタルプラットフォーマーを想定したときに、GDPRに比べて、GDPRのお話があったように、今、二十四億円とか世界の売上げの四%とかになっている。それに対して、日本が、新たにつけ加えたにしてみても、法人に対して一億円というのは余りにも小さ過ぎるんじゃないかというのは、そのGDPRとの比較でそうは思いませんか。
○衛藤国務大臣 御指摘の中で、当然、我々は、グローバルスタンダードの観点から、OECDプライバシーガイドライン等の共通の考え方を示しております。
 そういう中で、EUのGDPRについて言えば、当委員会で、個人情報保護法に基づき、個人情報の保護のレベルが日本と同等であるものというぐあいに今作業を行っているところでございまして、そういう中で、昨年一月に欧州委員会において、GDPRの規律に照らして、我が国の個人情報保護法の規律が十分なレベルの保護をやっているかどうかとか、そういういろいろな個人データのまた越境移転に関する認定の決定を行っているということで、今、努力をしているところでございまして、交流も入れて、盛んにお互いの検討をし合っているところでございます。
 まずはここからいって、そして、国際的なレベルに、グローバルスタンダードにするためにどうやっていけばいいのかということについて、ともに考えていきたいというぐあいに思っております。
○塩川委員 権利保護や制度について整合性という話でしょうけれども、そもそも、想定されるのは、グローバルな経済活動をやっているデジタルプラットフォーマーなんですよ。そういうのに対して、やはり、一方はペナルティーをしかるべくかける、それに対して軽過ぎる、このアンバランスということ自身が問題となってくるんじゃないのかということを言わざるを得ません。
 このような、利用停止を拡大したとか罰金を引き上げたとか、いろいろ言いますけれども、どれも極めて不十分なものであります。
 安倍政権がデジタル市場のルール整備を掲げていますが、デジタルプラットフォーマーなどによるプロファイリングなどを通じたプライバシーの侵害のリスクに対して、率直に言って、この程度の個人情報の保護制度では十分だと言えないと率直に思いますが、大臣はいかがですか。
○衛藤国務大臣 情報通信技術の大変な進歩の中で、そして、GAFAのような巨大プラットフォーマーが活動している、あるいは、中国においてもそういうグループがありますけれども、そういう中で、日本は、今、やはりこの個人情報の保護とそれから利活用ということをちゃんとやっていかなければ全体に乗りおくれるということで、おくれてきた部分を今回取り戻すべく、改正法を施行しましたし、また、そういう中で、日本の立場として主張すべきものを主張していきながら、グローバルスタンダードをつくり上げることの一角を担ってまいりたいというように思っています。
 そういう意味では、こういう交流も続けながら、そして、保護も確実にできるという立場をつくってまいりたいというぐあいに思って、今、懸命に努力している最中でございます。
 そういう中で、大きな一歩として今回の改正案があると位置づけています。引き続き、必要なものの検討はしてまいらなければいけないというぐあいに自覚しているところでございます。
○塩川委員 そうはいっても、極めて不十分な中身になっている。事前のいろいろな協議の中では課題となっていたものについても、それを盛り込まないといった法案に向けての動きもありました。
 そういう点で、経団連や新経済連盟など経済界から、正当な事業活動を阻害することが強く懸念されるなど、国民の権利保護の拡大を抑制する強い要請があったというのが背景としてあるんじゃないでしょうか。安倍政権が成長戦略にデジタル市場のルール整備を位置づけて、個人情報保護委員会が財界の要求を優先したために、本改正案は極めて不十分なものとなったということを言わざるを得ません。
 そもそも、経団連が権利保障の拡大に反対する資格はない。リクナビから内定辞退率を購入していたのは、経団連の主要な役員企業だった。しかも、学生への謝罪はおろか、購入していたことを隠し通していた企業もあったわけであります。現行法の規制がいかに守られていないかは、購入企業三十五社に行政指導を行った個人情報保護委員会が一番よく知っているはずで、それにもかかわらず、こういった経済界の要求を丸のみする委員会の姿勢が余りにも情けない、個人の権利を軽視している大企業にこそ、しっかりとした権利保障を求める規制、ルールづくりが必要だ、このことを申し上げて、質問を終わります。