【内閣委員会】デジタル法案利活用優先/個人の権利強化こそ

 デジタル関連5法案に関する質疑で、個人情報の保護よりデータの利活用を優先する政府の姿勢をただし、個人の権利を強める方向への政策の転換を求めました。

 私は、国が整備して各省庁や自治体に使わせようとしているガバメントクラウドのデータに対するデジタル庁のアクセス権について質問。

 内閣官房の時沢忠内閣審議官は「データを所管する各行政機関がアクセス権を設定する。デジタル庁職員が見るのは不可能だ」としつつ「法文上に規定はない」と述べました。

 私は、デジタル庁が大きな権限を持つのに不透明だと懸念を示しました。

 また、政府が運営し、情報連携を強化しているウェブサイト「マイナポータル」を通じて、行政が持つ個人情報が外部で使われる懸念があると指摘し、その設置根拠をただしました。

 平井卓也デジタル改革担当相は「法律に規定はない」と認めたにも関わらず、「本人同意に基づき、国民が利便性を感じるものにどんどん広がっていく」と答弁しました。

 本人同意のあり方自体がいま問われている。利用者情報が中国の委託企業で閲覧できる状態になっていた対話アプリLINEを挙げて、細かい規約にまるごと同意しないと利用できず、サービス提供者の都合が優先されて本人同意が形式的なものになっている。事業者への規制を緩め、個人情報保護法をデータ利活用法に改悪してきたがゆえに生じた問題だと批判しました。

 平井氏が「消費者が判断することだ」と答えたのに対し、私は、自己情報のコントロール権の強化こそ必要だと強調しました。

 私は、個人情報保護委員会について、生産性向上特措法の規制の「サンドボックス」(一時凍結)制度でも活用するデータの中に個人情報が含まれる場合には個人情報保護委員会と事前協議することになっていたのに事務局任せで形骸化していると述べました。


衆議院TV・ビデオライブラリから見る


「議事録」

<第204通常国会 2021年3月19日 内閣委員会 11号>

○塩川委員 日本共産党の塩川鉄也です。
 今日は、最初に、ガバメントクラウドについてお尋ねをいたします。
 国、自治体の行政情報システムが置かれるというガバメントクラウドはどのようなものになるのか、そこには、データそのものはどこに置かれるようになるのか、この点について簡単に御説明いただけますか。
○時澤政府参考人 お答えいたします。
 ガバメントクラウドでございますけれども、今、デジタル庁が整備し、各省庁や地方公共団体が利用するということを想定しておるわけでございますけれども、個々の業務システムに関するデータも格納するというものでございます。
○塩川委員 十七日の質疑の中で、公文書管理のやり取りの際に、日々の行政文書を作成、保存するための政府の基幹的な情報システムをデジタル庁が整備をする、紙媒体だと一つの行政文書が存在することになるが、クラウド上の電子情報になると関係機関が共有することになると述べておりました。
 そうしますと、ガバメントクラウドを利用してそれぞれの業務を行う職員が、どこまでデータにアクセスできるんでしょうか。
○時澤政府参考人 ガバメントクラウド上でのデータへのアクセスでございますけれども、このデータのアクセス権限は、データを所管する行政機関がそれぞれを設定するということでございます。
 当該データが格納されるクラウド上の領域におきましては、他のデータが格納される領域と論理的に分離することとしております。
 このため、従前と同様に、データを所管する行政機関以外には当該データにはアクセスすることができないものでございます。
 また、ガバメントクラウドの実装に当たりましては、最新かつ最高レベルのセキュリティーアクセス制御技術を持つ複数のクラウド環境を採用することといたしておりまして、分散管理や不正アクセス防止策は現行システムよりも高度になるものと見込んでいるものでございます。
○塩川委員 デジタル庁は、ガバメントクラウドの統括、監理を行い、国の情報システム予算の一括計上、予算配分を行うとしております。そうであれば、デジタル庁職員は、このガバメントクラウド上にある他省庁や自治体のデータにアクセスできるようなことになりはしないか。この点、いかがでしょうか。
○時澤政府参考人 先ほども御答弁申し上げましたように、データを所管する行政機関がそれぞれアクセス権限等を設定をいたしますので、デジタル庁の職員がそれを見るというようなことは不可能だというふうに考えております。
○塩川委員 データを所管する省庁にということですけれども、これは何か法的な担保という形のものというのはあるんでしょうか。
○時澤政府参考人 法的な担保というよりも、そのようなものを目指してということでございまして、例えば、政府によるクラウドセキュリティー評価というのがございます、ISMAP、これの評価、登録を受けたクラウドサービスを使うということとか、あと、所管の、国内とかというのもありますけれども、先ほど申し上げましたように、データをそれぞれ論理的に分離するということで、分散管理をするということで高い機密性を確保する、あるいは専用回線でセキュリティーを確保するというようなことを考えているところでございます。
 法的という、法律によるものということでは、法律にはございません。
○塩川委員 そういう意味では、ガバメントクラウドという新しいものをつくる、そういった点については、法文上、ガバメントクラウドそのものを何らか規定するような形になっておりません。もちろん、つくり込みで、いろいろな形でやるんでしょうけれども、やはり、こうやってデジタル庁が大きな権限を持つときに、法的な根拠がない形でのガバメントクラウドの在り方というのは非常に懸念があるということを、不透明さがあるということを指摘しておきたいと思います。
 もう一つ、マイナポータルの関係なんですが、政府が管理運営していますウェブサイトであるマイナポータルにおいて、本人が知らないところで行政が持っている自分の個人情報が外部で使われるんじゃないかという不安の声があるんですが、この点についてはどのように御説明をされているんでしょうか。
○冨安政府参考人 お答え申し上げます。
 今委員おっしゃいました、マイナポータルで自分の情報が外部の民間事業者等に提供されるというような話かと思います。
 マイナポータルにおきましては、御本人さんの意思によりまして、御本人さんの情報を民間事業者に提供できるというようなサービスを提供しております。マイナポータルは、ウェブ画面を通じて国民に各種のサービスを提供するだけでなく、順次、APIを開発、提供することによりまして、民間事業者や行政機関など様々なウェブサービス提供者と接続しサービスを提供するという意味で、利便性の向上に努めているところでございます。
 ただ、今申し上げましたとおり、あくまでも自分の情報を自分の意思により提供するということになっております。
○塩川委員 自分の意思ということで、本人確認や本人同意、その上で利用するという話だと思います。
 政府は、マイナポータルでの情報連携を強化しております。平井大臣も、今日もマイナポータルのプッシュ化、プッシュ型サービスという話もされておられました。プッシュ型サービスという場合については、そのプッシュする側が個人データを持っているから求められるであろうサービスを提供することができるということになります。
 そうしますと、マイナポータルはまだ入口ですから、その先に道がつながっているという格好でしょうけれども、マイナポータルを通じて、本人だけでなく、行政とか事業者はどこまでデータにアクセスできるのか、その辺はどういうふうになっているんでしょうか。
○冨安政府参考人 御答弁申し上げます。
 APIをマイナポータルは民間事業者に提供するわけでございますけれども、その適正を図るために、利用に関する規則及び利用規約を定めて、民間事業者の利用要件や手続を定めるとともに、システム上の安全管理処置を厳格に講じているところでございます。
 また、自己情報を提供するAPIの利用に当たりましては、民間事業者の利用要件や手続として、ただいま、どこまでの情報ということがございましたけれども、あらかじめ、利用目的、利用する自己情報についても審査いたしまして、目的に照らしまして必要な自己情報のみを提供するというふうにさせていただいているところでございます。
○塩川委員 目的外の利用はできないという話ですけれども、そもそも、このマイナポータルがどのようなサービスができるのか。これ以上はできないとか、こういったものを何らか定めているような法的な根拠はあるんですか。
○平井国務大臣 先ほども答弁にあったとおり、順次APIを開発、提供することによって、民間事業者や行政機関などいろいろなウェブサービス提供者と接続してそのサービスを提供していくということなので、将来どこまで広がるかということは、国民が利便性を感じるというようなものに関してはこれはどんどん広がっていくんだろうというふうに思います。
 ただ、このAPIによる個人情報の提供は、行政機関から本人に提供された自己の情報を自己の意思によって民間事業者に提供するものであって、個人情報保護法やマイナンバー法に提供の根拠となる具体の規定があるわけではないんですが、APIの民間事業者等への提供については、利用に関する規則及び利用規約を定めて、システム上の安全管理処置は非常に厳格に講じようというふうに思っています。
 そういうことで、あくまでも、先ほどのプッシュ型の話にしても、本人が望む場合ということですから、そういう意味で、あくまでも自分の同意に基づいて広がっていくものだと考えております。
○塩川委員 本人が望む、本人同意ということが前提だという話ですけれども、この後LINEの話もしますが、本人同意というのもいかなるものかという点は改めて問われるところだろうと思っております。
 政府のサービスでありながら、この法的根拠が示されない。個人情報を扱うサービスでありながら、マイナポータルは個人情報保護法の規制の対象にはならないですよね。
○冨安政府参考人 マイナポータルも行政機関、内閣府でございますので、行政機関個人情報保護法の対象になります。
○塩川委員 個人情報保護法の対象になる。(平井国務大臣「なります」と呼ぶ)はい、分かりました。
 そういったことも踏まえて、この制度設計の在り方そのものをしっかり見ていかなければならない、国民の不安、そういうようなことがあってはならないということを申し上げておきます。
 そこで、LINEの問題です。
 国内の月間利用者八千六百万人という無料通信アプリLINEの利用者の個人情報に中国の関連会社からアクセスできる状態になっていたという点で、極めて重大な問題であります。このLINEの問題について政府としてどうしていくのか、大臣から一言と、個人情報保護委員会の事務局から説明を求めたいと思います。
○平井国務大臣 個人情報保護上、外国の第三者への個人データの提供に当たっては、本人の同意を取得するか、日本の事業者が講じることとされている措置に相当する体制を提供先が整備していることを確認することが求められています。また、個人データの取扱いを別の事業者に委託又は再委託する場合には、委託元において、当該委託先等における個人データの安全管理について監督を行うことが求められています。
 本件については、個人情報保護委員会において、個人情報保護法の規律の遵守状況を含めて、事実関係の詳細について、Zホールディングス社及びLINE社に説明を求めていることを私も承知しております。
 ですから、国民からの関心も非常に高い、そして多くの方々が使っているということでございますので、個人情報保護委員会において迅速に対応してもらいたいと考えています。
○福浦政府参考人 私どもといたしましては、個人情報保護法上の規律の遵守状況を含めまして、事実関係の詳細につきまして把握すべく、Zホールディングス社及びLINE社に説明を現在求めているところでございます。その規律がちゃんと守られているかどうかという点をチェックポイントとして、今後チェックしてまいりたいと考えています。
○塩川委員 外国の第三者へのデータ提供の本人同意の問題、そして委託の問題、しっかりと明らかにしていくことを求めたいと思います。
 それで、本人同意の点で、LINEの利用規約を見てみますと、その中にLINEプライバシーポリシーというのがあって、それを開けるとずっと書いてあるわけですけれども、「お客様から同意を得た場合」、「お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転することがあります。」と書いてあります。しかし、そこだけでチェックするというわけではないわけですよね。全体で認めるかどうか。つまり、サービスを利用しようと思ったら、全体を丸、同意という形にしなければならない。
 こういう一まとめで本人同意を求めるやり方で本当にプライバシーが守れるのかと思うんですが、その点、どうでしょうか。
○福浦政府参考人 個人情報取扱事業者が本人の同意を取得する場合には、事業の性質及び個人データの取扱状況に応じまして、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。」という旨を私どものガイドラインで示してございます。
 私ども委員会としましては、本人が同意するに当たりまして適切な判断ができるように、今後とも、今申し上げたようなガイドラインの考え方を示していくとともに、不適切な事案に対しましては必要な監督を行ってまいりたいと考えてございます。
○塩川委員 大臣に伺いますが、大臣も、LINEはインフラだということもおっしゃっておられました。公共財という性格もあるんだということになりますと、それなりにプラットフォーマー側は非常に強い立場がありますから、個別の選択肢を示さないで一まとめで利用者に同意を強いる、こういうやり方がやはり不正常な事態につながっているんじゃないか、その点についてはどのようにお考えですか。
○平井国務大臣 プラットフォーマーというのはこれからすごい競争環境の中に置かれると思います。今回、Zホールディングス社が個情委の方に自らそういう状況を報告に行ったというのも、やはり、今後、LINEであるとか、今度新しいZホールディングスがやる、プラットフォーマーとしての信用がなくなるということを一番恐れたから報告に行ったのではないかと推察しています。
 ですから、多くの国民の皆さんがそれを信頼しなくなった途端に事業モデルとしては成り立たない時代というふうに考えているので、そこは各社、やはり競いながら、そういう国民からの信頼をいかにかち得るかということで、そこのところもやはり競争になっていくんだろうというふうに思いますし、あとは、個人情報保護委員会が適切にそういうものを監視していくということが非常に重要なのではないかと思います。
○塩川委員 個人情報の利用者、管理者の方にきちっと縛りをかけるというのを緩めてきているのが、この間の個人情報保護法制でした。そういったときに、やはり、そうではなくて、個人情報保護、プライバシーの権利、自己情報コントロール権、ここをしっかりと強化することこそ今必要なんじゃないか。そういう点で、サービス提供者の都合が優先をされて本人同意が形式的なものとなっている、こういう現状こそ見直すときだと思います。
 個人情報保護の立場で本人同意の在り方を見直す必要があるのではないかと思うんですが、いかがでしょうか。
○福浦政府参考人 先ほど申し上げましたとおり、本人同意につきましては、その在り方についてガイドラインでお示しをいたしております。当委員会としましては、本人同意が適切な判断の下で行われますように、今後とも、ガイドラインの考え方を示しますとともに、不適切な事案に対しましては必要な監督を行ってまいります。
○塩川委員 そのガイドラインが不十分なんじゃないかということです。データ主体の権利保護というのは国際標準となっていて、自己情報コントロール権というのはプライバシー権の中核だという話、昨日の山田参考人の話も伺って、なるほどと理解を深めたところであります。こういう立場での対応こそ求められている。
 あわせて、昨日の参考人質疑で山田参考人も指摘しておりましたが、データの集積が進み、利活用が進めば、システムが大きくなり、業務委託も拡大をし、重層下請構造にもなります。LINEの一端もそういうところに表れていると思います。これは、やはり漏えいの危険も高まり、保護義務の徹底が困難になる、こういう重層下請構造の実態というのはそういうものを生じさせるものではありませんか。
○平井国務大臣 さっきの、結局、下請構造とかそういうものもやはりオープンにしていくというのが非常に重要なこともあって、そういうことをやはりトータルで消費者というものは判断していくんだろうというふうに思います。
 ですから、使ってもらえるためには、やはりそのトラストをいかに国民の中で醸成していくかということですから、そういうことも含めて、各企業が法律に従い、またいろいろな規則に従いながら、また更に国民の納得を得られるようなやり方をやるということだと考えています。
○塩川委員 重層下請の話は民間だけの話じゃありません。国の情報システムでも起こっている問題でもあります。この間のCOCOAのアプリの開発の再委託もありましたし、日本年金機構のデータ入力業務の再委託の問題や、持続化給付金では、事業の再委託、丸投げという形での、これは在り方そのものの問題でもありますけれども。
 このような、やはり大きなこういう情報管理をする、大きな集中管理のシステムを更に大きくすると、こういった保護義務の徹底が困難になるというのは、まさに国の情報システムでこそ問われているんじゃないでしょうか。この点はどうですか。
○平井国務大臣 システムをより、大きさだけじゃなくて、いろいろなことを実現しようとすると、そういう、それぞれやはり得意分野を持っているいろいろなエンジニアを集めて、一つの新しい価値をつくるということになっていくんだろうと思います。
 そこで、やはり一番重要なのは、そういうプロジェクトをマネジメントしていく体制、そして、それをきっちりとつくっていくということにお金が今後、コストもかかっていくんだろうというふうに思います。
 ですから、たくさんの下請を使うということが悪いわけではなくて、それをきっちりと説明責任を持ってマネジメントできる、その体制をこれからやはり企業には求めていかなければならないと考えます。
○塩川委員 企業への説明責任はそれはそれで重要ですけれども、そのシステムの在り方の問題、重層下請構造を必然的に生じさせるような今のデータの集中のシステムの問題についてこそ、方向を示す必要があるんじゃないかと思うんですが。
○平井国務大臣 それは、システムのアーキテクチャーの問題と、その下請の問題とはちょっとレイヤーが違う話かなというふうには思うんですけれども。
 やはり、誰から見ても納得できるような形の、説明が得られるような開発体制をつくった上で、システム自体がどんどんどんどん下請に行くわけではないわけで、一つのシステムをつくり上げる過程でそういうことになるわけですから、そこら辺りは、先ほども申し上げましたけれども、全体のマネジメントと説明責任というものが更に強化されるべきだと思います。
○塩川委員 行政の情報公開、透明性の確保、これがやはり国民の信頼をつくっていく一番の土台だ、こういうことの取組の仕組みづくり、これこそ行うべきではないかということを指摘しておきます。
 それで、山田参考人のお話で、個人情報保護法の歴史を振り返っての説明がありました。第一世代である一九八〇年代のコンピューター上の行政機関保有情報に関する個人情報保護法。第二世代である二〇〇〇年代の個人情報保護法、行政機関個人情報保護法、独立行政法人個人情報保護法。そして、第三世代の、二〇一五年、それから二〇二〇年、昨年もあると思いますが、改正個人情報保護法というのは、実際上はビッグデータ活用法と指摘をしておられました。
 第四世代である今回の改正案は、一元化、自治体の上乗せ、横出し規制、オープンデータを押しつけるなど、まさにフルスペックで、利活用がしやすい個人情報保護法に変わる、こういう指摘をどう受け止めておられますか。
○平井国務大臣 改正後の個人情報保護法第一条は、改正前と同様に、法の目的について、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを規定しています。
 個人情報の有用性に配慮しつつというのは、要するに、情報を使わないことによる不利益というものもあるんだろうということだと思います。
 そして、今回、個人情報保護法の主たる目的が個人の権利利益の保護にあることを明示した上で、個人情報の有用性への配慮もこの主たる目的に付随するものであるという趣旨を示すものであるというふうに思います。
 この法律の目的に従いまして、個人情報保護とデータ利活用とのバランスの取れた社会全体のデジタル化が望ましいと考えております。
○塩川委員 データ利活用と個人情報保護のバランス、両立というお話でしたけれども、率直に言って、このLINEの事件も、この個人情報保護法がデータの利活用に大きく傾いていく、そういう法律になってきたがゆえに生じた問題なんじゃないのか。
 こういう認識が求められているんじゃないかなと思うんですが、いかがでしょうか。
○平井国務大臣 私はそのようには思っていなくて、やはり国民が求めているサービスを提供する事業者が、こういうデジタル化で世の中が急速に変わっているところ、新しい価値を創造しながら提供してきたということで、個人情報というものを保護を緩めたからそういう事業者が出てきたというのは、アメリカとかヨーロッパのことを考えてみてもちょっと当たらないのではないかと思います。
○塩川委員 やはり、自己情報コントロール権、プライバシーの権利、これをしっかりと拡充をしていく、そういう方向こそ求められている。データ利活用を個人情報保護に優先してきた政策の転換こそ必要だと思います。
 個人情報保護委員会の在り方も問われていると思います。
 この間、経産省が進めてきた生産性向上特措法に規制のサンドボックスというのがありまして、一連の規制緩和措置、規制緩和の穴を空ける、こういうスキームをつくってきたんですけれども、このサンドボックスを活用した革新的データ産業活用計画の認定において、活用するデータの中に個人情報が含まれる場合には、あらかじめ個人情報保護委員会と事前協議をすることになっております。これにより、個人情報の利用に歯止めがかかっていると説明してきましたが、しかし、個人情報保護委員会との協議を行った五十七の案件について、全て個人情報委員会が了承すると。
 個人情報保護委員会で審査したというのは最初の方だけで、その後は事務局で処理をする。これは余りにも、個人情報の取扱いとして保護と言えるのかということが問われると思うんですが、個人情報保護委員会、どうでしょうか。
○福浦政府参考人 当委員会では、生産性向上特別措置法に基づく革新的データ産業活用計画の認定につきまして、当該計画で用いられたデータに個人情報が含まれる場合であって、政令で定める場合には、主務大臣から協議を受けるということとされております。これまで受けた協議に対しまして、当委員会において申請書を確認の上、個人情報保護法等を遵守の上実施されたい旨を回答をいたしております。
 本件につきましては、個人情報保護委員会行政文書取扱規程によりまして、本来、事務局長の専決事項とされておりますが、新たな制度を適切に運用する観点から、案件ごとに委員会で審議することとして運用開始をいたしました。
 その運用開始後、実際に協議を受けた案件について検討いたしたところ、個人情報保護法の観点から、実質的な法的な確認を要するというような案件ではなかったということから、以後、同種の案件について協議を受けた場合は、原則どおり事務局長の専決事項として処理することといたしたところでございます。
○塩川委員 個人情報保護委員会の中で議論したものも、そのやり取りが出てこないのでさっぱり分からないんですよ。
 事務局長にお任せですと、こういうやり方というのは、このサンドボックスという規制緩和についてのまさにチェック機能として個人情報保護委員会が期待されていたのに、その役割を果たしていないのではないのか。こういった案件の了承の後に、実際にどうなったかのフォローアップも定められていないという点も重大だということを指摘をして、質問を終わります。