危うい個人情報保護
議会本会議。12月会議の最終日だった。
今回、議会に個人情報保護法の施行条例が上程された。ぼくはこの条例の質疑のために、10時間ほどかかってしまった。一番の原因は、個人情報保護法にはどんな問題があるのか、まとまった論文がほとんど見当たらないということだった。日本共産党の文書としては、昨年12月の『議会と自治体』の巻頭論文が役に立った。この論文によって基本的な視点は確認できた。しかし、法律や条例の具体的な内容に基づいて、法案を読み解くものは、なかなか見当たらなかった。その中で共産党県委員会から届いた、日弁連による法律制定後に国に出された文書が役に立った。この文書がなければ、質疑が十分なものとして組み立たなかったと思われる。12月20日の質疑では、最初の質疑を課長にした後、町長とのやり取りを行った。
今回の条例は、自治体の条例を個人情報保護法施行条例に作り変え、現行の個人情報保護条例を廃止するものだった。一体何がどう変わったのか、施行条例は簡単な手続きのことだけになってしまったので、肝心の変化が確認できないものになっていた。したがって変化を確認するためには、個人情報保護条例を廃止するという一文にもとづいて、法律との関係を問う質疑にする必要があった。
どんな考え方によって質疑を行ったか書いておきたい。
一つは、どうして施行条例になったのかという根本問題だ。普通は法律に基づいて自治体が条例を作り、自治体が独自に規定する形を取ることが多い。しかし、まさに生ものだと思われる自治体の個人情報について、施行条例だけにして、個人情報の具体的な内容の取り扱いについて、自治体に具体的な条例を作らせないのは、地方自治体の条例制定権を侵すものだという点で質疑を行った。
この点については、データの活用を考えたときに、自治体がバラバラに策定してきた個人情報保護条例では2000個問題という、さまざまな違いがあって、それが利活用の障害になっているから、一つの法律に統合したという答弁が返ってきた。それで統合された個人情報保護法が、個人情報を守るようになっているのか。そこに問題の焦点があった。
個人情報は、個人のものであり、地方自治体も国も、個人情報を預かっている状態にある。したがって、国も地方自治体も個人情報の保護に責任があり、基本的人権を擁護する責任を負っている。しかし、個人情報保護法には、基本的人権を守る規定がない。これは、地方自治体がもってきた個人情報保護条例からの後退だった。
要配慮個人情報(人種、信条、社会的身分、病歴犯罪の経歴、犯罪により害を被った事実、その他不当な差別、偏見その他の不利益が生じないよう取扱に特に配慮を要するもの)については、今までは自治体が収集してはならないことになっていた。例外規定はあったがそれは部分的だった。しかし、個人情報保護法は、要配慮個人情報の収集には何の規制も設けず、活用については法律の範囲という制限を設けた。このやり方と今までのやり方はほぼ同じだというのが町の見解だった。
集めてはならないという前提の下で例外規定を部分的に認めるのと、収集には制限をかけないで活用には制限をかけるというのは明らかに違う。すべての住民の要配慮個人情報を基本的には集め、蓄積していくことには何の制限もないということになってしまう。行政がどのような要配慮個人情報を収集しているのかは、住民は知り得ない。要配慮個人情報は、集めること自体に問題があったので、収集してはならなかったはずだ。
この件について、個人情報保護法が可決成立した昨年の5月12日の時点では、地方自治体によって制限をかける規定を設けてもいいと言うことになっていた。しかし個人情報保護委員会は、自治体が条例で取扱を規制することは許されないと回答している。どうして、法案成立時の政府見解が簡単にひっくり返っているのかよくわからないが、制限をかけることができるという政府見解を大切にすべきではないだろうか。
個人情報のオンライン結合については、かつらぎ町の個人情報保護条例は、結合するのは、収集目的に反するので結合してはならないとなっていたが、個人情報保護法は、オンライン結合については何の規制をしていない。個人情報のオンライン結合にこそ、法案を作った目的がある。
質疑では、こういう状態になっていることも紹介した。
国は、2020年10月、「第2期政府共通プラットホーム」と呼ばれる中央省庁向けクラウドを運用し、順次、政府の保有する情報を米国企業であるAmazonの管理するサーバーに保存している。アメリカの諜報機関は、データが本国にあるかないかにかかわらず、アメリカの企業に対し、いつでもサーバー内に保存している情報に対してアクセスできる権利を持っている。これが「海外データ合法的使用明確化法」だ。さらに、日本政府は、2021年10月、「ガバメント・クラウド」を導入するため、米国のGoogle社のクラウドを活用すると発表した。EUは、個人情報の海外移転を禁止している。こんなことをしている日本政府は、国民の個人情報を守る資格がないということではないだろうか。
質疑の最後に、忘れられる権利、個人情報の取扱に対する自己決定権、プロファイリングに異議を唱える権利の3点を国に求めるべきだと訴えた。
こんなとんでもない個人情報保護法が制定されたら、地方自治体は自分たちが築き上げてきた到達点を捨ててしまい、国に従うようになる。これでは、国民主権は貫けない。国民の基本的人権を守るために個人情報を保護する責任が地方自治体にはある。そのことを自覚して、根本的な問いかけをしてほしい。
