●7月18日個人情報保護条例改悪に抗する学習会
2021年5月の個人情報保護法改正により、全ての自治体が2023年3月までに個人情報保護条例を「国基準」に見直すことを求められている。個人情報保護委員会は2022年4月20日に改正のガイドライン、4月28日にQ&Aと事務対応ガイドを公表し、現在各自治体で検討が進んでいる(都内市区町村については漢人都議の調査参照。かながわ市民オンブズマンの調査はこちら)。
共通番号いらないネットでは7月18日(月)午後1時30分から文京シビックセンター4階シルバーホールで、個人情報保護と地方自治を守るために自治体はどのような取り組みができるか考える学習会を行う(集会案内はこちら)。
●個人情報保護条例の「改正」でなく「廃止」に
条例改正というが、政府が求めているのは個人情報保護条例を廃止し、個人情報保護法の「施行条例」に作り替えることだ。4月28日に公表された「個人情報の保護に関する法律についてのQ&A(行政機関等編)」では、改正後の条例を「(個人情報保護)法施行条例」とよんでいる。2021年6月の自治体向け説明会で示した「条文イメージ」のように、条例に規定するのは手数料など法を執行するための手続的なことにかぎり、半世紀にわたって自治体が国に先行して住民情報を保護するために培ってきた個人情報保護制度は「リセット」されようとしている。その目的は「活発化する官民や地域の枠を超えたデータ利活用に対応するため」だ(ガイドライン74頁)。
共通番号いらないネットでは、2022年1月25日「地方自治体のみなさまへ 個人情報保護を引き下げないでください」を発表(こちら)し、自治体から個人情報保護を守る取り組みを訴えた。4月1日には共謀罪NO! 実行委員会と「秘密保護法」廃止へ! 実行委員会の主催で、統合された個人情報保護法の問題点を考える市民の集いが開催された(資料や集会ビデオはこちら)。日弁連は2021年11月16日、「地方自治と個人情報保護の観点から個人情報保護条例の画一化に反対する意見書」を発表している。
このブログでも法改正後の個人情報保護委員会の対応に対して「地方自治は「許容されない」?!個人情報保護委員会の条例対応」(こちら)と批判し、2022年1月28日から2月28日まで行われたガイドライン等の意見募集に対して、「地方自治を認めず個人情報保護を後退させる条例改正パブリックコメント」(こちら)で問題点を指摘してきたが、残念ながらまったく意見はガイドラインに取り入れられなかった(意見募集結果はこちら)。
●個人情報保護と地方自治が問われている
個人情報保護委員会が「法施行条例」で規定を求めている「委任規定」は、開示等請求の手数料と匿名加工情報利用の手数料だけだ。
また条例で定めることを「許容」するのも、「条例要配慮個人情報」の内容、個人情報取扱事務登録簿の作成・公表、開示請求等の手続や不開示情報の範囲、専門的な知見に基づく意見を聴くことが特に必要があると認めるときの審議会等への諮問で、それについても制限を付けている。
その他認めるとするのは、自治体の内部的な手続の規定だ。
従来の条例が定めてきた個人情報の収集・利用・提供・保管・廃棄等の規制については、個人情報保護法に規定のない個人情報保護やデータ流通に直接影響を与えるような事項(例:オンライン結合に特別の制限を設ける規定、個人情報の取得を本人からの直接取得に限定する規定)や、法と重複する内容を条例で定めることは「許容されない」とする(ガイドライン74頁)。
憲法で規定する地方自治の本旨に基づき、自治体には条例の自主制定権がある。国も「我が国の個人情報保護法制は、地方公共団体の先導的な取組によりその基盤が築かれてきた」(「個人情報保護制度の見直しに関する最終報告案」2020年12月32頁)と述べているように、個人情報保護制度は自治体の創意工夫によって発展してきた。
自治体の創意工夫を否定することは、個人情報保護の水準を低下させその発展を阻害し、住民と自治体との信頼関係を損なう。そればかりでなく、個人情報保護法制を突破口に地方自治そのものが破壊されていくのではないか、との懸念が専門家に広がっている。
●分かれつつある?自治体の検討状況
個人情報保護法改正にあたって国会は、地方公共団体が条例を制定する場合には地方自治の本旨に基づき最大限尊重することを求める附帯決議をしていた。しかし個人情報保護委員会が立法府の意思に反して従来の保護措置を条例に残すことは「許容されない」という姿勢を崩さないために、自治体の対応は国から指示された手続的な「法施行条例」に変えるか、従来からの保護水準を維持するための工夫を検討するか、分かれつつあるようだ。
後者では、たとえば1976年に「電算条例」をいち早く制定してその後の個人情報保護条例の原型を作った世田谷区は、次の3つの基本方針に沿って新たな個人情報保護制度を構築しようとしている。
1 世田谷区はこれまで実施してきた、区民の個人情報保護に係る先進的かつ丁寧な保護施策を維持・発展させるよう努めること。
2 区が扱う個人情報は、原則、区民が情報主体であることを十分に意識し、今後は一層、その実効性を担保しうる運用上の工夫に努めること。
3 行政への区民参加・区民監視の制度として審議会制度が有効であることを確認し、情報公開・個人情報保護審議会を今後も十分に機能させていくこと。
また1990年に都道府県で最初に個人情報保護条例を制定した神奈川県は、情報公開・個人情報保護審議会で次のように法とガイドラインなどを詳細に検討しながら、対応を探っており参考になる。ただ後述するように公表された最新のO&Aの記載には、若干変化があることに注意が必要だ。
*検討経過(こちら)
*法と条例の相違点と対応の方向性(こちら)
*目的外利用・提供について(こちら)
*要配慮個人情報の取扱い制限について(こちら、こちら)
*「条例要配慮個人情報」について(こちら)
*個人情報の本人収集の原則について(こちら)
*電磁的方法による提供(こちら)
*審議会への諮問案件について(こちら)
*個人情報ファイル簿及び個人情報事務登録簿(こちら)
*保有個人情報の訂正請求及び利用訂正請求に係る開示請求前置主義(こちら)
*開示決定等の期限(こちら)
*費用負担(保有個人情報の開示請求に係る手数料(「開示手数料」)等)(こちら)
*行政機関等匿名加工情報等の情報公開条例上の取扱いについて(こちら)
*行政機関等匿名加工情報の利用に関する手数料の徴収について(こちら)
*個人情報保護審査会規則の条例化等について(こちら)
*改正個人情報保護法と神奈川県個人情報保護条例の対比(法律順、条例順)
*答申(2022年5月30日)(こちら)
●「可能な」自治体の対応を考える
住民情報は、住民が法律の規定やサービスを受けるために自治体に提供した情報であり、民間事業者の利用を目的とするものではない。自治体には住民情報の管理責任があり、まず考えるべきは情報主体である住民の意思であり、利活用ではない。
地方分権のもとでは、法令の解釈について国と自治体は対等だ。住民に信頼される行政のためには、必要とあれば法の規定を超える個人情報保護委員会の統制は拒む姿勢が必要だ。
とはいえ現実の国と地方の力関係では、国(個人情報保護委員会)の解釈を拒むことは首長の覚悟が必要だろう。しかしそこまで構えなくても、4月28日に個人情報保護委員会が公表した「個人情報の保護に関する法律についてのQ&A(行政機関等編)」では、批判を意識してか若干ガイドラインより工夫の余地のある解釈を示している。保護水準を低下させないための工夫が求められる。Q&Aのいくつかを紹介する(太字、改行は引用者)。
●自治体の審議会への諮問について
ガイドラインでは、自治体の個人情報保護審議会等への諮問について、「個人情報の取得、利用、提供、オンライン結合等について、類型的に審議会等への諮問を要件とする条例を定めてはならない」(70頁)としている。この点について「Q&A」(23頁)では、「諮問」ができないとしているだけで、審議会が自発的に調査・審議・意見陳述することはかまわないとしている。
Q7-1-3 法施行条例において、 審議会等が諮問に基づかずに行う調査、審議又は意見陳述に関する規定を設けることは可能か。
A7-1-3 法第129条は審議会等に対して地方公共団体の機関が行う諮問について規定するものであり、地方公共団体が附属機関等として設置する 審議会等が自発的に行う調査、審議又は意見陳述を妨げるものではありません 。
ただし、地方公共団体が調査等を受けることを事実上の要件としたり、審議会の意見を尊重することを義務として定めるような法施行条例の規定を設けることはできない点に留意する必要があります。(令和 4 年 4 月追加)
いくつかの自治体の検討では、個人情報の取得等の諮問ができないので「事後報告」にする対策を出しているが、「事後」である必要はない。従来の諮問の代わりに事前に審議会に「報告」し、審議会自らが必要と判断したら調査・審議し意見陳述し、首長の判断で進めていくことは許容されている。諮問より行政に対する「拘束力」は低下するだろうが、識者や住民による行政の第三者チェックや、その結果の住民への公表、審議結果により個人情報保護のあり方について意見を提出することは可能だ。審議会や首長の自発的な姿勢が、より問われることになる。
●個人情報保護法以外の諮問は可能
審議会の審議事項の中には、マイナンバー法に基づく特定個人情報保護評価の第三者点検がある。一般的には第三者点検は個人情報保護委員会が行うが、自治体については30万人以上の特定個人情報ファイルなどを対象に個人情報保護審議会等が行っている。Q&Aでこのような個人情報保護法以外の法令に基づく意見聴取は、従来どおり可能であることが明記された。
また自治体によっては、たとえば住民基本台帳法に基づいて住基ネットの利用状況を審議会にはかっているところがあるが、こういう役割は今後も変わりない。
Q7-1-1 法第 129 条で規定する「個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要があると認めるとき」とは具体的にどのような場面を想定しているのか。
A7-1-1 ・・・・・・なお、いわゆる「オンライン結合制限」や目的外利用制限などに関する規律として、個別案件における個人情報の取扱いについて、類型的に審議会等への諮問を行うべき旨を法施行条例で定めることは認められません。
一方で、特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号)第7条第4項に基づき審議会等に意見を聴く場合等、法第129条の規定に関わらず、個人情報保護法以外の法令に基づき、審議会等に対し意見を聴くことは妨げられません。(令和4年4月追加)
●匿名加工情報の提供も審議会に諮問可能
2021年の個人情報保護法改正で、自治体も事業者からの求めがあれば住民情報を匿名加工し提供する制度が追加されたが、附則により当面は都道府県と政令指定都市に制度の実施が義務づけされ、その他の市区町村が制度を行うかは任意で判断することになっている。
この提供の可否の基準について、審議会に諮問することも認められている。
Q6-1-2 地方公共団体の機関が法第 114 条第 1 項の規定に基づき法第 112 条第 1 項の提案の審査を行う場合において、法第 129 条の規定により、審議会等に対して諮問を行うべき旨を法施行条例で定めることは許容されるか。
A6-1-2 法第 114 条第 1 項各号に定める基準については、委員会においてその解釈を示すものですが、同項第 4 号の「事業が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであること」についての審査に当たり参照する基準の策定のために、必要な専門的知見を有する有識者に対して意見聴取を行うことは妨げられるものではなく、法第129条の規定により、法施行条例に定めを置いて、当該基準について専門的知見を有する委員で構成される審議会等に対して諮問することも妨げられません。
なお、この場合であっても、法第 114 条第 1 項第 4 号の適合の有無の判断は「行政機関の長等」が行うものであり、審議会等が実質的な判断を行うことはできないことに留意する必要があります。(令和 4 年 4 月追加)
●開示請求しなくても訂正請求等は可能
個人情報の訂正等請求について、個人情報保護法では開示請求をして開示決定をうけた個人情報について訂正等請求を認めているが、多くの条例では開示請求をしなくても誤り等がわかれば請求を認めている。開示請求を前提とすると訂正のための負担が増え、開示決定まで訂正請求ができないなどの不都合が指摘されていた。
Q&Aでは開示請求をせずに訂正請求・利用停止請求を認める条例を定めてもよいとされた。
Q5-8-2 法は、訂正請求や利用停止請求の対象となる保有個人情報について、本人が法の開示決定に基づき開示を受けたもの又は法第 88 条第 1 項の他の法令の規定により開示を受けたものに限っているところ(法第90条第1項及び第98条第1項)、法施行条例で規定することにより、本人が開示を受けていない保有個人情報についても訂正請求や利用停止請求の対象とすることはできるか。
A5-8-2 法は、対象となる保有個人情報の範囲を明確にし、訂正請求及び利用停止請求の制度の安定的運用を図るため、これらの制度について開示を受けた保有個人情報を対象としています。
他方、法第108条は、訂正及び利用停止の手続に関する事項について、法第5章第4節の規定に反しない限り、条例で必要な規定を定めることができることとしているところ、開示を受けていない保有個人情報について訂正請求及び利用停止請求の対象とすることは、これらの請求の前提となる手続に関するものであり、訂正及び利用停止の手続に関する事項に含まれるため、訂正請求や利用停止請求の制度の運用に支障が生じない限りにおいて、そのような法施行条例を規定することは妨げられません。(令和 4 年 4 月追加)
●利益相反する代理人からの開示請求
虐待で保護している子の加害者である親が、居場所などを探るために法定代理人として子の情報の開示請求をすることへの対応に、自治体は苦慮している。また今回の法改正で、任意代理人による請求も認められたが、本人の意思に反した請求が行われることが危惧され、自治体ではこれら不当な請求を防ぐための措置を必要としている。
Q&Aでは請求に応じるかについて、必要に応じて本人の意思の確認を条例に規定することが認められている。
Q5-3-1 未成年者とその法定代理人との利益相反が生じるような場合があり得るところ、未成年者の法定代理人による開示請求について、本人の意思を確認することはできるか。また、一律に本人の同意を証する書類の提出を義務付ける法施行条例の規定を設けることはできるか。
A5-3-1 法定代理人は、任意代理人とは異なり、本人のために代理行為を行う義務はっても、代理行為に本人の同意は要しないため、本人の意思と独立して開示請求を行うことができます。
法第108条は、開示の手続に関する事項について、法第 5 章第 4 節の規定に反しない限り、条例で必要な規定を定めることができることとしていますが、未成年者の法定代理人による開示請求について、一律に本人の同意を証する書類の提出を義務付けることは、実質的に任意代理のみを認めて法定代理を認めないこととなり、開示請求権について法に定めの無い制限を課すものであって開示の手続に関する事項であるとはいえず、そのような規定を法施行条例で定めることは認められません。
もっとも、開示請求に係る保有個人情報について、当該保有個人情報を法定代理人に開示することにより本人の生命、健康、生活又は財産を害するおそれがある情報(法第78条第1項第1号に規定する不開示情報)に該当する場合もあるところ、同号該当性の判断に当たって、必要に応じて本人の意思を確認することは妨げられません。(令和 4 年 4 月更新)
Q5-3-3 任意代理人からの開示請求について、本人の意思を特に確認する必要があるときに、本人に対して確認書を送付し、返信をもって本人の意思を確認する手続をとることはできるか。また、これを認める法施行条例の規定を設けることはできるか。
A5-3-3 任意代理人による請求の場合は、法定代理人による請求の場合と異なり本人から委任を受けていることが要件となります。そのため、なりすまし等による開示等請求制度の悪用を防止する観点から、任意代理人の資格を確認することは重要であり、必要に応じて本人に対して確認書を送付し、その返信をもって本人の意思を確認することは妨げられません。また、法第108条に規定する開示の手続に関する事項としてこれを認める法施行条例の規定を設けることも妨げられません。(令和 4 年 4 月更新)
●条例要配慮個人情報の規定について
自治体の裁量をほとんど認めない法改正の中で、唯一自治体の判断を「尊重」したのが、条例要配慮個人情報の新設だ。「個人情報保護制度の見直しに関する最終報告」(40頁)では、次のようにその必要を述べている。
「(5)条例で定める独自の保護措置
3.例えば、地方公共団体等がそれぞれの施策に際して保有することが想定される情報で、その取扱いに特に配慮が必要と考えられるものとして「LGBTに関する事項」「生活保護の受給」「一定の地域の出身である事実」等が考えられるが、これらは、国の行政機関では保有することが想定されず、行個法・行政機関の保有する個人情報の保護に関する法律施行令(平成15年政令第548号。以下「行個令」という)の「要配慮個人情報」には含まれていないものである。
また、将来においても、地方公共団体等において新たな施策が展開され、その実施に伴い保有する個人情報が、行個法・行個令の「要配慮個人情報」には規定されていないものの、その取扱いには、「要配慮個人情報」と同様に特に配慮が必要な個人情報である場合も想定される。
こうした個人情報について、不当な差別、偏見等のおそれが生じ得る情報として、地方公共団体が条例により「要配慮個人情報」に追加できることとすることが適当である。 」
要配慮個人情報は2015年の個人情報保護法改正により新設された。不当な差別・偏見等のおそれが生じ得る情報として下記の個人情報を「要配慮個人情報」とし、取得の際は本人同意を得ることを義務化した。しかし行政機関については、取得に特別の規定は設けられていない。個人情報ファイル簿に要配慮個人情報であることを記載することや、要配慮個人情報の漏えい等が発生したときに個人情報保護委員会への報告などを求めているだけだ。
一方多くの自治体は、条例でセンシティブ(機微)個人情報の取得を原則禁止し、審議会の意見を聞くなどを条件に例外的に取得可能にしている。またコンピュータへの記録を禁止している条例もある。
多くの個人情報を扱う自治体は、(条例)要配慮個人情報の取扱いの規制の継続を望んでいたが、ガイドライン4‐2‐6は「条例要配慮個人情報について、法に基づく規律を超えて地方公共団体による取得や提供等に関する固有のルールを付加したり、個人情報取扱事業者等における取扱いに固有のルールを設けることは、法の趣旨に照らしできない」(16頁)と認めていない。
Q&Aも同様だが、ただ行政内部の安全管理体制構築にあたり要配慮個人情報の取扱いを勘案することは考えられるとしている。
Q3-2-1 要配慮個人情報の取得制限を法施行条例で規定することは可能か。
A3-2-1 要配慮個人情報の取得を制限することは、行政機関等において要配慮個人情報の取扱いについて特別の制限を設けていない法の規律に抵触する規律を定めるものであり、個人情報保護やデータ流通について直接影響をあたえる事項に当たります。一方で、法はこのような規律を定めることについて委任規定を置いていません。よって、要配慮個人情報の取得制限を法施行条例で規定することは認められません。
他方、法は、行政機関等における要配慮個人情報の取得について特別の規定を設けていませんが、行政機関等において取り扱う個人情報全般について、その保有は法令(条例を含む。)の定める所掌事務又は業務の遂行に必要な場合に限定することとし(法第 61 条第1項)、特定された利用目的の達成に必要な範囲を超えて個人情報を保有してはならないこととしている(同条第 2 項)ほか、法第 63 条(不適正な利用の禁止)、法第 64 条(適正な取得)等の定めを置いており、要配慮個人情報の取扱いに当たってもこれらの規定を遵守する必要があります。
また、行政機関の長等の安全管理措置義務(法第 66 条)に関しても、求められる安全管理措置の内容は、保有個人情報の漏えい等が生じた場合本人が被る権利利益の侵害の大きさを考慮し、保有個人情報の取扱い状況(取り扱う保有個人情報の性質及び量を含む。)等に起因するリスクに応じて、必要かつ適切な内容とする必要があり、行政機関内部における安全管理体制の構築に当たって、取り扱う保有個人情報が要配慮個人情報に当たることを勘案することは考えられます。(令和 4 年 4 月追加)
自治体の検討の中では、条例要配慮個人情報を定めても取得など取扱いが規制できないので規定する意味が乏しいと、規定に消極的な議論が多いようだ。しかし取得段階でのチェックができなくなるのであれば、取得後の扱いについての安全管理体制を整備することで、条例要配慮個人情報を定めることの意義はある。前述のように改正法の中で唯一自治体の裁量を尊重した規定であり、将来も考えれば自治体は積極的な規定を考えるべきではないか。
●法施行条例でなく個人情報保護条例を
Q&Aでは条例と法との関係について、次のように条例に理念規定を設けることを認めている。
Q9-1-1 地方公共団体が定める法施行条例において、基本理念や事業者・市民の責務についての規定を設けることは可能か。
A9-1-1 法の目的や規範に反することがなく、また、事業者や市民の権利義務に実体的な影響を与えることがない限りにおいて、法施行条例上に独自の理念規定を設けることは妨げられません。(令和 4 年 4 月追加)
実体的な影響を与える規定はできなくても、単なる手続き的な「法施行条例」ではなく、自治体としてどのように住民情報を保護しようとしているのか、その主体的な姿勢を示すことは重要だ。
まずは名称を「個人情報保護法施行条例」ではなく「個人情報保護条例」とし、自治体としての個人情報保護に向けた理念を規定することを訴えたい。