2021年8月25日付、デジタル関連6法による監視社会化を防ぎ、個人情報保護を確立するために、必要な法改正と法の適正な運用を求める意見書
カテゴリ:意見書
デジタル関連6法による監視社会化を防ぎ、個人情報保護を確立するために、必要な法改正と法の適正な運用を求める意見書
2021年8月25日
デジタル監視社会に反対する法律家ネットワーク
第1 意見の趣旨
デジタル関連6法(デジタル社会形成基本法、デジタル庁設置法、デジタル社会の形成を図るための関係法律の整備法、公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律、預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律、地方公共団体情報システムの標準化に関する法律。以下合わせて「デジタル関連6法」ともいう。)は、プライバシー・個人情報保護を後退させ、憲法と我が国が批准している自由権規約の保障するプライバシー権(憲法13条・自由権規約17条)を侵害し、デジタル庁を経由して内閣総理大臣に個人情報を集中・利用させることのできる仕組みとなっている。また、地方公共団体による先進的な個人情報保護を可能としてきた地方公共団体による条例制定権を侵害する可能性がある。
よって、デジタル関連6法について次のような法改正を求めるとともに、同法制定後には、デジタル庁をはじめとする国の機関並びに地方公共団体の機関について、法の適正な運用について、国会、個人情報保護委員会、並びに新たに設立を求める第三者機関による厳しい監視を求める。
1 デジタル社会形成基本法とデジタル庁設置法等について
(1) デジタル社会形成基本法及び個人情報保護法にプライバシー権の一内容である自己情報コントロール権の保障を明記するよう法改正すべきである。
(2) デジタル庁設置法は内閣総理大臣とデジタル大臣に、他の中央官庁のいずれにも例がない強大な権限を与えている。この権限が濫用されると国民に重大なプライバシー侵害が生じるおそれがある。このような危険性を防止するため、デジタル庁を内閣ではなく内閣府の外局に置き、デジタル庁の長は内閣総理大臣ではなく特命担当大臣であるデジタル大臣とし、デジタル大臣の勧告についての尊重義務の規定を削除する法改正を行うべきである。
2 改正個人情報保護法について
(1) 改正後の個人情報保護法69条2項2号及び3号の「相当の理由」と「特別の理 由」をより厳格な条項に改めるなど、行政機関等による保有個人情報の目的外利用や提供が許される場合を厳しく限定するように法改正すべきである。
(2) 個人情報保護法については、個人情報保護委員会の組織を、少なくとも公正取引委員会並みに、常時800名程度の職員と各地方事務所を有する組織に拡大強化することが必要である。
また、その国及び地方公共団体等の各行政機関等(以下「各行政機関等」という。)に対する監視・監督のための権限について抜本的に強化されなければならない。
第一に犯罪捜査と外交防衛分野に係る個人情報ファイルついて、個人情報ファイル簿の作成・公表及び個人情報保護委員会への事前通知を義務付けるよう法改正すべきである。
第二に、個人情報保護委員会に行政機関に対する立入調査と命令の権限を付与する法改正をすべきである。
第三に、個人情報保護委員会の国会に対する年次報告について、従来の報告を改め、少なくとも各行政機関については厳格な調査を行い、その報告が詳細になされるように、運用を抜本的に改めるべきである。
(3) システム標準化等の実施に当たっては,各行政機関等が保有する個人情報を特定の機関に集約し,その集約した個人情報に各行政機関等がアクセスできる「一元管理」の方法を採ることは禁止し、各行政機関等が個人情報を管理する「分散管理」の方法を採用することを徹底すべきである。
(4) 地方公共団体が有する個人情報について地方公共団体が各行政機関等によるアクセス履歴をチェックすることができ、プライバシー侵害が行われていないかを確認することができる仕組みを構築すべきである。
(5) 地方公共団体が定める個人情報保護条例の歴史的意義を尊重し、独自の個人情報保護制度の構築を柔軟に認めるべきである。
3 地方公共団体情報システムの標準化に関する法律等について
(1) 地方公共団体情報システムの標準化に関する法律(以下「標準化法」という。)に基づく地方公共団体の情報システムの標準化(以下「標準化」という。)及びデジタル社会形成基本法等に基づくシステムの共同化等(以下,標準化及びシステムの共同化を併せて「システム標準化等」という。)は,地方公共団体の業務の改善や住民サービス向上のための手段にすぎないのであり、システム標準化等を目的化してはならない。
そのため,システム標準化等を進めるに当たっては,以下のとおり,地方公共団 体の事務執行における裁量を十分に確保し,地方自治の本旨を侵害することとならない仕組みとすべきである。
① 情報システムの標準化に関しては,標準化基準(標準化法第5条2項4号,第6条1項及び第7条1項)の策定にあたり,地方公共団体の業務実態を十分に踏まえたものとし、地方公共団体の創意による独自施策が容易に実施できるような基準とすること
② 地方公共団体情報システムは、自治体が地域の実情に応じた施策を実施するために必要なカスタマイズが可能な仕様とすること。
③ 国は,地方公共団体情報システムの標準化等に要する経費(カスタマイズに要する経費及び移行に要する経費を含む)に対し,公平かつ十分な財政的措置を講じるものとし,地方公共団体によるカスタマイズを抑制する仕組みや財政誘導を行わないこと。
④ 情報システムの共同化を義務化したり、共同化を進めるための財政誘導を行わないこと。
⑤ システム標準化等に関する国と地方公共団体との間で公式の協議検討組織を設置すること。
⑥ システム標準化等の検討を行うワーキンググループ,タスクフォース,研究会等の配布資料及び議事録の公開を徹底し,透明性を確保すること。
(2) 地方公共団体におけるデジタル化の推進に当たっては、特定のIT企業との癒着などがないよう、入札制限や兼業禁止など適切な措置を設けるとともに、外部委託に頼るのではなく、自治体内で適切なデジタル人材を育成できる環境を構築すべきである。
4 預貯金口座とマイナンバーの紐づけを強制してはならない
預貯金口座と個人番号(マイナンバー)との紐付けについては、事実上の強制とならない運用の徹底を求める。
5 個人情報保護委員会だけでなく情報機関に対する専門の第三者機関の創設を
内閣情報調査室、公安調査庁や自衛隊情報保全隊等の活動について専門的に監視・監督する監視システムは存在しない。各都道府県警察に置かれる公安警察組織については、国と地方における公安委員会から監視・監督する建前となっているが、実際には機能していない。今国会で成立した「国家安全保障上重要な土地等に係る取引等の規制等に関する法律」(以下、「土地規制法」という)について内閣府に設置される予定とされる収集された住民などの個人情報等の分析機関、また、今後新たに設置される予定とされる警察庁サイバー局・サイバー直轄隊についても、有効な監視・監督機関はない。
これらの情報機関の活動については、個人情報保護委員会が監視・監督を行っていくこととなるが、個人情報保護委員会が官民の広範な監督対象を持つことから、同委員会だけで十分な監視監督が行われることは保障できない。
よって、個人情報保護委員会による監視・監督に加えて、別個の独立した専門の第三者機関を設立し、職権で、特定秘密やこれらの情報機関の集めた情報、デジタル庁が共通仕様化し、情報各機関に集約された情報等の中身までをチェックし、不適切な取り扱いが行われていることが明らかになった場合には、これに対して是正の勧告・命令がで きる制度が必要不可欠である。
第2 意見の理由
目次
1 デジタル関連6法の制定はきわめて拙速で、非民主的なものであった
2 デジタル関連6法が個人のプライバシー・個人情報保護を後退させる
3 内閣総理大臣とデジタル大臣に大きな権力を与えるデジタル庁設置法
4 センシティブ情報を含む個人情報の目的外利用や提供に対する規制をより厳格なものとするべきである
5 個人情報保護委員会による監督権限を大幅に強化する必要がある
6 日常的な預貯金口座を個人番号で管理することを強制してはならない
7 地方自治体による先進的な個人情報保護施策を後退させてはならない
8 公平・公正な自治体デジタル化を
9 超監視社会におけるプライバシー権保障の充実のため、情報機関に対する監視システムが必要不可欠である
1 デジタル関連6法の制定はきわめて拙速で、非民主的なものであった
政府は、流通するデータの多様化・大容量化が進展し、データの活用が不可欠であることなどを理由として、デジタル関連6法案を本年2月9日閣議決定し、国会に提出し、デジタル関連6法は、同年5月12日に可決・成立した。
この法案は、膨大な条文によって構成され、国民の権利に重大な影響を及ぼす法律であるにもかかわらず、2月9日に国会に提出されるまで、政府から国民に対し要綱案としても明らかにされず、したがって、パブリックコメントに付されることもなかった。
このような手続き的な不手際の結果、法案提出後も法文と資料に誤りが多数発覚するなどの不備が続いた。
国会の衆・参両院の審議時間は、あわせて50数時間に過ぎなかった。私たち、デジタル監視法案に反対する法律家ネットワークは、2月の法案国会提出後に結成され、記者会見やオンラインセミナーなどを繰り返し、野党議員に法案についての疑問点を指摘する資料を届け、国会での質疑に活かし、法案の危険性を市民に伝え、立憲野党が法案の多くに国会において明確な反対の意思を示すことに貢献することができた。
しかしながら、コロナ禍の下で市民集会などの開催が極めて困難な中で、大きな反対の声を作ることは難しく、法案の廃案はもとより、最低限の修正すら実現できないまま、原案による法の成立を許すこととなった。
このように、デジタル関連6法の立法過程がきわめて拙速であり、民主主義的な立法手続きが無視されたものであったことを、意見の冒頭において指摘しておきたい。
2 デジタル関連6法が個人のプライバシー・個人情報保護を後退させる
(1)デジタル関連6法は法案提出段階から、個人のプライバシー・個人情報保護において十全なものか危惧された。しかし、63の改正法をも束ねたデジタル関連6法は、衆参両院のあわせてわずか50数時間しか審議されなかったこともあり、この危惧は払拭されなかった。デジタル関連6法にはプライバシー・個人情報保護の観点から、以下の問題がある。
(2)自己情報コントロール権の明記がない
デジタル社会形成基本法は、デジタル社会の形成による我が国経済の持続的かつ健全な発展と国民の幸福な生活の実現等を目的とするもので、デジタル社会の形成の基本的枠組みを明らかにしている。しかし、同法は、国民の便利で幸福な生活を強調するあまり、個人のプライバシー・個人情報保護を後退させる内容となっている。
同基本法では、基本理念として個人の権利利益が害されることのないようにされることを掲げ(10条)、基本方針として個人情報の保護を掲げている(33条)ものの、それらは抽象的な理念や方針に過ぎず、自己情報コントロール権は明記されていない。しかも、10条は、法人の権利利益や国の安全等と並べられ相対化している。国会審議の中で、野党から「個人に関する情報の取扱いについて自ら決定する権利」を法の目的に明記するという修正提案もなされたが否決された。デジタル庁設置法や改正個人情報保護法においても、自己情報コントロール権は明記されなかった。
プライバシー権の一内容である自己情報コントロール権は、2003年に個人情報保護法及び行政機関個人情報保護法が制定された以降の判例及び学説の展開により承認されるべき段階に至っている。しかしながら、デジタル社会形成基本法は、自己情報コントロール権を認めたものとは言えず、日本社会のデジタル化を進める法制度として欠陥があると言わざるを得ない。
3 内閣総理大臣とデジタル大臣に大きな権力を与えるデジタル庁設置法
デジタル庁の組織及び権限に大きな問題がある。デジタル庁設置法では、強力な総合調整機能(勧告権等)を有する組織としてデジタル庁を設置し、国の情報システム、地方共 通のデジタル基盤、個人番号(マイナンバー)、データ利活用等の業務を強力に推進するため、内閣直属の組織とし(2条)、その長は内閣総理大臣とする(6条)。また、関係行政機関の長に対する勧告権を有するデジタル大臣(8条)のほか、特別職のデジタル監等を置くとされている。デジタル大臣は、特に必要があると認めるときは、関係行政機関の長に対し、勧告することができ、行政機関は、当該勧告を十分に尊重しなければならないとされている(8条5項)。これは、災害に対応して設置された時限組織であった復興庁にしか前例がない、異例の規定である。
デジタル庁の位置付け及び強大な権限や情報システムの共通仕様化は、後述する保有個人情報の緩やかな利活用及び提供制限の規定が濫用されることによって、各行政機関や地方自治体の保有個人情報がデジタル庁や内閣情報調査室、公安警察組織、土地規制法に基づいて設けられる情報分析機関、さらには今後設置される予定とされる警察庁サイバー局サイバー直轄隊等にみだりに集積・集中管理・利活用される事態を招く危険性がある。
そして、このようにしてデジタル庁などに集積された個人情報がひとたび漏洩すると、その影響は計り知れないものとなる。
また、デジタル庁は、局も課も置かれない、いわゆるアジャイル型組織とされる。行政組織として極めて特殊で不透明な構成であり、取り扱う個人情報が組織内の部局の壁がないままに不適正に利活用・流用されるおそれすらある。
よって、デジタル庁については、このような異例な組織構成を改め、金融庁や消費者庁などと同様に、内閣ではなく内閣府(の外局)に置き、デジタル庁の長は内閣総理大臣ではなく特命担当大臣であるデジタル大臣とし、デジタル大臣の勧告については他の省庁には見られない尊重義務の規定を削除する法改正がなされるべきである。
4 センシティブ情報を含む個人情報の目的外利用や提供に対する規制をより厳格なものと するべきである
関係法律の整備に関する法律(以下、「整備法」という。)では、関連する63の法律を改正し、整備を一括して行う仕組みとなっている。とりわけ、民間部門、行政機関、独立行政法人等を対象機関とする個人情報関係3法を1本の法律に統合するとともに、地方自治体の制度についても全国的な共通ルールを設定し、所管が分かれていたものを個人情報保護委員会に一元化し、さらに医療・学術分野における現行法制の不均衡を是正することとしている。また、転職時等の使用者間での特定個人情報の提供(番号法の一部改正)、国家資格に関する事務等における個人番号の利用及び情報連携の実施(番号法・住基法の一部改正)、地方公共団体情報システム機構(J-LIS)の個人番号カードの発行・運営体制の抜本的強化(番号法・J-LIS法の一部改正)が盛り込まれたほか、民法、戸籍法、宅地建物取引業法、建築士法、社会保険労務士法等を改正し、国民の負担の軽減及び利便性の向上に資する押印を求める手続及び書面の交付等を求める手続の見直しがなされた。
しかし、整備法においては、個人のプライバシー・個人情報の保護の観点からみて、多くの問題点がある。特に、現行行政機関個人情報保護法8条の利用及び提供の制限の規定が改正個人情報保護法69条として、そのまま維持されている。しかし、情報の共通仕様化が図られ、デジタル化が強力に推し進められる現代にあっては、この規定が定める「相当の理由」及び「特別の理由」については、より厳格な規定に改訂するべきであった。法規定がそのままであっても、共通仕様化が図られたことにより、69条の規定が濫用され、個人情報、特にセンシティブ情報(機微な情報)がみだりに収集され目的外で利用される危険性が高まっている。
そもそも2003年の行政機関個人情報保護法の制定当時には、法制定を提言した総務大臣政務官主宰「行政機関等個人情報保護法制研究会」(座長:茂串俊元内閣法制局長官)は、2001年10月19日「行政機関等の保有する個人情報の保護に関する法制の充実強化について―電子政府の個人情報保護」と題する報告書をとりまとめ、センシティブ情報については、「引き続き、国民等の意見及び要望を踏まえつつ、個別分野ごとの専門的な検討を行うことを期待する」として、今後の課題とされていた。衆議院個人情報の保護に関する委員会と参議院個人情報の保護に関する委員会も「特に適正な取扱いの厳格な実施を確保する必要がある個人情報を保護するための個別法を早急に検討すること」という同様の付帯決議がなされていたがこのような立法措置が取られないままとなっていた。
ところが、デジタル関連6法では、センシティブ情報を含む個人情報がデジタル庁の下に一元的に管理される仕組みとなっているにもかかわらず、センシティブ情報について、個別分野ごとの保護の専門的な検討がされたとは到底いえず、このまま、施行されれば、監視社会化につながる強い危険性がある。
5 個人情報保護委員会による監督権限を大幅に強化する必要がある
整備法における個人情報保護法改正によって、個人情報保護委員会がすべての行政機関に対する監督権限を持つことになった点は一歩前進である。
しかし、個人情報保護委員会の監督権限は、資料の提出及び説明要求、実地調査、指導・助言及び勧告にとどまるものであって(改正個人情報保護法153~156条)、行政機関による個人情報の不適切な利用をチェックするためのものとしては実効的とはいえない。この点は、民間部門に対しては、立ち入りや帳簿書類その他の物件の検査権限(同法143条)や命令権限を付与している(同法145条)のとは異なり、その監督権限は貧弱であるといわざるを得ない。
衆参両議院の各内閣委員会における附帯決議によれば、行政機関等が保有する個人情報の目的外での利用又は第三者への提供については、その要件である「相当の理由」及び「特別の理由」の認定を厳格に行うこととし、行政機関等が行った判断の適否を個人情報保護委員会が監視することとされている。しかし、個人情報保護委員会の権限が勧告に留まるならば、適正な監督は不可能である。個人情報保護委員会による指導監督は、地方警察をも含む警察情報や、自衛隊の情報保全隊、内閣情報調査室、公安調査庁などの各種情報機関が収集している全般に及ぶことになる。したがって、特定有害活動(スパイ行為等)や共謀罪捜査の名の下に行われる個人情報の収集やプロファイリングに対しても、その目的外の不正利用や不適切な情報利活用を糺す徹底した指導監督がなされるべきである。指導監督が勧告権限の行使だけでは不十分であることが明らかであり、個人情報保護法の更なる改正による個人情報保護委員会における行政機関に対する立入調査権や命令権限が認められるべきある。
また、「国の安全、外交上の秘密その他の国の重大な利益に関する事項を記録する個人情報ファイル」や「犯罪の捜査、租税に関する法律の規定に基づく犯則事件の調査又は公訴の提起若しくは維持のために作成し、又は取得する個人情報ファイル」の保有については、個人情報保護委員会への事前通知義務の対象外とし(同法74条2項1号、2号)、個人情報ファイル簿の作成及び公表義務の対象からも外している(同法75条2項1号)。
先進諸国の実情をみると、ドイツではデータ保護監察官(データ保護コミッショナー)は立入検査をして、2年に1回、データベースをチェックし、不正があれば削除を要求するなど強い権限を有している(日弁連第60回人権大会シンポジウム第2分科会基調報告書「情報は誰のもの?~監視社会と情報公開を考える~」)。
個人情報データベースの立入検査などによってこのような捜査機関や情報機関を含む行政機関を規制の対象とすることで、公権力により監視対象とされる個人の私的情報は必要最小限度とし、公権力が私的情報を収集、検索、分析、利用するための法的権限と行使方法等を定めた法制度を構築すべきである。
さらに、個人情報保護委員会の国会に対する年次報告も、従来のものでは全く不十分である。同委員会による監督が実際に機能しているか否か、ひいては国民のプライバシーや個人情報保護が守られているかを確認するためには、年次報告による個人情報利活用の透明性の確保が必要である。そこで、少なくとも、すべての行政機関についての厳格かつ適正な調査とその結果、今後の改善すべき点などについての詳細な報告が、国会に対してなされる必要がある。
以上のような監督権限を適切に行使するために、個人情報保護委員会の組織を、少なくとも公正取引委員会並みに、常時800名程度の職員と各地方事務所を有する組織に拡大強化することが必要である。
6 日常的な預貯金口座を個人番号で管理することを強制してはならない
デジタル関連6法の中には次の2つの新法も含まれている。公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律、及び預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律である。
日弁連は、「預貯金口座をマイナンバーにより検索できる状態で管理することに反対する会長声明」(2015年3月10日)において、番号法(マイナンバー法)について、情報漏えい等が発生した場合のプライバシー侵害のおそれは極めて重大であることを指摘し、個人番号(マイナンバー)による預貯金口座の付番制度化に反対してきた。上記の2つの法律は、民間分野での個人番号の利用範囲を拡大するもので、懸念が大きい。
これらの懸念を払しょくするための抜本的な見直しが不可欠であるが、当面少なくとも、今後の更なる制度改正によって日常的な預貯金口座が個人番号で管理されることを強制することのないことを徹底するように求める。
7 地方公共団体による先進的な取組みを後退させてはならない
(1) 地方自治の本旨(団体自治と住民自治)
憲法は,「地方公共団体の組織及び運営に関する事項は,地方自治の本旨に基いて,法律でこれを定める」(第92条)と規定している。この「地方自治の本旨」は,団体自治と住民自治を意味すると解されている。
団体自治とは,「国家の中に国家から独立した団体が存在し,この団体がその事務を自己の意思と責任において処理すること」(宇賀克也「地方自治法概説(第9版)」3頁(有斐閣,2021年3月))であり、自由主義的・地方分権的要素である。憲法は,「地方公共団体は,その財産を管理し,事務を処理し,及び行政を執行する権能を有し,法律の範囲内で条例制定権を有する」(第94条)と定めることによって,団体自治を具体化している。
住民自治とは,地方自治が住民の意思に基づいて行われるという民主主義的要素である。団体自治が保障された団体において,当該団体の意思形成における住民の参加が認められることが、その本質である。
以上の通り、地方公共団体は、憲法上、国から独立した組織として位置付けられており、自治事務に関する事項は、当該地方公共団体が独自に定めるべきで、国による介入は行うべきではない。
(2)個人情報保護条例の柔軟な構築
個人情報保護条例は、国に先んじて地方公共団体が住民との合意のもと、構築してきたものである。そのため、国の定める法律に先んじて、先進的な定めがなされている場合も多い。具体的には、センシティブ情報の取得に際して個人情報保護審議会の審議を要求する、死者についても個人情報として認める、外部機関とのオンライン結合に制限を設ける、等である。
このような自治体独自の取組みは、地方自治の本旨に基づき尊重されるべきであり、国から一方的に排除を求めることは、憲法が定める団体自治を侵害するものである。したがって、地方公共団体が個人情報保護条例を定めるにあたっては、柔軟に独自の個人情報保護措置を講じることを認めるべきである。
(3)地方公共団体の自主性確保
システム標準化等は,あくまで地方公共団体による住民サービスの向上やその業務を改善するための手段にすぎないものであり,システム標準化等自体を目的化することがあってはならない。そのためには,以下の措置を講じる必要がある。
① 自治体による独自施策を阻害することがない標準化基準を策定すること
システム標準化等の対象となる地方公共団体の業務(17業務が指定されている。)は,地方公共団体自体の業務である。したがって,これら業務の執行に当たっては,地方公共団体の事務執行における自由度が十分に確保されなければならない。
これらの業務については,例えば,国民健康保険料の均等割について一定の要件を満たす場合に減免する制度や,児童扶養手当を独自に加算する制度等が,地方公共団体の判断によって実施されてきている。こういった独自施策は,地方公共団体の「団体自治」の発現であるといえる。
これらの独自の取組みを行うためには、当該地方公共団体が定めた要件に従って適切に対象者を抽出し、要件を満たさない他の住民とは異なる扱いができる情報管理システムが必要である。従前は、地方公共団体が独自に情報管理システムを構築していたため、施策の必要性に応じてシステムを選択することが可能であった。しかし、標準化されたシステムの使用を強制されるとなれば、当該システムがそれら独自施策に対応することができない可能性がある。
そのため,標準化基準の策定に当たっては,地方公共団体の業務実態を十分に踏まえ,地方公共団体情報システムが独自施策を容易に実施できるようなシステムとなるよう,十分配慮しなければならない。
② 柔軟に地方公共団体情報システムのカスタマイズを認めること
標準化基準において柔軟性を確保したとしても,地方公共団体の施策は多岐にわたるため,標準化された地方公共団体情報システムだけでは対応できない事例が生じることは避けられない。その場合,システム上対応できないことを理由に,地方公共団体独自の施策が制限されてしまうことは,団体自治の観点から許されないことである。そのため,地方公共団体が地方公共団体情報システムを利用する場合,地域の実情に応じた施策を実施するために必要な同システムのカスタマイズを可能な仕様としておくことは極めて重要である。
標準化法に関する国会審議においても,カスタマイズがなくても独自サービスが提供可能となる対応をすること,また,カスタマイズ以外の代替措置での対応が困難な場合には,カスタマイズもやむを得ないと政府は答弁している(2021(令和3年)3月12日衆議院内閣委員会における平井国務大臣答弁等)。
標準化法上、カスタマイズができる場合として規定されているのは、①標準化対象事務以外の事務を地方公共団体情報システムを利用して一体的に処理することが効率的であると認めるときは,②当該地方公共団体情報システムに係る互換性が確保される場合である(標準化法8条2項)。かかるカスタマイズが許容される場面を制限的に解すれば、上記のような自治体独自の取組みを阻害することになる。したがって、上記標準化対象事務として規定される業務の中でも、自治体独自の取組みを行う場合には、「標準化対象事務以外の事務」と解し、カスタマイズを許容すべきである。
③ 地方公共団体情報システムは自治体によるカスタマイズを実質的に保障する仕様とすること
地方公共団体が独自施策を行う場合,標準化された地方公共団体情報システムでは対応できず,新たなアプリケーション等のアドオンが必要となったり,システムのカスタマイズが必要となることは十分考えられる。
かかるカスタマイズには、システム開発者の協力と、専門的な知識が必要となる。そのため、当該システムの開発者がカスタマイズを拒んだり、カスタマイズに莫大な費用を要し、自治体が負担することができないようなことがあれば、実質的に自治体の独自施策を制限してしまうことになる。そこで、国は、地方公共団体情報システムの開発事業者に対し,各地方公共団体が行うカスタマイズに協力する義務を課するなどの措置を講じるとともに、カスタマイズに要する費用に対し、適切な財政措置を講じるべきである。同時に、カスタマイズを抑制するような財政措置(例えば、国が指定した特定のシステムをカスタマイズすることなく使用する場合に限り導入費用について財政措置を講じる等)をとるべきではない。
④ 情報システムの共同化を強制しないこと
標準化法第10条は,「地方公共団体は,デジタル社会形成基本法第29条に規定する国による環境の整備に関する措置の状況を踏まえつつ,当該環境においてクラウド・コンピューティング・サービス関連技術を活用して地方公共団体情報システムを利用するよう努めるものとする」と規定しており,地方公共団体の「国が整備したクラウド・コンピューティング・サービス」(いわゆるガバメントクラウド)の利用は,あくまで努力義務とされている。基本法でも,国及び地方公共団体は,デジタル社会の形成に関する施策の策定に当たり,「情報システムの共同化又は集約の推進」をすることとされているものの(基本法第29条),地方公共団体に対して「共同化又は集約」の義務は課されていない。
このことは,国会における答弁でも確認されているところである(2021年3月24日衆議院内閣委員会(総務連合審査)における平井国務大臣の答弁)。
他方で,総務省は,2020年12月25日付け「自治体デジタル・トランスフォーメーション(DX)推進計画」(以下「DX推進計画」という。)において,「今後は,地方自治体における情報システム等の共同利用を推進していくべきである」とし,「情報システムの利用に当たっては,自治体の職員の事務負担の軽減という観点からは,全国的なサービスとして提供される情報システムを共同で利用するという運用方法が最も効果が見込まれる」,「さらに,AI・RPAなどのデジタル技術の導入に当たっては,データの集積による機能の向上や導入費用の負担軽減の観点から,共同導入・共同利用の推進が有効であるため,都道府県の主導も効果的である」と,共同化を積極的に進めようとしている。
共同化は,複数の地方公共団体の連携によるものを含め、あくまでも自治体ごとの事情に応じてその可否が判断されるべきであり,自治体に対する法律上の義務付けや事実上の義務付け(財政誘導等)は行うべきでない。
⑤ 地方公共団体との協議の場を設けること
政府は、地方公共団体情報システムの標準化について、2025年度末までに実施する目標を掲げているが、地方公共団体からは短すぎるとの懸念の声も上がっている(朝日新聞2021年5月30日)。
上記の通り、地方公共団体情報システムの標準化は、自治体サービスの向上、住民の利便性向上のためのものであり、標準化自体が目的とされることはあってはならない。地方公共団体ごとに事情は様々存在しており、その意見を十分に斟酌しないままでの標準化の推進は、地方公共団体での混乱を招き、かえって住民サービスの質の低下を招きかねない。
したがって、いかに標準化を進めていくかは、地方公共団体と綿密な調整を行った上で進められるべきである。そのためには、地方公共団体の代表及び現場で作業する職員の声を拾い上げるための公式の協議会等の場を設け、地方公共団体に過度の負担を与えないよう十分に配慮すべきである。
⑥ 検討過程における情報を公開すること
従前、デジタル改革関連法の議論も含め、政府ワーキンググループやタスクフォースなどで議論が進められてきた。かかる政府の一部組織において、地方公共団体に関する重要な事項であるシステム標準化等が決められていくに際し、その情報は詳細に国民に公開されなければ、民主主義的な統制が及ばず、政府側の意向に基づく無謀な、又は地方自治の本旨をおざなりにした標準化が進められかねない。
そのような事態を防ぐためには、これら検討会の日程、議事録、資料など、詳細に情報を公開し、地方公共団体関係者だけでなく、国民すべてがその内容をチェックできる体制を整える必要がある。
(4)匿名加工情報の提供制度は不要
また、改正個人情報保護法では、地方公共団体にも匿名加工情報の提供制度(定期的な提案募集)が導入された(改正後109条)。しかし、地方公共団体が収集する情報は、医療、教育、福祉、所得に関する税等のセンシティブな情報が多く含まれ、情報の利活用に対する住民の不安はより大きい上、これらの情報は営利目的に利用されることは想定されておらず、匿名加工をする必要性はない。
個人情報保護制度が国の定める基準で統一化されるとすれば、匿名加工についての技術的な能力を有していない大多数の地方公共団体にとって大きな負担となる。
さらに、自治体行政の外部委託が進んだ今日においては、集約された個人情報を民間業者が取り扱う機会も増えており、外部流出の危険性は高まっている。さらにシステムを統一化することで、外部からの攻撃を受けた際に被る損害は甚大なものとなり得る。
デジタル関連6法による個人情報保護法改正の影響範囲等は、衆参両議院の審議によってもなお、未知数であり、今後十分注視していく必要がある(日弁連「個人情報保護条例の見直しによる非識別加工情報の性急な導入に反対する意見書」(2017年8月14日)参照)。
8 公平・公正な自治体デジタル化を
(1)自治体におけるデジタル化の推進
総務省は、令和2年12月25日付「自治体デジタル・トランスフォーメーション(DX)推進計画」(以下、「DX推進計画」という。)を発表し、地方自治体におけるデジタル化を推進している。
DX推進計画では、「情報システムの標準化・共通化といった自治体における施策を効果的に実行していくためには、国が主導的に役割を果たしつつ、自治体全体として、足並みを揃えて取り組んでいく必要がある。」とし、地方自治法245条の4第1項に基づく技術的助言として、自治体におけるDXを進めているのである。
かかる方向性自体、団体自治の原則からすれば疑問が残るものであるが、この点を措くとしても、現状の自治体におけるDXの進め方には多大な問題があると言わざるを得ない。
(2)DX推進計画の内容
DX推進計画は、自治体におけるDXを推進するため、組織体制の構築、デジタル人材の確保・育成、計画的な取り組み、都道府県による市町村支援の4項目を挙げている。
組織体制としては、最高情報統括責任者(CIO:Chief Information Officer)及びこれを補佐するCIO補佐官等を置き、全庁的なDX推進体制を整備するものとしている(5頁)。CIOについては、副市長等が望ましいとされているものの外部人材の登用も可能であり、CIO補佐官等については外部専門人材の活用を積極的に検討する、とされている(5頁)。国(総務省及びデジタル庁)は、都道府県と連携しデジタル人材のCIO補佐官としての任用等が推進されるように支援の仕組みを構築することとされている。また、国は、市町村が新たにCIO補佐官等として外部人材を登用する場合(特別職非常勤職員として任用する場合及び外部にい業務委託する場合)の経費について、措置率0.5の特別交付税を交付する財政措置を講じるとされている(7頁)。 外部人材任用の形態としては、任期付職員や特別職非常勤職員として任用することが考えられるとし、その場合には「民間企業との雇用関係を継続し、従業員としての地位を保有したまま任用すること」、「民間水準を考慮して給与を設定すること」が可能である、と指摘している(7頁)。さらに、「自治体は、……外部専門人材の活用を積極的に検討する。その際は、……他の団体との兼務等を前提とした任用も検討することが望ましい」としている(7頁)。
(3)自治体におけるDX推進の問題点
地方自治体における外部人材の登用については、常勤職員(任期の定めのない職員、任期付職員、再任用職員)、会計年度任用職員、特別職非常勤職員、業務委託などの方法がある。
常勤職員や会計年度任用職員は、地公法に基づき、各種の服務規律が適用される。すなわち、信用失墜行為の禁止(地公法33条)、守秘義務(同法34条)、職務専念義務(同法35条)、営利企業への従事等の制限(同法38条)等が課される。これらの服務規律は、行政の中立と公平性を維持するために必要なものである。他方、特別職非常勤職員には地公法は適用されない(同法4条2項)。
情報システムの標準化は、標準化基準を満たすシステムから自治体が選択して採用する形式とされている。システム開発業者の関係者がCIO補佐官等に任用されていれば、自治体の利益とは関係なく、当該企業のシステムが選択される可能性がある。標準化システムに限らず、デジタル化を進めるための事業なども、法的には入札制限などはないため、関連企業との癒着が懸念される。
この点は、総務省検討会(2020年11月30日「DX推進に係る第2回検討会」)でも懸念が指摘されているところである。J-LISでは、同機構のマイナンバー関連事業の72%(件数ベース)、契約額では全体の83%を、同機構へ社員を出向させていた企業が(多くは随意契約で)受注していたことが判明している。しかも、出向職員が発注の際の事業者向け説明書に当たる仕様書の作成に、出向者が助言する場合があることを認めている。
内閣官房IT総合戦略室の場合、出向元企業が入札に参加する可能性があれば、出向者は業務から外されることとされている。デジタル庁設置法でも、デジタル監には、一部の国公法の規定が適用される(デジタル庁設置法11条4項)。かかる規定も全く十分とは言えないが、地方自治体におけるデジタル化分野は、全く際限なく民間企業からの登用、事業の受注がなされており、官民癒着の温床となりかねない。
これに対して、2021年6月18日会議で提示された「自治体DX全体手順書【第1.0版】(案)」では、「CIO補佐官等の任用に当たっての注意事項」では、特別職非常勤職員として任用する場合には地方公務員法の規定が適用されないことから、要綱等で信用失墜行為の禁止、守秘義務、職務専念義務等の事項を定めること、「新たなシステム調達への助言」などが含まれる場合には、入札制限の措置等を講じることも必要である、とされている。
しかし、自治体におけるデジタル人材の確保は、人材不足の状態であり、条件を厳しくすると、他の自治体に人材が流れる可能性がある。そのため、自治体が積極的に厳しい措置を講じないことも考えられ、かかる規制を自治体に委ねるべきではない。
9 超監視社会におけるプライバシー権保障の充実のため、情報機関に対する監視システムが必要不可欠である
日弁連は、2017年10月の人権擁護大会において、「個人が尊重される民主主義社会の実現のため、プライバシー権及び知る権利の保障の充実と情報公開の促進を求める決議」を採択している。
当ネットワークにおいても、本年2月25日に公表した「「デジタル監視法案」(デジタル化関連法案)について、プライバシー保護の観点から慎重審議と問題個所の撤回・修正を求める意見書」の時点から、この意見書の提案の実現を強く求めてきた。
そもそも、社会のデジタル化を進めるにあたっては、これによって侵害される危険性の高まるプライバシー権の確実な保障につながる法制度の導入を同時に行うことが不可欠であるが、デジタル関連法制定過程では、この点の配慮が全くなされていない。上記の2つの意見書でも、日本においても、インターネット、監視カメラ、GPS装置など、大量の情報を集積する技術が飛躍的に進歩し、マイナンバー(共通番号)制度も創設され、「組織的な犯罪の処罰及び犯罪収益の規制等に関する法律等の一部を改正する法律」(以下「組織犯罪処罰法改正法」という。)により、いわゆる「共謀罪」が多数新設されたことで、その捜査の拡大によって市民に対する監視が強化されることへの懸念が指摘されている。
人は監視されていると感じると、自らの価値観や信念に基づいて自律的に判断し、自由に行動して情報を収集し、表現することが困難になる。すなわち、プライバシー権は、個人の尊重にとって不可欠な私的領域における人格的自律を実現するとともに、表現の自由の不可欠な前提条件となっており、立憲民主主義の維持・発展にも寄与する極めて重要な基本的人権なのである。
したがって、大量の情報が集積される超監視社会とも呼ぶべき現代にあって、個人が尊重されるためには、公権力により監視対象とされる個人の私的情報の収集は必要最小限度のものとし、公権力が私的情報を収集、検索、分析、利用するための法的権限と行使方法等を定めた法制度を構築すべきなのである。
このような観点から、日弁連は、超監視社会におけるプライバシー権保障の充実について、以下の具体策を提言している
① 公権力が、自ら又は民間企業を利用して、あらゆる人々のインターネット上のデータを網羅的に収集・検索する情報監視を禁止すること。
② 監視カメラ映像やGPS位置情報などを取得し、それを捜査等に利用するに際して、これを適正化するため、新たな立法による法規制を行うこと。
③ 捜査機関による通信傍受の対象犯罪を更に拡大し、また、会話傍受を可能とする立法を行わないこと。加えて、通信傍受の適正な実施について独立した第三者機関による監督を制度化すること。
④ 市民監視を拡大し、市民の自由を著しく萎縮させるおそれの強い、組織犯罪処罰法改正法によって多数新設された、いわゆる「共謀罪」の規定を削除すること。
⑤ 公安警察や自衛隊情報保全隊などの情報機関の監視権限とその行使については、法律により厳格な制限を定め、独立した第三者機関による監督を制度化すること。
⑥ マイナンバー制度が、あらゆる個人情報の国家による一元管理を可能とする制度となり、市民監視に利用されることのないよう、制度上・運用上の問題点を明らかにし、廃止、利用範囲の大幅な限定、同意原則の遵守、民間利用の禁止等の対応を行うこと。
これらの立法提言は、いずれもデジタル庁が設立された今こそ、緊急に実現する必要がある、極めて重要な課題ばかりである。
特に、内閣情報調査室、公安調査庁、自衛隊情報保全隊などの活動についての監視システムは存在しない。これらの情報機関の活動については、個人情報保護委員会または、これとは別個に、独立した専門の第三者機関が、職権で、特定秘密や情報機関の集めた情報、デジタル庁が共通仕様化した情報等の中身までをチェックし、これに対し是正の勧告・命令ができる制度が必要不可欠である。
2017年の日弁連人権擁護大会シンポジウム第2分科会「情報は誰のもの?」が実施した調査に基づく基調報告書では、①情報機関の活動に根拠を与える法律自体に、情報保護機関による監督のあり方を同時に定める方法や、②国会内に独立した第三者機関を設置し、そこで情報機関を監視する方法、③これらを重畳的に適用する方法が考えられるとされている。
2016年5月5日に発効したEU捜査等機関データ保護指令41条も、捜査や犯罪予防、諜報などの活動を行う機関に対し、同指令の遵守を監視する1つ以上の独立した公的機関を規定するよう義務づけ、その公的機関はGDPRに基づいて設立されるデータ保護機関を指定してもよいとする。
我が国においては、第三者機関による監視の仕組みのない情報機関が多く、あったとしても実効性に欠けているため、国際的なプライバシー保護水準に到達していない。
それゆえに、情報機関の活動に対する個人情報保護委員会または、これとは別個に、独立した専門の第三者機関による実効的な監視・監督システムが必要であり、この課題はデジタル庁の発足活動に合わせて実現されるべきである。
以上