東京大学大学院法学政治学研究科教授宇賀克也君
東京大学の宇賀と申します。
 本日は、参考人として意見を述べる機会を与えていただきましたことに厚く御礼申し上げます。
 この委員会で御審議中の法案は、一昨年六月二十四日にIT総合戦略本部が決定いたしましたパーソナルデータの利活用に関する制度改正大綱及び昨年九月九日に公布されました個人情報保護法及びマイナンバー法の一部改正法附則十二条一項が政府に求めました課題に対応すべく真摯に検討された結果まとめられたものと評価しております。
 以下、その理由について申し上げます。
 個人情報保護法及びマイナンバー法の一部改正法附則十二条一項は、新個人情報保護法の全面施行日までに、新個人情報保護法の規定の趣旨を踏まえ、行政機関個人情報保護法二条二項に規定する個人情報及び独立行政法人等個人情報保護法二条二項に規定する個人情報の取扱いに関する規制の在り方につきまして、匿名加工されました情報の円滑かつ迅速な利用を促進する観点から、その取扱いに対する指導、助言等を統一的かつ横断的に個人情報保護委員会に行わせることを含めて検討を加え、その結果に基づきまして所要の措置を講ずることを政府に対して義務付けております。
 この附則の規定が政府に求めましたことを分析いたしますと、第一に、行政機関及び独立行政法人等、以下、両者を併せて行政機関等と呼ばせていただきますが、その保有する個人情報につきましても、新個人情報保護法の匿名加工情報に相当する情報の円滑かつ迅速な利用を促進する観点から規制の在り方について検討し、その結果に基づいて所要の措置を講ずること、第二に、当該情報の取扱いに対する指導、助言等を統一的かつ横断的に個人情報保護委員会に行わせることを含めて検討を加え、その結果に基づいて所要の措置を講ずること、第三に、以上の所要の措置を新個人情報保護法の全面施行日までに講ずることの三点になります。そして、第一、第二の点の検討に当たりましては、新個人情報保護法の規定の趣旨を踏まえることが要請されております。
 まず、第一の点につきましては、行政機関等非識別加工情報に係る制度を新設し、提案を募集する個人情報ファイルを個人情報ファイル簿に記載して対象を明確にした上で、民間事業者が行政機関等非識別加工情報をその用に供して行う事業を提案する方式を採用しております。民間のニーズを把握しないまま行政機関等の判断のみで行政機関等非識別加工情報を作成いたしましても、民間のニーズに合わないおそれがございますので、民間事業者からの提案を受けて行政機関等非識別加工情報を作成する方式は、前述いたしました改正法附則十二条一項が言う新制度の円滑かつ迅速な利用の促進という観点から合理的なものと考えております。
 第二の点につきましては、行政機関等非識別加工情報の加工基準は、新個人情報保護法の匿名加工情報と同様、個人情報保護委員会が定め、行政機関等非識別加工情報の取扱いに対する監視、監督を個人情報保護委員会が一元的に行うこととされておりますが、行政機関等非識別加工情報が官民間で流通するものであることに照らし、新個人情報保護法の匿名加工情報につきまして監督権限を有する個人情報保護委員会が行政機関等非識別加工情報につきましても監視、監督を行うことは合理的であり、また、この点も、前述いたしました改正法附則十二条一項の趣旨に合致するものと思われます。
 第三の点につきましては、そこで言う新個人情報保護法の全面施行日は、新個人情報保護法が公布されました昨年九月九日から起算して二年を超えない範囲内で政令で定める日となります。
 改正法附則十二条一項が新個人情報保護法の全面施行日までに所要の措置をとることを政府に義務付けましたのは、パーソナルデータの利活用の促進は官民共通の課題であり、官民が収集、提供するパーソナルデータを有機的に関連付けて有効活用することが期待されていることに照らしますと、行政機関等非識別加工情報及び匿名加工情報の両制度を同時期に一体のものとして施行することが望ましいという国会の御判断によるものと考えております。
 新個人情報保護法の全面施行日を定める政令は未制定でございますが、仮に区切りのよい来年四月一日施行といたしました場合、今国会で行政機関等個人情報保護法改正案が成立いたしましても、更にその後、その委任を受けた政令及び個人情報保護委員会規則を意見公募手続も経た上で策定する作業が必要であり、それに加えまして、制度の周知期間が一定程度必要となります。
 したがいまして、今国会に政府が行政機関等個人情報保護法案の改正案を提出されましたのは決して早過ぎず、むしろ改正法附則十二条一項に込められました国会の御意向に沿うためには必要不可欠だったと思われます。
 次に、IT総合戦略本部が決定いたしましたパーソナルデータの利活用に関する制度改正大綱との関係につきまして述べさせていただきます。
 この大綱におきましては、行政機関等が保有するパーソナルデータにつきましては、その特質を踏まえた検討を求めております。
 そこで、行政機関等が保有するパーソナルデータの特質とは何かが問題になりますが、この点につきましては、個人情報保護法案の制定過程におきまして、当時のIT戦略本部個人情報保護法制化専門委員会が二〇〇〇年十月にまとめました個人情報保護法制に関する大綱におきまして、第一に、政府と国民の間におきましては行政に対する国民の信頼を一層確保することが求められていること、第二に、私人間におきましては企業活動における営業の自由等との調整が問題となるのに対し、公的部門につきましては法律による行政の下に国民一般の利益との調整が重要になること、第三に、特に行政機関における個人情報の取扱いに当たりましては、法令に基づく厳格な保護管理の下に置かれるよう特別の配慮が必要であることが指摘されております。
 これらの点は今日におきましても妥当するものと思われますが、私はそれに加えまして、国及び独立行政法人等は国民に対して説明責任を負う主体であり、その説明責任を履行させるための法制度として情報公開法がある点が民間事業者とは決定的に異なり、行政機関等の個人情報保護法制を考えるに当たりましては、情報公開法との関係に絶えず配慮することも重要であると考えております。
 また、二〇〇七年の統計法全部改正により、行政のための統計から社会の情報基盤としての統計へのパラダイムシフトを図り統計情報の有効活用を推進するために、オーダーメード集計や匿名データの提供という二次的利用の制度が整備され、本年二月の統計法施行規則の改正により、学術研究を直接の目的とはせず営利企業が通常の企業活動の一環として研究を行う場合でありましても、学術研究の発展に資すると認められる研究であればオーダーメード集計を認めることとされましたが、行政機関等が保有する一般の個人情報につきましても、個人の権利利益を的確に保護することが当然の前提になりますが、その上で、社会全体のために有効活用するというオープンデータの視点も必要と考えております。
 御審議中の法案は、行政機関等の保有する個人情報の特質を十分に踏まえて、その利活用により個人の権利利益が損なわれないこと、利活用に対する国民の不安を解消し行政に対する国民の信頼を確保すること、行政の適正かつ円滑な運営に支障を与えないこと、情報公開法との関係に配慮すること、以上の前提の下に、行政機関等が保有する個人情報の適正かつ効果的な活用によるメリットの実現を志向することに慎重な配慮をされたことがうかがわれます。
 具体的には、対象となる個人情報を、個人情報ファイル簿が公表されていること、情報公開請求に対して全部不開示とならないこと、行政運営に支障を生じないことの各要件を満たすものに限定し、提案の募集に関する事項及び行政機関等非識別加工情報の概要を個人情報ファイル簿に記載することにより透明性と一覧性を確保し、提案の欠格事由及び審査の要件を法定することにより公正性と透明性を確保し、第三者に対する意見書の提出の機会を付与した結果、提案に係る行政機関等非識別加工情報の作成に反対の意思を表示した意見書が提出されましたときは、当該提案に係る個人情報ファイルから当該第三者を本人とする保有個人情報を除いた部分を当該提案に係る個人情報ファイルとみなすことにより、国民の不安に応えて行政に対する国民の信頼を確保することに配慮した上で、行政機関等非識別加工情報に係る制度の新設により、新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現への貢献を意図したものと考えております。
 二〇一〇年十月二十七日から同月二十九日にかけましてエルサレムで開催されました第三十二回国際データ保護プライバシー・コミッショナー会議で満場一致で可決されましたプライバシー・バイ・デザインの七つの基本原則の一つに、個人情報の保護と利用をゼロサムではなくポジティブサムで捉えるという考え方がございます。すなわち、個人情報の保護と利用をトレードオフの関係にあると捉えるのではなく、的確に保護しながら利用によるメリットも実現するという考え方でございます。御審議中の法案は、行政機関等の保有する個人情報の特質を踏まえつつ、個人情報の保護と利用の適正なバランスをポジティブサムの考え方の下に模索したものと評価できるのではないかと存じます。
 なお、御審議中の法案におきまして、生存する個人に関する情報であって個人識別符号が含まれるものをそれ単独で個人情報として位置付けましたことは、個人情報の定義の明確化に資するものであり、要配慮個人情報についての定義規定を設け、個人情報ファイルに要配慮個人情報が含まれる場合には個人情報ファイル簿にその旨を記載することとしておりますことも、保有個人情報の本人が自己に関する要配慮個人情報の利用実態をより的確に認識し得るようにするものであり、望ましい改正であると考えております。
 以上で私の意見陳述を終わらせていただきます。御清聴どうもありがとうございました。
一般財団法人医療情報システム開発センター理事長山本隆一君
本日は参考人として意見を述べさせていただく機会をいただき、ありがとうございます。
 私は、医師で医療情報の研究者をもう三十年以上やっておりますので、医療情報の観点から今回御審議中の法制度についての意見を述べさせていただきます。
 資料を一枚おめくりいただきまして、二ページ目に、いわゆる実地の医療、介護あるいは医学研究における従来の個人情報保護制度下の課題というのが列挙されております。一番上が、保護は追求されているんですけれども公正な利用の促進に対する対策が不十分であるとか、あるいは個人情報保護法は情報取得主体によって異なるルールで運用されている、それから遺伝する情報の本人同意の影響範囲が不明瞭という問題点、さらに四点目には、不正利用に関して実効性のある悪用防止の手だてが必要とか、五点目には、個人情報の定義が曖昧で匿名化が定義できないとか、それから本人が自らの個人情報の現状を知るために医療、介護分野で安心して利用できる共通IDが必要とか、これらの点が問題点として挙げられておりました。
 その下の三点に関しましては、現在御審議中の法制度、あるいは既に決められております個人情報、新個人情報保護法等で、あるいは政府の方針等で一応の手だてが、手当てが打たれているものと思われます。上の三つに関してはまだ少し、医療、介護あるいは医学研究の観点から少し不安がございます。
 次のページは、医学の教科書を上に四つ並べていますけれども、これ、私が医学部の学生の頃からこれらの本は同じような本がございまして、今も使われている有名な教科書ですけれども、この中に書かれている知識というのは実際の患者さんの知識がほとんどでありまして、実験室でつくったとか実験動物での知識というのはこれほとんど含まれていない、つまり患者さんのプライバシーセンシティブな情報から精製されたものであります。
 下の二つの絵は、これは一つはイギリスのアカデミー・オブ・メディカル・サイエンスが二〇〇六年に出したレポート、左側がそうで、右側がアメリカのIOMが二〇〇九年に出したレポートで、いずれも、データ保護法あるいはHIPAAのプライバシールールが制定されてから、公益的な医学研究に非常に手間が掛かって遂行が難しくなって、なおかつ患者さんのプライバシーの保護が不十分であるというふうなレポートが出ております。それ以外にもこの二つのレポートには解決策をかなり詳細に書かれておりますけれども、いずれの国も、個人情報の保護と、それから人類あるいは公益に資する医学研究あるいは疫学研究等の兼ね合いにかなり悩んできているというのが現状だろうと思います。
 その次の四ページ目は、これは厚生労働省の保険局が運用しているレセプト情報・特定健診情報データベース、俗にNDBと呼んでおりますけれども、私、これの有識者会議の座長をして、七年間これの、育ててきたといいますかお世話をしてきたんですけれども、今既に百億件を超えるレセプトが入っておりまして、一億数千万件の特定健診が入っております。
 ここでどういうふうに、これは法律に基づいて集めていますので、個人情報保護法の対象外ではあるんですけれども、集めるときに、これは複雑な形をもって一応匿名化をチャレンジをしています。それが五ページ目で、審査支払機関の出口でハッシュ、ハッシュというのは一方向に変換する関数でございまして、変換されたものから元に戻らないという性質を持っていますが、極めてまれな例外を除いて同じハッシュ値に変換されることはないので、例えば一人の人のレセプトは時期をたがえて出してきたレセプトも結び付けることができると。つまり、一人の人の情報は全てひも付けできるけれども誰のかは分からないというふうな工夫をされております。
 この情報が、今六ページ目に現状、ちょっとこれ古いデータですけれども、百億件を超えているということで、いろんなデータセットを作って様々な目的で利用できるようにということで提供してきておりますけれども、やはりこれ匿名化、完全に個人の情報でないとは言えないというような立場で行われています。もちろん新しい個人情報が制定される前ですけれども、いわゆる新個人情報保護法で言う匿名加工情報として扱えるように、安全管理をかなり厳しく審査した上で、公益性を審査した上で別途データを提供するということになっています。これが今御審議中の法律で非識別加工情報に相当するかどうかというのがかなりこの運用に関しては大きな問題でありまして、これは是非、その非識別加工情報に相当するというふうに判断をして、あるいはそれに相当するような加工をしなければならないと考えているところです。
 この利活用は、高齢者の医療の確保に関する法律で決められたデータベースですので、法律に基づいて利用する場合はそのまま粛々と利用しておりますけれども、極めて学術的にも有益性の高いデータベースですので、それ以外の目的に関しては有識者会議による審査で、先ほど申しましたように、いわゆる匿名加工情報あるいは非識別加工情報に相当するものとして様々な条件を十分審査した上で提供しているという制度になっています。
 こういったデータベースが、これからがん登録でありますとか、あるいはDPCのデータベースとか様々出てまいります。これが十分活用できることは、これから日本の社会保障の持続性を保障するに当たっては非常に重要ですので、是非この利活用を進めていくような形で、なおかつ患者さんあるいは介護施設の利用者のプライバシーは確実に保護されるという方向で進めていかなければならないというふうに考えております。
 それから、現実の問題として、困っている問題として八ページがございますが、医療機関は実は国立国際医療センターやがん研究センターのように国立の組織もございます。それから、当然ながら自治体立の市立、県立あるいは町立の医療機関もございますし、あるいは独立行政法人の国立大学病院もあります。それから、それ以外の大部分は民間でありまして、患者さんからするとどの主体の医療機関にかかろうと恐らく関係はないわけですね。なおかつ、現在は一つの医療機関で医療が完結する時代ではなくなってきております。複数の医療機関が連携をして情報共有をして一人の患者さんのケアをしていくというふうなことがもう当たり前の世界になってきておりますけれども、この主体が変わることによって個人情報保護に関わる制度が変わってくるということが実際の医療の現場でかなり大きな問題になっております。
 今回御審議中の法案で、独立行政法人あるいは行政機関の非識別加工情報に関しましては個人情報保護委員会が民間と同様に一貫してそれを指導していくということになりましたので、民間、国、独立行政法人は改善されるというふうに考えられますけれども、自治体立の医療機関との間が、これがまだ残っております。
 これは、制度が違うことが問題ではなくて、ルールが違うことが問題ではなくて、責任主体が異なるということが問題でして、責任主体が異なるために、各自治体では個人情報保護委員会が設けられていて、そこに、こういった医療連携を継続的にするというふうな計画があった場合にその個人情報保護委員会にかけて許可をもらわなくてはいけない。これが例えば十の自治体をまたぐような地域医療連携ですと、十の自治体の個人情報保護委員会に申請をして許可を得なければならない、これが非常に大きな事務的な負担になっております。
 それから、要配慮情報、これは病歴が新個人情報保護法では要配慮情報として明記されております。この病歴をどう捉えるかによってかなり現場での扱い、あるいは医学研究のいろいろな扱いが変わってまいります。
 一般には、広く医療情報を病歴と捉えるというふうに思われるのが普通だと思いますけれども、その場合はやはり若干の例外と申しますか、現場での取扱い上の利便性というのを考慮されなければなりません。これは法律ではなくて恐らく政令あるいは指針等の話になると思いますけれども、ここは十分配慮をしないと、現場に非常に大きな負担になると同時に、いわゆる患者さんあるいは介護の利用者と医療従事者あるいは介護従事者の間で意識の乖離が生じると、実際には信頼性に基づいて行われるべき医療、介護でありながらそういったことで、プライバシーの侵害を起こす起こさないという問題ではなくて、単に意識の違いで信頼性が失われることになると非常に大きな影響があるというふうに思われます。
 それから、十ページ目が遺伝する情報でございまして、これはなかなか難しい問題が含まれております。現在、厚生労働省のゲノム医療推進タスクフォースで議論がされているところでありますけれども、遺伝子情報は個人識別情報で、個人識別情報であれば要配慮情報であるという整理になっているというふうに聞いております。
 ただし、遺伝子情報と申しましても、遺伝子の部分情報である場合やあるいは一定程度統計処理をした情報などは個人情報に該当しない場合もあるので、今後検討するというふうに記載されております。
 このことによって、遺伝子情報が要配慮情報に相当するという原則を立てることによって、DTC、DTCというのはダイレクト・ツー・コンシューマーで、これは民間企業が直接利用者の遺伝子を分析するというビジネスベースの遺伝子検索ですけれども、こういったことが、不完全な同意の下で本人の意図しない利用を防止することはこれで対応可能だというふうに考えておりますけれども、一方で、共同研究におけるデータ共有が困難になることが予想されるとか、あるいは、同意の問題として、遺伝子の場合は、本人がたとえ同意をしていても、その個人情報の取扱いに関わる影響が血縁親族に及ぶことがあって、影響が及んだ人が同意をしていないというふうな問題も起こり得ます。
 十一ページ目は、これはアメリカのNIHのホームページのコピーでありますけれども、ゲノミック・データ・シェアリング・ポリシーとございまして、これはNIHがサポートする研究に関しましてはデータは全てシェアリングすることを義務付けている。これは何も無条件という意味ではなくて、限定された公開であるとか、あるいは非常に厳しい条件を付けた公開とかいろいろありますけれども、少なくとも共有しないということの選択肢はないということで進めています。
 これは、遺伝子の研究は、現在残っている分野というのは、やはり非常に少ない、難病に対する研究であるとか、そういったものでありますと、一つの研究プロジェクトで集められるサンプルでは不十分なことが多いわけですね。したがって、様々な目的で集められたサンプルであっても、それを共有することによってそういった希少疾患に関する診断あるいは治療に結び付くということが期待されますので、このNIHのグラントを受けている限りはこのデータ・シェアリング・ポリシーに従うということが義務付けられております。
 それから、十二ページは、これは我が国の科学技術振興機構が運営しておりますバイオサイエンスデータベースセンターで、これも今、遺伝子に関わる研究費を取りますと、結果をこのNBDCに登録することを強く勧められています。
 こうして様々な目的で収集された遺伝子情報を共通に利用することによって、まれな疾患あるいは非常に重要な疾患に関する診断及び治療への研究に結び付けようという努力をされているわけですけれども、実際にデータを収集するときに、その利用目的が、将来にわたる利用目的が全て分かるわけではないですね。したがって、全てを説明して同意をいただいているわけではないので、これがその要配慮情報を厳密に適用すると利用目的を明示した上で同意をいただかないと利用できないということになり、これらの動きが非常に制限されると。また一方で、国際的な協力というのも非常に進められているところでありまして、これも我が国だけが置いてきぼりになるというふうな可能性もないではないとちょっと危惧をしております。
 十三ページは同意の在り方で、これはいろんな同意があるということをここにお示ししただけでございまして、これ要配慮情報で禁止されているのはオプトアウトだけなんですけれども、これはもう少し緻密な議論が必要ではないかというふうに考えております。
 最後に、まとめですけれども、個人情報の保護は明らかに改善されると。それから、個人情報保護委員会を匿名加工情報あるいは非識別加工情報のコミッショナー、扱いのコミッショナーとすることで基準が明瞭になると。ただし、地方自治体による差が相変わらず残ってしまうということで、これは更にこれから努力が必要だろうというふうに思われております。
 それから、要配慮情報に病歴が含まれる、それから遺伝子情報を含むということで濫用されるリスクは低下しますけれども、その一方で、公益研究、特に多施設共同研究や国際共同研究に不要な負荷がないように十分な対策を望みたいと考えております。
 それから、遺伝する情報の保護は、先ほど言いましたように、個人情報保護法はやはり同意ベースでありますので、同意の有効範囲が及ばないところで影響が出る可能性があるということで、それ以外の制度的な裏付けが必要ではないかと、あるいはこれで十分なのかという検討が必要だというふうに考えております。
 私の意見は以上であります。
 どうも御清聴ありがとうございました。
日本弁護士連合会情報問題対策委員会委員清水勉君
日本弁護士連合会情報問題対策委員会の委員の清水と申します。
 お手元に意見のメモをお配りをしております。第一から三ページまでのところは日弁連の意見としまして、四ページ以下は私の個人的な意見です。断続しているわけではないんですけれども、日弁連の委員として来ているものですから、まず日弁連の見解というものを御説明した上で私の意見を述べさせていただきます。
 日弁連といたしましては、個人情報保護の問題に関しましては、第三者機関によるチェックという仕組みが必要だということを住基ネットが施行された二〇〇二年の人権大会のときから提起をしておりまして、以後、事あるごとにこの第三者機関をということを申し上げてきました。
 マイナンバー法の成立に関しましては、実は、反対はしておりましたけれども、当委員会としましては条文作りにつきましてもかなり意見を常々申し上げておりまして、その中でマイナンバーについては第三者機関を入れるべきではないかということを検討しまして、また各党にもお願いに回りまして御了解を得て、マイナンバー法の中には第三者機関が入るということになりました。その後さらに、今回新たにできました改正個人情報保護法の中では第三者機関、民間については全般的に及ぶというものになりました。
 そういった意味では、日弁連が二〇〇二年に提案してきたことが民間の方に関しては実現をしてきたということが言えるというふうに考えています。
 ですが、行政機関の方について見ますと、法案はまだ不十分ではないかということを考えております。ここでは、非識別加工情報の取扱いについてのみ個人情報保護委員会が官民を通じて一元的に所管をするということになっております。また、全ての行政機関、独立行政法人における個人情報の取扱い全般について、個人情報保護委員会が監視、監督する権限を与えるべきだというふうに考えております。
 二番目に書きましたものは、これまで日弁連が独立性の強い第三者機関をということで提案をしてきたものの意見の紹介であります。
 法案提出までの第三者機関に関する経緯としまして、三のところで説明をしております。
 四のところですけれども、行政機関が保有するパーソナルデータの特質としまして、法令上の根拠に基づいて行政事務の遂行のために必要な範囲内で収集、保有をし、これには本人は選択の余地はありません。ここが民間と基本的に違うところでありまして、民間のところは、どこにそれを提供するかということ、考え方としては基本的に自由でありまして、一定もう出さないことによって契約ができないこともあれば、それでも構わないというようなこともありますけれども、行政の場合にはそういう選択は基本的にありません。また、病歴、収入、資産等のセンシティブ情報があり、プライバシー保護の必要性が高いということもありますし、民間と違いまして、行政の場合には個人情報の蓄積が非常に長期間のものであり、また全国的に組織的にということがあります。
 ただ、ここで一つ注意しなければいけないのは、今回の法律の不十分性にも関連するんですが、個人情報がある行政組織はどこかといいますと、国の行政機関ではなくて、県ではなくて、市町村が一番多いということであります。したがいまして、市町村が持っている個人情報についてそれをどうするのかということを考えないと、それに対して、じゃ、県はどう関わるのか、国はどう関わるのかという関係性になるのでありまして、この法律の附則の四条を見ると自治体の方まで考慮していることは分かるんですけれども、これがトップダウン方式になっておりまして、むしろボトムアップ的に考えていくべきではないかというふうに考えます。
 行政機関における違法、不当な取扱い例としましてここに幾つか例を挙げましたけれども、防衛省における情報公開請求者リスト事件がありましたし、また、自衛隊情報保全隊による情報収集活動の問題もありまして、これは仙台地裁、仙台高裁で一部違法という判決を得ています。それから、警視庁公安部のテロ捜査資料の流出事件でも、これも東京地裁で違法という判断が一部ではありますがなされています。また、有名なものとしては、日本年金機構からの大量漏えい事件というものが二〇一五年に起こっています。
 総務省の研究会では、今回いただいた資料の中にも出ていますけれども、第三者機関にさせることについてはワークしないんだという言葉がキーワードのように使われておりますけれども、特定個人情報の取扱い、行政機関も個人情報保護委員会が監督をし、非識別加工情報、これも同様。では、個人情報全般について監督できないのはなぜか、ここには理由がないのではないかと。
 むしろ、こういう穴の空け方というのは、情報をどこからを識別でき、どこからは識別できないかという判断も微妙な問題がありますし、これからますますいろんな形で個人情報というものを扱う場面が出てくると思います。そうしたときに、それぞれが自分の所管ではないというような考え方をしても困るわけでありまして、これは全般的に第三者機関というふうになっていかなければいけないのではないかというふうに考えます。ここにEUの十分性認定が受けられないことの原因が一つあるのではないかと思います。
 それと、先ほど申し上げました、個人情報については、行政の現場では最も大量の個人情報があるのは市町村であるということであります。これは各自治体の条例で取り扱われるということになっておりますので、非常にそこは大きな問題です。全ての行政機関等の個人情報の取扱いにつき、個人情報保護委員会が監視、監督する制度にすべきであるというのが当委員会の考え、日弁連の考え方であります。
 非識別加工情報についてですけれども、一般に、行政機関等の保有するパーソナルデータは取得プロセスの権力性、義務性、秘匿性が高いという特性があります。このようなパーソナルデータを商業目的で利活用することは、本人の予測の範囲を逸脱した目的外利用であり、プライバシー侵害のおそれがあるのではないかということでまとめさせていただいております。
 以下は個人の見解ですけれども、そもそもなぜパーソナルデータの扱いに慎重な立場を取る必要があるのかということでありますけれども、昨今、パーソナルデータの収集、蓄積、検索、編集が誰にでも極めて容易にできる情報環境社会になっているということであります。つまり、大人でないとできないとか日本社会にいる人でないとできないとかというものではなくて、世界中どこにいる人であろうが子供であろうが誰であろうができると、その人が扱う動機が何であれできるという環境であります。
 パーソナルデータは、一旦外部流出した場合、それ以上に広がることはあっても、なかったことにすることはできません。本人が気付かないうちに広がり、利用され、悪用され、本人が不利益を被るということが起こり得ます。誰がいつどのようなパーソナルデータを悪用するかは予測不可能であり、情報は有体物ではありませんので、不正利用している者以外には不正利用されているということが判明しづらいという現実があります。ここは有体物と違うところであります。
 危険な情報環境、制度設計と運用、これをつくらないということが課題になるということであります。ここで課題と言いましたのは正解がないということであります。どういう方向性で考えていくべきかという方向をきちんと見据えて、つまり利活用と保護というものをどういうふうにバランスを取っていくかということを、環境が変わるごとにどんどんバージョンアップしていかなければいけないということであります。
 我が国の個人情報保護法制の基本的な価値観ということですけれども、EUとアメリカというのが一つの比較になるかと思うんですけれども、EUの方は個人の尊厳を重視、政府や制度が個人の判断が及ばない部分を守る必要があるという観点があります。これに対して米国の方は、個人の自由、プライバシーというものが自己決定権というふうな意味で使われることもあります。政府の介入を基本的に嫌うということがあります。
 この連休中、私の事務所の弁護士がアメリカ・ニューヨークに行きまして、この問題について弁護士さん、行政の方たちと話をしてきましたが、最近プライバシーという言葉でアメリカでは判決は出ていません。これはなぜかというと、プライバシーという説明の仕方で切るのではなくて、例えばイスラムの人たちの情報ばかりを集めるという問題については、プライバシー侵害の問題ではなくて平等原則違反という、つまり違った説明の仕方で切っておりまして、プライバシーの概念がどうするかによって変えてしまうのではなくて、この局面で何が問題になっているかということをよく考えて制度設計していくというのがアメリカの考え方というふうに考えた方がいいかと思います。そこの基本にあるのは個人の自由、自由に選択をしていくという価値観。これは、いわゆる移民国家として様々な民族が世界中から集まっている国家としてはそのような、まあ日本のように日本にずっと生まれ育って生きてきた人たちがいる社会のような考え方とは違うものになるということは、これは社会のありようとしてうなずけるところであります。
 しかし、制度としてEUとアメリカはかなり違います。ただ、その中核として守るべきは、先ほど出ました医療の情報についても、こういうことは守るべきだよねという考え方はあったとしても、それをどう守るかというところについての理屈の立て方、制度のつくり方のところに違いがありますので、日本はどうすべきなのかということを、どこかのまねということではなくて、この国ではどうすべきかということを考えていくべきなんだろうと思います。
 具体的なニーズを前提としない制度設計は無駄であり、無謀だということであります。
 今回のことにつきましても、お配りいただいた資料でヒアリングをした資料がたしかあったと思うんですが、経済界からの意見の部分を見させていただいたんですけれども、そこで、百四ページ、百五ページですね、ここを見てがっかりしたんですけれども、つまり、要するに、使えるといいよねと言っているだけでありまして、何がしたいのかということが具体的にないことです。
 様々な微妙な問題があるだけに、何がしたいのかということを具体的に提案をしていただくならば、どういう制度がある、どういうふうな法改正が必要だと具体的に言えるんですけれども、余りざっくりと言われてしまうと、やはり微妙な問題がたくさんあるだけに、こういったものが動機となって法律を作っていくというのはよろしくないのではないかというふうに考えております。
 過去の例でいいますと、住基ネットがうまくいかなかったという原因は、市町村のネットワークでいいんですかというのを私としては意見を持っていました。つまり、市町村にニーズがないところにネットワークをつくるというのは、そこで各それぞれに責任を負わせるという仕組みは非常に問題があるのではないかというふうに思います。
 マイナンバー制度についても、社会保障と税の一体改革というスローガンでやってしまいましたけれども、スローガンと具体的な制度設計というのは、これはなかなか結び付きません。ですので、ここにも難しい問題があったというふうに考えております。
 飛ばしていただきまして、二千個問題のことについて一言言わせていただきますと、衆議院のときには新潟の鈴木先生が、様々な主体があって条文が違う、こんなに違っているんだというお話をされたんですけれども、条文の問題ではなくて、むしろ先ほど山本先生がおっしゃったように、誰が責任を持って管理するかということの方が重要であります。
 条文のことについて言うと、それが、実際にはこの手の問題は、情報公開条例も個人情報保護条例も、どこかの自治体で幾つかサンプル的なものができると、よその自治体はほとんどそれをまねして作るというやり方をしていますので、条文は多少言い回しが違っていてもそれほど大きな差はありません。
 例えば、認知症の行方不明者の情報公開について積極的な県、千葉県、静岡県などがある一方で、舛添東京都知事は、厚労省が公表すべきだと指摘していましたけれども、しばらく拒絶をしていました。その後、私の方でも新聞記者の方にいろいろとレクをしまして、東京都は方針を変えています。
 参考として、六ページに東京都の個人情報保護条例と静岡県の個人情報保護条例を挙げています。これ、アンダーラインを引いているところは、このアンダーラインの解釈によって千葉県や静岡県のようにすることはできるんです。なのに東京都はしなかったというのは、これは知事の判断でそうしていないというだけの問題でありまして、とても人間的です。ですから、この解釈、運用をもっと合理的にしていくという必要があるのと、それから責任主体をもっと統一化していくと。
 どういう責任主体をつくっていくかということも考えていく必要があります。自治体が個人情報を持っているときに、そこで集めて使っていることに対して、よその人間が全部それについて責任を持つということはできません。ですので、個人情報一本という形でつくっていくこともできるかもしれませんけれども、それぞれの利用目的の範囲内で使う、あるいは共有するというものを一つの法律で作りながら、責任の明確化ということを目指していく必要があるのではないかというふうに考えます。
 ありがとうございました。
吉良よし子君
日本共産党の吉良よし子です。
 今日は、三人の参考人の皆様、貴重な御意見聞かせていただき、ありがとうございます。
 それでは、早速ですが、質問に移らせていただきます。
 先ほど来お話を聞いておりますと、やはり個人情報というのは一度流出してしまうと取り返しが付かない、そういった中で取扱いというのは相当慎重にしなければならないというお話があったかと思います。
 とりわけ、清水参考人からは、行政機関が扱うがゆえに、長期間にわたって組織的に、そして選択の余地なく集められた情報が蓄積されている行政機関の扱う個人情報であるがゆえに、その扱いということがかなり問題になってくるというお話があったかと思います。
 そこで、そのパーソナルデータを守る上で重要なのが第三者機関だというお話もありましたが、清水参考人はその中で、今回の本法案においてはその権限が非識別加工情報の取扱いのみとされている点についても極めて不十分であり、全般に監督すべきという点を強調されたかと思うんですけれども、具体的に、では第三者機関とはどのような形であるべきかという点お聞きしたいのと、同じ観点で第三者機関についてどうあるべきかという点、宇賀参考人、山本参考人にも伺いたいと思います。
清水勉君
先ほど来から何度も申し上げておりますように、法律がどこでも個人情報という枠で規定しちゃうものですから、その中で、差別の深刻性の問題、あるいはプライバシー侵害性の深刻なものと隔たって全然そうでもなさそうなものというものが全部一緒の言葉の中へ入ってしまっているために、どういうふうに保護すればいいのかというのが、条文を幾ら並べたところでそれが適正にできないという限界があります。
 ですので、第三者機関が必要だということ、扱っている当人じゃない、しかも専門性の高い、独立性の強い、それが今現在ある個人情報保護委員会だというように認識しておりますけれども、ここで重要なのは、形として独立性の強いものをつくったから、専門性のあるものをつくったからいいというふうに安心してはいけないのでありまして、実際にそれが確保できているかどうか。
 これは、そこのスタッフの人数が十分この制度に対応できるものになっているかどうか、またそれが、ここで働いている人たちの専門性、例えば二年、三年で職員がどんどん替わっていくというような組織だとすれば、ここの専門性はなくて、単にそこに行って帰ってくるだけの組織になってしまいます。
 また、私たち日弁連でも個人情報保護委員会に委員を入れたことはあったんですけれども、結局、弁護士の月々の報酬に合わせてくれとかということではないんですけれども、一日一万円とかという金額ですと、とても十年ぐらいやっているような弁護士は絶対行けないのでありまして、大きな事務所の新人弁護士に行かせることができるかというくらいな状況になっています。
 私どもの委員会の感覚からすると、せめて五年くらいは私どもの委員会で専門性を身に付けた者、弁護士がそこの事務局に入っていくというようなことが何人かできるならば、現に情報公開審査会、個人情報保護審査会、国の方ですけれども、ここには弁護士が入ったりはしています、かなりベテランも入っていますけれども。それに比べると、こちらの方の第三者機関はかなり事務量も多いですし専門性も高いだけに、是非外部の弁護士なども入れるようなものになる必要があるかなと。
 実際のところは、行政機関から、各省庁から来てくださる方はいい仕事をしてくださっていることは承知はしています。私自身もその委員会のスタッフ等とも付き合いがありますので分かっていますが、是非、役所の人たちだけが集まってくるものではなくて、それ以外、弁護士、弁護士以外でも専門性の高い方がいるのであればそのスタッフに入れるような、そういうものが必要かなというふうに思います。
宇賀克也君
その独立した監督機関ですけれども、組織的に独立をしているということはこれは当然必要だと思いますけれども、今、清水参考人もおっしゃられたように、やはりそれだけでは不十分であって、その機関がまず十分な権限を有しているということ、これが必要ですし、また、実際にそこで働く委員、職員が十分な専門性を持っているということが必要であります。
 この点について、EUの司法裁判所ではその独立性ということについて非常に高いレベルの水準を求めておりまして、やはりその専門性とかそういった面についても十分配慮しなければ真の独立した監督機関にはならないのではないかと考えております。
山本隆一君
独立性に関してはヨーロッパが特に強く求めていますけれども、多分、歴史的にEU等では、プライバシーというのは基本的には公権力が個人の情報を操作することに関する権利意識というのがあったように思います。したがって、公権力から独立していないとプライバシーコミッショナーとしての意味がないということで、多分十分性認定でかなり強く求めてくるんだろうと思います。それは私もそう感じております。
 それから、医療の立場からいうと、やはりその第三者委員会の専門性がすごく気になっているところでありまして、これは英国のナショナル・ヘルス・サービスが自分たちのデータの利活用に関して審査をする機関を持っているんですけれども、その機関だけで職員が二千人を超えているんですね。そこで、もう様々な申請に対してEUの規律あるいはイギリスのデータ・プロテクション・アクトの規律等を照合してデータの利活用を説明ができる形で決めていくというふうなことをやって、それでもその申請処理に結構間に合わないというぐらいですから、今の我が国の個人情報保護委員会だと、やや専門性とその規模の点で少し心配があるというふうに言わざるを得ないんじゃないかなと思っています。
吉良よし子君
ありがとうございました。
 では、続きましてもう一点、先ほど来何度か出ていますけれども、地方公共団体の保有する個人情報の利用についてというところを伺いたいと思うんですが、やはり、先ほど来指摘されているとおり、多くの個人情報が所有されている場所というのは、国ではなく地方自治体の中にあると思われるわけです。そういう中で、市町村が本当に保護できる措置がきちんととり得るのかという点も心配ですし、また、この本法案の附則第四条第一項において、この法律の公布後二年以内に地方公共団体が保有する個人情報の一体的な利用の促進のための措置を講じるということは書かれているわけですけど、じゃ、その情報がどれなのか、一体的に利用されるというのはどういうものなのかというのが明確ではない中でそうした措置を講じることのみ先行させる、清水参考人はトップダウンというふうにおっしゃられましたけれども、ということをしていく中で、本当にこの各自治体の保有するパーソナルデータというものが危険にさらされないように守ることができるのかという点を私、大変懸念を持つわけですけれども、そういったところについて、自治体の保有する個人情報の利用どうあるべきかという点、清水参考人、山本参考人、宇賀参考人にそれぞれ伺いたいと思います。
清水勉君
今日配られた参考資料の中の百六ページで山本先生の発言が幾つか並んでいるんですけれども、この中で地域包括ケアということが書かれていますけれども、これ自体はもうかなり以前から地域では課題になっておりまして、私自身も一定の地域でそのネットワークをつくれないかということで協力していたことがあります。
 実際にできたのは、税についてはできたんですけれども、それ以外のものが、システムとしては各自治体がばらばらにつくっていたために、なかなか予算的にできなかったということがありました。その中で住基ネットというものができて、これを基にしてつくれるんじゃないかというふうに考えたんですけれども、結局そこはうまく進みませんでした。
 つまり、そこでは、制度をつくっていくということと地域包括ケアのようなものについてのニーズというものはどう組み合わせるのかという、こちらのニーズの方を先に考えてどういう仕組みにするべきかというふうに考えれば住基ネットもまた違った形で考えられたのかもしれませんけれども、先に制度をつくってしまって、それに合わせる形でやろうとするとできないということが起こりました。
 片方で、市町村の場合も、個人情報を管理している職員というのは、二年か三年で担当替わってしまいますし、また、その専門性についてもほとんどありません。ですので、そういったところと、非常に、人口が百万もいるようなところで専門の職員が何人もいるというところではもう管理レベルが全く違いますので、そこをもっと包括する形での管理運用をする。
 つまり、従来の個人情報の扱い方と全然違う次元に入ってきてしまっていますので、そこが、今の状況でその地域の自治体あるいは自治体を超えたその地域の住民に対しても喜んでもらえるような仕組みにするためには、やはり管理運用についても、市町村という単位ではなくて、もっと広い枠で運用するようなものにしていく必要があるんだろうと思います。
 そのときには、自治体の職員というのは基本的には、余り言っちゃいけないかもしれませんけど、新しい面倒な仕事をしたがらないものですから、むしろ、まさに医療の現場でのニーズというのがあることを踏まえて、やはり山本先生が指摘されているような地域包括ケアのイメージで制度設計を考えていくというのが、いろんな立場から意見が出ている、これは皆さんいいねってなるはずのものですから、進めていくべきでないかなというふうに思います。
山本隆一君
二面あって、一つは、その情報セキュリティーをどう保つかという問題が今のいろんなサイズの自治体がある中で十分なのかどうかというのがあって、これはもう私何とも申し上げられないんですけれども、一つ、今の番号制度のあれで、自治体のシステムに関して個人情報保護影響調査というのをしなくちゃならなくなって各自治体がやっているところですけれども、あれは多分一つの練習になって、そういう考え方が様々な自治体のシステムにうまく広がっていけば情報セキュリティーに対する対策は一定の進歩が期待できるのではないかと思っています。
 それから、もう一方で、先ほど清水先生がおっしゃったように、もう自治体が中心になって地域医療を考えていかないと回らない時代になってきていますので、そういう意味では地域包括ケアの中心は自治体になります。そこに民間の事業者さんがたくさん入ってきて、情報を共有しつつ、それを進めていくという、これ非常に難しい話ですけれども、それを進めていかないことには動かないわけですから、これがうまく回るような制度の設計をきちっとしていかないといけないというふうに考えています。
 今すぐこうしたらいいという妙案が私にあるわけではないんですけれども、それを十分意識してやらないといけないというふうに考えています。
宇賀克也君
我が国の個人情報保護法制、非常に分権的な仕組みを取っておりまして、都道府県それから市区町村、一〇〇%個人情報保護条例、現在制定しております。そして、一般的に申しますと、国以上に熱心に個人情報保護をやっていると言ってよいかと思います。ただ、専門性の問題がございますけれども、自治体の場合、それを補っているのが個人情報に関する審議会あるいは個人情報に関する審査会でございまして、こうした第三者機関を用いて個人情報の制度を運用しているということがございます。
 ただ、この点は山本参考人や清水参考人とも意見が同じなんですけれども、事医療の分野に関しましては、これは一人の患者さんが同じ疾病で公立病院に行くこともあれば、国立大学法人の病院に行くこともあれば、あるいは民間の病院に行くこともあると。その医療情報を、これを連携して有効活用していく必要があるということですから、この分野に関しましては、私は、個別法を作って、その保護と利用について医療の特性を反映した仕組みをつくっていく必要があるんではないか、そのときには、自治体の持っている医療情報も含めて対応する必要があるんではないかと考えております。
吉良よし子君
ありがとうございます。
 やはり、先ほどからあるように、ニーズに基づいて制度をつくるということが私本当に大事なのかなということをお話伺って思ったんですけれども、例えば、先ほど来あるように、医療については本当にニーズがあって、そういった特別法も必要なのではないかというのをお三人から出されたわけですけど、そういうふうに分野に絞ってどう利用というニーズに基づいて制度をつくるというのであれば分かるんですけれども、網羅的に、きっとこういう情報を使える法律があるといいよねという形での今回のような法律を作るという、改正していくという形というのは何か私にとっては疑問が残るわけですけれども、その点について、最後、清水参考人、御意見いただければと思います。
清水勉君
時間がないので簡単に言いますけれども、資料の百四ページ、百五ページ辺りのところを見ると、やはり具体的に、本当、個人情報の扱い方というのはいい面もあるけど悪い面もあるという問題ですので、こういうことに使いたいということを明確にしないといけないと思います。
 ですので、むしろ医療の分野のことを国民がいろんな立場で考えて、そこを出発点として、じゃ、ほかの分野はどうするか、あるいは法律全体をどうするかということを考えていくというのが出発点となるべきではないかというふうに考えています。
吉良よし子君
ありがとうございました。終わります。