1 マイナンバー制度の問題点
マイナンバー制度は、2013年に成立した行政手続における特定の個人を識別するための番号の利用等に関する法律(個人番号法、マイナンバー法)により導入された制度であり、日本国内の住民票を持つ全住民に自動的に番号が付番され、税、社会保障、災害対策の分野において利用されるとされています(ただし、2023年個人番号法改正により対象分野は拡大されました)。また、マイナンバーカードは、申請により取得する身分証であり、氏名、住所、生年月日、性別等が記載され、顔写真も付いています。搭載されたICチップには、電子証明書や顔認証データが登録されており、空き容量は官民問わず様々なサービスに利用することができます(特定地域の医療情報連携、会社の入室権限の認証等に利用されているようです)。
諸外国においても、国民(住民)に共通番号を付番する制度が採用されている例はあるものの、日本のマイナンバー制度は、個人情報保護の観点から問題があると言わざるを得ません。マイナンバー制度では、行政機関は個人から提供されたマイナンバーと個人情報を紐づけし、情報連携を行う場合には情報提供ネットワークシステムを通じて他の行政機関に照会します。その際には、マイナンバーとは異なる機関別符号を用いて照会を行います。この方式は、オーストリアなどで用いられているセクトラルモデル(個人に付番された番号を、分野ごとに暗号を用いるなどして変換した番号をもって管理する方式。分野ごとに把握している番号が異なるため、行政機関同士で番号を用いた個人情報の照会ができません)に近いのですが、結局、各行政機関はマイナンバー自体で情報を紐づけしているため、情報提供ネットワークシステムを介さずとも、行政機関同士でマイナンバーを用いた情報照会が事実上可能となります。また、情報提供ネットワークシステムを通じた情報照会の際も、独立した監督機関のチェックを介在させておらず、データへのアクセス権限を有する者の権限濫用または逸脱によるアクセスのリスクがあり、これを排除するための技術的防止措置も講じられていないなど、制度上の欠陥があるといえます。
また、マイナンバーカードも、搭載されたICチップに格納される電子証明書を利用して作成されるがマイナンバーとは別の個人識別符号の役割を果たすことになり、民間企業も同ICチップを利用できることから、様々な個人情報(例えば、買い物履歴や施設の利用履歴、図書館での借入れ履歴など)が紐づけされるおそれがあります。
さらには、これは人的なミスも含まれますが、マイナカードを強力に推し進めた結果、他人の情報と連携してしまい、他人が秘匿性の高い医療情報等を閲覧することが可能となってしまうなどの問題が多数発生しました。
2 監督機関の機能不全
(1)マイナンバーに関する監督
このようなマイナンバー制度に対し、監督機関である個人情報保護委員会(以下、個情委)が監督機関としての機能を十分果たすことができていない点は大きな問題です。
個情委は、個人番号法に基づき2014年1月に設置された特定個人情報保護委員会が前身であり、元々は特定個人情報(マイナンバーを内容に含む個人情報)の取扱いに関する監視・監督をする機関でしたが、2016年の個人情報保護法の改正に伴い、個人情報保護委員会として新たに設置されました。
本来であれば、監督機関である個情委は、上記のようなマイナンバー制度の問題点に対し、個人情報保護の観点から是正を求めることが期待されます。しかし、その役割は到底果たされているとは言えません。2023年7月、個情委はデジタル庁に立ち入り調査し、同年9月には行政指導を行いましたが、マイナンバー制度やマイナンバーカード活用・推進による個人情報保護上のリスクには触れず、情報紐づけ時等の本人確認の方法についての不十分性、情報漏洩時の報告体制の不備等を指摘したに過ぎません。また、2023年個人番号法改正によるマイナンバーの利用範囲の拡大に対しても、何ら反対意見などは述べていません。
(2)個人情報保護機能の不全
個人番号の問題に限らず、個情委が監督機関としての役割を十分果たしていないと考えられる事例は多数存在します。
2021年デジタル改革関連法により改正された個人情報保護法に関し、個情委は、個々の自治体が類型的に個人情報保護審議会等への諮問を行うべき旨を条例で定めることは許容されない、との意見を表明しました。個人情報保護審議会は、自治体において個人情報の適正な取り扱いに関し、専門的な知見に基づき諮問を受ける機関です(個情法129条)。審議会への諮問は、個人情報の取扱いに関する一種の監督機能を果たしていました。改正後の個人情報保護法上、自治体における審議会への類型的な諮問を否定する条項は見られません。個情委の解釈は自治体の審議会への諮問を大きく制限しました。
また、防衛省が自治体へ自衛官募集事務の協力要請として、採用対象者の氏名や住所等の個人情報の提供を求めることについても、政府の解釈を是とし、都道府県知事等が自衛官等募集の事務を行うとする自衛隊法97条1項を法律上の根拠として自治体は第三者である防衛省に本人同意なく個人情報を提供できるとしました(個人情報保護法上、法律の根拠があれば自治体は本人の同意なく個人情報を第三者に提供することができるとされています)。自衛隊法97条1項は自衛官募集事務を首長が行うとしている条項に過ぎず、住民の個人情報を防衛省に提供できると定めているものではありません。個人情報保護の観点からすれば、このような条項を根拠に個人情報を提供できるとすることには大きな問題があるといえます。個人情報保護のために活動すべき機関がこのような解釈をすることは、到底許されるものではありません。
そもそも、上記の個情委の対応は、個情委のみが個人情報保護法の解釈権限を持っているかのようですが、そのようなことはありません。最終的な法解釈権限は司法である裁判所にありますが、自治体においても、地方自治の本旨に基づき法律を解釈し条例を制定するなどして独自の取組みを行うことができるのであり、個人情報保護を軽視する個情委の対応は地方自治への不当な介入と言いうるものです。
その他にも、JR東日本が主要な駅に設置したカメラにより顔認証データを用いて元服役者や不審な行動をとった人物を検知するシステムを稼働させ批判を浴びた際、JR東日本は個人情報保護委員会と調整したと述べています。すなわち、前科情報などの秘匿性の高い要配慮個人情報と、顔認証データという個人識別機能の高いシステムを用いて、駅という誰もが利用できる公共空間で「犯罪予備軍」をあぶりだすことを、個情委は認めたのです。Eでは、公共空間での顔認証データを用いた警察捜査は原則禁止とされるなど、世界的には顔認証の規制が進む中で、明らかに逆行する対応です。なお、市民団体が個情委に対してJR東日本とのやり取り内容の開示請求を行ったところ、大部分が黒塗りで開示されたそうです。
以上のように、個情委は「個人情報を保護する機関」としての機能を十分果たしているとは到底評価することはできず、むしろ「個人情報の利活用にお墨付きを与える機関」になっているともいえます。
(3)個情委の法的な位置づけ
以上のような個情委の運営実態は、法的な位置づけにも一因があると考えられます。個情委は、個人情報保護という目的の前置きとして「個人情報の有用性に配慮」することとされ(個人情報保護法131条)、その所掌事務に「個人情報の保護及び適正かつ効果的な活用についての広報及び啓発に関すること」が掲げられる(同法132条6号)など、個人情報の保護と相反する個人情報の利活用もその任務とされているのです。
また、法律上は独立性が認められていますが(同法133条)、委員の選任理由などは不明確であり、国会において委員の資質について実質的な審議も行われていません。さらに、委員会は事務局主導で進められており、委員からの発言は少なく、委員会内で実質的な議論がなされたり、それに基づき個情委としての意見やガイドラインが作成された様子はあまり見られません。委員会で取り上げられたいくつかの議題について、委員会に先立って事務局から委員に対して行った説明などの文書について開示請求をしたところ、メールなどでのやり取りは行っておらず、全て口頭で行っているとして、具体的な説明資料などは一切開示されませんでした。自発的にウェブサイトで委員会の内容などを徹底的に公開している原子力規制員会等と比較すると、著しく透明性に欠けると言わざるを得ません。
3 個人情報保護の重要性と今後求められる運動
日本国憲法上、個人情報保護についての明文規定は存在しません。しかし、現代では憲法13条に基づく幸福追求権の一つとして、自身の情報をみだりに公開されない権利や、自己情報を自らコントロールする権利が認められると解されています。特に、インターネットやAIの発展に伴い、個人情報の持つ価値は非常に大きなものとなっており、同時に、それらを取得・利用されることによる不利益も甚大なものになりえます。
このような状況下において、諸外国では、個人情報保護が重視され、独立した監督機関によって、個人情報の適切な取り扱いを確保しようとしています。E一般データ保護規則(GDPR)は、監督機関は「完全な独立性」をもって行動しなければならないとして、様々な独立性確保の規定を設けています。さらに、官民問わず、個人情報の取扱い等についての調査権限、是正権限等も定められています。このような高い独立性と強い権限の下、例えばスウェーデンでは監督機関の事前の許可なく警察が顔認識技術を使ったとして、警察当局に約3200万円の制裁金を科しています。また、不適切な個人情報の取り扱いを行った企業に対し莫大な制裁金を課す事例も多数出ています。しかし、日本においては、法制度上も、監督機関たる個情委の運営上も、到底個人情報保護が十分に果たされているということはできません。
2023年3月のマイナンバー違憲訴訟最高裁判決(最判令和5年3月9日第一小法廷)も、自己情報コントロール権としての保障は認めておらず、マイナンバー制度は憲法に違反しないと判断しました。最高裁は、その理由の一つに独立した第三者機関である個情委に種々の権限を付与した上で、特定個人情報の取扱いに関する監視、監督等を行わせることとしていることを挙げています。しかし、上記のような個情委の法的位置づけや運用実態を踏まえれば、独立した監督機関による監視、監督が適切に行われているとはいえず、マイナンバー制度の合憲性の根拠が崩れることになります。
かつて、ヒトラー率いるナチスドイツは、IBMが開発したパンチカード機器を用いて国民の個人情報を集約し、効率的にユダヤ人等迫害の対象者を抽出して虐殺していきました。インターネットを介して様々な個人情報をやり取りし、AIを用いて様々な情報の統合や推測が可能となった現代においては、個人情報を保護する必要性はより高くなっています。個人情報の利活用が社会に恩恵をもたらすことは事実ですが、これは適切に個人情報保護が図られることが前提です。今の日本社会の個人情報保護の惨状を打開するためには、我々一人一人が個人情報についての意識を高めることが必要です。その上で、監督機関である個人情報保護委員会の位置づけや権限の見直し等、個人情報保護制度の抜本的な改革が不可欠と考えます。
