hq49_main_img.jpg

マイナンバーと個人情報保護の高度化

  • 一橋大学名誉教授・特定個人情報保護委員会委員長堀部 政男

RESEARCH ISSUES

2016年冬号vol.49 掲載

はじめに

番号時代が現実のものとなった。自然人である個人には12桁の「個人番号」、法人等団体には13桁の「法人番号」が付される。国立大学法人一橋大学も、法人として「法人番号」の対象である。
番号法などと略称される「行政手続における特定の個人を識別するための番号の利用等に関する法律」(2013年5月31日公布)は、「個人番号」と「法人番号」の双方を規律する法である。「法人番号」については、ほとんど議論がないが、「個人番号」については、これまでにも、また、これからも、さまざまな議論が展開されるであろう。
ここでは、「個人番号」の導入に当たって、個人情報をどのようにして保護するかなどを検討した、政府の「個人情報保護ワーキンググループ」の座長を務め、また、番号法の施行に当たって、「個人番号」をその内容に含む個人情報(これを番号法上「特定個人情報」という。)(第2条第8項)の適正な取扱いが確保されるように監視監督等を行う特定個人情報保護委員会の委員長という立場にあるとともに、半世紀(50年)以上にわたってプライバシー・個人情報保護の在り方について研究・実践をしてきている研究者でもある筆者の経験を踏まえて、番号時代のプライバシー・個人情報保護の問題を論じてみることにする。

マイナンバー制度導入に至る経緯

マイナンバー年表

ここでは、「番号」という言葉を最初に使ったが、最近では「マイナンバー」という言葉が飛び交っている。これは、2011年に約800件の公募名称から選ばれた(筆者はその選考委員を務めた)番号の愛称である。番号法は、「法人番号」についても規定しているけれども、番号法の別名として「マイナンバー法」が使われることもある。マイナンバー(法)という名称が今やかなり一般化してきているので、本稿でもこの名称を原則として使うことにする。今回のマイナンバー制度の計画からマイナンバー法成立までの主な動きと個人情報保護ワーキンググループの開催等を示すと、次のようになる。

  • 2009年12月:「平成22年度税制改正大綱」で、番号制度の導入について言及
  • 2010年2月8日:社会保障・税に関わる番号制度に関する検討会の第1回会合開催
  • 2011年1月24日:社会保障・税に関わる番号制度に関する実務検討会第3回会合で「個人情報保護ワーキンググループ及び情報連携基盤技術ワーキンググループの開催について」決定された。検討内容は、社会保障・税に関わる番号制度と国民ID制度における個人情報保護の仕組みに関する事項(技術に係る事項を除く)であり、消費者庁、総務省等関係府省の協力を得て検討を実施することとされた。また、個人情報保護ワーキンググループと情報連携基盤技術ワーキンググループは、峰崎直樹内閣官房参与()の主宰するワーキンググループとして開催することとされた。
  • 個人情報保護ワーキンググループ(座長・堀部政男)等の開催状況第:1回 2011年2月7日、第2回 2011年2月23日、第3回 2011年3月18日、第4回 2011年4月1日、2011年4月19日 個人情報保護ワーキンググループ・情報連携基盤技術ワーキンググループ合同会議、第5回 2011年5月18日、第6回 2011年6月2日
  • 個人情報保護ワーキンググループ:2011年6月22日に「社会保障・税番号制度における個人情報保護方策について大綱に盛り込むべき事項」、翌23日に「個人情報保護ワーキンググループ報告書」まとめ
  • 2011年6月30日:政府・与党社会保障改革検討本部で「社会保障・税番号大綱」決定
  • 2012年2月14日:番号関連3法案(行政手続における特定の個人を識別するための番号の利用等に関する法律案、行政手続における特定の個人を識別するための番号の利用等に関する法律の施行に伴う関係法律の整備等に関する法律案、地方公共団体情報システム機構法案)を閣議決定、国会に提出
  • 2012年11月16日:衆議院解散、番号関連3法案が廃案
  • 2013年3月1日:番号関連4法案(行政手続における特定の個人を識別するための番号の利用等に関する法律案、行政手続における特定の個人を識別するための番号の利用等に関する法律の施行に伴う関係法律の整備等に関する法律案、地方公共団体情報システム機構法案、内閣法等の一部を改正する法律案(政府CIO法案))を閣議決定、国会に提出
  • 2013年4月5日:衆議院内閣委員会 参考人質疑(筆者も参考人の1人として出席)
  • 2013年4月26日:衆議院内閣委員会 番号法一部修正、賛成多数で可決
  • 2013年5月9日:衆議院本会議 番号法案一部修正、他の3法案とともに賛成多数で可決
  • 2013年5月23日:参議院内閣委員会 番号法案、番号法整備法案及び政府CIO法案、全会一致で可決
  • 2013年5月23日:参議院総務委員会 機構法案 賛成多数で可決
  • 2013年5月24日:参議院本会議 4法案 賛成多数で可決
  • 2013年5月31日:4法公布
  • 峰崎直樹内閣官房参与 一橋大学出身で、参議院議員に三回当選し、参議院財政金融委員長、鳩山内閣で財務副大臣を務めた。

マイナンバー制度への国民の懸念

このようにして導入された社会保障・税に関わるマイナンバー制度には、行政手続が簡略化されるとともに、きめ細かで的確な社会保障が可能になるなどのメリットがあるが、他方で、マイナンバー制度の実施に伴い、国民の間には、①国家管理への懸念、②個人情報の追跡・突合に対する懸念、③財産その他の被害への懸念が指摘されている。これらの懸念に対しては、住民基本台帳ネットワークに係る最高裁合憲判決(2008年3月6日)の趣旨を十分踏まえ、システム上の安全管理措置のほか、いくつかの制度上の保護措置を講じることにより、高度な個人情報保護を図る必要があった。
筆者は、マイナンバー法は、日本におけるプライバシー・個人情報保護の歴史の中で新段階を画するものであると考えているので、その点を中心に論じてみることにする。それに入る前にマイナンバー制度の一端に少し触れることにする。

通知カードと個人番号カード

マイナンバー法は、2015年10月5日に施行された。報道等でよく見かけるであろう「通知カード」と「個人番号カード」について少し具体的に説明することにする。
2015年10月5日以降、住民票を有する全住民にマイナンバー(12桁の個人番号)が、市区町村長から世帯単位で簡易書留の封書に入った紙の「通知カード」で通知され、2016年1月以降、社会保障・税・災害対策の3分野で順次利用されるようになる。また、法人等団体には13桁の「法人番号」が付される。
「通知カード」は、紙の上部を切り取って使うことになる。その下部は、2016年1月以降、「個人番号カード」の交付を申請する時に使うことができる。「個人番号カード」は、写真付きのプラスチック製のカードで、申請して交付される。これは、マイナンバーを記載した書類の提出や、さまざまな本人確認の際に利用できる。カードの表面には氏名、住所、生年月日、性別、本人の写真、裏面にはマイナンバーなどが記載され、ICチップが搭載される。
「個人番号カード」は、ICチップに記録される電子証明書を用いて、e-Taxなどの電子申請の時にも利用できる。また、図書館利用証や印鑑登録証など、自治体が条例で定めるサービスにも使うことができる。コンビニなどで、住民票などの証明書を取得できる。将来の話だが、オンラインバンキングやオンライン取引、行政機関への各種届出に加え、電気、ガス、水道などの民間サービスへの届出がワンストップでできるよう検討されている。その他のスケジュールの概要等については、別掲の「マイナンバー年表(予定を含む)」を参照されたい。

マイナンバー制度における個人情報の保護措置の検討と概要

個人情報保護ワーキンググループ報告書(2011年6月23日)

(1)報告書作成のいきさつ

前述のように、個人情報保護ワーキンググループは、2011年6月22日に「社会保障・税番号制度における個人情報保護方策について大綱に盛り込むべき事項」を取りまとめるとともに、その翌日の23日に「個人情報保護ワーキンググループ報告書」(以下「報告書」という。)を作成した。そのいきさつは、次のとおりである。
「要綱に盛り込むべき事項及び大綱に盛り込むべき事項では、政府・与党により策定される要綱及び大綱の性質を考慮し、その記載事項については、今後提出が予定される「番号法(仮称)」に盛り込まれ得る内容に絞ることとしたため、要綱に盛り込むべき事項及び大綱に盛り込むべき事項の基となった議論全体の内容も含め、本ワーキンググループにおける議論の成果を報告書として取りまとめることとした。」
報告書でまとめたいくつかの事項について見ることにする。

(2)報告書の注目点

報告書には注目すべき点が多いが、ここでは、「第3 基本的な考え方」とその中で直接または間接に個人情報の保護について言及している注目点を取り上げることにする。まず、「第3 基本的な考え方」では、次のように記述している(注番号は省略)。「番号制度に係る個人情報保護方策を考えるに当たり、まず、以下の点に留意する必要がある。

  1. 番号法は、現行の個人情報保護法制の言わば特別法に位置付けられるものである。
  2. 当初の利用範囲は、社会保障及び税分野に限定されるものの、今後の利用範囲の拡大も想定されることから、EUデータ保護指令やプライバシー・バイ・デザイン、PETs等といった国際的な考え方にも対応した措置を講ずることとする。
  3. 住民基本台帳ネットワークシステムに係る最高裁合憲判決(最判平成20年3月6日)で示された判断の趣旨を踏まえたものとするのみならず、番号と結び付けられる個人情報には、より秘匿性の高いものが含まれる可能性があることに鑑み、更に高度の安全性を確保し得るものとする。」

この中の「プライバシー・バイ・デザイン」については、脚注1で「「プライバシー・バイ・デザイン」(Privacy by Design)とは、ITシステムや業務慣行において、最初からプライバシー保護策を組込み、侵害発生後の対応ではなく、事前にプライバシー対策を講じておくようにする、という概念をいい、国際的に注目されている」と述べ、また、PETsについては、脚注2で「「PETs」(Privacy EnhancingTechnologies)とは、システムの機能を損なうことなく個人のプライバシーについて保護性を高める技術をいい、暗号化や匿名化などが挙げられる」と説明している(プライバシー・バイ・デザインは、2011年当時またそれ以降、国際的にも大いに論じられてきている。これについては、堀部政男/日本情報経済社会推進協会〈JIPDEC〉編『プライバシー・バイ・デザイン』〈日経BP社、2012年〉参照)。また、「第3 基本的な考え方」では明示されていないが、「EUデータ保護指令やプライバシー・バイ・デザイン、PETs等といった国際的な考え方にも対応した措置を講ずることとする」という中のEUデータ保護指令では、監視機関(supervisoryauthority)の設置が義務付けられており、その機関は職権を行使する際は、完全に独立して活動しなければならない(第28条第1項)(These authorities shall act withcomplete independence in exercisingthe functions entrusted to them.)とされている。報告書では「第三者機関」として詳細に記述している。
それとともに、前述した最高裁合憲判決は第一小法廷判決(民集第62巻3号665頁)であるが、同判決は、「......住基法は、都道府県に本人確認情報の保護に関する審議会を、指定情報処理機関に本人確認情報保護委員会を設置することとして、本人確認情報の適切な取扱いを担保するための制度的措置を講じていることなどに照らせば、住基ネットにシステム技術上又は法制度上の不備があり、そのために本人確認情報が法令等の根拠に基づかずに又は正当な行政目的の範囲を逸脱して第三者に開示又は公表される具体的な危険が生じているということもできない」として、住民基本台帳ネットワークシステムを合憲としている。最高裁判決が、原審(大阪高等裁判所)の適法に確定した事実関係の概要等として引用しているところでは、「都道府県に本人確認情報の保護に関する審議会を,指定情報処理機関に本人確認情報保護委員会を設置すること」の見出しが「監視機関」となっている。ここからも第三者機関設置の必要性が出てくる。

マイナンバー法における個人情報保護措置の概要

マイナンバー法では、報告書で指摘した保護措置を条文化したが、それらは、要約するならば、主として、①現行の個人情報保護関係法の特別法で、保護の強化、②保護を図るために第三者機関である特定個人情報保護委員会の設置、③プライバシー・インパクト・アセスメントである特定個人情報保護評価制度の導入、④罰則の強化、などで高度の保護措置が実現した。
これらのうち、ここでは、特定個人情報保護委員会の設置及び罰則の強化を取り上げることにする。

特定個人情報保護委員会の設置

第三者機関設置の意義

図表1:内閣府に置かれる委員会及び庁

プライバシー・個人情報保護を図るために独立性の高い第三者機関を設けることは、世界的潮流になってきている。日本の個人情報保護法制の立案に当たってその必要性を説いてきたが、これまでは設けられなかった。マイナンバー法で特定個人情報保護委員会が設置されたことは、日本における個人情報保護法の歴史の中で画期的な意味を有する。2015年9月3日に成立し、9月9日に公布された個人情報保護法改正法で個人情報保護委員会が設置される大きなきっかけにもなっている。

特定個人情報保護委員会の組織(マイナンバー法第36条〜第49条)

  • 設置 (第36条)─内閣府設置法第49条第3項の規定に基づいて、特定個人情報保護委員会を設置する。(いわゆる三条委員会)
    内閣府設置法第64条は、「内閣府に置かれる委員会及び庁」について次のように規定している。別に法律の定めるところにより内閣府に置かれる委員会及び庁は、次の表﹇ここでは、図表1﹈の左欄に掲げるものとし、この法律に定めるもののほか、それぞれ同表の右欄の法律(これに基づく命令を含む。)の定めるところによる。
  • 任務(第37条)─委員会は、国民生活にとっての個人番号その他の特定個人情報の有用性に配慮しつつ、その適正な取扱いを確保するために必要な個人番号利用事務等実施者に対する指導及び助言その他の措置を講ずることを任務とする。
  • 所掌事務(第38条)
    1. 特定個人情報の取扱いに関する監視又は監督及び苦情の申出についてのあっせん
    2. 特定個人情報保護評価
    3. 特定個人情報の保護についての広報及び啓発
    4. 1〜3のための調査及び研究
    5. 所掌事務に係る国際協力
    6. 1〜5のほか、法令に基づき委員会に属させられた事務
  • 職権行使の独立性(第39条)─委員会の委員長及び委員は、独立してその職権を行う。
  • 組織等(第40条第1項)─委員会は、委員長及び委員6人をもって組織する。
  • 委員長及び委員は、両議院の同意を得て、内閣総理大臣が任命する(同条第3項)。
  • 任期等(第41条第1項)─委員長及び委員の任期は、5年とする。
  • 身分保障(第42条)─委員長及び委員は、法定の場合を除き、その意に反して罷免されることがない。
  • 事務局(第46条第1項)─委員会の事務を処理させるため、委員会に事務局を置く。
  • 政治運動等の禁止(第47条)─委員長及び委員は、在任中、政治運動等をしてはならない。
  • 秘密保持義務(第48条)─委員長、委員及び事務局の職員は、職務上知ることができた秘密を漏らし、又は盗用してはならない。その職務を退いた後も、同様とする。
  • 給与(第49条)─委員長及び委員の給与は、別に法律で定める。

業務(第50条〜第56条)

  • 指導及び助言(第50条)─委員会は、必要な限度において、個人番号利用事務等実施者に対し、特定個人情報の取扱い及び特定個人情報と共に管理されている特定個人情報以外の個人情報の取扱いに関し、必要な指導及び助言をすることができる。
  • 勧告及び命令(第51条)─委員会は、特定個人情報の取扱いに関して違反行為をした者に対し、当該違反行為の中止等を勧告及び勧告に係る措置をとるべきことを命令することができる。
  • 報告及び立入検査(第52条)─委員会は、特定個人情報を取り扱う者その他の関係者に対し、報告若しくは資料の提出を求め、又は立入検査を行うことができる。
  • 措置の要求(第54条)─委員会は、情報提供ネットワークシステム等の構築及び維持管理に関し、総務大臣等に対し、必要な措置を実施するよう求めることができる。
  • 内閣総理大臣に対する意見の申出(第55条)─委員会は、内閣総理大臣に対し、意見を述べることができる。
  • 国会に対する報告(第56条)─委員会は、毎年、内閣総理大臣を経由して国会に対し所掌事務の処理状況を報告し、その概要を公表しなければならない。

雑則(第57条)

  • 規則の制定(第57条)─委員会は、その所掌事務について、法律若しくは政令を実施するため、又は法律若しくは政令の特別の委任に基づいて、特定個人情報保護委員会規則を制定することができる。

これまでに制定した規則は、次のとおりである。

特定個人情報保護委員会の規則

特定個人情報保護委員会が策定した規則・指針・ガイドライン等は、かなりの数になってきているが、ここでは、マイナンバー法第57条の規則のみを掲げることにする。それは、次のとおりである。

  • 特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号)
  • 特定個人情報保護委員会の所管する法令に係る行政手続等における情報通信の技術の利用に関する法律
  • 行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第十四号に基づき同条第十二号に準ずるものとして定める特定個人情報の提供に関する規則(平成27年特定個人情報保護委員会規則第1号)
  • 行政手続における特定の個人を識別するための番号の利用等に関する法律の規定に基づく立入検査をする職員の携帯する身分を示す証明書の様式を定める規則(平成27年特定個人情報保護委員会規則第2号)
  • 行政手続における特定の個人を識別するための番号の利用等に関する法律第十九条第十四号に基づき同条第七号に準ずるものとして定める特定個人情報の提供に関する規則(平成27年特定個人情報保護委員会規則第3号)

罰則の強化

図表2:事業者ガイドラインの罰則比較表

マイナンバー法の一つの大きな特色は、罰則の強化である。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(本文及び(別添)特定個人情報に関する安全管理措置)(特定個人情報保護委員会告示、2014年12月11日)も、「特定個人情報の適正な取扱いに関するガイドライン (行政機関等・地方公共団体等編)」(特定個人情報保護委員会告示、2014年12月18日)も、罰則について比較表を掲げているが、ここでは、事業者ガイドラインの罰則比較表を見ることにする(図表2)。それは、次のようなものである。
マイナンバー法では、「項番」からも明らかなように、9類型の犯罪が規定されているが、個人情報保護法では、2類型の犯罪が設けられているにすぎない。個人情報保護法の罰則(項番⑦)は、命令を受けた者がその命令に従わないという違反行為があった場合に適用される「間接罰」である。これに対して、マイナンバー法では、違法行為に対して即時に適用される「直罰」がほとんどである。
2003年個人情報保護法の立法過程でも「直罰」について議論されたが、「間接罰」にとどまった。今回の個人情報保護法改正法で「個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第87条第1項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する」(第83条)という直罰規定が設けられたのは、2014年7月に発覚したベネッセコーポレーションの個人情報漏えい事件の影響もあるが、マイナンバー法で直罰主義がとられたことも発想の転換に結びついているといえる。

展望

マイナンバー法については論じたいことが非常に多いけれども、ここでは、その一部について見ることができたにすぎない。
マイナンバーは、2016年1月1日以降、社会保障・税・災害対策の3分野で順次利用されるようになる。本稿執筆の時点では、前掲の番号通知が届いている段階だ。また、マイナンバー法における個人情報保護措置がどのように運用されるようになるか、期待と不安が交錯している状況だろう。マイナンバー法は、世界的に見ても、特定個人情報(マイナンバーをその内容に含む個人情報)の保護措置において最も厳しいものの一つである。今後の動向を見るに当たって、本稿を参考にしていただけると幸いである。

(2016年1月 掲載)