2021年の個人情報保護制度の改革に伴う対応を余儀なくされた自治体は、その後どのような独自の「工夫」を行ってきたのでしょうか。また法の「3年ごと見直し」の状況を踏まえた課題を確認します。
1.はじめに
2021年、デジタル社会の形成を図るための関係法律の整備に関する法律(2021(令和3)年法律第37号)50条および51条によって、個人情報保護法をはじめとする個人情報保護制度の「改正」が行われました。自治体における個人情報保護は、それまで、国に先行して個人情報保護条例を策定・運用してきた自治体もあり、それぞれの自治体が必要とする個人情報保護の仕組みを整備して行われていましたが、この「改正」によって各自治体の条例はいったん「リセット」されました。そして一部を除いてその仕組みは個人情報保護法(以下、法)に一元化され、「行政機関等における個人情報」等の「取扱いに関する監視」等を、個人情報保護委員会(以下、個情委)が担うこととされました(法132条2号)。法「改正」後は、個情委が策定した「個人情報の保護に関する法律についてのガイドライン」(以下、ガイドライン)においては、自治体に対して「技術的な助言」であるとしつつも、ガイドラインの中で、「しなければならない」、「してはならない」及び「許容されない」と記述している事項について、これに反する場合には「法違反と判断される可能性がある」とわざわざ指摘して、ガイドラインの内容への「遵守」を求めるという独自の見解を示してきました。このガイドラインは法規ではないため自治体はこれに従う義務はありませんが、現実には自治体に対して大きな「影響」を与えてきたところです。
しかし、これら法「改正」の内容やそれを踏まえた個情委の対応については、地方自治との緊張関係を持つ部分もあるように思われます。地方自治の観点からはむしろ条例制定権の存在を踏まえた独自の仕組みや、また当該自治体の住民や職員の実情を踏まえた個人情報保護法の運用が追求されるべきであり、また、個情委は地方自治の観点を踏まえて、自治体の支援等を行うところにその存在理由を持つものと言えましょう。
本稿では、2021年改正後の個人情報保護法の下で、各自治体が条例制定や法運用に関してどのような地方自治を踏まえた「工夫」を行ってきたか、またいわゆる「3年ごと見直し」の状況を見据えた今後の課題について確認したいと思います。
2.条例の制定状況と制度の運用状況
(1)条例等の制定
個情委は本「改正」に際して、手数料(法89条2項、119条3、4項)や条例要配慮個人情報(法60条5項)など、明文で条例化を認めている部分以外の点について、自治体が個人情報保護のため独自の規律内容を持った条例をすることについて「許容されない」との立場をとってきました(個情委「公的部門〔国の行政機関等・地方公共団体等〕における個人情報保護の規律の考え方」〔2021年〕。以下、「考え方」)。ただ、条例は「法令に違反しない限り」(地方自治法14条1項)制定することが可能で、この点論者の中には「データの流通を特に妨げる場合」以外は条例制定は可能との見解もあります(巽智彦「令和3年個人情報保護法改正と地方公共団体」『地方自治』885号24ページ)。各自治体では上記「考え方」の存在はともかく、さまざまな「工夫」を行ってきています。ここでは「改正」後の法が、個人情報の「利活用」を促進するべく「保護」部分についての規律を「緩和」したことに対し、自治体現場での必要性を踏まえ、いかに「保護」を行うかという観点からの「工夫」について確認したいと思います。
まず、「死者情報」についてです。個情委は「改正法の個人情報保護に関する全国共通ルールを法律で定めるという目的」を踏まえ、法「改正」後に死者情報を規定することは「許容されない」としていました(「考え方」)。しかし、愛知県の春日井市条例(以下、各自治体の個人情報保護に関する条例の正式名称については割愛)では、「死者情報」に関する規律をおいた上で(同2条2項2号ー8号)、保有制限規定(同12条)や不適正な利用禁止(同13条)といった規律をおきました。これは「横出し規制」であり、「法令に違反しない」ことは明らかであり、また自治体における当該規定の必要性が現れた部分ともいえます。法「改正」前の時点において、都道府県で30、市区町村で999の自治体が死者情報に関する規律をおいていたところです(総務省「地方自治情報管理概要」2020年)。
次に、個人情報の取得、目的外利用・外部提供の制限についてです。長野県の松本市条例6条では、審議会への事後報告事項として、「本人以外の者から個人情報を取得したとき」(1号)、「要配慮個人情報を取得したとき」(2号)、「利用目的以外の目的のために保有個人情報を自ら利用し、又は提供したとき」(3号)等を定めています。これらの規定は、担当の各部局がこれらの事後報告の「負担」を減らすために、同条各号に掲げる行為を避けるよう誘導する規定ともいえましょう。前掲「考え方」において個情委は、審議会への諮問を要件とする条例を定めることは、「法改正の趣旨に照らして許容されない」としていましたが、事後報告はその対象からは外れます。
開示請求前置主義(法90条、98条)についても、住民の過度な負担を回避する観点から、名古屋市条例7条において、法の適用除外規定をおいています。
審議会への諮問に関しては、神奈川県条例が「個人情報の取扱いに当たり個人の権利利益の侵害を防ぐために必要な措置を講ずる場合」には、審議会への諮問を認める包括規定を置いています(14条1号)。千葉県野田市では、必要のない要配慮個人情報を取り扱っていないか、不当に本人以外から収集していないかなどの意見を求めるために、「個人情報取扱事務登録簿」を審査会に報告する規定をおいています(野田市条例4条)。
なお、野田市条例では市民の自己情報コントロール権尊重の努力義務をおく点にも注目したいところです(3条)。
(2)運用の工夫
死者の診療記録、介護保険関係文書、事故等の被害報告書などに関して、死者情報の提供を求めることができる者の範囲や「死者が生前に知られたくないと認められる情報」を提供対象から除外することなどを内部規範で定める自治体が多くあります(港区死者情報の提供に関する取扱要領3条等)。
次に、審議会への事前の諮問について、「改正」後の法129条では「特に必要であると認めるとき」に諮問ができるとしており、一部を除けば条例で事前諮問に関する場合が限定的に定められるのみとなっています。しかし、保有個人情報を取扱う自治体の担当部局としては、第三者の意見を聞いた上で慎重に判断することを望む意見があります。審議会への事前諮問ではなく、自治体内部の個人情報保護担当部局に事前相談をしたり、前述の事後報告制度を利用し、事後報告に対して審議会から「意見」を聞いて対応する運用も行われています(名古屋市)。
3.「3年ごと見直し」の議論
個情委では、2020年改正法附則第10条に基づいて、法のいわゆる「3年ごとの見直し」の検討が行われており、2024年6月27日には「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」(以下、中間整理)が公表されました。中間整理では、「第三者提供規制の在り方(等)」、「団体による差止請求制度や被害回復制度」、「課徴金、勧告・命令等の行政上の監視・監督手段の在り方」といった民間の個人情報取扱事業者に対する規制の在り方についての項目が多い一方、自治体を含む「行政機関等」に関する規律についての記述は多くありません。ただ、個人情報保護政策を考える上で注目するべき「環境変化、重視すべきリスク・政策目的、実態を踏まえた規制の在り方」といった「制度の基本的在り方」に係る次元の論点は、「中期的には」、「国・地方の行政機関に関する制度を含めた一体的な見直しへとつなげるための議論の土台」とするという「視点」も示されています(個情委「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」〔2024年10月〕)。ここでは今後自治体の個人情報保護に影響を与えると思われる論点について確認しておきたいと思います。
*オプトアウト(opt out):個人情報の第三者への提供に関して、あらかじめ本人の同意を得る(オプトイン方式)のではなく、事後的に本人から第三者への提供を停止する求めがあれば停止する方式のこと。
第一に、「生体データ」の取扱いについてです。現行法上は個人識別符号として個人情報に該当しますが、生体データに着目した特別の規律は現行法では設けられていません。生体データは、「長期にわたり特定の個人を追跡することに利用できる」といった特徴を持ち、通常の個人情報と比較して個人の権利利益に与える影響も大きく保護の必要性が高いことが指摘されています。他方で、デジタル技術の進展により、本人認証の手段や犯罪予防や安全確保といった利用も想定されるため、要保護性が高いと考えられる生体データについて「実効性のある規律」を設けることの検討が指摘されています。例えば、利用目的の特定や、本人のより直接的な関与(事後的な利用停止をより柔軟にする)を検討することです。
第二に、「不適正な利用の禁止」、「適正な取得」の規律の明確化、といった点も指摘されています。いずれも民間の事業者への規律(法19条、20条)であると同時に、行政機関等に対しても同様の規定が存在する(法63条、64条)ことから、行政機関等に対する規律の問題に影響することも考えられます。特に、法令違反行為だけでなく、直ちに違法とは言えないものの、「法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為」とはどのようなものか、明確化することの検討です。
第三に、こどもの個人情報等に関する規律の在り方です。現行法上は、未成年者の法定代理人による開示請求(法76条2項)の規定があるのみで、こどもの個人情報に係る明文の規定は存在していません。この点、例えば保育施設や学校等における教育学習データの利活用の問題などがあり得、こどもの権利保護の観点から法定代理人の更なる関与や、利用停止請求権の拡張、安全管理措置義務の強化などが指摘されています。
第四に、実効性のある「監視・監督」の在り方についての指摘があります。悪質・重大な事案に対する厳罰化、迅速な執行を念頭に、課徴金制度の創設や勧告に係る措置をとらなかった事業者に対する命令や緊急命令の在り方についても検討されています。自治体に対する関係では、現行法上はいわゆる命令等の「権力的」手法は規定されていないため、今のところ自治体への直接の影響は少ないと思われますが、仮に、民間事業者への規律へ統合するような議論が出てきた場合には、地方自治との関係で大きな問題となる可能性があります。
第五に、「データ利活用に向けた取組みに対する支援等」が指摘されます。健康・医療、教育、防災、こども等の準公共分野を中心として、「個人の権利利益の保護を担保した上で」、個人情報の利活用を促す方策の検討の必要性があるとされています。特に「本人同意を要しないデータ利活用等の在り方」が項目として挙がっており、本人同意が求められる規定の在り方として、社会にとって「有益」で、「公益性が高い」技術やサービスについて「例外規定」を設けるための検討も指摘されています。
このような「見直し」の行方を見守る必要がありますが、デジタル技術の進展に伴う技術的対応にとどまらず、自治体の個人情報保護への個情委による関与の強化はないか(例として、目的外利用等における法令解釈など)、また、これまで民間事業者に対する規定に合わせる改正が行われてきた経緯(個人情報の定義、匿名加工情報)から、個人情報取扱事業者に向けた規定を行政機関等へも適用する可能性などにも目を向ける必要があります。
4.自治体が踏まえるべき視点
2021年法「改正」後の個情委や各自治体での法運用の工夫や「見直し」に向けた議論を紹介してきましたが、最後に、今後に向けて自治体が踏まえるべき視点を述べます。
それは、それぞれの自治体の住民の要望や自治体の職員の状況に合わせた個人情報保護の仕組みを不断に検討し実施することです。「改正」法では、個情委が一元的な監督機関であるとされていますが、現実に自治体の現場で法を運用するのは、住民の状況を最前線で確認するはずの自治体の職員です。国の機関へ照会し得られた回答や「ガイドライン」での記述が、各自治体それぞれの必要性を踏まえたものとは必ずしもなっていないこともあるでしょう。現実に運用する際に得られた住民の声や職員の声を個人情報保護に関する制度運用に生かすことが肝要となるでしょう。条例による規律が「許容されない」と考えられるのであれば、上述のように「規則」や「要綱」などを利用することも考えられます。行政のデジタル化が叫ばれる現在こそ、各自治体に必要な個人情報保護施策の在り方をそれぞれ模索する必要があります。
