｢年収､病歴､犯歴も筒抜け｣プライバシーよりデジタル庁を優先した菅政権の拙速さ

参院本会議でデジタル改革関連6法が成立し、一礼する平井卓也デジタル改革担当相（右）＝2021年5月12日、国会内 - 写真＝時事通信フォト

■世界の潮流は「集中管理」から「分散管理」だが…

デジタル改革関連法が成立し、菅義偉首相肝いりの「デジタル庁」が9月1日に発足することになった。

菅首相は「長年の懸案だったわが国のデジタル化にとって大きな歩みとなる」とデジタル庁創設の意義を強調するが、これを額面通りに受け止めることができるような単純な話ではない。

デジタル化がもたらす利便性の陰で、政府が国民の個人情報を自在に収集・保有・活用できる道を広げるものであり、言い換えれば「一億総プライバシー侵害」が現実味を帯びてきたともいえる。国家による個人情報の「集中管理」が進み、「監視社会」につながる危険性を覚悟しなければならないだろう。

個人情報を保護するためのチェック機能は脆弱(ぜいじゃく)なままで、情報漏洩や悪用の懸念は高まる一方だ。知らないうちに、自分の情報が漏れたり悪用されたりしているのではないかという不安がつきまとう。これでは、安全安心なデジタル社会は期待できるはずもない。

個人情報をめぐる世界の潮流は、さまざまなリスクを避けるため、「集中管理」から「分散管理」に移ろうとしている。世界に遅れた「デジタル劣等国」の拙速な改革は、さらに周回遅れの「デジタル敗戦国」を生みかねない。

■「個人情報保護より利活用」透ける政府の思惑

「誰もがデジタル化の恩恵を最大限受けることができるデジタル社会をつくり上げる」
「すべての行政手続きをスマートフォン一つで60秒以内に可能にする」
「マイナンバーに預貯金口座をひも付ければ給付金の受け取りは簡単になる」

政府は、デジタル庁の発足に向けて、デジタル社会を彩る美辞麗句を並べ立てた。そこには、個人情報の保護の強化よりも利活用を推進しようとする思惑が透けてみえる。

では、政府が描くデジタル社会は、本当に国民にとって望ましい姿なのか。もっとも留意しなくてはならないのが、国民の個人情報はきちんと保護されるのかという問題だ。

まず、個人情報保護の歴史を振り返ってみる。

プライバシー権が注目されるようになったのは、コンピューターやインターネットなどデジタル社会の進展と密接にかかわっている。

■自治体から始まったプライバシー保護条例

欧米での議論が先行する中、国内では1975年に東京都国立市が「個人的秘密の保護」を盛り込んだ「電子計算組織の運営に関する条例」を制定。これが、日本における最初のプライバシー保護条例とされる。

その後、全国の自治体が相次いで個人情報の保護に乗り出し、それぞれの実情に応じたルールが定められた。1984年には福岡県春日市で個人情報全般を保護する条例が初めて制定された。

国レベルでは、自治体の動きにずっと遅れて1988年、初めて「行政機関個人情報保護法」が制定された。コンピューターで個人情報を扱う際の保護のあり方を定めたもので、対象は国の行政機関のみだった。

写真＝iStock.com／show999

※写真はイメージです - 写真＝iStock.com／show999

1990年代後半に入り、ネットの急速な普及にともなって個人情報の保護に対する関心が高まると、ようやく2003年に民間事業者、行政機関、独立行政法人をそれぞれ対象とする3本の個人情報保護法が成立した。

2015年には、ビッグデータの活用を実現するために「個人情報保護法」が改正された。

■法改正で自治体が培った厳しい規制が吹き飛んだ

そして今回、デジタル庁創設とのセットで、個人情報保護の法体系が全面的に一新された。キーワードは「統一」だ。

まず、民間事業者、行政機関、独立行政法人の3つに分かれている個人情報保護法を統合し、1つにまとめた。

次に、約1800の自治体や国の行政機関の数だけ個人情報保護のルールがあるという「2000個問題」の解消を図った。個人情報の定義を国が定めて自治体にも適用し、国と自治体のルールを統一するという大ナタを振るったのだ。

これにより、各自治体がこれまで運用してきた条例はすべてリセットされることになった。年収、病歴、犯歴といった「要配慮情報」の収集を規制するなど、国の統一基準よりも厳しいルールを定めてきた自治体は少なくないが、そんな条例は一切吹き飛んでしまった。

国に基準を合わせるということは、ルールを緩和するということにほかならない。

政府は、「自治体がもつ個人情報も匿名加工すれば民間事業者に提供できるようになる」「災害時の避難者情報が自治体間で共有しやすくなる」など国と自治体のルール統一の利点を強調するが、自治体が住民との間で長年にわたって築いてきた個人情報保護ルールが後退することは、住民にとって望ましいはずがない。

自治体が先行し国が後追いする形で整えられてきた個人情報保護の枠組みは、一大転機を迎えたのである。

■つぶされた個人の「自己情報コントロール権」

さらに懸念されるのは、プライバシー権の侵害の可能性だ。それは、個人情報を主体的にコントロールできるのかという根元的なテーマにぶつかる。

もともと、行政機関には「業務の遂行に必要で相当な理由のあるとき」は、本人の同意がなくても個人情報の目的外使用や第三者への提供を認められているが、個人情報保護法の一本化でさまざまなデータが集めやすくなるため、こうした個人情報の利活用は増大することが予想される。

この流れに対抗するためには、自分の情報の収集や利用を他人に許さず、消去や修正もできる「自己情報コントロール権」の確立が重要になる。

政府は、閣議決定した「デジタル社会の実現に向けた改革の基本方針」で、「個人が自分の情報を主体的にコントロールできるようにする」とうたったにもかかわらず、「デジタル化の憲法的役割」を担う「デジタル社会形成基本法」には盛り込まなかった。

■EUは「消去を求める権利」を明記

政府は、個人が自分の情報を主体的にコントロールすることについて閣議決定までしていたにもかかわらず、これを葬った。「さまざまな見解があり、一般的な権利として明記することは適切ではない」と弁明したが、まさに自家撞着といえる。

結局、政府は、自己情報コントロール権の明示には応じなかった。

このため、いくら本人であっても、政府がどんな情報を保有しているのか、確かめるすべはない、ということになる。

自分の個人情報について「消去を求める権利」を明記している欧州連合（EU）の「一般データ保護規則（GDPR）」には比ぶべくもない。

写真＝iStock.com／artJazz

※写真はイメージです - 写真＝iStock.com／artJazz

個人情報保護法の改正は、データの利活用拡大の歴史であって、データ保護の強化を進めてきたわけではないことがわかる。

■マイナンバーカードの落とし穴

次に、個人情報集約のカギとなるマイナンバーカードの問題点を探ってみる。

マイナンバー事業はデジタル庁の中核的業務であり、政府は「2022年度末に、ほぼ全国民にマイナンバーカードが行き渡るよう強力に推進する」と鼓舞する。

マイナンバーカードに搭載される情報（法律だけでなく政府の判断＝政令や省令で
決められる）を整理してみる。

個人情報は、以下のように大別できる。

・センシティブ情報＝思想・信条などの憲法規定情報
・プライバシー情報＝医療、教育、資産などの要配慮情報
・パーソナル情報＝氏名、住所、アドレスなどの個人識別情報
・オープン情報＝政治家の資産などの公開義務付け情報

このうち、当初の予定では、パーソナル情報と一部のプライバシー情報が対象となっていた。

■マイナンバーカードの利便性と甚大な被害のリスク

ところが今回、プライバシー情報も全面的に搭載する形が整えられることになった。さらにセンシティブ情報に近い生体情報（指紋、顔認証など）も視野に入っている。

しかも、これまでマイナンバーカードをつくるかどうかは個人の自由だったが、健康保険証や運転免許証との一体化により、いや応なしに義務化が進むことになる。

政府は、当面の効用として、預貯金口座をマイナンバーカードとひも付けることで公金給付の迅速化を図るというが、それは個人の財布の中身をのぞき見することになりかねない。コロナ禍で起きた一律10万円の特別定額給付金の大混乱は記憶に新しいが、今後、給付金がどれだけ配られる機会があるだろうか。

さまざまな個人情報が詰め込まれたマイナンバーカードは、「これ一枚」で済む利便性とは裏腹に、情報漏洩や不正利用が起きた場合には甚大な被害につながるリスクをはらんでいることを肝に銘じておかなければならない。

■デジタル社会では「性悪説」に立つことが求められる

これまで、個人情報の取り扱いの監督は、民間事業者は個人情報保護委員会、国の機関は総務省、自治体は自治体自体とバラバラで、有用な情報が共有できないという問題が指摘されてきた。今後は一元的に個人情報保護委員会が官民すべての個人情報をチェックする仕組みに変わり、権限は大幅に拡大した。

だが、「指導」「勧告」「命令」という三段階の処分のうち、省庁や行政機関に対しては「命令」ができず、バランスを欠く運用を強いられる。平井卓也デジタル担当相は「行政機関が勧告に従わない事態は想定されない」と強弁したが、保証の限りではない。

写真＝iStock.com／y-studio

※写真はイメージです - 写真＝iStock.com／y-studio

また、犯罪捜査や国防にかかわる情報は、監視の対象から事実上外されている。さらに、特定秘密保護法に基づいて秘密指定された情報は、触れることすらできない。

個人情報の監督体制は、実に脆弱なのだ。

にもかかわらず、情報漏洩などの不祥事は後を絶たない。少し前では2015年の日本年金機構の個人情報125万件流出事件、直近では5月21日に発覚した婚活アプリ「Omiai」の会員171万人分の運転免許証画像データ流出事件。「LINE」の利用者情報の海外流出リスク問題も世間を騒がせたばかり。

デジタル社会では、個人情報の漏洩や不正利用は防ぎきれないという「性悪説」に立つことが求められる。

■デジタル化がもたらす監視社会

首相直轄で強大な権限を持つことになるデジタル庁は、国民の個人情報が集積されれば好むと好まざるにかかわらず国民への監視体制を強めることができるようになる。

このため、「個人情報が政権中枢に吸い取られる可能性が極めて高くなる」「官邸によるデジタル独裁につながりかねない危険がある」「個人情報が利便性という美名に隠れて悪用されかねない」「個人データの利活用を優先しプライバシー権などを軽んじている」など、監視社会に進むことを懸念する声がふつふつと湧き上がっている。

菅首相は「個人情報の一元管理を図るものではなく、システムやルールを標準化・共通化して、データも利活用しようとするものだ」と火消しに躍起だが、いったん法律による枠組みができてしまえば、政権に都合のよいように拡大解釈されたり解釈変更したりして運用される事例は、枚挙にいとまがない。

■プライバシーよりデジタル庁を優先した拙速さ

63本もの法律を束ねたデジタル改革関連法の国会審議は、衆議院でわずか27時間、参議院でも25時間行われただけだった。国民生活に重大な影響を与える法律にもかかわらず、積み残した課題は山ほどある。

衆院では行政機関などが持つ個人情報の目的外利用や第三者提供の要件の認定の厳格化など28項目、参院でもデジタル化を国民監視のための情報収集・一元管理の手段としないことなどを求める29項目もの付帯決議がついた。

デジタル庁の9月発足に間に合わせるためとはいえ、この状況は、いかに拙速だったかを物語っている。

国民の不安と不信を抱えたまま、3カ月後には、デジタル社会に向けた新たなかじ取りが始まる。情報共有の利点に惑わされず、自分の情報がどのように扱われるかを常にチェックしていかなくてはならない。

----------

水野 泰志（みずの・やすし）
メディア激動研究所 代表
1955年生まれ。早稲田大学政治経済学部政治学科卒。中日新聞社に入社し、東京新聞（中日新聞社東京本社）で、政治部、経済部、編集委員を通じ、主に政治、メディア、情報通信を担当。2005年愛知万博で万博協会情報通信部門総編集長。現在、一般社団法人メディア激動研究所代表。日本大学法学部新聞学科で政治行動論、日本大学大学院新聞学研究科でウェブジャーナリズム論の講師。著書に『「ニュース」は生き残るか』（早稲田大学メディア文化研究所編、共著）など。

----------

（メディア激動研究所 代表 水野 泰志）