3 個人情報保護・利用の原則~本人取得と取得目的内の利用~
しかし、当然のことではあるが、マイナンバーを付けることによって個人情報の共通利用が物理的に可能になるということと、その共通利用を現在の個人情報保護制度下において適法に(正しく)行うことができるということとは別の問題である。マイナンバー制度の実施については、情報処理のネットワーク等の整備だけではなく、既存の個人情報保護関係の法令へ適合する形での立法措置(ここでは、マイナンバー法の制定)が必要となるのである。
自治体における特定個人情報を含めた個人情報管理の基本法は、個人情報保護条例である。これは、マイナンバー法の施行後も変わりはない。そこで、個人情報保護条例の基本的な内容を確認しておく。
〔個人情報保護条例の例〕
(利用目的の明示)
第Ⅰ条 実施機関は、本人から直接書面に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
(利用及び提供の制限)
第Ⅱ条 実施機関は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
2 前項の規定にかかわらず、実施機関は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。
(1) 本人の同意があるとき又は本人に提供するとき。
(2) 実施機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき。
(3) 他の実施機関、国、独立行政法人等、地方公共団体又は地方独立行政法人に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき。
(4) 人の生命、身体又は財産の保護のために緊急に必要があるとき。
個人情報保護条例では、「個人情報の取得は本人から行うこと」を定めた(Ⅰ)上で、「取得した際に示した利用目的(取得目的)」以外への「目的外利用や提供を原則禁止」している(Ⅱ)。これは、国の行政機関の保有する個人情報の保護に関する法律(以下「行政機関個人情報保護法」という)においても同じであり、個人情報保護・利用の普遍的な基本原則である。なお、「利用」とは、同じ執行機関内で利用することであり、「提供」とは、長部局の個人情報を教育委員会で利用する場合のように異なる執行機関や他の自治体、国などに利用させることを指す(表)。
表 個人情報保護条例における目的外利用・提供とマイナンバー法における位置付け
そして、個人情報の取得と利用の条件である「目的」とは、本人からその個人情報を得たときの目的、つまり、「この個人情報は、○○のために『だけ』利用しますから、自治体に提供してください」と、本人から取得したときにその本人に明確に示した目的のことである。個人情報をいつ誰に提供するか、あるいは、提供するかしないかは、本人のみが決定できる。これは、個人情報に関する具体的な法令の規定を待つまでもなく、人が人であるための条件である。自分に関する情報を自分でコントロールすることを許さない社会が基本的人権を尊重する自由で民主的な社会であるはずはない(端的にいえば、「社会」ではない)。「個人情報の本人コントロール」は、法律や条例の規定以前に憲法で認められている普遍かつ不変の権利であると考えてもかまわない。
したがって、自治体が個人情報を得る場合には、原則として本人から取得しなければならず、取得の際は、何のためにその個人情報を利用するかをはっきりと示さなければならない。個人情報を提供した場合、それは、「○○のためだけに利用する」という自治体と住民との約束の下に住民から自治体に提供されたことを意味するのである。その上で、例外的に目的外利用・提供する際には、その利用形態を国民や住民の合意である法律や条例によって、明確に「この場合は、目的外ではあるが利用・提供できる」と規定しなければならない。これは、個人情報の保護と利用の原則である。
個人情報保護・利用の原則
① 個人情報は利用目的を明示して本人から取得しなければならない。
② 個人情報は取得した際に示した利用目的以外に利用してはならない。
③ 目的外利用・提供については、あくまで目的外として利用・提供できる旨を明記した法令上の規定を設けなければならない。