北九州市職員/北九州政策法務自主研究会 森幸二
1 はじめに~マイナンバー法における「手段」の誤り〜
自治体における個人情報の管理のあり方を大きく変えることになる「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「マイナンバー法」という)が施行された。本稿ではマイナンバー法における根本的な課題である「手段の誤り」を指摘し、「失われた正しい手段」を回復するための方策について述べる。それを通して、従来は自治体の力が及ばないと考えられてきた法制度のあり方についても、地方議会が住民のために重要な役割を果たせることを示したい。
なお、本稿は私見である。
2 マイナンバー法の概要
マイナンバー法は、住民票がある全ての人に1人1つの番号(「個人番号」。いわゆる「マイナンバー」)を付けて、個人情報(マイナンバーが付いた個人情報を「特定個人情報」という)を管理し、社会保障、税、災害対策の分野での個人情報の共通利用を図るものである。個人情報を特定個人情報として管理することによって、自治体が、それぞれの部署で保有している複数の個人情報が同一人の情報であることを簡単に確認することができるようになる。要するに、個人情報の「名寄せ」を行い、住民の煩わしさと自治体のコストを減らそうというものである。
例えば、自治体の福祉部門が所得制限のある福祉関係の給付金を支給するかどうかを決定する際に、個人番号さえ分かっていれば、その個人番号で税部門に照会することによって、申請者の所得状況を簡単かつ容易に把握することができる。住民の側から見ても、今までのように、別の窓口で手数料を支払って所得額証明書の交付を受け、申請書に添付しなくてもよい。マイナンバー法の内容自体は、自治体にとっても住民にとっても有用なものであると考えられる。
3 個人情報保護・利用の原則~本人取得と取得目的内の利用~
しかし、当然のことではあるが、マイナンバーを付けることによって個人情報の共通利用が物理的に可能になるということと、その共通利用を現在の個人情報保護制度下において適法に(正しく)行うことができるということとは別の問題である。マイナンバー制度の実施については、情報処理のネットワーク等の整備だけではなく、既存の個人情報保護関係の法令へ適合する形での立法措置(ここでは、マイナンバー法の制定)が必要となるのである。
自治体における特定個人情報を含めた個人情報管理の基本法は、個人情報保護条例である。これは、マイナンバー法の施行後も変わりはない。そこで、個人情報保護条例の基本的な内容を確認しておく。
〔個人情報保護条例の例〕
(利用目的の明示)
第Ⅰ条 実施機関は、本人から直接書面に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
(利用及び提供の制限)
第Ⅱ条 実施機関は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
2 前項の規定にかかわらず、実施機関は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。
(1) 本人の同意があるとき又は本人に提供するとき。
(2) 実施機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき。
(3) 他の実施機関、国、独立行政法人等、地方公共団体又は地方独立行政法人に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき。
(4) 人の生命、身体又は財産の保護のために緊急に必要があるとき。
個人情報保護条例では、「個人情報の取得は本人から行うこと」を定めた(Ⅰ)上で、「取得した際に示した利用目的(取得目的)」以外への「目的外利用や提供を原則禁止」している(Ⅱ)。これは、国の行政機関の保有する個人情報の保護に関する法律(以下「行政機関個人情報保護法」という)においても同じであり、個人情報保護・利用の普遍的な基本原則である。なお、「利用」とは、同じ執行機関内で利用することであり、「提供」とは、長部局の個人情報を教育委員会で利用する場合のように異なる執行機関や他の自治体、国などに利用させることを指す(表)。
そして、個人情報の取得と利用の条件である「目的」とは、本人からその個人情報を得たときの目的、つまり、「この個人情報は、○○のために『だけ』利用しますから、自治体に提供してください」と、本人から取得したときにその本人に明確に示した目的のことである。個人情報をいつ誰に提供するか、あるいは、提供するかしないかは、本人のみが決定できる。これは、個人情報に関する具体的な法令の規定を待つまでもなく、人が人であるための条件である。自分に関する情報を自分でコントロールすることを許さない社会が基本的人権を尊重する自由で民主的な社会であるはずはない(端的にいえば、「社会」ではない)。「個人情報の本人コントロール」は、法律や条例の規定以前に憲法で認められている普遍かつ不変の権利であると考えてもかまわない。
したがって、自治体が個人情報を得る場合には、原則として本人から取得しなければならず、取得の際は、何のためにその個人情報を利用するかをはっきりと示さなければならない。個人情報を提供した場合、それは、「○○のためだけに利用する」という自治体と住民との約束の下に住民から自治体に提供されたことを意味するのである。その上で、例外的に目的外利用・提供する際には、その利用形態を国民や住民の合意である法律や条例によって、明確に「この場合は、目的外ではあるが利用・提供できる」と規定しなければならない。これは、個人情報の保護と利用の原則である。
個人情報保護・利用の原則
① 個人情報は利用目的を明示して本人から取得しなければならない。
② 個人情報は取得した際に示した利用目的以外に利用してはならない。
③ 目的外利用・提供については、あくまで目的外として利用・提供できる旨を明記した法令上の規定を設けなければならない。
4 マイナンバー法における「目的変更トリック」正しい手段
マイナンバー法9条2項では、所得情報を福祉関係の給付金支給の事務に利用する場合のように、同一の執行機関内での異なる事務の間で特定個人情報を利用することができるとされている(以下「庁内連携」という)。この庁内連携は、個人情報保護条例における「目的外利用」に当たる(表の②に当てはまる)。マイナンバー法の庁内連携の条文を示す。
(利用範囲)
第9条2項 地方公共団体の長その他の執行機関は、福祉、保健若しくは医療その他の社会保障、地方税……又は防災に関する事務その他これらに類する事務であって条例で定めるものの処理に関して保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用することができる。(下線筆者)
庁内連携の根拠条文には、庁内連携が「目的外利用」である旨の規定は見当たらない(個人情報保護・利用の原則③に違反している。上記3)。庁内連携は、「個人番号の利用」と表現され(下線部)、マイナンバー法関係の資料においても、庁内連携は、目的外利用ではないとされている。その理由は、「目的外利用かどうか」の判断における「目的」の意味を個人情報保護条例における目的、つまり、個人情報の取得時に本人に示した目的に限定する必要はなく、利用するとき(所得情報を福祉関係の給付金支給事務に利用する場合でいえば、「給付金事務に利用する」必要が生じたとき)に決めた目的の中で判断すれば目的内になる、というおよそ理解し難いものだ。規制の対象に合わせて規制の内容を変えることができるのなら(例:申請者の所得を見てから給付金の支給の所得制限額を決定する)どんなものでも規制をパスしてしまう(例:全員支給される。所得制限の意味がない)ではないか。言葉の遊びにすぎない。マイナンバー法においては、保護条例における「目的外利用」ないしは「目的」の意味を変更して、目的外利用である庁内連携を目的内利用に変えてしまったのである(「目的変更トリック」。表の「左例のマイナンバー法における位置付け」の欄及び図1)。
国の自治体向けのマイナンバー法のガイドラインである「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」においては、「本来の利用目的(注:この利用目的とは、個人情報保護・利用の原則における取得時に示した目的ではない)以外の目的で例外的に特定個人情報を利用することができる範囲について、行政機関個人情報保護法における個人情報の利用の場合よりも限定的に定めている」(第3-4(1)ア)、行政機関個人情報保護法は、本人の同意があった場合等に個人情報を利用目的以外の目的のために利用することができることとしているが、番号法は、「人の生命、身体又は財産の保護のために必要がある場合等を除き、特定個人情報を利用目的(上記注)以外の目的のために利用してはならないと定めている」(第4-1-(1)1B)との記述(それぞれ、一部省略・要約)があり、行政機関個人情報保護法や個人情報保護条例における個人情報の取扱いよりもマイナンバー法における特定個人情報の取扱いの方がより目的外利用の範囲を制限しており、マイナンバー法が特定個人情報の保護により多くの配慮をしているかのような印象を与えている。しかし、その前提に「目的変更トリック」による「目的外利用(庁内連携)の目的内利用化」が存在することを看破できる者にとっては、これらのガイドラインの記述が虚構(社会においては、「ごまかし」や「うそ」と呼ばれるもの)であることは明白である。
目的外利用である庁内連携を個人番号の利用であると言いくるめることは、マイナンバー制度の導入後においては、制度の対象となる個人情報(特定個人情報)はもはや個人情報の保護・利用の原則の対象とならない、保護に値しない個人情報だとみなしていることになる。マイナンバー法における庁内連携の仕組みと、それについての現在における説明は、国と自治体が積み上げてきた個人情報の保護・利用の原則をなし崩しにしようとしている。個人情報の有効活用は推進されるべきではあるが、「取得した際の利用目的に従って保護・利用する」という原則は特定個人情報の利用についても維持されなければならない。立法技術的にも「目的変更トリック」によって、個人情報保護法制において「目的外利用」あるいは「目的」に2つの意味ができてしまい、行政機関個人情報保護法及び個人情報保護条例とマイナンバー法との間には、一般法・特別法あるいは上位法・下位法という法体系上の関係では説明できない根本的な矛盾が生じてしまっている。
「庁内連携は目的外利用ではなく番号利用である」などという詭弁(きべん)を弄(ろう)さずに、「庁内連携は、目的外利用である。しかし、行政手続の効率化等のために、原則の例外として許容する」と正々堂々と規定を設けることが、マイナンバー法施行における正しい手段である。国のマイナンバー法の庁内連携についての説明方法である「目的変更トリック」は、個人情報の保護についての国の見識のレベルを、そして、自治体行政に対しての国の理解の浅さを示している。「目的変更トリック」を使用することによって自治体に生じた混乱や国の見識への疑念・困惑は決して小さくはない。
マイナンバー制度が個人情報保護法制における例外的なものであると位置付けることに何の障害があるのだろうか。社会保障、税、災害対策の分野に限られている庁内連携の対象となる個人情報(特定個人情報)は、今後、他の分野に広がることが予想される。そうなった場合に、庁内連携を「目的外利用である」と個人情報保護・利用の原則どおりに素直に位置付けておくと、目的外の利用の方が目的内より相対的に多くなり、個人情報の保護が図られていないように見えることを防止するためのトリックなのだろうか。しかし、むしろ原則(取得目的に従った利用)と例外(マイナンバーの利用による庁内連携)を明確にすることによって、マイナンバー制度に対する信頼と個人情報保護法制の維持が図られることが理解されなければならない。
マイナンバー法の施行においては、庁内連携についての正しい手段は確保されていない。
マイナンバー法の「目的変更トリック」(正しい手段の欠如)
マイナンバー法は、目的外利用である庁内連携を目的内利用に変え、個人情報保護・利用の原則を変更している。
マイナンバー法の施行においては、庁内連携制度を導入する際の正しい手段は確保されていない。
つづきは、ログイン後に
『議員NAVI』は会員制サービスです。おためし記事の続きはログインしてご覧ください。記事やサイト内のすべてのサービスを利用するためには、会員登録(有料)が必要となります。くわしいご案内は、下記の"『議員NAVI』サービスの詳細を見る"をご覧ください。