個人情報保護法改正法、自主規制、PIAの関係について、瀬戸洋一・産業技術大学院大学教授にお話をうかがいました。

（前編はこちら）

準備が十分でないまま始まった特定個人情報保護委員会

──第三者機関が設立されてしばらくの間、その判断は試行錯誤が続くのかもしれません。一方で第三者機関には、立ち入り検査や罰則などの強い権限が付与されます。また、罰則規定が現行法から引き継がれて、新たに立ち入り調査の権限が加わり、それを拒否した場合の罰則規定も設けられました。

瀬戸：確かに立ち入り権限等は強化されています。ただ私見ですが、法執行や罰則の基本的な考え方自体そのものは、従来の行政法の取り組みと大きく変わらないのではないかと思います。

それに個人情報保護法違反で訴えられたケースというのは、あまり多くないのではないでしょうか。例えば、ベネッセにおける情報漏洩事件では犯人は不正競争防止法で起訴されています。他の個人情報漏えい事件でも、威力業務妨害や、著作権違反などで起訴されることが多いですね。

──第三者機関の前身として、すでに設置されている特定個人情報保護委員会では、マイナンバーに関する判断を扱います。そこでの準備が、プライバシーコミッショナーの法執行という役割を担う際に、役立つのでしょうか。

瀬戸：まず企業や自治体側の現実として、準備が充分ではないと思います。自治体では、かなり苦労して、新しい制度に対応をしているのが実態です。国から資料がいろいろと出ていますが、必ずしも体系的な順番に沿って資料が展開されているようには思えません。このような新しい制度を実施する場合は、ある程度の準備期間や試行期間が必要です。

例えば、韓国では2011年にプライバシー影響評価を規定した個人情報保護法の改正を行いましたが、実は5年間の試行した後に、法改正を行っています。ガイドラインを作り、第三者評価を行う評価機関を作り、評価を行う認定資格を作るなどの準備を5年掛けて行いました。ただ、それでも上手くいかなかったところも少なくありません。

一方、日本のマイナンバーは、新法の開始と同時に自治体が全力疾走の状態になっています。マイナンバーのために自治体は特定個人情報保護評価を行う必要がありますが、リスク評価に関する手順がなく、またシステムに関する充分な知見がない状況で自己評価（自治体が自らの業務を評価）しているため、おのずから対応に限界があるのではないかと思います。

自治体の評価結果は自治体に設置した点検委員会、あるいは個人情報審議会で確認しますが、承認する権限はありません。評価結果は特定個人情報保護委員会に提出されますが、ここでも承認しません。多くの個人情報は市区町村に集まっており、自治体が実施した特定個人情報保護評価結果を充分な権威をもって精査する必要があると思います。この観点から、現在の特定個人情報保護委員会の業務範囲が不十分であると考えます。これを解決するためには、プライバシーコミッショナー制度を国、自治体レベルで階層化し権限を明確にするべきです。

自治体の評価結果確認には情報技術の専門家の参加が必須

──個人情報保護法改正以前に、そもそものマイナンバー対応の準備自体が遅れている、ということですか。

瀬戸：特定個人情報保護委員会は、現行の7人で構成されていますが、すべての地方公共団体の報告書を精査承認することはできません。現行法でも国の行政機関の報告書の承認のみです。1500ある市区町村、全項目評価の対象はその10％としても150の自治体の評価書を点検することが、自治体の点検委員会（個人情報審議会）に任されています。だから、特定個人情報保護委員会と自治体に設けた点検委員会の関係を法律で明確に位置づけるべきだと考えます

諸外国ではプライバシーコミッショナーが、郡、県、州、国というそれぞれのレベルであります。そして、人権に関するような大きなプライバシーの問題は、国のコミッショナーが判断し、自治体のところは自治体の点検委員に任せるように法律を整備すべきだと思います。

──自治体の対応については、あちこちからも懸念の声が挙がっています。個人情報保護関連の条例が各自治体で独自に制定され、それぞれ独立して審議会のような組織が動いている。そうしたバラバラな状況で、今回の保護法改正に対して、条例改正や委員会の改組等に取り組んでいる自治体は、とても少ないと聞きます。

瀬戸：自治体における個人情報保護関連の条例に関してコメントできるほど存じ上げませんが、特定個人情報保護評価に関する点検については、法律、行政業務、セキュリティ技術がわかる中立的な専門家が必要なのにも係わらず、対応できる有識者はそう多くはありません。首都圏の場合はなんとかなると思いますが、地方では人材確保に苦労しているのでないでしょうか。

私の大学は東京都が設置した大学であり、都下の自治体支援をミッションにしているので、私も2つの自治体の点検委員や個人情報審議会委員を拝命させていただいていますが、2つの自治体への支援で手一杯です。

個人情報審議会の有識者は法律関係の方が多いのですが、審議する内容は、個人情報のコンピュータ処理に関わる案件が多く、情報技術の専門家、特にセキュリティやプライバシーを専門としているIT技術者の参加が必要と思えます。

首都圏だったら何とか人が集まると思いますが、全国の市区町村が同じように人材を確保するのは大変だと思います。国に一つ、都道府県に一つの体制になれば、実効性ある第三者機関が運用できるのではないかと思います。

──第三者機関も自治体も準備が足りない中、民間企業は自分たちで判断していくためには、どうしたらよいのでしょうか。

瀬戸：法的な整備が一番有効かと思います。明確な基準があれば民間企業はそれなりにコストをかけ、ちゃんとやります。例えば、マイナンバーが漏洩したら重い罰則規定があれば、それで民間企業はある程度適正な対応をされると思います。ただし、どのような安全管理措置を実施するか明確なガイドラインを同時に示す必要があります。今後のことを考えると、システムに関するプライバシー影響評価と運用に関するプライバシーマーク、2つの制度を有効活用すればよいと思っています。

──APECのクロスボーダープライバシールールに関する議論の中でも、そうした期待はあるようです。実際、諸外国の政策担当者からも、プライバシーマークについては一定の評価を得ています。

瀬戸：もちろん現状に甘んじてはいけません。法律も執行も大きく変わるのだから、JIPDECはプライバシーマーク制度を設計し直す必要があるでしょう。運用はプライバシーマーク、システムはPIAの実施が必要な仕組みにして、第三者評価できるものにするのが現実的ではないでしょうか。その上で、グローバルスタンダードにしていくための道を歩めば、日本企業としては助かる機会が増えると思います。

（後編に続く）

当記事は2015年4月7日に公開いたしましたが編集上の誤りがあったため、内容について再度確認の上、正しい版に差し替えて4月15日にあらためて公開いたしました。