漏えい、乱用の危険 マイナンバー制 
【議事録】2015年06月02日 参議院内閣委員会参考人質疑

○山下よしき 日本共産党の山下です。
 お三方、ありがとうございます。
 まず、田島参考人に伺います。
 先ほどの意見表明の中で、市民の個人情報の収集、管理、利用が広がる一方で、市民が知るべき情報が秘匿されていく、大変危惧されると。同感です。お上の情報コントロールか、市民の情報コントロールかと。そこで、市民の情報コントロールを主眼に置いた場合に、どのようなルールなり社会システムが必要だとお考えでしょうか。

○田島泰彦上智大学文学部新聞学科教授 もちろん、国の情報と市民の個人情報と同じではありません。しかしながら、非常に共通しているのは、秘密保護法にしても共通番号法にしても、要するに管理する側が情報を独占しているんですね。その独占している情報の中から、その人たちの判断だけでこれは出さないよと。
 しかし、他面で、統治に必要だからちょっと踏み越えるところがあるかもしれないけれども、個人情報をいろんな形で収集し、管理し、ひも付けし、活用するという、要するに、ある意味で市民はこれだけ豊かな社会で様々な情報に取り囲まれているにもかかわらず、本当に自分が発言権を行使して、自らの運命の情報、自らが知らなくちゃいけない情報について、市民の観点からアクセスしたり、あるいは拒絶したりという、そういう決定権というのが事実上やっぱりいろんなレベルで持ち得ていないと。
 だから、それは個人情報の場合とそれから国の情報の場合とは異なるけれども、やっぱり大事なことは、民主的な社会であれば、最終的には市民がその情報についての運命を決める力をできる限り確保し、それが行えるような条件をつくるというのが、私は民主的な社会の条件の非常に大きな部分としてあるんではないかなというふうに考えております。

○山下よしき ありがとうございました。
 お三方にそれぞれお聞きしたいと思いますが、先ほど来話題になっております日本年金機構の情報漏えい問題が起こりました。しかし、こういう問題はこれが初めてではありません。
 ベネッセで起こった情報漏えいありましたけれども、これは業務委託先の元社員が氏名や住所など約3,500万件分の顧客情報を名簿業者に売却したということでありました。
 それから、韓国でも、昨年1月、大きな問題となったクレジットカード会社三社が約2,000万人分に上る個人情報を漏えいしたと。これもシステムの問題ではなくて、システム構築を担当したセキュリティー会社の社員が顧客の個人情報を盗んでブローカーに売却していたということでありました。
 先ほど、城田参考人が少しおっしゃいましたけれども、こういうシステムを幾ら堅牢なものをつくったとしても、それを扱う人間が、こういう不心得者が1人でも出ちゃうともう取り返しの付かないような個人情報の大量流出が起こってしまうという状況が、いろいろ個人情報を一元管理すればするほどリスクは高まっていくんではないかと。
 性善説ではもう防ぎ得ない、個人の原因による情報漏えいを防ぐことが一体、システムをこういうふうに巨大化、一元化すればするほどできるのか、その辺り、お考えを伺いたいと思います。

○山本隆一東京大学大学院医学系研究科特任准教授 セキュリティーというのには100%はないというふうによく言われます。それはもう安全対策というのはあくまでもベストエフォートであって、やっぱり人間が触る以上、どこかに抜けが出てくるというのが常識的な話というふうにされています。したがって、大きなシステムになって、絶対情報漏えいがないのかと言われると、それは人が関わっている限りはあり得るんだろうなというふうに思います。
 ただ、問題は、起こり得るということを想定してそれをどう対応するか、つまり、残ったリスクに対してどういうふうに対応するかということまで含めてきちっと対策を立てておくことだと思うんですね。そうすると、何かアクシデントが起こる、あるいは何かミスが起こっても、最終的な情報漏えい、あるいは情報の悪用までに至る前に止めることができる、これは多分可能だと思うんですね。
 したがって、本当にセキュリティーの話でいうと当たり前の話なんですけれども、もう1回その当たり前に戻ってきちっとやるということと、もう一つは、やはり性悪説というのもあるんですけれども、人間にやっぱり過大なストレスを与えては僕はいけないと思うんですね。それはやっぱりどうしても無理が出てしまいますので、業務がきちっとしてやれる状況で安全が守れるようなデザインをしないといけないと。そういう意味で、そろそろ見直していくべき時期だろうなと。
 情報はもう集まってきてしまいますので、集めないという判断というのは、たとえ番号でなくたって集まってくるんですね、ですからそれはもうないので、そういう意味の情報セキュリティーのリバイスというのが多分非常に重要であろうというふうに思っています。

○城田真琴株式会社野村総合研究所ITイノベーション推進部グループマネージャー/上級研究員 突き詰めていきますと、本当にシステムにアクセスできる権限を持った人が悪意を持ってそういうことをやろうとするとやはり防げないというのは、突き詰めていくとそういう話になってしまいます。
 ですから、どうすればじゃそういうことを防げるかというのは非常に難しい問題ではあると思うんですけれども、先ほど御指摘がありました昨年起きた大手通信教育事業者さんの事件でも、やはりアクセス権限を有しているスタッフがそもそもどういう処遇をされていたのかと。今、山本参考人からもありましたけれども、過度なストレスがなかったのか、あるいはそのストレスの、言い方は悪いですけれども、はけ口としてそういう情報を持ち出して外部に売ると。物すごく端的な言い方をすると、きちんとした好待遇で待遇してあげればそういうことはやらなかったのかもしれないですし、そういう面を、本当に機微情報を扱うようなスタッフの方はそれなりのやはり待遇でもって接する必要があるんじゃないのかなと。
 それから、昨日公になりました年金機構の事件に関して言うと、数日前からインターネットの巨大掲示板の方でスタッフと思われる方が書き込みをしていたというようなこともございましたので、やはりそういうところを見ていくと、そもそもそういったスタッフに対するモラル教育というものがきちんと行われていたのか、あるいは、先ほどと同じですけれども、きちんとした待遇がなされていたのかと、そういったところはこれから見直していくべきポイントかなというように考えています。

○田島参考人 やっぱり人的な要素というんでしょうか、ファクター、それはもちろん、当然あり得ると思うんですよね。だから、それに対してどういう手当てをするかというのも非常に大事なところではあるかもしれませんけれども、ただ、じゃそれでいろんな情報の流出あるいは不正アクセス等々の問題が食い止められるかというと、やっぱり難しいだろうと。すなわち、人間の問題ではなくて、やっぱり構造の問題だろうなというふうに思います。すなわち、これだけいろんな情報が多様に交錯をして膨大に集積をしてという我々の社会であるのは事実ですね。
 だから、そういう中で、じゃそれを加速するような形でその情報の収集なり管理をするのか、そうではなくて、もうちょっと分散化をして、余り集中して同じものでやるという、あるいは統合するという方向ではなくて、むしろ分散の方向で、節度ある形で緩やかな情報の管理をしていく、あるいは、そういうカウンターパートの一つとして、やはり個人なりあるいは自治体なりが、大きな統合なり大きな集中なりとは違う形での異議申立てなり別な構想ですよね、そういうものをシステムの中にやっぱりできる限り多様に組み合わせていって過度の集中や統合に起因する先ほど言ったような問題に対処するという、そういう工夫をやっぱりそのレベルで努力をしていかないと、なかなかちょっと限界があるのではないかなというのが私の感想ですね。

○山下よしき ありがとうございます。
 城田参考人に何問か聞きたいと思いますが、この参考資料の三ページでEUのデータ保護指令のお話がありました。分かりやすく、ピザ屋さんの情報をどう加工するか、本人同意が必要な場合と必要でない場合、非常に分かりやすかったんですが、このEU指令ではどういう基準でこの二つを区別するのか、基準があるのかどうか。それから、誰がどのように決めるのか、区分けするのか。恐らくいろんな社会の進歩、発展に伴って同じように判断しなければならないことがいろいろ出てくると思うんですが、そういう場合、固定的な基準ではなくて変動していくのかどうか、その辺りについて御説明いただければと思います。

○城田参考人 それはなかなか文章で読んで難しいというところがございますので、それがその三ページのところに二つだけ事例を挙げさせていただきましたけれども、実際の資料の方にはかなり幾つも事例が載っておりまして、こういう場合であれば同意が不要である、こういう場合であれば同意が必要であるというようにケースが書いてありますので、基本的にはそれを見て判断していくということになると思います。
 誰が判断をしているかといいますと、大体この三ページ目の上の見出しのところに書きましたけれども、EUのデータ保護指令の第29条作業部会というところがそういった草案を作って、最終的には、EUの各国で第3者委員会のようなところがございますので、そこの方で判断をしていくというようなことになっております。

○山下よしき 続いて城田参考人に伺いますが、次の資料4ページの方に、オランダのカーナビメーカーが警察と連携してこのような情報が提供されていた、大問題になったということですが、これは発覚したのでこういうことがもう二度とされない、しませんというふうになったのかもしれませんが、発覚しなかった場合、あるいはもうしないでこういうことが日常的にやられているんじゃないかと私は非常に危惧するんですが、日本社会でもそういうことが起こり得ると。
 要するに、行政機関の個人情報の取得や第三者への提供については、私は、民間企業以上に非常に影響力が大きいし、より明確なルールが必要だと思うんですが、この辺り、いかがお考えでしょうか。

○城田参考人 おっしゃるとおり、明るみに出たからこそ社会的な問題になってマスコミにも取り上げられましたし、最終的にこのトムトムというメーカーがプライバシーポリシーを変更しなければいけなくなったということになったわけなんですけれども、やはり明らかにならないと分からないというのは、それはもう当たり前ですけれども、そういう状況です。
 ですから、いろいろとこういう形で明るみになる問題というのは、やっぱりひょっとしたら氷山の一角なのかもしれないなと思いますけれども、それ以外になかなか、普通の生活をしているとこういう事件が分かるということは逆にありませんので、その部分というのは現状ではいかんともし難いのかなというように考えております。

○山下よしき 同じ質問をちょっと、山本参考人、いかがでしょうか。

○山本参考人 そのとおりだと思います。
 要するに、明るみに出ないと分からない利用というのが結構あるんだと思うんですね。それは医療健康情報の場合で、これから多分つくられるであろうその番号制度の下で、例えば個人番号カードを使って、それをマイナポータルでその動きを確認できるというのはある種の進歩だと思うんですね。そうである以上は、そういった情報を集積するとかなんとかというのは、必ずそこから追跡できるようにするというルールが多分要るんだろうと思います。
 これは多分、医療健康情報だとできますけれども、やろうと思えばできると思うんですけれども、これが、例えば車に今いっぱい付いているセンサーの情報をどうするかとか、そういうのはなかなか悩ましい問題で、もう道路にレシーバーを付けておけば、どんどん車の情報って入ってくるわけですよね。これは明るみに出ないと分からない問題かもしれません。

○山下よしき 城田参考人、もう一問。
 資料五ページのオプトアウトの周知徹底なんですが、これは私、本人同意なしに取得したり活用したりするということがオーケー、使いますよということが本人に伝わっていれば、拒否しない限り使えるということだと思うんですが、やはりそういうことがなかなか分からない、取扱説明書とか何かもう本当に小さい字で、そういうことを熟読しない人の方が多いんじゃないかと、そういうことを本当に心配するんですけれども、この周知徹底をしようと思ったら、例えばどういうことが大事だとお考えでしょうか。

○城田参考人 やはり今の個人情報保護法でいいますと、通知又は公表で足りるということになっていますので、余り手間を掛けたくないというような事業者の場合は、ホームページ上に小さい字でも公表しておけばそれは公表というふうになるわけであって、ただ、それが本当に一般消費者が分かるかというと、それこそ毎日ホームページを訪問して、そういった情報がないかというのをチェックしなければいけないと。それは非常に負担の掛かる話ですから、通知又は公表というよりは、通知を義務付けて、個人宛て、個人のメールアドレスの方に、そういった個人情報を収集しました、あるいは第三者に提供しますというようなことをメールでもって通知をしてあげるというのが本来であれば非常に親切なやり方だと思います。

○山下よしき 田島参考人に伺います。
 先ほどのイギリスのIDカードの挫折のお話ですが、いろいろお話伺っていますと、イギリスの民主主義に関わる民度の深さの一つの表れかなとも思ったんですが、何かこのIDカードを活用し始めてから問題が起こったり事件が起こったりすることによって議論が起こったのか、それとも、そうではなくて、自然にこういう問題は良くないんじゃないかというふうに議論が起こったのか、どういうことなんでしょうか。

○大島九州男委員長 残り時間1分程度ですので、よろしくどうぞ。

○田島参考人 法律ができて、これから準備をして、さあ始めようという、そういう動き始めたところなので、しかも最初は任意的な制度でやるというプランだったんですね。最終的には13年度に義務化するという、そういう緩やかな方向で制度化をしていって、まだ本格的にフルに活用して、そこで様々な弊害が起こるということは恐らくなかったと思うんですね。
 だけれども、確実に予見される事態というのが、アメリカのSSNの社会保障番号の話とか韓国の話とか、諸外国の事情等も踏まえて、もしかすると日本の状況も考えているかもしれません。そういうことを想定して、こういう事態が起こったら、これは我々の国でいいのかと。恐らくそういうことで、かなりいろんな市民団体なり運動団体がキャンペーンを張って、右から左まで含めてですね、その中で問題を提起して、選挙で公約もし、そして別な政権が生まれて制度が変わったと、恐らくそういう経過かなというふうに思います。

○山下よしき 終わります。