漏えい、乱用の危険 マイナンバー制　
【議事録】2015年06月02日　参議院内閣委員会参考人質疑

○山下よしき　日本共産党の山下です。
　お三方、ありがとうございます。
　まず、田島参考人に伺います。
　先ほどの意見表明の中で、市民の個人情報の収集、管理、利用が広がる一方で、市民が知るべき情報が秘匿されていく、大変危惧されると。同感です。お上の情報コントロールか、市民の情報コントロールかと。そこで、市民の情報コントロールを主眼に置いた場合に、どのようなルールなり社会システムが必要だとお考えでしょうか。

○田島泰彦上智大学文学部新聞学科教授　もちろん、国の情報と市民の個人情報と同じではありません。しかしながら、非常に共通しているのは、秘密保護法にしても共通番号法にしても、要するに管理する側が情報を独占しているんですね。その独占している情報の中から、その人たちの判断だけでこれは出さないよと。
　しかし、他面で、統治に必要だからちょっと踏み越えるところがあるかもしれないけれども、個人情報をいろんな形で収集し、管理し、ひも付けし、活用するという、要するに、ある意味で市民はこれだけ豊かな社会で様々な情報に取り囲まれているにもかかわらず、本当に自分が発言権を行使して、自らの運命の情報、自らが知らなくちゃいけない情報について、市民の観点からアクセスしたり、あるいは拒絶したりという、そういう決定権というのが事実上やっぱりいろんなレベルで持ち得ていないと。
　だから、それは個人情報の場合とそれから国の情報の場合とは異なるけれども、やっぱり大事なことは、民主的な社会であれば、最終的には市民がその情報についての運命を決める力をできる限り確保し、それが行えるような条件をつくるというのが、私は民主的な社会の条件の非常に大きな部分としてあるんではないかなというふうに考えております。

○山下よしき　ありがとうございました。
　お三方にそれぞれお聞きしたいと思いますが、先ほど来話題になっております日本年金機構の情報漏えい問題が起こりました。しかし、こういう問題はこれが初めてではありません。
　ベネッセで起こった情報漏えいありましたけれども、これは業務委託先の元社員が氏名や住所など約3,500万件分の顧客情報を名簿業者に売却したということでありました。
　それから、韓国でも、昨年1月、大きな問題となったクレジットカード会社三社が約2,000万人分に上る個人情報を漏えいしたと。これもシステムの問題ではなくて、システム構築を担当したセキュリティー会社の社員が顧客の個人情報を盗んでブローカーに売却していたということでありました。
　先ほど、城田参考人が少しおっしゃいましたけれども、こういうシステムを幾ら堅牢なものをつくったとしても、それを扱う人間が、こういう不心得者が1人でも出ちゃうともう取り返しの付かないような個人情報の大量流出が起こってしまうという状況が、いろいろ個人情報を一元管理すればするほどリスクは高まっていくんではないかと。
　性善説ではもう防ぎ得ない、個人の原因による情報漏えいを防ぐことが一体、システムをこういうふうに巨大化、一元化すればするほどできるのか、その辺り、お考えを伺いたいと思います。

○山本隆一東京大学大学院医学系研究科特任准教授　セキュリティーというのには100％はないというふうによく言われます。それはもう安全対策というのはあくまでもベストエフォートであって、やっぱり人間が触る以上、どこかに抜けが出てくるというのが常識的な話というふうにされています。したがって、大きなシステムになって、絶対情報漏えいがないのかと言われると、それは人が関わっている限りはあり得るんだろうなというふうに思います。
　ただ、問題は、起こり得るということを想定してそれをどう対応するか、つまり、残ったリスクに対してどういうふうに対応するかということまで含めてきちっと対策を立てておくことだと思うんですね。そうすると、何かアクシデントが起こる、あるいは何かミスが起こっても、最終的な情報漏えい、あるいは情報の悪用までに至る前に止めることができる、これは多分可能だと思うんですね。
　したがって、本当にセキュリティーの話でいうと当たり前の話なんですけれども、もう1回その当たり前に戻ってきちっとやるということと、もう一つは、やはり性悪説というのもあるんですけれども、人間にやっぱり過大なストレスを与えては僕はいけないと思うんですね。それはやっぱりどうしても無理が出てしまいますので、業務がきちっとしてやれる状況で安全が守れるようなデザインをしないといけないと。そういう意味で、そろそろ見直していくべき時期だろうなと。
　情報はもう集まってきてしまいますので、集めないという判断というのは、たとえ番号でなくたって集まってくるんですね、ですからそれはもうないので、そういう意味の情報セキュリティーのリバイスというのが多分非常に重要であろうというふうに思っています。

○城田真琴株式会社野村総合研究所ＩＴイノベーション推進部グループマネージャー／上級研究員　突き詰めていきますと、本当にシステムにアクセスできる権限を持った人が悪意を持ってそういうことをやろうとするとやはり防げないというのは、突き詰めていくとそういう話になってしまいます。
　ですから、どうすればじゃそういうことを防げるかというのは非常に難しい問題ではあると思うんですけれども、先ほど御指摘がありました昨年起きた大手通信教育事業者さんの事件でも、やはりアクセス権限を有しているスタッフがそもそもどういう処遇をされていたのかと。今、山本参考人からもありましたけれども、過度なストレスがなかったのか、あるいはそのストレスの、言い方は悪いですけれども、はけ口としてそういう情報を持ち出して外部に売ると。物すごく端的な言い方をすると、きちんとした好待遇で待遇してあげればそういうことはやらなかったのかもしれないですし、そういう面を、本当に機微情報を扱うようなスタッフの方はそれなりのやはり待遇でもって接する必要があるんじゃないのかなと。
　それから、昨日公になりました年金機構の事件に関して言うと、数日前からインターネットの巨大掲示板の方でスタッフと思われる方が書き込みをしていたというようなこともございましたので、やはりそういうところを見ていくと、そもそもそういったスタッフに対するモラル教育というものがきちんと行われていたのか、あるいは、先ほどと同じですけれども、きちんとした待遇がなされていたのかと、そういったところはこれから見直していくべきポイントかなというように考えています。

○田島参考人　やっぱり人的な要素というんでしょうか、ファクター、それはもちろん、当然あり得ると思うんですよね。だから、それに対してどういう手当てをするかというのも非常に大事なところではあるかもしれませんけれども、ただ、じゃそれでいろんな情報の流出あるいは不正アクセス等々の問題が食い止められるかというと、やっぱり難しいだろうと。すなわち、人間の問題ではなくて、やっぱり構造の問題だろうなというふうに思います。すなわち、これだけいろんな情報が多様に交錯をして膨大に集積をしてという我々の社会であるのは事実ですね。
　だから、そういう中で、じゃそれを加速するような形でその情報の収集なり管理をするのか、そうではなくて、もうちょっと分散化をして、余り集中して同じものでやるという、あるいは統合するという方向ではなくて、むしろ分散の方向で、節度ある形で緩やかな情報の管理をしていく、あるいは、そういうカウンターパートの一つとして、やはり個人なりあるいは自治体なりが、大きな統合なり大きな集中なりとは違う形での異議申立てなり別な構想ですよね、そういうものをシステムの中にやっぱりできる限り多様に組み合わせていって過度の集中や統合に起因する先ほど言ったような問題に対処するという、そういう工夫をやっぱりそのレベルで努力をしていかないと、なかなかちょっと限界があるのではないかなというのが私の感想ですね。

○山下よしき　ありがとうございます。
　城田参考人に何問か聞きたいと思いますが、この参考資料の三ページでＥＵのデータ保護指令のお話がありました。分かりやすく、ピザ屋さんの情報をどう加工するか、本人同意が必要な場合と必要でない場合、非常に分かりやすかったんですが、このＥＵ指令ではどういう基準でこの二つを区別するのか、基準があるのかどうか。それから、誰がどのように決めるのか、区分けするのか。恐らくいろんな社会の進歩、発展に伴って同じように判断しなければならないことがいろいろ出てくると思うんですが、そういう場合、固定的な基準ではなくて変動していくのかどうか、その辺りについて御説明いただければと思います。

○城田参考人　それはなかなか文章で読んで難しいというところがございますので、それがその三ページのところに二つだけ事例を挙げさせていただきましたけれども、実際の資料の方にはかなり幾つも事例が載っておりまして、こういう場合であれば同意が不要である、こういう場合であれば同意が必要であるというようにケースが書いてありますので、基本的にはそれを見て判断していくということになると思います。
　誰が判断をしているかといいますと、大体この三ページ目の上の見出しのところに書きましたけれども、ＥＵのデータ保護指令の第29条作業部会というところがそういった草案を作って、最終的には、ＥＵの各国で第3者委員会のようなところがございますので、そこの方で判断をしていくというようなことになっております。

○山下よしき　終わります。