ある地方公務員電算担当のナヤミ このページをアンテナに追加 RSSフィード

2006 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 |
2012 | 05 | 06 | 08 |
このブログは、「地方公務員のためのブログガイドライン」に準拠しています。

2012年8月22日(水)

指定管理者における個人情報の取扱いは条例上どうなっているのか

気がついたら3か月近くも更新しておりませんでした。これで「ブログ再開しました」なんていっていいのかどうか考えてしまいます。書きためてはいるのですがなかなか記事として出すタイミングがよくわからないものです。

さて、武雄市の続きです。

高木浩光@自宅の日記 - やはり欠陥だった武雄市の個人情報保護条例

武雄市の個人情報保護条例は、2003年に地方自治法が改正されて指定管理者制度ができたときに総務省が出した通達「総務省自治行政局長通知(通知平成15年7月17日総行行第87号)」に従っていないという話を、専門家から教えて頂いた。

前の記事を書いたときに武雄市の個人情報保護条例を読んだときに、おやっと思ったのがこのあたりのところなのです。

件の通達における、指定管理者の個人情報の取扱いに関する部分はこう書かれています。

指定管理者が管理を通じて取得した個人情報については、その取扱いについて 十分留意し、「管理の基準」として必要な事項を定めるほか、個人情報保護条例において個人情報の保護に関して必要な事項を指定管理者との間で締結する協定に盛り込むことを規定する等、必要な措置を講ずべきものであること。また、指定管理者の選定の際に情報管理体制のチェックを行うこと等により、個人情報が適切に保護されるよう配慮されたいこと。

その際「、地方公共団体における個人情報保護対策について」(平成15年6月16日付け総行情第91号総務省政策統括官通知)の内容を十分に踏まえて対応されたいこと。

これを受けて、多くの自治体では指定管理者選定にかかる条例制定の際に、あわせて個人情報保護条例の改正も行っていると思うのです。

どこでもいいのですが、例えばさいたま市の場合このような感じです。

さいたま市個人情報保護条例


(受託者等の義務)

第11条 実施機関から個人情報取扱事務の処理の委託等を受けた者(指定管理者を含む。)は、その処理を行うに当たり、個人情報の適正な管理について必要な措置を講じなければならない。

2 前項の処理に従事している者又は従事していた者は、その処理に関して知り得た個人情報を漏らし、又は不当な目的に使用してはならない。

(一部改正〔平成16年条例1号〕)

このように指定管理者についても委託と同様に個人情報の取扱いについて必要な措置を講じる責務を定めている自治体が多いのではないかと思います。

あわせて、指定管理者の指定手続等の条例でも個人情報の取扱いについて定めている場合もあります。

さいたま市公の施設の指定管理者の指定の手続等に関する条例


(個人情報の取扱い)

第7条 指定管理者が施設の管理に当たって個人情報(さいたま市個人情報保護条例(平成13年さいたま市条例第18号)第2条第1号に規定する個人情報をいう。)を取り扱う場合については、条例の例により、適正に取り扱わなければならない

それで、武雄市の場合にはどうかというと、次の通りなのです。

武雄市個人情報保護条例


(委託に伴う措置等)

第12条 実施機関は、個人情報取扱事務の全部又は一部を実施機関以外のものに委託しようとするときは、委託に関する契約書等に個人情報の漏えい、滅失、き損、改ざんその他の事故の防止に関する事項並びに契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど、個人情報の保護のために必要な措置を講じなければならない。

2 前項の委託を受けた事務に従事している者又は従事していた者は、その事務に関して知り得た個人情報を漏らしてはならない。

・・・指定管理者に関する規定がありません。武雄市の個人情報保護条例は平成18年に全部改正しているみたいなのですが・・・。かつ、指定管理者の指定手続等の条例も同日に施行しているのですけれど。その時になぜ規定しなかったかなぁという疑問は残るところです。

そして、その指定管理者の指定手続等の条例はどうなっているかというと、こうなっています。

武雄市公の施設の指定管理者の指定の手続等に関する条例


(秘密保持義務)

第12条 指定管理者又はその管理する公の施設の業務に従事している者(以下この条において「従事者」という。)は、個人情報が適切に保護されるよう配慮するとともに、当該公の施設の管理に関し知り得た秘密を他に漏らし、又は自己の利益のために利用してはならない。指定管理者の指定の期間が満了し、若しくは指定を取り消され、又は従事者の職務を退いた後においても、同様とする。

・・・秘密保持義務はもちろん課されていますが、個人情報の取扱いに関しては「適切に保護されるよう配慮」されていれば条例上問題がないようなつくりです。まぁ緩くなっているよなぁというのが率直な感想です。

ただ、個人情報を自己の利益のために利用してはならないとは規定されています。このあたりどう折り合いつけるつもりなのかなというのも気になるところです。

もっとも、個人情報ではないというのが市長の主張のようですけれど。

2012年6月4日(月)

最初から(規約上)問題があるってCCCの担当者も言っていたけど

続きです。

少しブログを書きためていた間に、話が進むのが早いです。これが武雄市という自治体の仕事のスピード感なのでしょうね。

さて、この問題の最初の懸念って、Tポイントカードを図書館の利用者カードに使うことによる利用者履歴の流出の話だったと思うのですが、そもそもの最初の高木先生の記事にある記者会見の質疑応答にはこのような記述があるわけです。

高木浩光@自宅の日記 - 武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て

質問代読者:三つ目です。図書館で初めてTポイントカードを作ることになる市民に対して、Tポイントの利用規約への同意は、図書館を利用する市民の全てに強制することになるのか。


武雄市長:(CCC担当者を見る)


CCC担当者:そこはですね、その問題はあるなと思ってまして、規約をそれぞれ作った上で整理をしていかないといけないなあというふうに思っています。で、窓口でそれをどうとるのかというオペレーショナルな部分はこれから詰めることになります。

ということで、図書館利用者全員がTポイントカードを作ることを強制することについて、CCCの担当の方が(規約上)問題が存在することを認識しているわけです。

この、いちばん最初の記者会見の段階で。

ずっといろんなところでこの件を取り上げているサイトやら記事やら見て回っていますけれど、どうしてどこもこの部分について取り上げないんだろうかということが不思議で仕方なかったりします。

図書館貸出情報の扱い、ご安心ください! : 樋渡啓祐物語(2005年5月ー2015年2月)

僕の持論は持論として、こういった法令などをきちんと踏まえた上で、安心かつ安全な情報管理を行うようにCCCと武雄市の間でしっかり協議しながら制度設計を図っていきます。この履歴情報の扱いについては、再度書きますが、武雄市個人情報保護審議会及び武雄市議会並びに使ってくださる方々のご意見をしっかり踏まえます。まさに、万機公論に決すべしだと思っていますし、これらを踏まえて、市民価値を劇的に向上させた新図書館を作ります。

Tポイントカードをそのまま導入することに問題があるという認識があることを踏まえて、こういった意見を樋渡市長がブログで表明したその次に、この記事になるわけです。

波紋広げる武雄市図書館のツタヤ委託計画/佐賀新聞ニュース/The Saga Shimbun :佐賀のニュース

こうした根本問題とは別に、利用カードの個人情報管理を不安視する声も上がっている。貸し出し履歴は思想や信条、嗜好(しこう)も分析できる重要な個人情報。現在は返却と同時に記録を消去しているが、樋渡啓祐市長はこうした情報を活用して「別の本の推薦(リコメンド)もしたい」との意向を示した。ネットを中心に、民間が情報管理する危険性などを懸念する意見が相次いだ。

 こうした意見に対し、樋渡市長は、履歴を残すかどうかを選択できる2種のTカードを用意できるよう、CCCと協議する考え。個人情報管理についても、だれが、どう扱うかを含めて話し合う。また、図書館の質については「必要な機能などアンケートを取り、その結果で司書の置き方や機能充実を考え、契約に反映させたい」と話す。

今朝の佐賀新聞論説に反論 : 樋渡啓祐物語(2005年5月ー2015年2月)

お次に、個人情報の問題。これは会見でも言いましたが、どんな形をとるにしても、利用者の「同意」をきちんと取ります。そして、Twitterでも書いたかな、メディアにはもう伝えていますが、今の既存のTカードを使う人と今の図書館カードの機能そのままを保持したカードの2種類を用意する方向で考えています。僕らは考えられる選択肢をしっかり用意する必要がある。しかも、それは繰り返し書きますが、利用者本人の同意をしっかり取ります。

という流れになっているわけです。

ここには、市長が独善的に決めたことを押し通そうとするというような印象はまるで見えないように自分には思えるのです。

もう少し続きます。ここから先はセキュリティ以外の話になる予定です。

2012年5月12日(土)

続・「個人情報」の定義が条例でどう書かれているか実際に見てみた+定義の解釈などなど

「個人情報」の定義が条例でどう書かれているか実際に見てみたの続きです。

一応政令指定都市以外の県庁所在地市についてもざっと見てみました。

照合可能型(行政機関個人情報保護法と同等の規定)の規定ぶりなのが、青森市、盛岡市、秋田市、水戸市、宇都宮市、前橋市、富山市、金沢市、福井市、甲府市、長野市、津市、大津市、奈良市、和歌山市、松江市、山口市、徳島市、高松市、松山市、高知市、大分市、宮崎市、鹿児島市、那覇市です。

容易照合型(民間と同等、個人情報保護法に準拠)の規定ぶりなのは、長崎市だけです。

そして、それ以外なのが、山形市、福島市、岐阜市、鳥取市、佐賀市の5市です。5市とも、前のエントリで紹介した神戸市等と同様に「特定の個人が識別され、又は識別され得るもの」としています。

この「特定の個人が識別され、又は識別され得るもの」という表現ですが、現在の個人情報保護法ができる前は、こちらの表現も多く使われていたようです。実際に、前のエントリで紹介した横浜市についても、法施行に対応して全面改正する前はこちらの定義が用いられていました。

「個人データ」とは、識別された、または識別可能な個人(データ主体)に関するすべての情報を意味する。

このOECDプライバシーガイドラインに用いられている定義が由来なのだろうと思われます。

一応条文の表記で分類してみました。分類すればもっと多種多様な表現が用いられているのかもしれないと思っていましたが、県庁所在地の市レベルでは、新たな類型を見いだすようなほどの差異はありません。

そして、やはり表記ぶりが本質ではないのだろうと思うのです。どう解釈され、どう運用されるかが重要なことであろうと思うのです。

高木先生が記事で書かれていた「民間よりフリーダムなもの」であるかどうかは、「民間よりフリーダムな運用」がなされ得るかどうかで判断すべきものではないかと考えます。

一般に新たに条例を定めるときには、条例本文だけ定めるわけではありません。担当者によって、あるいはトップの人間によって恣意的な運用がなされないように、解釈運用基準についても定めるものです。

個人情報保護条例についても、その内容が市民の権利義務、利益不利益に大きく影響するものですので、ほとんどの自治体では解釈運用基準が定められているものと思います。

基準までネット上で公開しているところは少数派になると思いますが、例えば検索してすぐ見つかる例として、「特定の個人が識別され、又は識別され得るもの」の定義を用いている新潟県では、定義の解釈についてこのようにしています。

新潟県:個人情報保護保護条例解釈運用基準

1 「個人に関する情報」とは、氏名、住所、生年月日、性別はもちろんのこと、次のよう な個人に関する一切の情報をいうものである。この場合の「個人」とは、住所、国籍にか かわらず、県外者、外国人も含めたあらゆる個人が対象となる。

(1) 思想、信条、信仰等個人の内心に関する情報

(2) 健康状態、病歴等個人の心身の状況に関する情報

(3) 家族関係、生活記録等個人の家庭の状況に関する情報

(4) 職業、資格、犯罪歴、学歴、所属団体等個人の経歴又は社会的活動に関する情報

(5) 収入、資産等個人の財産の状況に関する情報

(6) 個人の知的創造物に関する情報

(7) その他個人に関する情報

このように個人の属性を示すすべての情報を対象としたのは、個人の権利利益が侵害さ れるか否かは、情報の種類や内容だけでは一律に判断できず、個々具体的な収集、管理、 利用又は提供等の態様との関連で判断する必要があるからである。

なお、事業を営む個人の当該事業に関する情報及び法人その他の団体に関する情報に含まれる当該法人その他の団体の役員に関する情報についても、対象となるものである。


2 「特定の個人が識別され、又は識別され得るもの」とは、その情報から特定の個人が識別され、又は識別される可能性があるものをいい、次のような情報をいう。

(1) 氏名、住所等特定の個人が直接識別される情報

(2) 他の情報と結び付けることにより、間接的に特定の個人が識別され得る情報

このように条文のみで他の情報との照合を除外しているかどうかと判断することは、確かにあまり意味のないことですし、個人情報の対象となるかどうかは、やはり一律で判断すべきものでなく、「個々具体的な収集、管理、 利用又は提供等の態様との関連で判断する必要がある」わけです。

そして判断にあたっては、それぞれの自治体の個人情報保護審議会の意見を聞くことになるわけです。

高木浩光先生、間違ってます。 : 樋渡啓祐物語(2005年5月ー2015年2月)

括弧書きがない場合も、括弧書きの対象である「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものが機械的に除かれるわけではなく、「「民間向けの「個人情報」定義よりもさらに狭い」と断ずることはできない。これもまた、法制の世界では当たり前のこと。

(略)

ちなみに、僕はこの条例が制定されたときは、6年以上前、まだ市長ではなかったので、当時の担当職員に聞いてみたところ、やっぱり、個人情報は国が扱う範囲と同一、なるべく、分かりやすくするために、そして、括弧書きは内包されているので、あえて書かなかったとのこと。

樋渡市長は上記エントリの中でこう書かれています。機械的に除かれるわけではないのはもちろんそうです。ですが、「当たり前」「担当職員に聞いてみた」ではなく、「武雄市が定めている条例の解釈運用基準に従って、国と同一基準です。」ということもできたわけです。そうであれば、セキュリティ関連の関係者の皆様が懸念されている恣意的な運用への不安についても、無用な疑義を抱かれることもないのだろうと思います。

さらに、前のエントリではこのような宣言もしています。

図書館貸出情報の扱い、ご安心ください! : 樋渡啓祐物語(2005年5月ー2015年2月)

今回の提携におけるいろんな情報の扱いに関しては、今までの市立図書館の情報の扱いを参考にしながら、別途、これは利用者にとって大切な点なので、武雄市議会での議論の一方で、武雄市立図書館が管理する個人に関する情報の問題である以上、武雄市個人情報保護条例第27条に基づく個人情報保護審議会で議論してもらいます。

大切な点という認識があるからこそ、これから個人情報保護審議会で議論していくわけです。

もしこれが独善的な首長であれば、「個人情報ではないから個人情報保護審議会にかける必要など全くない」ということもできたわけです。でもそういうわけではないようです。

次回以降に続きます。