ITをめぐる法律問題について考える このページをアンテナに追加 RSSフィード

2015-06-20

【マイナンバーQ&A】条例で、利用制限の起点が、「利用目的」ではなく「個人情報取扱事務」等である場合の注意点

マイナンバー法に基づく個人情報保護条例改正の実務的留意点でかなり細かいです。

私の市では、個人情報の利用制限が、「利用目的」の範囲内か外かの規制ではなくて、「個人情報取扱事務」の範囲内か外かの規制になっていますが、特定個人情報の利用制限も、このような規定ぶりに合わせてよいでしょうか



1.問題の所在

(1)個人情報の利用制限

個人情報は目的に沿った利用をしなければ、本人にとっては予期せぬ使い方をされてしまったり、本人のプライバシー権を侵害する恐れがあります。そこで個人情報保護法でも行政機関個人情報保護法でも個人情報保護条例でも、利用目的に沿った個人情報の利用を原則とする規定が置かれています。

例えば、個人情報保護法では、次のような規定が置かれています。

(利用目的による制限)

第十六条  個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

行政機関個人情報保護法でも、次のような規定が置かれています。

(利用及び提供の制限)

第八条  行政機関の長は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。

個人情報保護条例でも、例えば鹿屋市個人情報保護条例では次のような規定が置かれています。

(利用及び提供の制限)

第8条 実施機関は、法令又は条例に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。

しかし、個人情報保護条例の多くは、個人情報を取り扱うに際して、事前に、首長に対して、どのような業務でどのような個人情報を取り扱うかを登録する制度を設けています。そしてそこで登録された業務を、行政機関個人情報保護法でいう「利用目的」代わりに用いているものがあります。

例えば、小平町個人情報保護条例では、第6条で個人情報取扱事務首長登録を規定し、第8条でその事務の目的以外での利用を原則禁止しています。

個人情報取扱事務の届出及び閲覧)

第6条 実施機関は、個人情報を取扱う事務(以下「個人情報取扱事務」という。)を開始しようとするときには、あらかじめ次に掲げる事項を町長に届け出なければならない。

(1) 個人情報取扱事務の名称

(2) 個人情報取扱事務の目的

(3) 個人情報取扱事務を所管する実施機関の名称

(4) 個人情報取扱事務を開始する年月日

(5) 個人情報の対象者の範囲

(6) 個人情報の記録項目

(7) 個人情報の収集先

(8) 前各号に定めるもののほか、実施機関が定める事項

(利用及び提供の制限等)

第8条 実施機関は、個人情報取扱事務の目的以外に個人情報を当該実施機関内において利用し、又は当該実施機関以外の者へ提供してはならない。  (以下略)

佐渡市個人情報保護条例小平町個人情報保護条例と同様の内容になっていますが、規定ぶりが変わっています。佐渡市では、個人情報を取り扱う際に首長に登録するのではなく、審査会に諮問した上で審査会に登録することになっています(第7条)。そして登録した業務の目的以外の利用を原則禁止しています(第11条)。

(取得の手続)

第7条 実施機関は、個人情報を取得するときは、佐渡市個人情報保護制度審議会(以下「審議会」という。)に諮問し、その答申に基づき行い、次に掲げる事項を登録しなければならない。登録した事項の一部を変更するときも、同様とする。

⑴ 業務の名称

⑵ 取得の目的

⑶ 取得する個人情報の項目

⑷ 取得の方法

⑸ 前各号に掲げるもののほか、実施機関が定める事項

(利用及び提供の制限)

第11条 実施機関は、第7条第1項又は第3項の規定により登録された業務に係る保有個人情報について、当該業務の目的以外の目的のために当該実施機関内において利用し、又は当該実施機関以外のものに提供してはならない。  (以下略)


(2)特定個人情報に対する利用制限

個人情報の利用制限を「個人情報取扱事務」の範囲内か外かの規制としている場合に、特定個人情報の利用制限もこのような規定ぶりとすると、問題が生じる可能性が考えられます。仮にそのような規定ぶりとしたときに、番号法上認められる利用が、個人情報保護条例ではできなくなる恐れが少しあると考えられます。多くの場合は問題ないのですが、理論的には「個人情報保護条例の方が番号法上認められる利用より狭い」ために、一部例外的な場合に、法律上は認められるが条例上認められないということになってしまう恐れが考えられます。

番号法対応のための条例改正では、この小平町タイプの条例は、論点が出てきてしまいます。

個人情報の利用制限を「個人情報取扱事務」の範囲内か外かの規制としている場合、特定個人情報の利用規制を個人情報保護条例に盛り込む際に素直に考えると、特定個人情報についても(特定)個人情報取扱事務以外の目的で特定個人情報をつかえないという規制になると思うわけですが、そうすると、問題が生じる恐れがあります。

特定個人情報は、番号法上、番号法9条1項〜3項及び5項のためには目的内利用として使えるわけです。しかし、特定個人情報取扱事務と、番号法9条1項〜3項及び5項のための利用が完全にイコールではないと考えられます。(特定)個人情報取扱事務は、番号法9条1項〜3項及び5項よりも若干狭いと考えられます。そうすると、個人情報保護条例で(特定)個人情報取扱事務以外の利用を原則禁止してしまうと、番号法上認められる利用ができなくなる可能性があります。

 番号法上認められる利用 > (特定)個人情報取扱事務



2.目的内利用の規定ぶり

多くの個人情報保護条例では、まず個人情報を取り扱うに当たって利用目的を特定した上で、利用目的以外の利用を原則禁止する形態をとっています。これに対し小平町佐渡市などでは、個人情報を取り扱うに当たって利用目的を特定する義務を、町にかけていません。行政機関個人情報保護法でいえば、3条1〜3項に相当する規定が置かれていないわけです。

行政機関個人情報保護法

個人情報の保有の制限等)

第三条  行政機関は、個人情報を保有するに当たっては、法令の定める所掌事務を遂行するため必要な場合に限り、かつ、その利用の目的をできる限り特定しなければならない。

2  行政機関は、前項の規定により特定された利用の目的(以下「利用目的」という。)の達成に必要な範囲を超えて、個人情報を保有してはならない。

3  行政機関は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

では、小平町等ではこの点どうしているかというと、個人情報取扱事務の登録を事前にさせて、それ以外の利用は原則禁止するという規定ぶりにしています(小平町個人情報保護条例6条・8条)。これは、ある意味よく考えられた規制といえます。

行政機関個人情報保護法で求められる利用目的の特定は、特定形態は指定されていないわけです。とはいっても、行政機関個人情報保護法では、個人情報保護条例上の「個人情報取扱事務の登録」に相当するものとして、「個人情報ファイルの事前通知」と「ファイル簿の公表」制度が設けられているので、特定された利用目的はこれらを通じて確認することができるわけです。しかし、ファイル簿の例外に該当すると、ファイル簿は作成されず、一般国民は確認することができません。

小平町では、この点、職員等の人事、給与福利厚生等以外は、すべて個人情報取扱事務登録しますので(小平町個人情報保護条例6条4項)、内部的なもの以外は広く一般国民が確認でき(同条3項)、それ以外には個人情報を利用することができないという規制になっています。



3.番号法上利用が認められた事務と(特定)個人情報取扱事務の関係性

以下、番号法9条の目的内事務と(特定)個人情報取扱事務がイコールなのかどうかについて検討したいと思います。

番号法上、個人番号の目的内利用として認められているのは、番号法9条1項・2項・3項・5項です。

番号法9条4項は許される目的外利用であるので、ここでは検討しません。

また番号法7条等に基づいても個人番号を利用できますが、付番等特殊な事務なので、これもここでは検討しません。

まず番号法9条1項・2項について考えます。これらは、特定個人情報を取り扱う事務、すなわち(特定)個人情報取扱事務といえます。(特定)個人情報取扱事務とは、条例の規定ぶりにもよりますが、個人情報を取り扱う事務であって、普通の業務はこれに含まれて、事前に首長に登録されていると考えられます。したがって番号法9条1項・2項は(特定)個人情報取扱事務といえます。

次に番号法9条3項も、個人番号関係事務ではありますが、特定個人情報を取り扱う事務といえます。

しかし番号法9条5項はどうでしょうか。番号法9条5項は番号法19条11号から14号までのいずれかに該当して特定個人情報の提供を受けた場合に、提供を受けた目的で個人番号を利用する場合ですので、19条11号から14号までをそれぞれ検討する必要があります。

19条11号は特定個人情報保護委員会が提供を受けるときなので、自治体には関係ありません。

19条12号は裁判・捜査等の公益性のある場合で、自治体に関係しそうなのは、地方税に関する質問等(番号法19条12号・番号法施行令26条・別表8号)、議会調査(番号法19条12号・番号法施行令26条・別表3号)、県警の捜査(番号法19条12号)等でしょうか。

地方税に関する質問等は特定個人情報を取り扱う事務に該当する可能性が高いと思われますが、県警の捜査はどうでしょうか。県警の捜査を個人情報を取り扱う事務に該当すると解してもよさそうですが、現実の実務として、このような場合を個人情報を取り扱う事務に該当していると解しているのでしょうか。

個人情報取扱事務登録に適さないようにも思われます。しかし、県警の捜査で個人情報を取り扱うことは取り扱うので、そこを否定することはできませんが、「個人情報を取り扱う事務」とは「個人情報を経常的に取り扱う典型業務をいう」などと解釈して、県警の捜査はこれに当たらないと、実務上、条例を解釈しているところもあるのではないでしょうか(「事務」の解釈の問題になりますが。)、

多くの条例では、警察関係は適用除外規定があるように思いますが(神奈川県個人情報保護条例7条6項など)、小平町はありません。なお、個人情報取扱事務登録は、特段、条例改正をしなくても、特定個人情報についても義務がかかることになります。なぜなら特定個人情報条例上の個人情報にも該当するため、条例上の個人情報に対する規制は、改正せずとも、及ぶからです。

また警察だけではなく、議会も実施機関に含まれていますが(小平町個人情報保護条例2条2号)、議会の調査が特定個人情報を取り扱う「事務」に該当するとは解さないように思います。これも警察同様、別に個人情報取扱事務に当たると解釈することは可能だと思われますが、議会個人情報を取り扱う前に、実際上、事務登録などしていないのではないかと思われます。

そうすると、特定個人情報について考えてみると、特定個人情報を(特定)個人情報取扱事務以外のために使えないのを原則とすると、番号法9条5項の一部の場合に、特定個人情報が利用できないのではないかという疑義が生じます。

もちろん、番号法9条5項の場合すべてを精査して、特定個人情報を取り扱う事務として解釈できるといえればよいのですが。それができないのであれば、「特定個人情報を特定個人情報取扱事務以外のために使えない」のを原則とせずに、「特定個人情報を利用目的以外のために使えない」のを原則としたほうがよいように思います。

なぜなら利用目的というのは、実施機関が定めるものであって、個人情報取扱事務のような事前登録をする必要はないからです。したがって、議会でも県警であっても、個人情報を取り扱う場合は、利用目的を事前に特定しておけばよいということになります。個人情報取扱事務に該当する場合は、議会でも県警でも事前登録が必要だけれども、該当しない場合は、事前登録が不要になります。

つまり、特定個人情報を「個人情報取扱事務」の目的以外に利用してはならないというのを原則規制とすると、議会や県警で個人番号を利用するためには、条例上、事前登録が求められている「個人情報取扱事務」に該当しなければならないということになります。しかし事前登録されていないとして、それなのに個人番号を県警や議会が利用したとすると、(1)本来は「個人情報取扱事務」に該当して事前登録が必要だったが、それを忘れてしまったので、その点で条例違反だが、県警や議会が個人番号を利用すること事態は条例の規制内なので、条例を遵守していることになる、又は(2)本来議会や県警が個人情報を利用することは、条例上「個人情報取扱事務」には該当しないので、事前登録が不要であり、事前登録していないことは条例に適している。しかし個人番号は「個人情報取扱事務」以外には、人の生命・身体・財産の保護に必要な場合以外利用できないので、この場合に該当しない議会・県警における個人番号の利用は条例違反となる、という帰結のどちらかになってしまうのではないかと考えられます。

ただそうはいっても、個人情報取扱事務に含まれないけれども、利用目的内の利用というものは、例外的場合であり、数としては多くないはずなので、割り切るという考え方もなくはないでしょうが、例外的場合であっても、100条委員会などで個人番号を使いたいというニーズが出てきたときに、条例上使えないとなったら大変だと思われます。まあ、議会・県警などでは、人の生命・身体・財産の保護に必要な場合だといって、番号法上認められる目的外利用だということも可能だとは思いますが…。



4.特定個人情報に対する規定ぶり

したがって、小平町タイプの場合は、

(1)特定個人情報以外の個人情報は、引き続き個人情報取扱事務のための利用を原則形態とし、特定個人情報については特定個人情報取扱事務のための利用ではなく、目的内利用を原則形態とする

(2)特定個人情報でもそれ以外の個人情報でも、個人情報取扱事務のための利用ではなく、目的内利用を原則形態とする

というどちらかを選択することが適切なのではないかと考えます。

投稿したコメントは管理者が承認するまで公開されません。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/cyberlawissues/20150620/1434792566