石上としお 参議院議員 民進党参議院比例区第13総支部長

SSL GMOグローバルサインのサイトシール

国会質問

2016年6月アーカイブ

2016年5月19日(木) 総務委員会 行政機関個人情報保護法(行個法)改正案 質疑、附帯決議(ビッグデータ、個人情報保護)

--------------------------------

データの山に眠れる現代の金脈を掘りあてろ!
ビッグデータ解析で社会の課題解決を加速する。
ishigamitoshio.com

-------------------

「利活用を阻む高い壁」=個人情報の法的グレーゾーンの放置・拡大が社会前進の停滞を招いている。
ishigamitoshio.com

--------------------------------

【議題】

・行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案(閣法第48号)
行政機関個人情報保護法改正案(内容)
 
--------------------------------

【質問構成】

(1)行政機関個人情報保護法の位置づけ
(2)行個法における個人情報の「保護」と「活用」  
(3)「個人情報」と「非個人情報」と「グレーゾーン」
(4)非識別加工情報の作成・提供・流通の仕組み
(5)各行政機関の現状と個人情報保護委員会の将来構想

--------------------------------

ishigamitoshio.com

 たとえば医療ビッグデータの利活用によって、病気の予防や医療費適正化に計り知れない恩恵がもたらされる。社会的課題のソリューション、また新産業創造の観点からも、ビッグデータや個人情報の取扱いルールの整備・確立は決定的に重要だ。

-------------------

衝撃の犯罪予知ソフト「プレドポル」。
あなたはこの事実をどう受け止めるか?
ishigamitoshio.com

--------------------------------

【質問項目】

(1)行政機関個人情報保護法の位置づけ

問1:(対総務省・上村行政管理局長)
【個人情報保護法制における行個法等の位置づけ・相互関係】
 行個法と個人情報保護法、独個法、地方の条例との相互の関係、その相互の関係による効果は何か。特に、その関係性は行個法のどこに規定があるか。例えば、領域全体は民・官(行政)・独法・地方と区分されるが、各々の法律はその対象領域に自己完結型の一対一対応となっておらず分かりにくい。この入り組んだ「変則五角形」の法体系を選ぶ理由は何か。

-------------------

法体系もガラパゴス?
変則五角形の日本の個人情報保護法制
ishigamitoshio.com

-------------------

問2:(対総務省・上村行政管理局長)
【保有個人情報取扱いの法制度における行個法等の位置づけ・相互関係】
 行個法と行政機関情報公開法(行開法)、統計法、また法律ではないが各種オープンデータ政策はいずれも行政機関の保有情報から間接若しくは直接に何か価値を取り出す観点で類似するが、制度が様々存在する理由は何か。また、今回の法改正を行開法や統計法で行わない/できない理由は。

-------------------

(2)行個法における個人情報の「保護」と「活用」

問3:(対総務省・上村行政管理局長)
【保護法か活用法か:保護と活用は比較衡量されるか】
 昨年の個人情報保護法改正で第1条の目的規定は「・・・個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」と変更されたが、これは旧法にある「個人情報の有用性」という文言の分かりづらさを「新たな産業の創出」や「活力ある経済社会及び豊かな国民生活の実現」の具体例で明確にしたもので、学者・専門家も「法の中核的目的=個人の権利利益の保護を最重要視することは変わらない」としている。

-------------------

昨年の個人情報保護法(基本法)の改正
ishigamitoshio.com

 一方、今回の行個法改正案では、①現行法に「個人情報の有用性」の表現がもともと存在しなく、それ自体が追加であること、また、②条文冒頭で「個人情報の利用が拡大」することでのマイナス影響に言及する一方、後半で「個人情報の有用性」というプラス面への配慮に触れた直後、ただ単に「個人の権利利益を保護」が目的と条文を締め括っているため、「権利利益」にはマイナスからの保護とプラス利活用の権利があると読めなくもなく、「改正案では、個人情報の保護と活用はバランスされる関係」「行個法本来の目的は書き換えられた」との批判もあるが認識は。

-------------------

今回の行政機関個人情報保護法の改正案
保護法本来の目的は書き換えられるのか?
ishigamitoshio.com

-------------------

問4:(対総務省・上村行政管理局長)
【「新たな産業の創出」に対する行政機関の責務・基本姿勢】
 改正案では、行政機関は民間からの提案を審査し、提案が「新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するもの」であれば、情報を匿名加工し提供する。しかしこれは責務でなく、行政機関の長の裁量のため、基本姿勢はいわば受動的。世界経済フォーラムの有名な報告書「パーソナルデータ-新たな資産の誕生-」で言うように「パーソナルデータは新しい石油、21世紀の価値ある資源」であり、積極的な利活用が時代の要請。一部報道の改正案批判『官庁の「出し渋り」対応なし』は的外れでないか、行個法はビッグデータ利用推進にはニュートラルか。

-------------------

問5:(対総務省・上村行政管理局長)
【「新しい産業の創出」の個人情報活用の事業提案を行い得る者の範囲】
 今回の改正案で非識別加工情報利活用の事業提案を行えるのは(改正案第44条の5:行政機関非識別加工情報をその用に供して行う事業に関する提案)国内企業だけか。例えば、外国企業や外国人はどうか。また、拠点はほぼすべて海外で、株主・従業員も日本社会とは関係がない外国企業や、日本国内の産業と事実上喰うか喰われるかの関係にある外資系企業の場合等、改正案第1条にある「新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること」との関係はどうなるか。

-------------------

(3)「個人情報」と「非個人情報」と「グレーゾーン」(2条関連)

問6:(対個人情報保護委員会・其田事務局長)
【個人情報、個人識別符号、要配慮個人情報】
 以下のものは個人情報にあたるか。①死者の情報、②外国人の情報、③法人の情報、④個人携帯の番号、⑤IPアドレス、⑥Web閲覧記録、⑦カルテ番号、⑧遺伝子情報、⑨通行人のビデオ映像、⑩顔認証データ。また、各々その判断の根拠は。

-------------------

グレーゾーンの拡大・放置が利活用を阻んでいる。
ishigamitoshio.com

-------------------

問7:(対総務省・上村行政管理局長)
【保有個人情報、個人情報ファイル】
 保有個人情報とは、行政文書として正式に記録・保管されたものだけで、職員の記憶、個人的メモ、念のための撮影写真等はあたらないか。また、匿名加工の対象になるのは、公表された個人情報ファイルだけか。その量や内容、取得プロセス等にはどのような特質があるか。

-------------------

問8:(対総務省・上村行政管理局長)
【他の情報と照合することができるもの:照合性と容易照合性】
 行個法の個人情報の定義には「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」とある一方、基本法では「他の情報と容易に照合することができ、・・・」となっている。この違い=「容易に」の存否、を設けた理由は何か。また、その結果、行個法の非識別加工情報と基本法の匿名加工情報にはどのような違いが生じるか。例えば、容易照合性にはあたらないが照合性にあたる、分かりやすい具体例とは。(宇賀『個人情報保護法の逐条解説』:①他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をしてはじめて回答が可能になる場合、②内部組織間でもシステムの差異のため技術的に照合が困難な場合、③照合のため特別のソフトを購入してインストールする必要がある場合)。

-------------------

「容易に」の有無で法的意味は明確に異なる。
ishigamitoshio.com

-------------------

問9:(対総務省・上村行政管理局長)
【提供元基準説と提供先基準説】
 そもそも「照合性」「容易照合性」とは、その情報がどこに存在する時点での話か。提供元(いわゆる提供元基準説)か、それとも提供先(提供先基準説)か。また、その理由は。

-------------------

問10:(対総務省・上村行政管理局長)
【照合される「他の情報」とは】
 照合される「他の情報」とは、具体的にどのようなものか。例えば、その保有者が別の機関でもよいか。また、公知の情報や図書館など公共施設で入手可能な情報など一般人が通常入手し得る情報、逆に、特別の調査をすれば入手できるかもしれない情報はどうか。

-------------------

問11:(対総務省・上村行政管理局長)
【非識別加工情報】
 改正案第2条第8号で非識別加工情報の定義に、「特定の個人を識別することができない」と「個人情報を復元することができない」と、一見似通った要件が2つあるが、これらは冗長・重畳的なものに過ぎないのか。それとも別々の2要件か。どちらにしても、それぞれ重なりも相違もあるだろう。それらを明確にしつつ定義を教えて欲しい。

-------------------

問12:(対総務省・上村行政管理局長)
【「できない」と「できないように」の違い】
 改正案第2条第8号には、「特定の個人を識別することができないように個人情報を加工」「個人情報を復元することができないようにしたもの」との書き振りがある。この「・・・ように」という曖昧化・留保的なニュアンスを挿入した意味は何か。例えば、「個人を識別できない情報加工」「個人情報を復元できない情報加工」とした場合と比べて何がどう違うのか。また、敢えて表現をそうした理由は何か。

-------------------

なぜ曖昧な言葉「ように」を条文に使うのか?
ishigamitoshio.com

-------------------

(4)非識別加工情報の作成・提供・流通の仕組み(第44条の2~関係)

問13:(タイ個人情報保護委員会・其田事務局長)
【非識別加工:JR東日本Suica騒動・「仮名化」=簡便な匿名化の問題点】
 今回の改正案に対する最大の関心事の一つに、個人情報の匿名化・提供ルールのあり方や、その安全性・信頼性問題がある。行政機関の保有する個人情報は、その取得プロセスが義務的・強制的で、かつ内容自体が個人にとって秘匿性が高いこともあり厳格性・慎重さが求められる。昨年の年金機構の個人情報流出事件は言語道断だが、2003年の個人情報保護法成立から昨年の基本法改正、そして今回の行個法改正案に至る約十数年に大きな影響を与えた事件として、2013年のSuica乗降履歴販売騒動がある(約4300万枚分)。この事案はどのような内容で、また、この時の匿名加工の問題はどう分析されたか。

-------------------

「Suica騒動」振り返り
ishigamitoshio.com

-------------------

問14:(対個人情報保護委員会・其田事務局長)
【非識別加工に関する委員会「基準」】
 改正案第44条の10(行政機関非識別加工情報の作成等)で、「行政機関の長は・・・個人情報保護委員会規則で定める基準に従い、当該保有個人情報を加工しなければならない」とあるが、研究会議事要旨を通読すると匿名化手法自体の議論はほぼなかった。匿名化技術は世の中に様々存在するが、技術の進化は近年特に著しく(攻守ともに)、「委員会規則で定める基準」はどういう内容になるのか。例えば、氏名は削除、生年月日は誕生年まで、住所は都道府県まで等フワッとした例示止まりか。

-------------------

問15:(対総務省・上村行政管理局長)
【加工の程度と提供先限定のトレードオフ】
 データの有用性とプライバシー保護は一般にトレードオフの関係にあるため、非識別加工情報の有用性を高くするには、加工の程度を低く抑え、その代わり安全管理措置の厳格化が追加される。専門家からは「結局、企業提案の利用目的に応じたオーダーメードの非識別加工で情報提供するしかない」との解説も聞く。ということは、委員会規則は概略的・一般的で、他方、ギチギチに詰めた加工ルール等や取極めは各省独自に検討し、少なくとも当初は、極めて少数の案件に絞った個別対応の運用(スモール・スタート)でいくイメージか。

-------------------

匿名化って具体的にどうすること?
ishigamitoshio.com

-------------------

問16:(総務省・上村行政管理局長)
【非識別加工~世界初のデータ類型~:匿名加工と照合禁止のセット規制】
 行個法改正案の非識別加工情報とは、個人識別ができない匿名加工し、また、復元できないようにした時点で、個人情報から外れる整理か。それとも識別のための照合禁止とのセットで初めて個人情報から外れる整理か。因みに非識別加工情報は世界初の法的データ類型か。類似するものとして米国FTC(米国連邦取引委員会≒日本の公取+消費者庁)の匿名化3要件(匿名化確保の合理的手段の措置、再識別化しない公的約束、提供先の再識別化を禁ずる契約)があるとの認識か。

-------------------

問17:(対総務省・上村行政管理局長)
【提供先での照合禁止/基本法と行個法】
 匿名加工された情報を受領した者は、基本法第36条第5項で照合禁止義務が課されるが、その監視性は低く、コッソリ照合するのをどうやって見つけるのかとの疑問もある。行個法改正案ではこの点をどう整理したか。また、それでよしとした理由は。

-------------------

問18:(個人情報保護委員会・其田事務局長)
【提供元での照合禁止/基本法】
 基本法では、匿名加工情報への照合禁止は、提供元にも(36条5項)、提供先にも(38条)課せられる。しかし、そもそも加工元は、匿名化される前の元データを保有しており、このような制限が必要な理由は何か。識別行為禁止の適用除外が必要な場合は本当にないか。例えば、加工者が主観的に匿名化できたと考えても、客観的には識別可能で苦情が寄せられた場合、法律上の紛争解決もあるが、当事者間における任意解決もあるわけで、加工者自身、問題の確認・解決するプロセスで照合が必要になるとは考えられないか。

-------------------

例えば「照合」が必要になりそうな場合
ishigamitoshio.com

-------------------

問19:(対総務省・上村行政管理局長)
【提供元での照合は可能/行個法】
 総務省研究会では、「基本法同様に行個法でも、提供元(行政機関)に照合禁止を明記しても問題はない」との意見もあったが、改正案で行政機関に照合禁止義務を置かないのは何故か。また、照合の必要性がある場面としてどういう状況を想定しているのか。誰しもが納得できる具体例をいくつか挙げて欲しい。

-------------------

照合禁止に関する素朴な疑問
ishigamitoshio.com

-------------------

問20:(対総務省・上村行政管理局長)
【二次流通(第三者提供)とトレーサビリティ】
 民間における匿名加工情報の二次流通は、基本法第37条(匿名加工情報の提供)で必要な手続が定められている。契約による流通制限は可能だが、法律上の規制はない。しかし匿名加工情報の復元や個人識別が行われていないことを監視・監督するには、そもそもデータがどこに流通しているのかのトレーサビリティがなければ、法の定める内容の実現は困難。この二次流通(第三者提供)の問題とトレーサビリティによる安心・信頼の確保の観点について行個法改正案ではどう整理されているのか。また、国外への流通はどうなっているか。国外流通に対する監視・監督などエンフォースメント(法執行)の実効性はどう担保されるのか。
(一度提供するとオープンデータ化するか)

-------------------

問21:(対総務省・上村行政管理局長)
【二次流通と情報公開法の開示の関係】
 特段の対象限定なしで二次流通が行われた場合、提供元の行政機関に対し情報公開による開示請求があれば、通常は情報公開法第5条第1号(「氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することにより、特定の個人を識別することができることとなるものを含む)又は特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの」)には該当せず、開示が義務となり、結果として当該情報は一般的な公開、いわばオープンデータ化に近い状況となりうると考えてよいか。その場合、最初の提案者の着想・発想は苦労のただ取りになる側面もあるということか。

-------------------

問22:(対総務省・上村行政管理局長)
【手数料】
 行政機関が行個法の下で非識別加工情報を提供する際に徴収する手数料金額と、情報公開法の下で二次的な情報開示で同情報を提供する場合の手数料金額との関係をどのように考えているか。例えば、一般的に非識別加工情報の手数料より情報公開法の手数料は安いと考えられるわけで、この手数料のあり方・整合性はどう整理されたのか。

-------------------

問23:(対総務省・上村行政管理局長)
【専門機関(諮問機関)の設置案のゆくえ】
 総務省研究会の「中間的な整理」では、行個法所管の総務大臣や各運用を行う行政機関の長の権限に対して、「情報提供の公益性判断に関する意見具申」や「加工基準の策定に関する意見具申」する機能を持つ専門機関を検討すべきとの指摘があった。統計法では匿名データを作成する場合、統計法第35条第2項に則り、「あらかじめ、統計委員会の意見を聴かなければならない」が、非識別加工情報の場合、個人情報保護委員会の事前の意見聴取や同委員会への届出義務はあるか。また民間部門の認定団体による指針決定におけるマルチステイクホルダープロセスは制度上何らかの形で加味されているのか。そもそも行政機関には個人情報を加工・提供する動機はないことや、昨今のIT技術の進展や経済社会情勢の変化は急激であることを考えると、専門機関を含め客観的かつ機動的なインプットを行政機関に与える制度上の仕組みは意義があると考えるが、どのような認識か。

-------------------

外部から意見する専門機関も効果的ではないか?
ishigamitoshio.com

-------------------

(5)各行政機関の現状と個人情報保護委員会の将来構想

問24:(対国税庁・柴﨑官房審議官)
【各行政機関の現実的抑制姿勢:国税庁、警察庁の例】
 改正案が成立すると、企業提案の審査次第ではあるが、各行政機関は非識別加工情報としてビッグデータの出し手になる気構えがどの程度あるかの実態も重要。そもそも企業は、行政側が改正案第44条の4に則り行う「提案の募集」に対して「提案することができる」(第44条の5)だけで、提案は請求権の位置付けでもない。また、現行法第8条第3項には「保有個人情報の利用又は提供を制限する他の法令の規定の運用を妨げるものではない」とあり、すでに他の法令で利用制限下のものもある。(【住民基本台帳法第30条の29】=本人確認情報の目的外利用・提供の禁止、【刑事訴訟法第53条第1・2項】=刑事訴訟記録の閲覧制限、【特許法第186条第1項】=特許に関する証明等の書類交付制限)。そこで以下を問う。
 例えば、納税データを米国等先進国並みに利活用すれば経済予測・政策精度も格段にアップすると指摘されてもいるが、国税庁は今回の改正案での個人情報利活用をどう考えるか。

-------------------

専門家提言『納税データ、政策活用を』
ishigamitoshio.com

-------------------

問25:(警察庁・村田総括審議官)
 世界には犯罪発生頻度の地図を作る英国や、犯罪発生予測ソフト「プレドポル」導入の米国の例もあるが、警察庁は今回の改正案での個人情報の利活用をどう考えるか。

-------------------

問26:(内閣官房・藤本内閣審議官)
【医療ビッグデータ解析の巨大なニーズ】
 現在、内閣官房の「次世代医療ICT基盤協議会」で、国の代理機関(仮)を新設し、電子カルテを集め、匿名加工したビッグデータを利活用する仕組みを検討中と聞く。議論の推移をフォローすると、総務省研究会のヒアリングであった「具体的なニーズは把握してない」との話とは真逆で、何としてもビッグデータ解析に道筋をつけなければ日本の医療介護の未来が見えてこないと真剣そのもの。議論では「代理機関は改正個人情報保護法の対象から逸脱した存在になるため、公的機関の認可に加え、制約の在り方(代理機関の守秘義務・罰則の規定等)も検討する必要がある」「法律が先走ってイノベーションの芽を摘んではいけない」との意見も出ているとのことだが、行個法との関係や今後の特別法の方向性等どのような議論となっているか教えて欲しい。

-------------------

医療ビッグデータは時代の要請、進むべき道だ。
ishigamitoshio.com

-------------------

問27:(対総務省・上村行政管理局長)
【独法国立病院機構、民間病院、自治体病院】
 参考人質疑でも明らかになったが、医療分野では国立病院や私立病院、自治体病院、民間企業等が共通・一括のルール・手続で患者情報を扱えて、また、それを匿名加工したビッグデータの利用を可能とするスキームへの要望が強い。しかし改正案はそうならなかった。ただ、この改正案の下でも、理想に近づける方法として、国立病院や市立病院など区分けは民間病院と法律上異なるが、民・民のマルチステイクホルダープロセスに一緒に参加することで共通化を目指す方式もあると聞くが、どのような認識か。

-------------------

問28:(対個人情報保護委員会・其田事務局長)
【EUの十分性認定に対する認識や取組】
 今回の行個法改正案では、第三者機関と総務省、各行政機関の関係について、EU十分性認定取得を念頭に様々な検討が行われたが、改正案成立後に、EU十分性の認定申請を行った場合、承認の見込みはどうなのか(現時点でデータ移転はNZ、アルゼンチン、イスラエルなど11か国・地域が認定済み。アジアはなし。また、我が国制度で問題とされる推測は5項目(①独立した第三者機関の整備、②機微情報規定の整備、③小規模取扱者への法適用、④越境データ移転の制限、⑤開示請求権の明確化)で全て対応済み)。
2018年からは「一般データ保護規則」が導入され、欧州各国バラバラだった保護ルールが統一されるが、一方、米国のようにEUとは異なるガバナンスだが国際調和が可能なケースもあるわけで、EUの求める十分性認定を目指すにしても、官民の執行機関問題で百点満点を目指す必要がどこまであるのか、どのような認識か。

-------------------

「EU十分性認定」の行方は?
ishigamitoshio.com

-------------------

問29:(対個人情報保護委員会・其田事務局長)
【6専門分野と常勤5名という体制の数的相違】
 個人情報保護委員会は、委員長を含め計9名(常勤5名、非常勤4名)の体制だが、その構成について、学識経験や消費者保護、情報処理技術、行政分野など6分野の専門領域から選ぶことが定められている。しかし主要分野を6つ特定したのに、なぜ常勤ポストは6つでないのか。また、どの分野かが非常勤ポストに固定されるのか。

-------------------

個人情報保護委員会構成に関する違和感
ishigamitoshio.com

-------------------

問30:(対高市総務大臣)
【不断の制度改革】
 改正案が成立しても、政令や委員会規則、業界指針その他運用ルールなど、今後の作業は相当量残っている。また、今回の改正案は基本的に行政機関の匿名加工情報を民間活用する前提で検討されたが、情報の流れは「官・独法から民へ」以外に、「独法から官へ」「官から独法へ」「独法から独法へ」「官から官へ」もある。時代は猛烈なスピードで動いており、問題が顕在化して動くのでなく、有識者研究会の早期再開など最善最適の対応を、常時対応でお願いした。総務大臣は行政機関等に対する総合的な監督権限、現在の行個法における報告聴取および意見陳述の権限、経験、ノウハウの集積もあるわけで、法の所管大臣として不断の改革を行う決意表明を伺いたい。

--------------------------------

【答弁者】
・高市 早苗 総務大臣

・上村  進 総務省行政管理局長
・其田 真理 個人情報保護委員会事務局長
・柴崎 澄哉 国税庁長官官房審議官
・村田  隆 警察庁長官官房総括審議官
・藤本 康二 内閣官房内閣審議官

ishigamitoshio.com

ishigamitoshio.com

--------------------------------

【質問要旨】
20160519「質問要旨」(石上事務所作成)
20160519「質問要旨」(石上事務所作成)

---------

【配布資料】
20160519「配布資料」(石上事務所作成)
20160519「配付資料」(石上事務所作成)

--------------------------------

190-参-総務委員会-14号 平成28年05月19日

○石上俊雄君 

ishigamitoshio.com

 おはようございます。民進党・新緑風会の石上俊雄でございます。
 
 今日は、行政等の個人情報の効率的な運用ということに係る法律の改正案につきまして質問させていただきたいと思います。
 
 情報的には行政機関がたくさん持っているということで、それを個人が特定できないような加工をして経済の成長とか産業の発展等に利活用するために対応していくんだということでありますが、行政機関が持っている情報はその特性を様々考えていかないと大変なことになりますので、ちょっと基本的なところからまず質問させていただきたいというふうに思います。
 
ishigamitoshio.com

 今日は、言葉でしゃべりますとなかなか長くなりますので、分かりにくい面が、結構難しい法の改正だというふうに思っていますので、今日は資料も結構私準備させていただきましたので、それを見ながらちょっと質問をさせていただければと思います。
 
 まず、個人情報保護法制における行個法等の位置付けについて質問させていただきたいというふうに思います。

-------------------

複雑怪奇・変則五角形の個人情報保護法制
ishigamitoshio.com

20160519「資料1」(石上事務所作成)
 
 資料一の①に示させていただきましたが、我が国の個人情報保護法制は、ここの図にありますように、今回審議をする行個法と個人情報保護法と独立行政法人の個人情報保護法と先ほどちょっとありましたが各地方公共団体の条例等で構成をされていると、こういう複雑な構図になっているわけなんですよ。しかし、なかなかこれが難しくて、個人情報保護法というのが昨年改正されまして新しいものができたんです。その下に今回審議する行個法とかが連なるわけですが、この中身をよく読んでいきますと、それぞれの領域で完結していないんですね。行個法は、非識別加工情報にして外に出すと、それ以降の取扱いについてというのは、要はどこを参照するのかというか、個人情報保護法の中に書いてあるものをやりながら対応するということになってくるわけです。

ishigamitoshio.com
 
 そういった意味で質問させていただきたいと思いますが、この四つの分類がされていますけれども、その相互の関係ですね、相互それぞれあることによってその効果はどこにあるのか。この関係性の、だから、行個法で、含まれていない、関係があるということを今回の行個法の中でどこで規定されているのか。何でこの変則的な五角形的な体制を組んでいるのか。この辺について、総務省、御説明いただけますでしょうか。

○政府参考人(上村進君) 

ishigamitoshio.com

 お答えいたします。この資料で御説明いただきましたように、まずこの三角形のてっぺんにありますのが昨年改正をされました個人情報でございまして、これは各機関、各主体ごとの個人情報に通ずる通則的なまず基本理念、基本的なところを定めると同時に、この三角形の左下半分、民間部門については、これがそういう意味では個々を規制する法律となっているわけでございます。
 
 どうしてこういうことになっているかということをちょっと御説明いたしたいと思いますけれども、もちろん、前提といたしまして、個人情報の取扱いに伴います個人の権利利益の保護の必要性は公的部門と民間部門とで異なるものではございません。
 
 しかしながら、その取扱いにつきましては、政府と国民との間というのは、行政に対する国民の信頼の確保というまず命題が一つございます。それから、私人間といいますか、民間部門は基本的に民間と民間とのやり取りでございまして、一つには、例えば企業活動における営業の自由、こうした問題との調整があるとは思いますが、他方、公的部門の方では法律による行政の原則、こういうものがございます。そういう意味では、国民一般の利益とこうしたものとの調整が重要であるということでございまして、こうした違いを踏まえますと、取扱いについての具体的な規律内容は異ならざるを得ないというふうに思ってございます。
 
ishigamitoshio.com

 このため、行政機関、独立行政法人もそうでございますが、こうしたところにおきます個人情報の取扱いに当たりましては、法令に基づく厳格な保護管理、この下に置かれるよう特別の配慮が必要であるとされたところでございます。
 
 その趣旨でございますけれども、これ、平成十五年に行政機関個人情報保護法が制定する前の個人情報保護法、これはもう今はなくなった条項でございますが、第六条一項で、国の行政機関については別途法制化の措置を講ずると、こうした義務規定がございました。これに基づきまして、個人情報保護法とは別に、今御指摘の行政機関の個人情報保護法、独立行政法人等の個人情報保護法が設けられることになったものでございます。
 
 そういう意味では、こうした法律間の連携というのは、今申し上げました条項に基づいて我々が今御審議願っている法律が別個のものとしてできたという経緯であるというふうに御理解をいただければ有り難いと思います。

○石上俊雄君 

ishigamitoshio.com

 できたその、何というんですかね、背景でいろいろばらばらになっちゃったというんですけど、分かりやすくするためには、もう少し一つの法律で全部カバーできるようなそういうような内容になればいいんじゃないかなと、そういうふうに思っています。
 
-------------------

行個法、行開法、統計法、オープンデータ・・・
なぜ行政機関「個人情報保護」法を選ぶのか?
ishigamitoshio.com

20160519「資料1」(石上事務所作成)

 次なんですが、資料一の②ですね、下に書いてありますが、今回の行個法と同じように、個人の情報に対する制度の位置付けについてちょっとお聞きしたいんですが、行個法と同じように、その情報の提供を要求する対応として、行政機関情報公開法とか統計法とか、そういう法律もあります。さらには、法律じゃありませんが、各種オープンデータ政策というものもあるわけでございます。
 
 これ、中身見ていくと何か余り変わらないんじゃないかなというところもあるわけでございまして、まずは制度が様々存在する理由、そして、今回の法の改正ですね、行政機関情報公開法や統計法で行わない理由ですね、それじゃ駄目だという理由について、総務省、教えていただけますでしょうか。

ishigamitoshio.com

○政府参考人(上村進君) お答えいたします。
 
 御指摘のとおり、こうした行政機関等が持っています情報を利活用、公開する法律あるいは政策というのはいろいろあるわけでございます。これは当然のことながら、それぞれの趣旨、目的から、別の制度や取組として設けられ運用されているものでございますが、今回御提案を申し上げております非識別加工情報、この提供制度というものをどのような法的な枠組みで措置するかにつきましては十分検討を重ねてきたところでございますが、先ほど来御答弁申し上げておりますが、個人情報を元に作成する情報でございますので、これを民間事業者に提供し、利活用を促進していくに当たりましては、国民の信頼それから安心、これを確保することが極めて重要であるというふうに思っております。
 
 したがいまして、御指摘のような、例えば行政機関情報公開法等ではなくて、個人情報に係る個人の権利利益の保護、これを目的とする行政機関個人情報保護法等の改正によることが最適であると判断したものでございます。

ishigamitoshio.com
 
 なお、ほかの法律ではどうして、何といいましょうか、適切ではないのかということでございますが、情報公開法でございますが、これはまず特定の個人が識別される場合は原則として不開示となります。一方、部分開示と、その部分を部分的に削除する等の開示はできるわけでございますが、これは削除しかできないわけでございまして、他方、本法案におきましては、識別される部分をほかの情報に置き換えるとか、それからグルーピングするということが可能でございますので、より民間事業者にとって有用な情報がそういう意味では柔軟に提供ができるということになると考えております。
 
 また、統計でございますが、統計データというのは、これまた御承知のとおりでございますけれども、ある種、このいろいろな情報の共通の部分というのを抽出しましてまさに集計をすると数値として非常に抽象度が高いデータにしてしまいますので、ビッグデータとして使うのには抽象度がちょっと高いというふうなことがございます。
 
 また、オープンデータといいますのは、基本的には情報をそのまま出していくということでもございますので、個人情報となりますとなかなかそのまま使えないという場合が出てくるかと思っております。
 
 以上のような理由ということでございます。

○石上俊雄君 何となく分かったかな、ちょっと分かんないなというところもありますが、ちょっと、一応様々なことを確認したいので次に行きますが。

ishigamitoshio.com
 
 先ほど、井原先生の方からもちょっと質問がありましたが、今回の法案というのは保護法なのか活用法なのかといったところですね。保護と活用は比較考量されるのかということについて質問をさせていただきたいと思いますが、先日の参考人質疑でも質問をさせていただいたわけでありますけれども、昨年の個人情報保護法の第一条の目的規定ですね、ここで、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」と変更されたわけでありますけど、これはその有用性といったところの説明だというふうに理解をされているわけであります。

-------------------
 
昨年の個人情報保護法(基本法)の改正
ishigamitoshio.com

20160519「資料2」(石上事務所作成)

 しかし、一方で、資料の二の②にも付けさせていただきましたが、資料の二の①は個人情報保護法の条文の改正ですけど、②が今回の行個法の改正の部分なんですけれども、今回の現行法には個人情報の有用性の表現が元々存在しないわけでございます。いきなりこの条文の中に先ほど言った個人情報で入れ込まれたものがすとんと入ってきているということになるわけであります。

-------------------

今回の行政機関個人情報保護法の改正案
保護法本来の目的は書き換えられるのか?
ishigamitoshio.com
 
20160519「資料2」(石上事務所作成)

ishigamitoshio.com

 で、それ自体が追加ということになるので、この条文をよく読んでいくと、冒頭で個人情報の利用が拡大するということでのマイナスの影響に言及するわけでありますが、後半では、個人情報の有用性とプラス面への配慮に触れた直後に、ただ単に個人の権利利益を保護が目的と条文を締めくくっているわけでございまして、権利利益にはマイナスからの保護とプラス利活用の権利があると読めなくもなくて、改正案では個人情報の保護と活用はバランスされる関係にあると考えておられるのか、さらには行個法本来の目的が書き換えられたという批判もあるわけでありますが、このことについて総務省の認識をお伺いします。

○政府参考人(上村進君) お答えをいたします。
 
ishigamitoshio.com

 今回の法案、御提案申し上げている法案では、個人情報保護法、行政機関個人情報保護法、そうした本来の目的は変更することなく、従来制度的な位置付けがなかった個人情報の適切な利活用に向けた道、これを開こうとするものでございまして、個人の権利利益の保護それから利活用の推進、この二つの調和の取れた法制度として立案しているものでございます。
 
 それで、委員御指摘のように、今回の改正案につきまして、個人情報の適切な利活用、こういう要素が目的に追加されたということは事実ではございますが、国や独立行政法人において個人情報を適正に取り扱いましてこの個人の権利利益を保護すると、こういう大前提は何ら変更しているわけではないわけでございます。というふうなことで、御理解を賜れば有り難いと思っております。

ishigamitoshio.com

○石上俊雄君 なかなかこの辺、何かいろいろ読めば読むほどちょっと難しくて分からなくなるんですけれども、何かもうちょっと明確になればいいなというふうに思います。
 
 それで、この中に新たな産業の創出という言葉があるわけでありますが、このことに対して、責務や基本姿勢についてお伺いをさせていただきたいと思います。
 
 改正案では、行政機関は民間からの提案を審査して、提案が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであれば情報を匿名化して提供をするということになるわけでありますが、しかし、これはよく読むと、責務ではなくて行政機関の長の裁量のため、基本姿勢は言わば受動的というか受け身というふうになるわけでございます。
 
 しかし一方で、世界経済フォーラムの有名な報告書でございますパーソナルデータ・新たな資産の誕生というところでは結構期待をしているわけですね。パーソナルデータは新しい石油と、二十一世紀の価値ある資源とまで言っているわけでございますので、この積極的な利活用ということが時代の要請だというふうなことを言えるんだというふうに思うわけです。
 
ishigamitoshio.com

 しかし一方で、今回の改正案というのは、報道等によりますと、要は官庁の出し渋りへの対応に対してまるっきり対応していないというような批判もあるわけでございますが、このことについて私は的外れなのかなとも思わないわけでありますが、要はこの行個法はビッグデータの利活用ということについて、利用を促進するということに対して、今回、どの立ち位置にいるのか、推進するのか中立的な立場なのかといったところについて、総務省のお考えをお聞かせいただきたいと思います。

○政府参考人(上村進君) お答えいたします。

ishigamitoshio.com
 
 まさに委員御指摘のとおり、行政機関は民間からの提案を審査する、その上で基準に合致したものを提供するということでございますけれども、まずこの提案募集につきましてですけれども、まず対象となる、提案の対象となる個人情報を、まず個人情報ファイル簿が作成、公表されているものとした上で、そのほかの条件もございますが、提案対象となる個人情報ファイルを国民に明らかにする、そういう責務はあるわけでございます。したがいまして、こういう提案の対象となるという条件に該当しながら行政機関の長の裁量で提案募集をしないと、そういうことはできないという仕組みにしておるわけでございます。
 
 また、民間事業者から提案をいただきました場合、これを行政機関が審査するわけでございますが、審査基準を満たしている場合、この場合は行政機関は提案者に対し契約締結ができる旨を通知するものとされております。この場面におきましても、行政の恣意的な判断で非識別加工情報を提供するかしないか、それを左右するようなことはないというふうな仕組みにしております。
 
 このように、本法案に基づく非識別加工情報の提供におきましては、裁量による出し渋りというものはないものと考えておりまして、委員のお尋ねにお答えするならば、ビッグデータとしての個人情報の利活用を推進するものであるというふうに考えております。

○石上俊雄君 ありがとうございます。
 
 いろいろ機微な情報にも関わりますので、その辺はしっかりしながら推進をしていくという位置付けで是非お願いしたいというふうに思います。
 
 それでは、その新しい産業の創出というところで、個人情報の活用に対する事業提案を行い得る者の範囲についてちょっと質問をさせていただきたいと思います。

ishigamitoshio.com

 条文的には、今回の改正案の事業提案を行える者、第四十四条の五になるわけでありますが、事業の提案を行える者は国内企業に限られるのかどうかということなわけですね。要は、具体的に言うと、外国企業でもいいのかとか、国内にありますけど、拠点はほぼ海外で、株主、従業員も日本社会とはまるっきり関係がない企業でもいいのか。要は、もう食うか食われるか、国際競争というかグローバルな競争が激しくて、そういうふうに国外の、海外の企業と戦っている状況下にあるにもかかわらず、その外資系の企業からの提案も受けることが可能なのかということについて総務省のお考えをお聞かせください。

○政府参考人(上村進君) 

ishigamitoshio.com

 お答えをいたします。今委員御指摘をいただきましたように、このお諮りをしている改正案の四十四条の五では、民間事業者からの提案、どういう提案内容を受け付けるかということを書いてあるわけでございます。また、その次の第四十四条の六では、この提案者に係る欠格事由というものを定めております。これは六号ございまして、未成年者、破産決定を受けて復権を得ない者、その他条項があるわけでございますが、この中に、外国企業であること、あるいは外国人であるということは含まれておりません。したがいまして、法案上はこうした主体であっても非識別加工情報に係る事業提案を行うことは可能でございます。
 
 ただ、外国の企業の場合も、これは国内の民間事業者の場合も同じでございますけれども、提案に当たりまして、この非識別加工情報を利用した事業活動が本当に我が国における新たな産業の創出あるいは我が国の国民の豊かな生活の実現に資するかということ、これは明らかにしていただく必要があるわけでございます。
 
 そういう意味では、外国企業等からそうした提案があった場合は、その提案を受けた行政機関等では、真にそうした目的に沿うものにこの提案がなっているか、具体的な説明に基づいて適切に審査をしていただく必要があるんだろうと思っております。

○石上俊雄君 一条のところで、先ほど局長言っていただきましたが、目的が書かれているわけなので、やっぱり国民の皆さんの豊かな国民生活の実現に資する内容ということをしっかり審査をいただいて提供先を決めていただきたいなと、そういうふうに考えているわけでございます。
 
 続きまして、個人情報の定義についてお伺いします。

ishigamitoshio.com
 
 資料の三の①に示させていただきましたが、個人情報とは特定の個人を識別することができるものとされております。

-------------------

グレーゾーンの拡大・放置が利活用を阻んでいる。
ishigamitoshio.com

20160519「資料3」(石上事務所作成)
 
 そこで、具体的にお聞きしたいと思うんですが、右の黒枠で囲んだ部分に十個ほど書いてございます。一つは亡くなられた方の情報、二つ目が外国の方の情報、三が法人の情報、四が個人の携帯電話番号、五がIPアドレス、六はウエブの閲覧記録、七、カルテ番号、八、遺伝子情報、九が通行人のビデオ映像、十が顔認証データというのは、これ具体的に個人情報に当たるのかどうか。できれば、簡単で構わないので、その理由についてもお聞かせをいただけますでしょうか。個人情報保護委員会、お願いします。

○政府参考人(其田真理君) 

ishigamitoshio.com

 個人情報保護法におきましては、個人情報というものにつきまして、生存する個人に関する情報であって、特定の個人を識別することができるものというふうに規定をしております。
 
 今お尋ねいただきました事項のうち、死者の情報、外国人の情報、法人の情報につきましては、法律の条文の解釈としてこれまで国会審議等におきましても考え方を明らかにされておりますけれども、死者の情報については、生存するという要件に該当いたしませんので、個人情報には該当しないと考えられます。外国人の情報については、個人に関する情報であることから、該当し得るものと考えます。法人の情報につきましては、代表者氏名等が含まれているなど個人情報に該当する場合もございますが、基本的には個人に関するという要件に該当いたしませんので、個人情報に該当しないと考えられます。
 
 次に、ウエブ閲覧記録でございますが、個人情報保護法改正の国会審議で政府側の考え方が示されておりますが、情報に含まれる内容の詳細さ、特異さ、あるいは蓄積度の度合いによっては特定の個人を識別できる場合もありますけれども、基本的には個人情報に該当しないものと考えられます。ただ、これを取り扱う事業者が氏名や顔写真その他の個人情報を保有していて、これと容易に照合できる場合などは個人情報に該当することになると考えられます。
 
ishigamitoshio.com

 さらに、次に、通行人のビデオ映像につきましては、昨年まで個人情報保護法を所管しておりました消費者庁作成のQアンドAにも示されておりますけれども、特定の個人が識別できるものについては個人情報に該当すると考えられます。
 
 その他お尋ねいただきました事項につきましては、改正個人情報保護法の個人識別符号に該当するかどうかというお尋ねであるかと存じますけれども、これらにつきましては、現在、個人情報保護委員会におきまして各方面の御意見を伺いながら、政令に定める内容の検討を行っているところでございます。

○石上俊雄君 ありがとうございました。
 
 なかなか難しいところですね、線引きが。なので、しっかりと議論をしていただきたいと思います。

 続きまして、保有個人情報についてお伺いしたいと思います。

ishigamitoshio.com
 
 保有個人情報とは、行政文書としての正式に記録、保管されたものだけで、例えば職員の皆さんの記憶ですとか個人的なメモですとか、念のために撮影をしておいた映像、写真等は、そういうものは当たらないというふうに考えていいのか、この辺について、総務省、お答えいただけますでしょうか。

○政府参考人(上村進君) お答えいたします。

ishigamitoshio.com

 この法律で、現行法でございますが、に言う保有個人情報とは、現行法二条三項に定義があるわけでございまして、行政機関の職員が職務上作成し、又は取得した個人情報であって、当該行政機関の職員が組織的に利用するものとして、当該行政機関が保有している行政文書ということになってございます。
 
 したがいまして、今の委員の御質問にありましたような職員の記憶ですとか個人的メモ、それから念のための撮影写真等は職員個人が保有、利用するものでございまして、組織として保有するものではないために保有個人情報ということには当たらないというふうに解釈をされております。

○石上俊雄君 

ishigamitoshio.com

 ちょっとそれと関連しているんですけれども、匿名加工の対象となるのは公表された個人情報ファイルだけになるのか、さらにはその量や内容、取得プロセス等についてはどのような特質があるのか、総務省、お答えいただけますでしょうか。

○政府参考人(上村進君) お答えいたします。
 
 委員御指摘のとおり、行政機関非識別加工情報の作成に用います個人情報は、御審議いただいております改正法案二条九項第一号によりまして、個人情報ファイル簿が作成、公表されているものに限られているわけでございます。
 
 その量、内容ということでございますが、これから法案の成立をいただきまして、施行に向けますと、また、どういうものが対象となるかというのは、今申し上げました二条九項第一号に続きまして、第二号、第三号というのがございます。第二号というのは、これは情報公開請求があったとしたならば部分開示されるもの、それから第三号というのは、行政の適正、円滑な運営に支障を生じないものと、こういうふうにされております。

ishigamitoshio.com
 
 こうした法の要件は、法律の成立をいただきましたならば、各行政機関でそれの該当性というものを精査いたしまして選定していくことになります。したがいまして、現段階で、その量がどのぐらいのものになるのか、あるいはどういうものが含まれているのかという内容等につきましては、ちょっと今、現段階ではお示しすることが困難であるということを御理解いただければと思います。

○石上俊雄君 ありがとうございました。

ishigamitoshio.com
 
 次に行きますが、これは参考人の方の質疑でもちょっと質問をさせていただきましたが、照合性と容易照合性についてお伺いをさせていただきたいと思います。

-------------------

「容易に」の有無で法的意味は明確に異なる。
ishigamitoshio.com
 
20160519「資料3」(石上事務所作成)

 資料の三の②に示させていただきましたが、行個法の個人情報の定義は、「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。」とある一方、基本法では、「他の情報と容易に照合することができ、」となっているわけでございます。
 
-------------------

「容易に」の有無による法的効果の差は?
ishigamitoshio.com

20160519「資料4」(石上事務所作成)

 この資料四の①もちょっと参考にしながら聞いていただきたいんですが、この容易の存否ですね、これ容易があるかないかでどういうふうな変わりがあるのか、設けた理由をお聞かせいただくとともに、その行個法の非識別加工情報と基本法の匿名加工情報には、この容易があることによってどんな違いが生じるのか、できればその容易照合性に当たらないが照合性に当たる分かりやすい具体例がありましたら、この辺も含めまして、総務省、御答弁いただけますでしょうか。

○政府参考人(上村進君) お答えいたします。

ishigamitoshio.com
 
 まず、行政機関個人情報保護法でございますけれども、これ委員も御承知のとおり、今御説明いただいたとおりなんでございますが、行政機関が保有する個人情報の取扱いにつきましてより厳格に規律する必要がございます。そのため、容易に照合できるものというふうな中で狭めてはいないわけでございます。より広い範囲の情報が、照合性があれば個人情報に該当するということにしまして、より広い範囲の情報を個人情報としているということでございます。
 
 それで、具体的に容易な照合とそうでない照合は何かということでございますが、例えば通常の業務で一般的な方法でやっているような照合、これは容易な照合というふうに当たると考えられます。ただ、その反面、容易でない照合というのは、通常業務でやっていない方法で、例えば日常的な照会ではなくて特別に、逐一関係の機関、関係のところに照会をかける、そうした上で入手できるというようなものは容易でないというふうに通常解されているところでございます。
 
ishigamitoshio.com

 他方、今回御提案を申し上げている非識別加工情報についてこれがどう関係してくるのかということでございますけれども、この加工の元となる、作成対象となる個人情報につきましては、今申し上げましたような個人情報保護法と行政機関個人情報保護法では違いがあるわけですが、今回お諮りしている法案で非識別加工情報を作成するに当たりましては、官民一体的な利用、これを促進するということを念頭にしておりますので、御提案を申し上げている第二条第八項の規定によりまして、作成の元となる個人情報の範囲は同じものにそろえると。つまり、民間部門の個人情報と同じ容易照合性があるものに限定しているということになっております。
 
 これによりまして、非識別加工情報は民間事業者が作成する匿名加工情報と同じ範囲の情報から作るということになりますので実質的に同じものになるということでございまして、この御提案の非識別加工情報につきましては、容易照合性による、あるいは照合性による違いというのは生じないということになっております。

ishigamitoshio.com

○石上俊雄君 違いは生じないというところが分かりましたが、何となく、言葉だけ入って、ちょっと理解に苦しむところがあるわけでございますが、照合性と容易照合性について今説明をいただいたわけでありますが、そもそも照合性と容易照合性とは、情報がどこに存在する時点での話になるかということなわけであります。
 
 ちょっと頭がこんがらがってくるんですけれども、提供元にあるとき、いわゆる提供元基準説か、それとも提供先にあるとき、提供先基準説か。このことについて、総務省、もし理由もありましたらお答えいただけますでしょうか。

ishigamitoshio.com

○政府参考人(上村進君) お答えいたします。
 
 多少繰り返しになりますけれども、我が国の個人情報保護法の法体系というのは保有主体ごとにそれぞれ法律で規律を設けているわけでございまして、行政機関個人情報保護法は個人情報保護法の特別法と、先ほど資料で委員からお示しをいただいたとおりでございますけれども、特別法として厳格な規律を課しているわけでございます。
 
 その上で、いわゆる提供元の基準というものは何かということでございますけれども、民間の方の個人情報保護法といいますのは、民間事業者による個人情報の第三者提供、こういうものがございます。この第三者提供をするに当たって照合の容易性をどこで判断するかという話に関わってくるわけでございますけれども、誰にこの情報を提供するか、この提供先が誰であるか、その状況に応じて、それが本当に容易であるのか容易でないとかいうのは変わり得るわけでございます。それをなかなか一律に判断するのが難しゅうございますので、これは、提供元である保有者を基準に一律に判断するということとしたものであるというふうに理解をしているわけでございます。
 
ishigamitoshio.com

 他方、今回御提案をしております行政機関の個人情報保護法でございますけれども、今、民間の方の個人情報保護法で申し上げましたような利用目的以外の目的のために第三者に提供するという場面は例外的な場合に限られておりまして、一般的には発生しないということから、特に、今委員から御質問いただきましたような提供先か提供元かという基準は設けていないところではございます。
 
 ただ、慎重な判断が求められる場合には、当該個人を識別するためにその提供先の方がどういう実施可能と考えられる手段を用いられるのか、あるいは誰であるかということを例外的な場合には判断をする必要がございますので、これはもうケース・バイ・ケースでそういうことも含めて考慮をするという必要があるというふうに考えております。
 
 いずれにいたしましても、今回御提案をしている非識別加工情報というのは、提供を受けました民間事業者におきまして一律に照合禁止義務が掛かってございます。したがって、照合をするかしないか、容易か容易でないかという問題は発生をいたしませんので、判断基準をどこに置くかというような問題もこれに伴って発生しないものと認識をしております。

○石上俊雄君 ありがとうございました。

ishigamitoshio.com
 
 先ほど資料三の②にちょっと出してありました照合される他の情報ということについて、これ、具体的に他の情報って何を指すのかといったところをお聞きしたいと思います。

-------------------

照合される「他の情報」とは具体的に何か?
ishigamitoshio.com

20160519「資料3」(石上事務所作成)
 
 例えば、出てくる機関と別の機関が持っている情報もいうのか。さらに、公になっている情報や図書館などの公共施設で入手可能な情報も指すのか。逆に、特別の調査をしなければ入手ができないかもしれないような情報を他の情報というのか。このことについて、総務省、お答えいただけますでしょうか。

○政府参考人(上村進君) 

ishigamitoshio.com

 お答えいたします。まず、特に行政機関の場合においてでございますが、ほかの情報との照合により特定の個人を識別できる場合というのは、これは本当にケース・バイ・ケースでございますので、個別具体的に考える必要がございますので、一般論ではなかなかお答えすることは難しいという面があります。
 
 その上で、お尋ねに沿ってお答えを申し上げれば、行政機関個人情報保護法における他の情報と照合することができるという場合の他の情報ですけれども、これは御指摘のように、その保有者が他の機関である場合も含まれます。それから、公知の情報、それから図書館等公共の施設で入手可能なものなど一般人が入手し得る情報も含まれるということになります。
 
 それから、もう一つのお尋ねで、特別な調査をすれば入手し得るかもしれないような情報と。これにつきましては、通例は、ここでいうほかの情報、他の情報に含めて考える必要はないとされておりますが、これもケース・バイ・ケースの事案によりまして、個人の権利利益を保護する観点からより慎重な判断が求められる場合もございます。こうした場合は、こうした特別な調査をすれば入手できる、でき得るような情報もほかの情報に含まれる場合はあると考えております。

○石上俊雄君 ありがとうございました。

ishigamitoshio.com
 
 それでは、続きまして、非識別加工情報についてお伺いをしたいと思います。
 
 これも資料を付けさせていただきました。資料五の①にお示しをさせていただきましたが、改正案の第二条第八項で非識別加工情報の定義についてうたっております。そこの中では、特定の個人を識別することができないと、個人情報を復元することができないと、一見似通った要件が二つあるわけでありますが、これは冗長的なものというか、重畳的な、要は重ねたようなことだけなのか、意味がですね、そもそも別々の二要件なのか。とはいっても、様々、二つあるわけですから意味があるんだというふうに思います。このことについて、総務省、御説明をお願いします。

○政府参考人(上村進君) お答え申し上げます。

ishigamitoshio.com
 
 委員御指摘のように、お諮りしている改正案二条八項では、非識別加工情報の定義につきまして、特定の個人を識別できないように個人情報を加工して得られる個人情報であって、当該個人情報を復元することができないようにしたものと規定しておるわけでございます。これは、昨年の改正におきまして設けられました個人情報保護法第二条第九項の匿名加工情報の定義と同様にしているわけでございます。
 
 その上で、御質問の識別と復元でございますけれども、特定の個人を識別できないというものは、加工した後の情報から、その情報と、元となったといいますか、具体的な誰かという人物との一致、これを認めることができないということを識別できないというふうに言っております。それから、個人情報を復元することができないということにつきましては、これは元の個人情報に含まれていた特定の個人を識別することとなる記述等を特定して元の個人情報へ戻すということを意味しているわけでございます。
 
 したがいまして、それぞれ独立した要件であるというふうに解釈をされております。

○石上俊雄君 ありがとうございました。よく分かりました。
 
-------------------

なぜ曖昧な言葉「ように」を条文に使うのか?
ishigamitoshio.com

20160519「資料5」(石上事務所作成)

 それではさらに、資料の五の①で赤くちょっと塗り潰させていただいたところがあるんですが、「ように」ですね、ちょっとこだわって申し訳ないんですが、特定の個人を識別することができないようにと、個人情報を加工とか、個人情報を復元することができないようにと書きぶりがあるわけであります。この「ように」という曖昧化、留保的なニュアンスを挿入した意味はそもそもどこにあるのか、教えていただきたいんでございます。

ishigamitoshio.com
 
 例えば、個人情報を識別できない情報加工とか、個人情報を復元できない情報加工とした場合と比べて何がどう違うのか。あえて表現をそうした理由について、総務省、お答えいただけますでしょうか。

○政府参考人(上村進君) お答えいたします。
 
 御指摘のこの改正案第二条八項の「できないように」という文言でございますが、これは委員から御指摘いただきましたような曖昧化とかあるいは留保するというニュアンス、これを挿入するというものではございません。この「ように」という言葉でございますけれども、この非識別加工情報が、これは定義そのものになってしまうわけでございますが、特定の個人を識別することができない、それから元の個人情報に復元することができないという、この二つの要件を満たすために加工がなされるという、言わばそのプロセスを示す表現でございます。
 
ishigamitoshio.com

 なお、この規定ぶりは先ほどの御質問にも関係するわけでございますが、この二条八項の書きぶりは昨年改正されました個人情報保護法における匿名加工情報の定義、これも、特定の個人を識別することができないように等々となってございまして、同様の表現としたということでございます。

○石上俊雄君 曖昧化、留保的なニュアンスではないということで理解をしました。

 続きまして、非識別加工情報の作成、提供、流通の仕組みについてお伺いをさせていただきたいと思います。

ishigamitoshio.com
 
 今回の改正案に対する最大の関心事の一つに、個人情報の匿名化、提供ルールの在り方やその安全性、信頼性問題があるというふうに考えるわけでございます。行政機関の保有する個人情報は、言うまでもなく取得プロセスが義務的、強制的で、かつ内容自体が個人にとって秘匿性が高いこともあるわけでございまして、取扱いには厳格性や慎重さが求められるのは、これは当たり前のことだというふうに思っているわけであります。
 
ishigamitoshio.com

 昨年、年金機構の個人情報流出事件がありましたが、これはセキュリティーとかそういうことになるわけでありますが、言語道断的なところがありますが、二〇〇三年の個人情報保護法成立から昨年の基本法改正まで約十数年になるわけでありますが、その中で大きな影響を与えた事件として、資料の五の②にちょっと付けさせていただきましたが、二〇一三年のSuicaの乗車履歴販売騒動があるわけでございます。四千三百万枚のデータが外に出ていったということになりますが、まず、この事案はどのような内容で、このときの匿名加工の問題はどう分析され、教訓として何を得たかにつきまして、個人情報保護委員会、教えていただけますでしょうか。

-------------------

「Suica騒動」振り返り
ishigamitoshio.com

20160519「資料5」(石上事務所作成)

○政府参考人(其田真理君) 

ishigamitoshio.com

 お答え申し上げます。ただいま委員から御指摘のあった事案は、JR東日本が記名式のSuicaに記録された乗降履歴情報につきまして、氏名や電話番号を削除するなど一定の加工を行った上で本人の同意を得ずに第三者に提供しようとしたところ、多くの利用者から個人情報の保護、プライバシーの保護、消費者への配慮に欠けるのではないかとの批判や不安が多く表明されまして、これを受けてJR東日本としてはそのデータの提供を取りやめたものと承知をしております。
 
 お尋ねの匿名化という観点からは、利用者から本当に特定できないのかという不安が寄せられたほかに、有識者からはどのような加工をすれば第三者提供に際して本人の同意等が義務付けられている個人情報に該当しないのかが明らかではないとの見解が示されていたものと承知をしております。
 
 こうしたことも踏まえまして、政府の世界最先端IT国家創造宣言において、個人情報やプライバシーの保護に配慮したパーソナルデータの利活用のルールを明確にするといったことが盛り込まれまして、これを受けて、IT総合戦略本部の下で匿名加工情報制度についての検討が行われまして、個人情報保護法の改正に至ったものというふうに承知をしております。

○石上俊雄君 

ishigamitoshio.com

 そこで、改正案の第四十四条の十で、「行政機関の長は、」「個人情報保護委員会規則で定める基準に従い、当該保有個人情報を加工しなければならない。」とあるわけでございますが、今まで総務省の研究会の議事要旨を、研究会が開かれていて、その要旨をちょっと見させていただいたわけでございますが、匿名化手法自体の議論はほぼなかったんじゃないかなというふうに読み取れるわけでございます。

-------------------

匿名化って具体的にどうすること?
ishigamitoshio.com

20160519「資料6」(石上事務所作成)

 ちなみに、資料の六の①に示させていただきましたが、匿名化技術というのは世の中に様々ございまして、ここにも一番上の方に書いてありますが、属性情報の削除、削除するんですね、あと、曖昧にするとか、ノイズを入れるとか、セル自体を取ってしまうとかという様々なやり方が存在するわけですが、技術の進化は年々著しくなっております。
 
 こういうことの中で、個人情報保護委員会規則で定める基準は、先ほど井原先生からもちょっと御質問がありましたが、どういうふうな内容になっていくのか。例えば、氏名は削除する、生年月日は年だけにするとか、住所は都道府県で止めるとか、そういったような例示だけにとどまるのか、このことについて個人情報保護委員会、お答えいただけますでしょうか。

○政府参考人(其田真理君) お答え申し上げます。

ishigamitoshio.com
 
 事業者のサービスや取り扱う個人情報の内容が様々に異なりますので、個人情報保護法等の改正法案の国会審議におきましても、委員会で定めることとされております匿名加工に関する基準につきましては、全てのケースに共通する内容、項目などについて最低限の規律を定めることとし、詳細なルールは事業者の自主的なルールに委ねるとの方向性が示されております。
 
 現在、委員会におきましては、こうした国会審議等の状況も踏まえまして、具体的な規則について検討しているところでございます。

ishigamitoshio.com

○石上俊雄君 加工の程度ですね、これって結構難しいんだと思いますけど、加工程度の考え方をちょっとこの後お聞きしますが、データの有用性とプライバシーの保護というのは一般的にトレードオフの関係にあるというふうに考えておるわけでありますが、非識別加工情報の有用性、これを高めようとしますと、加工の程度を低く抑えて、その代わり安全管理措置の厳格化が追加されることになるわけであります。
 
 専門家の方々から意見が出されておるわけでありますが、結局、企業の提案の利用目的に応じたオーダーメードの非識別加工で情報提供するしかないんじゃないかというような解説もあるわけであります。
 
 ということは、委員会規則は概略的、一般的で、他方、ぎちぎちに詰めた加工ルール等は各省庁独自に検討し、少なくとも、当初は極めて少数の案件に絞った個別対応の運用、スモールスタートで行くというイメージじゃないのかなというふうに考えられるわけでありますが、総務省、お答えいただけますでしょうか。

ishigamitoshio.com

○政府参考人(上村進君) お答え申し上げます。

 まさに委員御指摘のとおり、このデータの有用性と、それからプライバシー保護の強度と申しますか、これはトレードオフの関係にあるわけでございます。
 
 それで、まず加工の基準でございますが、これはまさにこれから検討を進めていくことになるわけでございますけれども、御指摘のような個人情報の保護、それからデータ利活用のバランスが必要でございますので、こうした加工の基準、それから契約の在り方もそうでございまして、これはそのバランスを考慮して適切に定めていく必要があるんだろうと思っております。
 
 また、提供先をどうするかということでございますが、先ほども少し御説明いたしましたけれども、今回御提案しております改正法の条項では、まず、提案ができる方の欠格事由というのを定めておりまして、これは不適格な方を排除するという保護の方向でございます。
 
ishigamitoshio.com

 それから、民間事業者がどのような安全管理措置を講じていただけるのか、こうしたものも審査をさせていただくというのも同様でございます。その他、利用の目的とかも審査をするということでございまして、そういう意味で、提供先というのを限定といいますか選んでいくということになります。
 
 いずれにいたしましても、このバランスをどう取っていくかということは、今後、この法案の成立をいただきましたならば、特に、この加工基準は個人情報保護委員会の方で検討されると思いますけれども、この個人情報の利活用、それから権利利益の保護、これが適切な調和の下で運用される必要があると思いますので、そうした観点を持ちまして検討してまいる必要があるんだろうと思っております。

○石上俊雄君 

ishigamitoshio.com

 この行個法の非識別加工情報というのが、いろいろ加工すると個人情報から外れるというふうになるわけなんですが、個人識別ができない匿名加工を託した、この時点で外れるのか、また、復元できないようにした時点で、かつ照合禁止とセットで初めて個人情報から外れるという整理でいいのか、この点について御説明をいただきたいのと、ちなみに、いろいろ資料を読んだり調べたりすると非識別加工情報は世界初の法的データ類型と聞くんですけれども、本当なのかどうか、この辺についてもお答えいただきたいと思いますし、資料六の②の青いやつですね、これはアメリカのFTCという米国連邦取引委員会が出している匿名化三要件とあるわけでありますけれども、このことと大体合わせたような形でやっていこうと考えられているのか、この辺の御認識というかお考えを総務省、お答えいただけますでしょうか。

-------------------

今回の枠組みは米国FTC三原則を範とした?
ishigamitoshio.com

20160519「資料6」(石上事務所作成)

○政府参考人(上村進君) 今回御提案申し上げています非識別加工情報は、特定の個人が識別できないように加工したものでありまして、当該個人情報に復元できないようにしたものでございますけれども、行政機関等の中におきまして行政課題の解決のために照合行為を行う必要が生じるということは、これはあり得ると思っております。したがって、行政機関につきましては照合禁止の規定を置いておりませんので、理論上、行政機関の内部ではこれは個人情報に該当するということになります。
 
 一方、この非識別加工情報が民間事業者に提供された場合は、受け取る側の民間事業者につきましては、その取扱いにつきましてはこれは個人情報保護法が適用されることになります。これは、特定の個人が識別できない、又は復元できないということでございますので、受け取った段階で個人情報に該当しない匿名加工情報となっております。
 
ishigamitoshio.com

 もう少し説明させていただきますと、そもそも民間の事業者はこの作成の元となった個人情報というものを保有していないわけでございますから、これをなかなかといいますか、容易照合性の問題もございますので、これは事業者の中でこれを照合して個人情報に該当させるということは想定し難いと思っております。さらに、これに加えまして、法律上、識別行為の禁止義務というのも課せられておりますので、制度的にも民間事業者の方にとりましては、個人情報保護法で個人情報に該当しないということが制度的に担保されているということになっております。

○石上俊雄君 なかなか、何ですかね、いろいろなケースがあったり、分かりづらいんですけれども、ちょっともう少し聞かせていただきたいと思いますね。
 
-------------------

照合禁止に関する素朴な疑問
ishigamitoshio.com

20160519「資料7」(石上事務所作成)

 行個法の提供先での照合禁止についてちょっとお伺いしたいと思うんですが、資料七の①に示させていただきましたが、匿名加工された情報を受領した方が、基本法第三十六条の五項で照合禁止義務が課せられているわけでありますが、その監視性は低いというふうに周りから言われているわけでありますね。こっそり照合することをどうやって見付けるのかというところが疑問だということをよく聞くわけであります。
 
 今回の行個法改正案ではこの点をどう整理されて、今回それでよしというふうにされた、このことに至った理由について、総務省、お答えいただけますでしょうか。

○政府参考人(上村進君) お答え申し上げます。

ishigamitoshio.com
 
 やや繰り返しになりますけれども、非識別加工情報といいますのは、民間事業者にとりましては、受け取った後につきましては、これはもう個人情報に復元するということはもう困難でございます。したがって、非常にこれは安全なものというふうなことにしております。また、更に適切な安全確保の措置を講ずることとしているわけでございます。
 
 さらに、加えまして、民間事業者におきましてこの情報を受け取る方といいますのは、先ほども御説明をいたしましたけれども、欠格要件、それからいろいろな提案の審査等を行いますので、適切な民間事業者の方に提供されるという仕組みになっているわけでございます。さらに、契約というものを結ぶことになってございまして、仮に契約違反がありますれば、行政機関の方でこの契約をフォローする何らかの仕組みというのを設けることも考えられるわけでございますが、これに違反した場合は契約解除ということにもなりまして、以後この情報の利用はできなくなるということはもちろんでございますし、将来にわたって一定期間は提案を行うこともできなくなるというふうなことでございます。
 
ishigamitoshio.com

 他方、個人情報保護委員会でございますけれども、これは、もしそうした民間事業者の方におきまして不適切な行為があれば勧告措置命令という権限を行使することができるということになってございますが、例えば各種の苦情の受付、それから情報提供というものを通じて、こうした仮に義務違反行為があるとすればこうしたものを把握していくということになるんであろうと思っております。
 
 このように二つございまして、行政機関の作ります非識別加工情報、これは元々要するに復元ができない安全なものであるということと、それから、加えて今るる申し上げましたような各種の措置を講じているということから、今御提案をしているような形にさせていただいているというところでございます。

○石上俊雄君 続きまして、基本法の照合禁止についてお伺いしたいと思います。
 
-------------------

照合禁止に関する素朴な疑問
ishigamitoshio.com

20160519「資料7」(石上事務所作成)

 資料七の①の右側が書いてありますけれども、基本法では、匿名加工情報への照合禁止は提供元にも提供先にも課せられるわけであります。しかし、よく考えてみると、そもそも加工元は匿名化される前の元データを保有しているわけでありますから、このような制限が何で必要なのかという、そういう疑問が浮かんでくるわけでありますので、その辺についてお答えいただきたいのと、識別行為禁止の適用除外が必要な場合というのは本当にないのかというところをまた考えるわけであります。
 
-------------------

例えば「照合」が必要になりそうな場合
ishigamitoshio.com

20160519「資料7」(石上事務所作成)

 資料の七の②にちょっと示させていただきましたが、加工者が主観的に匿名化できたと考えて出したものを客観的に識別可能で苦情が寄せられた場合、法律上の紛争解決もあるわけでありますけれども、当事者間における任意解決もあるわけでありまして、言わば、俺の情報を何で出したんだと、これは私の情報だといったことを訴えられて、じゃ、それをよしとしてあげるからちょっと金銭的なという要求がなされたときに、それが事実なのかというのを確認するために照合しないとできないわけであります。こういうことが本当できなくていいのかというところの疑問があるわけでありますので、この辺について、個人情報保護委員会、お答えいただけますでしょうか。

○政府参考人(其田真理君) お答え申し上げます。

ishigamitoshio.com
 
 匿名加工情報は、個人情報の本人を識別することを禁止する等の制度的な担保を前提といたしまして、目的外利用でありますとか第三者提供に係る本人同意の取得が求められないことなど、個人情報、一般の個人情報の取扱いに比べて緩やかな規律の下で利活用を認める、可能にする制度でございます。
 
 委員御指摘の苦情対応のための識別の必要性につきましては、事業者は作成の元となる個人情報を保有しておりまして、また加工日時でありますとか手法等、加工に関する情報を保有しておりますので、苦情の申出のあった方の情報がこれに含まれているかどうかということは、匿名加工情報を識別のために照合しなくても可能であると考えられます。
 
 したがいまして、委員会としましては、識別行為の禁止義務について例外規定を設けなくても実務上の問題は生じないものと考えております。

ishigamitoshio.com

○石上俊雄君 なかなかそのお話を聞くまではちょっとよく分からなかったんですけど、匿名加工をした情報が一番下にあると、その前段で元データがあって、その経過をちょっと見れば分かるだろうという考え方なので、それは識別にならないから大丈夫、いいよという理解でいいのかなというふうに思いますが、ちょっとこれなかなか難しいなと思います。

ishigamitoshio.com
 
 あと、次にちょっと入りますが、今まで照合禁止についてお伺いをさせていただいたわけですが、資料七の①に示したように、今回の行個法では、提供元、行政機関ですね、での照合はこれ禁止していないんですね、可能ということになっているわけであります。総務省の研究会では、基本法同様に行個法でも、提供元、行政機関における照合禁止を明記しても問題ないんじゃないかという意見もあったわけなんですけれども、改正案では行政機関に照合禁止義務を置かなかったということで落ち着いたわけであります。

-------------------

照合禁止に関する素朴な疑問
ishigamitoshio.com

20160519「資料7」(石上事務所作成)
 
 このことについて何なのかなというふうに疑問が湧きますので、そのことについてお答えいただきたいというふうに思いますし、照合の必要性がある場面としてどういう状況を想定しておられるのか、できれば具体的な例も挙げていただきながら御説明いただけますでしょうか。総務省、お願いします。

○政府参考人(上村進君) 

ishigamitoshio.com

 お答えいたします。委員御指摘いただきました総務省の有識者研究会では、確かに検討途上におきまして、そのような照合禁止を設けても問題はないのではないかという御意見もあったと、これは事実でございます。その段階ではまだ、後で申し上げますような照合が必要になり得る場合があるという具体的な検討まで至らなかったためではないかと思ってございます。
 
 いずれにしましても、この研究会の最終報告におきましては、行政を適切に執行するため、識別行為を行う必要が生じる場合もあり得るか、検討の上、照合必要性を判断すべきというふうにされているところでございます。
 
 このような御議論も踏まえまして、政府で検討した結果、委員も今御指摘になりましたとおり、非識別加工情報について照合禁止義務というのは課していないわけでございます。これは、新制度が施行されていく中で、行政課題の解決等のために提供元の行政機関において照合行為を行う必要性が生じることがあり得るということを想定しております。この際、照合禁止義務がありますと、行政事務の適正かつ円滑な遂行に支障が生じるおそれがあると、そういうふうに考えるに至ったものでございます。
 
ishigamitoshio.com

 それで、具体例はというお尋ねでございました。なかなか、想定でございますので、実際こういうことがあるということを今思っているわけではございませんが、立案担当部局としましては、例えばの例といたしまして、交通事故情報に関する非識別加工情報の提供があったといたしますと、この提供を受けた民間事業者から、この事故というのは運転者の過失ではなくて車両そのものに問題がある可能性があると、こういう情報提供を受けたケースがあるといたしますと、同種の事故というのは今後とも起こり得るわけでございますので、緊急に事故関係者を特定して調査を実施する必要というのが生じてこようかと思っております。
 
 また、類似のケースになりますけれども、例えば製品事故情報に関する情報提供を受けた民間事業者から、一定の条件下ではこの製品が重大な欠陥が原因となって事故を起こす可能性があるというふうなことが見付かった場合に、緊急にその製品を使用している本人を特定して通知すると、仮定の例でございますが、そういうことは想定し得ると考えております。
 
 以上によりまして、今回の御提案をしている法案におきましては照合禁止義務というものは課さないということにしたところでございます。

○石上俊雄君 ありがとうございました。

ishigamitoshio.com
 
 次に、匿名加工情報の二次流通についてお伺いしたいと思います。
 
-------------------

法改正後の具体的な流れとは?
ishigamitoshio.com

20160519「資料8」(石上事務所作成)

 これは、資料八の①を御覧をいただきたいと思いますが、非識別加工情報の作成、提供の手順と仕組みを書いてあるわけでありますが、まずどこから始まるかというと、行政機関等から提案の募集をするというところから始まってくるわけでありまして、提案募集があって、その後、提案を受けて審査を行って、利用契約を締結し、提供に至るという、こういう流れになるわけですね。
 
 その場合に、民間における匿名加工情報の二次流通は、基本法第三十七条で必要な手続が定められておるわけでございます。しかし、契約による流通制限は可能となるわけでありますが、法律上の規制はないということで確認をしております。
 
 しかし、匿名加工情報の復元や個人の識別が行われることを監視、監督するには、そもそもそのデータがどこに流通しているのかということが分からなければ監視も監督もできないわけでございますので、法の定める内容の実現というのは困難になるということになるわけです。
 
ishigamitoshio.com

 この二次流通の問題と、トレーサビリティーというか、どこに行っているのかということによる安心と信頼の確保の観点について、今回のこの行個法の改正案ではどういうふうに整理をされているのか。また、国内のみならず国外への流通はどうなっているのか。国外の流通に対する監視、監督は、法の執行の実効性はどう担保されておるのか。このことについて、総務省、お答えいただけますでしょうか。

○政府参考人(上村進君) お答えをいたします。
 
 まず、この行政機関非識別加工情報でございますけれども、先ほど来御説明しておりますように、まず欠格事由に該当しないかどうか、提案者を限定しております。提案者がそれに当たらないかどうかの審査をすると。それから、利用目的もこの法目的に合致したものであるかという審査をいたします。これに合致したものだけに提供する、それから手数料をいただくということにしております。
 
 こうした、何といいましょうか、条件の下で提供するということでございますので、こうしたものを考えますと、提供先から自由に再提供させるというようなことは認めるということは適切ではないんだろうと思っております。基本的には行政機関等から一時的な提供の相手方のみに利用が認められると、その旨は契約でこれを定めるということを考えておるわけでございます。したがいまして、二次流通ということは基本的には考えていないと。
 
 その上で、提供の相手方というのはこれは契約の相手方でございますので、行政機関はそれを明瞭に把握をしているということでございますので、トレーサビリティーの点で問題が生じるということはないものと考えております。
 
ishigamitoshio.com

 それから、国外流通の御質問がございましたけれども、これも先ほどもお答えをしたところでございますが、国外流通に関しまして、外国の方あるいは外国企業が提案を行い、それに提供を行うということはあり得るというふうには思っております。ただ、これは先ほどのお答えのとおりでございますけれども、これは、その提案が本当に我が国の豊かな国民生活、我が国の新たな産業創出に適合するものであるかどうかということを適切に審査するということが必要になってくるということでございます。
 
 また、その上で、国外の方に対して提供を行う場合であっても、これは利用契約で利用形態それから安全管理措置というものを定めていくことになると思いますし、必要に応じてどのように管理をされているかというフォローアップを行うこととなると思っております。この契約に基づく義務違反があれば契約解除ということになるのはこれは国内の民間事業者の方と同様でございまして、契約解除で以降の利用を停止する等の適切な取扱いは担保されているものと考えております。

○石上俊雄君 

ishigamitoshio.com

 だんだん時間がなくなってきたので急ぎますが、二次流通が行われた場合、提供元の行政機関に対して情報公開による開示請求があれば、これ先ほど冒頭に言いましたけど、情報公開法第五条の第一号で、要は個人情報というか、開示義務となってくるわけになるわけです。そうすると、よく考えると、行政が持っているデータをどういうふうに加工してどういうことが得られればどういうメリットがあるというのは、一生懸命要求する側が、提案する側が考えるわけでありますが、一回出たものがオープンデータ化になるのであれば、その最初に頑張った人の苦労というのが何かただ取りされてしまうような感じになってくるんじゃないかなと、そういうふうに思うわけです。
 
 そのことに対して、今回のこの行個法をどういうふうに整理されているのか、総務省、お答えいただけますでしょうか。

○政府参考人(上村進君) お答えいたします。
 
 これも繰り返しになりますけれども、この非識別加工情報というのは、特定の個人を識別できない、あるいは元に、個人情報に復元できないというものではございますが、御提案をしている改正案におきましては、この権利利益の十分な保護を図ることに対応しますために、情報公開法の開示請求とは異なる面がございます。これはもう繰り返しになりますけど、例えば、欠格条項に当たらない方に提供する、それから目的がこの法目的に合致した利用目的であるかどうかと、一連の規律を作った上で、それに合致する方、あるいは目的の利用に対して提供するということになってございます。
 
ishigamitoshio.com

 それから、今回御提案している非識別加工情報、これ民間事業者に参りますと個人情報保護法の適用になりますので、識別行為の禁止というふうな取扱いがなされることになります。このような点におきまして大きく情報公開法と仕組みが違うわけでございます。
 
 そのため、お答えになるわけでございますが、この御提案を申し上げています非識別加工情報については、情報公開の仕組みで提供されるということにはせずに、これはもう類型的に不開示情報と規定すると、こういうふうなことにしてございます。したがいまして、情報公開法による開示請求がありましても開示されるということにはなりません。
 
 以上でございます。

○石上俊雄君 分かりました。
 
 そういうことになれば安心なのかな。でももったいないような気がしますね。その辺は何か手数料で差を付けるとか、何かうまく工夫できればいいのかなと、そういうふうに思います。したがって、今あり得ないという話でありましたので、手数料の質問については飛ばさせていただければと、そういうふうに思います。
 
-------------------

外部から意見する専門機関も効果的ではないか?
ishigamitoshio.com

20160519「資料8」(石上事務所作成)

 それでは、次の八の②に資料を付けさせていただきましたが、総務省の研究会の中間的な整理で、今回の行個法の所管の総務大臣や各運営、運用を行う行政機関の長の権限に対して、その情報提供の公益性判断に関する意見を具申というか、申し入れるとか、加工基準の策定に関する意見をしっかり言うとか、そういう機関を持つ、専門機関を検討すべきではないかという指摘があったというふうにお聞きするわけでありますけれども。
 
ishigamitoshio.com

 実際に統計法とかでは、匿名データを作成する場合、統計法の第三十五条の第二項によりまして、「あらかじめ、統計委員会の意見を聴かなければならない。」とあるわけでありますが、非識別加工情報の場合には、個人情報保護委員会の事前の意見聴取や同委員会の届出義務は、これまずあるのかどうか、こういったところもお聞きしたいと思いますし、民間部門の認定団体による指針決定におけるマルチステークホルダープロセスというのがあるわけでありますが、制度上何らかの形で加味されているのかというところ、そもそも行政機関には個人情報を加工提供する動機はないということや、昨今のIT技術の進展、経済社会情勢の変化は、急激に変化するということも考えると、専門機関を含めて客観的な機動的な、要は様々意見を入れ込むといったところが行政機関に与える制度上の仕組みは意義があるというふうに思うわけでありますが、そもそも専門機関をつくらなかった、じゃ、この辺はどういうふうに対応していったらいいのかということに対して、総務省のお考えをお聞きしたいと思います。

○政府参考人(上村進君) お答えをいたします。
 
 三点御質問があったかと思いますが、まず最初の意見聴取等を行わないということなんですけれども、御指摘のとおり、今回の御提案におきましては、各行政機関等におきまして非識別加工情報を作成する場合、事前に意見聴取、個人情報保護委員会等の意見聴取を行うこととはしていないところでございます。
 
 ただ、他方で、この一連の民間事業者から提案を受けて契約締結、作成するというプロセスにおきまして、例えば提案募集の段階、あるいは契約締結の段階、それから非識別加工情報の作成の段階、これはそれぞれ個人情報保護委員会規則等の定めるところによって行うということになっておりまして、行政機関がそういう意味では恣意的にこれを運営するというような可能性は排除されるということになっているものでございます。
 
ishigamitoshio.com

 それから、二つ目に、届出義務を課さないということについてでございます。
 
 御指摘のとおり、個人情報保護委員会に今回の法案で非識別加工情報の作成の届出というのはないわけでございますが、別途、非識別加工情報を作成した場合は、元となる個人情報を含んでいる個人情報ファイルがございまして、そのファイル簿にこういう作成したという旨を記載するということになっております。これは総務大臣の通知、それから公表というものがございますので、ここで把握をしていただくことは可能でありますし、情報共有が可能であるというふうなことを思ってございます。
 
 いずれにいたしましても、この情報というのは非常に安全なものということになってございますので、これは民間部門の方の匿名加工情報も同じであると承知をしておりますけれども、届出義務というものは課していないということでございます。
 
 それから、三点目に、マルチステークホルダープロセスについての御質問でございます。
 
 これも御指摘のとおり、今回、新たな制度ではいわゆるマルチステークホルダープロセスというものは組み込んでいないわけでございます。ただ、今回御提案の非識別加工情報の一連の運用を監視、監督する個人情報保護委員会、これのメンバーの方々は、個人情報の保護、利活用、それから消費者保護、情報処理技術などに知見を有する多様な分野からの専門家の方々で構成されているものと承知をしておりますので、こうした方々の専門的知見を活用した的確な制度運営が図られていくものであると考えております。

○石上俊雄君 ありがとうございます。
 
 ちょっとこの辺が難しいので、しっかりやっていただきたいと思います。
 
 続きましては、この行個法に対する行政機関の対応についてお伺いをしたいと思います。

-------------------

政府保有の大量の個人情報ファイル
ishigamitoshio.com
 
20160519「資料9」(石上事務所作成)

 改正案が成立しますと、企業提案の審査次第ではありますが、資料の九の①に示させていただきましたが、大量のファイルを保有する、すごいですよね、行政機関が持っているファイルがあるわけでありますが、これが非識別加工情報としてビッグデータの出し手というか提供元になるわけでありますが、したがいまして、提案が来たらしっかりとやって受けるぞという気概がどの程度あるかといったところも実態としては重要になるのかなというふうに感じているところであります。
 
 そもそも企業は、行政側が改正案の第四十四条の四により行うこの提案募集に対して提案することができる、これが四十四条の五ですから、だけであって、提案はその請求権の位置付けではないわけであります。したがって、何というんですかね、行政のスタンスで決まってしまうといったところが出てくるんじゃないかなと、そういうふうな気がしているわけです。

ishigamitoshio.com
 
 また、現行法第八条の三項には、保有する個人情報の利用又は提供を制限する他の法令の規定の適用を妨げるものではないというふうなこともあるわけであります。したがいまして、住民基本台帳法に定めるものですとか、こういったものって出せなくなってくるわけですよね。
 
 したがって、そこで質問なわけですけれども、例えば資料の九の②に示させていただきましたが、納税データをアメリカ等先進国並みに利活用すれば経済予想とか政策の精度も格段にアップするという指摘も専門家からはあるわけでありますが、国税庁は今回この改正案での個人情報利活用をどのようなお考えで捉えられているのか、教えていただけますでしょうか。

-------------------

専門家提言『納税データ、政策活用を』
ishigamitoshio.com

20160519「資料9」(石上事務所作成)

○政府参考人(柴崎澄哉君) 

ishigamitoshio.com

 お答え申し上げます。国税庁が保有します納税者の個人情報につきましては機密性の高い個人情報でございまして、納税者との信頼関係を維持し、納税者のコンプライアンスを確保する観点から、国税庁におきましては、従来から、保有する税務データの取扱いにつきまして税務職員に課されております厳格な守秘義務の観点に特に留意しつつ、行政機関個人情報保護法の規定等を踏まえまして適切に対応してきているところでございます。
 
 今般の改正法案におきましては、行政機関が保有する個人情報については、権力的、義務的に収集した秘匿性の高い情報も含めまして、情報公開法において全部又は一部の開示がなされないものにつきましては、非識別加工情報対象から除外するというふうにされているところでございます。
 
 国税庁が保有いたします個人情報は、基本的に情報公開法第五条第六号の不開示情報に該当するものとして取り扱ってきているところでございまして、これを踏まえますと、今回の改正法案におきましても非識別加工情報の対象とはならないものと考えているところでございます。
 
 いずれにいたしましても、今般の改正法案の新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現という趣旨を踏まえまして適切に精査してまいりたいと考えております。

ishigamitoshio.com
 
 他方で、今御指摘のございました経済予測、政策精度の向上という御指摘につきましては、国税庁におきましては、申告納税の状況等を公表することによりまして納税者の税務行政に対する理解と信頼を深め、もって円滑かつ適正な税務行政の運営を実現するという観点から、納税者の個別データではなく、国税庁が保有するデータを集計する形で各税目の課税状況等を税務統計として公表しているほか、主要税目の申告状況等につきましても可能な限り詳細に公表しているところでございまして、今後とも引き続き税務統計の適切な公表に努めてまいりたいと考えております。

○石上俊雄君 ありがとうございました。
 
ishigamitoshio.com

 続きまして、警察庁にお聞きしたいんですけど、資料の十の①に示させていただきましたが、世界には犯罪発生頻度の地図を作るというイギリスや、犯罪発生予想ソフト、プレドポルの導入をしているアメリカとかという例があるわけであります。

-------------------

徐々に広がる犯罪ビッグデータの有効活用
ishigamitoshio.com

20160519「資料10」(石上事務所作成)

 今回の法の改正が通ると、この改正によって、個人情報を利活用することでこういうことも可能になるんじゃないかというふうに思うんですが、警察庁のお考えをお聞きします。

○政府参考人(村田隆君) 

ishigamitoshio.com

 お答えいたします。改正法案第二条第九項第一号におきまして、犯罪の捜査のために作成、取得する個人情報ファイルを構成する保有個人情報につきましては、機微な情報が含まれておるため、行政機関非識別加工情報に加工できる対象からは除かれております。当該情報を行政機関非識別加工情報として活用することはできないものと承知をしております。

○石上俊雄君 ありがとうございました。
 
 アメリカとかとちょっと環境が違うんですね、日本は。警察の皆様の頑張りで治安は安定していますし、そんなに頻度は高くないですから、そういったのは作る必要はないのかもしれません。
 
ishigamitoshio.com

 続きまして、医療のビッグデータの解析についてお伺いしたいと思います。
 
 これは先日の参考人の質疑でもちょっとお伺いをしたんですが、資料の十の②に示させていただきましたが、現在、内閣官房で、次世代医療ICT基盤協議会というところで、国の代理機関を設置して、電子カルテを集めて匿名加工したビッグデータを利活用する仕組みを検討中とお聞きします。

-------------------

医療ビッグデータ解析は時代の要請、進むべき道。
ishigamitoshio.com

20160519「資料10」(石上事務所作成)

 せんだって言わせていただいたSS―MIX2というのがこれになるわけでありますが、議論の進捗をこれフォローしますと、総務省の研究会のヒアリングであった、経団連から来るわけでありますが、経団連が具体的なニーズはないというようなことを言ったので把握していないとかいうことになるわけでありますが、しかし、医療の分野では真逆で、ビッグデータ解析に道筋を付けなければ日本の医療と看護の未来が見えてこないということで、真剣そのものなわけですね。

-------------------

 たとえば医療ビッグデータの利活用によって、病気の予防や医療費適正化に計り知れない恩恵がもたらされる。社会的課題のソリューション、また新産業創造の観点からも、ビッグデータや個人情報の取扱いルールの整備・確立は決定的に重要だ。

ishigamitoshio.com

20160519「資料11」(石上事務所作成)
 
 したがって、議論では、資料十一の①にもありますけれども、要は、代理機関は今回改正された個人情報保護法の対象から逸脱した存在になるため、公的機関の認可に加え、制約の在り方も検討する必要がある、さらには、法律が先走ってイノベーションの芽を摘んではいけないとの意見も出ているというふうに聞くわけであります。
 
 したがって、医療分野はしっかりとやっていかなくてはいかぬ、しかしいろいろあるねということで、行個法との関係ですね、今後、特別法等も考えながら進めていくのか、この方向性について議論になっているというふうに聞きますが、内閣官房、お答えいただけますでしょうか。

○政府参考人(藤本康二君) お答えいたします。

ishigamitoshio.com
 
 医療の高度化や研究開発の促進等のため、医療研究分野の各種情報を収集、管理する機関の設置を検討し、必要な法制上の措置等を講じていくことにつきましては、昨年六月に閣議決定された日本再興戦略改訂二〇一五等に盛り込まれております。これらを受けまして、現在、健康・医療戦略推進本部の下に設けられました次世代医療ICT協議会において検討が進められているところでございます。
 
 改正個人情報保護法や今回の法案においては、病歴が含まれる個人情報が要配慮個人情報とされ、慎重な取扱いが求められることになります。そのため、検討中の新たな法制上の措置は、医療情報の特性に配慮した情報の安全な取扱いとともに、患者等の関係者の十分な納得が得られるものとなることが重要であるというふうに考えております。今後、議論を深めていく必要があると考えております。
 
 制度の実現に向けて、関係府省と一体になって検討をしてまいりたいと考えております。

ishigamitoshio.com

○石上俊雄君 そこで、せんだっての参考人質疑でも明らかになったわけでありますが、医療分野では、国立病院、市立病院、あと自治体病院、あと民間企業が共通、一括したルール、手続で患者情報を扱えて、それを匿名加工し、ビッグデータとして利活用するという、こういうスキームが要望だったわけでありますが、残念ながら今回の改正案ではそこまで至らなかったということでございます。
 
 しかし、その改正案の下で理想に近づける方法として、資料十一の②に示したように、民間とタイアップしてやる、民民のマルチステークホルダープロセスと一緒にやるという、こういうこともあり得るというふうに言っているわけでありますが、この考え方について総務省としてはどういう御認識か、お考えをお聞かせください。

-------------------

医療分野における共通・一括手続きの可能性は?
ishigamitoshio.com

20160519「資料11」(石上事務所作成)

○政府参考人(上村進君) お答えをいたします。
 
 御指摘のように、改正案におきましては、先ほど私からもお答えしましたように、このマルチステークホルダーのプロセスみたいな仕組みはないわけでございます。ただ、他方で、お尋ねのような医療分野など具体的にニーズがある分野につきまして、官民一体となったデータの利活用、これにつきましては、本法案附則第四条というものがございまして、これに基づき、今後検討されることになってくると思ってございます。
 
 なお、制度的な仕組みとしてはないわけでございますが、今の改正法でできないのかできるのかということにつきましては、今後、改正された本法案あるいは個人情報保護法等々の施行の状況を見ながら、関係の部局、関係者が検討されることであるのかなとは思います。

ishigamitoshio.com
 
 ちょっと私からその点につきましては、そういう意味もございまして、具体的にどうこうするということを述べることはちょっと差し控えさせていただきたいと思います。

○石上俊雄君 それでは次に、冒頭、井原先生からもEUの十分性認定に対する質問がございましたが、今回の行個法の改正案では、その第三者機関と総務省、各行政機関の関係についてEU十分性認定取得を念頭に様々な検討が行われたというふうにお聞きしているわけでありますが、改正案成立後には、このEU十分性の認定申請を行った場合、承認の見込みは、取れるというふうにお考えになられているのかどうなのかといったところをお聞きしたいというふうに思います。
 
-------------------

「EU十分性認定」の行方は?
ishigamitoshio.com

20160519「資料12」(石上事務所作成)

 さらには、先ほどの変則五角形という形を海外の人に説明するのもなかなかこれ難しいところがございまして、アメリカの、ちょっと、もわっ、ふわっとした形でセーフハーバーというのも作りながら対応しているところもあるわけでありますので、官民の執行機関問題で百点満点を目指すところまで突き進む必要があるのかどうか、このことについて個人情報保護委員会のお考えをお聞きしたいと思います。

○政府参考人(其田真理君) 

ishigamitoshio.com

 お答え申し上げます。企業活動のグローバル化に伴いまして、個人情報を保護しつつ、その適正かつ円滑な流通を確保することが重要であるというふうに認識をしてございます。
 
 委員御指摘のとおり、昨年九月に成立した個人情報保護法等の改正によりまして、独立した第三者機関の整備、機微情報に関する規定の整備、小規模取扱事業者に対しての法の適用、越境データについての制限、開示請求権の明確化など、EUを含めまして国際的な整合の取れる枠組みが構築されたものと認識をしてございます。
 
 これを踏まえまして、当委員会といたしましても、国際的なデータの流通が適切に確保されるよう、米国やEU等各国と積極的に情報交換を行いまして、まずはお互いの制度について理解を深めてまいりたいと思います。

○石上俊雄君 いよいよ終わりに近づいてまいりました。

ishigamitoshio.com
 
 最後、資料の十二の②に個人情報保護委員会の定員についての質問を準備させていただいておりましたが、常勤ポストが五なんですね。しかし、指定分野が六つあるのにこれ五人でいいのかという質問をさせていただこうと思ったんですが、ちょっと余りにもあれなのでこれは飛ばさせていただきまして......(発言する者あり)あっ、そうですか。時間がないのでやめさせていただくということでございます。これ、六あるんですね。

-------------------

個人情報保護委員会構成に関する違和感
ishigamitoshio.com

20160519「資料12」(石上事務所作成)
 
 最後になりますが、るる改正案について質問をさせていただいてきました。いろいろ、読めば読むほどいろいろ、ああ、もうちょっとこういうのがあればいいなとかと思うんですが、今後、政令や委員会規則、あと業界の指針その他運用ルールなど、今後の作業はまだ相当量残っているというふうなことが今の現状じゃないかなと、そういうふうに思います。
 
ishigamitoshio.com

 また、今回の改正案は、基本的に行政機関の匿名加工情報を民間が活用するといったところが前提に作られているわけですが、情報の流れというのは、官とか独法から民間だけではなくて、独法から官とか、官から独法、独法から独法とか、官から官へということもあり得るわけであります。実際この辺についてどうなのかといってお聞きすると、ちょっとここは検討していないということであります。
 
ishigamitoshio.com

 しかし、時代は猛烈なスピードで動いているわけでありまして、問題が顕在化してから動くのではなくて、是非、有識者研究会の早期再開など、最善、最適の対応を常時対応でお願いしたいなと、そういうふうに考えているところでございます。
 
 そこで、高市総務大臣は、行政機関等に対する総合的な監督権限、現在の行個法における報告徴取及び意見陳述の権限、経験、ノウハウの集積もあるわけでございますので、法の所管大臣として不断の改革を行う決意をお伺いしたいと、そういうふうに思います。よろしくお願いします。

○国務大臣(高市早苗君) 

ishigamitoshio.com

 石上委員におかれましては、本日、九十分にわたって質疑をされて、そしてもう本当にこの法律案について細かい点まで深く掘り下げて御質疑いただいたことを心から敬意を表し、また私どもも感謝を申し上げます。
 
 そして、この法律案、成立をいただきましたならでございますが、まずは個人情報保護委員会としっかりと協力をしながら、この法案の施行に向けた準備についてしっかりと対応してまいります。
 
 今委員がおっしゃっていただいたとおり、たくさんの準備がございます。その上で、やはり社会経済情勢の変化というものもございますから、この非識別加工情報の利用者、それからまた、国民の皆様のお声をしっかり聞きながら、本制度については不断の検討を加えて、より良いものとしていくというのはこれはもう政府として当然の責務だと考えておりますので、新しい制度の実施状況を見ながら対応を進めてまいります。

ishigamitoshio.com

○石上俊雄君 ありがとうございました。よろしくお願いします。
 
 以上で終わります。

--------------------------------
--------------------------------

○委員長(山本博司君) これより採決に入ります。行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案に賛成の方の挙手を願います。

ishigamitoshio.com

ishigamitoshio.com

   〔賛成者挙手〕

○委員長(山本博司君) 多数と認めます。よって、本案は多数をもって原案どおり可決すべきものと決定いたしました。この際、石上君から発言を求められておりますので、これを許します。石上俊雄君。

○石上俊雄君 私は、ただいま可決されました行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案に対し、自由民主党、民進党・新緑風会、公明党及びおおさか維新の会の各派共同提案による附帯決議案を提出いたします。

 案文を朗読いたします。

ishigamitoshio.com

 行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案に対する附帯決議(案)
 
 政府は、本法施行に当たり、次の事項についてその実現に努めるべきである。
 
一、本法の規定に基づき個人情報の定義等を政令等で定めるに当たっては、国民及び事業者等に分かりやすいものとなるよう、これらの者から幅広く丁寧に意見を聴取し、保護対象を可能な限り明確化すること。

二、新たに導入される非識別加工情報の規定の趣旨が個人情報の利活用を促進するものであることに鑑み、行政機関非識別加工情報等を活用する者が個人情報保護法に基づく匿名加工情報と同様に取り扱うことができることについて、十分な周知を行うこと。

三、個人情報保護委員会は、行政機関非識別加工情報等の作成に係る基準を策定するに当たっては、行政機関及び独立行政法人等の保有する個人情報の特質に十分に配慮するとともに、情報通信分野において日々進展する技術革新に伴って、特定の個人を識別される危険性を排除するために、当該基準に関し、適宜必要な見直しを行うこと。

四、個人情報保護委員会が、本法を含む個人情報保護法制及び個人情報保護委員会規則の適切な運用、及び、事業者や関係団体に対する利活用に資する情報の提供等の必要な支援を行うため、同委員会の委員、専門委員及び事務局に、行政機関及び独立行政法人等における個人情報保護制度及び民間における個人情報の利活用の実務について十分な知見を有する者のほか、個人情報が収集され、提供される国民の権利利益の保護に精通する者などを適切に登用すること。

五、行政機関非識別加工情報等の制度的な導入を含め、我が国の個人情報の保護水準が国際的に十分なものであることを諸外国に積極的に周知し、相互理解を十分に深めること。

ishigamitoshio.com

六、行政機関等の保有する個人情報には、当該個人情報の取得プロセスにおける義務性・権力性が高いものや、本人にとって秘匿性が高いものが多いことに鑑み、行政に対する国民の信頼を確保する観点から、行政機関等は、保有する個人情報の保護に係る実効性ある情報セキュリティ対策の在り方について不断の検討を行い、必要な対策を遺漏なく確実に実施すること。

七、行政機関及び独立行政法人等は、非識別加工情報が行政機関等の内部においては個人情報に該当することを十分に認識し、非識別加工情報と他の情報との照合は、所掌事務の遂行に必要であり、かつ、人の生命、身体又は財産の保護のために緊急に必要がある場合に限るとともに、個人情報を取り扱う業務に従事する者のICTの知識とモラルの向上、法令・情報セキュリティポリシーの遵守の徹底を図るための研修実施等、継続的な人材育成に必要な措置を講ずるなど、個人情報の保護に万全の体制を構築すること。

八、本法の適正な運用を確保するため、関係各機関において責任者を定めて責任の所在を明確にするなどの管理体制の整備、指針の作成、研修の実施等による指導の徹底を図ること。

九、教育、広報その他の継続的な活動を通じて、非識別加工情報の制度の導入に基づく適正な取扱いの下での個人情報の利活用の推進に関する国民の理解と信頼を深めるよう努めること。

十、今後、各地方公共団体において、地方公共団体が策定し、又は実施する個人情報の保護に関する施策の見直しに向けた検討が行われる場合において、その円滑な検討に資するよう、速やかに相談窓口を設け、必要な情報提供を行うなど、国が地方公共団体に対して協力を行うための体制整備に努めること。

十一、附則第四条に規定する「個人情報の一体的な利用の促進のための措置」を講ずるに際しては、「法制上の措置」も含めて検討するなど、以上の諸点を踏まえ、必要な見直しを行うこと。

 右決議する。

ishigamitoshio.com

 以上でございます。何とぞ委員各位の御賛同をお願い申し上げます。

○委員長(山本博司君) ただいま石上君から提出されました附帯決議案を議題とし、採決を行います。本附帯決議案に賛成の方の挙手を願います。

ishigamitoshio.com

ishigamitoshio.com

   〔賛成者挙手〕

○委員長(山本博司君) 多数と認めます。よって、石上君提出の附帯決議案は多数をもって本委員会の決議とすることに決定いたしました。ただいまの決議に対し、高市総務大臣から発言を求められておりますので、この際、これを許します。高市総務大臣。

○国務大臣(高市早苗君) ただいま御決議のありました事項につきましては、その御趣旨を十分に尊重してまいりたく存じます。

ishigamitoshio.com

○委員長(山本博司君) なお、審査報告書の作成につきましては、これを委員長に御一任願いたいと存じますが、御異議ございませんか。
   〔「異議なし」と呼ぶ者あり〕

○委員長(山本博司君) 御異議ないと認め、さよう決定いたします。本日はこれにて散会いたします。

ishigamitoshio.com

以上
 
--------------------------------

【本日の委員会内容の振り返り】

--------------------------------

■■委員会配布資料1(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料2(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料3(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料4(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料5(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料6(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料7(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料8(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料9(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料10(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料11(石上事務所作成)■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■委員会配布資料12(石上事務所作成)■■
ishigamitoshio.com

--------------------------------

【質問要旨】
20160519「質問要旨」(石上事務所作成)
20160519「質問要旨」(石上事務所作成)

【配布資料】
20160519「配布資料」(石上事務所作成)
20160519「配付資料」(石上事務所作成)

--------------------------------
 ビッグデータ解析は、これまで誰も気づかなかった、社会的課題・問題に対する衝撃の新ソリューションをもたらしてくれる。人間の能力を超え始めた...その意味でシンギュラリティはもう始まっているのかもしれない。

データの山に眠れる現代の金脈を掘りあてろ!
ビッグデータ解析で社会の課題解決を加速する。

2016年5月12日(木) 総務委員会 行政機関個人情報保護法(行個法)改正案 参考人質疑(東大・宇賀克也教授、医療情報システム開発センター・山本隆一理事長、日弁連・清水勉弁護士)(ビッグデータ、個人情報保護)

ishigamitoshio.com

 たとえば医療ビッグデータの利活用によって、病気の予防や医療費適正化に計り知れない恩恵がもたらされる。社会的課題のソリューション、また新産業創造の観点からも、ビッグデータや個人情報の取扱いルールの整備・確立は決定的に重要だ。

ishigamitoshio.com

ishigamitoshio.com

--------------------------------

【議題】

・行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案
(行政機関個人情報保護法改正案/行個法改正案)
(閣法第48号)(衆議院送付)
行政機関個人情報保護法改正案(内容)

--------------------------------

【参考人】
・東京大学大学院法学政治学研究科 
 宇賀克也教授
ishigamitoshio.com

委員会冒頭の意見陳述
配付資料(宇賀克也教授)

--------------------------------

・一般財団法人医療情報システム開発センター 
 山本隆一理事長(自治医科大学客員教授)
ishigamitoshio.com

委員会冒頭の意見陳述
配付資料(山本隆一理事長)

--------------------------------

・日本弁護士連合会情報問題対策委員会 
 清水勉委員/弁護士
ishigamitoshio.com

委員会冒頭の意見陳述
配布資料①(清水勉弁護士)
配付資料②(清水勉弁護士)

--------------------------------

【質問要旨】
20160512「質問要旨」(石上事務所作成)
20160512「質問要旨」(石上事務所作成)

【参考資料】
20160519「配布資料」(石上事務所作成)
20160519「配布資料」(石上事務所作成)
翌週05/19(木)委員会質疑用の配布資料より

--------------------------------

【質問項目】

■東京大学大学院法学政治学研究科・宇賀克也教授への質問

【保護法か公開法か】
問1:2015年の個人情報保護法改正で第1条(目的)にある「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること」との追加文言は、旧・個人情報保護法第1条にすでに書き込まれていた「個人情報の有用性に配慮しつつ」にある「有用性」の例示として挿入されたにすぎないと考えられる一方、現行・行個法には最初から「個人情報の有用性に配慮」の表現自体がないことを考えると、「法の中核的目的=個人の権利利益の保護を最重要視すること、は変わらない」とされた昨年の基本法改正とは、今回の行個法改正案は同等には解されないとの批判もあるが、この点をどう考えればよいか。

------------

ishigamitoshio.com
【参考】20160519「資料2」(石上事務所作成)

------------

【容易照合性・照合性とは】
問2:匿名化されたパーソナルデータで「他の情報と容易に照合することができる」にあたらない例として、先生は以下を挙げていると承知します(『個人情報保護法の逐条解説』有斐閣、宇賀克也著)。①他の事業者に通常の業務では行っていない特別な照会をし、当該他の事業者において、相当な調査をしてはじめて回答が可能になる場合、②内部組織間でもシステムの差異のため技術的に照合が困難な場合、③照合のため特別のソフトを購入してインストールする必要がある場合。では、「容易に」が取れた、行個法上の定義では、「他の情報と照合することができる」にあたらない例はどのように考えればいいのか。

------------

ishigamitoshio.com
【参考】20160519「資料4」(石上事務所作成)

------------

【基本法における提供元での照合禁止の意味は】
問3:基本法は、提供元でも(36条5項)、提供先でも(38条)、匿名加工情報への照合制限を課す一方、行個法改正案では行政機関に対して照合制限がない。そもそも個人情報取扱事業者は加工前の元データを持っており、このような制限が必要な理由は何か。(識別行為禁止の適用除外が(提供元でも提供先でも)必要な場合は考えられないか。事業者が主観的に匿名加工と考えても、客観的に識別可能である場合には基本法40条以下で個人情報保護委員会が権限発動するが、事業者自身の確認作業などは不要か等どう考えるべきか。)

------------

ishigamitoshio.com
【参考】20160519「資料7」(石上事務所作成)

------------

【一度提供するとオープンデータ化するか】
問4:特段の対象限定なしで二次流通が行われた場合、提供元の行政機関に対し情報公開による開示請求があれば、通常は情報公開法第5条第1号(「氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することにより、特定の個人を識別することができることとなるものを含む)又は特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの」)には該当せず、開示が義務となり、結果として当該情報の一般公開(いわばオープンデータ化)に近い状態になっていくのではないかと思うが、どうなのか。その可能性はあるのか。もしYesの場合、それで構わないとする理由は。(最初の提案者の苦労ただ取り?)

-------------------

■医療情報システム開発センター・山本隆一理事長への質問

【医療データ】
問1:今回の改正案で、国立病院などの医療データを加工して、私立病院・自治体関連の病院や民間企業(製薬会社)等が活用できるようになると期待するか。改正案はどこが良く、どこに改善の余地ありと考えるか。また改正案通りに成立した場合(でも)、こうすれば、よりよくなる可能性はある、ということがあれば教えてほしい(委員会指針や認定団体指針、民・民の指針策定プロセスにおける公的分野の参加等の運用上の工夫ほか)。

------------

【代理機関(仮)による安心・安全なプラットフォームの構築】
問2:現在、内閣官房の健康・医療戦略室の「次世代医療ICT基盤協議会」で、国の代理機関(仮)を新設して全国の病院から患者名を伏せた形で電子カルテ情報を集め、匿名のビッグデータとして分析する検討の途上。「代理機関は改正個人情報保護法の対象から逸脱した存在になるため、公的機関の認可に加え、制約の在り方(代理機関の守秘義務・罰則の規定等)も検討する必要があります」との認識もあると聞く。議論の推移をフォローすると、行個法改正の検討段階で散見した「具体的なニーズは把握してない」との話と真逆で、何としてもビッグデータ解析に道筋をつけないと日本の医療・介護の未来が見えないと真剣そのもの。次世代医療ICT基盤協議会のメンバーとすれば、「医療関係は個別・専門的領域なので特別法でがっちり考えるので余計なことはほどほどに」「法律が先走ってイノベーションの芽を摘まないで」という感じか。この観点で行個法改正案への本音を教えて欲しい。

------------

ishigamitoshio.com
【参考】20160519「資料10」(石上事務所作成)

------------

【医療分野では特別法が望ましいか】
問3:画期的な治療法や新薬開発のためには、同一人物に関する様々な情報をなるべく多く集め、その大勢を母集団とするビッグデータから新しい知識を抽出するのがよいわけで、例えば、あちらこちらの病院に散在する本人カルテやレセプト情報、また本人の遺伝子情報なども集積した上でのビッグデータ解析が望ましいとも思うが、そうすると、安全・無難で行きたい汎用ルール下でやるより、本格的・専用ルール下で公的貢献をしていきたいというのが参考人を含めての実感か。

-------------------

■日弁連情報問題対策委員会・清水勉委員への質問

【EUの十分性認定を目指すか】
問1:EUデータ保護指令にある十分性の認定を我が国が申請し、認定を受ける見込みについてどのような認識か(現時点でデータ移転できるのはNZ、アルゼンチン、イスラエルなど11か国・地域。アジアなし)。2018年からは「一般データ保護規則」が導入され、各国バラバラだった保護ルールが統一されるが、そもそも米国のような保護体制もあるわけで、どこまでEUの枠組みを重視するかもあろう。例えば、EUの求める十分性認定を目指すのだろうが、官民の執行機関の問題で百点満点を目指すのかという議論もあるが、どのような認識か。

------------

ishigamitoshio.com
【参考】20160519「資料12」(石上事務所作成)

------------

【基本法附則第12条第1項:統一的かつ横断的に】
問2:個人情報保護委員会の行政機関に対する権限は、民間事業者に対する権限(報告及び立入検査、指導及び助言、勧告及び命令)と同様にすることも、基本法附則第12条第1項「・・・行政機関等匿名加工情報の取扱いに対する指導、助言等を統一的かつ横断的に個人情報保護委員会に行わせることを含めて検討を加え、その結果に基づいて所要の措置を講ずるものとする」との趣旨から十分あり得ると考えるが、行個法改正案の整理について、どう考えるか。

--------------------------------

ishigamitoshio.com

--------------------------------

190-参-総務委員会-13号 平成28年05月12日

○委員長(山本博司君) ありがとうございました。以上で参考人の方々の意見陳述は終わりました。これより参考人に対する質疑を行います。質疑のある方は順次御発言願います。

○石上俊雄君 

ishigamitoshio.com

 民進党・新緑風会の石上俊雄でございます。本日は、三名の参考人の先生、本当に多岐にわたる御示唆を賜り、本当にありがとうございました。
 
 時間に限りがありますので早速質問をさせていただきたいと思いますが、まず宇賀先生に質問させていただきます。

ishigamitoshio.com
【参考】20160519「資料2」(石上事務所作成)

 まずは、今回の行個法が保護法なのか公開法になっちゃうのかといったところの視点で御質問させていただきたいと思いますが、昨年成立しました個人情報保護法の改正の第一条の目的に、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること」というのが追加の文章で入ったわけですが、これというのは、そもそも前の個人情報保護法の中に含まれておりました有用性についての説明に「個人情報の有用性に配慮しつつ、」という文言があるんですが、その有用性に対しての説明だというふうに解釈されているわけであります。

ishigamitoshio.com

 けれども、一方で、今回の行個法はそういう文言がそもそもない中にあって先ほど言った文言がどんと入ってきているということから考えますと、法の中核的目的、個人の権利利益の保護を最重要視することと何ら変わらないというふうに言われているわけでありますけれども、その辺に対しまして先生のお考えをお聞きしたいと思います。

ishigamitoshio.com
【参考】20160519「資料2」(石上事務所作成)

○参考人(宇賀克也君) 

ishigamitoshio.com

 大変重要な御指摘だと思います。
 
 実際、行政機関等が保有するパーソナルデータに関する研究会におきましても、今回の行政機関非識別加工情報の制度を行政機関個人情報保護法に位置付けるのがいいのか、それとも行政機関情報公開法に位置付けるのがいいのかということについてはかなり議論があったわけでございます。
 
 私は、今回の改正があっても、行政機関個人情報保護法が第一義的には個人の権利利益を保護する、これを最重要視しているというその基本的な目的は変わっていないというふうに考えておりますけれども、個人情報の保護と利用のバランスを取っていくという中でこのような利用というものも例外的に認め得るということで、今回、行政機関個人情報保護法に位置付けられたと思います。
 
ishigamitoshio.com
配付資料(宇賀克也教授)

 しかし、おっしゃるとおり、これは一種のオープンデータ政策としての一環も持っていますので、そういう要素が行政機関個人情報保護法の中に加わったということは言えると思います。

○石上俊雄君 ありがとうございました。

ishigamitoshio.com
 
 続きまして、山本先生にお聞きしたいと思いますが、ざっくり言って、先ほど絵にも記していただいておりましたが、今回の行個法が成立するというか、この法律によって、先生が取り組まれている医療関係のデータにつきまして、国立病院などの医療データの加工、あとは市立病院、自治体関連の病院や民間企業、製薬会社等が活用できるようになる方向に進むのか、その辺どういうふうに御期待されているのかといったところをお聞きしたい。

ishigamitoshio.com
配付資料(山本隆一理事長)

 また、そういうふうになるということについて、今回の法の改正で良かったところと、もうちょっとこうなった方がいいんじゃないのというところ、さらには、今回成立した暁には、その先に委員会の規則等が様々作られていくと思うんですけど、成立した後にこういうことをやれば更に良くなるといったところをちょっと御示唆いただきたいと思います。

○参考人(山本隆一君) 

ishigamitoshio.com

 今回の御審議中の法案につきましては、これが成立した暁には、少なくとも行政機関、独立行政法人の持っている医療情報、これは、例えば国立大学法人でありますとか国立大学病院機構でありますとかが独立行政法人で、国の場合は国立感染症センターとかあるいは国際医療センターとか、がん研究センターがありますけれども、そういったものの非識別加工情報あるいは匿名加工情報としての利用に関しましては一定の進捗があるというふうに考えております。これは範囲が明確になりますし、手続も明確になって、それこそ世間の皆様方と余りそごのない考えの下に利活用を進めていけるという意味では、研究者も自信を持って使っていけるということになろうかと思います。
 
 医学研究に関してはそうでありますけれども、医療の現場、つまり医療と介護の連携でありますとか医療連携に関しましては残念ながら特段の進歩は見られないというふうに、なぜかといいますと、非識別加工情報にまで至らないと特別な変化がないんですね。現場の場合は、これは匿名化してはできませんので実名のままで情報をやり取りする必要がありますけれども、その場合は先ほど申し上げましたように主体者における責任の壁がございまして、それを有機的に、あるいはどんどんどんどん進めていこうとすると手続的にかなりハードなものがございます。
 
ishigamitoshio.com

 あと、民間の利活用に関しましては、これはどちらかというとオープンデータ政策の方に関係する話で、非識別加工情報というのはこの法案の場合はほとんど個人が識別できないものとされていますけれども、そうはいいながら、安全管理を義務化している、求めているということは、一定のリスクがあるという配慮だと思うんですね。そうすると、一定のリスクがある配慮のままでいわゆる民間事業者が営利目的で利用するということは恐らくできないというふうに考えていますので、医療に関しましてはできないと考えていますので、更に特定性を下げて全く安全になったオープンデータにまで至らないとイノベーション等に役立てることはそれほど容易ではないというふうに考えています。
 
ishigamitoshio.com
配付資料(山本隆一理事長)

 これは個人情報保護法の問題ではなくてオープンデータの問題でありますから、これは今も進められていますし、これからも多分進んでいくんだろうと理解していますので、それはそれで別の動きとして期待していいんだと思いますけれども、今回の法案で特段変化があるというふうに私自身は考えていません。
 
 それから、この後ですけれども、この後なのか、あるいは今、宇賀先生、清水先生からお話があった、例えば医療でもう少し個別法みたいなものを考えるのかとかいう問題がございますけれども、仮にそういう個別法がない状態で新個人情報保護法が施行されて今回の法案が通過した場合ですけれども、やはり要配慮情報に関する取扱いというのが非常に難しくなっていて、これ、患者さんが期待する取扱いと、それから医療従事者あるいは医療、医学研究者が期待する取扱いというのにはまだ私はそごがあるように感じています。
 
ishigamitoshio.com

 したがって、決してプライバシーを侵害する、個人情報を軽んずるということがあるわけではないんですけれども、そのないということを納得した上で共通に理解ができるような政令あるいは指針等の整備が欠かせないというふうに考えております。

○石上俊雄君 ありがとうございました。

ishigamitoshio.com
 
 続きまして、清水先生に御質問させていただきたいと思いますが、EUの先ほど十分性の認定といった話もちょっと資料の中に書いてありましたけれども、EUデータの保護指令による十分性の認定を我が国が申請して認定を受ける見込みについてどのような認識を持たれているかということについて、ちょっとお伺いしたいと思います。

ishigamitoshio.com
【参考】20160519「資料12」(石上事務所作成)

 二〇一八年から一般データ保護規則が導入されまして、各国ばらばらだった保護ルールが統一されるというふうな動きであるわけでありますが、先ほど先生がちょっとこの資料の中で御説明をいただいたように、アメリカの考え方とかとEUの考え方がちょっと全然違うところでありながら連携しているということもありますので、官民の執行機関の問題であるということを考えれば、百点満点を求める方向を追求していくのか、そういったところも含めて御示唆をいただけますでしょうか。

○参考人(清水勉君) 

ishigamitoshio.com

 この問題というのは、今この瞬間の正解というのが五年後の正解ではないわけですね。ですので、制度をつくるときどう考えるかというと、これからどういう方向へ進んでいくんだろうかということを考えて、じゃ、今どういう感じのものにしておくかということなんだろうと思うんですね。
 
 そうしますと、日弁連でずっと第三者機関というふうに言っているのは、どうしても扱っている人というのは使いたくなってしまうし、あれもできるね、これもできるねってなるし、ほかの人がそれ使いたいんだけどっていうと、それはいいことだから使ってもいいよというふうになりがちなんですね。それがいい仕事であればなおさらのこと、そうしたくなるというのはあるわけですけれども、その中に、データ化してしまったときに善意だけで情報は管理されないという問題があるということであります。
 
 そうしますと、やはり方向性としては、個人情報の扱いについて、そもそもその制度が制度的にプライバシーの侵害性が強烈でないかどうか、それに対してメリットの方が大きいかどうかというところを制度設計として考えていく、プライバシー・バイ・デザインですけれども。この考え方というのは、実は今回のマイナンバー法の中にもそれは取り入れられていますし、個人情報保護法の中にもその考え方は採用されてきているわけですけれども、これが国のところだけでいいという話ではなくて、市町村レベル、県レベルでも必要ですし、民間でも広く必要だ、その全体について第三者機関がチェックをする。

ishigamitoshio.com
配布資料①(清水勉弁護士)
配付資料②(清水勉弁護士)

 第三者機関は自分自身でその情報を扱う立場ではないというところに意味がありまして、世界の流れがどうなっているかということを踏まえながら、今のままだと恐らく半年後、一年後にはこういう問題が起こってしまうということも予測しながらチェックをしていくということを仕組みをつくる、ものをつくることによってこの十分性については十分対応できるのかなと。これは、その十分性は決してEUだけではなくて、アメリカとの関係でも十分対応できると思っています。

○石上俊雄君 

ishigamitoshio.com

 ありがとうございました。だんだん時間がなくなってきましたので、宇賀先生に、容易照合性という観点でちょっと御質問したいんですが。

ishigamitoshio.com
【参考】20160519「資料3」(石上事務所作成)
 
 先生の個人情報保護法の逐条解説というものがあって、それを見たんですが、ほかの情報と容易に照合することができるに当たらない例として、まあいろいろ書かれているんですけど、具体的な例は、高いソフトを買ってこないと分析できないというのはその容易に当たらないとか書いてあるんですね。

ishigamitoshio.com
【参考】20160519「資料4」(石上事務所作成)

 しかし、今回の行個法は、容易という文言が抜けちゃっているんですね。そうなったときにどういう例が考えられるのか、御認識をお伺いしたいと思います。

○参考人(宇賀克也君) 

ishigamitoshio.com

 個人情報保護法では、個人情報の定義に、今おっしゃいましたとおり、他の情報との照合について容易性を要件としております。それに対しまして、行政機関個人情報保護法や独立行政法人等個人情報保護法の場合には、個人情報の定義に当たりまして、他の情報との照合につきまして容易性を要件としておりません。
 
 これは、意識的にそのような立法政策を取ったわけで、かつては、行政機関個人情報保護法の前身であります行政機関電算機個人情報保護法の時代には、今の個人情報保護法と同じように容易照合性というのを要件としておりました。しかし、国の行政機関や独立行政法人等は、国民からの信頼の確保という観点から、より厳格に個人情報を保護する必要があるという観点から、意識的に容易にという要件を外しました。

ishigamitoshio.com
 
 したがいまして、国の行政機関とか独立行政法人等の場合には、民間であればこれは容易照合性がないからということで個人情報に当たらないものでありましても、国の行政機関とか独立行政法人等の場合には照合が可能であるということで個人情報に当たる、つまり、個人情報の範囲をそれだけ広く取って、それを厳格に保護していこうという、そういう立法政策を取っているということでございます。

○石上俊雄君 

ishigamitoshio.com

 最後になりますが、山本先生にもう一問お聞きしたいんですけど、山本先生は次世代医療ICT基盤協議会の委員として入られていると思うんですが、先ほど清水先生が資料をちょっと、経団連の方からは何もニーズがないというふうな、まあ確かにそうなんですね。しかし一方で、医療的な分野では、先ほど介護といった言葉も出ましたが、これ大変なことになるということで、本当に力を入れて取り組まれているわけでございます。
 
 そんな中で、今回のこの行個法なんですが、ざっくり本音で、一部では法律が先走ってイノベーションの芽を摘まないでほしいというような意見も出てきているわけでございまして、先生におかれましてはどのような認識でおられるかをちょっと教えていただけますでしょうか。

ishigamitoshio.com
【参考】20160519「資料11」(石上事務所作成)

○参考人(山本隆一君) 

ishigamitoshio.com

 正直に申しまして、危惧はしております。まだやはり、何といいますか、患者さんのプライバシーの侵害を全く起こすおそれがないにもかかわらず保護規定のために利用できないということが起こり得るのではないかというふうに危惧をしています。
 
ishigamitoshio.com
配付資料(山本隆一理事長)

 ただ、これは先ほどから申し上げましたように、今の法律の枠組みだけでいくと、やはり一般の情報と医療情報を区別していませんので、一般の情報に関してルールを適用するとなると、医療情報はここはもう我慢しなくちゃしようがないというふうなところがやっぱりどうしても出てくると思うんですね。

ishigamitoshio.com
配付資料(山本隆一理事長)

 話が長くなって恐縮ですけれども、例えば百人の被験者で一人だけ副作用が出た、その副作用の人が私は公開するのは嫌だと言ってしまうと、データは九十九人で副作用のないデータになってしまうわけですね。実際は百分の一で副作用が出ているのにそうなるというふうなことが一般の事例では起こり得るわけですけれども、医療の場合はやっぱりそれが起こっては困るということがありますので、そういう意味では現在の法制度の下ではやや不十分で、医学研究あるいは医学に基づくイノベーションに関してやや心配であるということはございます。
 
ishigamitoshio.com

 これは、今御紹介のありました次世代ICT推進本部等でこういうことに対する解決法等も議論されているようですので、その議論の結果を待って、もしもその制度が必要であれば制度の整備を進めていただきたいと考えておりますし、そうでなく進められるものなら粛々と進めていきたいというふうに考えております。

○石上俊雄君 

ishigamitoshio.com

 時間が来ましたのでここで終わりますが、もう少し、SS―MIX2とか、いろいろなところで聞きたかったんですけど、また次回にしたいというふうに思います。本日は三名の参考人の先生方、本当にいろいろ御意見をいただきましてありがとうございました。

ishigamitoshio.com

 終わります。

--------------------------------

【質問要旨】
20160512「質問要旨」(石上事務所作成)
20160512「質問要旨」(石上事務所作成)

【参考資料】
20160519「配布資料」(石上事務所作成)
20160519「配布資料」(石上事務所作成)
翌週05/19(木)委員会質疑用の配布資料より

--------------------------------

2016年4月19日(火) 総務委員会 国立研究開発法人情報通信研究機構法(NICT法)改正案 質疑(サイバーセキュリティ演習(標的型攻撃、ランサムウェア)、地方自治体マイナンバー・LGWAN対策、IoT・インダストリー4.0とサイバーセキュリティ、東京五輪に向けた日本の安全安心技術(サイバー、顔認証、セキュリティカメラ)、クラウドとしてのデーターセンター利活用推進、イノベーションを引き出し加速するIoTテストベッド)

-------------------

まだ間に合う!
乗り遅れるな『IoT時代のサイバーセキュリティ』

-------------------

自動車もハッキング...人工衛星もハッキング...
ishigamitoshio.com

-------------------

【議題】
・国立研究開発法人情報通信研究機構法及び特定通信・放送開発事業実施円滑化法の一部を改正する等の法律案
(NICT法等改正案)(閣法第38号)
情報通信研究機構法(NICT法)等改正案(内容)

ishigamitoshio.com
■NICT・対サイバー攻撃アラートシステム
ダイダロス(DAEDALUS):Direct Alert Environment for Darknet And Livenet Unified Security

--------------------------------

【質問構成】
(1)実践的サイバー防御演習(CYDER)
(2)重要インフラ・IoTのサイバーセキュリティ
(3)国境なきサイバー空間のセキュリティ確保
(4)データセンターの地方分散化
(5)IoTテストベッドの整備

ishigamitoshio.com

--------------------------------

【質問項目】

(1)実践的サイバー防御演習(CYDER)

問1:(対総務省・南政策統括官)
【サイバー演習の内容】
 今回の改正案が成立すると、サイバー演習の内容(シナリオ、目標、民間委託等)、規模、対象、開催の頻度等はどう変わるのか。

ishigamitoshio.com

-------------------

問2:(対内閣官房・谷脇内閣審議官)
【サイバー演習に関する長期計画の必要性】
 政府機関等のシステム管理者全体に対するサイバー演習について長期的な視点の計画はあるか。例えば、演習をどのぐらいの規模・頻度で行えば、全体のカバー、能力維持が可能か。また、より高度な内容の演習は必要ないか。諸外国の例も参考にして我が国の長期演習総合プランを作成するべきではないか。

今年の流行は、標的型攻撃とランサムウェア
ishigamitoshio.com

-------------------

問3:(対総務省・原田地域力創造審議官)
【年金機構・個人情報流出事件を受けての地方自治体サイバーセキュリティ対策の進ちょく状況】
 昨年の年金機構・個人情報流出事件を受けて、自治体では①マイナンバー事務系の情報持ち出し不可設定、②LGWAN接続系とネット接続系の分割、③ネット接続口の都道府県への集約を決定したが、これら対策の進ちょく状況(2月の報道アンケートでは基幹系の分離が市区86%、都道府県では18%にとどまる)、また対策完了の時期のメドや対策完了までの間のリスク管理はどうか。

-------------------

サイバーセキュリティは急成長のマーケット
ishigamitoshio.com

-------------------

問4:(対高市総務大臣)
【自治体における三層対策の効用】
 こうした三層の対策が各自治体で完了すると、どのような効果が期待できるのか。例えば、マイナンバーなど個人情報流出はないと考えてよいか。

-------------------

(2)重要インフラ・IoTのサイバーセキュリティ

問5:(対原子力規制庁・大村緊急事態対策監)
【原子力発電所のサイバー攻撃対策】
 重要インフラへのサイバー攻撃は国内外で頻発。かつて制御システムはネット非接続/そもそもOSも異なっていたが、現在では様々な抜け穴の存在が指摘されている。我が国の原発はサイバー攻撃に対してどの様な規制基準の下で安全が担保されているのか確認したい。

-------------------

問6:(対経産省・前田官房審議官)
【重要インフラのサイバー演習の今後】
 工場の製造工程や施設の保守・監視にも、ドイツ「インダストリー4.0」に象徴されるようにネット接続やIoT化の波が急速に進展中。こうした情勢の中、重要インフラのサイバー演習を今後どう考えていくか(内容、目標、規模等)。

-------------------

SCADA、PLC、DCS、もちろん全て関係します。
ishigamitoshio.com

-------------------

問7:(総務省・南政策統括官、経産省・前田官房審議官)
【我が国のIoTシステムのサイバーセキュリティ】
 昨夏の米国・情報セキュリティ会議「ブラックハット」や「デフコン」で、家電や車、人工衛星まで乗っ取り手法が報告された。我が国のIoTシステムのセキュリティをどうするか。

-------------------

IoT推進コンソーシアム・セキュリティWG
ishigamitoshio.com

-------------------

(3)国境なきサイバー空間のセキュリティ確保

問8:(対警察庁・河合官房審議官(生活安全局担当))
【国境なきサイバー犯罪への警察取組】
 昨年の年金機構事件は中国からの犯行との報道もあるが特定困難。先月は警視庁押収のサーバから1800万件のID・パスワードが発見された。国境なきサイバー犯罪に対して警察はどう取り組むのか。

-------------------

電脳戦、シンギュラリティはもう始まっている・・・
ishigamitoshio.com

ishigamitoshio.com

-------------------

問9:(対防衛省・鈴木防衛政策局次長)
【海外からのサイバー攻撃と自衛権発動の関係】
 重要インフラへのサイバー攻撃は犯罪で、自衛権発動の武力攻撃には該当しないのか(原発の炉心溶融や金融システム麻痺等)。例えば、人の殺傷・傷害、財物破壊を伴うものは対抗措置をとれる場合もあるのではないか。また、攻撃主体の特定が困難、「国・国に準ずる組織」でない場合、自衛権発動はどうなるか。

-------------------

ishigamitoshio.com
■NICT・インシデント分析センターNICTER(ニクター):サイバー攻撃やマルウェア感染の大局的な傾向をリアルタイムに公開(日本への現在のサイバー攻撃を表示)

-------------------

問10:(対高市総務大臣)
【2020年東京五輪に向けたサイバーセキュリティ強化】
 2020年東京五輪の開幕式で停電等あってはならない。サイバー演習も一層のレベルアップが求められるが、現在、五輪の演習をどう検討しているか(究極の対策は、人材確保の強化。各種コンテスト等で腕を磨き、時に、そこで優秀な人材をリクルート。またディープ・ラーニング、人工知能や生体認証(顔認証)等の最新技術(セキュリティカメラ、ロボティックスも含め)は常にトライ等)。受動から主導への意識も重要と考えるが大臣の認識はどうか。

-------------------

安全安心は最低限の、そして最上級のおもてなし!

--------

~世界中からやってくるアスリートたちが試合に集中できるように、日本への旅行を楽しみにしている全ての方々のために、そして私たち自身の安全社会が明日も続くために~

--------

五輪史上最高にセキュアな大会を日本の技術で!!

ishigamitoshio.com

-------------------

(4)データセンターの地方分散化

問11:(対総務省・福岡総合通信基盤局長)
【ハウジング中心のデータセンター利用からの脱却】
 災害時backup促進のデータセンター地方分散化の目標はよいが、「ハウジング」が過半の現状を考えると僅かな税制優遇では期待薄。むしろ、どのデータをどの精度・コストで復旧させるかの要件定義を各方面に促すべき。こういう観点も含めて地方分散化を後押しする需要の創出も検討するべきではないか。

-------------------

聞いてビックリ、見てビックリ!
クラウドの役割が少ない日本のデータセンター実情
ishigamitoshio.com

-------------------

※世界では次に来るだろう「エッジ・コンピューティング」の話が出始めているが、日本ではその手前の「クラウド」にも大幅改善の余地がある。今こそ「攻めのIT投資」「攻めのIT経営」へ大きく舵を切ろう! 戦略的変曲点を見極めて・・・

-------------------

ishigamitoshio.com

-------------------

問12:(対総務省・福岡総合通信基盤局長)
【真のデータセンター地方分散化促進のためのステイク・ホルダー間協議立ち上げの必要性】
 地方分散化の阻害要因に地方-首都圏を結ぶ通信回線の容量問題があると聞く。キャリアにすれば個別のデータセンター建設に単発で太い回線を引いてもスケールメリットがない。誰かが旗振りをして、絞った場所に集積ともなればキャリアも動きやすい。そうした旗振り・協議の場づくりを検討してもよいのではないか。

-------------------

(5)イノベーションを加速するIoTテストベッド整備

問13:(対高市総務大臣)
【イノベーション・新産業を創出するIoTテストベッドの全国展開に際して重視すべきポイント】
 概ね全国10カ所でテストベッド設置を検討中と聞くが、IoTは分野横断・異業種連携がポイント。ICTと掛け合わせるテーマやニーズの掘起こしが最重要で、地域毎に施設の差別化をはかるべきと考えるが大臣の認識・意気込みはどうか。

-------------------

先頭を走る世界の企業はここで勝負を始めている!
ishigamitoshio.com

ishigamitoshio.com

--------------------------------

【答弁者】
・高市 早苗 総務大臣

・南  俊行 総務省政策統括官
・原田 淳志 総務大臣官房地域力創造審議官
・福岡  徹 総務省総合通信基盤局長
・谷脇 康彦 内閣官房内閣審議官
・前田 泰宏 経済産業大臣官房審議官
・鈴木 敦夫 防衛省防衛政策局次長
・河合  潔 警察庁長官官房審議官
・大村 哲臣 原子力規制委員会原子力規制庁
       長官官房緊急事態対策監

ishigamitoshio.com

--------------------------------

【質問要旨】
20160419「質問要旨」(石上事務所作成)
20160419「質問要旨」(石上事務所作成)

---------

【配布資料】
20160419「配布資料」(石上事務所作成)
20160419「配布資料」(石上事務所作成)

--------------------------------

190-参-総務委員会-11号 平成28年04月19日

○石上俊雄君 民進党・新緑風会の石上俊雄でございます。
 
 熊本の地震で多くの方が被災されております。亡くなられた方々に心から御冥福をお祈りさせていただくとともに、被災されて避難されている皆さんに心からお見舞いを申し上げたいと思います。政府におかれましても、全力で復旧、そして被災されている皆さんが一日も早く元の生活に戻れるようにお力添えをお願い申し上げたいと思います。

ishigamitoshio.com
 
 今日は、五つの視点で法案の質疑をさせていただきたいというふうに思います。一つは、サイバー防衛演習、CYDERと言うらしいですけれども、その視点。さらには、重要インフラ、IoTのサイバーセキュリティーに対して。あと、国境なきサイバー空間のセキュリティー確保、これが三つ目ですね。次が、データセンターの地方分散化。そして、最後がIoTのテストベッドの整備。この五つの視点から質問をさせていただきますので、よろしくお願いを申し上げます。
 
ishigamitoshio.com

20160419「資料1」(石上事務所作成)

 まず、実践的サイバー防衛演習についてでございますが、資料の一の①に付けさせていただいておりますけれども、昨年起きました年金機構の個人情報百二十五万件流出したことでございますけれども、これは標的型攻撃の典型的な流れを示させていただいたわけでございます。年金機構で漏れたのは、この流れの中で流出してしまったということになります。先ほどもちょっと大沼先生の方から質問の中でありましたが、平成二十七年の演習というのはこの標的型攻撃を題材にしながら研修があったというふうに聞いております。
 
 そこで、今回の法の改正が行われることによりまして、サイバー演習の内容、あとは規模、あと対象、開催の頻度などがどんな感じで今やっているものから変わっていくのか、総務省、教えていただけますでしょうか。

ishigamitoshio.com

○政府参考人(南俊行君) お答え申し上げます。
 
 今総務省が予算事業として実施しておりますサイバー防御演習は、改正法案が成立いたしますとNICTに移管しまして、NICTが主体的に実施していただくことになります。それによりまして、NICTが有しておりますサイバーセキュリティーに関する様々な知見でありますとかノウハウあるいは大規模な設備をそのまま最大限に活用することが可能になりますので、演習の対象でありますとか規模を拡大して、あるいは地方自治体の実情に合ったような演習シナリオを別に用意するとか、多様なシナリオを御用意することが可能になってくるというふうに考えております。

 このため、二十八年度、今年度からは、従来官公庁あるいは十三分野の重要インフラ事業者と言われるところが中心でございましたけれども、それ以外に、様々な独法さんあるいは地方公共団体などにも広く参加を呼びかけてまいりたいというふうに考えております。従来は東京を中心に開催をしておりましたところも、全国の私どもが地方支分局を持っております十一か所で、トータルとして五百組織、延べ千五百名を対象に演習を拡大実施してまいりたいというふうに考えております。

ishigamitoshio.com

20160419「資料1」(石上事務所作成)
 
 なお、本事業の実施に当たりましては、従来国の事業として行ってまいりましたときと同様でございますけれども、サイバー攻撃に関する民間企業の知見というものも十分活用していきながら、官民連携をして演習シナリオを作成するなどの工夫も引き続きしてまいりたいと考えております。

○石上俊雄君 

ishigamitoshio.com

 そこで、資料の二の①に示させていただきましたが、経産省所管のIPAというところがあるんですが、独立行政法人情報処理推進機構から発表された二〇一六年のセキュリティーの十大リスクというのがありまして、これ、いろいろなことが書いてあります。様々なリスクが存在しているというのが分かるわけでありますけれども、今の政府機関のシステム管理者に対してこのところを網羅する形でサイバー演習というのをしていかないといけないんだというふうに思うわけであります。

ishigamitoshio.com

20160419「資料2」(石上事務所作成)
 
 そういう観点でいくと、やはり長期的な視点というのが必要になるのかなというふうに思うんでありますが、その辺についての計画はあるのかということをお聞きさせていただきたいですし、例えば演習をどれくらいの規模、頻度で行えば全体をカバーできるのか、どれくらいでカバーできるのか、そこら辺も教えていただきたいと思いますし、さらには、もっと高度になるとなると、資料の二の②に書かせていただきましたが、要は、敵を知ることによって防ぐことがより分かってくるわけですね。ですから、攻撃チームと防御チームというふうに分けて演習をするというのは、これ海外では当たり前のようなんですけれども、こういうことについてのお考えがあるかどうか。これは内閣官房に教えていただけますでしょうか。

ishigamitoshio.com

20160419「資料2」(石上事務所作成)

ishigamitoshio.com

○政府参考人(谷脇康彦君) お答え申し上げます。
 
 委員御指摘のとおり、長期的な視点に立って、政府機関におきましてもセキュリティーあるいはICTの人材を育成していくことが大変重要だというふうに認識をしております。こうした観点から、本年三月に開催をいたしましたサイバーセキュリティ戦略本部におきましてサイバーセキュリティ人材育成総合強化方針を決定をいたしまして、政府におけるセキュリティー、ICT人材の育成に当たりましては、研修受講者数を今後四年間で千人を超える規模を目指すとしているところでございます。
 
 具体的には、私どもNISC及び総務省行政管理局等におきまして、今後セキュリティー及びICTに係る役職段階別の研修を実施をいたしまして、修了者にスキル認定を行うなどの取組を進め、さらにサイバーセキュリティーのケーススタディーなどの実践的な演習等に係る研修の実施やCSIRTの研修や訓練の活用についても取り組んでいくこととしております。
 
 内閣官房といたしましては、諸外国の例も参考にしながら、関係省庁と協力をしながらこうした研修や演習等を効果的に実施をし、サイバーセキュリティーあるいはICT人材の育成に積極的に取り組んでまいりたいというふうに考えております。
 
 なお、委員御指摘の攻撃側とそれから防御側に分かれての演習というのは、これも非常に実践的な観点から見て重要でございます。総務省等と連携をしながらこうした取組についても進めてまいりたいというふうに考えております。

○石上俊雄君 相手方も日々進歩しておりますので、万全な体制が構築できるようにお力添えいただければと、そういうふうに思います。
 
ishigamitoshio.com

 ちょっと次の質問に入りますが、昨年のこの年金機構の情報流出を受けて、自治体に対しても様々な指示が出ているわけでありますが、資料三の①に示させていただきました。どういう指示が出ているかというと、マイナンバー事務系の情報持ち出し不可設定の対応とか、LGWAN、総合行政ネットワーク接続系とネット接続系の分割とか、あとネット接続口の都道府県への集約とか、こういうことがなされているというふうにお聞きします。

ishigamitoshio.com

20160419「資料3」(石上事務所作成)
 
 このところに対しての進捗をちょっとお聞きしたいんですけれども、一部報道によりますと、市区では八六%、しかし、都道府県では一八%にとどまっているという情報もあるわけなので、これ早く進めないといけないなというふうに思うんですが、進捗をお聞かせいただきたいと。
 
 で、その対策が講じられるまでの間というのはどんな感じで漏れないようにというか、やられるのかといったところについても、併せて総務省、教えていただけますでしょうか。

○政府参考人(原田淳志君) お答えいたします。
 
ishigamitoshio.com

 委員御指摘のとおり、地方自治体の情報セキュリティー対策の抜本強化につきましては、昨年十一月にまとめられました対策検討チーム、この報告に基づきまして、インシデント即応体制の強化なり人的セキュリティー対策の徹底などとともに、今お示しいただきました三層から成る対策を全国の自治体にお願いしておるところでございまして、必要な経費につきましては、平成二十七年度補正予算に二分の一の補助としまして二百五十五億円を計上するとともに、地方負担分を補正予算債で対応するなどにより支援しているところでございます。
 
 去る三月八日に、各自治体の補正予算におきまして必要経費を計上した上で、交付申請のあった千六百七十一市区町村及び四十五道府県に対しまして、対策支援のための補助金約二百三十六億円の交付決定を行ったところでございます。残りの団体についても申請の準備中と伺っているところでございます。
 
 いずれにしても、委員御指摘のとおり、早めの対策が必要だという認識は私ども持っておりまして、自治体におかれまして三層から成る対策をできるだけ早期に講じていただくよう、また、対策が講じられるまでの間も、インシデント即応体制、それと人的セキュリティーの強化等の情報セキュリティー対策の一層の充実が図られますよう、私どもとしましても自治体と緊密に連携を図りながら進めてまいりたいと考えております。

○石上俊雄君 

ishigamitoshio.com

 本当に、二度とこの個人情報というか、漏れちゃいけませんので、しっかりとした対応を組んでいただきたいというふうに思いますが、そこで、こうした三層の対策、三層という言葉が出てきました、三層の対策が各自治体で完了しますとどのような効果につながるのかということですね。例えば、マイナンバーなどで個人情報流出はないということが言い切れる環境が整うのか、その辺についてどういうふうに考えればいいのか、高市総務大臣、お答えをいただきたいと思います。

○国務大臣(高市早苗君) 

ishigamitoshio.com

 この今全自治体にできるだけ早くということでお願いをしている三層の対策につきましては、その目的は、攻撃リスクなどの低減のための抜本的な情報システムの強化が第一でございます。
 
 従前から、職員などの人的セキュリティーですとかインシデント即応体制の強化といったこととともに業務用システムの強靱化の向上もお願いをしてまいりましたけれども、じゃ、それらが完了したらマイナンバー制度も含めて完璧かと言われましたら、情報セキュリティーに絶対というのはないと私は考えます。
 
ishigamitoshio.com

 とにかくリスクの最小化に向けて、そしてまた情報通信技術も非常に進んできている中で新たな脅威というのも次々生まれてまいりますから、とにかく限りなくリスクゼロを目指して、新たな脅威に対して常に情報セキュリティーの在り方は精査を続け、不断に対策を向上させていくということをしていく必要があると思います。全国の都道府県、市区町村はもとより、政府内も十分緊密に連携をしながらしっかりと対応を進めてまいります。

○石上俊雄君 引き続き、リスクに対して対応を完璧というかしっかりしていただきますようにお願いを申し上げたいと思います。
 
ishigamitoshio.com

 それでは続きまして、次のテーマですけれども、重要インフラ、IoTのサイバーセキュリティーについてお伺いをさせていただきます。

ishigamitoshio.com

20160419「資料3」(石上事務所作成)
 
 資料三の②に進めさせていただきましたけれども、国内外問わず、重要インフラへのサイバー攻撃というのは頻発をしているということでございます。これを見るとちょっと怖くなってくるわけでありますが、以前は制御システムというのはネットにも接続されていませんし、オペレーションソフトというんですか、OSも単独のものを使っていたので、サイバー攻撃をやろうとしても、これなかなかできなかったという環境だったわけでありますが、ちょっと環境が変わってきておりまして、今、様々な抜け穴が指摘されているのが現状だということでございます。
 
 そんな中で一つお聞かせいただきたいのが、資料の四の①にも付けさせていただきましたが、我が国の原子力発電所のサイバー攻撃に対してどのような規制基準の下で安全が担保されているのか、原子力規制庁、教えていただけますでしょうか。

ishigamitoshio.com

20160419「資料4」(石上事務所作成)

○政府参考人(大村哲臣君) お答え申し上げます。
 
 原子力発電所のサイバーテロ対策に関するお尋ねでございますが、サイバーテロなどの不法な侵入等により原子炉施設の安全性が損なわれないということが最も重要でございます。このため、新規制基準におきましては、安全設備を作動させるためのシステムについて外部ネットワークと物理的、機能的に分離させるということとともに、このシステムの導入時等にコンピューターウイルスが混入するというふうなことを防止するということを要求してございます。また、発電所外からの人の不法な侵入等を防止するということが非常に重要でございまして、柵等の障壁等により区画をするというようなことも要求をしているところでございます。
 
ishigamitoshio.com

 原子力規制委員会といたしましては、こうした基準への適合性審査を厳格に行い、サイバーテロなどの不法な侵入等により原子炉施設が安全性を損なうことがないようしっかり対策を取っているということを確認しているところでございます。

○石上俊雄君 この資料に付けさせていただきましたが、資料四の①ですね、これいろいろなところで遮断をしているので、絵を見ると大丈夫かなというふうに思うわけでありますが、引き続き、何か抜け道が、抜け穴がないかというのは是非捉えていただきながら対策というのを完璧にお願いできればというふうに思います。

ishigamitoshio.com

20160419「資料4」(石上事務所作成)
 
 これとちょっと似ているんですけれども、工場の製造工程、あとは施設の保守、監視に、ドイツで有名ですけれども、インダストリー四・〇に象徴されるようなもので、最近はネットにつながっているというのが一般的だというので、これは皆さんも御存じなことだというふうに思います。
 
 そんな中で、資料の四の②の右側の青いところに、ちょっと細かい字なんですが付けさせていただいておりますが、やはり、今まで制御系システムというのは独立していたんだけれども、このIoTというのが進んでいくと、残念ながら外部との直接接続とかが出てきてしまったり、事業者ごとに単独だったものが標準的なもの、あと汎用製品というのが増加をしてくる傾向というか、そういうふうになってきていて、そういう関係で外から攻撃を受ける可能性が増しているというふうになってきています。

ishigamitoshio.com

20160419「資料4」(石上事務所作成)
 
 こういう状況の中で重要インフラのサイバー演習というのをどういうふうに捉えていったらいいのかということについて、経産省、教えていただけますでしょうか。

ishigamitoshio.com

○政府参考人(前田泰宏君) お答え申し上げます。
 
 御指摘のとおり、ネット接続、IoTが大変進む中で、電力などの重要なインフラをどのようにサイバー攻撃から防ぐのかということは非常に重要な問題だと思います。
 
 このため、平成二十五年、宮城県の多賀城市におきまして、制御システムセキュリティセンター、通称CSSCと申し上げますけれども、重要インフラの制御システムの模擬プラントを整備をしております。これまでこのセンターにおいて、電力、ガス等の重要インフラの事業者、延べにいたしまして約八百人が参加をいたしまして、制御システムに対するサイバー攻撃のシナリオ、それをどう防ぐのかという対策、こういうことにつきまして実践的な演習を実施してまいりました。
 
ishigamitoshio.com

 今後は、この演習を実施する重要インフラの分野の拡大、あるいはセキュリティー対策のリーダーとなる高度なセキュリティー人材の育成など、二〇二〇年の東京オリンピック・パラリンピックを見据えまして内容の充実を図りたいと思っております。

○石上俊雄君 様々な角度で政府の中で連携していただいて、対策を講じていただくようにお願いしたいと思います。

-------------------

自動車もハッキング...人工衛星もハッキング...
~今年は何がハッキングされるのか~

ishigamitoshio.com
Black Hat:7/30-8/4、Def Con24:8/4-8/7@LV
20160419「資料5」(石上事務所作成)
 
 資料五の①に示させていただきましたが、昨年の八月、毎年八月に行われているようですが、ラスベガスの方で開催されました情報セキュリティ会議というのがあるんですけど、名前的にはブラックハットとかデフコンと言われるんですが、そこで報告された内容では、家電や車、人工衛星までが乗っ取ることができるという手法が報告されたということであります。人工衛星まで乗っ取られると、これ大変怖い話なわけでありますが、我が国のIoTシステムのセキュリティー対策を今後どうやってやっていくのかと。IoTって大変便利なんですけれども、便利だからこそ、何ですか、抜け道ってあるわけなんですね。

ishigamitoshio.com
 
 このセキュリティーを破られるというのは、単純なIoT製品を踏み台にして来るというところが一般的なものですから、このことに対して総務省、経産省、それぞれどういうふうにお考えを持たれているか、お聞かせいただきたいと思います。

○政府参考人(南俊行君) 先生御指摘のとおり、自動車ですとか医療機器ですとか工場で使用される様々な制御機器といった国民の生命や安全に直結するような機器がこれからインターネットに多数接続されてくることになるというふうに考えております。

-------------------

IoT推進コンソーシアム・セキュリティWG
ishigamitoshio.com

20160419「資料5」(石上事務所作成)
 
 御案内のとおり、その場合、人の管理の目が行き届きにくいでありますとかライフサイクルが長いものがネットワークに接続されるというIoT固有の性質がございますので、それに合った総合的なセキュリティー対策というものが求められるというふうに考えてございまして、現在、経済産業省さんと一緒にIoT推進コンソーシアムの下にセキュリティワーキンググループというものを設置して今取組を進めているところでございまして、具体的には、セキュリティーに考慮したようなIoT機器の設計でございますとかネットワークへの具体的な接続方法の在り方というものについて今議論を重ねているところでございまして、本年五月にはもうバージョンワンとしてのガイドラインを取りまとめさせていただきたいというふうに考えております。
 
ishigamitoshio.com

 また、一方、NICTを通じまして、サイバーセキュリティーに関する研究の一環としまして、先日、先生にも御覧になっていただきましたnicterというものを開発して、これはIoTの機器を標的としたいろんなサイバー攻撃を多数観測することもできますし、その結果も世の中に公表させていただいているところでございますけれども、更にもう一歩進めまして、次世代の暗号基盤技術といったようなネットワークセキュリティーに関する技術開発も引き続き積極的に推進してまいりたいと考えております。

○政府参考人(前田泰宏君) お答え申し上げます。

ishigamitoshio.com
 
 先ほど御答弁ございましたけれども、制度面ということになりますと、IoTのセキュリティーのガイドライン、総務省と一緒に共同で今策定しているところでございます。さらには、今国会におきまして、情報処理の促進に関する法律の一部改正ということでございますけれども、IoTに組み込まれているものを含めたソフトウエアの脆弱性の公表に関する制度を整備をしております。こういうことから、原因の究明あるいはその被害の防止を、いかに拡大させないかという点につきましても制度を充実させたいと思っております。
 
IoT推進コンソーシアム・セキュリティWG
ishigamitoshio.com

20160419「資料5」(石上事務所作成)

 技術面につきましては、制御システムに対するサイバー攻撃の早期検知、システムを停止せずにセキュリティー機能を含めたシステムのアップデートを行う技術、高性能な暗号を高速で処理するような技術、こういうようなものについての技術開発を進めてまいります。
 
 制度面、技術面両面におきまして、総務省と連携をいたしまして、内容の充実を図ってまいりたいと思っております。

○石上俊雄君 

ishigamitoshio.com

 こちらもしっかり連携をしていただいて、是非お願いしたいと思います。
 
 それでは、次のテーマでありますが、国境なきサイバー空間のセキュリティー確保についてという視点で質問させていただきたいと思います。
 
-------------------

関係者必見!
NHKスペシャル『サイバーショック』

ishigamitoshio.com

20160419「資料6」(石上事務所作成)

 資料六の①に示させていただきましたが、二月に「NHKスペシャル」で放映されました、皆さん見られた方もおられるかもしれませんが、中身は何かというと、昨年の年金機構からの情報流出のテーマでありましたが、そこの中で、報道としては中国からの犯行との報道もあって、この細かい字の中を読んでいくとあるんですが、ずうっと追っていくんですけれども、最後、特定するのはこれ困難ですよという、そういう報告ですよね、こうなっていると。さらに、先月、資料六の②に書いておきましたけれども、付けておきましたが、警察庁の押収したサーバーから一千八百万件のID、パスワードが発見されたという報道があったわけでございます。

-------------------

ishigamitoshio.com
■NICT・インシデント分析センターNICTER(ニクター):サイバー攻撃やマルウェア感染の大局的な傾向をリアルタイムに公開(日本への現在のサイバー攻撃を表示)

-------------------
 
 国境なきサイバー犯罪に対して、なかなか難しいのかもしれませんが、これどんな感じで警察としては取り組んでいかれるのか、警察庁、教えていただけますでしょうか。

○政府参考人(河合潔君) 

ishigamitoshio.com

まず、日本年金機構に対しますサイバー攻撃事案につきましては、国内外の複数のサーバーが攻撃の踏み台として利用されている状況が見られております。また、今御指摘のありました事案につきましては、昨年十一月に警視庁等が中国からのインターネット接続を取り次ぐための中継サーバー事業を営む会社の役員等を不正アクセス禁止法違反の事件で検挙をし、この会社から押収したサーバーコンピューターを解析した結果、御指摘のアカウント情報等約一千八百万件というものが発見されたところであります。
 
 警察では、容易に国境を越えるサイバー犯罪の犯人を追跡するためには国際連携が重要であるというふうに認識しておりまして、引き続き、国際刑事警察機構、刑事共助条約等、国際捜査共助の枠組みを活用するなど、各国の捜査機関等との情報共有を推進することとしてまいりたいと考えております。

○石上俊雄君 

ishigamitoshio.com
 
 このことがどんどん拡大していきますと、先ほどの資料三の②にも示させていただきましたが、重要インフラに対してのサイバー攻撃とかがあるわけですね。ちょっと怖い話になるんですが、原発の炉心の溶融とか金融システムのサイバー攻撃とか、いろいろな重要、貴重なインフラに対してのサイバー攻撃というのが可能性としてあるわけです。

ishigamitoshio.com

20160419「資料3」(石上事務所作成)
 
 これはまさしく犯罪なわけでありますけれども、そういうデータとかそういったところで済めばいいんですけれども、人命に対してとか、人を傷つけたり国家的なものを滅ぼしたりというところになると自衛権の発動というところに該当しないのかというところですね、この辺の処置というのをどういうふうにお考えになられているのか。

ishigamitoshio.com

 さらには、しかし、先ほど言ったように、攻撃している人たちが特定できないと国と国との間ではない可能性も出てくるわけでございまして、この辺の自衛権発動に対してどのようなお考えを持たれているのか、防衛省、教えていただけますでしょうか。

ishigamitoshio.com

20160419「資料6」(石上事務所作成)

○政府参考人(鈴木敦夫君) お答え申し上げます。
 
 武力攻撃が発生したか否かにつきましては、その時々の国際情勢、相手国の明示された意図、攻撃の手段、態様など個別具体的な状況を踏まえて判断すべきものと考えておりまして、サイバー攻撃についてもこれは同様でございます。
 
 その上で、サイバー攻撃について申し上げれば、その態様には様々なものがあり、御指摘のように、これを実施する主体も国とは限らず、個人であっても大きな被害をもたらすことは考えられるところでございます。
 
ishigamitoshio.com

 こうしたサイバー攻撃の特性を踏まえまして、サイバー攻撃のみで武力攻撃と評価することができるかどうかにつきましては、政府として従来から検討を行っているところではありますが、国際的にも様々な議論が行われている段階でございます。したがいまして、サイバー攻撃に対する自衛権行使の在り方につきましては、国際的な議論も見据えつつ、更に検討を要するというふうに考えております。

○石上俊雄君 確かに難しい話なので、今後しっかりと議論いただきたいと思います。
 
 次に入りますが、我が日本は二〇二〇年に東京オリンピック・パラリンピックを控えているわけでありますが、資料七にも付けさせていただきましたけど、ロンドン・オリンピックのときには二週間で、ここに書かさせていただきましたけど、二億一千二百万回の不正アクセスがあったとかという、そういう報道もなされているわけであります。東京オリンピック・パラリンピックの開会式で停電なんてあったらこれ元も子もない話で、これ絶対あっちゃいけない話であるわけであります。

ishigamitoshio.com

20190419「資料7」(石上事務所作成)
 
 したがって、より一層のサイバー攻撃に対しての対応をするための演習というのをやっていかないといけないと思うわけでありますけれども、このことに対してどのように御検討されているのか。そして、一番の課題というのはやっぱり人材の確保だと思うんですね、人材をどうやって集めるかです。それに対して、この資料七の②にちょっと書かせていただいていますけど、イベントをやって、そこで優秀な人を採用すると、これはこれでいい方法だなというふうに思いながら、こういうことをやりながら人材確保をしていくということで、受けるというか、受動的なところから主導へ意識転換をしながら進めていく必要があるんじゃないかなというふうに思いますが、高市総務大臣のお考えをお聞かせいただきたいと思います。

-------------------

知ってますか?『攻殻機動隊』

ishigamitoshio.com

20190419「資料7」(石上事務所作成)

○国務大臣(高市早苗君) 二〇一二年のロンドン大会は、開会式の直前にスタジアムの電力制御システムへの攻撃情報を入手したということで、急遽電力操作を手動で行う体制を確保したということを始めとして多くの対策は取られたと聞いております。
 
 今度、二〇二〇年の東京オリンピック・パラリンピック競技大会ですが、二〇一二年から八年たっていると。ICTの世界では、八年というと、場合によってはもう数十年分に相当する進展があると思いますので、もうロンドン大会を上回る万全の体制を取っていかなきゃいけません。
 
ishigamitoshio.com

 その中でも、高度で実践的なサイバー攻撃に対する対処能力を持つ人材の育成が不可欠でございます。先生の資料の中にもございますし、先ほど配付資料の中で世界のサイバー演習というページにも書いていただいておりましたけれども、総務省としては、二十八年度からNICTで東京大会の運営に必要なシステムを模擬可能な大規模クラウドの環境、サイバーコロッセオというのを用意します。つまり、攻撃側レッドチームと防御側ブルーチームによる対戦形式の演習でございます。その中で、東京オリンピック・パラリンピック競技大会組織委員会を中心に、攻撃も体験していただける高度なサイバー演習に御参加をいただく予定です。

ishigamitoshio.com

20190419「資料7」(石上事務所作成)
 
 つまり、組織委員会の方々にも攻撃者の視点を学んでいただくということによって高度な防御能力を身に付けるということが可能になると思いますので、NISCとも連携しながらしっかりとサイバーセキュリティーの確保に尽力をしてまいります。

○石上俊雄君 

ishigamitoshio.com

 二〇二〇年は様々な技術を総結集して開催されるものだというふうに思いますので、ICT等を駆使したものになるわけでありますから、是非万全の体制を組んでいただければと、そういうふうに思います。
 
 それでは、次のテーマでございますが、データセンターの地方分散化について質問させていただきたいと思いますが、今回、データセンターを地方に分散させるというこの基本的な考え方については、ああ、いいなというふうに思います。しかし、現状がどうなっているかというのをちょっと考えてみると、ちょっと今の状況ではどうなのということになるわけであります。
 
 そこで、資料の八の①、示させていただきましたが、データセンターの今どんな感じの売上げになっているのということでございます。

-------------------

聞いてビックリ、見てビックリ!
クラウドの役割が少ない日本のデータセンター実情

ishigamitoshio.com

20190419「資料8」(石上事務所作成)
 
 これ、ちょっと見ていただくと、えっと思うんですが、半分以上がハウジングなんですね。ハウジングというのは、建物をお貸しして、そこの中に自分のサーバーを持ってきて置くという、こういうスタイルですね。ホスティングというのがサーバーもお貸ししますという、サーバーを借りてということでありますね。こういうことなんですね。したがって、何で地方に広がらないのというと、いやいや、今はこうだから、ハウジングが半分以上だからということですよ。だから、ここを何とかせぬと地方分散といっても広がっていかないじゃないですかと。

ishigamitoshio.com
 
 じゃ、何をサーバーに保管するのということです。やっぱりこれ、行政とか地方自治体が持っている基本的な、何というか、地域を管理するための基本的なデータがあるわけですから、それをバックアップを取らないといけない。災害があったときに全部なくなっちゃ困るわけですから、そういったものをサーバーに入れるわけです。入れるんですけれども、なかなかまだ。だから、入れたらどうなるのと、俺たちに対して。管理がやりやすくなるとか、何か障害で絶対消えないとか、障害があっても復旧できるとかというところをしっかり示していかないと、ちょっとした税制の優遇だけだと多分広がっていかないと思うんですよね。
 
 ですから、こういうところも考えながらやっていかないといけないと思うんですけれども、総務省としてはどういうふうにお考えなのか、教えていただけますでしょうか。

ishigamitoshio.com

○政府参考人(福岡徹君) お答えを申し上げます。
 
 委員の御指摘のとおり、総務省といたしましても、バックアップのことも含めまして、首都圏に集中しておりますデータセンターを地方に分散していくということが必要であろうと考えておりますし、その際に地方へのバックアップの必要性を喚起していくということがこの施策の実効性を高める上でも課題の一つだというように考えております。
 
 これもまた御指摘のように、これまで首都圏からのバックアップにつきましては税制支援措置を設けたりもしてきているところでございますが、今回新たに地域におけるデータセンター整備への助成の支援を設けたいと思っています。これに併せまして、今御指摘いただきましたバックアップの在り方あるいはそれの要件、そういったような問題をどうしていったらいいのかというようなことも十分念頭に置きつつ、バックアップの重要性や必要性について、データセンターの関係事業者はもとより、広くその利用者に対しても喚起していくためのいろんな方策についてしっかり検討してまいりたいと思っております。

ishigamitoshio.com

20190419「資料8」(石上事務所作成)

○石上俊雄君 まずは、行政というか自治体が持っているデータをバックアップする体制をしっかりつくるということが、そこからだんだんと始まっていくんでしょうけれども、究極はやっぱりクラウドというか、この写真にもあるんですけれども、資料八の②、こっちの右側の方の写真というのはもうクラウドなんですね。だから、今後の日本としてこの産業をどういうふうに考えるかでそのデータセンターとかの広がりがちょっと変わってくるような気がするんですけれどもね。だから、そこも含めて考えていただく必要があるのかなと、そういうふうに思います。
 
 そして、それをやるためには、やはり報道によるところもあるんですが、地方分散を阻害している要因として地方と首都圏を結ぶ通信回線の容量に問題があるんじゃないかとも言われているわけであります。要は、北海道の涼しいところにサーバーを持ってきたんだけれども、なかなか通信回線が細くて十分なデータ量が来れないとなると、これなかなか駄目なんですよ。しかし、単発で行くとお金が掛かる話ですから、回線を引くキャリアさんにとってもメリットがなければやりませんから、その辺というのは何か集中化させて、地域を、そして、これやるんだから、じゃお願いねというような、そういう交通整理というか旗振り役というか、そういうことをやっていかないと一向に、多分ちょっとこれ、分散というのはできないと思うんですね。
 
 是非、そういう旗振り役、そういう協議の場というのを総務省として検討したらいかがかなと思うんですが、どうでしょうか。

ishigamitoshio.com

○政府参考人(福岡徹君) お答えを申し上げます。
 
 まず、御指摘をいただきましたクラウドという点につきましては、特に地方立地の関係につきましては現在まだ少ないわけですけれども、ホスティング等、ハウジング等と比べますと、非常時に利用企業がすぐに駆け付けなくちゃいけないという場合とはちょっと異なるということもございます。そういったこともありまして、現にクラウドサービスの提供拠点として地方に大規模なデータセンターを設置しているという例も現実にはございます。今後、クラウド型のデータセンターがまた更に地方も含めて普及していくことも期待しているところでございます。
 
 それから、御指摘のそのデータセンターの設置に当たって必要な通信回線容量が確保されているということは、まあそのほかにも電源供給の安定的な供給等いろいろございますが、一つの要件として重要なものだと考えております。
 
ishigamitoshio.com

 総務省といたしましては、かねてより光ファイバー網の全国整備に取り組んできているというところではございますけれども、これもまた今回設けられる支援措置と相まって、御指摘の通信回線容量の点も一つの論点といたしまして、様々な環境整備のための旗振り役という御指摘もございましたが、そういったことも含めてしっかりやっていきたいと考えております。

○石上俊雄君 大変、地方に分散させていくというのはいいことだと思いますので、やり方というか、うまく皆さんが乗ってこれるような方向性を見出していただくためにお力添えというか御尽力をいただければと思います。

ishigamitoshio.com
 
 続きまして、最後の質問になっていきますが、IoTテストベッドの整備について、この視点で質問をさせていただきますが、テストベッドって何なのというところで、いろいろちょっと、私も余り経験がないものですからイメージ湧かないんですが、全国十か所程度テストベッドを設置するというふうに検討しているというふうにお聞きします。

-------------------

先頭を走る世界の企業はここで勝負を始めている!
~米国のインダストリアル・インターネット・コンソーシアムではすでにガンガンに始まっている各種テストベッド~

ishigamitoshio.com

20160419「資料9」(石上事務所作成)
 
 海外のところのものを見ていくとどうかというと、この九の②ですね、そこのインダストリアル・インターネット・コンソーシアムの各種テストベッドって、これインテルとかシスコシステムとかGEさんとかが設立したもので、今は加盟しているところは二百社ぐらいあるらしいんですね。テストベッドというのはそれぞれ専門性のところ、一つはその右側のスマートグリッドの関係とか、こっちはセキュリティー関係、右下が航空機の製造における各種ツールの追跡システムとか、こういうふうに用途的に分かれているんです。

ishigamitoshio.com

20160419「資料9」(石上事務所作成)
 
 今回、一番重要なのは、テストベッド、何が重要かというと、多分ICTと何を掛け合わせるかということで決まってくると思うんですね。今、だから総務省さんとしては、同じテストベッドを十か所つくるのかなというのがちょっと分からないんですね。これ、別々な機能のものを、やっぱりそれぞれ特徴があるものをつくっていかないといけないというふうに思っているんです。

ishigamitoshio.com

ishigamitoshio.com
 
 ですから、こういうことをしっかりやりながら、是非、日本のICTとかIoTというのを拡大、推進するために、ICTと何を掛け合わせるか、ここに書いてありますよね、総務省さんが書いていただいたやつですが、ヘルスケアとか衣料品メーカーさんとか、そういう専門的なところで是非対応いただきたいというふうに思いますけれども、このことに対しての高市総務大臣の御認識と意気込みをお伺いしたいと、そういうふうに思います。

○国務大臣(高市早苗君) 

ishigamitoshio.com

 テストベッドってなかなか一般的になじみのない言葉かと思いますけれども、複数の企業が共同で新たなサービスを提供する場合に、その技術の開発をしたり、また検証を行うための施設でございます。
 
 このIoTの時代には、従来の通信事業者やICTベンダーといったいわゆるICT企業と、それから、例えば衣料品メーカーですとかヘルスケアメーカーなど、ICTを利用する立場だったいわゆるユーザー企業が異業種連携することで何か新しい革新的なサービスが生み出される、展開されるというその環境を、実証のための環境をつくっていくということですが、委員がおっしゃったテストベッドで扱うテーマなんですけれども、沖縄オープンラボラトリのように、あそこは特定の技術というものに着目するものもあれば、衣料、ヘルスケア、あとは農林水産業、観光ですとか、そういった特定の分野に着目するというものも考えられると思います。ですから、ICTと掛け合わせるテーマですとかニーズの掘り起こしというのは、もうおっしゃるとおり極めて重要なものでございます。
 
ishigamitoshio.com

 ですから、NICTがこれまでの新事業支援のノウハウを生かしてテストベッド支援をするということによりまして、日本の各地域が抱えている固有の課題ですとか産業の特徴ですとか、これまでの経験ですとか人材ですとか、そういった様々なものに応じたテストベッドが整備されて、各地域のテストベッドが今度はいい意味で競争をして更にすばらしいサービスが生み出される、こういった姿を期待しながら取り組んでまいります。

○石上俊雄君 時間が来ましたので、質問を終わります。是非、総務大臣、よろしくお願いします。

ishigamitoshio.com
 
 ありがとうございました。

○委員長(山本博司君) 他に御意見もないようですから、討論は終局したものと認めます。これより採決に入ります。国立研究開発法人情報通信研究機構法及び特定通信・放送開発事業実施円滑化法の一部を改正する等の法律案に賛成の方の挙手を願います。

ishigamitoshio.com

ishigamitoshio.com

   〔賛成者挙手〕

○委員長(山本博司君) 多数と認めます。よって、本案は多数をもって原案どおり可決すべきものと決定いたしました。なお、審査報告書の作成につきましては、これを委員長に御一任願いたいと存じますが、御異議ございませんか。
   〔「異議なし」と呼ぶ者あり〕

○委員長(山本博司君) 御異議ないと認め、さよう決定いたします。本日はこれにて散会いたします。

以上

--------------------------------

【本日の委員会内容の振り返り】

--------------------------------

■■■委員会配布資料1(石上事務所作成)■■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■■委員会配布資料2(石上事務所作成)■■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■■委員会配布資料3(石上事務所作成)■■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■■委員会配布資料4(石上事務所作成)■■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■■委員会配布資料5(石上事務所作成)■■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■■委員会配布資料6(石上事務所作成)■■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■■委員会配布資料7(石上事務所作成)■■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■■委員会配布資料8(石上事務所作成)■■■
ishigamitoshio.com

--------------------------------
--------------------------------

■■■委員会配布資料9(石上事務所作成)■■■
ishigamitoshio.com

--------------------------------

【質問要旨】
20160419「質問要旨」(石上事務所作成)
20160419「質問要旨」(石上事務所作成)

20160419「配布資料」(石上事務所作成)
20160419「配布資料」(石上事務所作成)

--------------------------------
  
グローバル競争
やらないと、やられるぞ...

1|2|3|4|

« 2015年9月 | 国会質問 トップへ | 2016年11月 »

文字のサイズ

文字サイズ・小 文字サイズ・中 文字サイズ・大