現在、2022年8月1日から2022年8月31日までの期間で、「宮城県議会の保有する個人情報の保護に関する条例(案)」に対する意見の募集(パブリックコメント)が行われていますが、この条例案が来年4月に施行されると、住民の個人情報の保護が大きく後退し、地方自治体の自主性や自立性が損なわれる危険性があります。
今回の記事内容
◆ 宮城県議会の保有する個人情報の保護に関する条例(案)への私の意見
◆ 地方自治体がもつ県民の個人情報が危ない!
この条例案の問題点を、天下みゆき宮城県議会議員が簡潔にまとめています。
◆ 地方自治がないがしろにされる
第263回宮城県個人情報保護審査会の資料では、今まで 各地方公共団体が、それぞれ独自に定めた個人情報保護条例で管理していた住民の個人情報を、個人情報保護委員会が、国の共通ルール(新個人情報保護法)で一元的にコントロールしていくことが図示されています。
第264回宮城県個人情報保護審査会の「資料1 制定の趣旨」 にも、
現行の個人情報保護条例(平成8年宮城県条例第 27 号。以下「現行条例」という。)を廃止するとともに,法で委任された事項及び条例で定めることが認められた事項を規定する「(仮称)個人情報の保護に関する法律施行条例(以下「施行条例」という。)」を制定します。
とあります。
現行の自治体が自ら制定した個人情報保護条例は廃止し、「法で委任された事項」と「条例で定めることが認められた事項」を規定する新たな条例を制定するというのですから、住民の個人情報を保護するという地方自治体の重要な任務の主導権は、一括して国に召し上げられ、ごく限られた範囲での裁量権しかなくなる自治体は、国の下部組織として委任されたことを実行していくにすぎない存在になってしまいます。
これでは、地方自治は国から独立した団体に委ねられ、住民の意思に基づいて行われるという地方自治の本旨が守られません。
第八章 地方自治
地方公共団体に関する制度の策定及び施策の実施に当たつて、地方公共団体の自主性及び自立性が十分に発揮されるようにしなければならない。(地方自治法 第一条の二②より)
◆ 行政のデジタル化と自治体が抱える課題について
「川口市と日本を想う ふじしまともこのブログ」の<行政のデジタル化と自治体が抱える課題について>という記事では、「行政のデジタル化」をめぐるこれまでの経緯と様々な懸念点が、より詳細にわかりやすく述べられていますので、是非ご一読いただければと思います。
この記事の内容で特に重要と思われる3点について、箇条書きにさせていただきます。
① AIだけでは、的外れな回答になってしまったり、複合的な相談内容には対応できない。デジタル化は、あくまでも職員の補助手段として活用してもらいたい。
② デジタルは、停電や水没に弱い。災害時を考えて、アナログ対応もできるようにしておいたほう安全。
③ デジタルに係る幹部職員、専門職員は、「任期の定めのない 常勤職員」として採用し、「全体の奉仕者」としての職務に専念 できるようにすべき。
非常勤職員や業務委託契約のスタッフの場合、地方公務員法が適応されないので、公務の公正性が確保されない。また、兼任の場合、企業からもらう報酬が多ければ、企業のために働くことになりかねない。
◆ 条例案の11月県議会提出までのスケジュール
◆ 宮城県議会の保有する個人情報の保護に関する条例(案)への私の意見
1.個人情報の取扱い従事者に関すること
(従事者の義務)
第十条 個人情報の取扱いに従事する職員若しくは職員であった者、前条第二項の業務
に従事している者若しくは従事していた者又は議会において個人情報の取扱いに従事
している派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に
関する法律(昭和六十年法律第八十八号)第二条第二号に規定する派遣労働者をい
う。以下この条及び第五十三条において同じ。)若しくは従事していた派遣労働者
は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な
目的に利用してはならない。
ここでは、個人情報の取り扱い従事者である職員と派遣労働者の義務について述べられていますが、上記のふじしまともこさんのブログにもあったように、非常勤職員や派遣労働者には地方公務員法が適応されませんので、住民全体のために奉仕する公の従事者としての責務を確保することができません。
個人情報を保護するという重要な公の業務を担うのに見合った待遇改善や教育システムを構築する旨の規定を条例案に組み込むべきだと思います。
また、兼務や業務委託契約で企業から大きな報酬を受けている従事者が、住民よりも企業に利するような行為におよぶことを阻止するような仕組みを規定に盛り込むべきです。
2.大規模な情報漏洩等のリスク管理について
この条例案には、次のような罰則規定がありますが、
第六章 罰則
第五十三条 職員若しくは職員であった者、第九条第二項若しくは第十五条第五項の委
託を受けた業務に従事している者若しくは従事していた者又は議会において個人情
報、仮名加工情報若しくは匿名加工情報の取扱いに従事している派遣労働者若しくは
従事していた派遣労働者が、正当な理由がないのに、個人の秘密に属する事項が記録
された第二条第五項第一号に係る個人情報ファイル(その全部又は一部を複製し、又
は加工したものを含む。)を提供したときは、二年以下の懲役又は百万円以下の罰金
に処する。
第五十四条 前条に規定する者が、その業務に関して知り得た保有個人情報を自己若し
くは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役
又は五十万円以下の罰金に処する。
第五十五条 職員がその職権を濫用して、専らその職務の用以外の用に供する目的で個
人の秘密に属する事項が記録された文書、図画又は電磁的記録を収集したときは、一
年以下の懲役又は五十万円以下の罰金に処する。
第五十六条 前三条の規定は、都道府県(市町村)の区域外においてこれらの条の罪を
犯した者にも適用する。
大規模で致命的な情報漏洩や住民に大きな不利用が生じるような事態は、想定されていないような印象を受けます。そういったことが起きないようにするためのリスク管理や万が一起きてしまった際の対応などについての詳細な規定が必要です。
3.情報の匿名加工に関するリスクについて
(匿名加工情報の取扱いに係る義務)
第十六条 議会は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、
当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個
人情報から削除された記述等若しくは個人識別符号若しくは法第四十三条第一項の規
定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情
報と照合してはならない。
2 議会は、匿名加工情報の漏えいを防止するために必要なものとして議長が定める基
準に従い、匿名加工情報の適切な管理のために必要な措置を講じなければならない。
3 前二項の規定は、議会に係る匿名加工情報の取扱いの委託(二以上の段階にわたる
委託を含む。)を受けた者が受託した業務を行う場合について準用する。
「2 議会は、匿名加工情報の漏えいを防止するために必要なものとして議長が定める基
準に従い、匿名加工情報の適切な管理のために必要な措置を講じなければならない。」とありますが、「議長が定める基準」は、県民はどこで確認したら良いのでしょうか?
匿名加工情報は、企業等に提供して利活用することが前提で作成されるのですから、 プライバシー侵害が生じないか、技術的対応能力が十分かなどの検証と、加工結果の チェック体制についての規定もこの条例に組み込むべきです。
あわせて、匿名加工情報提供事業者名を公表するなど、適正な利用がなされているか どうかの監視と不正利用の告発制度を規定し、官民癒着の防止に努めるべきです。