第7号 令和8年5月14日(木曜日)
令和八年五月十四日(木曜日)午前九時開議
出席委員
委員長 丹羽 秀樹君
理事 安藤たかお君 理事 上川 陽子君
理事 斉木 武志君 理事 田畑 裕明君
理事 橋本 岳君 理事 早稲田ゆき君
理事 阿部 司君 理事 日野紗里亜君
青山 周平君 畦元 将吾君
石井 拓君 井原 巧君
岡本 康宏君 尾花 瑛仁君
加藤 貴弘君 川崎ひでと君
繁本 護君 鈴木 拓海君
高橋 祐介君 田宮 寿人君
辻 秀樹君 西野 太亮君
古井 康介君 穂坂 泰君
丸田康一郎君 宮内 秀樹君
森原紀代子君 山本 深君
山本 大地君 犬飼 明佳君
大森江里子君 山崎 正恭君
原山 大亮君 横田 光弘君
西岡 義高君 谷 浩一郎君
武藤かず子君
…………………………………
デジタル大臣政務官
兼内閣府大臣政務官 川崎ひでと君
参考人
(東京大学名誉教授)
(一般社団法人次世代基盤政策研究所代表理事) 森田 朗君
参考人
(弁護士法人英知法律事務所弁護士) 森 亮二君
参考人
(独立行政法人情報処理推進機構AIセーフティ・インスティテュート所長) 村上 明子君
参考人
(日本労働組合総連合会総合政策推進局長) 小原 成朗君
衆議院調査局地域活性化・こども政策・デジタル社会形成に関する特別調査室長 山本 麻美君
―――――――――――――
委員の異動
五月十四日
辞任 補欠選任
石井 拓君 岡本 康宏君
井原 巧君 森原紀代子君
谷川 とむ君 青山 周平君
原山 大亮君 高見 亮君
高山 聡史君 武藤かず子君
同日
辞任 補欠選任
青山 周平君 山本 大地君
岡本 康宏君 石井 拓君
森原紀代子君 井原 巧君
武藤かず子君 高山 聡史君
同日
辞任 補欠選任
山本 大地君 谷川 とむ君
―――――――――――――
本日の会議に付した案件
情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案(内閣提出第五三号)
個人情報の保護に関する法律等の一部を改正する法律案(内閣提出第五四号)
――――◇―――――
○丹羽委員長 これより会議を開きます。
内閣提出、情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案及び個人情報の保護に関する法律等の一部を改正する法律案の両案を議題といたします。
本日は、両案審査のため、参考人として、東京大学名誉教授、一般社団法人次世代基盤政策研究所代表理事森田朗君、弁護士法人英知法律事務所弁護士森亮二君、独立行政法人情報処理推進機構AIセーフティ・インスティテュート所長村上明子君及び日本労働組合総連合会総合政策推進局長小原成朗君、以上四名の方々に御出席をいただいております。
この際、参考人各位に一言御挨拶を申し上げます。
本日は、御多用のところ本委員会に御出席いただきまして、誠にありがとうございます。参考人各位におかれましては、それぞれのお立場から忌憚のない御意見をお述べいただきたいと存じます。
次に、議事の順序について申し上げます。
まず、参考人各位からお一人十分程度で御意見をお述べいただき、その後、委員からの質疑にお答えいただきたいと存じます。
なお、念のため申し上げますが、御発言の際はその都度委員長の許可を得て発言していただくようお願い申し上げます。また、参考人は委員に対して質疑をすることはできないことになっておりますので、あらかじめ御了承願います。
それでは、まず森田参考人、お願いいたします。
○森田参考人 おはようございます。森田でございます。
本日は、このような機会をいただきまして、大変感謝しております。
本日は、データ利活用制度・システム検討会の座長を務めまして、同研究会において本法案の基となりましたデータ利活用制度の在り方についての審議に参加してきた立場から、お手元に資料があると思いますけれども、一ページに示しましたように、第一に、我が国におけるデータ利活用の現状と課題、第二に、本法案の意義と本法案に対する期待、そして第三に、更なるデータ利活用の推進に向けた展望、この三点について意見を述べさせていただきます。
まず一点目、本法案の背景となっております、我が国におけるデータ利活用の現状と課題についてです。
近年は、AI開発を始めといたしまして、デジタル技術が急速に進む中で、データ利活用に対するニーズが社会の各方面で高まってきております。現代社会において、国民や社会に関する様々なデータは、政府における政策形成はもちろんのこと、国民生活の質を向上させるために、また、利便性を高めるための様々な事業であるとか活動の貴重な資源と考えられます。
特に、今日、AIは社会の様々な場面で利用が進んでおり、人材の不足が懸念される現代社会において、ますますその活用、普及が期待されるところだと思います。
このAIは、質の高いデータを大量に学習させることによってその性能が向上することから、基盤となる信頼のできるデータの集積、利活用、特に、組織を超えて広く共有できる仕組みや官民連携によるデータの利活用を推進することが必要です。他方、このようなデータは個人情報を含むことから、その適切な取扱いも確保していくことが重要と考えられます。
しかし、これまでの我が国では、データ連携、利活用の重要性は認識され、基本理念の策定や一部の分野における取組は進められてきたものの、必ずしもデータ連携、利活用の取組を社会全体で推進するための横断的かつ具体的な仕組みの整備は進んでいるとは言えないと思います。
この点、諸外国、例えばEUにおきましては、個人情報等のデータ保護とデータ利活用を両立させながら、公共サービスの高度化や経済成長、国民の利便性向上につなげるためのデータ利活用の制度の整備が進められております。
資料の二、三ページに示しましたように、EUでは、多くの分野でデータの利活用を推進するため、各分野のデータに共通した、例えば個人情報保護を目的とした一般データ保護規則、GDPRと言われておりますが、そのGDPRを始め、データ法、データガバナンス法などの共通ルールを定めた分野横断的法制度と、また、データスペースと呼ばれておりますが、分野ごとのデータの特性に応じた個別分野の法制度をマトリックス状、格子状に構成することで、体系的にデータ保護を図りつつ、かつ、利活用を推進する制度の構築を図っております。
二ページ目は、EUの資料からコピーしたデータスペースの構成です。そのようなデータスペースが領域ごとに作られる、そのように言っております。また、三ページ目は、先ほど申し上げましたマトリックス構造のイメージを示したものでございます。
他方、我が国におきましては、データの保護について個人情報保護法等が、またデータ利活用について官民データ活用推進基本法や医療分野における次世代医療基盤法が整備されてはいるものの、分野横断的なデータ利活用に関する作用法としての法制度はまだ未整備と言えます。
我が国においても、AI開発を始めデータの利活用による社会の利便性の向上を図るためには、分野横断的なデータ連携、利活用を促進するための具体的な制度整備が必要と考えます。そして、更に各分野の特性に応じて個別分野の法制度の整備を進め、四ページの図に示しましたように、EUと同様に、分かりやすく体系的なマトリックス状の制度の形成を目指すべきではないかと考えます。
本法案は、こうした問題意識の中で、令和六年十二月、データ利活用制度・システム検討会を計十六回開催いたしまして、その過程において、事業者等のヒアリングを含む議論を経て策定されたデータ利活用制度の在り方に関する基本方針の内容を踏まえて検討が進められてきたものです。
なお、五ページ、六ページは、データ利活用制度・システム検討会で示されました我が国の現状とこれから目指す状態のイメージ図でございます。
そこで、次に、二点目といたしまして、本法案の意義と本法案に対する期待について述べさせていただきます。
本法案は、行政機関等が保有するデータを利活用し、国民の利便性の向上を図ることを目的として、必要な事項を定めたものです。
データの利活用は国民社会に大きな恩恵をもたらすものではありますが、その前提といたしまして、個人情報の保護やデータの適切な取扱い、安全管理など、データ利活用に当たってのガバナンスや透明性の確保が不可欠です。
そこで、第一に、本法案では、国が指針を示した上で、データ利用を行おうとする者の事業計画の認定を行うこととしており、国民にとっては大きな信頼、安心感を得ることができると考えられます。
第二に、これまでは、データの利活用を推進する事業者にとって、特に個人情報を扱う新たな事業については、既存法令との関係を懸念してなかなか一歩を踏み出せないといったケースが見受けられたところでございますが、デジタル庁と個人情報保護委員会とで協議しながら認定を行う仕組みとしていることから、データの利活用について、それを推進する立場と監督する立場とが共同して制度の運用を進めていくものであり、保護と利活用のバランスの取れた制度となっていると考えます。
第三に、先ほど述べました指針は、基本的には認定を行う際の基準として機能することとなり、我が国におけるデータ利活用に関して一定の法的根拠を持って策定される文書といたしまして、これが各主体間のデータ連携のデファクトスタンダードとして機能することも想定されます。
したがいまして、この指針を今後どのように作成していくかが大変重要だと考えます。具体的には、データガバナンスであるとかデータセキュリティー、データの標準化などについて示されていくものと考えられ、多様なステークホルダーとの協議を経て策定されることを期待しているところでございます。
このような内容のこの法案については、これまで分野横断的なデータ利活用に関する法制度が未整備であった我が国において、その基本的な方向性を指針において国が示しつつ、認定に当たっても保護と利活用の両立が図られるような仕組みが盛り込まれており、今後のAI開発を始めとする、安全、安心なデータ利活用が広がっていくための最初の重要な一歩になると期待しております。
最後に、三点目、更なるデータ利活用の推進に向けた展望について述べさせていただきます。
この法案は、多様な分野に共通したデータ利活用のための分野横断的な制度について定めるものですが、データの特性、利活用の在り方は分野ごとに異なっております。安心してデータの保護と利活用の両方を推進していくためには、そうした個別分野の特性に応じて、その分野固有の事情等を考慮した適切な規律を設けることが必要です。そうした個別分野ごとの制度を設けることで、我が国全体でのデータ利活用の推進が一層図られることが期待されます。
例えば、金融、交通、医療等の個別分野におけるデータ利活用の制度を整備することで、より体系的かつそれぞれの分野に適した利活用が実現することになると期待されます。
先ほど述べましたEUでは、近年、シェーピング・ヨーロプス・デジタル・フューチャー等の戦略に基づき、GDPRを筆頭に、デジタルサービス法、デジタル市場法、データ法、AI法などの分野横断的な法を制定するとともに、昨二五年には、医療分野の包括的かつ体系的データ利活用を定めたEHDS、ヨーロピアン・ヘルス・データ・スペース法を制定しております。
このような体系的で明確な法体系ですが、分野横断的な立法が多くなり、かつ個別分野法も作られるとなりますと、例えばデータ利用のための許可申請等の行政手続が大変複雑になると考えられます。そこで、最近では、手続を簡略化し、共通手続を定めるデータオムニバス法を制定する動きが見られます。複雑で進歩が速いデジタルの世界で、確実にデータ保護を図りつつ、最大限データ利用を推進するためには、体系的で分かりやすい法制度が追求されていると考えられます。
このようなEUの動きを見る限り、我が国も、それに遅れることなく制度化を推進していくことが必要と考えます。
今回の法案によりまして、データ利活用の推進とリスクへの対応をバランスよく両立させながら、AI開発やデジタル技術の活用が進むことで、急激な人口減少社会においても、人手不足や生産性の低迷といった諸課題を克服し、持続可能で豊かな社会を実現するとともに、一人一人の生活の質を向上させ、個人の幸福、自由が達成する社会になることを期待しております。
私からの意見は以上でございます。ありがとうございました。(拍手)
○丹羽委員長 ありがとうございました。
次に、森参考人、お願いいたします。
○森参考人 弁護士の森でございます。
本日は、お招きいただきましてありがとうございました。
私は、個人情報保護法の改正法案の方について御説明をさせていただきます。
課題と留意点というタイトルになっておりますが、まず、改正法案全体の評価ということでございますけれども、本改正は、保護と利活用双方にわたる多くの新しい制度を導入する大改正でございます。これまで懸案となっていた課徴金、それから生体情報の保護等を盛り込んだ点で、高く評価できると考えます。
もっとも、本改正には課題や留意点も多く存在いたしまして、これらについては、下位法令やガイドラインによって手当てをし、又は今後の立法的課題として認識されるべきものであろうかと思います。
まず最初に、統計等の特例についてお話をいたします。
次のスライドですけれども、本改正の目玉として、統計等の特例、利活用の条項が入っておりますが、現行法では、目的外利用をする、要配慮個人情報を取得する、第三者提供をするといった場合に、いずれも本人の同意が必要となっております。これについて、統計やそれと同視できるようなAI開発に利用されることが決まっている場合には、これらの同意を不要とする、そのような提案でございます。
そして、この適用の対象となる統計作成等の行為は、安全なものとして委員会規則で定めるものに限るということになっております。
さらに、特例の適用の条件として一定のガバナンスについても規定されておりまして、プレーヤーが一定事項を公表すること、それから、収集したデータの目的外利用、第三者提供を禁止するということになっております。
次のスライドは条文の御紹介ですけれども、統計作成とはと赤いところになっておりまして、これこれの行為のうち、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものをいうとなっておりますので、要は、この規則が重要、規則をどういうふうにするかということが重要であるということです。
そんなことでお話をしていきますけれども、おめくりいただきますと、統計作成等の内容、まず統計の方でございますが、これは、公的統計と同程度の安全性があるもの、再識別が不能であるものにすべきではないかと考えます。
次に、AI開発の方ですけれども、ここで御注意をいただきたいのは、基盤モデルの学習プロセスというのは匿名化のプロセスではないということでございます。学習用データが個人情報の場合、これを学習させると、モデルの方は個人情報で自動的にはなくなる、そのようなものではないということに御注意をいただきたいと思います。
したがいまして、統計と同等の安全性を確保する、そのためには学習用データ自体の匿名化が必要でございます。具体的には、提供の場合、提供して、統計等作成者が、モデルの開発者が受ける場合には、提供元での適切な匿名化、取得の場合には取得直後の適切な匿名化が必要ではないでしょうか。
もちろん、匿名化ということになりますと、手間はかかるわけですけれども、手間よりも安全性の方が重要ではないかと思いますし、また、手間をかけずにやる方法というのもあるのではないかと思っております。
次のスライドでございますが、特例適用の際のガバナンスのことでございますが、一定の事項を公表させる、それから目的外利用、第三者提供を禁止するということだけで十分かということについては疑問がございます。
特に、義務を課すということなんですけれども、義務だけあってもこれは駄目でございまして、やはり義務を守れるリソース、能力、そういったものがなければいけない、そういうもののある事業者にやっていただきたいということです。誰でも手を挙げることができるのは危険ということでございます。
そのような観点から、委員会規則で定める公表事項は、その公表事項から、統計を作成する、AIを開発する人のガバナンスが推測できるような工夫がなされるべきでありまして、例えば、統計等作成者の組織体制、それから統計等作成に係る内部ルール、知見を有する人員がどうなっているか、また統計の安全性、秘匿処理とかそういったことに関する事項、こういったものを広く公表してもらうのがいいのではないかと思います。
次のスライドですけれども、そして、そのような広い公表を前提といたしまして、提供元、その人にそのデータを提供する人は、それらの情報を見た上で、統計等作成者として適切なガバナンスを有していると合理的に判断できる場合に初めてデータ提供をする、そのような義務づけをすべきではないかと思います。ああ、この人は間違いない人だなというふうに公表事項から判断できれば提供してよい、そうでなければ提供してはいけませんよとしていただくのがいいのではないかと思っております。
また、提供元のガバナンスとして、提供に先立って、本人にオプトアウトの機会を提供するということが考えられます。特に要配慮個人情報の提供については、これは受容性も余り高くないということが考えられますので、オプトアウトの機会提供を義務とすべきではないかと思います。
次のスライドですけれども、若干違うお話になるわけでございますが、統計等の特例につきましては、集団的なプライバシーということを考える必要があるのではないかと思っております。この特例によって様々な統計を作ることができる、有用な情報を作ることができると思いますけれども、その結果として、特定の属性とネガティブな結果を結びつける推論も多数生成される可能性があります。
例えば、一番、深夜にコンビニを利用する、二番、特定のサイトを毎日閲覧する、三番、週三日以上、深夜二時以降に飲酒する人は支払い遅延率が高いということですね。このようなもの、このような推論、これはでたらめですけれども、私は大体これに当てはまっておりますが、住宅ローンをちゃんと契約どおりお支払いしておりますけれども、こういうもの。
このような、顕著とは言えず、本人にも自覚されにくい行動特性、属性を有する人を多少なりとも差別的、不利益に扱うことは、結果的には大きな権利利益の侵害につながる、そのおそれがあるということでございます。
したがいまして、本特例により作成した統計結果を個人に当てはめることは禁止すべきではないかと思います。
実のところ、おめくりいただきまして、このような一定の統計的な推論を個人に当てはめる、これは日常的に行われていることでございます。例えば、三十代の未婚女性で料理に関する動画をよく見る人は旅行好きという、そのような統計的推論がありますと、この当てはめる人に対して旅行の広告を出す、これは普通に行われていることでございます。
しかしながら、本特例によって本人の同意なく収集される膨大なデータに基づいてAIが作り出す様々な推論については、やはり本人の不利益になり得るものも多く含まれるおそれがあります。その結果として、複数の属性、特性から成る非伝統的な被差別的集団を大量につくり出す可能性がございます。
他方で、現行法は不利益プロファイリング、差別的プロファイリングに対する規制が十分ではなく、また、それについての議論も十分とは言えません。このような状況の下では、一旦、本特例による推論の個人への当てはめを禁止しておくことに合理性があるのではないかと思います。
次に、連絡可能個人関連情報についてお話をいたします。
個人関連情報、これは、個人情報ではないわけですけれども、代表選手はクッキーにひもづくウェブの閲覧履歴、そのようなものをイメージしていただけばいいかと思います。これは大量に収集されまして、その人はどんなものを買いそうかという広告に利用されているわけですけれども、どんなものを買いそうかではなくて、もっと悪用されてしまうケースというのが出てきております。
例えば、我が国ではリクナビ事件、これは内定辞退率のプロファイリングをした事件ですけれども、米国ではケンブリッジ・アナリティカ事件、これはマインドハッキングに対する脆弱性のプロファイリングをした事件ですけれども、このような悪用された大きな事件がありまして、個人関連情報は、現行法では個人情報ではないものと整理をされておりまして、第三者提供されて個人情報になるという場面で初めて制限がかかるということになっておりました。つまり、悪用への対処はなされていなかったということですね。
そこで、今般この改正で、悪用される可能性がある場合、つまり、本人に連絡可能である場合について、新たに適正利用義務それから適正取得義務を課そうとする、誠にごもっともな提案であるわけでございます。
おめくりいただきまして、これは現行法の義務のまとめですけれども、この五番のところに個人関連情報に関する義務がありまして、第三者提供の一定の制限があったわけで、これだけだったわけですけれども、今回の提案で、この1の利用目的の三ポツの適正利用、2の適正取得の一ポツの不適正な手段で取得しない、これをかけていこうということでございます。
次のスライドは、ちょっと、条文の紹介ですけれども、省略をさせていただきまして、次も省略をさせていただきまして、十八枚目ですけれども、では、この個人関連情報のうち連絡可能なものということですけれども、例えば郵便が配達可能な住所、何丁目何番地何号が含まれるものが連絡可能個人関連情報とされておりますが、そもそも、このような何丁目何番地何号というのは、これは個人関連情報ではなく個人情報ではないでしょうかという疑問があります。
実のところ、これまで、このような住所も電話番号もメールアドレスもクッキーも、それ自体個人情報ではないというふうに整理されてきておりますが、これが果たして現代社会の状況に合致しているかということは大きな問題です。
このようなものは個人関連情報ではなく個人情報として整理した上で、適正利用義務、適正取得義務以外の個人情報に関する義務、例えば漏えいしないような措置をするとか、そういったものを課していくことが喫緊の立法的課題ではないかと思います。また、諸外国も多くの国でそのようになっております。こういった連絡可能個人情報は、個人情報として整理して、規制の対象にするということになっております。
次に、課徴金についてお話をいたします。
課徴金の導入は長らく懸案の課題でございまして、本法の令和二年改正のときにも、参議院の附帯決議で引き続き検討を行うこととされておりました。これを実現した本改正は高く評価されるべきものでありますが、他方で以下のような問題がございます。
まず、対象の範囲が狭過ぎるということですね。義務の範囲ですけれども、特に、要配慮個人情報の取得制限、それから目的外利用を対象外にするのは問題ではないでしょうか。これらの違反につきましては、重大な権利利益の侵害ということが生じる可能性のあるパターンです。
それから、おめくりいただきまして、ちょっと前半は省略いたしますが、後半の算定方法。これが違法行為によって得られた額となっているため、課徴金に本来期待される抑止力がないのではないかということでございます。ちょっと、これは利益と書いてしまいましたが、正確には額です、得られた額。仮に違法行為が発覚しても、課徴金を課せられたとしても、得られた額を吐き出せば済むということであれば、これはやはり違法行為を思いとどまる効果というのは低いと言わざるを得ないと思います。
特に、違法行為を防ぐ、権利利益の侵害を防ぐという観点からもこれは重要なんですけれども、同時に、違法行為で収益を上げようとするブラックな事業者と、行為の適法性に留意して事業展開を行う真っ当な事業者の間の公正競争という観点からも問題ではないかと思います。
最後に、団体訴訟についてお話をさせていただきます。
団体訴訟、今回の見直しについては見送ることとなりました。
しかしながら、今回の見直しの検討をいたしました検討会の報告書では、以下のように書かれていたわけでございます。委員会の体制面や人的資源、委員会は個人情報保護委員会ですね、体制面や人的資源にも限界はあり、必ずしも全ての違反行為に迅速かつ網羅的に対応できるとは限らない、こうした限界を踏まえると、より確実に救済を受けられる環境を整える、救済を受ける手段を多様化することが重要であると考えられるということでございます。
ここに書かれていますように、救済手段の多様化、確実に救済を受けられる環境を整えていくことは非常に重要なことは言うまでもないことでございますので、団体訴訟の導入は立法的課題であるということが改めて確認されるべきではないかと思います。
私の話は以上です。御清聴ありがとうございました。(拍手)
○丹羽委員長 ありがとうございました。
次に、村上参考人、お願いいたします。
○村上参考人 皆様、本日は、発言の機会をいただき、ありがとうございます。AIセーフティ・インスティテュートで所長をしております村上でございます。また、私は、SOMPOホールディングス並びに損害保険ジャパン株式会社でチーフデータオフィサーもさせていただいております。
私は、これまで、AIの開発者からキャリアをスタートいたしまして、AIソフトウェアの開発、事業会社でのAI活用、チーフデータオフィサーというデータの活用というところの立場、そして政府の立場と、AIに関わる様々なフェーズで関係しておりまして、私、現在では、チーフデータオフィサーとしてデータの利活用の最前線に立っております。また、政府、自治体関連といたしましては、人工知能戦略専門調査会の委員や、日本成長戦略のAI・半導体ワーキンググループ、デジタル・サイバーセキュリティワーキンググループの構成員なども務めております。さらに、経団連ではデジタルエコノミー推進委員会の企画部会長も担っております。
本日は、このような多様な立場から、また、メインではAIセーフティ・インスティテュートの所長として、特に、AI、技術、データに関して安全性の観点からお話をさせていただければと思います。
資料を御覧いただきますけれども、三ページ目を見ていただきますが、現在、AI開発をめぐる国際競争は極めて激しく、また、データ利活用の制度環境は企業や研究開発の競争力に直結していると言えると思います。単にAIを使っている、AIを持っているだけでは他国や他社との差別化はできず、真の競争力となるのは、データをいかに安全にAIとともに活用できるかという点に尽きるというふうに考えられます。
これから、またさらに、AIエージェントの時代においては、社内データなどをAIに読み込ませて回答を生成するRAG、検索拡張生成と呼ばれるものや、個別データにおけるファインチューニング、また、AI検索といった技術の活用が急速に拡大しており、膨大なデータの活用というものが不可欠になってまいります。しかし、その一方で、データの利用のたびにその都度個人に同意を得るということが実務上非常に困難であるというのが現場の実態でございます。
そうした中、今回の法制案では、統計情報等の作成にのみ利用されることが担保されている場合にのみ、本人の同意なく、個人データの第三者提供や、公開されている要配慮個人情報の取得を可能とする措置が盛り込まれました。個人情報保護委員会の資料についても、この統計作成等には、統計作成等整理できるAIの基盤モデルやアプリケーションの開発等も含まれているとされています。この点は、事業者によるAI開発を大きく後押しし得る極めて重要な一歩であると、実務家の立場からも高く評価しております。
四ページ目を御覧いただきますけれども、ここで少し、AIの安全性という観点からヒントを得たいと思います。
安全性の担保をするためのAIガバナンスというものについて、世界の潮流でございますけれども、ここに示しておりますように、AIの利用を過度に制限し禁止するゼロリスクから、リスクの大きさに応じて適切な制御を行うリスクベース、管理と活用についてのアプローチへと明確に変更しております。
例えば、欧州のAI法、EU・AIアクトと呼ばれるものでは、リスクレベルに応じた法的義務の階層化が行われております。また、米国のNIST・AIRMF、リスクマネジメントフレームワークでは、科学的知見に基づくリスクマネジメントというものが示されております。また、ISOなどのAIマネジメントの国際規格であったり、また、私が所属しておりますAIセーフティ・インスティテュート、これは各国にございますけれども、こちらも、安全性評価の技術的基準の策定というものもリスクベースで進んでおるところでございます。これらの共通する思想というものは、AIを止めるのではなく、リスクを正しく理解し、そのリスクに応じた、制御可能な状態に置いた状態で活用するという姿勢でございます。
当然、このリスクベースという考え方は、安全性に対する技術というものが非常に重要になってまいります。五ページ以降を御覧いただきますと、残念ながら、AIシステムには学習データを狙った情報収集攻撃などの多様なリスクが存在しております。お手元の五ページ目、これはAIモデルレベルでのプライバシー等の情報漏えいに対する対応を示しております。
そして、ページ六には、開発段階から運用段階に至るシステムレベル全体のリスクというものをお示ししております。ここでも示しておりますように、例として、プロンプトインジェクションと呼ばれる悪意のある入力によって内部データを引き出すといったような、様々なデータ漏えいに対するリスクというのがあるのが現在知られております。
しかし、こうしたリスクを回避するための技術というのも現在急速に確立しつつございます。五ページ目にございますけれども、情報漏えいを防ぐためには、大きく分けて、事前と推論時そして事後、学習データを入れる前の前処理、推論時の調整、そして出力された後の後処理という三つの段階での防御アプローチが取られております。
そして、特に重要となるのが、七ページ目を御覧ください。本人を識別できない形にデータを変換しつつ、データが持つ統計的な情報、インサイトを安全に得ることのできるプライバシー強化技術、PETsと呼ばれる一連の技術というものもございます。
具体的には、計算されたノイズをデータに意図的に与えることにより、個々のデータ、個々の木とありますね、つまり、個人は見えないけれども、森の形、全体の統計傾向というものを正確に把握できる状態をつくる差分プライバシーといった技術がございます。また、特定の情報を削除、置換して個人へのひもづけを遮断する匿名加工という技術もございます。さらには、実データの匿名的情報を模倣してプライバシーリスクをゼロにした仮想データを生成する合成データというもの、それから、データを各拠点に置いてセキュアなままモデルだけを賢くする連合学習、また、データを暗号化したまま中身を一切のぞかせずに計算処理を行う秘密計算などがございます。これらのPETsというものは、安全なデータ活用のための強力なガードレールであるというふうに言えると思います。
また、さらに、資料のページ八に示させていただきますように、AIの力自身を用いてガードレールをするというものも劇的に進化しております。入力された情報から個人情報を先にAIを用いて自動検知してマスキングする技術や、危険な入力を未然に防ぐフィルタリング、それから出力時に機密情報を遮断する技術、また、万が一不要なデータを学習してしまった場合、学習データ、先ほどもありましたように、モデルを作るということ自体が匿名加工をすることではございませんので、そういった不要なデータを学習してしまった場合に、きちんとそのデータ、特定データをモデルから削除する、アンラーニングといった技術もございます。
このような七ページ、八ページでお示ししたようなガードレールによってAIを、個人データを含むデータを使うときに、住所や電話番号また病歴等といったようなセンシティブな個人データというものは厳格にフィルターされ、外部に漏えいするリスクというものが大幅に減ってきていると言えます。これらを組み合わせた高度なガードレールというのは、既に多く使われている主要なAIサービスにも組み込まれており、更なる性能向上も日々進められているということが言えると思います。
このように、最新のプライバシー強化技術などをガードレールとして組み込むことで、先ほど申し上げたようなデータの利活用をしっかり進めていくことでAIの競争力ということを進めていくこと、それからデータのプライバシー保護を技術的に両立させることが可能となってきております。
技術の御説明については以上とさせていただいて、このような技術的な解決策の進展の中でも、法改正の方向性もすばらしい一方で、ちょっと実務上の懸念事項についても、最後、申し上げさせていただければと思います。
九ページ目を御覧いただければと思います。
第一に、統計作成等の特例に関する実務負担の懸念でございます。この統計作成のみに利用されることを担保するための規律として、公表事項の規定や、第三者提供の際の提供元、提供先間における書面合意などが想定されているというふうに承知しておりますが、これらは社会的な信頼確保の観点から非常に重要であります。しかし、もしその手続が、原則である本人同意を取得する場合と同等、あるいはそれ以上の重い実務的負担となってしまえば、特例の利用が進まない可能性があるというふうに考えられます。今後、委員会規則やガイドライン等を整備されるに当たっては、AI開発やデータ連携の現場の実務を踏まえ、過度に形式的、重複的な負担とならないよう、事業者の意見を丁寧に酌み取った慎重な制度設計を強くお願いいたします。
第二に、ガイドラインにおける具体性の充実です。特例の対象となる場合、ならない場合について、現場の開発者や法務担当者が判断に迷いやすい具体例をできる限り充実させてお示しいただきたいと思います。予見可能性が高まることで、事業者は、萎縮することなく、安心して適正なデータ利活用に取り組むことができると考えております。
第三に、課徴金制度への配慮です。課徴金制度の設計におきましても、正当な目的でデータの適正な利活用を目指し、技術的な安全措置を講じている民間事業者が、過度なリスクを恐れて萎縮してしまうことのないような制度設計をしていただきたいということを切に願っております。
最後になりますが、我が国のAI開発、データ利活用が国際的に劣後することがないよう、個人の権利利益の保護を大前提としつつも、諸外国の制度動向や実務を踏まえたバランスの取れた運用というものが不可欠と考えております。
私たちは、リスクを恐れてデータを遮断するという選択をするべきではございません。適切な管理体制の下、本日御紹介したような最新技術を最大限に駆使し、データを安全に生かすことこそがこれからの日本の競争力をつくる上でも最も重要であるというふうに確信しております。
私の説明は以上となります。御清聴いただき、どうもありがとうございました。(拍手)
○丹羽委員長 ありがとうございました。
次に、小原参考人、お願いいたします。
○小原参考人 御指名をいただきました連合の小原でございます。
本日は、このような場で連合の意見を表明する機会をいただき、感謝申し上げます。
連合は、働くことを軸とする安心社会の実現を目指した取組を推進しております。本日は、働く者、生活者の立場から意見を申し上げます。
AIやIoTを始めとするデジタル技術は、産業構造変革への対応並びに労働力不足の解消に向け、その利活用を積極的に支援する必要がございます。また、マイナンバー制度は、公正公平な税、社会保障や行政の効率化、国民の利便性向上を実現するための基盤であり、ただ、その大前提としては、プライバシーを始めとする個人の権利利益の保護が不可欠であると考えてございます。
本委員会の審議対象である、情報通信技術を活用した行政の推進などに関する法律及び情報処理の促進に関する法律の一部を改正する法律案においても、個人情報については個人情報の保護に関する法律に従うものとして理解してございますので、今回は、個人情報の保護に関する法律などの一部を改正する法律案に絞り、三点意見を申し述べます。
配付資料は、改正内容に対する連合の意見や参考情報などをまとめたものですので、適宜御参照いただければというふうに思います。
個人情報に関する統計等の作成について、一点目でございます。資料は一ページ目でございます。
まず、改正法案において、統計作成等は、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるとされています。
この統計作成等は、個人情報保護委員会の資料において、先ほどもありましたけれども、統計作成等であると整理できるAI開発等を含むとされていると承知していますが、開発されたAIが統計作成等であると整理されるには、国民の感覚でいえば、そのAIにより特定の個人の情報を推測、復元できないことが必要条件であると考えます。
そのため、統計作成等にAI開発を含むのであれば、特定の個人の情報を推測、復元できないことが要件であるということを、仮名加工情報や匿名加工情報と同様に、法で明確に定めるべきと考えます。
次に、改正法により、統計作成等を目的とする場合の特例を設け、本人同意を得ずに個人情報取扱事業者が個人情報、個人関連情報を取得できるようにするのであれば、法違反を問わず、利用停止、消去の請求を可能とすべきです。また、その際、一個人が全ての個人情報取扱事業者や行政機関の長などが公表した事項を把握することは困難ですので、例えば、公表に当たり個人情報保護委員会などへの届出を義務化し、個人情報保護委員会のホームページなどを確認すれば把握できるような仕組みの構築も必要と考えます。
資料は二ページに入ります。
AIが学習した個人情報の個人を特定できたり、個人情報を復元できたりするリスクを否定できず、先ほどもございましたけれども、否定できない、仮名加工情報ですら危険との指摘がございます。AI開発の現場では、先ほども御紹介いただきましたけれども、プライバシーを保護しながら学習させる技術が使用されていると承知してございます。
そのような中、AI開発が含まれる統計作成等を行う目的で、個人情報をそのまま取得、提供できるようにすることには問題があると考えます。個人情報取扱事業者が統計作成等を行う目的で本人の同意を得ずに取得、提供できる個人情報は、これも先ほどもございましたけれども、EU一般データ保護規則を参考に、特定の個人を識別できないよう仮名化すべきと考えます。
また、行政に対する国民の信頼を確保するために、行政機関等が提供する個人情報は匿名化すべきと考えます。
あわせて、統計作成等を行う目的で取得した個人情報並びに作成したAIの利用についても、厳格な規制が必要と考えます。
今回の法改正によって、個人情報取扱事業者が本人の同意を得て自ら取得した個人情報だけでなく、他の個人情報取扱事業者などが取得した個人情報や個人関連情報を大量に取得してAI開発を行うことで個人の権利利益が侵害されるおそれが格段に高まる懸念があります。
そのため、個人情報や個人関連情報による個人の特定や分析を禁止するとともに、これも先ほどありましたけれども、EUのAI規則を参考に、個人やグループの社会的、経済的脆弱性などにつけ込むことや、評価や分類を目的とすることなどを禁止される行為として厳格に規制すべきと考えます。
二点目は、十六歳未満の者が本人である場合の同意取得などについてです。資料は五ページに入っています。
改正法は、十六歳未満の者が本人である場合、個人データの利用停止などの請求の要件緩和や同意取得、通知などについて本人の法定代理人とすることを明文化するとともに、未成年者の個人情報などの取扱いなどについて、本人の最善の利益を優先して考慮すべきとしています。しかし、民法は、十八歳をもって成年とし、未成年と成年を明確に区別して未成年を保護しておりますので、利用停止請求の要件緩和などは、十六歳未満ではなく、未成年が本人である場合にすべきと考えます。
最後に、相当の理由などの明確化についてでございます。資料は七ページでございます。
改正法案は、人の生命などの保護のために必要がある場合及び公衆衛生の向上などのために特に必要がある場合は、本人の同意を得ることが困難であるときに加え、本人の同意を得ないことについて相当な理由があるときは、本人の同意を得ずに、利用目的の達成に必要な範囲を超えて個人情報を取り扱い、要配慮個人情報を取得し、又は個人データを第三者に提供することができるものとしています。
この相当な理由が恣意的に判断そして濫用されることのないように、個人の利益よりも、人の生命、身体又は財産の保護や公衆衛生の向上又は児童の健全な育成の推進が優先されるための判断要素やその程度を法で明確に定めるべきと考えます。
あわせて、提供される個人情報の匿名化や提供先との守秘義務の契約締結など、本人のプライバシーを保護するための必要な措置を講じることも法で明確に定める必要があると考えます。
次に、改正法案は、本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他個人情報の取得の状況から見て本人の意思に反しないため本人の権利利益を害しないことが明らかである場合、利用目的の達成に必要な範囲を超えて個人情報を取り扱い、要配慮個人情報を取得し、又は個人データを第三者に提供することができるものとしていますけれども、これらの明らかである場合についても、どのような場合なのかを法で明確に定めるべきと考えます。
また、改正法案は、漏えいなどが発生した場合に、本人への通知が困難な場合に加え、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合も、本人の権利利益を保護するために必要なこれに代わる措置を取ることができるものとしていますが、この本人の権利利益の保護に欠けるおそれが少ない場合についても、どのような場合なのかを法で明確に定めるべきと考えます。
プライバシーを始めとする個人の権利利益が保護されることは、マイナンバー制度を始め、デジタル技術の利活用や社会のデジタル化を推進するための大前提と考えます。
行政に対する国民の信頼を確保するとともに、国民が不安を感じることのないよう十分な審議をお願いし、発言を終わります。
御清聴ありがとうございました。(拍手)
○丹羽委員長 ありがとうございました。
以上で参考人の意見の開陳は終わりました。
―――――――――――――
○丹羽委員長 これより参考人に対する質疑に入ります。
質疑の申出がありますので、順次これを許します。斉木武志君。
○斉木委員 斉木武志でございます。
まず、村上参考人にお聞きをしたいと思います。
私は、本法案は、これからの日本の経済を左右する法案だと思っております。その一つが、我が国の主力産業であります自動車産業でございます。残念ながら、今、アメリカのテスラであるとか中国のBYDを始めとしたEVメーカー、これに自動運転の部分では非常に見劣りする部分も出始めております。どうやって実効性のある自動運転AIを開発するか。
それには、村上さんは損保ジャパンの役員もなさっておりますけれども、まさに損保会社で持っていらっしゃる事故データ、ドライブレコーダーが今の車は大体搭載されておりますので、いわゆるテレマティクスデータと言われる、どのような気象条件のときにどのような事故が起こったか、どのような傾斜のところ、どのような路面状況、どのような時間帯、こういうときに事故が起きやすいか、霞が関や車メーカーの方にお聞きしたんですけれども、損保会社の持っているこういった事故データというのは、いわゆる金の泉というか、どうやったら事故を避けることができるかという自動運転にとって最大の追求目標、それが御社が持っているようなデータであると認識されております。
ただ、残念ながら、日本においてはその損保会社が持っているようなデータがしっかり自動運転のAI開発に生かせていないとも聞いております。これまでどのように、車メーカーを始めとした自動運転ソフトの開発に情報提供をされているのか否か、進んでいないとすれば何が障壁になってきたのか、お聞かせください。
○村上参考人 お答えいたします。御質問ありがとうございます。
まず、今、事故のデータ等を活用しているかどうかという御質問に関してなんですけれども、損害保険の会社といたしましては、事故に関連するデータ、特にドライブレコーダーと呼ばれる走行時のデータに関して取得をしておりますけれども、これは、主には事故があったときの責任分界点の解明のために使っているというのが現状でございまして、では、それはもう少し活用するとなると、例えばどこで事故が起きたのかというところで、事故多発地点等、当社のみではなく損害保険協会というところで事故データを集めて使っているというのが現状でございます。御指摘されたような例えば自動運転であるとか、今後のところ、安全性向上につながるデータの提供というのは、現時点では限定的というふうに言えると思います。
ただ、AI特例に伴って損保会社がデータを提供できることになりますと、特に安全性向上につながるデータ、通常の運転時よりは、やはりヒヤリ・ハットであるとか事故のデータというのが、非常にエッジケースのデータが重要になってくるというふうに考えられますけれども、このようなデータを、損保は、どこで事故が起きたか、それからドラレコの映像、ヒヤリ・ハットの挙動データというものを保有しておりますので、これら、シミュレーションでは再現困難なリアルデータとして、AIの安全性向上に不可欠な学習データとして提供できるのではないかというふうに思います。
また、開発スピードという観点で申し上げますと、やはり今は個別の同意取得という高いハードルがございますので、それが本法案によって取り除かれることで、迅速に大量の学習用データにアクセスができるようになって、研究開発のサイクルが大幅に短縮できるのではないかというふうに思います。
また、先ほどからお話にございましたけれども、OEMも同様のデータを持っております。このOEM等から損保へデータ提供をすることで、新たな保険開発というものが可能になるというふうに考えられます。例えば、自動運転の時代に即した保険というものをつくるためには、現時点の私どものデータでは取得することが難しいです。ただ、動的なリスクアセスメントとそれから新商品の開発ということがこのようなデータの提供でできるようになりますと、システムの性能やアップデート状況や実際の走行自体の把握に基づき、よりリスクに応じた清廉な保険料の設定等が検討できる可能性もございます。
また、こういったAIの技術だけではなくて、そういった保険も含めた社会実装というものが本法案で加速できるのではないかというふうに期待しております。
私からは以上でございます。
○斉木委員 追加でお聞きしますけれども、そうした自動運転をエンハンスしていくためには現行法では不可能ということでしょうか。
○村上参考人 私、今回の法改正に基づいて、匿名的に本人の同意なしに統計情報ということで得られるようになれば可能なのではないかというふうに考えております。
○斉木委員 ありがとうございます。
実は、私、この世界に入ったのが二〇〇九年でして、当時、日産のリーフが発売された年でした。これは大きなビッグシフトが来たなと思って、当時の与党の一期生でしたけれども、エコカー議連という、次世代車を振興する議連というのをつくりました。
でも、それから十七年たって、残念ながら、今、例えば世界市場を見ても日本車のシェアというのは落ちてきております。例えば、直近で、オーストラリアを例に取りますと、中国車が、三年前ですかね、一%だったシェアが、今はもう一八%まで急速に伸びてきていて、タイなどはトヨタ王国だったものが今は中国がどんどん席巻しつつある。世界市場を見てもというか今の東京のマーケットを見ても、日経平均がこれだけ半導体バブルで爆上がりしているのに、トヨタも日産もホンダも、日本の自動車メーカーは株価がずっと下がってきていて、低迷している。まさにこれは、日本の自動車メーカーがこれからも稼げるのかということに対して、マーケットが非常に疑問符を投げかけているんではないかなというふうに非常に危惧をしております。
今、経団連の役員もやっていらっしゃると思いますけれども、産業界の立場から見て、やはり今、私は、のるか反るかの分岐点に立たされていると思います。EVである程度中国勢に先行されて、自動運転の分野まで失ってしまうと、これはやはり日本はなかなか立ち直れないような痛手を私は受けると思っております。
今、自動運転を開発しなければいけない切迫性というか、その辺りはどのようにお考えでしょうか。
○村上参考人 ありがとうございます。
自動運転に限らず、世界で行われている最先端の技術というのをしっかりと日本で取り込んでいくことというのは重要だというふうに考えております。
その際に、やはり肝になるのはデータだというふうに考えておりまして、本法案を中心としましたデータの取得と、そしてその活用というところをしっかりしていくことで、世界に対峙する技術というものを日本がしっかり持てるようになるのではないかというふうに考えております。
私からは以上でございます。
○斉木委員 ありがとうございます。
一方で、やはり今回、法案審議の中にも出てまいりました、個人の権利とかプライバシーが侵害されるのではないかという懸念も提起をされております。
それは、また村上参考人が、PETsに関して非常に面白い発言、興味深い発言をされていました。データを本人に識別できないようなノイズを加えるであるとか、また個人へのひもづけを遮断する技術であるとか、又はデジタルのブラックボックス化であるとか、いわゆる技術によって個人とデータをひもづけさせないことが可能であるということをおっしゃいました。
また、もう一つ、AI自身によってガードレールを広く組み込んで、そこを遮断をしていく、出力をさせないような技術、ここの部分がこの法案の肝になってくると思うんですね。
これは、まさにチーフデータオフィサーとしてIBMから育っていらっしゃって、技術の知見をお持ちだと思うんですけれども、技術によって個人の特定をさせないことは可能であるとお考えですか。
○村上参考人 私が意見陳述でお示しいたしましたように、かなりこの分野の技術というのは進化しているというふうに考えております。
PETsというのを御紹介させていただきましたけれども、本日、時間の都合上、技術の詳細は御紹介させていただきませんでしたが、今皆さんが御心配されている、個人を特定すること、これを統計情報から再現してしまうことというのが一番の懸念点ではないかというふうに思っております。これが再現できないということは数学的にも証明でき得ることでございますので、こういった技術を活用することで、個人を特定されることなく、しっかりとデータを活用していくということが現実になっていくと思います。
一方で、これはきちんとそういう措置を取るということができる技術を持った企業ということになりますので、その技術を持っていない、あるいはそういう技術を使わないということが行われないように、法的にしっかりその辺りを整備するということも重要で、本法案はその辺りをしっかりカバーしていただけるのではないかなというふうに期待をしております。
以上でございます。
○斉木委員 森田先生にもお伺いしたいと思います。
今、村上参考人からも、まさにそういった、適格者というか、そういうことをできる者をデジ庁であったり個情委であったりが選んでいくことによって達成できるのではないかという御発言だと思いますけれども、こうした運用面、本法案の今の体裁で、そうしたまさに運用面での留意によって個人情報を守ることは可能であるとお考えでしょうか。
○森田参考人 お答えいたします。
結論からいえば可能だと思います。一〇〇%かどうか分かりませんけれども、かなり可能ではないかなというふうに思います。
○斉木委員 その背景というか理屈もちょっと教えていただければと思います。
○森田参考人 一つの考え方ですけれども、これまでのところは、データを出す段階でリスクがある場合には例えば同意を取るとか、そうでない場合にはデータを取らないというやり方をしておりましたけれども、現在といいましょうか、私どもの方の、説明いたしましたデジタル行政推進法の考え方になれば、データはむしろ使う、そのメリットというのを生かすべきであると。リスクとどうバランスを取るかということだと思います。
そして、EUの方の、私自身が今関心を持っておりますが、医療関係の法律なんかを見ますと、医療の場合には、どうしてもデータを取らなければ患者さんの治療に使えないということもございます。そういうこともあって、いわゆる入口規制という形ではなくて、出口規制と言っておりますけれども、データはきちっと提出していただいて利活用するけれども、使うときに、誰が、どのような目的で、そしてどういう形のデータを使うかということについてきちっと規制をしていく、それによって、データが持っている力といいましょうか、それのメリットは享受しながら、なおかつコントロールをして安全に使えるようにするべきではないかと。
データを取ってしまいますと、ちょっとこういう言い方をしますと誤解を招くと困るんですけれども、何となく、個人情報に関する議論を聞いておりますと、データを出してしまうと、必ずとは言いませんけれども、かなりの確率でそれが漏えいしてしまうリスクがあるというふうに皆さん受け止めていらっしゃるかなというふうに思いますけれども、今、村上参考人の御発言でもございましたけれども、いわゆる新しい技術、PETsとかそういう技術を使うことによって、かなりそのリスクというものは下げることができるのではないか。
その場合に、きちっとした形でリスクを下げるような、誰がどういうふうに使うのか、先ほど、今もお話ございましたけれども、そうした、安全に使うことができる人、企業なりなんなり、それをきちっとコントロールしていくということと、どういうふうに使うかということについて、透明性を持ってそれを監視していく、そういう仕組みをつくることによって、むしろ、データの持っている、使うことによるメリットというものを引き出すということがこれからの社会の在り方ではないかというふうに今考えているところでございます。
よろしくお願いします。
○斉木委員 森田先生は、たしか中医協にも加わっていらっしゃって、医療分野に知見をお持ちだと思います。
そのメリットとして、私は、新薬であるとか新たな医療の方法の開発、日本には大きな潜在力があるなと思っております。それが、やはり日本は国民皆保険制度がしかれておりますので、諸外国に比べると、所得階層的にもならされたデータといいますか、非常に多くの方が、国民皆保険制度によって、良質なデータが医療機関側にも蓄積をされているというふうに思います。これを活用していくことが、やはり創薬であるとかの分野には私は非常に可能性を開くんではないかなと思いますが、医療分野やこの薬業の分野においてどのような効果がもたらされるとお考えでしょうか。
○森田参考人 お答えいたします。
医療分野において、創薬であるとか医学研究ですね、それにこのデータが大変貢献するということは申し上げるまでもないと思います。
我が国の場合、これまで非常に高い医療の水準を維持してまいりました。皆保険制度もございますし、医療技術、また個々の医療従事者の方の能力も非常に高いということで、これだけの平均寿命をつくり出してきたわけでございます。
ただ、データに関して申し上げますと、確かに皆保険制度でいわゆる医療保険に関するデータはありますけれども、健康状態、国民がどういう状態であるかということにつきましては、そうした大規模なデータというものは、量としては存在しているのかもしれませんけれども、それを使えるような形になっているかといいますと、我が国ではまだ制度としてそれができていない。これは、ヨーロッパに比べてもアメリカとか先進国に比べても遅れているというのが現状ではないかと思います。
その一片が現れたのが、まさにCOVID―19の、コロナのときの対応です。いかに迅速に、感染状況、広がり、あるいは感染者の状態、またワクチンの効果というものを早く把握して、そして次の対策を遅れることなく打っていく、そういう形でのシステムというのがまだ存在していないということだと思います。そういう仕組みができて初めて、創薬であるとか、あるいは医療資源の適正、効率的な配分というものにも結びついてくるのかなと思っております。
現在、それについては内閣府の方で、昨年の閣議決定を受けまして検討を進めているところでございます。私自身、そこの座長を務めておりますので、それがどういう方向になるかということについては、ここで、そういう立場では申し上げにくいところでございますけれども、少し、個人的な見解を述べさせていただきますと、先ほどの話もありましたけれども、医療データというものは、やはりかなり特殊なものというふうに考えられるかと思います。それについては、いわゆるデータ利活用の観点、あるいは個人情報の保護の観点だけではなくて、医療の特性に応じた形での、一番望ましい、データの保護と同時に、医療データの活用の仕組みというものを制度化する必要があるのではないかと思っております。
○斉木委員 両参考人の御意見を聞いていますと、まさにこれは、やっと日本も入口に立ったかなというのが正直なところだと思います。
自動車産業にしても医療業界にしても、私も十七年前に議連を立ち上げたりしましたが、なかなかそれがいまだに実現しない、その間に各国に先行を許すであるとか、そういった部分がやはり散見されるようになってまいりました。
やはり、おっしゃったように、リスクを全て封じるということではなくて、いかに、それがあることを前提にして、でもそれを活用して、AIにしっかりデータを学習、しかも大量に学習をさせて利活用していくのか。やはり、これは各国の国力を、自動車産業、医療産業とか見ていても、左右する時代に入ってきていることは明らかでございます。
やはり、それを、技術の進歩によって、今日、PETsの御紹介もいただきましたけれども、そうした技術によって個人とのひもづけを防いでいくであるとか、AIにアンラーニングを学習させるであるとか、非常に興味深い示唆もいただきました。私は、今株式マーケットの状況を見ていても、マーケットは本当に正直だなと思うんですね。本当に日本の自動車産業は大丈夫かということが今の株価に出てきておりますので、やはり本法案をしっかりと、個人情報の保護と両立を図りつつ、是非推進させていくべきではないかな。
今日、様々な知見をいただきましたことに感謝申し上げまして、終わりたいと思います。
どうもありがとうございました。
○丹羽委員長 次に、山崎正恭君。
○山崎委員 中道改革連合の山崎正恭です。
参考人の先生方、本日は大変にありがとうございます。
今までのお話の内容を含めまして、様々なことについて今日はお聞きしたいと思います。
貴重なお時間ですので、早速質問に入らせていただきたいと思います。よろしくお願いします。
今回の法案は、生成AIやビッグデータ利活用を国家戦略の中核に据えるものであります。AIの開発がどれほど重要かということは、今日先生方のお話を聞いて私も承知するところでありまして、やはり利活用は進めなければならないなというふうに思ったところでございます。
一方、データは経済と行政を支える二十一世紀の社会基盤となる一方、経済資源である以前に国民一人一人の人格、生活、思想、行動に深く関わる情報です。その扱いを誤れば、個人の尊厳や民主主義そのものを脅かす危険もはらんでいます。
そこで、まず初めに、個人情報保護の理念をどう考えるかについてお聞きしたいというふうに思います。
先ほど斉木先生からもお話がありましたけれども、僕も今日、村上先生の話の中で、AIがここまで技術的に様々やれるというのはすごいなというふうに思ったところであるんですけれども、ただ、データに関する個人情報保護は、ここでちょっと問いたいのは、技術のところも重要なんですけれども、その技術のもう一歩根底にあるといいますか、データは、単なる技術論だけではなくて、国民の自己決定権、人格的自律、そして民主主義の基盤そのものを守るための人権保障でもありますので、やはり個人情報保護を基本的人権として認識しているということが大前提でなければならないと思いますが、その点について村上参考人と森参考人にお伺いしたいと思います。よろしくお願いします。
○村上参考人 お答えいたします。
私が今日御紹介させていただきましたのは技術のほんの一部でございますけれども、やはり、個人のきちんとしたプライバシー、それから基本的人権を守るということは非常に重要だというふうに考えております。一方で、AIというものが日本以外の国でもデータを活用して技術が進化してきているこの国際社会において、日本が競争力を持ち続けるということも重要でございます。そういったことを両立させるための技術でございますので、しっかり個人のプライバシーが侵害されず、今民主主義の根底とおっしゃっておられましたけれども、しっかりそこを担保しつつ国際協力を持ち続けるというものは、技術の発展以外にはないというふうに考えております。
また、先ほども申し上げましたように、この技術を使うことが前提にはなっておりますけれども、使うことができない、あるいは使う能力を持たない、あるいは意図して使わないといったこと、そういった事業者に関してはしっかり指導をするということも重要でございますので、そういった制度と組み合わせて、技術と制度というところでしっかりお守りいただくということが重要なのではないかなというふうに考えております。
私からは以上でございます。
○森参考人 御質問ありがとうございました。森でございます。
もちろん、御質問のように、個人情報の保護、プライバシーは人権でありまして、特にプライバシーについては憲法で保障された人権であるということかと思います。そして、これは個人の権利であるだけではなくて、民主主義が健全に進むためにも重要なものでございます。
ですので、個人情報保護の使命を受けた個人情報保護法が今回改正されるということで、その議論をされているわけですけれども、重要なことは、他方で利活用が極めて重要である、特にAIを中心とした技術について、データを、個人情報を使っていかなければいけないというのも、これも非常に重要なことでございまして、この両者が並び立たなければいけないということが重要なわけですけれども、私が一つ申し上げたいのは、個人情報保護法というのは、それは一般法なわけでございまして、ありとあらゆる分野に適用されるということです。他方で、先ほど森田参考人からお話のありました医療分野というようなことになりますと、これは、人の生命というのはやはり何より大切なものということになりますので、ここにおいては利活用が優先するということですね。分野によって優先するものがあるということです。AIについてもそうでしょう。
そうしますと、一般法である個人情報保護法をどう考えるかということと、先ほど御紹介のありました、例えばEUのEHDS法、医療データをどう使うかということにおいては、その保護と利活用のバランスが変わってくるということでございます。ですので、保護を全体としては重視しつつ、重要な部分については利活用を先行させる、そういう考え方、抽象的に保護と利活用が両立すべきであるというのではなくて分野別に考えるということは、これは結構重要なのではないかと思います。
そして、じゃ、そんなことを言うけれども一般法である個人情報についてはどうなんだということでございますが、個人情報保護法についても、これは保護と利活用が両方重要だというふうに書かれております。しかしながら、一条、個人情報保護法の目的のところには「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」というふうに書かれております。有用性に配慮しつつ保護を目的とするということですので、これはやはり、両方書かれているとはいいながら、保護が中心なのではないかと思います。また、法令のタイトル自体も、個人情報保護及び利活用法とか個人情報取扱法ではなくて、個人情報保護法でありますので、この一般法においては保護が一歩優先するのではないかと思います。
しかしながら、個別の分野において、特に医療のような分野において利活用を優先させるということは、これは全く合理的なことですので、そのような法律間のバランスをお考えいただいて議論していただくのがいいのではないかと思います。
以上です。
○山崎委員 ちょうど次に質問したかったところで、今、医療情報のデータは大事や、命に関わる部分なので利活用は大事や、これは結構、先日の委員会でもうちの長妻委員がかなり大臣とやり取りをやったところなんです。
ただ、やはり、僕も思ったのは、病歴とか健康診断の情報とか、要配慮個人情報というのが本人の名前つきで行くというのはすごく嫌なんじゃないかなというふうに思います。長妻さんも言っていましたけれども、そういうのを首長がちらっと見ると、小さい自治体では多分、私が暮らす高知県なんかは田舎でして、小さな自治体がたくさんある中で、やはり、住民との距離が近い中で、病歴とかが見られるということに関して、もちろん技術に行く前の人間の意識が大事なんですけれども、そういったところで非常にセンシティブな問題だと思っているんですけれども。
やはり、そのときにいろいろやり取りがあったんです。大臣は医師出身なので、それを提供する側が削除するとなったら相当の手間がかかるということも言われていました。ただ、僕は素人なので余計思うんですけれども、例えば、医療データであったとしても、名前と、住所も、例えば高知市までだったら必要かなとも思うんですけれども、その先の住所なんて要らないんじゃないかなと。だから、データがきちっとあれば、名前と住所ぐらいはやはり出す側がしっかり削除してくれたら、出された側の判断でというのは非常に曖昧なので、危険だなというふうに思うんです。
それを、先ほどちょっと森先生なんかは、やはり提供する側が削除することが大事なんじゃないか、もらった側も直後にというふうな話もあったんですけれども、私はやはり渡す側が削除するということが非常に重要ではないかと思いますけれども、この点についての御見解を森参考人からお伺いしたいと思います。
○森参考人 御質問ありがとうございます。
第三者提供、今のは統計特例のお話だと思いますけれども、第三者提供をして統計等作成者に渡すときに、提供元で匿名化することが大変かというお話なんですけれども、これは物によるわけなんです。
一つ、ちょっと若干面倒くさい話というか難しい話で申し訳ありませんが、ここで同意が不要とされている、統計特例で同意が不要とされていることは、四つのカテゴリー、ちょっと大ざっぱに言うと三つのカテゴリーですけれども、利用目的に関すること、目的外利用に関することと、要配慮個人情報の取得に関することと、第三者提供に関することなわけですけれども、この第三者提供のときの同意というのは、これは単なる個人情報ではなくて、データベース化された個人情報について必要とされているわけでございます、現行法で。
これをなくすということなんですけれども、そのデータベース化されている個人情報、構造化データというようなことも言いますけれども、この場合は、これはどこに何が書いてあるかということが項目によって決まっている。ここに氏名が書いています、ここに年齢が書いています、ここに住所が書いていますということですので、この場合は匿名化は比較的簡単なのではないかというふうに思います。ですので、第三者提供のときに提供元で匿名化するということはそんなに手間のかかる話じゃない。
ただ、ハイブリッド的なものもありまして、構造化されている部分と非構造化データの部分、自由記述欄みたいなものですね、そういうものが合わさっているものもあります、電子カルテなんかまさにそうだと思いますが。この場合、非構造化部分を、データベース化されていないところの個人情報、それは名前が書いてあるかもしれませんし、名前を推測させるほかの事情が、何年何月、どこの小学校の何組を卒業しました、そんなことが書いてあるかもしれません。これは削除できるかというと難しいわけですけれども、その場合であっても、データベース化されている部分、構造化の部分を匿名化しなさいというようなルールを作ることもできるかと思いますので、私は提供元で匿名化するということが非現実的なことだとは思わないわけでございます。
以上です。
○山崎委員 ありがとうございました。
そうしたら、次に、これも今回の法案の重要なポイントだと思いますけれども、団体訴訟制度についてお伺いしたいと思います。
これも長妻議員から言及がありましたけれども、個情委が作った二〇二五年の三月五日の作成資料では、差止め請求権を適格消費者団体自身の権利として付与することが考えられるというふうな前向きなことだったんですけれども、今回法案が提出されたときにはこの部分が全て削除されていました。制度があれば、団体がいろいろノウハウを蓄積して、個人情報委員会とタッグを組んで、様々チェックすることもできたのではないかなと。
先日の答弁では、そういった専門家がいない、実績がない、消費者契約法の団体と個人の利益は違うとの答弁がありましたけれども、そもそも今までにないことをするのに専門家がいないのはある意味当然だと思いますし、先日の委員会で早稲田委員からもあったように、EUの一般データ保護規則、GDPRなんかが適用されているところは消費者団体が団体訴訟を行っています。
どう考えても個人で巨大企業に立ち向かっていくというのは無理だと思うんですが、そこで、G7の他の国では全て整備されているのに、今回の法案にはない団体訴訟制度、これがあった場合にはどういうメリットがあるのか。逆にそれがなかった場合のデメリットにもなると思うんですけれども、団体訴訟制度の必要性について森参考人の見解をお願いします。
○森参考人 御質問ありがとうございました。
団体訴訟のメリットとデメリットということかと思いますけれども、メリットにつきましては、先ほど私も報告で御説明をさせていただきましたが、やはり、個人情報保護委員会に法執行のリソースが限られている、限界があるという中で、それを別の形で権利侵害を防ぐ、あるいは侵害された権利を回復していくということが最大のメリットだろうと思います。団体訴訟はその役割を担うことのできる制度だと思います。
特に、個人情報保護法の中で決めるということになりますと、これは差止め請求ということになろうかと思いますが、やはり、違法なデータ収集等が行われているときにこれを差し止める、適正取得義務違反であるからそれはやめなさいということは可能なのではないかと思いますし、むしろそれは現状においては必要、委員会のリソースが限られている状況においては必要ではないかと思います。
デメリットということになりますと、今お話にありましたノウハウが十分ではないということですが、これはもちろんこれからやるわけでございます。これまで、差止め請求、景表法とか、食品表示法とか、特商法とか、そういったものに規定されていると思いますけれども、もちろん、始まるときは最初の一歩ですからノウハウがないわけですけれども、それを培っていくことはできる。そして、法執行によって得られた情報を、団体訴訟の主体、適格消費者団体と共有するということも考えられると思います。
そのようにしてその問題を克服できると思いますし、また他方で、デメリットとして、濫訴みたいなことも言われますよね、ばんばん起こって大変なんじゃないか、ばんばん訴訟されてみたいな。しかしながら、これは、団体訴訟、ほかの分野での実績を御確認いただきましたら明らかですけれども、たくさんやりようがないわけです。適格消費者団体、特定適格消費者団体、いずれも個人情報保護委員会以上にリソースがないということですので、たくさん訴訟が起こるという問題はないのかなというふうに思っております。
以上です。
○山崎委員 ありがとうございました。
次に、これも大きなポイント、課徴金についてお伺いしたいと思います。
やはり額が非常に少額なんじゃないかということがあって、大臣から、先日の答弁では、過失の場合もあるし故意の場合もあると答弁がありましたけれども、これは単純に、早稲田委員からも紹介があったように、アメリカのカリフォルニア州みたいに故意と過失で金額を変えればいいんじゃないかなというふうに思うんですけれども、その辺のことについて。
もう一点は、先ほど森参考人からお話の中でもありましたように、やはり、課徴金の項目にそもそもあった、目的外利用とか、要配慮個人情報の取得による本人同意とか、違反、大規模な個人データの漏えい等の発生、この三点が抜け落ちてしまっているというふうな形に思うんですけれども、そういったところについて、やはり、そこが抜け落ちることでこの法律そのものの実効性や抑止効果が大きく損なわれるのではないかなというふうな心配もあるんですけれども、その点について森参考人の見解をお願いします。
○森参考人 御質問ありがとうございます。
金額のことと対象義務の範囲が狭いことの二つの話があったと思います。
若干繰り返しになるかもしれませんけれども、まず、金額につきましては、軽微な事案については軽くということですけれども、元々課徴金自体が重大事案を想定しているということですね、これは一つあると思います。そして、当然のことながら、過失といってもかなり重い過失だと思うんですけれども、そうであったか故意であったかということはその金額で考慮される要素ですので、例えば人数とか悪質性とかそういった様々なことを考慮して決めますので、それはその中で合理的に判断することはもちろん可能だと私は思います。
あと、対象義務が小さいということですけれども、これは繰り返しになりますが、私は、今回入ってこなかった義務、要配慮個人情報の取得制限等についても重大な権利利益の侵害を招くことはあり得ると思いますので、その意味では狭いのではないかと思います。
以上です。
○山崎委員 済みません、時間がありませんので、最後に、子供の権利を守るという点について一点お聞きしたいです。
本法案では、十六歳未満の子供の利用停止請求権には四項目の例外規定が設けられています。ちょっと時間がないので、その四項目は言いませんけれども。
やはり、これに関して、これだけ例外規定があればなかなか子供の利用停止請求権が実行されないのではないかという不安の声がありますが、この件についても森参考人に見解をお伺いしたいと思います。
○森参考人 御質問ありがとうございます。
例外事由は結構ありまして、その中でも、私も、確かに御指摘のとおりちょっと例外事由が多い、つまり利用停止請求に応じなくていい事由が多いのではないかと思っていまして、例えば、取得時において一定の主体により公開されていたものである場合とか、法定代理人が営業を許可していた場合で、その子供が営業していて、それに関してデータを取得した場合、こういう例外事由というのは、これは、取得のときに正当に取得した、適法かつ正々堂々と取得したということだと思いますけれども、今問題になっているのは子供の可塑性に着目した保護の問題ですから。取得はばっちりですと、それは分かりました、それは結構なんですけれども、でも、子供の保護のために利用停止してくださいということですから。
どちらかというと、例外となる事由というのは、事業者の支障ですね、今使っているから無理ですということはオーケーだと思うんですけれども、そうじゃなくて、いや、取得したときにはそれは適法だったんですよということは理由にしていただかない方がいいのではないかという気はしております。
以上です。
○山崎委員 ありがとうございました。
先ほどのお話なんかは、最初に言った、やはり基本的人権が根底にあるといいますか、やはりそういったところを大切にしていきながらやっていくことがこの法案については重要だというふうに思います。
どうもありがとうございました。以上で終わります。
○丹羽委員長 次に、原山大亮君。
○原山委員 日本維新の会の原山大亮でございます。
本日は、参考人として御出席いただきました先生方に心より感謝を申し上げます。よろしくお願いいたします。
まず最初に、個人情報の保護に関する法律等の一部を改正する法律案につきまして質疑を行いたいと思います。
村上参考人にお話を伺っていきたいと思いますが、限られた時間でございますので、三点に絞ってお伺いしたいと思います。
まず、今回の法案全体の評価についてでございます。
今回の個人情報の保護に関する法律等の一部を改正する法律案は、デジタル技術の急速な進展に伴い、個人情報を含むデータの利活用に対する需要が高まる一方で、個人情報の違法な取扱いにより個人の権利利益が侵害されるリスクも高まっていることを踏まえ、個人情報の有用性に配慮しつつ、その一層の保護を図るために提出されたものであり、身体の一部の特徴に係る情報が含まれる個人情報等について違法な取扱い等がなくとも本人による利用停止等の請求を可能とすること、個人情報の違法な取扱い等によって財産上の利益を得た場合に課徴金納付を命ずる制度を設けること、さらに、統計等の作成を行う第三者に個人情報を提供する場合について本人の同意を不要とすることなどの措置が盛り込まれております。
そこで、村上参考人にお伺いいたします。
AI時代のデータガバナンスという観点から見て、今回の改正案について特に評価できる点をお聞きしたいと思います。また、今回の改正を前向きに受け止めつつも、今後の運用や次の見直しの中で補っていく必要があるとお考えの点があれば、まず総論としてお聞かせいただきたいと思います。
○村上参考人 お答えいたします。
まず、この法案全体の評価というのは、私の意見陳述の中でも申し上げましたけれども、非常に評価をしております。
なぜならばといいますと、やはりAIの競争力というのはデータの品質というものに非常に左右されておりますけれども、今までは個人情報を含むデータの取扱いというものに非常に厳格な規定がございましたので、なかなかこの活用というのが諸外国に比べ少し劣後していたという事実がございます。そういったところが、統計等を用いて個人のプライバシーを侵害しない範囲でデータの活用ができるといったことは非常に評価ができるというふうに思います。
一方で、私が意見陳述の中で申し上げたように、技術は非常に高速に進化しておりまして、こういったプライバシーを保護するということが技術的に可能にもなってきております。こういったことをしっかり鑑みた上でのこの法律改正というところで評価もできますけれども、一方で、やはり、こういった措置を講じないで悪用するあるいは放置するといったようなところがあった場合に、きちんと罰則等を考えるということも必要な措置ではないかなというふうに思います。
今回の改正に基づきまして、この一般法での、保護法でのそういった罰則、罰則といいますか、課徴金も含めたところが法整備されるということは、非常に抑止力も含め重要になってきているのではないかというふうに評価をしております。
私からは以上でございます。
○原山委員 次に、AI開発やデータ利活用の実務面についてお伺いいたします。
今回の見直しでは、本人の権利利益への影響の有無という観点から、本人関与の在り方を見直す方向性が示され、AI開発を含む統計作成等目的の利用について、一定の条件の下で本人同意を不要とする制度設計が検討され、法案にも統計等の作成を行う第三者への提供に関する同意例外の見直しが盛り込まれております。
企業の現場から見れば、AIの学習や高度なデータ分析に個人情報をどこまで活用できるのかという線引きの明確さは、研究開発や新サービスの実装のしやすさに直結する重要な論点であると思います。
そこで、お伺いいたします。
今回の改正において、企業がAI開発やデータ利活用を進める上で、以前よりも安心して進めやすくなると考えられる場面はどういったものがあるとお考えでしょうか。一方で、現場の実務感覚から見て、なおガイドラインや運用の中で更なる明確化が必要と考えられる領域があれば、御教示いただけますと幸いです。よろしくお願いします。
〔委員長退席、橋本(岳)委員長代理着席〕
○村上参考人 お答えいたします。
企業の現場から申し上げますと、やはりAIを使っていろいろな技術革新というのが進んできております。
例えば、私がおります保険会社でも、事故のデータというのをたくさん保有しておりますので、そういった事故のデータから今後の事故が起こり得ないような、そういった安心、安全な社会をつくるということにつなげるということも可能でございますし、また、先ほどから話題になっております医療の現場では、例えば創薬であるとか治療方法の確立といったようなことが、このデータを使うことによって飛躍的に進歩するのではないかというふうに思います。
一方で、何の規則もないまま漏えいしたときの責任はあなたにあります、でもこれは使っていいですということになってしまうと、やはり業者という企業の観点からいいますと、使うことに対してのちゅうちょというのが生まれてしまいます。
こういったことをしっかりと、統計的で、個人のプライバシーを侵害しない措置を取った上で使ってよいよというふうに法律で規定するということは、業者にとってもしっかりデータの活用というのを前向きに考えることができる一つの大きなきっかけになるのではないかということで、この法律の改正については非常に意義があるというふうに私は考えております。
以上でございます。
○原山委員 ありがとうございます。
最後に、今後の見直しに向けた課題についてお伺いいたします。
個人情報保護法は、いわゆる三年ごとの見直しの枠組みの下で継続的に制度改正が行われており、個人情報保護委員会が公表した制度改正方針においても、適正なデータ利活用の推進、リスクに適切に対応した規律、不適正利用等の防止、規律遵守の実効性確保という四つの柱が示されています。また、個人情報保護政策に関する懇談会では、事業者等の自主的取組とそれへのインセンティブも議題として掲げられております。
AIの進化や生成AIの急速な普及、さらには国際的なデータ規律の形成が進む中で、今回の改正は一つの通過点であり、次の見直しに向けて既に準備を進めていく必要があると考えます。
そこで、最後に、村上参考人のお立場から、次の三年ごとの見直しまでの間に、日本として、また国会として、個人情報保護とAIデータ利活用の両立に向けて特に優先して取り組むべき論点は何かということと、国際協調、事業者の自主的ガバナンスの強化、子供や弱い立場の方々の保護、あるいはAIの透明性や説明可能性といった観点も含めて、国会へのメッセージとしてお聞かせいただければと思います。よろしくお願いします。
○村上参考人 お答えいたします。
私も個人情報保護法の懇談会の委員をしておりますけれども、この懇談会でも、この三年ごとの見直しというのは非常に重く受け止めております。
一つに、まず、御指摘ございましたように、AIを含めました技術というのは大変急速に進化をしております。この法律がその進化にきちんと対応できるように、専門家を含めた委員によって、しっかり法律で何を規定するべきなのか、あるいは、技術的にどういう動向があって、どういった要項を盛り込めばいいのかというのをしっかり議論していくこと、これがまず一つ目に大事なことではないかというふうに思います。
二つ目でございますけれども、二つ目は国際的な連携でございます。やはり、AIを含めましたビジネスというのは国境がございませんので、そういったところ、例えば、日本だけが理不尽な何か規制をするであるとか、あるいは、他国がリスクをきちんと鑑みて規制をしているのに日本はしないということがあってはいけませんので、他国がどういった動向でそういった規制をしているのか、あるいは規制をしていないのかといったところ、あるいはどういった技術を活用しているのかということ、これをしっかりと情報として仕入れ、しっかりそこを盛り込んでいくということが重要なのではないかというふうに思います。
三個目でございますけれども、やはり一番大事なのは、国民の生活の安全というところでございます。こういったところの安全性への配慮というところ、私はよく外部の講演で安心と安全という言葉を使わせていただいております。安全というのは、リスクをゼロにすることはできない、あるいはリスクベースで考えないと世の中の進化についていけないというところは私の意見陳述で申し上げましたけれども、このリスクをゼロにできないというところ、これが国民の皆様にとって非常に不安になってしまいますと、行動の制約にもつながりますし、また安心した生活が送れないということもございます。
ですので、こういった安全性の対応ということをしっかりと国民の皆様にお示しすることによって、皆様が個人情報を提供しつつも安全、安心に生活できる、それが大事だと思っておりますので、その観点もこの見直しに関して盛り込んでいくということが重要なのではないかというふうに思っております。
私からは以上でございます。
○原山委員 ありがとうございました。
続きまして、情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案について、森田参考人に伺いたいと思います。
特に、自治体支援、国民の信頼、そしてベースレジストリーの三点に絞ってお考えを伺いたいと思います。
まず、本法案全体についての御評価を伺います。
本法案は、クラウド活用や公的基礎情報データベースの整備を通じて、行政の効率化と国民の利便性向上を目指すものと承知をしておりますが、森田参考人はこの法案を日本の行政デジタル化の中でどのように位置づけておられるのか、総論的にお聞かせください。
○森田参考人 お答えいたします。
私自身は、これまで、いろいろなデータがあって、利活用すればそれが便利になると。特に、いわば政府関係の情報、行政関係の情報というのはしっかりしたものがございますけれども、それがきちっと整理されていなかったという中で、今回、この法律によって、それを非常に、民間の方もそうですけれども、利用することによって利便性を高めていくと。特に、情報を使うときのいろいろな手続が非常に煩雑であったわけですけれども、そうしたことについて、一定の指針に従って事業を認定するということによって、そういう人たちがそのデータを活用していくと。それは、まさにその利活用の道を開くというものだというふうに考えております。
○原山委員 ありがとうございます。
次に、地方自治体、とりわけ中小自治体への支援について伺います。
クラウド化や標準化は中長期的には効率化につながる一方、移行期には人材不足や財政負担が先に立つとの懸念もあります。
そこで、こうした自治体にとっての利点と課題をどのように見ておられるのでしょうか。また、自治体職員が前向きにデジタル化に進められるよう、国にはどのような伴走支援、人材育成、財政措置を求められるか、御所見をお伺いいたします。
○森田参考人 お答えいたします。
ただいま、御存じのとおり人口減少が進んで、地方では行政職員もだんだん少なくなってきましたし、その意味でいいますと、これから、行政能力、きちっとした住民サービスを維持していくことが懸念されるような状態になっているかなと思っております。
そのときに、特に事務的な作業、これまで情報を処理する形で人間がやっていた事務というものを、これをいわばAIなりなんなりのデジタル化を使って置き換えていくということは、非常に効率的に、しかも質を落とさずに自治体の業務というものが遂行できると。これは、これからだんだん人口減少が予想されるような地域にとっては、住民の方にとって大変重要なことになるのではないかと思っております。そういうメリットがございます。
ただ、現在の場合、いわゆる日本の場合の政府系情報のシステムといいますのは、それぞれの自治体がベースとして作っていて、それをつなぐという形になっているかなというふうに思っております。そこでなかなか、それぞれの自治体の規格とほかの自治体の規格と合わないと。今、国で、ガバメントクラウドもそうですけれども、統一することを進めているわけですけれども、なかなかそこの調整に手間取っているのかなというふうに思います。
ただ、諸外国を見ましても、こうした情報インフラといいますのは、例えば交通でいいますと線路の幅なんかと同じなんですし、電力のヘルツ、周波数も同じですけれども、全国統一することによって、統一の規格によって情報の共有が可能になる、このメリットというのは非常に大きいと思います。
それをどういう形でするかということを今進めているわけですけれども、それが非常に、例えば財政的に苦労されているところにおきましてはサポートをするということ、今でも行われておりますけれども、それを早く進めるということが必要なのかと思っております。
何よりも、そうした共通のシステムで動かしていくということが、それぞれの自治体もそうですし、全国的にも大変メリットが大きいということを理解していただくということが重要ではないかと思います。
以上でございます。
○原山委員 次に、国民の信頼確保について伺います。
行政デジタル化は利便性を高める一方、障害や情報漏えいがあれば国民の不安や不信を強めるおそれがあると思います。政府や自治体は平時からどのような説明や情報発信を行うべきでしょうか。また、万一障害や情報漏えいが発生した場合、どのような初動対応、情報開示、原因検証、再発防止のプロセスがあれば信頼回復につながるとお考えか、御提言をお願いいたします。
○森田参考人 お答えいたします。
まず、国民の信頼を得るためには何が必要かといいますと、やはりこのシステムといいますか、デジタル化し、データを使うことによってどういうメリットがあるのか、それを、できるだけ具体的なユースケースを紹介しながら国民に納得していただくというのが必要ではないかなと思っております。
どうしても、リスクの方は非常に強調され、具体的なところがございますけれども、メリットについては見えにくいと。にもかかわらず、多くの国民の方は実際にはデジタルを使っていろいろな意味での、電子マネーにしましてもそうですし、早いところでは高速道路のETCの仕組みもそうですけれども、利便性というものは御理解いただいていると思います。それをどういう形できちっと理解していただくように進めていくかというのが大変重要ではないかというふうに思っております。
そして、情報漏えいしたときにどういう形で対応すべきかということですけれども、一つには、実際の情報漏えいということがどういうことなのかということについて、これももう少しきちんと説明する必要があるのかなと思っております。
ちょっと誤解を招くと困りますけれども、情報漏えいしても差し支えないと言うつもりは絶対ございませんが、少なくとも、何らかの個人情報が漏えいしたときに、それが、漏えいする確率、そしてそれによって個人が識別される確率、そして識別された上で、先ほどもお話がございましたけれども、差別なりなんなりの権利の侵害であるとか不利益を受ける確率、だんだん小さくなってくるかと思います。そうしたことについてどれくらいの実際にリスクがあるのかということ、それをやはりきちっと表に出して議論していくということが必要ではないかと思います。
もう一つは、そもそも漏えいしないようにするというのと、漏えいするといいますのは、システムのミスでもって漏れてしまうということもありますけれども、やはり悪意を持った人間がそれを探っていくということがあろうかと思います。
デジタルシステムが進んでおります例えば北欧諸国の場合ですと、個人情報に対して誰がアクセスしたかというアクセスログをきちっと取っておいて、そしてアクセスした人に対して、された側が不信がある場合には、きちっと問いただして、それで責任を問うというような仕組みにしている。そういう意味でいいますと、どういう形で情報が使われているかということについて、情報主体といいましょうか、本人がきちんと確認できるような仕組みをつくっておくということがまず重要ではないかなと思います。
以上でございます。
○原山委員 最後に、ベースレジストリーについて伺います。
デジタル庁は、ベースレジストリーを行政手続のワンスオンリー化や手続簡素化を支える基盤と位置づけております。本法案が進める公的基礎情報データベースを住民利便に直結する仕組みとして機能させるために、何が最も重要でしょうか。また、成果が見えやすい分野としてどのようなユースケースから優先すべきか、御所見をお願いいたします。
○森田参考人 お答えいたします。
ベースレジストリーといいますのは、国、行政で所有しております我々の基本的なデータ、個人情報もそうですけれども、戸籍も入りますし、医療関係も入るかもしれませんが、いろいろなそういう情報ですし、それ以外の、例えば交通であるとか土地の利用状況であるとか、そういうものも入るかと思います。そうしたものを公的にきちっと保障するような形でデータを使えるようにしておく、そのことが持つ意義というのは大変重要かと思っております。
現在でも、本人確認の場合、どうするかといいますと、四情報でいいますと、姓名、性別、生年月日、住所等を確認しているわけでございますけれども、ユースケースに関して申し上げますと、私も年金をもらっているんですけれども、あのために何枚書類を出さなければ、今は少し簡略化されましたけれども、ならないか。そして、その都度、名前と住所と書かされるわけでございます。
これは、確かに、もらうためには必要なのかもしれませんし、それで確認することによって事務が進むんですけれども、今の技術を使えば、一回何かをそこで登録すれば全部自動的にそこで情報がつながるという仕組みがあれば、どれほど便利になるか。現在、マイナポータルでかなりそれが進んできているとは思いますけれども、実際、ワンストップにしましても、一か所で入れる。
更に言いますと、私の場合もそうですけれども、同姓同名で同じ生年月日の人が世の中にはいるわけです。そうしますと、そこで間違えないように確認するためにどれぐらいの手間がかかるのか。それを避けるためには、現在もそうですけれども、唯一無二で不変であり、悉皆性があって、お一人一つのIDというようなもの、これは、ほかの国ではそうしたものを使うことによって確実な本人確認と情報の連携を図っているというところでございまして、我が国の場合には、それのリスクもございますけれども、それも含めて利便性とともにきちっと議論をして評価をしていく必要があるのではないかなと思います。
よろしゅうございましょうか。以上でございます。
○原山委員 ありがとうございました。
本日いただいた御意見を今後の国会審議にしっかりと生かしてまいりたいと思います。ありがとうございました。
これで私の質疑を終わります。
○橋本(岳)委員長代理 次に、西岡義高君。
○西岡(義)委員 国民民主党の西岡義高です。
参考人の皆様、本日は御出席いただきまして、ありがとうございます。
私の方からは、皆様に対していろいろ意見を伺っていきたいと思います。
まず、安全保障の観点から皆さんの御評価を伺いたいと思っております。
今回の法改正では、行政データにアクセスできる認定事業者の中に外国の情報機関とつながりがある事業者が巧みに入り込んでしまうリスクであったり、特定生体個人情報に対する利用停止請求の要件が緩和されることによりまして、外国の工作員やテロ容疑者が監視から逃れるために自らのデータをシステムから消去させるよう要求するなど悪用される懸念があるですとか、様々な安全保障上の懸念点が指摘されている部分もあるかと思います。
今回の法改正によって、カウンターインテリジェンスに与える影響、また、逆にデータの利活用が進んでインテリジェンス機能が強化されるなどのプラスの部分もあるかと思います。安全保障に対して、どのように皆さんは評価され、影響があるとお考えになっているのか、順に御意見をいただければと思います。
○森田参考人 お答えいたします。
安全保障上、データ利用ができるようになった場合、どういうリスクなりメリットがあるかというお話だったというふうに理解いたしました。
大変これは難しい問題でありまして、データを集めて利活用することによって得られるメリットが大きいわけですけれども、逆に国益を損なうようなリスクも発生するということだと思います。ただ、リスクが発生するからデータを集めないようにするというのは、これはまた本末転倒な話かなと思っておりまして、基本的には、まず技術的な形でどうやってそれを保護していくか、ちょっとその技術の話になりますと、私はお話しする能力がございませんので、専門の方の御意見に委ねたいと思いますけれども。
そうした形であるとともに、もう一つは、やはり、先ほども申し上げましたけれども、制度を使うときの、これも個人情報をさらすという意味ではございませんけれども、やはり何にどういう形で使われているか、どういう人たちがどういう目的で使っているかについてきちっとチェックをする仕組み、そして可能な限りそれを公開していくような仕組みで、やはりそういう海外を含めてですけれども、悪用されないような形の制度的な仕組みとそれを受け止める、監視をするといいましょうか、お互いにチェックをする意識というものをどう醸成していくかということがやはり重要かなと思っております。
私から申し上げられるのは以上でございます。よろしゅうございますか。
○森参考人 御質問ありがとうございます。
私の方からは個人情報保護法の改正について申し上げたいと思いますが、先ほど来話題になっております統計等特例、こちらについて、私は御報告の中で誰でも手を挙げられる仕組みは危険であるというお話をいたしました。外国事業者に関しては、日本の法律を守れるような体制を整備しているという条件はついているわけですけれども、それはあくまでもガバナンスのリソース、能力についてのことですので、そのような能力があれば外国事業者も手を挙げることができますが、果たしてそれでいいのかどうかということは、若干の問題はあろうかと思います、特に経済安全保障等の観点で。
ただ、そのように、少なくとも個人の観点からは、本人の観点からは権利利益の侵害が起こらないようにするという観点からは措置が一定程度取られているわけですけれども、そこのところの安全保障上の問題というのはちょっとオープンになっているところはあるのかなという感じがしております。
以上でございます。
○村上参考人 お答えいたします。
安全保障については非常に難しい問題ではございますけれども、先ほどもお話ございましたように、技術によってここはかなり解決できることはあるのではないかというふうに考えております。
また、リスクがあるからといって使わない、これが私としては最大のリスクだと思っておりまして、諸外国はきちんとこういった技術を用いたリスクを回避しながらデータの活用を進めている中、リスクのところを取り上げてしまって、データを使わないということが安全保障以上のリスクになるのではないかというふうに考えています。
また、技術というふうに簡単に申し上げますけれども、技術そのものではなくて、これをどう運用していくかというところも非常に重要でございます。例えばアクセスログが取れるという技術があったときに、そのアクセスログをどのような形で監視していくのか、そしてそれをどのような形で管理監督していくのかというところ、この運用も含めた全体的な議論というのが必要なのではないかなというふうに思います。
最後になりますけれども、今まではかなり日本のデータというのは、個人情報に関しては利用というのは難しいものがございました。私は素人ではございますけれども、医療情報に関して、例えば、日本の国民のデータというのが使われないということであれば、もしかしたら、日本固有の民族に対する病気というものの解明が遅れる可能性もあるのではないかというふうに考えています。
ですので、この安全保障のところとそれからデータの利活用のバランスというのは非常に重要な問題でございますが、しっかり活用していくことで国民の利益につなげていくということが重要なのではと思っております。
私からは以上でございます。
○小原参考人 御質問ありがとうございます。
我々は個人情報保護法の方だけしか評価していないので、それに関連してお答えをしたいと思います。
現在、マイナンバーという制度があって、マイナンバーであってもそれぞれのデータは一覧して見られるわけではなくて、マイナンバーを使ってひもづけされているものだというふうに理解しています。
その上で、これを外国、それから民間企業を含めて共同利用するということであれば、先ほど申し上げたとおり、個人情報は匿名化していただきたいと思いますし、匿名化して別に管理していただく、外国人ばかりを責めるわけではございませんけれども、何かあって、こちらのデータを書き換えたとしても、国が持っているデータを書き換えるのは別の話ではないかというふうに考えてございます。マイナンバーと同じように、個別に管理していただくのが適正かと思います。
よろしくお願いいたします。
〔橋本(岳)委員長代理退席、委員長着席〕
○西岡(義)委員 ありがとうございます。
では次に、今回、個人情報保護法の方に子供にとっての最善の利益というような文言が盛り込まれております。昨今、急速なデジタル化やAIの進化、インターネットやSNSの普及によって、子供の権利というものが脅かされる場面というのも増えているかと認識しております。例えば、私の子供の頃の顔写真で四十九歳の今の顔が検索できてしまうというようなこともございますので、例えば、子供が今撮られた写真が将来どのような使われ方をしていくのか、そういったリスクもあるのかと思います。
子供の権利を守るという見地から、本当に大枠の話になってしまうんですけれども、具体的な規制の必要性であったり、この分野における子供の権利を守っていくということに対してどのような手段をやっていけばいいのか、ちょっと大枠の考えなんですけれども、皆さんの御意見を伺えればと思います。また、皆さんに伺いたいので、本当に、順番は逆でもよろしいですか。
○小原参考人 ありがとうございます。ゆっくり考えようかと思っておりましたが。
ただいまの、子供の頃に撮られた写真がどういうふうに使われるのかというのは、先ほど弁護士の先生がおっしゃったとおり、データ提供する時点ではいいよと言ったものの、大きくなったときにそれはやはりよくないと考えることがあるかと思いますので、子供のときにいいと言ったことであっても、やはり消去できるような権利というのは担保する必要があると思います。
関連して、教育現場からはこの改正法で懸念をする声が聞こえてきておりまして、例えば、学校現場では、親の所得の多い少ないによって、子供の虫歯の数が多かったり少なかったりするということや、若しくは学力に差があるということが議論された、若しくは議論されているというふうに伺っています。これを、AIを使って更に拡大していくと、親の所得が低い人は子供は虫歯になりやすい、虫歯になりやすい人はこの病気になりやすいというふうになっていって、親の所得が低い人は採用しない方が企業にとってメリットがある、例えばこのような使われ方をするんじゃないかということを懸念してございます。
ということなので、AIも含めた統計等を活用されるのであれば、その使い方も含めて厳格に管理する必要があるというふうに思います。
よろしくお願いいたします。
○村上参考人 お答えいたします。
私は技術者でございますので、技術の観点から申し上げたいと思います。
子供の権利が脅かされるというところ、これは、SNSを例えば未成年あるいは十六歳以下で使ってはいけないというところを既に実施している国というのがございますけれども、実際としては、抜け道というのが多く存在していて、結局、その抜け道を用いて使っていた子供というのが、逆に、使える国よりも更に危険に陥っているという事例があるというふうに聞いております。ですので、感情論で、子供は使ってはいけないとか、子供に触らせないといったことではなく、有効的に、何をすれば一番子供にとって利益になるのかというところを考えた、そういった法規制を技術とともに考えていくということが必要なのではないかなというふうに思います。
また、技術というのは進化しておりまして、例えば、先ほど例にお示しいただいたような、子供のときの写真で大人になってからが検索ができるというのはもう現実としてございますし、様々なその個人のデータを基にしたデータを再生成してしまうという、データを使って本人が嫌がるような画像を作ったりということができる現実がございます。
こういったことを技術的なことだけで阻む、あるいは規制するというのは難しいですので、そういったところを罰則も含めて、しっかりどういった規制が必要なのかということを丁寧に議論をしていくことが子供を守っていくということにつながるのではないかというふうに考えております。
私としては以上でございます。
○森参考人 御質問ありがとうございます。
私は、子供の情報の保護ということについて、一般的な考え方みたいなことをお話ししたいと思いますけれども、先ほど、医療の場面では利活用が優先するというお話をいたしました。それに対して、例えば広告のような商業目的ということであれば、これはやはり保護を優先していただくということになろうかと思います。
子供はどうなのかということになりますと、子供の場合、非常にビジネス的にも利活用の価値が高いですよね。ですので、これまで子供の情報についてのいろいろな検討に参加して拝見をしておりますと、いろいろな意見があって、やはり、それはビジネスとして便利に使えるようにしようじゃないかという御意見もあり、もちろん、子供のことなんだから子供第一という考え方もありました。
なので、いろいろな意見がある中なんですが、やはり、これは国民の多くの皆様が、子供のデータなんだから、それは子供の保護を第一に考える、使うにしても子供のために使う、子供が学習能力を向上させる、様々な能力を向上させることに使うのがいいんじゃないかと考えておられると思います。それは私は本当にそのとおりだと思いまして、やはり、いろいろなところでいろいろな議論がありますけれども、皆さん、そうはいっても、やはり子供のことなんだから子供一番で考えようじゃないかというふうに言ってまいりました。
今回の法改正で、実は子供の情報の保護に関する責務規定というものが提案されています。これは努力義務ですので、別に違反したからどうとか、そういうものではないわけです。じゃ、これは何の目的なんだというと、まさに、そういう考え方を皆さんで共有しようじゃないかということでして、子供のことを一番に考える形でデータの保護と利活用を進めましょうという規定が入っておりまして、これは私は今回の法改正の中でも一番いいものではないかと思っているぐらいですので、新たな法改正提案に従った、そのような運用がこれからなされるということを希望します。
以上です。
○森田参考人 お答えいたします。
非常にこれは難しいところで、私自身に関しても専門としておりませんけれども、いわゆる大人と違って、自身で判断をしたり、自分で権利を主張するということができない子供たちをどう保護するかということだと思いますし、それに対して、実際に個人情報を使う、あるいは最近の技術によってどういう権利侵害が起こるか、それに対してどのような対策を講じることかと思っております。
いろいろなケースが考えられますけれども、最初にお話がありました、例えば、親の所得と、歯の具合であるとか成績であるとか、その相関という、これについてはきちっとデータを取って分析をするということ自体は非常に重要であると思います。そして、歯の悪い子供たちをどうやって助けていくか、そのための政策に使うということは、むしろ子供の権利を保護することになるのではないかと思います。逆にそれが差別に使われるということになりますと問題になるということでして、そこのところは、誰が、どういう目的で、どのような形で使って外に出すのか、そこをどういう形でコントロールできるかというのが課題だと思います。大変難しいというふうに思っております。
もう一つ、SNSによって誹謗中傷をしてしまう、これがいじめの原因であるとかで問題になっておりますけれども、これに関して言いますと、やはり禁止をするというのは、今お話がありましたように、決していい結果を生むかどうかは分かりません。むしろ、やはり教育の中身の問題かなというふうに思っておりまして、ちょっと思い出しましたのは、昔、若者がバイクに乗って交通事故を起こすとき、バイクを禁止しようとしても結局減らなかった。むしろ、正しいバイクの乗り方、それを指導することによって事故を減らそうとした。そうした意味でのやり方の工夫というのが必要なのではないかなと思います。
以上でございます。
○西岡(義)委員 ありがとうございます。
引き続き、質問を続けさせていただきます。
AIの規制全般について伺いたいんですけれども、昨年はやったのが、写真をジブリ風のものに加工してというものがはやったときに、クリエーターの権利をどうするんだ、AI学習において、そういった議論がなされたと記憶しております。
今、この法改正の議論が進む中でも、やはりEU並みの厳しいAI規制が必要だという意見もあれば、その逆もしかりというところで、皆様御自身がお考えになるAI規制の在り方、我が国においてAI規制というのはどのような形であるべきかというところを、皆さんそれぞれのお考えをまた伺いたいと思います。そうしたら、またこちらの参考人の方からお願いできればと思います。
○森田参考人 これは非常に難しいところだと思います。
私自身は、今のAIが持っている力というのは大変大きいところでありまして、我が国において労働力が不足するときに、それを補うという意味でのAIの活用というのもございますし、さらに、医療分野で見ますと、これからはAI、特に生成AIによって、医師の負担が減ると同時に医療の安全性が非常に高まるというので、今、いろいろな形で開発が行われているところです。
ただ、裏返して、規制もあるということですね。基本的に、私自身が考えますのは、データそのものを使ってAIを進めていくというのはいいわけですけれども、それを、先ほど申し上げましたように、誰が何のために使うかということについて、きちっとコントロールする仕組みができるかどうか。できない場合に使わせるなというところはなかなか言いにくいところがございますけれども、それはきちんと管理していかなければならないと思います。
悪用するというリスクの話と、もう一つは、AI自体がまだ完全でない、それがいろいろな誤った結果をもたらすことについてどうするのか。そこはとにかく、私の考え方としましては、気をつけて使っていくことによって学習し、いい仕組みを考えていく方向がいいのではないかと思います。
したがいまして、最初はかなり厳しめに、使うな、使わせるな、安全なところだけ使えというやり方は、世界との関係も比べて必ずしも今はいい結果を生まないのかなというふうに思っております。
まだちょっと勉強不足ですので、その程度でお許しいただきたいと思います。
○森参考人 御質問ありがとうございます。
日本のAIの規制につきましては、規制強度が低いということは一般に共有されていると思いますし、恐らくその背景には、規制をすると産業振興が進まない、特にAI開発、AI利活用が進まないということだと思いますけれども、ちょっと私はこの点については若干疑問を持っておりまして、規制があったらその産業が進まない、進展しないというシンプルな因果関係が果たしてあるのかどうかということは、再考の余地があるのではないかというふうに思っております。
これは、例えば、高いレベルのAI規制を持っているEUのようなところで、それでは日本の商品が通用するのかというと、これはもちろんそういうことにはならないということかと思いますし、他方で、AIの、極めて強い力ですよね、極めて強い力を持つテクノロジーというのは、これはいい方向にも悪い方向にも働くんだと思います、ほとんどの場合に。
例えば、今、サイバーセキュリティーとの関係で、非常に機能の高いAIがあっという間に脆弱性を見つけ出すのではないか、そういうことが問題になっておりますけれども、先ほどのコンテンツ、手元の画像を改変してポルノにしてしまう、そういう能力も高い。そういうことになりますと、やはり機能の高いテクノロジーに対して一定の規制をするということは、これは権利利益の保護という観点からも合理性がありますし、それが産業の進展を阻むものなのかということについては慎重に考えないといけないのではないかというふうに私は思っております。
以上です。
○村上参考人 御質問ありがとうございます。お答えいたします。
AIの規制についてというところでございますけれども、これは昨年、日本でもAI法というのが成立いたしまして、しっかりこのAIの規制について考えていくということが進んだ昨年であったというふうに考えております。
諸外国と比べますと、ほとんど規制のないアメリカ、そして、きちんと規制はあって、確立しようとしているEU、これの間の、言ってしまえばいいとこ取りである、ハードローを用いてソフトローであるガイドライン等を規定するというこの日本の法律というのは、世界的に見てもかなり評価されているというふうに考えられます。
先ほどもお話がありましたように、何か規制があったら技術が進まないか、イノベーションが進まないかというと、技術、イノベーションを阻害してしまうような固い規制というのは推奨できないんですけれども、何をやってはいけないかということが明確にないまま事業者に任せてしまうと、逆に萎縮してしまうということが起こります。
そのために、国は、こういうことをやっていいよ、こういうことはやらないよということを、ハードローではなくてガイドラインで示すと、日本の事業者もしっかりそれを用いてイノベーションを加速させるということができるのではないかというふうに思います。
そのために、何がやってはいけなくて、法律で禁止されている、それから、何は、ここはやっていいという、安全地帯であるというブルーライン、これをしっかり示すことが必要なんですが、そのためには、国が、きちんとその規制をするために、やってはいけないことを、AIでやっているかどうかを測る能力というのを日本が持つということが非常に重要ではないかというふうに思っております。
私、ちょっと少し宣伝になりますけれども、私が所長をしておりますAIセーフティ・インスティテュートでは、先ほど申し上げたようなガイドラインの方を、例えば評価、どのような評価の観点を持てばいいのかという評価観点ガイドを出しておりましたり、あるいは、ほかの省庁と一緒になって事業者向けのガイドラインを出したりということもしております。
また、先ほど、測る能力を持つというところで、昨年の九月から、AIセーフティ・インスティテュートの強化策というのを議論いただきまして、しっかり国が、そのAIを、AIのモデルやシステムというのを測るための能力を持つということで今強化を図っているところでございますので、そういったところで、AIのイノベーションを加速するための規制というのをしっかり議論していければと思っております。
以上でございます。
○小原参考人 ありがとうございます。
私が配付させていただいた三ページから四ページにかけて、EUのAI規則を抜粋させていただきました。
先ほども発言させていただきましたけれども、活用に関しては、特定の人々の脆弱性につけ込むようなことはやってはならないであるとか、例示を、採用の例をお話しさせていただきましたけれども、評価又は分類に使ってはならないであるとか、若しくはプロファイリングに活用してはならない、そして、四ページ目に入らせていただいて、人種、政治的意見、労働組合への加入、宗教又は思想、性生活、性的指向、日本だと性自認もそうかもしれませんけれども、そのようなものを推測又は推論する目的で活用することはあってはならないと考えます。
そうならないために、今回は特例で、大量な情報を処理して、個人の特定ができやすくなるリスクが高まるものというふうに理解してございますので、データは少なくとも仮名化していただきたいと思いますし、政府、行政機関が持っているデータは匿名化すべきだと考えております。
先ほど村上委員から御紹介した内容では、匿名化したり、意図的にノイズを加えたとしても、それは最後、マスキング、フィルタリングということは、出てきてしまったものを抑えなければならないということは、出てくる可能性はゼロにならないというふうに理解しましたので、是非、まずは、データを渡すときに仮名化若しくは匿名化をしていただくということと、技術でしっかり抑えていただく、両論必要かと思います。
どうぞよろしくお願いいたします。
○西岡(義)委員 御丁寧にお答えいただき、ありがとうございました。
時間ですので、終わります。ありがとうございました。
○丹羽委員長 次に、谷浩一郎君。
○谷(浩)委員 参政党の谷浩一郎です。
本日は、参考人の皆様、お集まりいただきましてありがとうございます。
私は、デジタル化やデータ利活用そのものを否定する立場ではありません。行政の効率化や、そして国民サービスの向上に資するデータ活用は必要だと考えております。
ただし、本日審議のデジタル行政推進法等改正案、そして個人情報保護法改正案では、本人同意なく個人情報を含むデータが取得、提供され得ること、さらに、データの加工やクレンジングを誰が担うのか、そして、AIによる再識別をどう防ぐのか、違反時の罰則や救済が十分なのか、そのような点に大きな疑問を感じております。
そこで、国民の重要な財産である、資産である行政機関の保有するデータ、特に個人情報がしっかり守られている制度となっているのか、そういう観点からお伺いをいたします。
まず、森田参考人にお伺いいたします。
国等データを認定事業者に提供するに当たり、提供元である行政機関側があらかじめ必要な情報だけを抽出し、そして、不要な個人情報を削除、加工する、いわゆるクレンジングを行うとすれば、相当な事務負担が生じるかと考えています。
国や自治体が提供前に生データを確認し、必要最小限に加工する作業を担う場合、どの程度負担が発生するとお考えでしょうか。また、現在の行政側にその作業を適切に行うだけの人員や専門性、技術的能力が十分にあると考えるか。その辺り、御意見を伺います。
○森田参考人 お答えします。
と申しましたけれども、ちょっと、具体的にどれぐらいの事務負担が発生するかということについては、まだ現段階で私は何ともお答えしかねるところでございます。
いずれにいたしましても、行政が全部それをやるといいましょうか、きちっとした形で委託、委任をする、そういう仕組みになっていたかと思いますが、その限りで、きちっとそれを監督するという形でデータを利用させるということになるのではないかなと思います。
よろしいでしょうか。
○谷(浩)委員 ありがとうございます。
これからどれぐらい、そういった事象といいますか、データ、要請、出してほしいということが起こり得るのかというのはちょっと未知数なのではありますが、これは、やはり情報というのは現代の石油と呼ばれるほど非常に大切なものでありまして、非常に今需要が高いのかなと考えておりますので、この辺り、情報をクレンジングする能力というのはこの法案の中にしっかり書き込むべきなのかなと私は考えております。
次に、森参考人にお伺いいたします。
火曜日、委員会質疑がございまして、そして、統計作成等で利用する場合、国や企業、個人事業主までもが、氏名、住所、病歴などの個人情報を本人同意なく取得し得るという答弁がございました。さらに、提供側で氏名等を削除してから出すのは負担が大きいため、一旦、データを活用したい側に渡して、そして、必要のない部分を事業者側で削除するという趣旨の答弁もあったんです。
しかし、事業者側に生データを渡してしまえば、事業に不要な個人情報まで、一時的にせよ、事業者が確認できることになるということであります。
個人情報保護の観点から見て、本人同意なく提供されるデータについては、提供前に必要最小限に絞ることを原則とすべきと考えておりますが、事業者側にクレンジングを委ねる制度設計について、御意見をお伺いいたします。
○森参考人 御質問ありがとうございました。
先ほどのこととも若干重複いたしますけれども、やはり私は提供元で一定の匿名化をしてもらえるのではないかと思っておりまして、申し上げましたように、特に、今、統計等特例で前提とされているのは第三者提供の場面ですので、その場合、統計特例の対象となるのは、これはデータベース化された個人情報の提供ということになります。そうじゃなければ、そもそも同意が要らないということですね。ですので、そういう場合には、データベースの一定の部分を削除してくださいということは、そんなに高いハードルではない。
それから、ハイブリッドのものももちろんあると思いますけれども、その場合は、もちろん、いろいろな考え方があると思いますが、少なくともデータベースのところはこうしてください、ちゃんとやってくださいということは、それは全然無理ではないと思っております。
また、法文のもしかしたら制限というのもあるかもしれず、今のところ、統計作成等というのは、これこれする行為のうち、その権利利益の侵害が低いものとしてということになっておりますけれども、その行為については、これは確かに統計作成者が、AI開発者が行為をするわけですけれども、少し引いた目で見れば、それは提供を受けるところから、情報を収集するところからその行為というふうにも考えられますので、法令上の困難というのもそれほど大きくないのかなと現時点では考えております。
以上でございます。
○谷(浩)委員 御答弁ありがとうございます。
続けて、森参考人にお伺いいたします。
データを受け取る事業者側に安全管理義務や削除義務があるとしても、悪意を持って設立された事業者、経営難に陥った事業者、内部者による不正、再委託先からの流出などのこういったリスクは完全には排除できないと考えています。
例えば、病歴情報には、保険、雇用、金融、信用判断などに悪用される可能性があります。また、名簿業者、特殊詐欺グループ、無登録金融業者などに流れれば、犯罪に使われるおそれもあります。
個人情報は、取得されるだけで、どの程度悪用可能なのでしょうか。本人同意なく取得、提供される情報が広がることで、実務上、どのような悪用が考えられるのか、これに関して御見解を伺います。
○森参考人 御質問ありがとうございます。
誰でも手を挙げることになると危険というのは、全く御指摘のとおりでございます。
悪用につきましては、これは様々なことが考えられますが、特に私の方から申し上げたいのは、もちろん、統計作成者の下で大きくなったデータ、これは単に量が多いということだけではなくて、一人について様々なデータを持つ、突合をして、一人についてありとあらゆる側面を明らかにするようなデータを持つということが可能になるわけでございますが、これ自体、漏えいすれば、当然のことながら、単なる精神的ダメージというのも非常に大きいでしょうし、あるいは金銭的損害が生じるということもあるでしょう。しかし、それ以上に、そういうデータを使ってプロファイリングをされてしまう、その結果一定の判断を受けるというようなことがやはり出てきてしまうおそれということが、今注目すべきではないかと思います。
先ほど申し上げましたが、集団的プライバシーの話ももちろんそうなんですけれども、ケンブリッジ・アナリティカのような大きな事件も、かれこれ十年近くたちますが、それでもいまだにいろいろなところで議論になりますけれども、マインドハッキングに対する脆弱性を暴き出して、その人に特定の広告を見せるとか、その人に一定のレコメンドをすることによって洗脳に近いことになってしまうということでございますので。
そういったプロファイリングを挟むような、この人はどんな人ということがいろいろな側面から分かるわけですけれども、今手元にあるデータで分かっているだけではなくて、その先にある、その人の弱点とか、あるいは将来こうなるんじゃないかというような予測、この人は将来違法な行為をするんじゃないか、逸脱をするんじゃないかというようなことの予測、そういったことも可能になってくるんじゃないかと思いますので、そこに非常に注意していただくべきところがあるのではないかと思います。
以上です。
○谷(浩)委員 御丁寧にありがとうございます。
小原参考人にも伺います。
データ利用される国民の立場から見た場合、病歴、信用、家族構成、居住地域などの情報が本人の知らないところで分析をされ、そういった保険とか金融、福祉サービス等に影響することへの不安は大きいと思います。
個人情報、それも特に要配慮個人情報を守る観点から、どのような説明責任とか救済制度、こういったものが必要とお考えでしょうか。
○小原参考人 ありがとうございます。
救済制度よりも、やはり漏れないようにすることが大事かと思っています。ですので、法のたてつけ上は、既に公表されている要配慮個人情報と公表されていない要配慮個人情報は違うたてつけだと思っていますので、隠されている要配慮個人情報については本当に規制を緩めないでいただきたいというふうに考えてございます。
よろしくお願いいたします。
○谷(浩)委員 ありがとうございます。
次は、村上参考人にお伺いいたします。
今回の改正では、統計作成、AI開発の目的で、本人同意なく個人情報が取得、提供され得る場面が広がると理解しています。仮に、一度、氏名や住所を削除し黒塗りや匿名化をしたとしても、AIやほかのビッグデータ、公開情報と照合することで個人が再識別されるということ、技術的に可能だと思っております。
こういったこと、特に、病歴、教育情報、税情報、地域情報、家族構成などは、組合せによって個人が推定される可能性があると思うんですけれども、この辺りの御見解をお伺いいたします。
○村上参考人 御質問ありがとうございます。お答えいたします。
まさにおっしゃられるとおり、匿名で、例えば氏名を黒塗りにしたとしても、その後、ほかのデータを組み合わせることで本人を特定するということは技術的には可能だというふうに考えております。
そのために、それを特定されないように、先ほど御紹介したようなPETsなどの技術を用いて、ほかのデータをわざと混ぜることにより匿名が保たれるような、そういった技術というのを担保するということが非常に重要ではないかと思っております。
また、技術の観点で申し上げますと、絶対に漏えいをしないとか絶対に特定ができないということを証明することは難しいことでございますので、数学的に、個人が特定できないような、そういう技術というのを用いながらも、最終的に、もし特定をされてしまった場合に、どのような形で最終的な出口のところでガードレールを持つのかというところと併せた形で、総合的な技術の組合せで個人を守るということを考えていくことが重要ではないかと思います。
また、技術だけではこれは太刀打ちできない問題でして、例えば、運用であるとかそれを保護するための法制度、それと組み合わせた考え方で守っていくということが重要なのではないかというふうに思っております。
以上でございます。
○谷(浩)委員 丁寧な御答弁ありがとうございます。
PETsのことをおっしゃっていただきました。それは守る方ではありますけれども、例えばそういったもの、それを打ち破ってまた技術を取る、そういった技術も恐らくは日進月歩で進んでしまっているかなと思うんですが、その辺りに関してはちょっと、私、存じ上げませんので、そのPETsにいわゆる対抗するようなものに関して何か御存じであれば教えていただければと思います。
○村上参考人 ありがとうございます。お答えいたします。
おっしゃられるように、技術というのは、こちら側が持っている以上に対抗する悪意を持った人が持っていると、それを打ち破られてしまうという危険性がございます。
そのためには二点必要なものがあると思っておりまして、まず一点目は、やはり最新の技術というのをしっかりと業者、個人情報を取り扱う業者というものにしっかり持っていただくということをきちんと推奨するということ。そして、二点目は、個人情報を持つ、取り扱う事業者に対して、どのようにそれを取り扱っているのか、ガバナンスしているのかということ、透明性を高くしていただくということ。この二点が重要ではないかというふうに考えております。
以上でございます。
○谷(浩)委員 ありがとうございます。
続けて、森参考人にお伺いいたします。
EUの一般データ保護規則、いわゆるGDPRでは、匿名化データについて再識別が合理的に不可能であるということが重視されていると理解しております。日本でも、本人同意なく行政データを提供する場合には、国民の権利利益を害するおそれがないという抽象的な基準にとどめず、再識別が合理的に不可能と言えるような厳格な基準を設けるべきではないかと思っておるんですが、その辺り、御見解をお伺いいたします。
○森参考人 御質問ありがとうございます。
今の御質問は全く先生のおっしゃるとおりだと思っておりまして、私としましては、やはり統計を作るときに、それは、様々なデータと突合し、あるいはAIを使えば再識別できてしまうというような統計ではそもそも駄目ではないかと思っておりまして、先ほども申し上げましたけれども、公的統計と同じような安全性があるということ、同じ属性を持っている人がかなりの人数確保されている、どこまでいっても一人にならない、もし一人になってしまうようなものがあれば、その部分については行を削除するというようなことをして、安全性を確保して、いろいろな技術を使っても再識別されないようなものがここでいうところの統計ということではないかと思っております。
以上です。
○谷(浩)委員 ありがとうございます。
そして、更に森参考人にお伺いいたします。
個情法の改正のことに関してなんですけれども、課徴金に関して、先ほどいただいた資料の中にも書いておられましたが、こちらの中でも、算定方法が違法行為によって得られた額になっているということでありますから、課徴金に本来期待される抑止力がないという点、これは私も非常に問題だと思っております。
こういったことによって得られた利益だけを吐き出せば済むというのであれば違法行為を思いとどまらせる効果は極めて低いというべきだ、私も全く同じ認識でございまして、例えば、この辺り、海外では売上高連動の制裁とかそういったことがあるかと思うんですが、これに関してどういう認識でありましょうか。課徴金に関しても、どの程度のものに設定をした方がいいとか、そういった御意見がありましたら、いただけたらと思います。
○森参考人 御質問ありがとうございます。
まさにこの点も御指摘のとおりでございまして、違法行為で得られた額というのは、それはちょっと論外ではないかとは思っておりまして、EUのように、GDPRだけではありませんけれども、全世界の売上高の何%とか、そういった当該違法行為とは切り離した金額、絶対的な金額を決めていたり、売上高連動で幾ら幾らいずれか高い方とか、そういった方法が合理的だと思います。
また、日本の法令でも、そういったものを使っているものというのはないわけではありませんので、これはそういったアプローチも十分可能なのではないかと思います。
ただ、今回、私も、それは全くおっしゃるとおりだと思いますけれども、長年の課題であった課徴金が入ってきたというのは、これは非常に大きな課題のクリアであると思いますし、そこは評価したいと思いますので、金額の問題というのは、これは今後の立法的課題であるということを附則等で確認をいただいて、まずは課徴金を入れてもらったということはよかったなとは思っているわけでございます。
以上です。
○谷(浩)委員 ありがとうございます。
続けて、森参考人に伺わせてください。
今の個人情報保護法の方では、三十四条、報告徴収、そして第四十条が違反に対する罰則だということで、罰則が三十万以下のものだとかそういったものがあったり、課徴金に関しても、今そういったことで、一歩前進したということでありますが、国等データの方ですね、ですから、デジ行法と情促法の方には、そういった罰則に関することは一切書かれていない、見受けられないわけでございまして。
例えば、こちらの方は、認定事業者の認定を取り消すとか、そういうことはあるんですけれども、罰則に関しては何もないわけですね。この辺りに関してどう思われるかという御見解をお伺いしたいんですが。
○森参考人 ありがとうございます。
私、デジ行法の方の専門性がありませんので、ちょっとお答えしていいのかどうかはばかられますけれども。
やはり、デジ行法で想定されているところのデータへのアクセスみたいなことについて、非違行為といいますか、想定されているのと違う用いられ方をして、それによって個人の権利利益が侵害されるということになれば、それは罰則なり制裁金なりがあるべきであろうかなとは思います。
○谷(浩)委員 ありがとうございます。
森参考人に伺います。
今回の法案の検討過程では、違反行為の迅速な差止めや被害回復を個人に代わって消費者団体などが行える団体訴訟制度というのが検討されていたと承知をしています。しかし、今回の法案では見送られたということ。
個人情報が漏えいしたり不適切に利用されたりした場合、個人が一人で違法性を把握し、事業者と争い、差止めや損害回復を求めるのは非常に困難かと考えています。ビッグデータを扱う以上、事故が起きれば多くの国民に影響が及びかねないというわけです。この分野においても団体訴訟制度が必要ではないかと考えますが、御見解を伺います。
○森参考人 御質問ありがとうございます。
先ほどのことと若干重複しますが、団体訴訟は非常に重要なものとして、今回の改正でも当初は入ることが予定されていたわけでございますので、そしてまた、個人情報保護委員会の法執行リソースが限られている中で、権利利益の侵害を防止する、あるいは受けた権利利益の侵害を回復するという点で重要な価値を持っていると思いますので、団体訴訟も立法的課題として改めて御確認をいただきたいというふうに思います。
○谷(浩)委員 非常に参考になりました。皆様どうもありがとうございました。質問を終わります。
○丹羽委員長 次に、武藤かず子君。
○武藤(か)委員 チームみらいの武藤かず子です。
本日は、参考人の皆様、いろいろな御知見をお聞かせいただきまして、誠にありがとうございます。
私どもチームみらいとしては、データ利活用を前提とするサービス提供を萎縮させずに、同時に、個人情報が適切に、適正に取り扱われるよう、丁寧な検討のために御質問をさせていただきたいと考えております。
まず、村上参考人に二点お伺いさせてください。
まず一点目です。本改正案においては、AI開発などのためのデータ第三者提供について、本人同意を不要とする統計作成等の特例が新設されます。村上参考人は、経団連の改正論議の中で、利活用を起点としたガバナンス再設計を提唱されておられました。本特例は、その方向性に沿うものと評価されていらっしゃいますでしょうか。また、特例の運用に当たって、AIモデルの評価や安全性の検証など、ガバナンスを整える側として、AISIが果たすべき役割をどうお考えか、お伺いしたいと思います。
二点目に関してです。シンガポールでは、今日の御説明の中でも御紹介がありましたPETs、このPETsのサンドボックスやAIベリファイなどを事業者が安心して実装できる支援ツールが政府主導で整備されております。村上参考人は、AI安全性と企業データ活用の双方を実務として担われていらっしゃいますが、PETsですとかAIの評価ツールを、スタートアップを含む事業会社、事業者が実装を支える上でどの程度有効か。また、日本としてどのような制度的後押しがあると安心して事業者が実装に進めることができるかというところ。
二点、御見解をお伺いしたいと思います。
○村上参考人 御質問ありがとうございます。お答えいたします。
まず一点目でございますけれども、この改正案でございます本人同意不要のデータの供出につきましては大変評価をしております。
先ほども述べさせていただきましたけれども、利活用を前提にして、データを、今まで個人情報の本人の同意を個別に取らなくてはいけなかったということは、他国と比べましても劣後しているということは否めないところでございましたが、今回の法改正によりまして、そこの部分が、利活用が加速するということを促進するものではないかというふうに思っております。
一方で、やはりそれに伴うリスクというものをしっかり考えなくてはいけないと思っております。私は、企業でチーフデータオフィサーをしておりますけれども、企業の中でのデータガバナンスというのは苦労しているのですけれども、日本の企業の中では、特にデータガバナンスの苦労というのは多くあるように思っております。
これの特性の一つといたしましては、日本人同士というのは、今まで、どこに何があるということをお互い理解しながら、あうんの呼吸で仕事を進めていたという背景があると思っております。一方で、欧米では、全てドキュメント文化でございますので、どこに何があるのか、あるいは何をどういうふうに使うのかということをドキュメントにしています。
これは、人材流動性が高いということも背景にはあるのですけれども、利活用をしていくためには、リスクを減らすためにも、しっかりとこのようなデータガバナンスというものが企業あるいは国の中で浸透していくということが、データの利活用を安全に進めるということの必須条件ではないかというふうに思っております。
そういった点でも、私どもAIセーフティ・インスティテュートでは、データガバナンスに対するデータ品質のガイドラインというもの、あるいはガイドブックというものを出させていただいておりまして、このような活動の後押しというのをしていく所存でございます。
二点目でございます。
先ほどシンガポールのPETsのサンドボックスの例を出していただきましたけれども、やはり事業者が個別に、自分たちだけでこのような評価を行っていくということはかなり厳しい、特に中小のサイズの企業体では、そのようなところを、その部分に投資をするということはかなり難しいということは認識をしております。
やはり、その部分をどこまで国としてサポートしていくのかというのは、議論のあるところではないかというふうに思います。特に、AIの評価というのは、先んじてAIの評価に関しては、評価観点ツールというものはオープンソースでAIセーフティ・インスティテュートの方から出させていただいておりますけれども、こういったところを、国がサンドボックスを用意して企業が使えるようにするのかというのは非常にいい問題だというふうに考えております。
そういった議論もしっかりして、皆様、事業者の方々のイノベーションの後押しというのをしていければというふうに思っております。
私からは以上でございます。
○武藤(か)委員 ありがとうございます。
次に、森参考人にお伺いをいたします。今回の改正で導入される課徴金制度についてでございます。
EU、GDPRでは全世界売上高の最大四%、米国カリフォルニア州、CCPAでは違反一件当たり最大七百五十ドルの消費者への損害賠償が認められております。
日本の今回の課徴金制度、利益剥奪型、また千人を超える大規模な事案が対象であるなど、これらが今回の制度の中身となっておりますけれども、諸外国と比較をして、どのように評価されておられますでしょうか。また、抑制力として実効的に機能させるために最低限必要な要件は何か、御見解をお聞かせください。
○森参考人 御質問ありがとうございます。
諸外国との比較ということですけれども、諸外国の制裁金と比較した場合に、額が低いということは極めて明白ではないかと思っておりまして、そういう意味では、効力についても当然弱いということになろうと思いますし、効力をしっかりしたものにしていただく、抑止力を持たせて権利利益の侵害を防ぐ、違法行為を防ぐということについては、これはまさに立法的課題として御確認をいただきたいところかと思います。
済みません。もう一つは何でしたっけ。(武藤(か)委員「抑止力を実効的に機能させるためには」と呼ぶ)なるほど、どんなものであるべきかですよね。
もちろん、これはやはり、どんなものであるべきかということですけれども、今、違法行為をやったらそれで得られた額を返すということですと、それは非常に抑止力が低い。それは、ちょっと試しにやってみるかという話になりますので、非常に抑止力が低いわけでございます。やはり、得られた額を超える部分を取られちゃうんじゃないか、つまり、この違法行為を私がやることによってもしかしたら大損するんじゃないかというふうに、違法行為を、違法かもしれない行為を考えている事業者に思っていただくということが抑止力の出発点と言えるのではないかと思います。
以上です。
○武藤(か)委員 ありがとうございます。
最後になりますが、森田参考人に二点お伺いをいたします。
森田参考人は、かねてより、入口規制から出口規制という考え方、つまり、データ取得のときの同意の原則を見直して、アクセス管理によって個人を守るという仕組みへの転換を提唱されておられたと認識をしております。今回の改正についてはその方向性への第一歩というふうに言えるとも考えておりますが、この転換をより実効的なものにするために、制度として最優先に整備すべき条件は何とお考えでしょうか。
二点目に関しまして、EUのGDPRでございますが、目的限定原則とデータ最小化原則を中心に据えた設計になっていると認識をしております。今回の統計作成等の特例については、これらの原則とどのように整合しているとお考えでしょうか。また、GDPRとの調和を図りながら、日本として、より日本社会に適した制度を設計していく上で、本法案の中で特に重要なことはどのような点だとお考えか、お聞かせください。
○森田参考人 お答えいたします。
入口規制から出口規制といいますのは、医療関係の情報で私が主張しているところでございますけれども、一般的な問題といたしまして、今回のデータの利用について、デジタル行政推進法の方になりますけれども、少なくとも、AIにせよ、そのほかの目的にせよ、なるべくサンプルが、十分なサンプルで、バイアスのないような形でたくさんのサンプルが使えるようにする、それがデータの持っている価値を引き出す最大の要因ではないかと思っております。
それが、入口でもってデータを出す、出さないとやりますと、そもそもデータが集まりませんので、それはある意味で保護になるのかもしれませんけれども、我々の社会が持っている大きな資源というものの、ある意味でいいますと使い方としていかがなものかということになっております。
ただし、これはケース・バイ・ケースといいますか、いろいろな分野によって情報の在り方、管理の仕方というのが違っているものですから、そこをよく踏まえた上で制度化を進めていくというのが必要ではないかと思います。
今回のデジタル行政推進法も個人情報保護法もそうですけれども、あくまでも一般法です。個人情報保護法の統計の話にもなりますけれども、少なくとも同意なしでも使えるような可能性をベースとして置いたということで、やはりここはどうしても同意が必要だという分野があれば、それについては、そうした形での規制といいましょうか制限を、これは国民の権利義務に関わることですから、できればきちっとした法律の形で制定していくことが重要ではないかと思っておりますし、私の最初の図でお示ししましたように、ヨーロッパの場合には、ああいう基本的な横串法といいましょうか、分野横断的な法制度をきちっとつくった上で、個別分野について特徴あるそれぞれの法律を作っております。
一例を紹介いたしますと、医療情報といいますのはやはりかなり特殊なものだと思います。多くの情報もそうですけれども、医療の場合には、我々は、受診したときに感じることでお分かりになると思いますけれども、たくさん自分自身の体の状態についてのデータがあればあるほど、いい治療が受けられるということになります。
我が国の場合には、それが機微性の高い要配慮保護情報であるので、なるべく使わせないように、見せないように、そういうのが保護、それが権利というふうに考えられていますけれども、ヨーロッパのEHDSを読んだ場合には、むしろ、それよりも、よりよい治療を受けるために自分のデータを使わせる権利、あるいは自分でそのデータを確認する権利、そういうある意味で真逆の方向の位置づけになっているかと思っております。
といいますのは、医療の場合には、自分の治療に使う一次利用と、研究とか開発とか創薬に使います二次利用とございますけれども、一次利用というのは完全に顕名のデータになります。匿名とか仮名化したのでは困るので。私の健康状態、医療、病歴については、過去のものも含めてですけれども、全部私につながってこないと駄目で、ほかの方のデータが入っても困りますし、欠落してもいい治療を受けられないわけです。そういう意味では、顕名の、ある意味ですと非常に危ないデータを扱うのが医療の世界ということになります。
しかし、それをすることによっていい診療を受けることができますし、あるお薬が効いているかとか、この病気にはどういう治療法がいいのか、その知識自体はそういう患者さんの情報を大量に集めて分析することによってその情報が得られるということになります。
そこでは誰かということは必要ではないんですけれども、ある人についての健康情報が全部きちっと集められないとその成果は得られないということになります。そういう意味でいいますと、医療分野に関して言いますと、ちょっと長くなりましたけれども、違う原則というものを当てはめていかないと、多分、GDPRあるいは個人情報保護法そのままではなかなか難しいだろうと思います。
そして、当然のことですけれども、一次利用のデータをそのまま二次利用に使えますし、二次利用で発見された結果を、例えば、あるお薬を使っている人は非常にリスクがあるとか、ある治療法が効果があるというときに、特定された方にその治療法を紹介するとか知らせるというのも、ある意味でいいますと御本人の医療の質を高めることになる。その意味でいいますと、一次利用、二次利用、顕名データと、ある意味で選別不可能にしたデータというものの常にやり取りというものをしなければいけない。
それを外に漏れないような形でどうやっていくのか。そこでヨーロッパはそれなりに工夫をしているところだと思いますし、我が国におきましても、長くなりましたけれども、基本的にはそうした形でのデータが利用できる、今までは入口規制でできなかったのができるようになったというところが今回の制度改正、法改正で、私は評価できるところだと思っております。
二番目の御質問に関しましてもかなり答えてしまったのかなという気もいたしますけれども、よろしいでしょうか。具体的にもう少し。(武藤(か)委員「お話しされて、大丈夫です」と呼ぶ)
○丹羽委員長 お話しいただいて大丈夫だそうです。
○森田参考人 済みません、二番目の質問をちょっと失念してしまいまして。
○武藤(か)委員 ありがとうございます。
二点目の質問でございます。
EUのGDPRは性質が少し異なるのかなというふうに理解をしております。と申しますのも、目的限定の原則とデータ最小限の原則というところを中心に据えた設計になっていると認識をしております。今回の統計作成等の特例については、これらの原則とどのように整合しているのか、もしお考えがあればお聞かせいただきたいと思っております。
また、GDPRとの調和を図りながら、今後日本社会により適した制度設計をしていく上で、今回の法案の中で特に重要な点というのは何か、是非見解をお聞かせいただければと思います。
○森田参考人 失礼いたしました。
御質問の趣旨は分かりましたが、実は、私自身はデジタル行政推進法の方で関わっておりまして、それについて今日も意見を申し上げたので、個人情報保護法について、細かい点につきましてはちょっと私自身答えかねるところがございます。GDPRの原則とどう違うのかということについて、ちょっと責任ある形でお答えをしかねますので、申し訳ございません。
ただ、日本の個人情報保護法と別な意味で共通のところはもちろんかなりございますし、違うところも、例えば医療分野なんかでも、先ほど出ましたけれども、生命、財産、公衆衛生、例外の場合の同意は不要というところでも、同意を取ることが困難な場合というのが、例えばまた医療になりますけれども、医療の場では非常に大きな問題になっておりました。そこはもう取らなくていいというふうにした方が患者さんのためになるのではないか、そういう考え方もあり得るところだと思いますし、どういう情報をどれぐらい取るかということについては、まさにこれはGDPRと共通しているところだと思いますけれども、比例原則でやるだろう。ただ、何が最小かというのはなかなか難しいところかなというふうに思っております。
いずれにいたしましても、個人情報保護法にしましても、一般原則を定めているので、それをそのまま適用していくということについては十分に注意をして、できることならば、先ほど申し上げましたように、領域ごとに応じた形での制度の在り方というものを考えていくのが、我が国の将来にとって、データを利活用していく上で重要ではないかと思っております。
お答えにならなかったかもしれません。
○武藤(か)委員 ありがとうございます。
以上で私の質問とさせていただきます。
今回の法改正、守るために止めるというわけではなく、信頼して使える制度に機能させていきたいというふうに思っています。本日いただきました御知見を今後の検討にしっかり生かしていきたいと思っております。
本日は御機会をいただき、ありがとうございました。
○丹羽委員長 以上をもちまして参考人に対する質疑は終了いたしました。
この際、参考人各位に一言御挨拶を申し上げます。
参考人各位におかれましては、貴重な御意見をお述べいただきまして、誠にありがとうございました。委員会を代表して厚く御礼申し上げます。ありがとうございました。
次回は、公報をもってお知らせすることとし、本日は、これにて散会いたします。
午前十一時四十六分散会