第6号 令和8年5月12日(火曜日)
令和八年五月十二日(火曜日)午前九時開議
出席委員
委員長 丹羽 秀樹君
理事 安藤たかお君 理事 上川 陽子君
理事 斉木 武志君 理事 田畑 裕明君
理事 橋本 岳君 理事 早稲田ゆき君
理事 阿部 司君 理事 日野紗里亜君
畦元 将吾君 石井 拓君
井原 巧君 尾花 瑛仁君
加藤 貴弘君 川崎ひでと君
神田 潤一君 こうらい啓一郎君
繁本 護君 鈴木 拓海君
高橋 祐介君 谷川 とむ君
田宮 寿人君 辻 秀樹君
辻 由布子君 西野 太亮君
古井 康介君 穂坂 泰君
丸田康一郎君 宮内 秀樹君
山本 深君 犬飼 明佳君
大森江里子君 長妻 昭君
山崎 正恭君 原山 大亮君
横田 光弘君 西岡 義高君
谷 浩一郎君 高山 聡史君
林 拓海君
…………………………………
国務大臣
(デジタル行財政改革担当)
(サイバー安全保障担当) 松本 尚君
デジタル大臣政務官
兼内閣府大臣政務官 川崎ひでと君
政府参考人
(内閣官房デジタル行財政改革会議事務局審議官) 山澄 克君
政府参考人
(個人情報保護委員会事務局長) 佐脇紀代志君
政府参考人
(こども家庭庁長官官房審議官) 水田 功君
政府参考人
(デジタル庁統括官) 蓮井 智哉君
政府参考人
(総務省総合通信基盤局電気通信事業部長) 吉田 恭子君
政府参考人
(文部科学省大臣官房学習基盤審議官) 堀野 晶三君
衆議院調査局地域活性化・こども政策・デジタル社会形成に関する特別調査室長 山本 麻美君
―――――――――――――
委員の異動
五月十二日
辞任 補欠選任
畦元 将吾君 辻 由布子君
谷川 とむ君 こうらい啓一郎君
宮内 秀樹君 神田 潤一君
犬飼 明佳君 長妻 昭君
高山 聡史君 林 拓海君
同日
辞任 補欠選任
神田 潤一君 宮内 秀樹君
こうらい啓一郎君 谷川 とむ君
辻 由布子君 畦元 将吾君
長妻 昭君 犬飼 明佳君
林 拓海君 高山 聡史君
―――――――――――――
本日の会議に付した案件
政府参考人出頭要求に関する件
情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案(内閣提出第五三号)
個人情報の保護に関する法律等の一部を改正する法律案(内閣提出第五四号)
――――◇―――――
○丹羽委員長 これより会議を開きます。
内閣提出、情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案及び個人情報の保護に関する法律等の一部を改正する法律案の両案を議題といたします。
この際、お諮りいたします。
両案審査のため、本日、政府参考人として、お手元に配付いたしておりますとおり、内閣官房デジタル行財政改革会議事務局審議官山澄克君外五名の出席を求め、説明を聴取いたしたいと存じますが、御異議ありませんか。
〔「異議なし」と呼ぶ者あり〕
○丹羽委員長 御異議なしと認めます。よって、そのように決しました。
―――――――――――――
○丹羽委員長 これより質疑に入ります。
質疑の申出がありますので、順次これを許します。神田潤一君。
○神田委員 おはようございます。自由民主党・無所属の会、青森二区選出の神田潤一です。
今回提出されているいわゆるデジタル行政推進法の改正案と個人情報保護法の改正案につきましては、非常に専門的な内容が多く含まれる一方で、国民生活に広く影響を及ぼし得る内容も含まれており、また、様々な立場によって、対立するような論点も多い法案という印象があります。
このうち、前者については、行政におけるデータの利活用を推進していくという比較的分かりやすい法案だというふうに考えておりますが、一方で、後者の個人情報保護法の改正案につきましては、個人情報の保護を強化するのが目的なのか、あるいは緩和することが目的なのか、その両方だということだと思いますが、なかなか微妙な、あるいは絶妙なバランスを形にした法案という印象があります。
私の質問時間は十五分しかありませんので、主に後者の法案につきまして、この法案の背景にある個人情報保護委員会としてのスタンスや考え方、あるいはその大きな理解につながるような質問をさせていただければというふうに思います。
まず一つ目になりますが、個人情報保護委員会の現在の手塚悟委員長は、昨年五月に委員長に就任した際のインタビューなどを拝読しますと、自らを法律家出身ではなくテクノロジー側だというふうに位置づけて、AI時代の個人情報保護は、事前に厳しい規制を課すのではなく、事後的に処分などの措置を講じる法体系が望ましいといった内容の発言をされていらっしゃいました。
その発言の背景にある考え方について、これは今回は委員長ではなく、事務方の方からということになると思いますが、少し詳しく教えていただければと思います。
○佐脇政府参考人 お答えいたします。
手塚委員長でございますが、委員長就任以前から、技術者としての知識経験を生かしまして、我が国のデータ利活用の基盤整備などに尽力されております。データ利活用の重要性について十分認識されている方だと承知しております。その一方で、データ利活用と個人の権利利益の保護は不可分一体の関係にありまして、個人情報保護法を土台とした上で適正なデータ利活用が行われるべきだという考えと承知しております。
その上で、特にAI開発などにつきましては、技術開発の進展の状況も鑑みながら、個人の権利利益を適切に保護していくための制度の在り方として、委員御指摘のような発言があったものというふうに承知しております。
そういったお考えも踏まえながら、関係するステークホルダーの意見も伺いつつ、委員会として議論し、今日の法案に取りまとめた次第でございます。
○神田委員 ありがとうございます。
法律家出身の委員長が多かったという歴史の中で、テクノロジー側というふうに位置づけて、こうした法案を取りまとめてこられた委員長の考え方が少し分かりました。
さらに、この二つの法律の改正案につきまして、このタイミングで束ねて提出した背景には、昨年十二月、高市総理から、日本を、世界で最もAIを開発、活用しやすい国を目指す法改正をしてくれという指示があったことがあるというふうに理解をしております。
個人情報保護委員会としては、データ利活用しやすい制度が求められる一方で個人情報の保護という本来の目的も遂行するという難しいバランスが求められているというふうに思いますが、今回の法改正では、このバランスを具体的にどのように実現しようとされているのでしょうか。
○佐脇政府参考人 お答えいたします。
御指摘のとおり、本法案では、適正なデータ利活用の推進を図るとともに、個人の権利利益を適切に保護するための所要の措置を講じております。
具体的に申しますと、例えば、我が国におけるAI開発を推進するために、AI開発に用いるための個人情報を含むデータの収集を容易にするものとして、統計情報の作成と整理できる場合の本人同意要件の特例を創設することとしておりますが、この特例につきましては、単に本人の同意に関する規制を緩和するだけではなくて、個人の権利利益の保護のために事業者に一定の義務を課すこととしておりまして、例えば、一定事項の公表を求め、透明性を確保するとともに、AI開発など以外のために利用することや第三者提供を禁止いたしまして、違反には課徴金を課すという執行をしっかりするための措置も講じてございまして、それにより保護と利活用の両立を図りたいというふうに考えてございます。
○神田委員 ありがとうございます。
個人情報の保護とそれから利活用の両立を図っていくという今回の法案の趣旨について御説明をいただきました。
今回の法律の改正案を見ますと、多くの重要な事項の具体的な内容が、政令や委員会規則あるいはガイドラインに委任されているというふうに認識をしております。
例えば、個人情報の取扱いに係る例外規定としての統計作成等、今もお話がありましたが、これの具体的な行為については、個人情報保護委員会の規則で規定するというふうにされています。また、個人データの第三者提供が契約の履行のために必要不可欠な場合、あるいは本人の同意に反しないために本人の権利利益を害しないことが明らかである場合は本人の同意を不要とするとしておりますが、具体的な部分はやはり個人情報保護委員会規則の方で規定するということにされています。また、個人データ漏えい等の発生時において、通知義務を緩和する場合、本人の権利利益の保護に欠けるおそれがない場合は通知義務を緩和するというような内容もありますが、これもやはり委員会規則の方で規定するというふうになっています。
ほかにもこうした規則やガイドラインに委任されているものがたくさんありますが、そうした点を踏まえますと、今後検討されるこれらの下位法令やガイドライン等の作成に当たっては、多様なステークホルダーとの間で双方向の実質的なコミュニケーションを確保すること、また、国民や事業者の双方が予測可能性を持てるようなスケジュールや検討状況の発信などにも努めるべきではないかというふうに考えますが、個人情報保護委員会としてはどのようにこうした取組を確保していくか、お考えを伺えればと思います。
○佐脇政府参考人 お答え申し上げます。
委員御指摘のとおり、個人情報保護法は、様々な事業者、規模や業種、あるいは営利、非営利を問わず、幅広い事業者に適用される一般法としての性格があるものでございますから、他法令でもそうでございますが、委員会規則やガイドラインといった下位法令などに具体的な運用を委ねているということでございますので、それがどう作られるかということで大きな影響が及ぶということでございます。
これを踏まえまして、本法案につきまして国会においてお認めいただきましたら、こういった下位法令等の立案、決定をしていくことになるわけでございますけれども、まずは、それを担います委員会につきましても、法律に基づきまして、個人情報保護の専門家から、民間企業、消費者の専門家、情報処理技術の専門家、さらには国、地方の行政といった様々な属性の委員から成る委員会で決定することになってございますし、決定に先立ちましては、委員御指摘のとおり、関係するステークホルダーから幅広く意見を伺いながら進めていくことになろうかというふうに思ってございます。
また、予見可能性ということは非常に大事だということでございまして、検討スケジュール、それの見通しでありますとか委員会での議論の資料などについては積極的に公表いたしまして、幅広い事業者や個人に対し透明性を確保した形で立案、決定に臨んでいきたいというふうに思います。
○神田委員 ありがとうございます。
是非とも、幅広いステークホルダーの皆さんとのコミュニケーションを大切にし、また、検討状況の発信などにも努めながら、できるだけ皆さんが納得するような内容の詰めを行っていただきたいというふうに思います。
少し具体的な内容に入ってまいりますが、今回の法改正で導入される中で、非常に大きな項目として、課徴金制度があると思います。
この課徴金が、個人情報の取扱事業者が課徴金の対象行為を防止するための相当の注意を怠った場合に課徴金が課されることになるということだと思いますが、この相当の注意の内容についてどういったものなのかを具体的に示すということが、事業者の予測可能性を確保したり、ひいては個人情報の適正な取扱いの底上げにつながるのではないかというふうに考えられますけれども、例えば、ガイドライン等の策定などを検討されているのか、個人情報保護委員会に伺えればと思います。
○佐脇政府参考人 お答えいたします。
相当の注意につきまして言及いただきました。
最終的には、事業の規模及び性質、取り扱う個人情報の性質、それからその量、取扱方法等を踏まえまして、個別具体的な事案に応じて判断するものではございますけれども、委員御指摘のとおり、事業者の予見可能性を確保しながら、納得感の中で法令を遵守いただくことがとても大事でございますので、その観点から、相当の注意に係る考え方を、他の課徴金などに関連します法令で予見可能性を高めるためにやっている実行例などを参照しながら、ガイドラインなどで適切に示していきたい、そのように思ってございます。
○神田委員 ありがとうございます。
やはり、課徴金については、事業者が非常に気にする、あるいは事業の萎縮につながるような可能性もありますので、是非とも分かりやすいガイドラインのような形で示していただくということを目指していただきたいというふうに思います。
子供のプライバシーや個人情報を守ることにつきまして今回の法改正で強化されたことも、大変重要な論点になるというふうに考えております。
一方で、これが、法定代理人の同意取得や年齢確認の方法などを画一的あるいは硬直的な方法で一律に義務づけたような場合には、形式的な同意手続だけが横行し、保護の実態が伴わないというような事態になる懸念もあります。また、子供が安全に利用できるサービスの選択肢が、逆に、不必要に狭まる事態なども懸念されると思います。
真に子供の権利利益を守るために、サービスの性質やリスクの程度に応じためり張りのある保護の仕組みこそが実効的と考えられますけれども、そうした対応の在り方をガイドラインなどで示すような考え方はあるのでしょうか。個人情報保護委員会に伺います。
○佐脇政府参考人 お答え申し上げます。
委員御指摘の年齢確認、それから法定代理人からの同意の取得の方法につきましては、様々な事業形態がございますので、事業の性質、それから取り扱う個人情報の状態に加えまして、個別具体的な事情に応じた適切な方法、それは様々であろうかというふうに思ってございます。
子供の個人情報の取扱いを伴うサービスの利用に際しての親や子供の状況、それから、そういったサービスの様々な具体例をよく勉強しながら、適切な方法を検討する際の、一律の基準は難しゅうございますので、どういったことに考慮しないといけないかという考慮要素でございますとか具体例を、事例をガイドラインなどで明確に示していきたいというふうに思ってございます。
本法案をお認めいただきましたら、法定代理人の関与を通じた子供の権利利益が保護できますように、しっかりと透明性の高い示し方を検討してまいりたいと思います。
○神田委員 ありがとうございます。
まさに、子供のプライバシーや個人情報の保護といった問題はデータの活用と保護のバランスが非常に求められる分野だと思いますので、是非とも丁寧にガイドラインなどで示すような取組を進めていただきたいというふうに思います。
最後になりますが、全体として、今回の法改正で、デジタル庁や個人情報保護委員会共に、権限や業務が大幅に拡大する、増大するということが予想される内容になっていると思います。
例えば、データ戦略の司令塔としてデジタル庁が指針を策定する、その際に個人情報保護委員会と事前調整するとか、あるいは、個人情報保護委員会がデータ利活用事業計画の策定に当たってデジタル庁と協力しながら事前協議をするとか、今あった課徴金制度の導入や勧告、命令要件の追加など、監視、監督などが必要になったり、非常に業務が増える面があると思いますが、必要となる体制の規模や予算確保の見込みなどについて、内閣官房と個人情報保護委員会、それぞれどのように考えているか、伺いたいと思います。
○山澄政府参考人 まず、デジタル行政推進法の方から御答弁させていただきます。
委員御指摘のとおり、本法案をお認めいただいた暁には、本法案の施行を担いますデジタル庁や事業所管省庁におきまして、施行に向けた指針の策定の準備ですとか、施行後におきます認定の関連の業務、新たな事務が生じるものと考えてございます。
その執行体制につきまして、現時点でその具体的な規模等をお答えすることは困難でございますが、今年の夏を目途に、デジタル行財政改革会議事務局の機能、業務が内閣官房からデジタル庁に移管されるということになっております中で、本法案の施行を十全に担える体制整備に努めてまいりたい、こう考えてございます。
○佐脇政府参考人 お答えいたします。
今回の個人情報保護法の改正案におきましては、課徴金制度の導入など、委員会の執行権限を大幅に強化することとしておりますので、まず、同制度の適切な運用を行うための監視、監督体制の強化が課題と思います。
さらには、昨今の技術進歩は著しく、利活用ニーズや新たなリスクを適切に把握すること、また、諸外国との必要な交渉、連携等を適時に実施することが一層重要となってまいります。さらには、デジタル庁との必要な調整などをしっかり行う必要もございますので、これらの業務を実施するための十分な体制の整備、具体的には、人員の増加、専門性の強化を含む個々の職員の能力の向上などにより一層取り組んでまいりたいと思っております。
○神田委員 大変重要な法改正になりますので、体制整備、予算の獲得に我々もしっかりとサポートしていかなければならないと思いました。
以上で質問を終了いたします。ありがとうございます。
○丹羽委員長 次に、長妻昭君。
○長妻委員 長妻昭です。よろしくお願いをいたします。
まず、今回の質疑、私の質問に対する答弁というのはAIで作られましたか。
○松本(尚)国務大臣 おはようございます。
今回は法案審査でございますので、非常に重要な内容ということで、まだちょっとAIに全部お任せするわけにはいきませんので、今回は作っておりません。
AIで作ろうが役所が作ろうが、僕は基本的に余り読まないので、余り変わりないんですけれども、今回はそういうことでございます。
○長妻委員 「源内」という答弁を作るAI、大臣の記者会見を拝見しますと、今年の三月中で、全省庁で千四百二十四回使用したというようなことでございまして、今後、AIが進歩すると、例えば、私の質問を全部読み込んで、パターンを見つけて、更問いに対する、追及に対するうまい答弁を返してくるような時代もすぐ来るんじゃないか。
そのときに、是非留意いただきたいのは、今までの政府の答弁を学習させないで、つまり、学習すると、はぐらかし答弁ばかり覚えて、何かうまく追及をかわすAIができてくると、こっちもAIを使わざるを得なくなるので、人間が要らなくなっちゃうんですね。だから、余りそういう変な話にならないように、効率的に過去の答弁の整合性をチェックするとか、そういう部分部分は私はいいと思うんですけれども、政治家が要らない世の中になるのは危うい。
今回も、AIとか統計作成等で、非常に個人情報の保護が緩和し過ぎているという強い懸念を私は持っているんですね。
配付資料の中で四つのケースを分かりやすくちょっと書かせていただきました。一ページですけれども、ちょっと一つ一つお伺いしていきたいと思うんですが、まず一つ、読み上げますと、「地方自治体が統計作成等で利用する場合、当該自治体内の住民個人の公開されていない病歴情報(氏名入り病歴等の要配慮個人情報)を取得する。」と。これは今回の改正案でできるようになったんでしょうか。
○松本(尚)国務大臣 ありがとうございます。
ケース一についてもそうなんですけれども、基本的に、地方自治体が統計作成で利用する場合には、住民情報の公開されていない病歴情報というのは、取得は可能になります。
○長妻委員 これは、もちろん、個人の同意なしで、大臣、同意なしでということですよね。
○松本(尚)国務大臣 おっしゃるとおりです。
○長妻委員 これは、余り、マスコミで報道が一切ないし、そういう説明も積極的に政府はされないので、大変私は気になるんですね。
今までは、こういう要配慮個人情報、七ページにあります、宗教が何の宗教ですかとか、思想信条とか病歴とか前科とか、あるいは健康診断の情報とか、要配慮個人情報については、もちろん、一人一人、個人の了解を取ってから取得したり第三者へ提供する、こういうことがあったわけですが、これが取っ払われたというのは、私はちょっと信じられないんですね。自民党の皆さん、どうですかね、お医者さんもおられますけれども。
つまり、例えば、公開されていない病歴情報、ちょっとつぶさに病気の名前は言いませんけれども、これはやはり極めて個人的なプライバシー、知られたくない病歴、あるいは、現に今どういう御病気にかかっているのか、あるいは医療的処置で、極めて個人的な情報というのはあるじゃないですか。これが、本名の名前つきで、例えばケース一、地方自治体が統計作成等で利用する場合、それを病院から取得するということもできる、本人の同意なしでですね、こういう法律なんですね。
例えば、首長さんが、住民を、ああ、この人はこういう病気なのかと、ちょっとちらっと見て、自分の地域の自治体の中ですから、あら、この方はこんな御病気だったのかと、こういうのを見るということもあり得ると思うんですが、首長さんが単に見るだけなら、別にそれを表に出さないで自分だけが見る、そういうことはできるわけですか。
○松本(尚)国務大臣 確認をしておきたいんですけれども、情報を集めるというのは、基本的に、何か目的があって集めるわけで、その目的については、情報を提供する側も、それからもらう側も、ちゃんとその目的を公開するということになっています。
今委員おっしゃったように、ちらっと見るというのは、そもそも、その時点で目的外ですから、それは法律違反ということになりますので、そういうことは決して行われないということは前提としてお話をしておかなきゃいけないと思います。
それからもう一つは、今、医療情報を委員はお話しされましたけれども、私も医者なので、そういった情報はたくさんこれまで扱ってまいりましたけれども、例えば、名前とか要配慮情報とかそういったものは基本的には消して出してくれというと、出す側は非常に負担になりますから、逆に言うと、もらった側がそれをちゃんと処理をして、必要なものは必要なものとして使う。それから、処理をした、余計なデータがありますよね、名前なりなんなり、そういうものはちゃんと確実に消してください、削除しなさいということは、明確に条件の中に入れておかなきゃいけないというふうには思っています。
○長妻委員 まず、ちらっと見るといったって、それを禁止できないですよね、名前つきで病歴が来るわけですから。それを、名前つきのリストで見てしまうということがあるわけですし、あるいは、名前を消すというふうな話がありますけれども、これは法律に書いてあるんですか。
つまり、病歴、二番目は、国も取得ができるということだと思いますが。消す、つまり、個人の名前と、恐らく保険種別と、御住所、何番地まで、これが入ってくると思うんですね、それで、どういう御病気かという病歴が渡る、ただ、その渡った後に、それを必ず消しなさいと。つまり、本名、住所、あるいは保険種別、それは消すというのはこの法律の中に書いてないと思うんですが、これはどうやって担保するんですか。
○松本(尚)国務大臣 これは、今委員おっしゃったのは、御懸念のとおりで、庁内でもその議論をしていたところなんですけれども、基本的に、統計作成を行う上で、必要のないデータということが明らかになった場合、いわゆる、今の、名前とか住所とかそういうものは統計作成上必要ありませんから、それがはっきりしたときは、その項目については、遅滞なく、提供先が、いわゆるデータを利用する側が消去するということが求められるというふうになっています。
これは、事業者が負う安全管理義務というのがありますから、その中で、安全管理ですから、そういったものが漏れないようにするということは当然ですので、漏れないようにするということは、そもそも、取っておいて、しまっておくんじゃなくて、必要なデータ以外のものはちゃんと消去してもらうということはちゃんと担保しなければいけないと思っていますし、この事業者が負う安全管理義務の中でそれは行われるものと承知しています。
○長妻委員 これは後で詰めますけれども、結局、法律には書いてないし、一回渡しちゃうわけですよね。渡す前なら、病院が消して渡すのならまだしも、それでも私は問題だと思いますよ、アルゴリズムの問題とかあるから。
では、先に進むと、ケース二ですね。読み上げます。国が統計作成等で利用する場合、国民一人一人の公開されていない病歴情報、氏名入り病歴等の要配慮個人情報を本人の同意なしに取得する。これは可能ですか、ケース二。
○松本(尚)国務大臣 一つ一つお話しになられておりますけれども、要配慮個人情報であっても、統計作成等の特例に基づいて第三者に提供することは可能、それはまた行政機関に対して提供することも可能であるということです。
○長妻委員 とすると、ケース三は、これは国を企業と読み替えるわけですね。ケース四は個人事業主ですね。
では、まとめて聞きましょう。ケース三、ケース四。取得する主体が企業、主体が個人事業主、そして要配慮情報、本人の同意なし、これもオーケーということなんですか。
○松本(尚)国務大臣 全て、ケース一から四まで、この特例の対象になるというふうに思います。
○長妻委員 これは、私は信じられないんですが、自民党はどうですか。まあいいかですか、いいと思いますか。(発言する者あり)統計作成等で利用するからいいんだと。
ちょっと、私、言葉は悪いかもしれない、無邪気だと思いますよ。そんな、統計作成等なんて、すごい広いじゃないですか。広いじゃない、それは。相当広いよ。しかも、名前、住所、何番地も入って、そして病歴、それを一回業者に渡しちゃうんですよ。あるいは、国とか自治体に一回渡して、業者の良識で、国や地方自治体の良識でそれは削除すべきものだと。だから、法律に書いていないわけでしょう。法律に書かないわけでしょう。
だから、私がちょっと申し上げたいのは、そもそもが問題なんですが、出す側、出す側というのは病院、医療機関だと思いますが、その側が、名前とか住所とか保険種別、まあ百歩譲って、年齢というのは分析に必要かもしれません、男女とか。それ以外の、個人の名前、住所、保険種別は出す側、医療機関が削除して、そして出すと。それも私はいかがなものかと思いますが、一番最低限、百歩譲って、それは法律に書くべきじゃないですか。あるいは、必ず担保できるということはあるんですか。
○松本(尚)国務大臣 先ほど申しましたように、僕も病院でデータを扱っていたので、そのデータを何か利用するから出してくれと言われたときに、きれいにデータがそろっているデータベースであれば、そこは削除して出すことは可能ですけれども、ばらばらの、すごくモザイクになったようなデータで、今の、名前とか住所を削除して出してくれというのは、相当な負担になります。
医療機関側の負担も考えなきゃ、提供する側の負担も考えなきゃいけないというふうに思いまして、そうなると、逆に、提供された側がちゃんと不必要なデータは削除するんだということを担保しなきゃいけないというふうに思います。
その際は、先ほど申しましたように、事業者が負う安全管理義務というのは、これは法律の中で決められていますから、安全管理義務の中に不要なデータはちゃんと削除しなさいということを、そこでちゃんと担保できるというふうに思います。
ですから、その点において、今、委員が御懸念の部分というのは解消されるのではないかというふうに思っております。
○長妻委員 何か、提供側の負担が重いから云々かんぬんと言いますが、個人情報ですよ。一人一人の病歴って皆さんのものですよ。個人のものでしょう。何で本人の同意なしに統計作成等というアバウトな形で提供できるのか。しかも名前つき、しかも住所つき、そして病歴。これについて、受けた事業者に一旦渡っちゃうわけですよね。その事業者の良識に任せて、不要なデータは削除すると。
そうしたら、確認しますよ、不要なデータを削除するの不要の中に、まず名前というのは、入るというのはどこに、不要なところに例示で書くんですか。
○松本(尚)国務大臣 それはどういう目的で使うかということだと思います。
ただ、今の話だと、例えば医療データをもって、それ用のデータを使って、何かしら治療薬を創薬していくことに使おうとした場合に、長妻という名前は不要だと思いますから、そういった意味においては利用者側が適宜判断するということになろうと思いますが、それでもし足りないということであれば、今後、個情委の規則で定める中で、そういったガイドラインを作って、一々、一つ一つそういったものは書き込むということは可能だろうと思います。
○長妻委員 今の聞きましたか。利用者側が適時適切に判断するわけですよ、名前が要る場合と要らない場合と。削除するかしないか。それ、まずくないの。だから、私はこの無邪気さが怖いんですよ。自民党のこの無邪気さが私は怖いのね。統計作成等ならまあいいんじゃないのかと、統計作成等だから。名前が出ないからいいじゃないかと言うんだけれども。
まず、統計作成というのも相当幅が広いし、個人事業主でも、統計作成等というふうになれば、それはできるし。しかも、常識ですけれども、例えば一つの重要な情報があって、それをシェアする人、共有する人が増えれば増えるほど、漏れるリスクも高くなるじゃないですか。誰だって分かりますよね。
だから、個人の了解を今までは取らなきゃいけないわけですよね。私とかあなたに、この情報を出していいですか、私は嫌だ、私はいい、今はそういう状況になっているわけですけれども、それを取っ払うということなので。しかも、今の話は、利用者が適時適切に判断するというようなことというのは、私は相当危ういんじゃないのかなというふうに思うんです。
もう一つ懸念するのは、国が例えば統計作成等で利用する場合ということなんですが、これは内閣委員会でも質問したんですけれども、かつて、新聞記事を五ページに入れておりますけれども、裁判資料も持っておりますが、岐阜県で風力発電を建設するときに、住民の方が風力発電建設反対運動をしたんですね。反対運動をされた住民四人の方の氏名、学歴、病歴を警察が情報収集していたんですね。それがばれちゃって、裁判所が確定判決で、それをシュレッダーで削除しなさい、こういうようなてんまつで、警察はシュレッダーで削除したわけです。
何で反対運動する住民の病歴を集めているんだと。これは、今日、ちょっと警察は来ておりませんけれども、警察に聞いても、それは言えませんということで、理由は明かしていないですね。反対運動の人の病歴を集めるというのは、私は何らかの利用価値があるから集めているわけですよね、手間暇かけて。
ちょっと怖い気がしますが、そういうこともあるので、国が、例えば警察が統計作成等といえば、個人のある意味では病歴データを集めることができるというスキームになっているわけで、私は、大臣もちょっと楽観的過ぎると思いますよ、ちょっとどころか。これは法律にきちっと書き込まないと危ういんじゃないですか、どう思いますか、野党の方も。今みたいなアバウトな、統計データとして名前は要るのかな、要らないのかな、業者が判断して、要らない場合は削除、要る場合は適切みたいな話というのは、どう考えても譲れないですよ。個々人の皆さんも心配になりませんかね。一人一人の、今どういう病気にかかっているか、どういう処置を過去されたのか、こういう情報が、非常に、本人の知らない形でそれが表に出るというようなことであります。
さっき局長からも御答弁がありましたけれども、それを一定程度通知するみたいな話がありましたけれども、これも私、役所に聞きましたら、通知というのは確かに、例えば、Aという会社が病歴を病院からもらったときに、そのAという会社のホームページの下の方に、ちっちゃくか大きくかは分かりませんが、病歴情報をもらいましたと一行書けばそれで事足りるということなんですよ。そんなもの、だって自分の情報がどの会社に行ったか分からないじゃないですか。一々全ての会社のホームページを毎日見て、でも自分が入っているかどうか、そんなもの分かるわけないじゃないですか。
そういういいかげんなことで、国会でちゃんとやっているみたいな話というのは、私はこれは大きい問題だと思うので、これは与野党対決の話じゃないですよ、大切な病歴の、ちょっとまずいと思いませんかね。
ちょっと、いろいろ法案修正、丹羽委員長にもお願いしたいんですけれども、是非法案修正、前向きに理事会で議論いただければ。
○丹羽委員長 後刻、理事会で協議いたします。
○長妻委員 これは、私も長年国会におりますが、これほど、ちょっと言葉は悪いですけれども、とんでもないものが出てきたというのは余り経験がありませんので、これは相当まずいですよ。まずいと思います。もう欧米に比べても、全然話にならないわけです。
その次に、では、歯止め策があるのかということなんですね。私も、日本のAIが遅れているというのは危機意識を持っています。利活用を進めなきゃいけない。やはりいろいろなデータを読み込む量が多ければ多いほどAIの精度というのは大きくなるというのも私も承知していますが、やはり物には限度というのがあると思うんですね。
基本的に、活用と保護のてんびんというのがあると思うんですね。当然活用しなきゃいけない、それは否定しません。AIをもっと日本は進めなきゃいけない、クロード・ミュトスの脅威もありますから、それは私も否定しませんが、ただ、バランスを取ってもらわないと困るんですよね、ヨーロッパとかを見習いながら。今どう考えても、活用の方に圧倒的に重点を置いて、保護法と言いながら保護がひゅっと軽くなっている、こういう危機意識をすごく私は持っているんですね。
個情委、個人情報委員会を私は責めることはいたしません。なぜならば、彼らもいろいろな、圧力というんですかね、そういうことをはねのけようと相当涙ぐましい努力をされておられます。全ては言いませんけれども、報道ベースだけで言いますと、報道によると、個情委の幹部がこう言ったと。事業者団体が納得しない限り、法案はいつまでも提出できない構造になっている、こういうことが報道もされておりまして、私はそのとおりだと思います。何度も法案提出が断念になっているわけですね。余りにもこの業界団体の意向は強過ぎる、強過ぎる、消費者団体とか、そういう情報を取られる側の意向というのはほとんど聞かれていないというような私は懸念を持っています。
配付資料の四ページ目、これは立法府にも御協力いただいて、私の責任で作った比較資料でございますが、チェック機能が骨抜きになっちゃっているんですね。
一つは団体訴訟制度。これは先進七か国を調べました、国会図書館で。全ての国でありました。日本も、個情委が、二〇二五年三月五日の作成資料で、個人情報保護法上の差止め請求権を適格消費者団体自身の権利として付与することが考えられる、こういう前向きのことを書いた。ところが、その間の経緯を私もつぶさに調べましたが、業界団体の強い強い抵抗で、個情委も抗し切れずになって条文には全くない、こういう状況になってしまったんですね。
個人情報保護委員会の皆さんと話しても、個情委というのは人も少ないし、人、物、金が少ないんだと。だから、こういう団体訴訟制度を入れれば、団体がいろいろノウハウを蓄積して、そして個情委とタッグを組んで、おかしな個人情報についてはチェックをして、そしてそれを摘発するようなそういう動きもできる、司法を使ってチェックができるということで、個情委の方も自分たちの力を補うということで期待をされていたにもかかわらず、ばさっと削られちゃったわけですね。
政府のいろいろな弁明は分かります。消費者団体は消費者契約法の団体だから、個人の利益とはちょっと違う利益だから。であれば、新しい団体をつくるようなスキームを一緒にセットして、そして団体訴訟制度を認めていくというようなことも私はあり得ると思うんですが、大臣、団体訴訟制度、復活いただけませんかね。
○松本(尚)国務大臣 委員御指摘の新しい認定制度とか新しい団体については、あり得るかあり得ないかといったら、あり得ないことはないとは思いますけれども、ただ現状、例えば、そういった団体をつくったとしても、今、適格消費者団体にとっても、そういった専門家がいないということもございますし、実績がありませんから、どうやってそれをつくっていくかということもありますので、結局、新しいものをつくっても、余り解決策にはならないんだろう。
今、我々は何でこれをやらなかったかの理由の中では、個人の利益を保護する個人情報保護法と、それから消費者団体、消費者の利益を保護する法律、そういったところでそごがあるので法的な整理が必要であるというふうに我々としても理由として述べていますから、法的な整理をしていくということがまず先決ではないかなというふうには思います。
○長妻委員 今の理屈も、後からつけた理屈なんですね、個人情報保護委員会、個情委にお伺いすると。
つまり、団体に専門性がない。実績もない。であれば、個人の方がもっとないじゃないですか。団体を認めないで、個人が、一人で、二人で、三人で、何にもノウハウがなくて素手で戦うということは、これは必ず、全然話にならないわけですよ。結局、課徴金を一部入れても使い物にならないですよ。
だから、団体訴訟制度を潰すというのが私はあってはならないことだというふうに思いますので、これは本当に、ヨーロッパ並みにきちっと整備することこそが私はブレーキをかけないことにつながると思うんですよ。むしろAIを進化させる、国民の皆さんの理解と信用を得て。ヨーロッパとも情報交換がなかなかできにくくなると思いますよ、日本の個人情報の保護やチェック機能が弱いとなると。
そして、課徴金についても、これも残念ながら骨抜きになりました。
今回、一部は導入はされましたけれども、この三つの点が私は重要だと思っているんですね。これも、考え方、同じような資料に出ております。
まずは、課徴金納付命令の対象とすることが考えられるということで、三つ出したんですが、これは落ちちゃったんですね。入っていないんです。これは本丸です、三つが。まずは目的外利用、これに課徴金をかけましょう。二番目が、要配慮個人情報の取得による本人同意、これの違反をかけましょう。これも落ちました。二十三条の違反、大規模な個人データの漏えい等の発生、これも落ちました。業界の意向です。こういうことをどんどん落としていくというのは、一体何なんだろうというふうに思うんですね。
これについて、課徴金についても金額が安過ぎるんですね、日本は。結局制裁金は入れられないということなんですが、ただ、公正取引委員会なんかは独禁法などで上乗せ課徴金をやっているわけですよ。
二問同時にお伺いしますが、まず、この三つが抜け落ちた理由と日本の課徴金が低過ぎる理由、これについて御答弁いただければ。
○松本(尚)国務大臣 まず、個情法、個人情報保護法では初めてこの課徴金制度というのを導入するということなので、まずスモールスタートにせざるを得なかったというふうなことがあると思います。
基本的に、これは私個人の意見もあるんですけれども、我が国のいわゆる課徴金等々の法律としては、まずは法律の在り方として努力義務が義務になって、それから勧告や命令になって、それでも駄目なときには罰金を取るとか、あるいは刑を科すとか、そういうふうな順番になっているんですね。ですから、それと平仄も合わせる必要もあるんでしょうけれども、やはり、我が国の法律そのものがいきなりどんと強く罰を与えるというような成り立ちになっていないことがまず一つ原因にある、そういうふうに僕は個人的には感じています。
その上で、今あったお話なんですけれども、例えば、安全管理措置義務違反の類型なんかを考えたときに、うっかりやってしまった、意図的に何か悪さをしようと思って義務違反をしたのとうっかり結果的に義務違反になってしまった場合とありますから、そういったケースも含めると、いきなり十把一からげに大きな課徴金を課すというわけにもいかないだろうというような議論もあったと聞いております。そういったことが非常に重要だと。
もう一つ、質問は何でしたっけ、ごめんなさい、二つ目は。(長妻委員「三つの理由と、金額が少ない」と呼ぶ)
金額が少ないことについては、これは、例えば安全管理措置を行ったことにより削減したコストの具体的な額の算定方法とか、どういうふうに額を算定するかというところがまだ明確ではないので、少なくとも得たものに関しては取りましょうというようなことに落ち着いたというふうに聞いています。
○長妻委員 大臣もよく御存じだと思うんですが、業界への配慮なんですよ、結局はね。
初め、個情委はこの三つを入れるべきというふうに文書にも書いていたわけですから、スモールスタートから始めると。ただ、病歴の情報を本人の同意なしに提供するという、ビッグスタートになっていますよ。活用はビッグスタート、保護はスモールスタート、どう考えてもバランスが取れないというふうに思うんですね。
これについて、例えばEUでは、御存じだと思いますが、課徴金、何か先ほど算定の仕方が云々かんぬんと言いましたけれども、全世界売上高の四%を最大にするというふうに言っているんですね。全然日本とスケールが違うわけですよ。日本の課徴金、まず団体訴訟がないから、課徴金の認定というのもほとんど私はできないと思いますし、しかも、課徴金でいうともうほんの少しの金額で、GAFAなんかへとも思わないですよ。
例えばグーグルでいうと、今、年間、日本円で六十三兆円ぐらいですかね、売上げ。そうすると、EUでもしグーグルがそういうことをやってしまうと、最大二・五兆円。二・五兆円お金を取られる。これは抑止になりますよね。ですから、もう全然話にならないというのがあるわけです。要配慮個人情報をここまでさらすような法案で、チェックも大変甘い。
しかも、最後の質問にしますけれども、漏えい時の報告ということで、漏えいした場合、これまでは、配付資料の三ページ目でございますけれども、漏えいした場合は本人におわびの通知をする、ただし、本人への通知が困難な場合については、百万人いたらそれはなかなか困難かもしれない、困難な場合については代替措置でいいよ、これが現行なんですね。
ところが、今度は、本人への通知が困難な場合というのが削除されて、代替措置でもいいよというふうになっているわけです。代替措置は何かと聞くと、ホームページに一行書けばいいよ、漏れましたと。そんなばかな話ないじゃないですか。確かに私も、一千万人漏れたら一千万人全員に告知しろとは言いませんけれども、この本人への通知が困難な場合というのは、なぜこれを取っちゃっているんですか。
○松本(尚)国務大臣 漏えい等発生時の本人通知の義務の緩和というのは、本人の権利利益の保護に欠けるおそれが少ない場合というふうにちゃんと限定をしております。その上で、そういった場合について、規則でその内容を具体的に規定するということになっていまして、決して事業者側が恣意的に通知をしなくていいというような判断をするわけではございません。
当然、漏れたときは個人情報保護委員会に報告義務がありますから、その報告の段階で、これはちゃんと通知した方がいいよねとか、あるいはそうじゃないよねということは個人情報保護委員会の方で判断することもできますので、そういった意味では、全てにおいて公表だけでいいのかということにはなっていないということでございます。
○長妻委員 であれば、別に本人への通知が困難な場合を削除する必要は全く私はないというふうに思いますので、余りにも業界に配慮し過ぎていると思います。
これで質問は終わりますけれども、いずれにしても、私が一番心配するのは、一つ言えといえば、やはり機微に触れる、病歴とか、今現にどういう御病気になっているのか、あるいは健康診断の結果とか、どういう病院で処置を受けたのか、個別のことは言いませんけれども、そういう知られたくないような情報、あるいは、どなたでもこれは機微に触れる極めてプライベートな情報だと思うようなことが、今回、統計作成等というアバウトな理由があれば、それが取得も第三者に提供することも可能になってしまうというようなことは、与野党、別に対決する話じゃないので、よくよくやはり考えていかないといけないなというふうに思っておりますので、是非、これについても、理事会含めて、法案の修正などなど適切な対応をしていきたいというふうに思いますので、よろしくお願いします。
ありがとうございました。
○丹羽委員長 次に、早稲田ゆき君。
○早稲田委員 続きまして、中道の早稲田ゆきでございます。
今日は、松本大臣、そしてまた個人情報委員会事務局長、そして文科省、こども家庭庁にもいらしていただきましたので、なるべく端的に伺ってまいりたいと思いますので、簡潔明瞭にお答えをどうぞよろしくお願いいたします。
今の長妻委員の質疑を拝聴しておりましたけれども、やはり非常に個人情報、私たち一人一人の国民の権利利益、こうしたものが保護という観点においては後退してしまうのではないかという懸念を拭えません。
その上で質問したいと思いますが、まず、今回の改正の前に、二〇二一改正案、審議をされました。そのときに、当時、立憲民主党は、相当の理由という抽象的な概念が行政の恣意的な運用を招きかねないという問題認識の下、要件をより限定的かつ明確化することを求める修正案も出しました。また、もちろん附帯決議もつけまして、そして、附帯決議の中の措置として、措置済みとなっているんですけれども、それが資料につけましたガイドラインであります。
このガイドラインを御覧いただきたいのですが、相当の理由があるとき、これは行政機関等の恣意的な判断を許容するものではなく、少なくとも云々かんぬん、客観的に見て合理的な理由があると。そして、最後は行政機関の長等が個別に判断する、個人へ、本人への影響の程度を総合的に勘案して、そういう内容なんですね。何も明確に、きちんと書かれていると到底思えないんですけれども、これがガイドラインで示すということ。それから個人情報委員会の規則で示すということであれば、全く明確な基準が示されていないのではないかと私は非常に懸念をします。
これはまだ行政機関等ですから、そうだけれども、今回は民間でありまして、そこに利益の授受というものも発生する中で、非常にこういう民間任せにしてはまずいのではないかということです。
それで、大臣に伺いますが、この五年前の改正ですけれども、こういうことがあった中で、こういうガイドライン、このようなたてつけでは、その国会審議の中でも法律に位置づけられていないわけですから、規則はこれからですし、ガイドラインもこれから、しかも、それが非常に緩い、基準も明確ではない中でやってきたわけですね、行政機関についても。まさに、これでは国会によるチェックや国民への説明責任、確保することが困難であるのではないかと思いますが、大臣、御見解を伺います。
○松本(尚)国務大臣 一般論としてなんですけれども、専門的事項を定める必要や、技術の著しい進展に適時に対応した基準を必要としています。何が言いたいかというと、AIが物すごい勢いで進歩していて、それに追随して法律を作っていくとなると、とてもじゃないけれども間に合わない。それはどういう形でいろいろな歯止めを利かせていくかとなると、これは、今回の法律にも再三出てきますが、個情委員会がやる規則でもってある程度サプレッションしていかなきゃいけないというふうには思います。
ですから、そういう機動力のあるやり方というのは、個情委の規則を作る、それからそれに基づいてガイドラインを作っていく、そういった中において制限というもの、限定というものをかけていくということが、今の少なくともAIとかそういった技術の進歩に対応するためには致し方ないというふうに思います。
○早稲田委員 AIの進展はもちろん分かりますし、そのためにデジタルの法案とセットなんでしょうけれども、その中で、前回の改正でさえこのガイドラインですよという中身なんです。ガイドラインで今作っていかないと、法律をそのたびに細かくはできないということは分からないではないけれども、やはり基準をきちんと明確にしておくということは大前提だと思うんですね。その中で、更にガイドラインを作ってもこの程度だということになれば、何が歯止めになるんですか、何が基準になるんですかということを申し上げております。
その上で、次の質問に移りますが、三十条の二であります。この統計情報等の作成にのみ利用されることの担保、これは個人情報保護委員会としてどのように確認をするのかということです、この二百四十人体制の、大変人数も増えていない中で。
それで、例えば、匿名加工でなく生データ、名前、住所、そうしたものが入るものを、統計等作成という中にはAIの開発も含まれるということでよろしいんですよねということ。それから、じゃ、例えば具体的な事例として私が申し上げたいのは、携帯位置情報、これは、名前それから端末機の番号、緯度、経度、それから時刻なんかも入っていますよね、こういうものも含まれるのか。それから、コロナの疫学調査、これも名前入り、地域、年齢、性別、そうしたものが全て含まれる、病歴も。こういうものも含まれるのか伺います。
○佐脇政府参考人 お答えいたします。
まず、大前提といたしまして、現行法の下でも、事業者が一旦適正に取得した個人情報でありますと、あらかじめ利用目的で明示していなくても、統計作成といった個人と全く関係ない利用というのはできることになっていることをまず申し述べたいと思います。
今回の改正案におきましては、ある要件を満たす用途に限定する、用途を限定する場合には、本人の同意がなくても第三者から個人情報などの提供を受けられることとするものでございまして、その用途の中には先生御指摘のAI開発というものが含まれるわけでございます。
また、本特例に基づいて第三者から提供を受けることのできる個人情報の範囲につきましては、御指摘の様々な類型につきましてあらかじめ制限を設けておりませんでして、提供に際して加工を義務づけるものでもございません。そのため、お尋ねのAI開発や調査のために加工されていない個人情報を提供する場合につきましても、提供を受けた事業者が特定の個人の対応関係が排斥された統計情報等を作成する場合であれば特例の対象になるということでございます。
○早稲田委員 そうしますと、今申し上げた事例でいうと、名前、端末機番号、緯度、経度とか、そういうものが入っているものももちろん含まれるということですよね。そして、コロナの疫学調査なんかもそうだということですから、先ほど来長妻委員がおっしゃっているとおり、統計等に必要でない名前の削除は事業者側にやってもらうんだということでありますけれども、では、これを安全管理措置義務の中にきちんと入れるということ、規則でこれを書かれるということでよろしいでしょうか。例えば名前など、必要ないものはこれを削除する、その安全管理義務を負うということを書かれるんですか。
○佐脇政府参考人 お答えいたします。
データの種別、例えば、今論点にありました要配慮個人情報というような個人にとって大変センシティブなものにつきましては、漏れると個人に与える権利利益への侵害の程度が多うございますので、安全管理措置を的確に講ずる上では必須のことかと思います。
安全管理措置義務につきましては、既存の法律、現行の法律の中に条文で明記されておりますが、それの具体的な執行を行うための基準を私どもは持ってございまして、規則であるかどうかにつきましては検討を要しますけれども、何らかの形で明示的な基準に盛り込みたいと思います。
○早稲田委員 規則じゃなかったら何なんでしょうか。明示的な基準の中身を教えてください。
○佐脇政府参考人 規則を原則に、ガイドラインも含めて整理していきたいと思います。
○早稲田委員 では、規則に、必要のない場合は名前、住所を削除する、そういうことでよろしいですね。確認をいたしました。それでよろしかったらうなずいていただけますか。いいですか。規則。
○佐脇政府参考人 今回提案しております法律に基づく規則を中心に、しっかり規則、ガイドラインで定めていきたいと思います。
○早稲田委員 それでも個人の権利利益を害するおそれの少ないものとして規則で定めるというふうになるんでしょうけれども、AIの技術が非常に進歩が速いという中で、統計情報、これから逆に個人情報が再識別される想定もかなりされると思うわけです。
その上で、匿名加工、これは四十五条、それから仮名加工情報、これについては四十一条の七項で再識別禁止規定がありますけれども、なぜ名前とか住所とか、そういう極めて機微な情報について、この再識別禁止規定、統計作成等についても法律で禁止をすべきではないでしょうか。
○佐脇政府参考人 お答えいたします。
まず、特例における統計作成等でございますが、条文上明確に示しておりますけれども、大量の情報の傾向又は性質に係る情報で個人に関する情報に該当しないものを作成する行為でありまして、かつでございますが、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で具体的に定めるものということでございます。
そのため、本特例において作ります統計作成等の態様でございますけれども、大量の個人情報を個人に関する情報に当たらない状態にまで加工いたしますので、先生御指摘の仮名情報や匿名加工情報の場合では、ある意味その人その人の、一名一名の、一行一行と申しますか、それぞれの原データのうち、原データの粒度を残す形で、個人その他の名前を消すことによっても仮名であったり匿名であったりということができるわけでございますが、今回特例を適用する場合にはそれでも足りませんでして、更なる一般化を、丸めるということを求めるわけでございます。したがいまして、本特例に基づいて作成される統計情報等につきましては、再識別等が行われるリスクは、仮名化、匿名化に比して極めて低いものというふうに認識しております。
また、本特例におきましては、個人の権利利益を害するおそれが少ないものに限定する観点から、委員会規則におきまして、個人情報等が復元されることを防止するために必要かつ適切な措置を講ずることを決めていきたいというふうに思ってございます。
このほか、本特例に基づいて作成された統計情報等に対して不正な攻撃を行い、その作成に用いられた個人情報を復元する行為は個人情報の不正取得という現行の規律違反になりますし、復元された個人情報を統計作成等以外の目的に利用する場合にはこの特例違反になります。
これらの違法行為は課徴金の対象になることも踏まえますと、本特例において識別禁止義務を重ねて規定せずとも、現行の法律の条文を併せ読む形で十分担保できるというふうに承知しております。
○早稲田委員 いや、匿名情報よりもこちらの方が丸めて、そしてそういうリスクは低いとおっしゃいましたけれども、それは分かりませんね。AIの技術革新によればそれができる可能性があるということも今言われておりますから。
その中で、課徴金とおっしゃいますけれども、事業者が情報を取得するために百万円、二百万円、一千万円だとしても、課徴金ってそれぐらいですよ、その利益をまた、払うということですから、全然、何ともないわけですよ、大きな巨大企業にしてみたら。これがリスクになるとは思えない。だから課徴金をこうやって一部しか認めていないわけじゃないですか。それだから、大変この問題は事業者寄り、そして、AIデータを活用したいという企業側に立ったたてつけではないかということを先ほど来申し上げております。
このことにつきましても、パブコメということを聞きたいんですけれども、この例外規定が入る前にはパブコメされていますよね、令和六年の六月。だから、例外として新設された統計等作成の例外規定、要配慮個人情報、信仰、病歴、犯罪歴の取得、それから本人同意なき個人データの第三者への提供についてはきちんと明示的なパブコメを行っていません。
そしてまた、先ほど来ステークホルダーの意見を聞いているとおっしゃっておりますが、もちろん聞いてはいらっしゃいますけれども、その中で、平場の議論でも、二十団体から聞いているうちに、ほとんどが、その十九団体が、経団連、新経連、それからまた日本IT団体連盟を中心とする、そういう事業者、利用する側です。そして、一件だけが認定消費者団体から意見を聞いているんですね。だから、消費者団体も、自分たちが要望していた団体訴訟ということ、それが入らないというのが分かったのが本当に前日だということが次の二枚目の資料に書かれております。
そういうことも含めて、個人情報委員会を責めているのでは私もございません。非常にそうした圧力がある中でのこういうたてつけになったということは、やはり国民、私たち一人一人の権利利益でありますから、個人情報は、そこを守るのが後退してしまっては本末転倒ではないかと思いますので、修正案についても、是非、また理事会で、そして委員長にもお取り計らいをいただきたいと私は強く思います。
○丹羽委員長 はい。
○早稲田委員 その上で、パブコメについては、これは行われておりません。そしてまた、第三者認証等を設ける必要があると思いますけれども、これについてはいかがですか。
○佐脇政府参考人 お答えいたします。
まず大前提といたしまして、いわゆる意見聴取手続、行政手続法に基づきます意見聴取手続は、行政に委ねられた執行基準などを作るときに行うということにされてございまして、私ども、立案過程におきましてはある意味任意のパブコメを随時行ってきたわけでございますが、委員御指摘のとおり、中間整理を公表した際にそのような任意の手続の意見募集を実施いたしました。
この中間整理におきましても、つぶさに見ていただければ分かるのでありますけれども、AI開発や契約の履行に伴う個人情報の提供、公益性の高い分野における利活用等、本人同意を要しないデータ利活用等の在り方というような項目を設けておりまして、それについての意見募集をそこの局面においてもしたということでございます。
その意見募集の結果を踏まえまして、改めて制度の基本的な在り方に立ち返った議論を行うということで、有識者十一名、経済団体、消費者団体等十七団体に対するヒアリングを私が実施いたしまして、令和七年一月に、当該ヒアリングの結果を踏まえまして、中間整理を踏まえた、かつ、中間整理の際に曖昧にしていた点を具体化した論点を再整理いたしました。
本法案における統計作成等の特例を始めとする本人同意なき個人データの第三者提供に関する規定につきましては、中間整理において示した内容を、これらのヒアリングの結果を踏まえて個人の権利利益への影響の有無という観点に着目して再整理したという位置づけかというふうに理解してございます。
その論点につきまして、令和七年二月から三月にかけて制度的課題に関する考え方として改めて公表し、有識者八名、経済団体、消費者団体、一団体ではございませんで複数ございますけれども、計二十九団体から御意見をお伺いいたしまして、本年の一月に制度改正方針として委員会として決定し、公表した次第でございます。
本法案における統計作成等の特例を始めとする本人同意なき個人データの第三者提供に関する規定につきましては、今御説明したプロセスを経ながら進めてきたということについては御理解いただけるかと思います。
○早稲田委員 今長々と御答弁いただきましたけれども、明示的にはこれについてはパブコメは行われていないんです。いないことは明らかでございますので、そういう少し丸めた言い方で書いてはいらっしゃいますけれども、明示的には書いていないわけです。ですから、ここのところも非常に事業者寄りだと言わざるを得ません。
それでは、十八条の方に、質問を幾つか飛ばして行きたいと思います。
個人データの第三者提供、これにつきまして、例えば契約の履行のために不可欠なものや取得の状況から見て本人の意思に反しないもの、これも、個人情報委員会規則で定める場合、本人同意を不要とするということになっておりますけれども、この制度の趣旨に即した明確な基準を整理をするべきであり、これはしっかりとそのことを法律にも書き込むべきだと私は思いますが、その点について一つ。
それから、まとめて質問いたしますけれども、必要不可欠なものというのが事業者にとって都合のいいように拡大解釈されてしまう、本人同意が形骸化されてしまうリスクがあると思われます。こうした場合に、本人と事業者の間で意見が分かれた場合、どのような紛争解決の手段があるのでしょうか。伺います。
○佐脇政府参考人 では、まとめてお答えいたします。
まず、契約履行のために必要やむを得ないことが明らかである場合と、それから取得の状況から見て本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として規則で定める場合というふうにしてございますけれども、その例外規定でございますが、本法案をお認めいただきましたら、事業者のみならず個人がどう思うかということが肝要でございますので、様々な意見を聞きながら、法律にありますとおり規則でしっかり定めていくということになろうかと思います。
その点、規則で定めますので、事業者の身勝手な解釈で運用するということは、それは直ちに法令違反になるわけでございますので、ガイドラインへの適合性につきまして、しっかり私ども監視、監督をしてまいります。
また、仮に本人が本例外規定の要件に該当しないにもかかわらず、同意なく第三者提供が行われているといった場合には、第三者提供の停止等を請求することができますし、それにつきましては、私ども、日々本人からの様々な御相談やあっせんの御依頼を受けておりますので、そういった形でつぶさに対応していきたいと思いますし、これにつきましては、最終的には裁判によって訴えることによりまして事業者との裁定を図っていくという仕組みになってございます。
○早稲田委員 そこまでいかないですよね、裁判とか今おっしゃいましたけれども。
それから、個情委の方で監視、監督を行っているということですが、この二百四十人体制で、更にこういう内容が追加をされる、改正の中で本当にそういうことが可能かどうかということです。それは本当に難しいことじゃないですか。今まででも年間の監督、命令というのは一件とかゼロ件ですよね。命令についてはゼロ件だったと思います。そういうことを含めましても、なかなかそういう体制になっていない。
昨年からの個人情報委員会の追加の職員の方は五名と聞いておりますけれども、十名を要望されたけれども五名にしかならなかったということで、でも、内容はこんなにたくさんのことが全部個人情報委員会にかかってきてしまって、そこで監督、命令をするということは本当に不可能に近いと私は思います。
その中で、今の御答弁の中ですけれども、さらに、第三者に提供される本人同意なき個人情報の当初の目的外利用に要配慮個人情報も含まれるわけだと思いますが、これでよろしいでしょうか。
○佐脇政府参考人 お答えいたします。
要配慮も含まれるものでございます。
○早稲田委員 そうしますと、事例としてちょっとお聞きしたいんですけれども、ネットでホテル予約をするときに、患者団体がされる場合、この患者さんの、あるいは御家族のそうした病歴とか、こうしたものも本人同意なく第三者に提供される場合があり得るということでよろしいですか。
○佐脇政府参考人 お答えいたします。
あくまでも、御本人がその契約を通じたサービスを利用する際に、当然にその情報が提供されないとサービスが享受できないと信じるに足りる十分な理由があることに限定されるわけでございます。
むやみやたらに御本人の御家族その他についての情報が提供されることはございませんが、例えば、療養先のような環境にございまして、特定の疾患の対応を一定の期間内に必ず行わないといけないというような確率が高いという場合に、その方々にそういった療養を兼ねた旅行のようなものに行っていただくためのパッケージ旅行のようなものでございますと、そこに対し申し込む患者さんにしてみますと、それ相応の情報の提供ということが不可欠であるというふうに理解されているでありましょうから、そういった場合には本ケースにつきましての適用対象になる可能性はございますが、いずれにしても個別の判断になりますし、そこの妥当性につきましては、最終的に私ども委員会で是非を判断し、適切な執行を行っていく、そういう構図になってございます。
○早稲田委員 ホテルの予約であってもそうしたことが起こり得るということですよね。以前に旅館業法で黒川温泉の宿泊拒否の問題というのもございました。こういうふうに、予期せぬところで第三者に提供されるということがあれば、本当にこれはやはり問題は大きいと私は思います。
その中で、先ほども御質疑ありましたけれども、二〇年の改正時には参議院の附帯決議で課徴金制度を附帯をいたしました。それが一部は成りましたけれども、先ほど来、長妻先生の資料をお使いすると、千人規模ですよね、千人以上でないとこの課徴金の対象にならないし、制裁金ではないから利益に対するものだけということで。マイナンバーの場合は一件からじゃないですか。何でこれは千人規模なんですか。また、目的外利用、要配慮情報の不正取得、それから事業者の安全管理措置義務違反は対象外となって、非常に事業者に有利な規制となっております。
こうした場合に、大臣も先ほどお答えになりました、初めだからスモールスタートをするんだということだし、過失でそういうふうになった場合と、それから故意である場合といろいろあるからとおっしゃいましたけれども、これは、じゃ、過失と故意で分ければいいだけのことですよ。実際にやっているじゃないですか、米国のカリフォルニア州も。データ一件について四十万円。故意の違反の場合は百二十万円。これは違反の一件当たりですからね。利益、百万円とか二百万円を、これを課徴金として課すという話ではございません。
先ほど長妻委員のあれでもありましたとおり、グーグルなんかにしてみたら二兆円ものあれが課される可能性もあるということで、二千万ユーロ、約三十七億円というのが上限になっているわけで、こういうGAFAとか巨大企業に対して課徴金を課していくということが一つの歯止めになるのに、今回の日本のこの改正ではならなかったことは大変歯止め規定も薄いと言わざるを得ません。だから、そこのところはもっとやるべきではないかということを大臣にも伺いたいし、次の質問と重ねて伺いたいと思います。
全国消費者団体連絡会が制度導入を要望しています団体訴訟制度、これはさっきも御説明、御答弁されました。でも、これは個人の権利保護、個人の権利利益を保護するという法律でありますから、消費者団体が擁護する利益というのは消費者なんですねということは記者会見でもお答えになっていらっしゃいます。
でも、ほかの、じゃ、EUの一般データ保護規則、GDPRなんかのところが適用されているところは消費者団体訴訟指令というふうになっていて、消費者団体がこの団体訴訟を担っていますよね。それから、ほかのところでも、各州の消費者法等によると、カナダでもなっています。
結局、今はノウハウがないからといったら、こうやってどんどんAIの技術が進歩していくわけですから、それに対して、この消費者団体だってしっかりとそういうノウハウを積んでいこうとするのは当然だと思います。だから、新しい団体でもいいけれども、消費者団体を軸としてやっていく。こういう団体訴訟がないと、とてもとても、個人が巨大企業に対して何かを求める、違反行為ではないかということを確認させるなんということは本当に皆無に近いと私は思います。ここが肝だったはずなんですね。これを事業者側は一番嫌がったはずです。これがないから日本は緩い。課徴金もそうだけれども、団体訴訟もない。本当に歯止めがない個人情報の保護の改正、こうしたものがいいのかという問題がございます。
大臣にもう一度伺いたいのですが、課徴金について、これが余りにも低いということと、それから、団体訴訟はもう一度考えていただくべきと思いますが、いかがでしょうか。
○松本(尚)国務大臣 まず、課徴金の問題でございますけれども、先ほど申し上げましたように、スモールスタートをせざるを得ない日本の、法体系というのはちょっと違うか、いわゆる法律の作り方の問題だろうというふうに思います。これは委員の皆さん、全員共有していただければと思います。もうそこから変えてしまわないと、なかなか、いきなり大きな罰を加えるということは厳しかろうと思います。
それともう一つ。GAFAのような大きな企業になりますと、確かに大きな課徴金を課するということは可能だと思いますが、基本的にアメリカなんかはハイリスク・ハイリターンで商売をしている。我が国の企業は、どちらかというと、ハイリスク・ハイリターンという考え方ではなくて、できるだけローリスク・ローリターンのような、私企業、商売の進め方、ビジネスの進め方をやっていますから、果たして我が国にそういう大きな課徴金を課すことが正しいかどうかということはもう一回よく考えなきゃいけないと思います。
これは別に経済団体の肩を持っているわけではなくて、ビジネスの在り方として、それに見合った罰の与え方というのは私はあってしかるべきだろうというふうに思っています。そうしないと、やはり、どちらかというと、データの利活用が逆に進まなくなってしまうということも十分考えなきゃいけないと思います。
ただ、課徴金とかが要らないと言っているわけでは決してありませんので、これはあくまでもバランスは必要だということは大前提でお話をさせていただいております。
もう一つ、団体訴訟制度の問題ですけれども、これは先ほど長妻委員の質問でもお答えしたとおりなんですけれども、少なくとも、我々個人情報委員会としても、既存の適格消費者団体の活用を念頭にこの制度がつくれないかということは当然これまでも検討していました。しかしながら、先ほども申しましたけれども、法的な整理がちゃんと必要だと。個人を扱っているのか、消費者を扱っているのか、似て非なるものですから、そこはちゃんと、これからもう一つ法的な整理を進めていく中において、将来的にはそういったこともあり得ると思います。
それまでの間と申しますか、一方で個人の権利利益の保護は重要ですから、消費者団体との連携というのはこれまで以上に強化してまいるということ、それから、一般の個人からの相談を受け付ける窓口の活用も当然促進するということ、あるいは、適正な監督権限の行使をして違法な行為の抑止を図っていくということは、これは我々個人情報委員会としてもしっかりと進めていきたいというふうに思います。
○早稲田委員 二問まとめてお答えいただきましたが、団体訴訟についてはしっかりと考えていただきたいと思います。今の消費者団体でできないということはもちろんないはずですから、そこを軸として、何か違う形でやるにしても、法的整理云々とおっしゃいますけれども、ほかの国でもやっておりますから、そういうノウハウはやっていけば積んでいかれるはずですから、そこのところはしっかりと考えていただきたいと思います。
文科省それからこども家庭庁にも来ていただいていますので、これもちょっと、時間の関係ですけれども、子の最善の利益、子供について、十六歳未満、これについては、最善の利益で、児童の権利に関する条約及びこども基本法との整合性を図った上で最善の利益の判断基準を明確化していただきたいということについて。
それからもう一つ、法定代理人の同意でありますけれども、DV、性暴力、児童虐待などのケースが、子供本人の権利利益を不当に侵害するおそれがある場合には同意ということが認められないことも含めてガイドラインにきちんと明示をすべきではないかと思いますが、こども家庭庁それから個情委の方に伺いたいと思います。
○水田政府参考人 お答えいたします。
まず、個人情報保護法の解釈ですとかガイドライン作成等を含む運用に関する事項につきましては、法律を所管する個人情報保護委員会において判断すべきものでございまして、こども家庭庁としてはお答えする立場にないということについてはまず御理解いただきたいと思います。
その上で、御指摘の子供の最善の利益につきましては、一般論として、子供の意見を年齢や発達段階に応じて積極的かつ適切に子供政策に反映させるように取り組むことを政府全体の方針としております一方、こども基本法の解釈におきましては、別の考慮要素と比較考量して合理的に判断した結果、子供の意見が子供にとって最善とは言い難いと認められる場合には、子供の意見とは異なる結論が導かれることはあり得ると解釈しているところでございます。
こども家庭庁としましては、こうした点について、必要に応じ、個人情報保護委員会と連携し、子供の最善の利益が図られるよう努めてまいりたいと考えております。
○早稲田委員 済みません、次の質問と一緒にお答えいただきたいんですけれども、例えば、では、保護者の年収、虫歯の多寡、学力の相関などを始め、子供の学習成績や保健統計に関わるビッグデータ、これが、教育現場の方では保護者の年収などを基に子供が差別されるおそれがないかということも踏まえて、しっかりとこういう懸念を取り払っていただきたいと思うわけですけれども、その点についてお願いします。
○佐脇政府参考人 お答えいたします。
まず、法定代理人の親がDV、性暴力などのケースについて御指摘がございましたが、現行の日本の法令によりますと、親によるDV、性暴力等を原因として、例えば親権の喪失、親権停止という審判がなされた場合には、そういう資格がございませんので、同意をすることはできないわけでございますが、法定代理人でありますと、現在御審議いただいている法律におきましては、法定代理人である限り、子供を監護し、その権利利益を守る立場にあることを踏まえて整備したものでございまして、この法律の中では、法定代理人であれば、子供の代わりに同意をするという権限につきましては認めていくという整理になっているということを御理解いただければというふうに思います。
それから、虫歯その他、学校に関する様々なデータの扱いについて、AIに関して御指摘がございましたけれども、違法な差別を誘発するおそれがあるAIモデルを、そのようなおそれを予見しつつ、それを作るための個人情報を用いて作成し公開することでございますとか、利用について言えば、保護者の年収により、正当な理由なく子供に対する違法な差別的取扱いを行うためにそれが機能するAIを個人情報を入れて作るということは、いずれも本規定に基づく違法になりますので、そういったものについてはできないということでございます。
○堀野政府参考人 お答え申し上げます。
学校現場において取得される教育データですけれども、文部科学省といたしましては、教育データ利活用に係る留意事項をお示しをしておりまして、教育委員会や学校が当該機関以外に提供する場合には、提供先における個人情報を取り扱う者の範囲の限定、第三者への再提供の制限又は禁止、消去等利用後の取扱いの指定、個人情報の取扱状況に関する報告の要求等の措置を講ずることなどをお示しをしております。
引き続き、個人情報保護委員会とも連携しながら、児童生徒の個人情報の適切な取扱いがなされるよう、しっかり取り組んでまいります。
〔委員長退席、橋本(岳)委員長代理着席〕
○早稲田委員 時間が参りました。これからもまた質疑を重ねてまいりたいと思います。
ありがとうございました。
○橋本(岳)委員長代理 次に、阿部司君。
○阿部(司)委員 日本維新の会、阿部司です。よろしくお願いします。
まず、情報通信技術活用推進法案について、デジタル主権の観点からお伺いをしてまいりたいと思います。
先月十六日の本委員会で、AI基本計画、ガバメントクラウド、半導体・デジタル産業戦略を束ねる一体的な戦略文書の必要性についてお尋ねをしまして、大臣からは、必要だろう、官邸にもしっかり伝えていきたいと前向きな御答弁をいただきました。
本法案で、内閣総理大臣が新たに策定をする国等データ活用事業指針は、認定事業者が政府保有データを活用する制度の根幹となる文書となります。政府保有データを民間に開放してイノベーションを促す仕組みは重要ですけれども、その裏返しとして、国の重要データが外部に流出するリスク、また有事に国がコントロールを失ってしまうリスクと表裏一体でもあると思っております。一〇〇%国産にこだわるものではないにせよ、いざというときにしっかりと国がコントロールできる状態にしておくことがデジタル主権の本質と考えております。
本指針において、データセキュリティー、事業者の安全管理、そして経済安全保障といった観点を組み込んで、デジタル主権の確保に資する内容とすべきと考えますけれども、大臣の御見解をお伺いいたします。
○松本(尚)国務大臣 本法案に基づく国等データ活用事業に関する指針においても、データの安全管理の方法等の事項を定めるということになっています。
委員御指摘のとおり、データセキュリティーとか、それから経済安全保障等の観点も念頭に、データの適切な取扱いをしなければいけないと思っています。それについては、この指針を作る上で、私自身も、根本的に真ん中に置かなきゃいけないものだ、国のデータですから、当然それは念頭に置いて作るべきだというふうに思っております。
○阿部(司)委員 前向きな御答弁をありがとうございます。指針の中身がしっかり制度の信頼性を担保するものになると思いますので、実効性のある運用をお願い申し上げます。
次に、データ活用の物理的な基盤についてお伺いをしてまいりたいと思います。
本法案の施行によって国等データの活用とベースレジストリーの整備が進んだ場合、その物理基盤となるデータセンター、こちらの需要が拡大していくことも考えられます。
一方で、立地をめぐる住民との摩擦というものが至る所で起きているともお伺いをしております。例えば、大臣御地元の千葉県印西市、東京都日野市、昭島市など、各地でこうしたトラブル、問題が発生をしていまして、電力消費、騒音、景観への影響などをめぐって、行政不服審査請求ですとか訴訟まで提起される事態となっております。
この事実関係をお伺いしたいということと、まず第一に、ここ数年で住民との合意形成をめぐって紛争に発展した大規模データセンター建設の事例を政府はどの程度把握をされているのか。二つ目に、東京都は国に先行する形で独自の立地指針の策定に動いていると承知をしておりますけれども、政府の取組の状況、また関係事業者団体による地域共生ガイドラインの策定状況、また、これらの実効性をどのように確保していく考えなのか。総務省からお伺いをいたします。
○吉田政府参考人 お答え申し上げます。
我が国において多くのデータセンターの新規建設が進められる一方で、委員御指摘のとおり、一部の地域住民の方々から景観や排熱等を心配される声があるということは承知しております。
データセンターの立地に際しては、地域との共生を図っていくことが大変重要であり、まずは事業者において、地域住民に対する説明の機会を設けるなど、丁寧な対応を進めていただくことが重要と考えております。
このような認識の下、総務省が経済産業省とともに開催しておりますワット・ビット連携官民懇談会の取りまとめ一・〇におきまして、データセンターの立地に当たっては、データセンター事業者が、建設計画や周囲の環境影響について立地地域に対して説明する機会を設けるなど、丁寧な合意形成に努めるとされているところでございます。
これを踏まえ、関係の事業者団体であります日本データセンター協会において、一元的な対話の窓口の設置や、データセンターの建築、運営において留意すべき事項などを盛り込んだガイドラインが策定され、本年五月一日に公表されたと承知しております。
総務省といたしましては、経済産業省と連携し、今般取りまとめられたガイドラインの運用状況をしっかりと確認し、必要なサポートを行ってまいります。
○阿部(司)委員 ありがとうございます。業界団体のガイドラインが策定をされたということで、東京都も先行している中で、立地をめぐる制度整備は緒についた段階だという認識を共有させていただきました。
そこで、大臣にお伺いします。
今の質問のとおり、住民紛争の発生、東京都の先行的な動き、業界団体のガイドラインの策定など、データセンターの立地をめぐる制度の整備は緒についたばかりであります。データ活用の制度設計、そしてそれを支える物理的な基盤としてのデータセンターの社会的需要、これは車の両輪だと思います。本法案の施行と歩調を合わせまして、既存の取組の実効性確保にしっかりと努めるとともに、必要に応じて国としての立地ルール整備に取り組むべきではないかと思うんですけれども、大臣、御見解をお伺いいたします。
○松本(尚)国務大臣 委員御指摘のとおり、私の地元にでもデータセンター銀座というところがあるぐらいで、しかも住民とのトラブルも発生しておりまして、地元の議員としては非常に頭の痛いところなので、余り触れたくないんですけれども。
データセンターが重要であることは間違いなくて、その意味で、国交省に建築基準法はどうなっているのか等々お話をしましたら、今、建築基準法上、データセンターは事務所若しくは倉庫ということになって、意外といろいろなところにも建てられるという状況でございます。この辺りから少し、法改正も含めてどうなんだということを国交省にもお願いをしたこともございます。ただ、やはり、なかなか、簡単なわけではなくて、いろいろな場所に建っているので、簡単ではなさそうだということが分かりました。
一方で、先ほど説明がありましたけれども、データセンター地域共生ガイドラインというのがデータセンター協会の方で作られた、まずはこれにしっかりとコミットしていくことが我々も大事だろうと思っています。データセンター協会の理事長には、先般私が直接会って、データセンターがこれから国にしっかり造られていくことは重要なことだから、どうか住民の皆さんとうまくやって、データセンターを広めていただきたいということはお願いをしたところです。
一方で、新聞報道なんかでも、横浜港で日本郵船が海上のデータセンターの実証を今始めている。私、実は非常にそれに注目していまして、塩害とかいろいろな障害もあると思うんですが、これを一年かけて実証するということは、我が国は海洋国家でございますから、そういった意味では、あれがうまくいくと、非常にそういった地域住民とのトラブルというのも回避できるのではないかというふうに思っています。
るる申し上げましたけれども、委員の御懸念の点を十分に考慮しながら、私の立場として、データセンターが確実に国の中で、住民も納得のいく形でしっかりと設備が整っていくということに努力をしていきたいというふうに思っています。
○阿部(司)委員 大臣、ありがとうございます。基盤整備と地域との共生というのは非常に重要な点だと思いますので、引き続きどうぞよろしくお願いいたします。
続きまして、個人情報保護法等改正における留意点についてお伺いをいたします。
本法案は、課徴金制度が新設されます。また、団体による差止め請求制度及び被害回復制度の導入は今回見送られましたけれども、今後検討課題になることも予想されます。
我が党は、個人情報保護を重視する一方で、表現の自由、報道コンテンツ産業の活力、そして事業者の経済活動の自由をひとしく尊重する立場であります。検討会報告書でもデータ利活用への更なる萎縮効果が懸念として示されておりまして、課徴金の運用次第では、我が国のAI産業全体が国際競争から取り残されかねません。
新設されるこの課徴金制度に関するガイドラインの整備、及び今後団体差止め請求制度等の検討が再開された場合の制度設計を通じて、表現の自由及び事業者の経済活動、データ利活用への萎縮効果の防止をどのように図っていくお考えか、個人情報保護委員会にお伺いいたします。
○佐脇政府参考人 お答えいたします。
課徴金の導入に伴う事業者あるいは表現の自由の萎縮効果についてお尋ねかと思います。
課徴金制度につきましては、そういった懸念もございますし、法律の適正な執行を図るという観点から、要件を明確に、範囲をクリアに示していくということでございまして、重要な規律に違反して、その違反などの対価として財産上の利益を得たということ、それから相当の注意を怠った場合であること、個人の利益を害する程度が大きくない場合に該当しないこと、それから本人数が千人を超えるという四つの要件をしっかり定めていった上で、予見可能性を高める観点から、どんな要件をどんな具体的な当てはめにするのかということを更に具体的にガイドラインなどで示していくということを心がけたいと思います。
さらには、表現の自由でございますけれども、現行の法律が、元々、報道機関が報道の用に供する目的で個人情報を扱う場合などにつきましては一定の適用除外を設けてございますので、それが尊重されるべきだというふうに考えてございます。
以上でございます。
○阿部(司)委員 ありがとうございます。しっかり関係者との丁寧な対話を通じて、こちら御対応いただきたいと思います。
そして、最後の質問ですけれども、個人情報保護に当たりまして、子供の規定も整備されます。こちらなんですけれども、アメリカの事例で、個人情報の保護の関係で、お子さんのルール整備をしていった際に、事業者への非常にプレッシャーになって、結果的に学習関連、おもちゃですとか、様々お子さん関連サービスというものが退潮していったというような報告があります。
しっかりお子さんの保護をしていくことは重要なんですけれども、かえって学習ですとか育ちの妨げになるような事態も懸念点としてございますので、この点、しっかり事業者への対応というもの、過度に萎縮をさせないような御対応をお願いしたいと思っておるんですけれども、こちら御見解をお伺いいたします。
○松本(尚)国務大臣 もちろん、いろいろなものを利活用するのとデータあるいは個人情報を守るというのは上手にバランスを取らなきゃいけないのはおっしゃるとおりでございまして、その意味で、その間に子供が入って子供の利益が損ねられるのは、情報の利益を損なうのもよくないし、いろいろな場面場面においていろいろなものを利用するのが損ねられても困るというのは委員御指摘のとおりだと思っています。
その意味で、そういったいろいろな事業の性質とか、あるいは個人情報の取扱い、例えば個人情報を用いて何をするかとか、そういったことを一つ一つガイドラインで明確にしていく必要があるというふうに思っています。
いずれにしても、本当にバランスが必要だなということはつくづく思っていまして、アクセラレーション・アンド・サプレッションというか、欧州なんかはレギュレーションがメインになるし、アメリカなんかは何でもイノベーションが先になっていますけれども、日本は日本らしい在り方で進められるように、この子供の件についても、しっかりと個人情報保護委員会等々と情報を交換しながら進めていきたいというふうに思います。
○阿部(司)委員 終わります。ありがとうございました。
○橋本(岳)委員長代理 次に、谷浩一郎君。
○谷(浩)委員 参政党の谷浩一郎でございます。
本日も質問の機会をいただきまして、誠にありがとうございます。そして、質疑の時間を調整していただきまして、皆様に感謝を申し上げます。
本日は、デジタル行政推進法等改正案と個人情報保護法改正案の法案について伺います。
まずは、本法案の改正で提供されることとなる国等データの範囲についてお伺いいたします。
個人情報保護法改正案とデジタル行政推進法等改正案により、統計情報等の作成やAI開発等に利活用するため、政府は保有するデータを事業者に提供することができることとなる制度が創設されると承知をしています。ここには国が保有する個人情報も提供の対象として含まれており、本人の同意がなくても提供され得る場合もあるということですが、具体的にどのような情報を想定しているのでしょうか。
例えば、要配慮個人情報を含む個人情報、個人関連情報などが含まれるのでしょうか。また、個人情報等以外にも、国が保有する法人情報、営業情報、非公開行政情報など、あらゆる情報が対象となっているのでしょうか。とりわけ病歴、犯罪歴、税滞納の履歴、金融や信用に対する情報、教育情報、戸籍、住民基本台帳、そしてマイナンバーカード関連情報については、他の法令違反又は公益侵害、事務遂行支障に当たるものとして、類型的に提供対象外となるのか。政府として対象外となる情報類型を明示する考えはあるのか。お伺いいたします。
○松本(尚)国務大臣 例えば、個人情報については、個人情報保護法において、外部へ提供できる場合というのは限定をされております。これは法律の中でちゃんと決まっていますので。
特に、今委員おっしゃった、マイナンバーの件をお話しされましたけれども、これはマイナンバー法令において、その内容に含む特定個人情報の提供については非常に厳しく、厳格に制限をされているので、本法案においてその特例を設けるものではない、法令の特例の対象ではないというふうにお伝えをできるかなと思っています。
○谷(浩)委員 ありがとうございます。
そのほか、私が最初の方にマイナンバー以前に申し上げたことに関しては、他党さんも聞かれておりましたし、それに対しては対象になると私どもは認識をしております。
デジタル化やデータの活用によって行政の効率化や国民サービスの向上を目指す取組に、参政党、我が党は反対するものではありません。
ただし、個人が直接特定されない情報にあっても、AI技術の発展や外部データとの照合により、将来、個人の推定や再識別が可能になることも考えられます。また、ビッグデータから特定の属性を持つ集団の特徴などを分析するプロファイリングによって特定の集団に不利益が及ぶ可能性も否定できません。要配慮個人情報を含み得る行政データを本人同意なくAI開発や統計作成等に利用させる制度には強い警戒感を抱くものであります。
続いて、外国企業も国等データを取り扱う認定事業者になり得るのか、お伺いいたします。
デジタル行政推進法等改正案の国等データ活用事業として申請できる事業者には、日本企業に限定する規定は見当たりません。海外に本社を置く巨大プラットフォーム企業を含む外国企業や、外資系企業も認定対象になり得るのかという理解でよろしいでしょうか。また、外国企業や、外資系企業も認定事業者になり得るのであれば、なぜ外国企業も対象としたのか、その理由を伺います。
○松本(尚)国務大臣 本改正法案では、データ利活用を促進する観点から、資本関係等について、一律に特定の属性の事業者を認定対象から除くということはしておりません。ですから、今のお尋ねでいけば、外国企業も認定業者にはなり得るということになります。
一方で、当然、安全保障等の観点も念頭にしてデータの保護というものをちゃんと考えなきゃいけませんから、そういった適切なバランスを図るため、認定するに当たっては、安全管理の内容とか、あるいは当該事業者の資本構成といった点も含めて認定をする。あるいは、どんな目的で何を使うかというような計画全般の的確性については、十分丁寧に審査を行うことが必要だということは間違いございません。
○谷(浩)委員 御答弁ありがとうございます。
国際的な技術や知見を活用することが国民の利便性向上につながる場合もあると思います。しかし、本法案で扱われるのは、国や自治体が国民の信頼に基づいて保有している行政データです。外国企業も認定対象となるのであれば、データの保管場所、外国法令による開示リスク、越境移転、国内への利益還元について、国民に分かる形で説明される必要があります。利便性と同時に安心感を確保する制度設計が必要ではないでしょうか。
次に、データの市場開放と国内IT産業の保護について伺います。
本法案の趣旨には、個人情報を含むデータの利活用に対する需要が高まっているという説明がありました。もちろん、この需要は国内の事業者や経団連などの団体からも声が上がっていることは承知をしておりますが、中には、アマゾンウェブサービスジャパン合同会社、AWSJや、在日米国商工会議所、ACCJを始めとする外国企業、団体からも個人情報保護委員会の方にパブリックコメントやヒアリングなどを通じて声が上がっているとも確認をしております。
このような外国企業、団体からどのような内容の要望があり、本法案や関連制度の設計にどのように反映されたのでしょうか。さらに、なぜ個人情報保護委員会はACCJをヒアリング対象に選定したのでしょうか。お答えください。
○佐脇政府参考人 お答えいたします。
委員御存じかと思いますが、個人情報保護法は、日本のサービスを提供している限りにおいて全世界の事業者が規制対象になります。その観点から、多様なステークホルダーの一つとして、国内のサービス提供等を行っており、我が国の法律の適用を受けることになります外国籍の企業、団体からの意見を伺ってございまして、御指摘のACCJのほか欧州ビジネス協議会などからも伺ってございます。
また、国際整合性という観点からは、アジア各国の様々な当局でございますとかG7の各国の当局でございますとか、そういった方々と、様々な議論を通じて、立案に当たっての知見、経験をいただいたという経緯になってございます。
例えば、ACCJから聞いた主要な指摘としましては、リスクベースアプローチを採用した上で、国際的な基準との関係で相互に運用可能であることを求めるというコメントがございまして、今回の同意を要する規律を因数分解した上で適切なあんばいに再設計するでございますとか、あるいは、同意が不要な場合あるいは漏えい報告の本人通知などのリスクベースの観点からもそういったアプローチを今回導入してございますし、そういった形で、もちろんACCJからの意見を取り入れたということではございませんが、様々なステークホルダーの意見の一環として聞きながら立案に生かしてきたということでございます。
見直しの過程におきましては、特定の者に偏ることなく、有識者、経済団体、消費者団体を始め幅広いステークホルダーから意見を伺い、国際的にも整合性を取る観点も含めまして検討を進めてきたということでございます。
○谷(浩)委員 御答弁ありがとうございます。
データ利活用の需要を把握する際に、幅広い関係者から意見を聞くこと自体は必要だと思います。ただ、外資系クラウド事業者や海外の経済団体の意見がどのように反映されたのかということを国民に更にしっかりとお伝えいただきたいと思っております。
日本は、国産AIや国産ガバメントクラウドの育成で課題を抱え、デジタル赤字も大きくなっています。行政データという重要な資源を活用するのであれば、その成果が国内の技術、人材、雇用、産業基盤の強化にもつながるように設計すべきです。デジタル化を進めることと国内産業を守り育てること、これは両立させなければならないと考えております。
続いて、本法案の国際的な比較をしたいと思います。
本法案は、外国企業であっても、統計作成やAI開発を目的とする場合には、政府が保有する個人情報に本人の同意を得ることなくアクセスが可能になるものと承知をしています。しかし、これに対して、逆に日本企業が外国政府のデータにアクセスをする、そういった権利は保障されているのでしょうか。すなわち、EU、米国、中国など主要国において、政府保有の要配慮個人情報を含む個人情報を民間事業者のAI開発や統計作成等のために本人同意なく提供する制度はどの程度存在するのか。日本企業は外国政府の同種データに同等条件でアクセスできるのか。また、法案の検討過程で相互主義は論点となっていたのでしょうか。併せて伺います。
○山澄政府参考人 お答え申し上げます。
諸外国の状況についてでございますけれども、もちろん国それぞれによって様々ではあるんですけれども、例えばEUにおけるデータガバナンス法を例に取りましても、域外事業者を含む事業者が公的なデータにアクセスするための制度は一部存在するというふうに承知をしてございます。
本法案の検討過程におきましては、これらのものを含めまして諸外国の関連し得る制度を参考としつつ、データの安全管理等を確保しながら、国の保有をするデータが適切に利活用されるよう制度設計を行ってまいりました次第でございます。
○谷(浩)委員 御答弁ありがとうございます。
ただいまEUに関しての点でお答えいただきましたが、そのほかの国々はなかなかそういうものがあるのかないのかといったところではありますが、やはりちょっと我が国が先頭に立っていっているような、そんな感じが私はしておるわけでございます。
国境を越えたデータ流通というもの、これは国際的な経済活動にとって重要です。他方で、日本だけが行政データを広く開き、日本だけということではないですけれども、日本が先頭に立って非常に前向きに行政データを広く開き、日本企業は外国政府の同種データに同じ条件でアクセスできないということであれば、国民の理解を得ることは非常に難しいと思います。
行政データは、国民生活、産業構造、地域社会を映す重要な情報です。国際協調は大切ですが、相互性や公平性が確保されているかは丁寧に確認すべきです。中国やアメリカの企業は日本政府のビッグデータにアクセスできるが、日本企業が中国政府やアメリカ政府の保有するビッグデータにはアクセスできない、こういうことがあっては非常に不公平なつくりとなっているように感じられます。そのような観点からすると、相互主義の観点を制度設計の中に明確に位置づける必要があるのではないでしょうか。
次に、委託に関する審査と安全管理についてお伺いいたします。
認定事業者が、クラウド事業者、AI開発企業、データ分析会社、海外子会社、海外再委託先などに処理を委託する、そういった場合が考えられると思います。再委託や孫委託についてはどこまでが審査の対象になるのでしょうか。認定事業者だけではなく、再委託先、クラウド基盤、海外データセンターも含めて安全管理を審査するのでしょうか。御答弁をお願いいたします。
○山澄政府参考人 本法案に基づく認定制度におきましては、国等データ活用事業の内容やデータの安全管理の内容等を審査いたしますが、その際、計画の中心となる事業者に加えまして、先生おっしゃいました委託先ですとかデータセンター等についても、要すれば審査を重ねるというふうに考えてございます。
具体的な審査の詳細につきましては、今後、関係府省ですとか有識者などの御意見も踏まえながら、懸念を払拭するために必要な審査がなされるよう、重々留意しながら検討してまいります。
また、万が一、計画に関する問題が認定後に生じる場合には、報告徴収等を通じた迅速な指導監督を行い、それでも問題が改善しない場合には認定の取消しを行うなど、制度の適切な運用を行ってまいります。
○谷(浩)委員 御答弁ありがとうございます。
クラウドや外部委託を活用すること自体は、我が国の現在のデジタル行政において避けられない面があると思います。しかし、再委託、孫委託、海外データセンターが関わる場合、実際に、誰が、どこで、どのようにデータを管理しているのかが見えにくくなってきます。報告をしない、又は虚偽報告をした場合の罰則が三十万円以下の罰金にとどまるのであれば、大規模な事業者に対する抑止力として十分なのか疑問があります。疑問があるといいますか、ほとんど抑止力にならないと考えています。制度への信頼を確保するためにも、再委託先を含む監督、立入検査、認定取消し、再認定制限など、実効性のある措置を検討すべきだ、そう考えております。
続きまして、安全保障上懸念のあるデータの提供について伺います。
デジタル行政推進法第二十九条第二項第三号の、公益を害し、又は所掌事務若しくは事業の遂行に支障を及ぼすおそれには、安全保障、経済安全保障に関わる事項が含まれていると考えますが、具体的には、重要インフラへのサイバー攻撃、情報戦や認知戦への対応、外国政府によるデータ取得リスクなども含まれるのか。含まれる場合、誰が、どのような基準で判断をするのか。お伺いいたします。
○松本(尚)国務大臣 今御指摘の本法律案の第二十九条第二項第三号、公益を害し、又はその所掌事務の遂行に支障を及ぼすおそれ、この中には安全保障等に関する懸念は含まれると考えております。より具体的な態様、状況については、安全保障等を担当する各府省庁がありますので、この場で具体的にどういう場合、どういう場合ということを申し述べることはできませんけれども、各府省庁と連携しながらこれを示していきたいと思っています。
具体的な手続としては、総理が国等データ活用事業に関して認定の基準となる指針を策定しますので、そのときに担当の部局と協議して内容に反映させる、それから、個々の申請時にも、具体的な事業内容に照らして懸念がないのかどうか、これもまた、部局と意見を調整した中で認定の可否をして、総理大臣を含む主務大臣が判断するというような、そういう手順になります。
したがって、いろいろと御懸念の件、安全保障上おありだと思うんですけれども、そういった幾つかの歯止めをかけながら進めてまいりたいと思っております。
○谷(浩)委員 御答弁ありがとうございます。
今からそれを指針等で定めていかれるということではありましたが、この法案は非常に大きな、重要な、そして危険性を伴う法案であると私は認識をしております。先ほど申し上げましたように、やはり国のデータというのは私たち日本人の大切な資産でありまして、これを海外の事業者にも認定するということは非常に大きなリスクがあると考えております。
データ提供を積極的に進めることが国民の利便性向上につながる場合はあるとは思います。しかし、行政データは、単体では価値が低く見えても、AIで分析されることで、我が国の地域の脆弱性、重要インフラの弱点、産業構造上の特徴が明らかになる可能性があると考えています。
したがって、安全保障や経済安全保障に関わる懸念がある場合には、グレーゾーンの事態も含めて、行政機関が適切に提供を見送れる仕組みが必要です。第二十九条の運用においては、利便性だけではなく、国家の安全、国民の安心、データ主権を守る観点を明確にしていただきたいと思います。
デジタル化やデータ利活用は現代社会にとって重要なことでありまして、行政の効率化、国民サービスの向上、AIやクラウドの活用は今後の我が国にとって必要な取組であると認識しております。
しかしながら、国民の個人情報を含み得る行政データは、国民から行政が預かっている大切な情報であります。これを外国企業や巨大プラットフォーム企業にも提供し得る制度にするのであれば、国民が不安を覚えるのは当然だと思います。日本のデータは、日本の主権、産業、国民生活を守る形で活用されるべきだと思います。利便性や効率化の名の下に、リスクは国民が負い、利益や技術が海外に流出するような制度になってはなりません。
本人同意なき提供範囲の明確化、外国企業に対する透明性の確保、相互主義、国内還元、再委託先を含む監督、経済安全保障上の拒否権を可能な限り法律上又は指針上でしっかりと示さなければならない、そう考えています。
我が国は、デジタル赤字が大きく、デジタル主権も十分に確立されているとは言い難い状況であります。だからこそ、データ利活用を進めるのであれば、慎重に慎重を重ねた制度設計を行うべきであると申し上げ、私の今日の質問を終わらせていただきます。
どうもありがとうございました。
○橋本(岳)委員長代理 次に、日野紗里亜君。
○日野委員 国民民主党の日野紗里亜です。今日も質疑の機会をいただきまして、ありがとうございます。
早速質疑に入らせていただきたいと思います。
医療、介護、教育、防災、交通など、様々な分野においてデータの適切な活用は社会課題の解決に不可欠であり、AI、自動運転、スマートシティーなど、今後の成長分野を考えても、日本として適切なルールの下で積極的に利活用を進めていくことが必要であると私は考えています。
一方で、国民の側には知らないうちに自分の情報が使われるのではないかという不安があります。だからこそ、私は、守るために止めるのではなく、個人の権利利益をしっかり守りながら透明性と信頼性を高め、安心して活用できる環境整備こそ重要だと考えております。その際には、情報収集側、情報提供側双方から状況を確認できる仕組みや、本人による利用履歴の確認、管理機能、情報提供の透明化、教育、啓発活動なども重要であると考えています。
そこで、まずお伺いします。政府として、データ利活用がもたらす社会的メリットについて、どのように国民理解を広げていくのか、また、個人の権利利益を確保し、懸念や不安を払拭した上で、消費者側、企業側双方が安心できるデータ流通環境をどのように構築していくのか、大臣、お願いいたします。
○松本(尚)国務大臣 まず、データ利活用のメリットは、もう言うまでもないんだと思いますけれども、先ほどから問題となっているAIの活用などは、AIの開発ですね、当然だと思いますし、特に医療界からはやはりいろいろな健康データを創薬につなげていきたいという要望も非常に多くございます。そういったことを進めることによって、国民生活が更に豊かになるということは大きなメリットだと思います。
当然、個人の権利利益というのは保護しなきゃいけませんから、今日一日、まだありますけれども、ずっと、この保護の部分も大事にしろという御意見もあるし、利活用しようと思えば、安全保障上懸念があるんだという御意見もありますから、非常にバランスの取り方が難しいなということは当然であろうと思います。
特に、今回は子供の個人情報とかそれから顔特徴データの取扱いについては規律をしっかり整備するということにしておりますし、再三、課徴金制度の話もありましたが、初めて個情法の中では課徴金制度を導入することによって違法な行為を抑止できるようにするというようなことも含めながら、今回、いわゆる利活用と保護のバランスを取った形でこの法律を改正しようということだと思います。
先ほど申しましたけれども、アメリカはとにかく何でも利活用していこうという方針ですし、ヨーロッパはむしろレギュレーションを強くするということで今までやってきたと思います。利活用したりレギュレーションしたり、大きく右に左にと振れながらやるんですけれども、我が国はやはり我が国のやり方があるので、アクセラレーション・アンド・サプレッションとさっき申しましたけれども、同じ法律をそういうふうにバランスを取りながら、両方をうまく変えながら前に進んでいくということが我が国らしいやり方ではないかなというふうに個人的には感じております。
○日野委員 御答弁いただきまして、ありがとうございます。
ある一定程度トライ・アンド・エラーといった考え方も必要だと思うんですけれども、やはり個人情報ですので、しっかりとそこの部分は制度の方で守っていきたいと思っております。
今大臣からも顔特徴データのお話がありました。顔認証データなどの生体情報についてお伺いさせていただきたいと思います。
現在、顔認証技術などを活用したソリューションへの期待は高まっておりますが、実際の現場では、顔特徴データをどのように位置づけるのか、商用利用において何が許され、何が許されないのかが分かりづらく、企業側が慎重にならざるを得ない状況があります。私は、必要以上に企業が萎縮し、日本の技術開発や社会実装が遅れてしまうことは避けるべきだと考えておりますが、一方で、顔特徴データなどは極めてセンシティブな情報でもあり、国民の不安に十分配慮しなければなりません。
そこで、お伺いします。生体情報の法的位置づけや同意取得の在り方について、個人情報保護委員会等の検討も踏まえながら、分野ごとの実態に応じたより明確で分かりやすいルール整備が必要だと考えますが、政府のお考えはいかがでしょうか。また、新技術に迅速に対応できる体制整備についても、どのように進めていくお考えなのか、併せてお答えください。
○佐脇政府参考人 お答え申し上げます。
顔特徴データは、御指摘のとおり、その他の生体データに比べましても、その取扱いが本人のプライバシーなどの侵害につながりやすいという特徴を有しております。その一方で、御指摘のとおり、認証目的での利用が典型でございますが、効果的な利活用への期待も高まっているということでございますので、ある意味ルールを明確化することによりまして、保護と利活用双方に資するということかと思ってございます。
私どもにおきましては、今回、法案におきまして、プライバシー等の侵害を防止するとともに、そういった利活用を促すために、顔特徴データの取扱いについて、透明性を確保した上で本人の関与も強化する規律を導入することとしてございまして、一定の事項の周知を義務づける、それから違法行為の有無を問うことなく利用停止等請求を行うことができるようにする、それから本人の求めにより提供を停止するということを条件に第三者に提供できるオプトアウトという制度がございますが、その適用は対象としない、そういう様々な要件を含めながら導入をしていこうと思っているわけでございます。
いずれにしましても、委員御指摘のとおり、業種業態によって様々な事業モデルもございますので、そういったものをしっかり踏まえた、実例と申しますか、よりルールを具体的に守りやすくするための内容を規則、ガイドラインで明確化してまいりたいというふうに思ってございます。
また、おっしゃるとおり、技術は日進月歩でございまして、バイオメトリクス技術に限りませんでして、様々な技術進歩は著しいものでございます。それを適切に把握すること、また、諸外国との様々な交渉、連携も重要になってございますので、そのための人員の増強、専門性の強化などに励んでまいりたいと思います。
〔橋本(岳)委員長代理退席、委員長着席〕
○日野委員 やはり、顔特徴データはすごくセンシティブだと思っております。
私、子育て支援団体を運営していまして、双子、三つ子家庭の支援団体なんですけれども、当時、虐待の事件が私の愛知県で起きましたので、その啓発のためにイベントをやると、結構、メディアの方が、報道各社が集まってくださるんですね。その際に、私としても、できる限り社会に対して啓発していきたいと思うから、全てそういったものはお受けするんですけれども、やはり来場者の中には、絶対に顔を見られたくないんだ、何だったら、もう後ろ姿も見られたくないんだ、そういった方もいましたので、そういった顔という個人情報をしっかりと政府の方でも守っていただければというふうに思っております。
続いての質疑に移ります。
企業間データ共有についてもお伺いさせていただきたいと思います。
日本の強みは、現場で蓄積されてきた産業データにもあると考えております。例えば、自動運転の開発においても、個社単独のデータでは限界があり、詳細な地図情報なども含めた、官民連携によるデータ基盤整備が不可欠であります。
スマートシティーなどの分野でも、官民連携によるデータ連携基盤の整備が進められておりますが、一方で、企業間データ共有については、契約、認証、セキュリティー、責任分担など、多くの課題が存在しているかと思います。
そこで、お伺いします。企業間で共有を図るべきデータについて、国として、信頼性、透明性、セキュリティーを確保した契約や認証の枠組み整備を進め、国全体で安心して活用できる仕組みを構築すべきだと思いますが、政府の御見解をお伺いします。
○蓮井政府参考人 お答え申し上げます。
御指摘のとおり、企業間のデータの共有や連携の推進に当たりましては、安心や信頼の確保は大変重要だと認識してございます。
昨年六月に、企業間データ連携の環境整備やユースケースの創出に向けまして、経団連や関係省庁等と共同で設立をしましたデジタルエコシステム官民協議会というのがございまして、これにおきましてもデータ連携における信頼性の確保に関する検討を行ってございます。
具体的には、企業間の契約の前提として、当該企業の真正性を確認する認証基盤であるGビズIDですとか、取り扱うデータの発行元やそのデータの非改ざん性を証明するeシールなど、データ連携における信頼性の確保に活用し得る仕組みやツールを、企業が必要に応じて個別ユースケースに活用できるように、体系的な整理を進めているところでございます。
加えまして、デジタル庁では、安心、安全なデータ連携の前提として必要な、企業におけるデータガバナンスの取組を促進するためのガイドラインの作成ですとか、ほかの組織とのデータの共有、連携から生じ得る法益侵害リスクに対処するためのデータセキュリティーについての基本的な考え方の取りまとめなども行っております。
こうした検討や取組の内容を広く企業などに周知するとともに、本法案に基づく指針や認定要件の検討などにおきましてもこれらの内容も参考としていただくなど、デジタル行財政改革会議事務局などともよく連携しながら、企業間のデータ共有、連携における安心や信頼の確保を図ってまいりたいと考えております。
○日野委員 御答弁いただきましてありがとうございます。
次に、デジタル行政推進法改正案における国等データ活用事業の認定制度についてお伺いします。
法案第二十六条では、国等データ活用事業の認定制度の創設に関し、重点分野や安全管理その他事項を定めた指針を策定するとされております。この二十六条について、三点、同時にお伺いさせていただきたいと思います。
まず、この指針について、法案成立後、実際に制度を活用する企業や現場の声を十分に反映していく必要があると考えますが、どのような場で、どのようなメンバーによって検討を進めていくのでしょうか。
また、ここで言う重点分野とは、具体的にどのような分野を想定しているのでしょうか。例えば、医療、介護、モビリティー、防災、教育、スマートシティーなどを想定しているのか、現時点での方向性をお示しください。
三点目。安全管理その他の事項とは、具体的にどのような内容を想定しているのでしょうか。特に、セキュリティー対策やデータ管理体制について、企業側に過度な負担を課せば、制度があっても参入が進まない懸念があります。一方で、安全性が不十分では、国民理解は得られません。このバランスをどのように考えているのでしょうか。お答えください。
○山澄政府参考人 お答え申し上げます。
まず、指針の策定プロセスでございますけれども、まだ具体的に詰め切っているわけではございませんけれども、関係者や有識者の皆様から、当然、先生御指摘ありましたように、現場の方々の御意見なんかも広く伺いつつ、当然のことながら、透明性を確保しながら丁寧にやってまいりたい、こう思ってございます。
それから、重点分野についての御質問でございましたけれども、法案の検討過程において、事業者の方々からいろいろ伺った際には、例えばですが、自動運転車両の開発ですとか建設現場の安全対策などについての具体的なニーズをお伺いしたところでございます。
いずれにいたしましても、準公共分野ですとか具体的なニーズがある分野などを中心に、改めて、先ほど申しましたような有識者の意見などを踏まえまして、あるいは現場のニーズも踏まえまして検討していきたいと思ってございます。
それから、最後の三点目、認定プロセスが煩雑であるのは問題ではないかというような御質問であったかと思っておりますが、認定に当たりましては、当然のことながら、安全管理の内容をしっかり確認するということは大前提でございますが、同時に、そのために認定プロセスが煩雑になり過ぎないということも重要であるというふうに考えてございます。
そのバランスを取る観点から、例えばですが、国等データ活用事業指針は可能な限り平易な内容とするなど、あるいは、制度の理解を促進するための文書ですとか過去のグッドプラクティスなど、申請に当たって参考になる事項を積極的に共有させていただくですとか、申請前に前広に相談を受け付けていく、寄り添うような形で対応できるというようなことを図ってまいりたいと考えてございます。
○日野委員 恐らく、多分、認定プロセスの件は次の質疑だったんですけれども、さらに、ちょっと次の質疑に入らせていただきます。
個人情報保護法改正案における統計作成等の範囲についてお伺いしたいと思います。
法案では、個人データの第三者提供及び公開されている要配慮個人情報の取得について、統計作成等にのみ利用される場合には本人同意を不要とする規定が盛り込まれております。一方、個人情報保護委員会資料では、統計作成等にはAI開発等も含まれるとの整理が示されていると承知しております。
AI開発や研究開発を進める上で、一定のデータ活用は必要であり、私は、過度に萎縮的な制度にすべきではないと考えておりますが、一方で、AIによって特定個人の情報が推測、復元されるようなことがあれば、国民の不安は一気に高まり、制度全体への信頼を損なうことにもつながります。
そこで、お伺いさせていただきます。統計作成等の対象範囲とは、具体的にどのようなものを想定されていますでしょうか。AI開発等が含まれる場合、開発されたAI等により特定個人の情報を推測、復元できないことが必要であると考えますが、匿名加工情報の作成等と同様の基準や考え方が必要ではないでしょうか。また、特定個人への活用を目的とした利用や他情報との照合による再識別などについて、どのような規定を想定しているのか。ほかの議員からの御質問もありましたが、改めてお伺いさせていただければと思います。お願いいたします。
○佐脇政府参考人 お答え申し上げます。
お尋ねの統計作成等の定義でございますけれども、条文に書いてございますが、統計の作成その他の大量の情報から当該情報を構成する要素に係る情報を抽出して分類、比較その他の解析を行うことにより、その大量の情報の傾向又は性質に係る情報で個人に関する情報に該当しないものを作成する行為のうち、個人の権利利益を害するおそれが少ないものとして規則で定めるものということになってございます。
再識別あるいはその対象について更なる御質問がございましたけれども、具体的な対象といたしましては、特定の個人との対応関係が排斥されました統計情報で、先ほどの定義に該当するAIモデルが想定してございますが、この特例におきましては、大量の個人情報を個人に関する情報に当たらない状態まで加工してしまうことが義務づけられておりますので、個人情報でありながらも、どの個人か分からないように加工するという趣旨であります仮名加工情報や匿名加工情報のような、個々人の区分を残した情報よりも更に一般化を要するものと御理解いただければと思いますので、その場合には、開発の過程におきまして、開発したモデルから再識別等を行われるリスクというのは極めて低いものというふうに考えてございます。
個人の権利利益を害するおそれが少ないものという観点から、さらに、委員会規則におきましても、個人情報等の復元を防止するために必要かつ適切な措置を講ずることをしっかり求めていこうというふうに考えてございまして、この特例に関連いたします様々な義務規定もしっかり守らせることによりまして国民の理解を得ていきたいと思います。
○日野委員 時間となりましたので、質疑を終わらせていただきます。
ありがとうございました。
○丹羽委員長 次に、西岡義高君。
○西岡(義)委員 国民民主党の西岡義高でございます。本日もよろしくお願いいたします。
それでは、議題となっております情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案並びに個人情報の保護に関する法律等の一部を改正する法律案について質問してまいりたいと思います。
今回の法改正は、データの利活用に関する需要が高まっている、このような状況に対しまして様々な措置が講じられているものと理解しております。
しかし、データの利活用、こちらは利便性を向上させる、そういった一方で、安全保障上、インテリジェンス機能に対する隙があるのではないかという懸念がございます。この観点で幾つか質問を、確認をさせていただきたいと思います。
当然、インテリジェンス機能を高めるためにもデータの利活用、これを推進することは必要なことでありますけれども、外国勢力などからの悪意からは、カウンターインテリジェンス、情報を守っていかなければならないというわけでございます。
まずは、今回の両法案につきまして、我が国のインテリジェンス機能についてどのような影響があるとお考えなのか、まず、その御見解を伺いたいと思います。
○松本(尚)国務大臣 質問の趣旨は、先ほど阿部委員がお話しになったこととよく似ているんだろうというふうに思いますけれども、もちろん、データ利活用を進めていくに当たって、安全保障の観点を重要視しなければいけないことは当然だろうと思います。
デジタル行政推進法等改正案においては、認定制度を創設することによって、その認定をする時点で安全保障を含めた問題がないかということを関係する府省庁とともにチェックをしていくということは先ほど申し述べたとおりでございます。また、計画全般の適格性についても厳重に丁寧に審査をするということ。
それから、個人情報保護法の改正については、特定の個人との対応関係が排斥された状態で統計の情報等の作成をしていくということで、これも、ある意味、安全保障上懸念があることを排斥していくということにもつながろうかと思います。
それからもう一つは、例えば顔情報、顔の特徴データがありますよね、顔の特徴データを利用停止するということができるんですけれども、例えばインテリジェンス、外国のインテリジェンスの関係者が顔情報を使うなというようなことを申立てをしないとも限らないんですが、そういった場合についても、これは防犯関係の問題ですから、そちらの方の法律でもって、捜査上問題のあるような、必要なものについては利用停止請求を退けられるというようなこともございます。
そういった点で、いろいろな角度から安全保障上、インテリジェンス機能に影響がないようにしているというふうに御理解いただければと思います。
○西岡(義)委員 御丁寧な御答弁ありがとうございます。
しっかりと安全保障上の懸念点も考えながらやられているということで、この後質問しようと思っていた具体的なことまで踏み込んでいただいて、ありがとうございます。
それでは、具体的な、ちょっと細かい懸念点を一つ一つ確認させていただきたいと思います。
行政の持つデータというのは重要なデータということで、当然、外国のインテリジェンス機関にとってはターゲットとなってくるというものでございます。今回の法改正で、事業者の申請に基づいて、国等データ活用事業としまして、大臣が認定する、そういった制度が創設されるかと思います。
しかし、行政データにアクセスできる認定事業者の中に外国の情報機関とのつながりのある事業者が巧みに入り込んでしまった場合、法的に正当な手続をもってインテリジェンス活動を許してしまうというようなリスクがあると考えられますけれども、この点については具体的にどのような対策が取られているのか、伺いたいと思います。
○山澄政府参考人 先ほど大臣からの答弁にもございましたが、本法案に基づく認定制度の運用に当たりましては、インテリジェンスと安全保障等の観点も念頭に適切な安全管理措置を講じること等により、他国の影響を受けることのない環境を整備するということが極めて重要だと考えてございます。
その上で、今般新たに創設いたします認定制度の申請主体について、データの利活用を促進するという観点から、特定の事業者を一律に認定しないという規定は設けておりませんけれども、他の法令に違反する場合や公益を害する場合などにはデータを提供しないというふうにしてございます。
実際の認定に当たりましては、安全保障を含め、ほかの分野を所掌する政府内の府省との十分な連携を図って、その下に、要すれば、当該事業者の資本構成ですとかこれまでの事業内容、関連する外国事業者などについても丁寧な審査を行って、これにより、我が国の国益を害する活動を行うような、いわゆるインテリジェンス機関へのデータ提供の排除を図ってまいります。
これらの措置を併せ講じますことで、御指摘のリスクの対応を含め適切な制度の運用を図っていく所存でございます。
○西岡(義)委員 御答弁ありがとうございます。
精査をもってリスクを排除していっていただければと思います。
認定時の透明性を高めるためにも、我々国民民主党は、外国代理人登録法、いわゆる日本版FARA、こういったインテリジェンス機能を高めるような法案も提案しているところでございますので、是非、こういった議論も政府の中で引き続きやっていっていただきたいと訴えまして、次の質問に移りたいと思います。
今回、IPA、情報処理推進機構について、認定国等データ活用事業者への調査実施、また、重大事態への調査実施ということで機能が強化されております。このことは、サイバー防御であったりカウンターインテリジェンスについても一定の役割を果たしてくれるものだと認識しておりますけれども、具体的にどのような形で認定事業者に対して関与していくのかを伺いたいと思います。
○山澄政府参考人 お答え申し上げます。
具体的な支援内容という御質問でございましたが、例えばですが、認定事業者に対します情報セキュリティーなどデータの安全管理に関する情報提供等の協力、主務大臣が行う事業計画の認定におけるデータの安全管理の内容等に関する調査、認定事業者に関わる重大な事態の発生時における原因究明の調査、認定事業者によるデータ提供の求め等を受けた地方公共団体からの求めに応じた技術的助言等の協力などが行われると規定されてございます。
IPAは、これまでも、情報処理システムですとか情報の適正な管理に関する最新かつ幅広い知見を有しておられまして、技術中立的な立場から、先ほど申し上げましたような情報提供ですとか調査等を実施するためのノウハウを有しているものと認識しておりまして、これらを活用しながら認定事業の円滑かつ確実な実施を図ってまいりたいと考えております。
○西岡(義)委員 御答弁ありがとうございます。
引き続きまして、ここからは個人情報保護法に関する懸念点について幾つか伺ってまいりたいと思います。
今回の改正では、AI開発を含む統計作成等を目的とする場合、個人データ等の第三者提供及び要配慮個人情報の取得について、本人の同意が不要とされております。しかし、外資系企業であったり、事実上外国政府のコントロール下にある事業者が、日本国内で統計作成の名目で大規模な個人情報を収集して、それを本国のインテリジェンス活動、特定の日本人のプロファイリング等に転用するということも考えられますけれども、この点の対策について十分取られているのかを伺いたいと思います。
○佐脇政府参考人 お答え申し上げます。
本法律案におきましては、特例により取得された個人情報等につきまして、特定の個人との対応関係が排斥された統計情報等の作成のみに利用されることを担保するために、何に使うかなどといった一定の事項の公表を行うとともに、目的外利用及び違法な第三者提供の禁止ということを規定することにしてございます。
また、さらに、そういった個人の権利利益を害するおそれが少ないものとして、個人情報保護委員会規則で定めるものに限定いたしますので、規則の中に目的外利用及び第三者提供を防止するために必要かつ適切な措置などをしっかり定めることを予定してございますし、そういった違法行為があった場合につきましては課徴金の対象に当たるということとしてございます。
本特例が導入された暁には、事業者の属性等にかかわらず、特例に基づく提供元、提供先の事業者による公表の把握などを通じまして、事業者の規律遵守状況について適切に監視、監督を実施したいと思いますし、委員御指摘のような、事実上外国の政府のコントロール下に置かれるということにつきましては、私ども、各国の同僚の、同じような立場の機関もさることながら、国内におきましても、警察を含め、時と場合によりまして様々な横の連携を密に執行してございますので、そういった知見を共有しながら対処してまいりたいと思ってございます。
○西岡(義)委員 御答弁ありがとうございます。
こういったインテリジェンス活動というのは、違法行為を前提で行ってくる場合もございます。衆人環視というか、多くの監視の目というのが一定の抑止力になってくるかと思いますので、公表の有無というところは、しっかりとチェックをするような体制を是非取っていただきたいとお願いいたします。
では、逆に、この統計名目で集められたデータを我が国のインテリジェンス機関が転用したい、インテリジェンス活動に使いたいというようなことも想定されますけれども、そういった場合に、インテリジェンス活動上、支障を来すというような見方もできるかと思います。
我が国のインテリジェンス活動について具体的にどのような影響があると想定されているのか、この点、伺いたいと思います。
○佐脇政府参考人 お答えいたします。
本法案における統計作成等の特例は、一定の要件を満たす用途に限定される場合に本人の同意を不要とする例外規定を新たに追加するものでございまして、委員御指摘の御懸念との関係でいいますと、現行の法律の規定によってできる、できないということにつきましては、何ら変更を及ぼすものではございません。もちろん、その現行法令が適正に運用されているか、個人情報保護法を含めた法令に適切かどうかについては私ども監視、監督しますけれども、現行法令でできることができなくなるということではございません。
○西岡(義)委員 ありがとうございます。
影響がないということで確認させていただきました。
次に、AI学習の多くは海外の、海外企業のクラウド上で行われている、これまで他党の方の質問の中でも何度か出ておりました。統計名目によって、日本国内で取得されたデータ、日本国内に保存されているデータであっても海外企業のクラウド上で演算される、そのような過程で、外国当局によってデータの強制接収などにさらされるリスクもあるのではないかと考えております。
国産のAI基盤の進化を待てばいいのかもしれませんけれども、ここで法改正によってしっかりとAI開発のアクセルも踏まないとそれも進んでいかないというジレンマもあるかと思います。
そこで、外国の悪意あるデータの強制接収というもののリスクに対してどのような対策が取られているのかを具体的に伺いたいと思います。
○佐脇政府参考人 お答え申し上げます。
現行の個人情報保護法におきまして、越境データ移転につきましては、越境先の国の法律によりましては外国の政府が移転先事業者にアクセスをするということがあったりするものですから、その辺りを十分に情報提供した上で本人の同意を取る、あるいは、そのリスクをしっかりコントロールできるような契約、委託その他の、提供元の責任において管理できるかということを義務づけてございます。
この取扱いにつきましては、今回の特例が入ったからといって何ら緩和されることになりませんので、しっかりその辺りは対応をいただけるものだというふうに思ってございますし、統計作成の特例により取得された個人情報につきましては漏えいの防止その他の安全管理のために必要な措置もしっかり講じますので、そういったことが適切に措置されているかどうかというものをしっかり監督していくということになろうかと思ってございます。
○西岡(義)委員 御答弁ありがとうございます。
次の質問に入ります。
顔特徴データ等の特定生体個人情報に対する利用停止等請求の要件が違法行為の有無を問わず可能になるということで、緩和されることとなります。これは先ほど大臣からも少し御答弁の中でありましたけれども、これを無制限に認めてしまうようなことになれば、外国の工作員であったりテロの容疑者が監視から逃れるため自らのデータをシステムから消去するように要求してくる、そういった形で悪用される懸念があるのではないかと考えております。
そこで、このような安全保障上の例外要件について、運用基準をガイドラインで明確に示していくべきなど対策を講じていくべきかと思いますけれども、具体的にどのような対策を取っていくというところを詳しくお聞かせいただければと思います。
○佐脇政府参考人 お答え申し上げます。
まず、本法案において、一般的には特定生体個人情報について、違法な行為がなくとも利用停止請求を行うことを可能といたしますが、議員が御指摘されているような正当な公益的な利用を妨げることがないよう、その場合につきましては利用停止請求等の例外規定をしっかり設けてございます。
例えば、法令に基づいて特定生体個人情報を取り扱うという法的権限がしっかりある場合、あるいは国の機関等による法令の定める事務の遂行に協力するために国に対し提供する場合といったものにつきましては、今御指摘のあるような局面であろうかと思いますが、違法行為の有無を問わない利用停止請求というのは認めないということになってございますし、しっかりその辺りのことについて、具体的な事例を挙げながらガイドライン等で明確化していきたいというふうに思ってございます。
○西岡(義)委員 ありがとうございます。
引き続き、顔特徴データの取扱いについて確認してまいりたいと思います。
今回の法改正で、顔特徴データ等を取得する際には一定事項の周知が義務化となっております。しかし、カウンターインテリジェンスの活動において、特定のエリアでひそかにカメラなどを設置して顔認証技術を用いてターゲットを監視しているというような際に、それがもう周知されてしまっていることによって、ターゲットがその監視をうまくすり抜けていくというようなことができるというようなリスクも考えられます。要するに、周知義務がインテリジェンス活動の秘匿性を阻害するリスクがあるのではないかという懸念点ですけれども、この点につきましてはどのように対策をされているのか、伺いたいと思います。
○佐脇政府参考人 お答え申し上げます。
一般原則といたしましては、顔特徴データ等について取扱いに関する一定事項の周知を義務づけることとしてございますが、法律上明確に周知することが適当でない場合、他の権利利益の保護を優先すべき場合に係る例外規定を設けてございます。
その例外規定によりまして、例えば、周知を実施することが議員御指摘のような国の機関等の法令の定める事務の遂行に支障を及ぼすおそれがある場合につきましては義務づけられないということになってございますが、これらの具体例につきましては、事業者、国の行政機関含めまして、具体的な対応方針が明確になるようにガイドライン等で示していきたいと思います。
もちろん、適正な範囲で、適法な範囲で国等の事務が遂行されるということが重要でございますので、その点はしっかり監視、監督いたしますけれども、適切な範囲で例外規定を設けていることになってございます。
○西岡(義)委員 ありがとうございます。
それでは、もう一問、顔特徴データ等の取扱いについて引き続き伺います。
まず、特定生体個人情報のオプトアウトによる第三者提供、これが禁止されることになっておりますけれども、民間の監視カメラなどで収集された顔認証データ、これを我が国のインテリジェンス機関が捜査協力であったり情報提供のような形で活用していくというようなことが今後困難になってしまうのではないかという懸念がありますけれども、この点についてどのようにお考えなのか、見解を伺いたいと思います。
○佐脇政府参考人 お答え申し上げます。
今回提案しております顔特徴データの規律の中には、オプトアウト制度による利用を認めないことにしてございますが、現行法におきましても、公益上の必要性を優先すべき場合には、そもそもオプトアウト制度によらずとも、例外として本人の同意を得ないで第三者に提供することが許容されておりまして、その規定は改正後にも維持されることになります。
例えば、法令に基づく場合でありますとか、国の機関等による法令の定める事務の遂行に協力する必要がある場合であって、本人の同意を得ることにより事務の遂行に支障が及ぶおそれがあるときということにつきましては、現行法におきまして、本人の同意を得ないで顔特徴データを第三者に提供することが可能でございますので、オプトアウト制度の利用を認めないことが顔特徴データの適正な利活用を阻害するおそれはないと考えてございます。
○西岡(義)委員 ありがとうございます。
昨今、インテリジェンスの重要性であったり社会的要望というのが非常に高まっていると感じております。引き続き、この観点からもしっかりと考慮の上、様々な施策を進めていただきたいと思います。
ちょっと時間が残ってしまいましたけれども、用意してきた質問九問、全てさせていただきましたので、私の質問はこれで終わりたいと思います。
ありがとうございました。
○丹羽委員長 次に、高山聡史君。
○高山委員 チームみらいの高山聡史です。
本日は、個人情報保護法の改正案、そしてデジタル行政推進に関わる論点について政府の見解を伺ってまいります。
今回の法改正は、AI時代に対応したデータ利活用と権利保護のバランスを問うもので、チームみらいとしては、データ利活用を前提とするサービスの提供を萎縮させず、同時に、個人情報が適正に取り扱われるよう、丁寧な検討を求めたいというふうに思います。
まず、今回の改正案では、AI開発などのためのデータ第三者提供について、本人の同意を不要とする新しい特例が設けられる予定です。この意義は大変理解できる一方で、特例を利用すると事業者には相応の実務負担も見込まれるというふうに思います。特例を実効的に運用するためには、規律の遵守と利活用促進の両立に資するような、例えばプライバシー強化技術、いわゆるPETsの活用が有効ではないかというふうに考えます。
差分プライバシー、秘密計算、合成データの活用など、ちょっと言葉だけでもややこしい感じがしますが、こういった新しい技術、個人を特定しにくくしたままデータ分析を可能にする一連の技術が近年急速に発展しており、例えばシンガポールでは、政府主導でこの技術、PETsのサンドボックスが整備をされ、企業、事業者が試行できる環境が整ってきております。
そこで、個人情報保護委員会として、こういったプライバシー強化技術などの有用性をどのように評価をし、その周知普及をどのように進めていくお考えか、まず伺いたいというふうに思います。
○佐脇政府参考人 お答え申し上げます。
プライバシー強化技術、いわゆるPETsにつきましては、この法律案検討の過程におきましても、ヒアリング、パブコメ、その他もろもろの機会を通じまして、様々御意見をいただいてきたところでございますし、昨今、私ども、プライバシー関係の海外当局との議論の場でも必ず出てくるテーマでございまして、注目しているところでございます。
本法案の統計作成等の特例におきまして、安全管理等のための必要かつ適切な措置を講ずることを求めていくことにしてございますが、そのために使う一つの類型としましてPETsというのは有望な技術かと思います。そういったものが、私ども委員会といたしましても、各技術の有効性でありますとか技術を導入する際に必要となる運用体制などについての調査を行いたいと思ってございますし、それを通じまして、普及啓発、さらには、その導入による効果、それが先ほど言いました安全管理措置の遵守に当たってどういった意味合いがあるのかということを丁寧に説明しながら、スタートアップにおかれましても、特例を適正に活用いただけるような環境を整備していきたいというふうに思います。
○高山委員 ありがとうございます。
こういったPETsのような技術進展の早いテーマに関しては、事業者の方もどう取り組んでいいか分からないみたいな、そういった声もあります。こういった分野では、信頼できるエコシステムをいかにつくるかということが重要になってくると思いますので、個人情報保護委員会の方でも、解説の素材のリンクみたいなものも拝見しましたが、そういった一般的な周知にとどまらず、様々な形で具体的な周知、案内ということを更に進めていただきたいというふうに思います。
次に、子供の個人情報の取扱いに関する規律について伺います。
今回の個人情報保護法の改正案では、子供の個人情報を取り扱う際に、保護者など法定代理人の同意、通知を義務づけることが明文化される、これ自体は大変重要な改正だというふうに考えます。ただ、実際の運用を考えますと、利用者がそもそも子供に該当するかを判定する年齢確認のところがきちんと機能しなければ、せっかくの規律強化も形骸化しかねないというところです。
確認の方法、これ自体は、サービスの内容、リスクに応じて幅があってもよいのではないかということは、私もそのように考えますが、この上で、年齢確認の実効性を担保するため、どういう種類のサービスについてどの程度の年齢確認を求めるのか、ガイドラインの策定等、具体的な措置をどう考えておられるのか、個人情報保護委員会の見解を伺います。
○佐脇政府参考人 お答え申し上げます。
委員御指摘のとおり、子供が扱う可能性のあるデジタルサービスは、デジタルに限りませんけれども、サービスは非常に多様でございますので、一律の方法を義務づけることは実態に即さないわけでございまして、個別に具体的な事情に応じて適切な方法を求めていくということになるわけでございますが、その際に考慮すべき要素というものを具体的に示していくことによって、皆様方が守っていただけるようなガイドラインを作っていきたいと思います。
例えば、機微な内容の場合にはより丁寧な方法が求められるでありますとか、重大な影響が及ぶ場合にはより丁寧な方法が求められるでありますとか、取扱いの態様、影響の程度の予測のしやすさなどなど、具体的にどういった要素を勘案しながら、どの程度の年齢確認、その他の方法を導入しないといけないのかということを事業者が適切に判断できるようなガイドラインをしっかり整備したいと思います。
あと、年齢確認につきましては、これも私どものプライバシーの関係の国際的な話題の一つの中心的な話題でございまして、そこではエージベリフィケーションの手法などについてもいろいろな意見交換ができますので、そういうことも、ベストプラクティス、その他の形で提供することによって適正な遵守を求めていきたいというふうに思います。
○高山委員 年齢確認をどこまで厳密にやるのかみたいなところは、例えば、私も子供がおりますが、アプリで掛け算の結果を入れさせたりみたいな、そういったかわいらしいものもあれば、しっかり本人確認の厳格なものをやる、マイナンバーカードであったりとか本人確認書類であったり、そういったものもあると思います。
こういった具体のガイドライン、固まるのが遅くなると、事業者側の対応ということも遅れかねませんし、また、保護者の安心、そういったものもなかなか理解も得づらくなってしまうというところがありますので、なるべく具体的で分かりやすいものを早期に策定いただきますようお願いいたします。
次に、顔特徴データの取扱いに関する規律について伺います。
今回、顔特徴データについて本人の関与を強める方向で規律が強化をされます。一方で、顔特徴データというのは、例えば商業施設での混雑状況の把握であったりとか、あるいは公共の場での人流の可視化であったりとか、そういった文脈でのスマートシティー実証など、特定の個人を見分けることを目的としないデータの取扱いということが既に広く存在するというふうに思います。
ここで一点確認をさせていただきたいのですが、今回の改正によって特定個人の識別を目的としない正当な利用が新たに規制をされるわけではなく、現行法どおり、本人を識別しないものであれば問題ないという整理でよろしいでしょうか。あわせて、顔特徴データと顔を含む画像データそのもので取扱いが異なるのかということについても、改めて整理を示していただきたいというふうに思います。
○佐脇政府参考人 お答え申し上げます。
今回規制を強化いたします対象である顔特徴データは、委員御指摘されたとおりでございますけれども、目、鼻、口などの位置及び形状等から抽出した特徴情報を、本人を識別することを目的とした装置やソフトウェアにより本人を識別することができるようにしたものでございまして、単なる顔写真が典型でございますけれども、そういったものは、本人が識別できないものについては該当しないということでございます。
したがいまして、そういったものにつきましては、現行法に基づく基本的な個人情報の規律に服するということでございまして、利用目的をできる限り特定し、当該利用目的の範囲内で利用するでございますとか、利用目的を本人に通知する、あるいは公表するでございますとか、偽りその他不正の手段により取得しないといったことの一般的な規律に服するということになります。
顔特徴データにつきましては、これに加えまして、その取扱いに関する、より分かりやすい、より具体的な顔特徴データを何のために使うかということの周知を義務づけるとともに、違法行為の有無を問うことなく利用停止等請求を特別に可能とする、それから、第三者提供に関する一般的な特例でございますオプトアウト制度の利用を認めないという取扱いになってございまして、差異があるということになります。
○高山委員 ありがとうございます。
ここ、顔特徴データは規制が強まるらしいというような曖昧な認識が広がってしまうと、問題ないサービスに関しても萎縮が起きてしまうということがあってはいけませんし、一方で、今回の規律の強化という観点を考えますと、しっかり必要な規制に関してはその内容が周知されるということも重要であると考えますので、是非更なる周知をお願いいたします。
一つ飛ばしまして、続いて、行政機関が保有するデータの活用について伺いたいと思います。
今回、国等データ活用事業の認定制度ということの創設があるわけですが、行政機関が保有するデータを特定の個人を識別できないよう匿名加工した上で民間に提供する制度としては、行政機関等匿名加工情報制度というものもあるかと思います。この制度の提案件数の推移とこれまでの成果に対する評価について、政府の御認識を伺います。
○佐脇政府参考人 お答え申し上げます。
御存じのとおり、この行政機関等匿名加工情報でございますけれども、毎年度一回以上、行政機関等匿名加工情報をその用に供して行う事業に関する提案というものを募集しているわけでございますが、私どもが行っております施行状況調査というものがございまして、直近のものは令和五年度実績でございますけれども、民間事業者から行政機関等に対し十三件の提案がございまして、そのうち審査に適合したものが六件、令和六年度は三十件の提案がありまして審査に適合したものが十件というふうに承知してございます。
具体的な事例でございますけれども、介護分野におけるシステムの開発や医療データに基づく関連サービスの企画などに活用される目的で、行政機関等から医療・介護分野の情報が提供されているという事例があるものと承知してございます。
令和七年度につきましても、当該制度に係る事務の実態を把握するために、より使っていただけるようになるように当委員会として調査を実施いたしまして、様々な、実際に匿名加工情報の募集などをするに当たってのよりよい事例でありますとか、困った問題点を解決する事例などもありましたものですから、それを周知することによって、更に一層使われるように努力している最中でございます。
○高山委員 ありがとうございます。
これも意義のある取組だとは思うのですが、件数としてはまだ多くないというところもあるのかなというふうに思います。
そこで、松本大臣に伺いたいと思います。
今回、国等データ活用事業の認定制度の創設、これによってデータ利活用を更に進めていくということかと思いますが、行政データの民間利活用を進める上での課題とそれを踏まえた今後の取組方針について、大臣の御見解を伺えますでしょうか。
○松本(尚)国務大臣 課題といえば、今日たくさん御質問いただきました、いろいろな懸念点もたくさんあるのは課題といえば課題なんだろうと思いますけれども。
まず、適正な安全管理の在り方というようなものとか、あるいは民間業者が行政機関にデータを求めるための枠組みだとか、そういった特定分野じゃなくて、一般的なルールとしての在り方というのは、これからちゃんと、もう少し固めていかなきゃいけない点もあると思います。
それから、国等データ活用事業指針というのがございますけれども、この指針をきちんとデータの標準化とか安全管理について方向性を示していくということも課題だと思います。
あとは、適切性がどうなのかということも、これは個情委と一緒になって相談をしていかなきゃいけません。法令上の適切性がどうなのかというようなことも課題だというふうに思います。
いずれにしても、今委員がおっしゃったような課題をきちんとクリアして、適切に利活用ができるように進めていかなければ法律を改正する意味はありませんから、この法律が成立した直後からその作業に取りかからなきゃいけないと思っています。
○高山委員 ありがとうございます。
今日の委員会の質疑でも、様々、懸念であるとか課題に対する指摘があったかと思いますが、技術の進展に伴って、データを利活用することによって得られるベネフィットも、そして、目的外利用であるとか悪用によって起こるリスク、それぞれ高まっている中で、今後のデータ利活用の在り方について、国民全体のコンセンサスを丁寧に取っていくということかなというふうに考えております。
行政が持っているデータというのは、本来、国民が適切に使えるべき公共財としての役割もあるかと思いますので、今後、適切な利用が進むことを期待しまして、私の今日の質問を終わります。
ありがとうございました。
○丹羽委員長 次回は、来る十四日木曜日午前八時五十分理事会、午前九時委員会を開会することとし、本日は、これにて散会いたします。
午前十一時五十六分散会