デジタル庁への立入検査の法的根拠について
マイナンバー問題でとうとうデジタル庁に立入検査。
国の行政機関である個人情報保護委員会が同じ行政機関であるデジタル庁に立入検査するという珍しい事態に法的根拠はどうなってるか少し気になって調べてみた。
- 個人情報保護委員会とは
- 個人情報保護法における立入検査の条文
- マイナンバー法における立入検査の条文
- 過失には罰則はない
- 原因が何であれ流出被害は取り返しがつかない
- 自己情報コントロール権はどこ行った?
- デジタル庁のネットリテラシー
個人情報保護委員会とは
個人情報保護委員会(以下「委員会」という。)は、個人情報(特定個人情報を含む。)の有用性に配慮しつつ、個人 の権利利益を保護するため、個人情報の適正な取扱いの確保を図る ことを任務とする、独立性の高い機関です。
個人情報保護委員会は委員長とそれ以外の委員8名の合計9名で構成される。個人情報と特定個人情報(個人番号=マイナンバー)を監督する独立行政委員会である。
個人情報保護法における立入検査の条文
第三款 行政機関等の監視
(資料の提出の要求及び実地調査)
第百五十六条 委員会は、前章の規定の円滑な運用を確保するため必要があると認めるときは、行政機関の長等(会計検査院長を除く。以下この款において同じ。)に対し、行政機関等における個人情報等の取扱いに関する事務の実施状況について、資料の提出及び説明を求め、又はその職員に実地調査をさせることができる。
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057#Mp-At_156
行政機関に対しては個人情報保護委員会は立入検査のほか指導・勧告(個人情報保護法157~159条)ができるとしている。立入検査の妨害に対しての罰則は個人情報取扱事業者にはあるが、行政機関への立入検査の妨害についての罰則はない。行政機関だから応じるのが当然という理解か。
マイナンバー法における立入検査の条文
マイナンバー法の正式名称は「行政手続における特定の個人を識別するための番号の利用等に関する法律」という。マイナンバーは「個人番号」。個人番号を含む情報は「特定個人情報」(同法2条5項8項)という。立入検査の条文は35条。
(報告及び立入検査)第三十五条 委員会は、この法律の施行に必要な限度において、特定個人情報を取り扱う者その他の関係者に対し、特定個人情報の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該特定個人情報を取り扱う者その他の関係者の事務所その他必要な場所に立ち入らせ、特定個人情報の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。2 前項の規定により立入検査をする職員は、その身分を示す証明書を携帯し、関係人の請求があったときは、これを提示しなければならない。3 第一項の規定による立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。
過失には罰則はない
罰則の規定を見てもらえばわかるが、基本的に刑罰の対象となるのは故意犯だけ。「偽りその他不正の手段により」とか「人を欺き、人に暴行を加え、若しくは人を脅迫する行為により」というのは、相当違法性の高い手段に限っている。
過失犯を処罰するには「過失により」とか「業務上必要な注意を怠り」という文言が必要である。悪意のある職員が第三者に漏洩させた場合は故意犯であるが、紐付けのミスはうっかりのミスなので、過失となるため、刑事罰の対象とはならない。全国で何万件も紐付けミスが出ているが、おそらく誰も罰せられないだろう。
原因が何であれ流出被害は取り返しがつかない
刑罰がないとすると、民事の損害賠償となるが、現在の日本の裁判例によると、1人あたりの損害賠償額は3万円以下だそうだ。裁判所の提訴に必要な費用は切手代印紙代含め、6000円弱だから採算割れとはならないが、日本人の個人情報はとても安く見積もられている。
個人情報流出とは|企業にとっての損害を具体例を用いて徹底解説|コラム|コワークストレージ|法人のお客さま|NTT東日本
そもそも個人情報はモノとは違い、コピーが容易で、現在の進歩した情報技術では半永久的な保存も可能である。流出の原因が故意の漏洩であれ、過失であれ、いったん流出した個人情報は消せないものと考えた方がいい。しかも、マイナンバーは一生同じ番号を使い続けるものであるため、個人を特定する番号としてはとても信用性が高い。運転免許証や会員カードのように失効することもない。悪用する業者にとってこれほど使い勝手がいいものもないだろう。
「ただの番号が漏れたからって大したことない」という人は、そもそも紐付けされるという前提を理解していない。漏れても平気だと思う人は、ぜひとも自分のマイナンバーを公開してどれくらい大したことないか実験してみてほしい。
自己情報コントロール権はどこ行った?
個人情報保護法が制定される直前、プライバシーや自分の個人情報を公開・訂正・削除ができる「自己情報コントロール権」というものが憲法13条の自己決定権の1つとして議論されていた。EUでは「忘れられる権利」としてGoogleに対して本人が望まない個人情報を削除できる権利が認められたが、日本でも訂正・削除の権利を活用すべきだろう。
デジタル庁のネットリテラシー
「メーリングリストはBCCで送れ」は、N年前の筆者の大学入学直後のオリエンテーションで最初に言われたことである。これに合格しないと、大学のPCが使えないので、少なくとも自分の同期と後輩以下は文系理系を問わずみんな常識として知っている基本的なネットリテラシーである。
個人情報を適正に取り扱うことは、政府への信頼を保証する前提条件である。デジタル庁と名乗っている以上、もう少しマシかと思っていたが、どうも根本的な所で違っていたようだ。マイナンバー問題はこの先もまだまだ尾を引きそうである。
↓4月1日付だけど、エイプリル・フールではありません。マジです。