個人情報保護の最前線(1)

住民のプライバシーは守られるか

2003/04/07
(オンラインプレス「NEXT212」第118号掲載)

 

 <1>自治体でも相次ぐ流出トラブル

 国の行政機関における個人情報の適正な取り扱いを目指した個人情報保護法案が本格論議に入りそうです。電子データだけでなく行政文書に記録されている個人情報を対象とするほか、2年以下の懲役を含めた公務員に対する罰則規定を設けたのが特徴です。公務員は悪をなさない〜という「公務員性善説」に基づき、これまでは公務員法による罰則だけで対処してきた流れを変える点でも注目されます。

 ■自治体の条例制定率65.7%

 『個人情報をめぐる自治体事件簿』

●S市(宮城県) 市民税算定に使う、氏名・給与額など掲載の給与報告支払書の入力を外部委託し、業者が紛失。他の個人情報委託事業でも、契約違反の再委託や宅配便によるデータ受け渡しの実態が判明した。(2003年3月)

●R町(山梨県) 役場敷地内に設けられた確定申告受け付けの仮説事務所から、受け付け用のパソコン4台が盗難。(203年3月)

●I町(福島県) 情報管理を委託された業者が、住民基本台帳データが記録された磁気テープ5本を車から盗まれる。業者は約625万円の損害賠償を町に支払う。(2002年12月)

●F市(北海道) 市民に提供しているインターネット接続サービスの登録者約1500人のメールアドレスなど個人情報が入ったノートパソコンが盗難。(2002年7月)

●U市(京都府) 住民基本台帳データが外部流出した事件で、最高裁は、プライバシー侵害を認め、市に対して1人当たり1万5千円の損害賠償を命じた判決が確定。(2002年7月)

  近年、個人情報の保護が強く叫ばれるようになってきたのは、パソコン・インターネットの普及によって、いったん流出した個人情報は、ほとんど回復困難となることが大きな背景となっています。地方自治体を含む行政が扱う個人情報については、住民基本台帳ネットワーク問題を機に、国民・住民の関心も高まりを見せています。

 総務省の集計によると、2002年4月1日現在で個人情報保護に関する条例を定めている自治体は、全体の約65.7%に上っています。ここ数年で急増していますが、その実効性が上がっているかとなると、やや疑問です。現実には、右の表にあるように、個人情報の流出などの事件が相次いでいるからです。

 ■条例あっても実態は無防備

  このうち、保護条例を持っている宮城県S市の場合は、給与額や家族数の入ったデータ処理が、受注業者から下請けに回され、末端では契約社員が自宅で入力するといった無防備な実態が明らかになりました。追跡調査では、受注業者は、個人情報に関する定期的な社員研修を行わず、複数の受注業務を同じ場所で入力したり、再委託先の管理がほとんど行われていない〜といった問題点も浮上しました。

 S市の例は、内部管理を主体にした一般的な条例の規定では、住民の個人情報を完全に保護しきれないことを見せつける結果となったのです。また、その他の事件例は、住民の個人情報が常に危険にさらされていることを物語っています。

 <2>外部委託などに乏しい対策の実効性

 京都府U市のケースは、住民の個人情報流出が住民個々のプライバシーを損なうだけでなく、自治体経営にも深刻なダメージを及ぼすことを象徴する事件でした。

 ■流出に重い責任

  情報流出の直接の原因は、住民基本台帳のデータ処理を受託した業者と、そこから勝手に持ち出した従業員にあるのですが、裁判所は受託業者に対する市の使用者としての責任を認めました。さらに、流出による具体的な被害が発生してなくとも「プライバシーが侵害された」として、市に対して原告住民1人当たり1万5千円の損害賠償を命じたのです。

 訴えた住民は3人だけでしたが、最高裁判決が確定しており、仮に全市民が賠償を求めれば、総額約28億円にも達します。氏名や住所程度であっても、個人情報の「重さ」とそれを扱う行政機関などの責任の重大さを示す判決といえます。

 個人の権利意識が高い米国などに比べると、日本では個人情報が比較ルーズに扱われる傾向が強いのが実態です。景品目当てからアンケートに対し簡単に住所や電話番号などを答えてしまう行動にも表れていますが、個人情報を大量に扱う上サービスや金融・信販業界などには、企業防衛策として個人情報保護の態勢を強化する動きも見え始めています。

 ■事業者監査規定は21%どまり

  個人情報保護条例を制定済みの自治体は全体の約3分の2に上っていますが、その条例内容 をみると、規定自体が不十分なケースも多くあるようです。例えば、上のグラフにあるように、条例を制定していても、公的部門だけでなく民間も対象部門にしているのは53.0%にとどまっています。情報処理の委託先などの民間事業者に対する保護規定を設けているのは47.7%と半数に満たず、規定していても一般的な責務や努力義務を求める程度にとどまっています。

 業者内部での個人情報保護の指導・研修を奨励するなど自主規制などを何らかの形で規定しているのは16.0%に過ぎず、資料提出や立入調査、指導・勧告などの規定も21.0%に限られています。個人情報保護に関する公的機関の認定や登録を委託の条件とする既定を設けた自治体は、0.5%とほんの一握りでした。

 全体として、行政機関内部の一般管理に重点が置かれ、実際に個人情報を取り扱う現場レベルや委託先などへの対応が盲点となっているようです。総務省は、個人情報保護法に関連して、全国の自治体に対しても条例の見直し・策定を促す構えですが、日常的に扱っている情報だけに、早急な対応が求められています。

 <3>セキュリティ・ポリシー確立に向けて

 政府が推進するe-Japan構想では、電子政府・電子自治体が具体的な課題とされていますが、住民基本台帳ネットワーク問題に象徴されるように、コンピュータネットワークの拡大に連れて、個人情報を実効的に保護することが大きな課題として浮上してきています。ネットワークの在り方そのものの見直しの一方で、法令や条例の整備とともに、行政内部でセキュリティ対策の専門家を育成・配置したり、第三者機関による保護対策の評価や調査などの多角的な態勢整備が求められています。

 ■和歌山県〜NPO核に自治体が連携

  そうした中、和歌山県では、県内の自治体や情報関連の事業者、大学などが連携して、コンピュータ犯罪を防止し、個人情報を保護するための基本方針(セキュリティ・ポリシー)に基づいた体制づくりに取り組んでいます。1月には、NPO組織の情報セキュリティ研究所を核に、県や32市町村が参加して統一方針策定のための「和歌山県自治体セキュリティ対策協議会」が発足しました。

 NPOは、各自治体や自治体の委託業務を担う企業などのセキュリティ・ポリシーの策定支援と併せて、情報セキュリティの啓蒙活動やセキュリティ技術者の育成、システム監査などの活動を行う計画です。電子自治体構想の推進と並行しながら、個人情報保護の「和歌山モデル」を目指す動きとして、注目されます。

 ■北海道〜プライバシーマーク普及へ

  また、北海道ではこの2月、行政が個人情報保護に積極的に取り組むことで、個人情報に対する企業や個人の意識を高めようと、自治体や議員、大学研究者らによる「プライバシーマーク(PM)制度研究会」(代表・松本懿酪農学園大学教授)が発足しました。

 PM制度は、JIS(日本工業規格)に準拠した個人情報保護に関する基準で、認証を受けた企業が取得するプライバシーマーク(右図)は、個人情報の保護が適切に行われていることを示します。発足間もない制度ですが、個人情報をめぐるトラブルの多発を背景に、今後増加していくと見られます(4月1日現在472団体が認定取得)。

 研究会では、行政による情報公開を進めると同時に、セキュリティ・ポリシーに基づいたマネジメントシステムを構築し、プライバシーマークを地域に広く普及させる方策を検討することにしています。いわば個人情報保護の北海道スタンダードを目指そうという取り組みです。

 

 

| TOP | NEXT |