地域・こども・デジタル特別委員会

地域・こども・デジタル特別委員会。

丹羽秀樹）））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））））�

おはようございます。

これより会議を開きます。

内閣提出、情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案及び個人情報の保護に関する法律等の一部を改正する法律案の両案を議題といたします。

この際、お諮りいたします。

両案審査のため、本日、政府参考人として、お手元に配布いたしておりますとおり、内閣官房デジタル行財政改革会議事務局審議官、山積雅君ほか5名の出席を求め、説明を聴取いたしたいと存じますが、御異議ありませんか。

ご異議なしと認めます。

よってそのように決しました。

これより質疑に入ります。

質疑の申し出がありますので、順次これを許します。

神田潤一君。

おはようございます。

自由民主党・無所属の会、青森2区選出の神田潤一です。

今回提出されている、いわゆるデジタル行政推進法の改正案と、個人情報保護法の改正案につきましては、非常に専門的な内容が多く含まれる一方で、国民生活に広く影響を及ぼし得る内容も含まれており、また様々な立場によって対立するような論点も多い法案という印象があります。

このうち前者については、行政におけるデータの利活用を推進していくと、比較的わかりやすい法案だというふうに考えておりますが、一方で、後者の個人情報保護法の改正案につきましては、個人情報の保護を強化するのが目的なのか、あるいは緩和することが目的なのか、その両方だということだと思いますが、なかなか微妙な、あるいは絶妙なバランスを形にした法案という印象があります。

私の質問時間は15分しかありませんので、主に後者の法案につきまして、この法案の背景にある個人情報保護委員会としてのスタンスや考え方、あるいはその大きな理解につながるような質問をさせていただければというふうに思います。

まず一つ目になりますが、個人情報保護委員会の現在の手塚悟委員長は、昨年5月に委員長に就任した際のインタビューなどを拝読しますと、自らを法律家出身ではなくテクノロジー側だというふうに位置づけて、AI時代の個人情報保護は事前に厳しい規制を課すのではなく、事後的に処分などの措置を講じる法体系が望ましい、といった内容の発言をされていらっしゃいました。

その発言の背景にある考え方について、これは今回は委員長ではなく事務方の方からということになると思いますが、少し詳しく教えていただければと思います。

個人情報保護委員会佐垣事務局長、お答えいたします。

手塚委員長でございますが、委員長就任以前から技術者としての知識・経験を生かしまして、我が国のデータ利活用の基盤整備などに尽力されております。

データ利活用の重要性について十分認識されている方だと承知しております。

その一方で、データ利活用と個人の権利利益の保護は不可分一体の関係にありまして、個人情報保護法を土台とした上で、適正なデータ利活用が行われるべきだという考えと承知しております。

その上で、特にAI開発などにつきましては、技術開発の進展の状況も鑑みながら、個人の権利利益を適切に保護していくための制度のあり方として、委員御指摘のような発言があったものというふうに生じております。

そういったお考えも踏まえながら、関係するステークホルダーの意見も伺いつつ、委員会として議論し、今日の法案に取りまとめた次第でございます。

神田潤一君。

はい、ありがとうございます。

法律家出身の委員長が多かったという歴史の中で、テクノロジー側というふうに位置づけて、こうした法案を取りまとめて来られた委員長の考え方が少し分かりました。

さらに、この2つの法律の改正案につきまして、このタイミングで束ねて提出した背景には、昨年12月、高市総理から、日本を世界で最もAIを開発活用しやすい国を目指す法改正をしてくれという指示があったことがあるというふうに理解をしております。

個人情報保護委員会としては、データ利活用しやすい制度が求められる一方で、個人情報の保護という本来の目的も遂行するという難しいバランスが求められているというふうに思いますが、今回の法改正では、このバランスを具体的にどのように実現しようとされているのでしょうか。

はい。

個人情報保護委員会事務局長佐垣、お答えいたします。

御指摘のとおり、本法案では、適正なデータ利活用の推進を図るとともに、個人の権利利益を適切に保護するための所要の措置を講じております。

具体的に申しますと、例えば、我が国におけるAI開発を推進するために、AI開発に用いるための個人情報を含むデータの収集を容易にするものとして、統計情報の作成と整理できる場合の本人同意要件の特例を創設することとしておりますが、この特例につきましては、神田潤一君。

はい、ありがとうございます。

個人情報の保護とそれから利活用を両立を図っていくという今回の法案の趣旨について御説明をいただきました。

今回の法律の改正案を見ますと、多くの重要な事項の具体的な内容が政令や委員会規則あるいはガイドラインに委任されているというふうに認識をしております。

例えば、個人情報の取扱いに係る例外規定としての統計作成と、今もお話がありましたが、これの具体的な行為については、個人情報保護委員会の規則で規定するというふうにされています。

また、個人データの第三者提供が、契約の履行のために必要不可欠な場合、あるいは本人の同意に反しないために、本人の権利利益を害しないことが明らかである場合は、本人の同意を不要とするとしておりますが、具体的な部分はやはり、個人情報保護委員会で規定すると、規則の方で規定するということにされています。

また、個人データ漏洩等の発生時において、通知義務を緩和する場合、本人の権利利益の保護に欠ける恐れがない場合は、通知義務を緩和するというような内容もありますが、これもやはり委員会規則の方で規定するというふうになっています。

ほかにもこうした規則やガイドラインに委任されているものがたくさんありますが、そうした点を踏まえますと、今後検討されるこれらの施行令やガイドライン等の作成に当たっては、多様なステークホルダーとの間で、双方向の実質的なコミュニケーションを確保すること、また国民や事業者の双方が予見可能性を持てるような、スケジュールや検討状況の発信などにも、努めるべきではないかというふうに考えますが、個人情報保護委員会としては、どのようにこうした取組を確保していくか、お考えを伺えればと思います。

佐々木事務局長。

お答え申し上げます。

委員御指摘のとおり、個人情報保護法は、さまざまな事業者、規模や業種、あるいは、営利非営利を問わず、幅広い事業者に適用される一般法としての性格があるものでございますから、他法令でもそうでございますが、委員会規則やガイドラインといった、下位法令などに、具体的な運用を委ねているということでございますので、それがどう作られるかということで、大きな影響を及ぶということでございます。

これを踏まえまして、本法案につきまして、国会においてお認めいただけましたら、こういった施行令等の立案決定をしていくことになるわけでございますけれども、まずはそれを担います委員会につきましても、法律に基づきまして、個人情報保護の専門家から、民間企業、消費者の専門家、情報処理技術の専門家、さらには国地方の行政といったさまざまな属性の委員からなる委員会で決定することになってございますし、決定に先立ちましては、委員御指摘のとおり、関係するステークホルダーから幅広く意見を伺いながら、審査を進めていくことになろうかというふうに思ってございます。

また、予見可能性ということは非常に大事だということでございまして、検討スケジュール、見通しがありますとか、委員会での議論の資料などについては、積極的に公表いたしまして、幅広い事業者や個人に対し、透明性を確保した形で、立案決定に臨んでいきたいというふうに思います。

神田潤一君。

はい、ありがとうございます。

ぜひとも幅広いステークホルダーの皆さんとのコミュニケーションを大切にし、また検討状況の発信なども努めながら、皆さんが納得するような、できるだけ内容の詰めを行っていただきたいと思います。

少し具体的な内容に入ってまいりますが、今回の法改正で導入される中で、非常に大きな項目として課徴金制度があると思います。

この課徴金が、個人情報の取扱事業者がこの課徴金の対象行為を防止するための相当の注意を怠った場合に、課徴金が課されることになるということだと思いますが、この相当の注意の内容について、どういったものなのかを具体的に示すということが、事業者の予見可能性を確保したり、取扱いの底上げにつながるのではないかというふうに考えられますけれども、例えばガイドライン等の策定などを検討されているのか、個人情報保護委員会に伺えればと思います。

佐々木事務局長。

お答えいたします。

相当の注意につきまして、ご検討いただきました。

最終的には、事業者の事業の規模及び性質、取り扱う個人情報の性質、それからその量、取扱い方法等を踏まえまして、個別具体的な事案に応じて判断するものではございますけれども、委員御指摘のとおり、事業者の予見可能性を確保しながら、納得感を持ってこの中で法令を遵守いただくことがとても大事でございますので、その観点から相当の注意にかかる考え方を、他の課徴金などに関連します法令で、予見可能性を高めるためにやっている施行令などを参照しながら、ガイドラインなどで適切に示していきたいと、そのように思ってございます。

神田潤一君。

はい、ありがとうございます。

やはり課徴金については、事業者が非常に気にする、あるいは事業の萎縮につながるような可能性もありますので、ぜひともわかりやすいガイドラインのような形で示していただくということを目指していただきたいというふうに思います。

子どものプライバシーや個人情報を守ることにつきまして、今回の法改正で強化されたことも大変重要な論点になるというふうに考えております。

一方で、これが法定代理人の同意取得や年齢確認の方法など、画一的あるいは形式的な方法で一律に義務付けた場合、形式的な同意手続だけが横行し、保護の実態が伴わないというような事態になる懸念もあります。

また、子どもが安全に利用できるサービスの選択肢が逆に不必要に狭まる事態なども懸念されると思います。

真に子どもの権利利益を守るために、サービスの性質やリスクの程度に応じたメリハリのある保護の仕組みこそが実効的と考えられますけれども、そうした対応のあり方をガイドラインなどで示すような考え方はあるのでしょうか。

個人情報保護委員会に伺います。

沢木事務局長。

お答え申し上げます。

委員御指摘の年齢確認、それから法定代理人からの同意の取得の方法につきましては、様々な事業形態がございますので、事業の性質、それから取り扱う個人情報の状態に踏まえまして、個別具体的な事情に応じた方法、適切な方法は様々であろうと考えてございます。

子どもの個人情報の取り扱いを伴うサービスの利用に際しての親や子どもの状況、それからそういったサービスのさまざまな具体例をよく勉強しながら、適切な方法を検討する際の一律の基準は難しいもので、どういったことに考慮しないといけないかという考慮要素でございますとか、具体例をガイドラインなどで明確に示していきたいと考えてございます。

法案をお認めいただきましたが、法定代理人の関与を通じた子どもの権利利益が保護できますように、しっかりと透明性の高い示し方を検討してまいりたいと思います。

神田潤一君。

はい、ありがとうございます。

まさに、子どものプライバシーや個人情報の保護といった問題は、データの活用と保護のバランスが非常に求められる分野だと思いますので、ぜひとも丁寧にガイドラインなどで示すような取組を進めていただきたいというふうに思います。

最後になりますが、全体として、今回の法改正で、デジタル庁や個人情報保護委員会ともに、権限や業務が大幅に拡大する、増大するということが予想される内容になっていると思います。

例えば、データ戦略の司令塔として、デジタル庁が指針を策定する、その際に個人情報保護委員会と事前調整するとか、あるいは個人情報保護委員会がデータ利活用事業計画の策定に当たって、デジタル庁と協力しながら事前協議をするとか、今あった課徴金制度の導入や勧告

命令要件の追加など、監視・監督などが必要になったり、非常に業務が増える面があると思いますが、必要となる体制の規模や予算確保の見込みなどについて、内閣官房と個人情報保護委員会、それぞれどのように考えているか伺いたいと思います。

内閣官房山積審議官。

まず、デジタル行政推進法の方から御答弁させていただきます。

委員御指摘のとおり、本法案を認めいただいた暁には、本法案の施行を担いますデジタル事業所管省庁におきまして、施行に向けた指針の策定の準備ですとか、施行後における認定の関連の業務、新たな事務が生じるものと考えてございます。

その執行体制につきまして、現時点で具体的な規模等をお答えすることは困難でございますが、今年の夏の目途にデジタル行政改革会議事務局の機能・業務が内閣官房からデジタル庁に移管されるということになっております中で、本法案の施行を適切に担える体制整備に努めてまいりたいと考えてございます。

個人情報保護委員会沢木事務局長。

お答えいたします。

今回の個人情報保護法の改正案におきましては、課徴金制度の導入など、委員会の執行権限を大幅に強化することとしておりますので、まず同制度の適切な運用を行うための監視監督体制の強化が課題と思います。

さらには、昨今の技術進歩は著しく利活用ニーズや新たなリスクを適切に把握すること、また諸外国との必要な交渉連携等を適時に実施することが一層重要となってまいります。

さらにはデジタル庁との必要な調整などをしっかり行う必要もございますので、これらの業務を実施するための十分な体制の整備、具体的には人員の増加、専門性の強化を含む個々の職員の能力の向上などにより一層取り組んでまいりたいと思っております。

委員長。

大変重要な法改正になりますので、体制整備予算の獲得に我々もしっかりとサポートしていかなければならないと思いました。

以上で質問を終了いたします。

丹羽秀樹委員長。

ありがとうございます。

次に長妻昭君。

長妻昭。

長妻昭です。

よろしくお願いいたします。

まず今回の質疑、私の質問に対する答弁というのは、これAIで作られましたか。

松本洋平大臣。

おはようございます。

今回は法案審査でございますので、非常に重要な内容ということで、まだちょっとAIに全部お任せするわけにはいけませんので、今回は作っておりません。

長妻昭。

AIで作ろうが、役所が作ろうが、僕は基本的にはあまり読まないので、あまり変わりないんですけれども、今回はそういうことでございます。

長妻昭。

現内という答弁を作るAI、大臣の記者会見を拝見しますと、今年の3月中で、全省庁で1424回使用したというようなことでございまして、今後AIが進歩すると、例えば私の質問を全部読み込んで、パターンを見つけてですね、さらなる問いに対する、追及に対する、うまい答弁を返してくるような時代もすぐ来るんじゃないかと。

その時に、ぜひですね、留意いただきたいのは、今までの政府の答弁を学習させないで。

つまり学習すると、はぐらかし答弁ばっかり覚えてですね、何かうまく追及を交わすAIができてくると、こっちもAI使わざるを得なくなるんで、人間いらなくなっちゃうんでね。

あんまりそういう変な話にならないように、効率的に過去の答弁の整合性をチェックするとか、そういう部分部分は私はいいと思うんですけれども、政治家いらない世の中になるのは危ういと。

今回もAIとか統計作成等で、個人情報の保護が緩和、私はしすぎているという強い懸念を持っているんですね。

配布資料の中で4つのケースをわかりやすくちょっと書かせていただきました。

1ページですけれども、ちょっと1つ1つお伺いしていきたいと思うんですが、まず1つ読み上げますと、地方自治体が統計作成等で利用する場合、当該自治体内の住民個人の公開されていない病歴情報、氏名入り病歴等の要配慮個人情報を取得すると。

これは今回の改正案でできるようになったんでしょうか。

松本洋平大臣。

ありがとうございます。

ケース1について、そうなんですけれども、基本的に地方自治体が統計作成を利用する場合には、この住民情報の公開されていない病歴情報というのは取得が可能になります。

長妻昭。

これはもちろんですね、個人の同意なしで、大臣。

同意なしでということですよね。

松本洋平大臣。

おっしゃるとおりです。

長妻昭。

これね、あんまりマスコミで報道が一切ないし、そういう説明も積極的に政府はされないんで、これ大変私は気になるんですね。

今まではもちろんですね、こういう要配慮個人情報、7ページにあります、宗教が何の宗教ですかとかですね、思想・信条とか、病歴とか、あるいは前科とか、あるいは健診の健康診断の情報とか要配慮個人情報については、これはもちろん一人一人個人の了解をとってから取得したり第三者へ提供するとこういうことがあったわけですが、これが取っ払われたというのは私はちょっと信じられないんですね。

これ自民党の皆さんどうですかね。

お医者さんもおられますけど、つまり例えばこの病歴情報、公開されていないですよ。

ちょっとつぶさに病気の名前は言いませんけれども、これやはり極めて個人的なプライバシーの知られたくない病歴、あるいは現に今どういう御病気にかかっているのか、あるいは医療的処置で極めて個人的な情報ってあるじゃないですか。

これが名前付きで、本名の名前付きで、例えばケース1、地方自治体が統計作成等で利用する場合、それを病院から取得するということもできると。

本人の同意なしでですね。

こういう法律なんですね。

例えば首長さんが、住民を、この人はこういう病気なのかと、ちょっとちらっと見てですね。

方は自分の地域の自治体の中ですから、こんなご病気だったのかと、こういうのを見るということもあり得ると思うんですが、単に見るだけなら首長さんが別にそれを表に出さないで、自分だけが見ると、そういうことはできるわけですか。

松本国務大臣。

確認をしておきたいんですけれども、情報を集めるというのは基本的に何か目的があって集めるわけで、その目的については情報を提供する側も、それからもらう側も、ちゃんとその目的を公開するということになっています。

今、委員がおっしゃったように、チラッと見るというのは、そもそもその時点で目的外ですから、これは法律違反ということになりますので、そういうことは決して行われないということは、前提としてお話をしておかなきゃいけないと思います。

それからもう一つは、今、医療情報委員はお話しされましたけれども、私も医者なんで、そういった情報はたくさんこれまで扱っています。

それから処理をした余計なデータありますよね。

名前なり何なり。

そういうものはちゃんと確実に消してくださいと。

削除しなさいということは、明確にこの条件の中に入れとかなきゃいけないというふうには思っています。

長妻昭君。

まずチラッと見るって言ったって、それを禁止できないですよね。

名前付きで病歴が来るわけですから、それを名前付きのリストで見るということは、見てしまうということがあるわけですし、あるいはですね、名前を消すというふうな話がありますけれども、これ、法律に書いてあるんですか。

つまり病歴、2番目は国も取得ができるということだと思いますがですね、これ、消す、つまり個人の名前と、おそらく保険種別と、ご住所、何番地まで、これが入ってくると思うんですね。

それでどういうご病気かという病歴、それが渡ると。

ただその渡った後にそれを必ず消しなさいと。

つまり本名、住所、あるいは保険種別。

それは消すというのはこの法律の中に書いてないと思うんですが、これはどうやって担保するんですか。

松本国務大臣。

これは今委員におっしゃったのは御懸念のとおりで、庁内でもその議論をしていたところなんですけれども、基本的に統計作成を行う上で必要のないデータということが明らかになった場合、いわゆる今の名前とか住所とか、そういうものは統計作成上必要ありませんから、それがはっきりしたときは、その項目については遅滞なく提供先が、いわゆるデータを利用する側が消去するということが求められるというふうになっています。

これは事業者が負う安全管理義務というのがありますから、その中で安全管理ですから、そういったものは漏れないようにするということは当然ですので、漏れないようにするということは、そもそも取っておいてしまっておくんじゃなくて、必要なデータ以外のものは、ちゃんと消去してもらうということは、ちゃんと担保しなければいけないと思っていますし、この事業者が負う安全管理義務の中で、それは行われるものと承知しています。

長妻昭君。

これは後で詰めますけれども、結局法律には書いていないし、一回渡しちゃうわけですよね。

渡す前なら、病院が消して渡すんならまだしも、それでも私は問題だと思いますよ。

アルゴリズムの問題とかあるから。

ちょっとじゃあ先に進むとケース2ですね、読み上げます。

国が統計作成等で利用する場合、国民一人一人の公開されていない病歴情報、氏名入り病歴等の要配慮個人情報を本人の同意なしに取得すると。

これは可能ですか、ケース2。

松本国務大臣。

一つ一つお話になられておりますけれども、要配慮個人情報であっても、統計作成等の特例に基づいて第三者に提供することは可能。

それはまた行政機関に対して提供することも可能であるということです。

長妻昭君。

そうすると、ケース3は、これは国を企業と読み換えるわけですね。

ケース4は個人事業主ですね。

個人事業主。

じゃあまとめて聞きましょう。

ケース3、ケース4。

主体が企業、取得する、主体が個人事業主、そして要配慮情報、本人の同意なし、これもOKということです。

松本国務大臣。

全てケース1から4まで、この特例の対象になるというふうに思います。

長妻昭君。

これ私は信じられないんですが、自民党はどうですか、これ。

いいと思いますか。

統計作成等で利用するからいいんだと。

いや、ちょっと私ね、言葉悪いかもしれない。

無邪気だと思いますよ。

統計作成等なんてすごい広いじゃないですか。

相当広いよ。

しかもですよ。

名前、住所、何番地も入って、そして病歴、それを一回業者に渡しちゃうんですよ。

あるいは国とか自治体に一回渡して、業者の良識で、国や地方自治体の良識で、それは削除すべきもんだと。

これだから法律に書いてないわけでしょ。

法律に書かないわけでしょ。

だから私がちょっと申し上げたいのは、そもそもが問題なんですが、出す側ですね。

出す側というのは病院だと医療機関だと思いますが、その側が、名前とか住所とか保険種別、百歩譲って年齢というのは分析に必要かもしれません。

男女とかね。

それ以外の個人の名前、住所、保険種別は出す側、医療機関が削除して、そして出すと。

私はそれもいかがなものかと思いますが、一番最低限、百歩譲って、それは法律に書くべきじゃないですか。

あるいは必ず担保できるということはあるんですか。

松本国務大臣。

先ほど申しましたように、僕も病院でデータ扱ってたんで、そのデータを何か利用するから出してくれって言われたときに、きれいにデータが揃っているデータベースであれば、そこは削除して出すことは可能ですけども。

バラバラのすごいモザイクになったようなデータで、今の名前とか住所を削除して出してくれると相当な負担になります。

医療機関側の負担も考えなきゃ、提供する側の負担も考えなきゃいけないというふうに思いまして、そうなると逆に提供された側がちゃんと不必要なデータは削除するんだということを担保しなきゃいけないというふうに思います。

その際は先ほど申しましたように、事業者が負う安全管理義務というのは、これは法律の中で決められていますから、この安全管理義務の中に不要なデータはちゃんと削除しなさいということをそこでちゃんと担保できるというふうに思います。

ですから、その点において、今、委員がご指摘、ご懸念の部分というのは、解消されるのではないかというふうに思っております。

長妻昭君。

何か、提供側の負担が重いから云々と言いますが、個人情報ですよ。

一人一人の病歴って、皆さんのもんでしょ。

個人のもんでしょ。

なんで本人の同意なしに、統計作成等というアバウトな形で提供できるのか。

しかも名前付き、しかも住所付き、そして病歴。

これについて、受けた事業者に一旦渡っちゃうわけですよね。

その事業者の良識に任せて、不要なデータは削除すると。

ちょっと待ってください。

そしたら確認しますよ。

不要なデータを削除するの、不要の中に名前。

まず名前というのは、それ入るというのはどこに、不要なところに例示で書くんですか。

松本国務大臣。

それはどういう目的で使うかということだと思います。

ただ、今の話だと、例えば医療データをもって、それ用のデータを使って何かしら治療薬を創薬していくことに使おうとした場合に、長妻という名前は不要だと思いますから、そういった意味においては、その利用者側が適宜判断するということになろうと思いますが、それでもし足りないということであれば、今後、省令の規則で定める中で、そういったガイドラインをつくって、いちいち一つ一つ、そういったものは書き込むということは可能だろうと。

長妻昭君。

今の聞きました？だから利用者側が適時適切に判断するわけですよ。

名前がいる場合といらない場合と、削除するかしないか。

それまずくないの？いや、だからね、私はね、この無邪気さが怖いんですよ。

自民党のこの無邪気さが私は怖いのね。

統計作成等ならまあいいんじゃないのかと。

統計作成等だから、名前が出ないからいいじゃないかと言うんだけども、まず統計作成というのも相当幅が広いし、個人事業主でも統計作成等というふうになればそれはできるし、しかも常識ですけれども、例えば一つの重要な情報があって、それをシェアする人、共有する人が増えれば増えるほど、漏れるリスクも高くなるじゃないですか。

これは誰だってわかりますよね。

だから個人の了解を今までは取らなきゃいけないわけですよね。

私とかあなたにこの情報を出していいですかと。

私は嫌だと、私はいいと。

今はそういう状況になっているわけですけれども、それを取っ払うということなので、しかも今の話は利用者が適時適切に判断するというようなことというのは、私は相当危ういんじゃないのかなというふうに思うんです。

もう一つですね。

懸念するのは国が例えば統計作成等で利用する場合ということなんですが、国が内閣委員会でも質問したんですけれども、かつて警察が新聞記事を5ページ入れておりますけれども、裁判資料も持っておりますが、岐阜県で風力発電を建設するときに、住民の方が風力発電建設反対運動をしたんですね。

反対運動をされた住民4人の方のですね、氏名、学歴、病歴を警察が情報収集してたんですね。

情報収集。

それがばれちゃって、裁判所がですね、確定判決で、それをシュレッダーで削除しなさいと。

このような点末で警察はシュレッダーで削除したわけです。

病歴、何で住民、反対運動する住民の病歴を集めてんだと。

これは今日ちょっと警察は来ておりませんけれども、警察に聞いてもそれは言えませんということで、理由は明かしていないんですね。

反対運動の人の病歴を集めるというのは、私は何らかの利用価値があるから集めているわけですよね。

手間暇かけて。

ちょっと怖い気がしますが、そういうこともあるので、国が、例えば警察が統計作成等といえば、個人のある意味では病歴データを集めることができるというスキームになっているわけで、私はこれ、大臣もちょっと楽観的すぎると思いますよ。

ちょっとどころか、これは法律にきちっと書き込まないと危うんじゃないですか。

どう思いますか、与野党の方も。

これ今みたいなアバウトな、業者がこの統計データとして名前はいるのかな、いらないのかな、業者が判断していらない場合は削除、いる場合は適切、みたいな話っていうのは、これはどう考えても譲れないですよ。

個々人の皆さんも心配になりませんかね。

一人一人の今どういう病気にかかっているか、どういう処置を過去されたのか、こういう情報が非常に本人の知らない形で、それが表に出るというようなことであります。

さっき局長からも御答弁ありましたけれども、それを一定程度通知するみたいな話がありましたけれども、これも私、役所に聞きましたらですね。

通知というのは確かに、例えばAという会社が病歴を病院からもらったときに、そのAという会社のホームページの下の方に、ちっちゃくか大きくはわかりませんが「病歴情報をもらいました」と一行こう書けば、それで事足りるということなんですよ。

そんなもん、自分のだって情報がどの会社に行ったかわかんないじゃないですか。

いちいち全ての会社のホームページを毎日見て自分が入っていること、そんなのわかるわけないじゃないですか。

そういういい加減なことで国会でちゃんとやっているみたいな話というのは、私はこれは大きい問題だと思うんで、これ与野党対決の話じゃないですよ。

大切な病歴のね、ちょっとまずいと思いませんかね、これ。

これちょっといろいろ法案修正、丹羽委員長にもお願いしたいんですけれども、ぜひ法案修正前向きに理事会で議論いただければ。

ご国理事会で協議いたします。

長妻昭君。

これ私も長年国会におりますが、これほど、ちょっと言葉悪いですけど、とんでもないものが出てきたというのはあまり経験がありませんので、これは相当まずいですよ。

まずいと思います。

欧米に比べても全然話にならないわけです。

その次に、じゃあ歯止め策があるのかということなんですね。

私も日本のAIが遅れているというのは危機意識を持っています。

利活用を進めなきゃいけない。

データを読み込む量が多ければ多いほどAIの精度というのは大きくなるというのも私も承知しています。

やはり物には限度というのがあると思うんですね。

活用と保護の天秤というのがあると思うんですね。

当然その活用しなきゃいけない、それは否定しません。

AIをもっと日本は進まなきゃいけないと。

クロードやミストラルもね、脅威もありますから。

それは私も否定しませんが、ただバランスをとってもらわないと困るんですよね。

ヨーロッパとかを見習いながら。

今どう考えても活用の方が圧倒的に重点を置いて、保護法と言いながら保護がふゆーっと軽くなっていると。

こういうすごく私は危機意識を持っているんですね。

で、個人情報保護委員会を私は責めることは致しません。

なぜならば彼らもいろいろな圧力というんですかね、そういうことをはねのけようと相当涙ぐましい努力をされておられます。

全ては言いませんけれども報道ベースだけで言いますと、報道によるとですね、個情委の幹部がこう言ったと。

事業者団体が納得しない限り法案はいつまでも提出できない構造になっていると、こういうことが報道もされておりまして、私はそのとおりだと思います。

何度もこれ法案提出が断念になっているわけですね。

あまりにもこの業界団体の意向は強すぎる。

消費者団体とかそういう情報を取られる側の意向。

丹羽委員長。

団体訴訟制度。

団体訴訟制度。

これは、先進7カ国調べました。

国会図書館で。

全ての国でありました。

日本も、これ、個情委が2025年3月5日の作成資料で、個人情報保護法上の差し止め請求権を、適格消費者団体自身の権利として付与することが考えられると、こういう前向きのことを書いたと。

ところが、その間の経緯、私もつぶさに調べましたが、業界団体の強い強い抵抗で、個情委もこうしきれずになって、条文には全くないと。

こういう状況になってしまったんですね。

個人情報保護委員会の皆さんと話しても、個情委というのは人も少ないし、人もの金が少ないんだと。

だからこういう団体訴訟制度を入れれば団体がいろいろノウハウを蓄積して、そして個情委とタッグを組んでおかしな個人情報についてはチェックをして、そしてそれを摘発するようなそういう動きもできる手法を使ってチェックができるということで、個情委の方も自分たちの力を補うということで期待をされていたにもかかわらず、バサッと削れちゃったわけですね。

政府のいろんな弁明はわかります。

これは消費者契約法の団体だから、消費者団体は個人の利益とはちょっと違う利益だから。

であればですね、新しい団体を作るようなスキームを一緒にセットして、そして団体訴訟制度を認めていくというようなことも私はあり得ると思うんですが、これ、大臣、団体訴訟制度、復活いただけませんかね。

松本国務大臣。

委員のご指摘の新しい認定制度とか新しい団体については、あり得るかあり得ないかといったら、あり得ないことはないとは思いますけれども、ただ現状ですね、例えばそういった団体を作ったとしても、今、適格消費者団体にとってもそういった専門家がいないということもございますし、実績がありませんから、どうやってそれを作っていくかということもありますので、結局新しいものを作ってもあまりその解決策にはならないだろうと。

今、我々は何でこれをやらなかったか理由の中では、個人の利益を保護する個人情報保護法と、それから消費者団体、消費者の利益を保護する法律と、そういったところで齟齬はあるので、法的な整理が必要であるというふうに我々としても理由として述べていますから、法的な整理をまずしていくということが、まず先決ではないかなというふうに思います。

長妻昭君。

今の理屈も後からつけた理屈なんですね。

個人情報保護委員会、上位にお伺いすると、つまり専門性がない、この団体に実績もない。

であれば、個人の方がもっとないじゃないですか。

団体を認めないで、個人が1人で、2人で、3人で、何にもノウハウなくて、素手で戦うということは、これ、必ず全然話にならないわけですよ。

結局、課徴金を一部入れてもお使い物にならないですよ。

だからこれ、団体訴訟制度を潰すというのが、私はあってはならないことだというふうに思いますので、これね、本当にヨーロッパ並みにきちっと整備することこそが、私はですね、ブレーキをかけないことにつながると思うんですよ。

むしろ、AIを進化させる国民の皆さんの理解と信用を得てですね。

ヨーロッパとも情報交換なかなかできにくくなると思いますよ。

日本の個人情報の保護やチェック機能が弱いとなるとですね。

そしてこの課徴金についても、これも残念ながら骨抜きになりました。

今回一部は導入はされましたけれども、この3つの点が私重要だと思ってですね。

これも考え方、同じような資料に出ております。

まずは課徴金。

課徴金納付命令の対象とすることが考えられるということで、3つ出したんですが、これ落ちちゃったんですね。

入ってないんです。

これ本丸です、3つが。

まずは利用外、目的外利用。

これ課徴金かけましょう。

2番目が要配慮個人情報の取得による本人同意。

これの違反かけましょう。

これも落ちました。

23条の違反。

大規模な個人データの漏洩等の発生、これも落ちました。

業界の意向です。

こういうことをどんどん落としていくというのは、一体何なんだろうというふうに思うんですね。

これについて、課徴金についても金額が安すぎるんですね、日本は。

結局、制裁金は入れられないということなんですが、ただ、公正取引委員会なんかは独禁法などで上乗せ課徴金をやっているわけですよ。

これ、大臣、同時にお伺いしますが、まずこの3つが抜け落ちた理由と、課徴金が低すぎる理由、これについて御答弁いただければ。

松本国務大臣。

まず個人情報保護法では初めてこの課徴金制度というのを導入するということなので、まずスモールスタートにせざるを得なかったというふうなことがあると思います。

基本的にこれは私個人の意見もあるんですけれども、我が国のいわゆる課徴金等々の法律としては、まずは法律のあり方として努力義務が義務になって、それから勧告や命令になって、それでもダメな時には罰金を取るとか、あるいは刑を課すとか、そういうふうな順番になっているんですね。

ですから、それと整合性も合わせる必要もあるんでしょうけれども、やっぱり我が国の法律そのものがいきなりゴンと強く罰を与えるというような成り立ちになっていないことがまず一つ原因にあると、そういうふうに僕は個人的には感じています。

その上で、今あったお話なんですけれども、例えばこの安全管理措置義務違反の累計なんかを考えたときに、うっかりやってしまったという、意図的に何か悪さをしようと思って義務違反をしたのと、うっかり結果的に義務違反になってしまった場合とありますから、そういったケースも含めると、いきなり10%など大きな課徴金を課すというわけにもいかないだろうというような議論もあったと聞いております。

そういったことが非常に重要だと。

もう1つ質問なんですが、ごめんなさい。

2つ目は、金額が少ない。

金額が少ないことについては、これは例えば安全管理措置を行ったことにより削減したコストの具体的な額の算定方法とか、どういうふうに額を算定するかというところがまだ明確ではないので、少なくとも得たものに関しては取りましょうというようなことに落ち着いたというふうに聞いています。

長妻昭君。

大臣もよく御存じだと思うんですが、業界。

の配慮なんですよ、結局はね。

はじめ、補助的にこの3つを入れるべきというふうに、文書にも書いていたわけですから、スモールスタートから始めると。

ただ、その病歴の情報を本人の同意なしに提供するという、これはビッグスタートになっていますよ。

活用はビッグスタート、保護はスモールスタート。

どう考えてもこれ、バランスが取れないと思うんですね。

これについて、例えばEUでは、これご存知だと思いますが、課徴金、何か先ほど算定の仕方がうんぬんかんぬんと言いましたけれども、全世界売上高の4%を最大にするというふうに言っているんですね。

全然日本とスケールが違うわけですよ。

日本の課徴金、まず団体訴訟がないから、課徴金の認定というのもほとんど私はできないと思いますし、しかも課徴金でいうと、もうほんの少しの金額で、GAFAなんかへっちゃらですよ。

例えばグーグルでいうと、年間日本円で63兆円ぐらいですかね、売り上げ。

そうするとEUでもしグーグルがそういうことをやってしまうと、最大2.5兆円、2.5兆円お金を取られると。

これは抑止になりますよね。

ですから、もう全然話にならないというのがあるわけです。

要配慮個人情報をここまで晒すような法案で、チェックも大変甘いと。

しかも最後の質問にしますけれども、漏洩時の報告ということで、漏洩した場合、これまでは配布資料の3ページ目でございますけれども、漏洩した場合は本人に通知すると、お詫びの。

ただし本人への通知が困難な場合については、これは百万人いたらなかなか困難かもしれない。

困難な場合については、代替措置でいいよと。

これが現行なんですね。

ところが今度は、「本人への通知が困難な場合」というのが削除されて、代替措置でもいいよということになっているわけです。

代替措置は何かと聞くと、いやホームページに一行書けばいいよと、漏れましたと。

そんな馬鹿な話ないじゃないですか。

確かに私も一千万人漏れたら一千万人全員に告知しろとは言いませんけれども、この「本人への通知が困難な場合」というのは、なぜこれ取っちゃっているんですか。

松本デジタル大臣。

漏洩等発生時の本人通知の義務の緩和というのは、本人の権利利益の保護に欠ける恐れが少ない場合というふうに、ちゃんと限定をしております。

その上で

そういった場合について規則でその内容を具体的に規定することになってまして、決して事業者側が恣意的に通知をしなくていいというような判断をするわけではございません。

当然漏れたときは、個人情報保護委員会に報告義務がありますから、その報告の段階で「これはちゃんと通知した方がいいよね」とか、あるいは「そうじゃないよね」ということは個人情報保護委員会の方で判断することもできますので、そういった意味では全てにおいて公表だけでいいのかということにはなっていないということでございます。

長妻昭君。

であれば別に本人への通知が困難な場合を削除する必要は全く私はないというふうに思いますので、あまりにも業界に配慮しすぎていると思います。

これで質問は終わりますけれども、いずれにしても私が一番心配するのは、やはり機微に触れる、病歴とか、今現にどういう御病気になっているのか、あるいは健康診断の結果とか、どういう病院で処置を受けたのか、個別のことは言いませんけれども、そういう知られたくないような情報、あるいはどなたでもこれは機微に触れる極めてプライベートな情報だと思うようなことが、今回「統計作成等」というアバウトな理由があれば、それが取得も第三者に提供することも可能になってしまうというようなことは、ぜひ与野党別に対決する話じゃないんで、よくよくやっぱり考えていかないといけないなというふうに思っておりますので、ぜひこれについても、理事会含めて法案の修正などなど、適切な対応をしていきたいというふうに思いますので、よろしくお願いします。

ありがとうございました。

続きまして、中道改革連合の早稲田ゆきでございます。

今日は松本大臣、そしてまた、個人情報保護委員会事務局長、そして文科省、こども家庭庁にもいらしていただきましたので、なるべく端的に伺ってまいりたいと思いますので、どうぞ簡潔明瞭にお答えはどうぞよろしくお願いいたします。

今の長妻委員の質疑を拝聴しておりましたけれども、やはり非常に個人情報、私たち一人一人の国民の権利、利益、こうしたものが保護という観点においては後退してしまうのではないかという懸念を拭えません。

その上で質問したいと思いますが、まず今回の改正の前に2021年、この改正案を審議をされました。

そのときに当時、立憲民主党は「相当の理由」という抽象的な概念が、行政の恣意的な運用を招きかねないという問題認識のもと、要件をより限定的かつ明確化することを求める修正案も出しました。

またもちろん、付帯決議もつけまして、そして付帯決議の中の措置として措置済みとなっているんですけれども、それが資料につけましたガイドラインであります。

このガイドラインをご覧いただきたいのですが、これですね、「相当の理由があるとき」これ行政機関等の恣意的な判断を許容するものではなく、少なくとも客観的に見て合理的な理由があると。

そして最後は行政機関の長等が個別に判断する、その本人への影響の程度を総合的に勘案してと、そういう内容なんですね。

これ何も明確にきちんと書かれていると到底思えないんですけれども、これがガイドラインで示すということ、それから個人情報保護委員会の規則で示すということであれば、全く明確な基準が示されていないのではないかと、私は非常に懸念をします。

これはまだ行政機関ですからそうだけれども、今回は民間でありまして、そこに利益の享受というものも発生する中で、非常にこういう民間任せにしてはまずいのではないかということです。

それで大臣に伺いますが、この5年前の改正ですけれども、こういうことがあった中で、このような立ち位置では、その国会審議の中でも、率に位置づけられていないわけですから。

規則はこれからです。

ガイドラインもこれから。

しかもそれが非常に緩い、基準も明確ではない中でこうやってきたわけですね。

この行政機関についても、まさにこれでは、国会によるチェックや国民への説明責任を確保することが困難であるのではないかと思いますが、大臣、御見解を伺います。

松本大臣。

一般論としてなんですけれども、専門的事項を定める必要は、技術の著しい進展に適時に対応した基準を必要としています。

何を言いたかというと、AIがものすごい勢いで進歩していて、それに追随して法律を作っていくとなると、とてもじゃないけど間に合わない。

それはどういう形でいろんな歯止めを効かせていくかとなると、これは今回の法律も再三出てきますが、個人情報保護委員会がやる規則でもって、ある程度サプレッションしていかなきゃいけないというふうには思います。

ですから、そういう機動力のあるやり方というのは、個人情報保護委員会の規則をつくる、それからそれに基づいてガイドラインをつくっていく。

そういった中において制限というもの、限定というものをかけていくということが、今の少なくともAIとかそういった技術の進歩には対応するためには、これはもういたしかたないというふうに思います。

早稲田ゆき君。

いや、AIの進展。

はもちろんわかりますし、そのためにこれデジタルの法案とセットなんでしょうけれども、その中で、前回の改正でさえこのガイドラインですよという中身なんです。

ガイドラインで今作っていかないと、法律をそのために細かくはできないということはわかる。

わからないではないけれども、やはり基準をきちんと明確にしておくということは大前提だと思うんですね。

その中でさらにガイドラインをつくってもこの程度だということになれば、何が歯止めになるんですか、何が基準になるんですかということを申し上げております。

その上で次の質問に移りますが、30条の2であります。

この統計と情報等の作成にのみ利用されることの担保、これ個人情報を保護委員会としてどのように確認をするのかということです。

この240人体制の大変人数も増えていない中でですね。

それで例えばその匿名確保でなく生データ、名前、住所、そうしたものが入るものを統計等を作成という中にはAIの開発も含まれるということでよろしいんですよねということ。

それからじゃあ例えば具体的な事例として私が申し上げたいのは携帯位置情報、これ、名前、それから端末機の番号、緯度、経度、それから時刻なんかも入っていますよね。

こういうものも含まれるのか。

それからコロナの疫学調査、これも名前入り、地域、年齢、性別、そうしたものが全て含まれる病歴も、こういうものも含まれるのか、伺います。

個人情報保護委員会、佐々木事務局長。

お答えいたします。

まず大前提といたしまして、現行法の下でも、事業者がまず一旦適正に取得した個人情報でありますと、あらかじめ利用目的で明示していなくても、統計作成といった個人と全く関係ない利用というのは、できることになっていることをまず申し述べたいと思います。

今回の改正案におきましては、ある要件を満たす用途に限定する、用途を限定する場合には、本人の同意がなくても、第三者から個人情報などの提供を受けられることとするものでございまして、その用途の中には、先生ご指摘の場合につきましても、提供を受けた事業者が、特定の個人の対応関係が排斥された統計情報等を作成する場合であれば、特例の対象になるということでございます。

早稲田ゆき君。

そうしますと、今申し上げた事例でいうと、名前、端末機番号、緯度経度とか、そういうものが入っているものも、もちろん含まれるということですよね。

そしてコロナの疫学情報なんかも、疫学調査なんかもそうだということですから、先ほど長妻委員がおっしゃっているとおり、この統計等に必要でない名前の削除は事業者側にやってもらうんだということでありますけれど、これが安全管理措置義務の中にきちんと入れるということを、じゃあ規則でこれを書かれるということでよろしいでしょうか。

名前など、例えば必要ないものはこれを削除すると、その安全管理義務を負うということを書かれるんですか。

個人情報保護委員会佐々木事務局長。

お答えいたします。

データの種別、例えば今論点になりました要配慮個人情報というような、個人にとって大変センシティブなものにつきましては、漏れると、個人の権利利益への侵害のデータが多くございますので、安全管理措置を的確に行う上では必須のことだと思います。

安全管理措置義務につきましては、既存の法律、現行の法律の中に条文で明記されておりますが、それの具体的な執行を行うための基準を私ども持ってございまして、規則であるかどうかにつきましては検討を要しますけれども、何らかの形で明示的な基準に盛り込みたいと思います。

早稲田ゆき君。

いや、規則じゃなかったら何なんでしょうか。

明示的な基準の中身を教えてください。

個人情報保護委員会佐々木事務局長。

規則を原則にガイドラインも含めて整理していきたいと思います。

早稲田ゆき君。

じゃあ規則に必要のない場合は名前、住所、削除する。

そういうことでよろしいですね。

確認をいたしました。

それでよろしかったら頷いていただけますか。

いいですか。

規則。

はい。

個人情報保護委員会佐々木事務局長。

今回提案しております法律に基づく規則を中心に、しっかり規則ガイドラインで定めていきたいと思います。

早稲田ゆき君。

それででも、個人の権利利益を害する恐れの少ないものとして、規則で定めるというふうにもなるんでしょうけれども、AIの技術が非常に進歩が早いという中で、この統計情報、これから逆に個人情報が再識別される想定もかなりされると思うわけです。

その上で匿名加工、これは45条、それから仮名加工情報、これについては41条の7項で、再識別禁止規定がありますけれども、なぜこの名前とか住所とか、そういう極めて機微な情報について、この再識別禁止規定、統計作成等についても、法律で禁止をすべきではないでしょうか。

個人情報保護委員会、佐々木事務局長。

お答えいたします。

まず、統計作成等の特例における統計作成等でございますが、条文上明確に示しておりますけれども、大量の情報の傾向または性質に関する情報。

警視に係る情報で、個人に関する情報に該当しないものを作成する行為でありまして、かつでございますが、個人の権利利益を害する恐れが少ないものとして、個人情報保護委員会規則で具体的に定めるものということでございます。

そのため、本特例において、統計作成等の対応でございますけれども、大量の個人情報、個人に関する情報に当たらない状態にまで加工いたしますので、先生ご指摘の仮名情報や匿名加工情報の場合は、ある意味その人、その人の一名一名の、一行一行と申しますか、それぞれの現データの粒度を残す形で、個人、その他の名前を消すことによっても、仮名であったり、匿名であったりということができるわけでございますが、今回、特例を適用する場合には、それでも足りませんでして、さらなる一般化を丸めるということを求めるわけでございます。

従いまして、本特例に基づいて作成される統計情報等につきましては、再識別等が行われるリスクは、仮名化、匿名化に比して、極めて低いものというふうに認識しております。

また、本特例におきましては、個人の権利利益を害する恐れが少ないものに限定する観点から、委員会規則におきまして、個人情報等が復元されることを防止するために、必要かつ適切な措置を講ずることを決めていきたいというふうに思っております。

このほか、本特例に基づいて作成された統計情報、本特例において識別禁止行為ということを、識別禁止義務を重ねて規定せずとも、現行の法律の条文の合わせ用の形で十分担保できるというふうに承知しております。

丹羽秀樹委員長早稲田ゆき君。

早稲田ゆきいや、匿名情報よりもこちらの方が丸めて、そしてそういうリスクは低いとおっしゃいましたけれども、それは分かれませんね。

AIの技術革新によれば、それができる可能性があるということも今言われておりますから。

その中で過徴金とおっしゃいますけれども、過徴金、これ、事業者が情報を取得するために100万円、200万円、1000万円だとしてもですね、それぐらいですよ、過徴金って。

その利益をまた払うということですから、全然何ともないわけですよ、大きな、巨大企業にしてみたら。

これがリスクになるとは思えない。

だから過徴金、こうやって一部しか認めていないわけじゃないですか。

それだから大変この問題は事業者より、そしてAIデータを活用したいという、その企業側に立ったり、立て付けではないかということを先ほど来申し上げております。

このことにつきましても、パブコメということを聞きたいんですけれども、この例外規定が入る前にはパブコメされていますけどね。

令和6年の6月。

この例外として新設された統計等作成の例外規定、要配慮個人情報、病歴、犯罪歴の取得、それから本人同意なき個人データの第三者への提供については、きちんと明示的なこのパブコメを行っていません。

そしてまた先ほど来、ステークホルダーの意見を聞いているとおっしゃっておりますが、もちろん聞いてはいらっしゃいますけれども、その中でこの平場ででもですね、平場の議論でも、19団体から聞いているうちにほとんどが、その19団体が経団連、新経連、それからまた日本IT団体連盟を中心とする、そういう事業者の利用する側です。

そして一件だけが、この認定消費者団体から意見を聞いているんですね。

だから消費者団体も、自分たちが要望をしていた団体訴訟ということのそれが入らないというのがわかったのがもう本当に前日だということが次の2枚目の資料に書かれております。

そういうことも含めて個人情報保護委員会を責めているのでは私もございません。

非常にそうした圧力がある中でのこういう立て付けになったということは、やはり国民私たち一人一人のこの権利利益でありますから個人情報は。

そこを守るのが後退してしまっては、本末転倒ではないかと思いますので、修正案についても、ぜひまた理事会で、そして委員長にもお取り計らいをいただきたいと、私は強く思います。

その上で、パブコメについては、これを行われておりません。

そしてまた、第三者認証等を設ける必要があると思いますけれども、これについてはいかがですか。

個人情報保護委員会 沢木事務局長お答えいたします。

まず大前提といたしまして、いわゆる意見聴取手続き、行政手続きに基づきます意見聴取手続きが、行政に委ねられた執行基準などを作るときに行うということにされてございまして、私ども立案段階におきましては、ある意味任意のパブコメを随時行ってきたわけでございますが、委員ご指摘のとおり、中間整理を公表した際に、そのような任意の手続きの意見募集を実施いたしました。

この中間整理におきましても、つぶさに見ていただければわかるのでありますけれども、AI開発や契約の履行に伴う個人情報の提供、公益性の高い分野における利活用と、本人同意を要しないデータ利活用とのあり方というような項目を設けておりまして、それについての意見募集を、そこの局面においてもしたということでございます。

その意見募集の結果を踏まえまして、改めて、制度の基本的なあり方に立ち返った議論を行うということで、有識者11名、経産団体、消費者団体等17団体に対するヒアリングを私が実施いたしまして、令和7年1月に当該ヒアリングの結果を踏まえまして、中間整理を踏まえた、かつ中間整理の際に曖昧にしていた点を具体化した論点を再整理いたしました。

本法案における統計作成等の特例をはじめとする、本人同意なき個人データの第三者提供に関する規定につきましては、中間整理において示した内容を、これらのヒアリングの結果を踏まえて、個人の権利利益への影響の有無という観点に着目し、再整理したという位置づけであると理解してございます。

その論点につきまして、令和7年2月から3月にかけて、制度的課題に関する考え方として改めて公表し、有識者8名、経産団体、消費者団体など計29団体から御意見をお伺いいたしまして、本年の1月に制度改正方針として委員会として決定し、公表した次第でございます。

本法案における統計作成等の特例をはじめとする、本人同意なき個人データの第三者提供に関する規定につきましては、今御説明したプロセスを経ながら進めてきたということについて、御理解いただければと思います。

丹羽秀樹君

早稲田ゆき君。

今、長々と御答弁いただきましたけれども、明示的にはこれについてはパブコメは行われていないことは明らかでございます。

そういう少し丸めた言い方で書いてはいらっしゃいますけれども、明示的には書いていないわけです。

ですから、ここのところも非常に事業者寄りだと言わざるを得ません。

それでは18条の方に質問をいくつか飛ばしていきたいと思いますが、この個人データの第三者提供ですね。

これにつきまして、例えば契約の履行のために不可欠なものや、取得の状況から見て本人の意思に反しないものと、これも個人情報保護委員会規則で定める場合、本人同意を不要とするということになっておりますけれども、この制度の趣旨に即した明確な基準を整理をするべきであり、これはしっかりとそのことを法律にも書き込むべきだと私は思いますが、その点について。

それからまとめて質問いたしますけれども、必要不可欠なものというのが事業者にとって都合のいいように拡大解釈されてしまう、本人同意が形骸化されてしまうリスクがあると思われます。

こうした場合に本人と事業者の間で意見が分かれた場合、どのような紛争解決の手段があるのでしょうか。

伺います。

個人情報保護委員会、佐々木事務局長。

まとめてお答えいたします。

契約履行のために必要やむを得ないことは明らかである場合と、それから取得の状況から見て本人の意思に反しないため、本人の権利益を害しないことは明らかである場合として、規則で定める場合というふうにしてございます。

その例外規定でございますが、本法案をお認めいただきましたら、事業者のみならず、個人がどう思うかということが肝要でございますので、さまざまな意見を聞きながら、法律にありますとおり、規則でしっかり定めていくということになろうかと思います。

その点、規則で定めますので、事業者の身勝手な解釈で運用するということは、それは直ちに法令違反になるわけでございます。

ガイドラインへの適合性につきまして、しっかり私ども監視監督をしてまいりますし、また仮に本人が本例外規定の要件に該当しないにもかかわらず、同意なく第三者提供を行われているといった場合には、利用停止、第三者提供の停止等を請求することができます。

それにつきましては、私ども、日々本人からのさまざまなご相談やあっせんのご依頼を受けておりますので、そういった形で対応していきたいと思いますし、これにつきましては、最終的には裁判によって訴えることによりまして、事業者との裁定を図っていくという仕組みになってございます。

早稲田ゆき君。

そこまでいかないですよね。

裁判とか今おっしゃいましたけれども。

それから、個人情報保護委員会の方で監視監督を行っているということですが、この240人体制で、そうした、さらにこういう内容が追加をされる改正の中で本当にそういうことが可能かどうかということです。

それは本当に難しいことじゃないですか。

今まででも、この年間の監督命令というのは1件とか0件ですよね。

命令については0件だったと思います。

そういうことを含めましても、なかなかそういう体制になっていない。

昨年からの個人情報保護委員会の追加の職員の方は5名と聞いておりますけれども、10名を要望されたけれども5名にしかならなかったということで。

でも内容、こんなにたくさんのことが全部個人情報保護委員会にかかってきてしまって、そこで監督命令をするということは本当に不可能に近いと私は思います。

その中で今の御答弁の中ですけれども、さらに第三者に提供される本人同意なく、個人情報の当初の目的外利用に、要配慮個人情報も含まれるわけだと思いますが、これでよろしいでしょうか。

個人情報保護委員会佐々木事務局長。

お答えいたします。

要配慮も含まれるものです。

早稲田ゆき君。

そうしますと事例としてちょっとお聞きしたいんですけれども、これネットでホテル予約するときに患者団体がされる場合、この患者さんのあるいはご家族の、そうした病歴とか、こうしたものも本人同意なく第三者に提供される場合があり得るということでよろしいですか。

個人情報保護委員会佐々木事務局長。

お答えいたします。

これはあくまでも、ご本人がその契約を通じたサービスを利用する際に、当然にその情報が提供されないと、サービスが享受できないと信じるに足りる十分な理由があることに限定されるわけでございます。

むやみやたらにご本人のご家族、その他についての情報が提供されることはございませんが、例えば、療養先のようなそこに対し申し込む患者さんにしてみますと、それぞれの情報の提供ということが不可欠であるというふうに理解されているでありましょうから、そういった場合には本ケースにつきましての適用対象になる可能性はございますが、いずれにしても個別の判断になりますし、そこの妥当につきましては、最終的に私ども委員会でぜひを判断し、適切な執行を行っていくと、そういう構造になってございます。

早稲田ゆき君。

ホテルの予約であっても、そうしたことが起こりうるということですよね。

以前に旅館業法で黒川温泉の宿泊拒否の問題というのもございました。

こういうふうに予期せぬところで第三者に提供されるということがあれば、本当にこれはやはり問題は大きいと私は思います。

その中で先ほども御質疑ありましたけれども、20年の改正時には参議院の附帯決議で、この課徴金制度を附帯をいたしました。

それが一部はなりましたけれども、先ほど長妻先生の資料をお使いすると、千人規模ですよね。

千人以上でないと、この課徴金の対象にならないし、制裁金ではないから、利益に対するものだけということで、マイナンバーの場合は一件からじゃないですか。

何でこれ千人規模なんですか。

また目的外利用、要配慮情報の不正取得、それから事業者の安全管理措置義務違反は対象外となって、非常に事業者に有利な規制となっております。

こうした場合に、大臣も先ほどお答えになりました。

はじめだからスモールスタートをするんだということだし、過失でそういうふうになった場合と、それから故意である場合と、いろいろあるからとおっしゃいましたけれども、これはじゃあ過失と故意で分ければいいだけのことですよ。

実際にやっているじゃないですか、米国のカリフォルニア州も。

データ1件について40万円。

故意の違反の場合は120万円。

これ、違反の1件あたりですからね。

利益100万円とか200万円を、これを課徴金として課すという話ではございません。

先ほど長妻委員のあれでもありましたとおり、Googleなんかにしてみたら、2兆円ものあれが課される可能性もあるということで、2000万ユーロ、約37億円というのが上限になっているわけで。

こういうGAFAとか巨大企業に対して課徴金を課していくということが一つの歯止めになるのに、今回の日本の改正ではならなかったことは、大変歯止め規定も薄いと言わざるを得ません。

それに加えまして、いや、だからそこのところはもっとやるべきではないかということを大臣にも伺いたいし、次の質問と重ねて伺いたいと思います。

全国消費者団体連絡会が、制度導入を要望していました団体訴訟制度。

これさっきも御説明、御答弁されました。

でも、これは個人の権利保護、個人の権利利益を保護するという法律でありますから、消費者団体が擁護する利益というのは、消費者なんですね、ということは記者会見でもお答えになっていらっしゃいます。

でも、他のEUの一般データ保護規則、GDPR何かのところが適用されているところは、これ、消費者団体訴訟指令というふうになっていて、消費者団体がこの団体訴訟になっていますよね。

それから、他のところでも、各州の消費者法等によると、カナダでもなっています。

結局、今はノウハウがないからといったら、こうやってどんどんAIの技術が進歩していくわけですから、それに対して、この消費者団体だって、しっかりとそういうノウハウを積んでいこうとするのは当然だと思います。

だから、新しい団体でもいいけれども、消費者団体を軸としてやっていく、こういう団体訴訟がないと、とてもとても個人がこの巨大企業に対して何かを求める違反行為ではないかということを確認させるなんていうことはもう本当に皆無に近いと私は思います。

ここが肝だったはずなんですね。

これを事業者側は一番嫌がったはずです。

これがないから日本は緩い。

課徴金もそうだけれども、団体訴訟もない。

本当に歯止めがない個人情報の保護の改正、こうしたものがいいのかという問題がございます。

大臣にもう一度伺いたいのですが、課徴金について、それからこれがあまりにも低いということと、団体訴訟はもう一度考えていただくべきと思いますか。

いかがでしょうか。

松本大臣。

まず課徴金の問題でございますけれども、先ほど申し上げましたように、スモールスタートをせざるを得ない日本の法体系というのはちょっと違うか、いわゆる法律の作り方の問題だろうというふうに思います。

これは委員の皆さん全員共有していただければと思います。

もうそこから変えてしまわないと、なかなかいきなり大きな罰を加えるということは厳しいかろうと思います。

それともう一つ、GAFAのような大きな企業になりますと、確かに大きな課徴金を課するということは可能だと思いますが、基本的にアメリカなんかはハイリスク・ハイリターンで商売をしていると。

我が国の企業はどちらかというと、ハイリスク・ハイリターンという考え方ではなくて、できるだけローリスク・ローリターンのような企業、商売の進め方、ビジネスの進め方をやっていますから、果たして我が国にそういう大きな課徴金を課すことが正しいかどうかということは、もう一回よく考えなきゃいけないと思います。

これは別に経済団体の方を持っているわけではなくて、ビジネスのあり方として、それに見合った罰の与え方というのは、私はあってしかるべきだろうというふうに思っています。

そうしないとやはりどちらかというとこのデータの利活用が逆に進まなくなってしまうということも十分考えなきゃいけないと思います。

ただ課徴金とかがいらないと言っているわけでは決してありませんので、これはあくまでもバランスは必要だということは、前提でお話をさせていただいております。

もう一つ、団体訴訟制度の問題ですけれども、これは先ほど長妻委員の質問でもお答えしたとおりなんですけれども、少なくとも、我々個人情報保護委員会としても、既存の適格消費者団体の活用を念頭に、この制度が作れないかということは、当然これまでも検討してまいりました。

しかしながら、先ほど申しましたけれども、法的な整理がちゃんと必要だと。

個人を扱っているのか、消費者を扱っているのか、似て非なるものですから、そこはちゃんとこれからもう一つ、法的な整理を進めていく中において、将来的にはそういったこともあり得ると思います。

それまでの間と申しますが、一方で、個人の権利利益の保護は重要ですから、消費者団体との連携というのはこれまで以上に強化してまいるということ。

それから一般の個人からの相談を受け付ける窓口の活用も当然促進するということ。

あるいは適正な監督権限の行使をして違法な行為の抑制を図っていくということは、これは我々個人情報保護委員会としてもしっかりと進めていきたいというふうに思います。

早稲田ゆき君。

はい。

まとめてお答えいただきましたが、団体訴訟についてはしっかりと考えていただきたいと思います。

今の消費者団体でできないということは、もちろんないはずですから、そこを軸として何か違う形でやるにしても、法的整理をとおっしゃいますけれども、ほかの国でもやっておりますから、そういうノウハウはやっていけば積んでいかれるはずですから、そこのところはしっかりと考えていただきたいと思います。

文科省、それからこども家庭庁にも来ていただいていますので、これもちょっと時間の関係。

早稲田委員、この同意ということが認められないことも含めてガイドラインにきちんと明示をすべきではないかと思いますが、こども家庭庁、それから文科省の方に伺いたいと思います。

はい、こども家庭庁、水田審議官。

お答えいたします。

まず、個人情報保護法の解釈ですとか、ガイドライン作成等を含む運用に関する事項につきましては、法律を所管する個人情報保護委員会において判断すべきものでございます。

こども家庭庁としてはお答えする立場でないということについては、まずご理解いただきたいと思います。

その上で、ご指摘の子どもの最善の利益につきましては、一般論として子どもの意見が年齢発達段階に応じて積極的かつ適切に子ども政策に反映されるように取り組むことを政府全体の方針としております。

一方、こども基本法の解釈におきましては、別の考慮要素と比較考慮をして合理的に判断した結果、子どもの意見が子どもにとって最善とは言い難いと認められる場合には、子どもの意見とは異なる結論が見出されることはあり得ると解釈しているところでございます。

こども家庭庁としましては、こうした点について必要に応じ、個人情報保護委員会と連携し、子どもの最善の利益が図られるよう努めてまいりたいと考えております。

早稲田ゆき君。

すみません。

次の質問と一緒にお答えいただきたいんですけど、例えば、保護者の年収、虫歯の数、学力の相関などをはじめ、子どもの学習成績や保健統計に関わるビッグデータ、これが教育現場の方では、保護者の年収などをもとに子どもが差別される恐れがないかということも踏まえて、しっかりとこういう懸念を取り払っていただきたいと思うわけですけれども、その点について。

お願いします。

個人情報保護委員会、佐々木事務局長、お答えいたします。

まず、法定代理人の親が、DV、性暴力などのケースについてご指摘ございましたが、現行の日本の法令によりますと、親による

DV、性暴力等を原因として、例えば、親権の喪失、親権停止という後見にされた場合には、そういう資格がございませんので、同意をすることはできないわけでございますが、法定代理人でありますと、現在、御審議いただいている法律におきましては、その法定代理人である限り、子どもを看護し、その権利利益を守る立場にあることを踏まえて整備したものでございまして、この法律の中では、法定代理人であれば、同意を子どもの代わりに動揺するという権限につきましては認めていくという整理になっているということをご理解いただければというふうに思います。

それから、虫歯その他、学校に関するさまざまなデータの扱いについて、AIに関してご指摘がございましたけれども、違法な差別が誘発する恐れがあるAIモデルを、そのような恐れを予見しつつ、それを作るための個人情報を用いて作成し公開することでございますとか、利用について言えば、保護者の年収により正当な理由なく、子どもに対する違法な差別的取扱いを行うために、それが機能するAIを個人情報を入れて作るということは、いずれも本規定に基づく違法になりますので、そういったものについてはできないということでございます。

文部科学省学習基盤審議官堀野さん、お答え申し上げます。

学校現場において取得される教育データですけれども、文部科学省といたしましては、教育データ利活用に係る留意事項を示しておりまして、教育委員会、学校が当該機関以外に提供する場合には、提供先における個人情報を取り扱うものの範囲の限定、第三者への再提供の制限または禁止、消去等利用後の取り扱いの指定、個人情報の取扱状況に関する報告の要求等の措置を講ずることなどをお示しをしております。

引き続き、個人情報保護委員会とも連携しながら、児童生徒の個人情報の適切な取扱いがなされるよう、しっかり取り組んでまいります。

丹羽秀樹委員長早稲田ゆき君。

時間が参りました。

これからもまた質疑を重ねてまいりたいと思います。

ありがとうございました。

次に阿部司君。

阿部司日本維新の会、阿部司です。

よろしくお願いします。

まず、情報通信技術活用推進法案について、デジタル主権の観点からお伺いをしてまいりたいと思います。

先月16日の本委員会で、AI基本計画、ガバメントクラウド、半導体デジタル産業戦略を束ねる一体的な戦略文書の必要性についてお尋ねをしまして、大臣からは必要だろうと、官邸にもしっかり伝えていきたいと、前向きな御答弁をいただきました。

本法案で、内閣総理大臣が新たに策定をする国等データ活用事業指針は、認定事業者が政府保有データを活用する制度の根幹となる文書となります。

政府保有データを民間に開放して、イノベーションを促す仕組みは重要ですけれども、その裏返しとして、国の重要データが外部に流出するリスク、また、有事に国がコントロールを失ってしまうリスクと表裏一体でもあると思っております。

100%国産にこだわるものではないにせよ、いざというときに、しっかりと国がコントロールできる状態にしておくことが、デジタル主権の本質と考えております。

本指針において、データセキュリティ、事業者の安全管理、そして経済安全保障といった観点を組み込んで、デジタル主権の確保に資する内容とすべきと考えますけれども、大臣の御見解をお伺いいたします。

松本尚大臣本法案に基づく国等データ活用事業に関する指針においても、データの安全管理の方法等の事項を定めるということになっています。

委員御指摘のとおり、データセキュリティとか、それから経済安全保障等の観点も念頭に、このデータの適切な取扱いはしなければいけないと思っています。

それについては、この指針をつくる上で、私自身も根本的に真ん中に置かなきゃいけないものだと。

国のデータですから。

当然それはもう念頭において作るべきだというふうに思っております。

阿部司前向きな御答弁をありがとうございます。

指針の中身がしっかり制度の信頼性を担保するものになると思いますので、実効性のある運用をお願い申し上げます。

次に、データ活用の物理的な基盤についてお伺いをしてまいりたいと思います。

本法案の施行によって、国等データの活用とベースレジストリの整備が進んだ場合、その物理基盤となるデータセンター、こちらの需要が拡大していくことも考えられます。

一方で、立地をめぐる住民との摩擦というものが至るところで起きているともお伺いをしております。

大臣、御地元の千葉県印西市、東京都日野市、柏市など各地でこうしたトラブル問題が発生しておりまして、電力消費、騒音、景観への影響などをめぐって行政不服審査請求ですとか訴訟まで提起される事態となっております。

この事実関係をお伺いしたいということと、第一に、ここ数年で住民との合意形成をめぐって紛争に発展した大規模データセンター建設の事例を政府はどの程度把握をされているのか。

二つ目に、東京都は国に先行する形で独自の立地指針の策定に動いていると承知をしておりますけれども、政府の取組の状況、また関係事業者団体による地域共生ガイドラインの策定状況についてお伺いします。

また、これらの実効性をどのように確保していく考えなのか、総務省からお伺いいたします。

総務省吉田総合通信基盤局電気通信事業部長。

お答え申し上げます。

我が国において、多くのデータセンターの新規建設が進められる一方で、委員御指摘のとおり、景観や排熱等を心配される声があるということは承知しております。

データセンターの立地に際しては、地域との共生を図っていくことが大変重要であり、まずは事業者において地域住民に対する説明の機会を設けるなど、丁寧な対応を進めていただくことが重要と考えております。

このような認識の下、総務省が経済産業省とともに開催しております、わが国ビット連携官民懇談会の取りまとめ1.0におきまして、データセンターの立地に当たっては、データセンター事業者が建設計画や周囲の環境影響について、立地地域に対して説明する機会を設けるなど、総務省といたしましては、経済産業省と連携し、今般取りまとめられたガイドラインの運用状況をしっかりと確認し、必要なサポートを行ってまいります。

丹羽委員長。

阿部司君。

ありがとうございます。

業界団体のガイドラインが策定をされたということで、東京都も先行している中で、立地をめぐるこの制度整備は、緒についた段階だという認識を共有させていただきました。

そこで大臣にお伺いします。

今の質問のとおり、住民紛争の発生、東京都の先行的な動き、業界団体のガイドラインの策定など、データセンターの立地をめぐる制度の整備は、緒についたばかりであります。

データ活用の制度設計、そしてそれを支える物理的な基盤としてのデータセンターの社会的需要、これは車の両輪だと思います。

本法案の施行と歩調を合わせまして、既存の取組の実効性確保にしっかりと努めるとともに、必要に応じて国としての立地ルール整備に取り組むべきではないかと思うんですけれども、大臣、御見解をお伺いいたします。

松本デジタル大臣。

委員御指摘のとおり、私の地元にでもデータセンター銀座というところがあるぐらいで、しかも住民等のトラブルも発生しておりまして、地元の議員としては頭の痛いところがあまり触れたくないんですけれども、データセンターが重要であることは間違いなくて。

その意味で国交省に建築基準法どうなっているのか等々お話をしました。

今建築基準法上データセンターは事務所もしくは倉庫ということになって、意外といろんなところにも建てられるという状況でございます。

ここの辺りから少し法改正も含めてどうなんだということを国交省にもお願いをしたこともございます。

ただやはりなかなか簡単なわけではなくて。

いろんな場所に立っているので簡単ではなさそうだということが分かりました。

一方で先ほど説明ありましたけれどもデータセンター地域共生ガイドラインというのがデータセンター協会の方で作られたと。

まずはこれにしっかりとコミットしていくことは我々も大事だと思っています。

データセンター協会の理事長には先般私が直接会ってデータセンターがこれから国にしっかり作られていくことは重要なことだからどうか住民の皆さんとうまくやってデータセンターを広めていただきたいということはお話をお願いをしたところです。

一方で新聞報道なんかでも横浜港で日本郵船が海上データセンターの実証を今始めている。

私、実は非常にそれに注目してまして、塩害とかいろんな理屈もあると思うんですが、障害もあると思うんですが、これを1年かけて実証するということは、我が国は海洋国家でございますから、そういった意味であれがうまくいくと、非常に地域住民とのトラブルというのも回避できるのではないかと。

阿部司君。

大臣、ありがとうございます。

基盤整備と地域との共生というのは非常に重要な点だと思いますので、引き続きどうぞよろしくお願いいたします。

続きまして、個人情報保護法等改正における留意点についてお伺いいたします。

本法案は課徴金制度を新設されます。

また、団体による差し止め請求制度及び被害回復制度の導入は今回見送られましたけれども、今後検討課題になることも予想されます。

我が党は、個人情報保護を重視する一方で、表現の自由、報道コンテンツ産業の活力、そして事業者の経済活動の自由を等しく尊重する立場であります。

検討会報告書でも、データ利活用へのさらなる萎縮効果が懸念として示されておりまして、課徴金の運用次第では、我が国のAI産業全体が国際競争から取り残されかねません。

新設される課徴金制度に関するガイドラインの整備、及び今後、団体差し止め請求制度等の検討が再開された場合の制度設計を通じて、表現の自由及び事業者の経済活動、データ利活用への萎縮効果の防止をどのように図っていくかお考えか、個人情報保護委員会にお伺いいたします。

個人情報保護委員会沢木議員局長。

お答えいたします。

課徴金の導入に伴う事業者、あるいは表現の自由の萎縮効果

丹羽委員長。

阿部司。

ありがとうございます。

しっかり関係者との丁寧な対話を通じて、こちらご対応いただきたいと思います。

そして最後の質問ですけれども、個人情報保護に当たりまして、子どもの規定も整備されます。

こちらなんですけれども、アメリカの事例で、個人情報の保護の関係で、お子さんのルール整備をしていった際に、事業者への非常にプレッシャーになって、結果的に

学習関連、おもちゃですとか、さまざまお子さん関連サービスというものが停滞していったというような報告があります。

しっかりお子さんの保護をしていくことは重要なんですけれども、かえって学習ですとか育ちの妨げになるような事態も懸念点としてございますので、この点、しっかり事業者への対応というものを過度に意識をさせないようなご対応をお願いしたいと思っているんですけれども、こちらご見解をお伺いいたします。

松本尚大臣はい、もちろんいろんなものを利活用するのとデータを、あるいは個人情報を守るというのは上手にバランスを取らなきゃいけないのはもうおっしゃるとおりでございまして、その意味で、その間に子どもが入って子どもの利益が損ねられるのは、情報の利益を損なうのもよくないし、いろんな場面場面においていろんなものを利用するのが損ねられても困るというのは、委員ご指摘のとおりだと思っています。

その意味で、そういったいろんな事業の性質とか、あるいは個人情報の取り扱い、例えば個人情報を用いて何をするか。

アメリカなんかは何でもイノベーションが先になってますけど、日本は日本らしいあり方で進められるように、この子ども圏についてもですね、しっかりと個人情報保護委員会等々と情報を交換しながら進めていきたいというふうに思います。

丹羽秀樹委員長阿部司君。

阿部司終わります。

ありがとうございました。

丹羽秀樹委員長次に谷浩一郎君。

谷浩一郎参政党の谷浩一郎でございます。

本日も質問の機会をいただきまして誠にありがとうございます。

そして質疑の時間を調整していただきまして皆様に感謝を申し上げます。

本日はデジタル行政推進法等改正案と個人情報保護法案改正案の法案について伺います。

まずは本法案の改正で提供されることとなる国等データの範囲についてお伺いいたします。

個人情報保護法改正案とデジタル行政推進法等改正案により、統計情報等の作成やAI開発等に利活用するため、政府は保有するデータを事業者に提供することができることとなる制度が創設されると承知をしています。

ここには国が保有する個人情報も提供の対象として含まれており、本人の同意がなくても提供される場合もあるということですが、具体的にどのような情報を想定しているのでしょうか。

例えば、要配慮個人情報を含む個人情報、個人関連情報などが含まれるのでしょうか。

また、個人情報等以外にも、国が保有する法人情報、営業情報、非公開行政情報など、あらゆる情報が対象となっているのでしょうか。

とりわけ、病歴、犯罪歴、税滞納の履歴、金融や信用に対する情報、教育情報、戸籍、住民基本台帳、そしてマイナンバーカード関連情報については、他の法令違反または公益侵害、事務遂行支障に当たるものとして、累計的に提供対象外となるのか、政府として対象外となる情報累計を明示する考えはあるのか、お伺いいたします。

松本尚大臣例えば個人情報について、個人情報保護法において外部へ提供できる場合というのは、これは限定をされております。

これは法律の中でちゃんと決まっていますので、特に今委員おっしゃったマイナンバーの件をお話しされましたが、これはマイナンバー法令においてその内容に含む特定個人情報の提供については非常に厳しく厳格に制限をされているので、これにおいて特例を設けるものではない。

本法令の特例の対象ではないというふうにお伝えをできるかなと思っています。

谷浩一郎ありがとうございます。

そのほか私が最初の方にマイナンバー以前に申し上げたことに関しては、他の方も聞かれておりましたし、それに対しては対象になると私の認識をしております。

デジタル化やデータの活用によっては、行政の効率化や国民サービスの向上を目指す取組に、参政党、我が党は反対するものではありません。

ただし、個人が直接特定されない情報にあっても、AI技術の発展や外部データとの照合により、将来、個人の推定や再識別が可能になることも考えられます。

また、ビッグデータから特定の属性を持つ集団の特徴などを分析するプロファイリングによって、特定の集団に不利益が及ぶ可能性も否定できません。

要配慮個人情報を含み得る行政データを、本人同意なくAI開発や統計作成等に利用させる制度には、強い警戒感を抱くものであります。

続いて、外国企業も、国等データを取り扱う認定事業者になり得るのか、お伺いいたします。

デジタル行政推進法等改正案の国等データ活用事業として申請できる事業者には、日本企業に限定する規定は見当たりません。

海外に拠点を置く巨大プラットフォーム企業を含む外国企業や外資系企業も認定対象になり得るのかという理解でよろしいでしょうか。

また、外国企業や外資系企業も認定事業者になり得るのであれば、なぜ外国企業も対象としたのか、その理由を伺います。

松本尚大臣本改正法案では、データ利活用を促進する観点から、資本関係等について、一律に特定の属性の事業者を認定対象から除くということはしておりません。

ですから、今の御尋ねでいけば、外国企業も認定業者にはなり得るということになります。

一方で、当然ですよ。

安全保障等の観点も念頭にして、データの保護というものをちゃんと考えなきゃいけませんから、そういった適切なバランスを図るため、この認定するにあたっては、安全管理の内容とか、あるいは当該事業者の資本構成といった点も含めて、その認定をする、あるいはどんな目的で何を使うかというような計画全般の的確性については、十分丁寧に審査を行うことが必要だということは、間違いございません。

谷浩一郎君。

御答弁ありがとうございます。

国際的な技術や知見を活用することが、国民の利便性向上につながる場合もあると思います。

しかし、本法案で扱われるのは、国や自治体が国民の信頼に基づいて保有している行政データです。

外国企業も認定対象となるのであれば、データの保管場所、外国法令による開示リスク、越境移転、国内への利益還元について、国民に分かる形で説明される必要があります。

利便性と同時に、安心感を確保する制度設計が必要ではないでしょうか。

次に、データの市場開放と国内IT産業の保護について伺います。

本法案の趣旨には、個人情報を含むデータの利活用に対する需要が高まっているという説明がありました。

もちろん、この需要は国内の事業者や経団連などの団体からも声が上がっていることは承知をしておりますが、中にはAmazon Web Services Japan合同会社（AWSJ）や在日米国商工会議所（ACCJ）をはじめとする外国企業、団体からも個人情報保護委員会の方にパブリックコメントやヒアリングなどを通じて声が上がっているとも確認をしております。

このような外国企業団体からどのような内容の要望があり、本法案や関連制度の設計にどのように反映されたのでしょうか。

さらになぜ、個人情報保護委員会はACCJをヒアリング対象に選定したのでしょうか。

お答えください。

個人情報保護委員会、沢木事務局長。

お答えいたします。

委員御存知かと思いますが、個人情報保護法は、日本のサービスを提供している限りにおいて、全世界の事業者、規制対象になります。

その観点から、多様なステークホルダーの一つとして、国内サービス提供を行っており、我が国の法律の適用を受けることになります外国籍の企業団体からも意見を伺っておりまして、ACCJのほか、欧州ビジネス協議会などからも伺ってございますし、また国際整合性という観点からは、アジア各国の様々な当局でございますとか、G7の各国の当局でございますとか、そういった方々と様々な議論を通じて、立案にあたっての知見、経験をいただいたという経緯になってございます。

聞いた主要な指摘としてましては、リスクベースアプローチを採用した上で、国際的な基準との関係で相互に運用可能であることを求めるというコメントがございまして、今回の同意を要する規律を因数分解した上で、適切な案外に再設計するということでございますとか、あるいは同意が不要な場合、あるいは漏洩報告の本人通知などもリスクベースの観点からも、そういったアプローチを今回導入してございますし、そういった形でもちろん、ACCJからの意見を取り入れたということではございませんが、さまざまなステークホルダーの意見の一環として聞きながら、立案に生かしてきたということでございます。

見直しの過程におきましては、特定のものに偏ることなく、有識者、経産団体、消費者団体をはじめ、幅広いステークホルダーから意見を伺い、国際的にも整合性が取れる観点も含めまして、検討を進めてきたということでございます。

谷浩一郎君。

ご答弁ありがとうございます。

データ利活用の需要を把握する際に幅広い関係者から意見を聞くこと自体は必要だと思います。

ただ、外資系クラウド事業者や海外の経済団体の意見がどのように反映されたのかということ、国民にさらにしっかりとお伝えいただきたいと思っております。

日本は国産AIや国産ガバメントクラウドの育成で課題を抱え、デジタル赤字も大きくなっています。

行政データという重要な資源を活用するのであれば、その成果が国内の技術、人材、雇用、産業基盤の強化にもつながるように設計すべきです。

デジタル化を進めることと国内産業を守り育てること、これは両立させなければならないと考えております。

続いて本法案の国際的な比較をしたいと思います。

本法案は外国企業であっても統計作成やAI開発を目的とする場合には、政府が保有する個人情報に本人の同意を得ることなくアクセスが可能になるものと承知をしています。

しかしこれに対して逆に日本企業が外国政府のデータにアクセスをする、そういった権利は保障されているのでしょうか。

すなわちEU、米国、中国など主要国において政府保有の要配慮個人情報を含む個人情報を民間事業者のAI開発や統計作成等のために本人同意なく提供する制度はどの程度存在するのか。

日本企業は外国政府の同種データに同等条件でアクセスできるのか。

また、法案の検討過程で相互主義は論点となっていたのでしょうか。

併せて伺います。

お答え申し上げます。

諸外国の状況についてでございますけれども、もちろん国それぞれによって様々ではあるんですけれども、例えばEUにおけるデータガバナンス法例にとりましても、生きがい事業者を含む事業者が公的なデータにアクセスするための制度は一部存在するという承知をしてございます。

本法案の検討過程におきましては、これらのものを含めまして、諸外国の関連し得る制度を参考としつつ、データの安全管理等を確保しながら、国の保有するデータが適切に利活用されるよう、制度設計を行ってまいりました。

次第でございます。