Q:マイナンバー制度では、様々な個人情報が紐付けられるので、行政職員などの関係者が確認できる情報が一気に増大する。もしも、集約された個人情報が漏洩した場合には、従来よりもプライバシー侵害に対する被害が深刻になるのではないか? これを防ぐための対策は万全なのか?
A:プライバシーの侵害に対して、政府は「制度上の保護措置」と「システム上の安全措置」という2つの観点から対策を講じています。制度上の保護措置では、マイナンバーの利用範囲に法律上の規定を設けるとともに、それに違反した者に対して厳しい罰則を設定しています。さらに、マイナンバーの利用状況を監視・監督する第三者委員会「特定個人情報保護委員会」も設置しました。一方、システム上の安全措置では、個人情報を集約・集積できないように工夫しています。プライバシー侵害に対する懸念の根本は、様々な個人情報がまとまって外部に漏洩することです。しかし、マイナンバー制度では、個人情報は常にそれぞれの機関で分散管理される仕組みになっており、どこかの機関に集約されるようなことはありません。
政府は、マイナンバー法の骨格を示す「社会保障・税番号大綱」のなかで、番号制度に対し国民の間に生じるのではないかと考えられる懸念として、(1)国家管理への懸念、(2) 個人情報の追跡・突合に対する懸念、(3)財産その他の被害への懸念―の3つを挙げた。これらのうち、プライバシー侵害に対する懸念は(2)に該当する。具体的には、「集積・集約された個人情報が外部に漏洩するのではないか」「集積・集約された個人情報によって、本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないか」といった懸念である。
政府は(1)~(3)の懸念に対して、「制度上の保護措置」および「システム上の安全措置」の観点から各種の措置を講じており、(2)に対しては、制度上の保護措置として、「法令上の規制等措置」「第三者機関による監視」「罰則強化」を行っている。また、システム上の安全措置としては「番号(マイナンバー)を直接用いない情報連携」「アクセス制御」「個人情報および通信の暗号化」を行っている。
制度上の保護措置
2013年5月24に制定された「行政手続における特定の個人を識別するための番号の利用等に関する法律」(マイナンバー法)では、マイナンバーの付いた個人情報(これを「特定個人情報」と呼ぶ)の扱いに対して、様々な保護措置や利用制限、利用状況の監視などの対策を講じている。さらに、ほかの個人情報よりも厳しい規則を課していることが特徴だ。
マイナンバー法で規定された利用範囲以外では、特定個人情報の作成や収集、保管を禁止していることに加え、たとえ本人の同意があったとしても第三者への目的外の提供を禁止している。行政職員がこうした法律に違反した場合には、厳しい罰則が科せられる。例えば、行政機関等の職員が正当な理由なく特定個人情報ファイルを提供した場合、4年以下の懲役または200万円以下の罰金、もしくは懲役と罰金の両方が科せられる。行政職員でなくても、施設への侵入や不正アクセスなどの行為によって個人番号を不正に取得した場合には、3年以下の懲役または150万円以下の罰金が科せられる。
さらに、「特定個人情報保護委員会」(来年1月には「個人情報保護委員会」に改組予定)と呼ばれる独立性の高い第三者機関を設置し、マイナンバーの取り扱いを監視・監督する。このほか、特定個人情報の取り扱いに関する苦情処理や、内閣総理大臣に対する意見具申などの役割を担う。この委員会は、独立性を担保するために、国家公安委員会や公正取引委員会と同じ行政組織法に基づいて設置された。
この委員会からは、行政機関や事業者等に対し、従来の個人情報保護よりもさらに厳しい安全管理措置を求めるガイドラインが出されており、それに違反した場合、法令違反に問われる可能性もある。
マイナンバーを取り扱う行政機関等に対しては、個人情報の漏えいリスクを分析し、そのリスクを軽減するための適切な措置を講ずることを、予め宣言・公表(これを、特定個人情報保護評価〔PIA〕という)するよう義務付けている。
