個人情報保護法制「2000個問題」って何?「自治体個人情報保護法」による解決を目指す

■自治体・有識者・経済界からも指摘される「2000個問題」って何?

個人情報の取扱いを定めている法令は、「個人情報保護法」だけではない。法律では、国に対する「行政機関個人情報保護法」、研究機関・国立大学・国立病院などに対する「独立行政法人個人情報保護法」がある。自治体の保有する個人情報は「個人情報保護条例」が規律しており、47都道府県、1718市町村(2014年4月現在)、東京23区、100超の広域連合にそれぞれ条例がある。合計しておよそ「2000個」というわけだ。

個人情報保護条例が自治体ごとに存在するので、疾病患者、要介護者、災害時要配慮者の生命、身体、健康、財産等を維持するうえでの個人情報の利活用に格差ができる。解釈や手続もバラバラなので、自治体間連携の妨げにもなる。また、官民で異なる規律なので、たとえば医療機関だけをみても、個人情報を規律する法令が異なり、監督官庁がはっきりしないものすらある(表は後述の提言書より抜粋)。

医療分野における個人情報の取扱い主体と適用法・監督官庁の例
医療分野における個人情報の取扱い主体と適用法・監督官庁の例

個人情報保護法の大改正が迫り、「匿名加工情報」の利活用に期待が高まっている。ところが、本命ともいえる医療福祉データに関して民間医療法人と自治体病院との連携を模索しようとすれば、各自治体の条例レベルで「匿名加工情報」が導入されない限り、連携ができないことになってしまう。

■東日本大震災が浮き彫りにした課題

東日本大震災直後に、自治体が保有する災害時要配慮者の個人情報を、民間支援団体に提供して支援や安否確認を実施した自治体は、2自治体しかない(岩手県と福島県南相馬市)。災害時ですら個人情報の「保護」への過剰反応が見られたのである。これを教訓として、2013年の災害対策基本法改正では、「避難行動要支援者名簿」の作成義務と、自治体と支援団体間での事前情報共有を促す条項が設けられた。

ところが、災害に備え平常時から個人情報を官民で共有しようとすると、新たに条例を定めるか、個人情報保護審議会の答申を経るなどの手続きが必要である。筆者は、国が毎年実施する「個人情報保護法に関する説明会」などで、あらかじめ自治体と支援団体とで災害時要配慮者の個人情報の共有を実現する政策手法を解説してきた。改正災害対策基本法や既存の条例をうまく利用することで、平常時からの共有のしくみをつくることは十分に可能だからだ。たとえば、東京都23区内では渋谷区、中野区、足立区等でそのような条例が設けられているし、新潟県長岡市、三条市などは個人情報保護審議会の答申で事前共有を認めている。

一方で、多くの自治体で「個人情報保護審議会の答申」「新規条例の制定」のハードルは高いという声も聞こえる。今こそ、自治体の政策部門や地方議会の活躍を期待したい。手前味噌ではあるが、東日本大震災における個人情報の取扱いについての自治体の対応や、平常時からの個人情報の利活用の政策手法を解説するものとして「自治体の個人情報保護と共有の実務~地域における災害対策・避難支援」(岡本正・山崎栄一・板倉陽一郎)があるので参考にしていただきたい。

■番号創国推進協議会・JUMPが共同提言

4月9日、番号創国推進協議会(会長・横尾俊彦・多久市長。マイナンバーの利活用を研究する全国75市の首長で構成される協議会)と日本ユーザビリティ医療情報化推進協会(JUMP)(理事長・森田朗・国立社会保障・人口問題研究所所長)は、共同提言「自治体データ及び医療データ連携と個人情報保護法制の問題点~個人情報保護法制2000個問題の立法的解決に向けて」をリリースした。筆者も提言の作成に関与している。

ここでは、2000個問題の弊害として、(1)自治体間の「個人情報」の定義にそもそも相違があり、自治体間連携が困難であること、(2)災害対策基本法やがん登録法など特別法によるナショナルミニマムの確保の個別対応には限界があること、(3)個人情報保護法やマイナンバー法の改正ごとに条例手続きを実施する煩雑さが解消されず、自治体のリソースが形式的な条例改正手続きに追われること、などが指摘されている。

そして、2000個問題の解決策として、個人情報政策の基本部分を全国統一の「自治体個人情報保護法」に一本化すべきであると結論付けている。災害対策の場面を例にとっても、主役を担う市区町村で「自助・共助」といったソフト政策を充実させるためには、個人情報の利活用は欠かせない。確かに、自治体個人情報保護法が成立したとしても、災害対応は自治体が独自に行わなければならない。しかし、災害対策のための個人情報利活用の準備が進まない背景には、「誤解」や「過剰反応」の歴史があったことも否めない。基本的な部分を全国統一の法律に定めておくことで、過剰反応問題に終止符を打ち、災害対策などに目を向ける土壌が創られることを期待したい。

■経済界からも2000個問題の指摘

4月27日、新経済連盟(代表理事・三木谷浩史・楽天株式会社代表取締役会長兼社長)は、提言書「マイナンバー制度を活用した世界最高水準のIT国家の実現に向けて」をリリースした。提言書は、マイナンバー制度の徹底活用により効果的なIT投資と効率的な行政を実現することを提言しているが、その「医療・介護・健康分野でのマイナンバー制度の利活用」の項目において、「医療・介護・健康分野へのマイナンバー制度の利活用拡大をさらに進めていくためには、個人情報保護に関して2000近い法令(自治体、政府機関、独立行政法人等)をひとつの法令などに統合することも検討しないといけない」と明確に指摘している。詳細な手法には言及していないが、少なくとも「2000個問題」が官民連携の弊害になっているとの認識が広まりつつある。

■自治体の条例をまとめる自治体個人情報保護法は誕生するか~中央集権ではない新しい「地方創生」のかたち

1984年に福岡県春日市が日本初の個人情報保護条例を成立させたことをきっかけに、各自治体が条例制定を競い合った。これに対し、「個人情報保護法」の制定は2003年(全面施行は2005年)である。法律制定時に既存の個人情報保護条例との抵触を避けたことが原因で、国、自治体、独立行政法人、企業等の個人情報取扱事業者等の各保有主体別の規律という複雑な法令構造が生まれてしまった(学術的な見地から分析するものとして湯淺墾道「個人情報保護法改正の課題─地方 公共団体の個人情報保護の問題点を中心に─」がある)。自治体の個人情報の取扱いは、あくまで「個人情報保護条例」に委ねられたのだ。

では、そのような個人情報保護条例の基本部分について統一を目指す「自治体個人情報保護法」は、地方分権の流れに逆行して「地方自治の本旨」に抵触することになるのか。いや、そうではないだろう。既に指摘した官民の医療福祉連携の課題、医療ビッグデータの利活用への障壁、災害対策の推進、などを考えれば、基本的な部分はオールジャパン・ルールのほうが望ましいのではないかと筆者は考える。今後、個人情報保護法やマイナンバー法などの改正が行われる都度、これに応じた条例改正手続が必須となるが、「自治体個人情報保護法」というクッションをおくことで、手続的煩雑性を回避するメリットも生まれるのではないか。最低限のナショナルミニマムを整理し、一方で条例による上乗せ、横出しによるプライバシー強化も認めることで、国と自治体の適切な役割分担ができるのではないだろうか。

「自治体個人情報保護法」は、地方自治の本旨を脅かすのものではなく、むしろ自治体側から国に積極的に政策提言を行う、新しいかたちの「地方創生」の一場面であると考えたい。