プラザみなと

ビジネス交流会｜高齢社会を考える会　

「港区の個人情報とセキュリティの現状と未来」

港区政策経営部
区政情報課長　横山　大地郎氏

　私ども港区では、情報セキュリティの主要な目的は「個人情報の保護」と位置づけて取り組んでおります。個人情報保護の制度はどういうものかをお話した後、港区が個人保護条例に基づいて取り組んでいる現状についてお話をさせていただきたいと思います。

Ⅰ．個人情報保護制度

　プライバシー権の確立から自己情報コントロール権への流れについてですが、アメリカではプライバシーの権利は1900年ごろから確立されていたと言われています。
日本で問題になったのは、『宴のあと事件』の判例です。これは小説の中で、実名ではないのですが、主人公の経歴とか、料亭のおかみさんとの関係、夫婦の寝室、家庭の状況等、あたかも事実かのような形で小説の中に取り上げられているとして、当時の状況としてもまた、モデルはだれかがわかってしまうということで裁判になりました。一審では、私生活上の事実または事実らしく受け取られる事柄だと、ここで注意していただきたいのは、事実らしく受け取られることも含めてプライバシーの権利の内容になっていると、判決で言ったことです。
　一般の人を基準にして、その人が公開を欲していない、また知られたくないと思われる内容であること。一般の人々に知られていないこと。これが後でお話しする個人情報とプライバシーの権利との一番大きな違いです。

自己情報コントロール権
　それが時代の流れの中で、自己情報コントロール権へと流れていくわけですが、コンピュータ技術の進展とともに確立していきました。

　コンピュータ技術の発展とともに、いろいろな情報がいろいろなところに蓄積されていきます。そして、例えば「横山大地郎」という一つのキーワードで、いろいろな情報を集約することによりある人間像が一人歩きしていく。

　こんな話があります。ある10階建てのマンションの1007号室に住んでいる男性は、いつも出かけるときはエレベーターで１階まで降りるが、なぜか帰ってくるときは７階で降りて階段を使って10階まで登って行くという事実があった。ある人が推測して、運動不足でコレステロール値や中性脂肪が高くて、運動不足解消のために階段を上がっている人じゃないかという人間像ができるわけです。ところがこの話は、実は、幼稚園にあがったくらいの小さな男の子で、降りるときは１階のボタンを押せるが、帰って来て上がるときは、背伸びをしても７階のボタンのところまでしか手が届かなくて、歩いて登っていたという話があります。

　このように、いろいろな情報を一つの名寄せで集めてきたとき、本人とは全く違う人間像ができ上がります。これが信用情報などで、あの人は、ちょっと……ということになると、その人との信用取引が止まるような話にもなってきかねません。

　本来の自分の情報は自分のものである。正確な自分像を流通の中に置く権利がある。自分の情報が、こんなふうに使われるのは心外だからやめたいという権利はあるのではないかということで、自己情報コントロール権は自己情報の開示・訂正・抹消請求権を含んでいるという考えに進んできました。

　その意味では、我々の条例は平成５年当時から個人情報保護法の内容を先取りした形で運用してきています。いちばんの違いは、個人情報保護条例の中で、情報の収集とか管理について、我々公務員には法律上の守秘義務があり、個人情報の漏洩行為等をした場合は、１年以下の懲役または３万円以下の罰金です。さらに昨年４月以来、個人情報の重要性に鑑み飛躍的に重くしています。

プライバシーと個人情報
　プライバシーの権利というのは、知られていないことが一つの要素だと言いましたが、自己情報コントロール権、それから個人情報という形で位置づけるようになってきたものは、知られていようがいまいが、個人情報は個人情報という考え方に立っています。住所・氏名は仮に誰が知っていても個人情報の位置づけになるので、保護の対象になります。

　プライバシーというと主観的で、知られたくないといったあいまいな基準がありますが、個人に関する情報ということで公知性があろうがなかろうが、特定の人が確定できる限り個人情報という考えになってきています。

Ⅱ．港区個人情報保護条例

港区個人情報保護条例の構成

① 個人情報の厳格適正な管理に関する規定
② 自己情報コントロール権に関する規定
③ 救済手続・雑則に関する規定

以上の３つからなっていますが、主に港区が管理している個人情報をどういうふうに扱っているか規定しているわけです。この個人情報保護条例についてはそれだけにとどまらず、区民の方、事業者の間で生じたトラブルの苦情処理の案件、事業者の不適切な取扱があったという訴えがあった場合、区の条例に基づいて指導・勧告ができるという規定があります。なおかつ、是正されない場合には公表できるというおまけまでついています。
これは、港区役所内の管理にとどまらず、港区内の個人情報の保護の適正な推進も視野に入れております。
業務の委託等に関する規定

(1) 業務の委託・指定管理
　個人情報を取り扱う業務については、港区には個人情報保護審議会があって、大学の先生方に、システムの開発とか個人情報を取り扱う区民サービスの一部を民間に委託する場合に、個人情報が必要最小限で、かつ委託先で適正な管理ができるかどうかを審議して答申をいただくことになっています。この場合、委託先がプライバシーマークを取得しているかどうか聞かれることはありますが、プライバシーマークがなければ絶対にだめだという答申はありません。プライバシーマーク取得済みであればもちろん、取得申請中であるとか、個人情報保護が適切に行われているところを対象に委託するようにという意見が付されるという状況です。
(2) 受託者の責務
・適正な管理のための必要な措置
・受託業務の範囲を超えた個人情報の加工、再生等の禁止
・守秘義務
　ここで問題になるのは、幾ら規定を設けても、委託業務の管理については区の側にあるので、契約の中に再委託の禁止とか、個人情報の取り扱い状況について監査を行うといった条項を設けて取り決めを行った上で業務の委託をする。必要に応じて検査・監査を行う仕組みもとっています。

(3) 職員・受託業務従事者に対する罰則
　ここで罰則を規定する趣旨は、個人情報の漏洩行為があってからでは取り返しがつかない大きな損害が発生することもあるため、あくまで一般的な予防という意味で、罰則規定を十分認識した上で業務に当たっていくことを通じて、個人情報保護をより一層徹底させていくということにあるのです。
　そこで、委託先の職員にも適用される罰則の条項があり、①個人情報ファイルをどこかに提供した場合は２年以下の懲役または100万円以下の罰金。②職員が不正な利益を図る目的で個人情報を提供、盗用した場合は１年以下の懲役または50万円以下の罰金。③職権濫用による収集についても１年以下の懲役または50万円以下の罰金となっています。
個人情報の管理に関する規定

(1) 目的
　個人情報保護→基本的人権の擁護→区民と区政との信頼関係の確保

(2) 区条例における個人情報
　個人に関する情報で、特定の個人が識別されまたは識別されうるものであって、文書等に記録されているもの。住所とか名前は当然ですが、それ以外のさまざまな情報で、特性のＡさんが識別できるものである以上は、個人情報の位置づけになっています。
　ここでは個人に関する情報ということで、亡くなった方の個人情報は別な観点からの保護が必要ですが、ここには含んでいません。
　個人情報とされるものは氏名、生年月日、収入、趣味、家庭状況、健康状況等です。我々のところで頭を悩ましているのは写真ですが、一般的には風景という位置づけで特定性がないものです。例えば、保育園の行事で一等賞をとったお子さんの写真がホームページに出るのはうれしいが、一般の方も見られる形での掲載は難しいので、保護者しか開けないホームページにするような工夫をしています。

(3) 個人情報の収集と登録
①　収集の制限
・個人情報取扱業務の目的の明確化
・必要最小限の収集
・適法かつ公正な手段
・要注意情報の収集及び電子計算機への記録の禁止
②　直接収集の原則
・個人情報は本人から直接収集することが原則

(4) 個人情報の管理
①　適正管理の原則
・正確かつ最新状態の保持
・漏洩、滅失及び棄損の防止等の措置
　一昨年ですが区で、国民健康保険料の滞納金徴収の嘱託の職員が、滞納者のリストを一部紛失した事件がありました。自転車で回っていた際の事故でした。
　個人情報の紛失というのは、人によるうっかりミスが最も多いので、昨年、個人情報取扱指針で細かいところまで決めて注意を喚起し、遵守していく取り決めを進めています。

港区情報安全対策指針の遵守（内容）
①人的な情報セキュリティ対策
　　職員等の情報セキュリティに関する責任の明確化及び行動指針の遵守による対策
②技術的な情報セキュリティ対策
　　情報システムへの不正アクセス、コンピュータウィルス等から保護するための対策
③物理的な情報セキュリティ対策
　　情報システムの設置されている場所へ不正な立ち入り、機器の損傷等から保護する
　　ための対策

①は、職員の責務を明確にするとか、自分のパスワードを漏洩した場合には守秘義務違反になるといった人間の管理の及ぶところの取扱管理です。
②は、外部とのシステム結合は禁止で、港区の庁内ＬＡＮについては外部とのネットワークの接続は、ウィルス対策もあってしていません。全国の自治体が結んでいるＬＧＷＡＮというネットワークには接続しています。
③は、指紋認証を取り入れて入退の管理を実施しています。
　こうしたことが細々とありますが、究極は人間のミスにかかわってきます。

(5) 個人情報の利用
①　適正利用の原則
②　目的外利用の制限
③　外部提供の制限
【目的外利用の制限】→区の機関内であっても、業務の目的の範囲を超えた利用の禁止。
【外部提供の制限】　→区の機関以外のものへの提供の禁止。
自己情報コントロール権に関する規定

(1) 自己情報の開示、訂正、削除等
①　開示の請求
　港区では、区に保有されている自己情報について開示、訂正、削除の請求を認めていますが、例外的に開示しないことがあるのは、本人が生命や健康や財産を害するおそれがあるとき、極端に不安に陥れるときは開示しません。
②自己情報の存否に関する情報
　自己情報の存在の有無を応えるだけで非開示事由に該当する情報を開示したのと同じようになるときは、存否に答えることを拒否できる。例えば、自分の病気（末期がん）に関するもの」の開示請求等については、「あるかないか答えられません」という回答ができるとことを、条例上も認めています。
③訂正の請求
④削除の請求
⑤目的外利用等の中止の請求
　収集目的とは全く違った使われ方をしているとか、違法に集めているとか、間違っているという場合には、事実の確認をした上で、削除・訂正の請求を認めています。
救済手続・雑則に関する規定

　昨年４月１日を挟んで、民間の事業者さんや区民の方からの相談事例が非常にふえています。一応、窓口を設置していますので、ご相談していただければと考えています。
①　事業者等への支援
　事業者や区民に対する適切な情報提供や個人情報保護対策に関する相談等を行う窓口の設置をしています。
②苦情処理の斡旋
　相談窓口：区政情報課個人情報保護・情報公開担当（3578-2111 内線2082）で受付。
　苦情処理機関への斡旋や、消費生活等の相談窓口や他団体との連携による相談に対応。
③事業者に対する指導、勧告等
　是正や中止の指導、勧告、事実の公表等を行います。
まとめ

　こういった体系の中で、港区は個人情報の保護に万全を期すべく取り組んでおります。
①　個人情報の考え方
　そもそも昔は個人情報の漏洩はなかったのかというと、昔の生活様式、生活環境の中では、なかなか個人情報の保護がどうのということは問題にならなかっただろうと思います。かつては、薄い板一枚を挟んでのお隣さんとの生活ですが、お互いが干渉しながらも暖かい目線でお互いに見守っている状況があったと思います。
　今日では、厚いコンクリートの壁で個人の生活は隔絶され、いわゆるプライバシー、自分の生活が確立されている生活様式になってくる中で、個人情報に対する意識が高まり、その流れの中で個人情報保護法が制定されていったと思います。
　事業者側からみれば、顧客や消費者から預かった情報は、消費者を無視して個人情報を取り扱うことは許されないし、区としては区民情報・区政情報は、区民から預かった貴重な情報で、区民共有の財産であるということで、厳格・適切に扱わなければいけないという位置づけになってきています。
②　こうした流れの中で、個人情報保護法、個人情報保護条例の考え方としては、
・個人情報収集時に利用目的を明確にする
・情報漏洩の契機となりうる目的外利用・第三者への提供に関する本人の同意。
・情報主体からの開示・苦情処理体制の整備
　この３本柱を中心に保護の充実に取り組んでいるところです。

　これからも港区としては、個人情報の漏洩、流出といった大きな事故を未然に防ぐような形で、個人情報の保護、情報セキュリティに取り組んでまいりたいと思いますので、皆さんのご協力をお願い申し上げます。　ありがとうございました。（拍手）

▲このページのTOPへ