参院本会議で7月10日、「情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案」(デジタル行政推進法等改正案)及び「個人情報の保護に関する法律等の一部を改正する法律案」(個人情報保護法改正案)に対する採決が行われ、採決に先立ち「立憲民主・無所属」を代表して岸真紀子議員が討論に立ちました。
岸議員の予定原稿は以下の通りです。
なお、本改正案は、与党などの賛成多数で可決・成立しました。
立憲民主・無所属の岸真紀子です。
私は、会派を代表して、ただいま議題となりました「デジタル行政推進法等改正案」に賛成、「個人情報保護法改正案」に反対の立場から討論を行います。
まず、デジタル行政推進法等改正案に賛成しますが、国等データ活用事業計画の認定に際しては、個人情報保護の観点から適正に事業者及び事業計画を審査し、国の行政機関等が提供するデータに個人情報が含まれる場合は、当該個人情報の削除、匿名化又は仮名化を行い、データの最小化を通じた個人情報の漏洩リスクの低減を徹底するよう慎重な対応を求めます。また、自治体に過度な負担とならないよう、財政支援も含めた必要な措置を行うようお願いします。
次に、「個人情報保護法改正案」に反対する理由について、論点を絞って申し上げます。
立憲民主党は、国際競争力の強化や深刻な労働力不足の解消といった観点からも、AI開発は重要であり、人々の暮らしを豊かにする技術の進展に期待を寄せています。だからこそ、国民のための行政と社会のデジタル化には、個人情報保護とセキュリティの確保が必要不可欠です。
反対する理由の1つ目は、入口規制の緩和への懸念です。
本法案は、人工知能(AI)開発やビッグデータへの活用を含む「統計作成等」を目的とすれば、本人の同意なく、(1)公開されている病歴や犯罪歴などの要配慮個人情報の取得、及び、(2)個人データ等を第三者である事業者に提供することを可能とする、いわゆる「統計特例」を設けることが柱となっています。しかし、この統計特例は、これまでの個人情報保護という概念を根底から覆してしまうほど、個人の権利利益をないがしろにしており、強い懸念を拭うことができません。
人種、信条、病歴、障害、犯罪歴、犯罪被害などの「要配慮個人情報」は、差別や不利益に直結しかねない、最も慎重に保護されるべき機微な情報です。本人の同意がなければ第三者への提供は許されず、法律によって厳しく規制してきました。
ところが、今回の改正が行われれば、例えば、病院などが持つ非公開の要配慮個人情報を含む、名前や住所付きの病歴といった生データを、本人の同意なく第三者の事業者に渡すことが可能となります。
統計特例の適用には、「個人の権利利益を害するおそれが少ない」ことが前提とされているものの、具体的な内容は、法案成立後につくられる個人情報保護委員会規則やガイドラインに委ねられているだけであり、これでは事業者の不適切な取扱いや悪質な事業者を排除することが困難であると考えます。
実際に、どのような情報がどれだけ渡されることになるのか、どのように使われるのか、本人も国も事前に知ることができません。松本大臣の答弁では、ガイドライン等で分かりやすく示すことや、公表の在り方にも言及されていますが、あくまでも提供元事業者と提供先事業者の合意内容に委ねられており、事前に本人も国も関与することはできません。
さらに、個人の機微な情報を第三者へ提供する際に、名前や住所など必要のない情報を除くといった「個人情報の最小化」や「匿名加工」「仮名加工」が明確に義務付けられていないことも、大きな問題です。
個人情報保護委員会の公表によると、2025年度に報告された個人情報漏洩事案は19,417件となっています。また、直近のケースでは、ある企業で不正アクセスにより1,200万人を超える情報が流出したとの報告もあります。急成長する生成AIを悪用したサイバー攻撃による情報流出の脅威が高まる時代に入り、データ利活用に当たっても慎重さが必要になっています。
病歴なども含めた生データが第三者の事業者に提供される以上、漏洩や悪用の危険性があるにもかかわらず、法案には、提供先事業者への事前審査や国の許認可制度といったものもありません。機微情報が流出するおそれを高める規制緩和をしておきながら、事業者に対する最低限の審査すらしないのは、国として無責任であり、個人情報保護は名ばかりとなってしまうのではないでしょうか。
入口の規制が大幅に緩和される以上、プライバシー侵害や漏洩した場合のリスクを軽減するためには、少なくとも「本人の同意を得ない要配慮個人情報を第三者に提供する規定は削除すべきである」として、立憲民主党、公明党、沖縄の風の3会派共同で修正案を提出しましたが、残念ながら否決されました。
しかし、人種、信条、社会的身分、病歴、障害、犯罪歴、犯罪被害などの、他人に知られたくない機微な情報を本人の同意なく提供することは極めて問題であり、立憲民主党は断じて認めることはできません。
反対する理由の2つ目は、本法案により、個人情報の流通ルートである入口が大幅に広がる一方で、出口である流出時の事業者に対するペナルティが不十分だからです。
政府の答弁では、統計特例に基づく制度の適切な運用を担保するため、個人情報保護委員会において、特例の公表内容等の把握を通じてモニタリングを実施し、不適切な取扱いが確認された場合には、速やかに是正などの対応を行うとしています。これでは、何か問題が発覚しない限り、国の関与はないということになります。
個人情報の漏洩や流出が犯罪被害につながることもあり得ます。漏洩等によって利益を得ようとする事業者のモラルに委ねるのでは、犯罪被害から個人の権利利益を守ることは難しく、個人情報を守るための法律としては規制が欠かせません。
本法案により「課徴金制度」が新設されますが、金額や範囲が限定的であり、事業者に対する抑止効果が実際にどの程度となるのかについては懐疑的です。
せめてもの抑止策としての団体による差止請求制度及び被害回復制度についても、全国消費者団体連絡会から強い要望があったにもかかわらず、今回は見送られており、これではAI開発と個人情報保護のバランスは崩れています。
民間企業であれば、生成AIの活用に伴う情報漏洩対策として、自社の機密情報は入力させないことや、入力したプロンプト(AIに対して与える「指示や質問」)が収集・分析されている点を、従業員に周知徹底しているのではないでしょうか。
企業は、生成AIには情報漏洩があり得ると考えているから対策を取るのであり、実際に、意図的ではなくともバグによる流出や、他社にプロンプトが流出したというケースも起きています。政府は、AI開発であったとしてもリスクが高いと、なぜ考えなかったのか疑問です。
個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的としていると第1条に掲げています。にもかかわらず、政府は「公の利益」という表向きの表現で、ビッグデータを集めようとする事業者の要望のみを優先し、個人の権利利益の保護を著しく後退させようとしています。この改正案は、国民からこれまで一定の信頼を得てきた個人情報保護法を骨抜きにし、法制度の信頼性を失わせ、事業者が個人情報を取得することを困難にしてしまうと言っても過言ではありません。
さらに言えば、AI開発などの統計目的であったとしても、そのAIを適切に使うための国内法の規律が未整備であることも問題です。AIを使ったプロファイリングやアルゴリズムの問題、個人の特定などの課題を置き去りにしたまま、本改正案を成立させることには多くの懸念が残ります。政府には、速やかに、個人特性を分析してターゲティング広告などに活用する「プロファイリング」規制の検討に入ることを求めます。
また、AI開発のためのデータ利活用を進めたいのであれば、むしろ規制を緩めるのではなく、信頼される仕組みを整えることこそが重要であると提言します。例えば、附帯決議にある、個人情報の漏洩リスクを低減させるための「プライバシー強化技術(PETs)」について、その技術動向の調査研究及び事業者による積極的な活用促進を、我が国こそ先行して進め、世界へ発信すべきです。
以上述べたように、個人情報保護法改正案には、個人情報保護という観点から重大な欠陥があることから、反対であると強く申し上げ、討論を終わります。