新年の初仕事として、1月4日、自己情報の外部提供中止を求める請求を起こしました。提供の中止を求めるのは、戸籍事項等の個人情報16項目。練馬区は、マイナンバーカードを使ったコンビニでの証明書発行をこの4月から始める予定にしていますが、この事業を実施するために私の個人情報を提供しないように求める請求です。
練馬区の個人情報保護条例では、個人情報を目的外利用または外部提供できる場合を厳格に定めています。一つは、本人の同意がある場合。もう一つは、本人の同意がなくても以下のいずれかの条件を満たす場合です。(条例16条3項)
(1) 法令等に定めがあるとき。
コンビニでの証明書発行のためには、区が保有・管理する個人情報を、区から外部の事業者・団体に提供しなければなりません。具体的には、区の説明によると、練馬区→富士通のデータセンターに置かれた練馬区のサーバー→J-LIS(地方公共団体情報システム機構)→コンビニ事業者→各コンビニの端末という形で、個人情報は流れていきます。区以外のものに情報が提供されるので、当然、条例に定める外部提供に当たります。さらには、この外部提供はオンラインで行われるので、条例の言う「電算結合」にも該当します。
上に紹介した16条の規定に照らすと、この外部提供・電算結合が認められる根拠は(5)ということになります。この中で、特に「あらかじめ審議会の意見を聴いて」という条件が満たされていないと判断し、私は外部提供・電算結合の中止を求めることにしたものです。
このコンビニ交付については、昨年5月18日の情報公開および個人情報保護運営審議会に諮問はされていますが、その諮問の内容は、練馬区から富士通のデータセンターへの外部提供・電算結合のみを対象としたものでした。そこから先、J-LISやコンビニ事業者を相手とした外部提供、電算結合は直接には諮問対象とされていません。
これはおかしな話です。現に情報が流れていくのに、そして現にオンラインでつながっていくのに、その相手先である法人・団体は、条例で定める外部提供・電算結合の相手先ではないのでしょうか?
条例の言う外部提供等の相手先とみなすかどうかは、条例の運用上も、また区民の個人情報を保護する権限・責任という点でも、大きな違いが生じます。とくに、J-LISから先、コンビニ事業者での情報管理には、様々な懸念があります。二次委託、三次委託先についても、きちんと条例の対象としていくべきです。
直接の委託相手から先の二次、三次の委託先が条例の外部提供・電算結合の相手と認められるのかどうか。この問題は、今後、特にマイナンバーカードの「活用策」と関連してどんどん外部提供、電算結合が広がっていく可能性が高い中で、条例をどう運用しどうやって個人情報を守っていくかというより普遍的で大きな問題と深く関連してくるものです。
まずは、私の中止請求に対する区の回答が出ることになります。その回答を見極めたうえで、審査会への不服申し立ても含め、条例の解釈・運用のきちんとした整理を求めていこうと思っています。
コメント