システム上の閲覧権限がないことにすれば個人情報を保有していないのか

未分類

新型コロナについての政府システムを調べている際に、おやと疑問に思う個人情報の取扱いがあったので、記録にまとめておく。政府システムで個人情報を管理しているが、閲覧できないように設定しているので、政府は個人情報を保有していないという整理である。

ワクチン接種記録システム(VRS)

行政機関個人情報保護法・独法個人情報保護法では、個人情報ファイルを保有する場合に、個人情報ファイル簿の作成・公表義務がある(同11条1項)。ところが、ワクチン接種記録システム(VRS)1を運用するデジタル庁は、個人情報ファイル簿を公開していない。ワクチン接種に関する個人情報を保有していないと解釈しているのである。

私は、個人情報ファイル簿が公開されていないことを不思議に思い、迷惑だろうと思いつつ、デジタル庁に電話で確認した。デジタル庁は、同システムは自治体が入力した個人情報を運用主体である政府が閲覧できないようになっており、政府は個人情報ファイルを保有していないとの理由で、個人情報ファイル簿を作成・公表していないとのことだった。

これは「保有」の解釈問題である。

行政機関個人情報2条5項の「保有」について、「その利用、提供、廃止等につき決定権限を有し、当該情報を事実上管理していることをいう」2と解釈されている。直接問題なのは同法11条の「保有」だが、同じ解釈と考えていいだろう。また、この「保有」と関連して、個人情報保護法の「取得」は、事実上の支配を意味すると解釈されている3

VRSでシステムを設置・運用するデジタル庁が個人情報を「保有」していない、すなわち事実上管理・支配していないと考えることができるのだろうか。

VRSでは、デジタル庁が管理するシステムに個人情報が記録され、ただ、システムのアクセス権限としては、デジタル庁職員が閲覧できないようにデジタル庁が設定しているに過ぎない。デジタル庁は、その権限によりシステムの設定を変更することで、いつでも個人情報を閲覧できるのである。これはまさに個人情報の「利用、提供、廃止等につき決定権限を有し」ており、事実上管理・支配している状態に他ならない。仮に、市町村が保有する秘密鍵によって暗号化するといった措置が取られているのであれば別論で、その場合にはデジタル庁は市町村の意向を無視して当該情報を閲覧できず、これを事実上支配していないと考えられるが、そのような手法はとられていないと思われる。

HER-SYS

同様の問題は、新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)4でも生じているようだ。

HER-SYSの仕様はよく分らないのだが、市町村が個人情報を入力し、厚生労働省はこれに基づいて統計情報を管理・作成する5。個人情報ファイル簿は公表されていない6

聞いたところによると、厚生労働省は個人情報を閲覧できないようになっているそうである。

しかし、厚生労働省のQ&Aでは、市町村の入力は、国に対する第三者提供であると位置付けられている(ただし、法令例外で許容される)7「提供は受けるが保有はしていない」という立場だろうが、矛盾していると言わざるを得ない。

データ最小化の原則

GDPR5条1項(c)では、データ最小化の原則(Principle of Data Minimization)を採用している8

個人データは、処理の目的との関係で、十分で、関連があり、必要な範囲に限定されなければならない(データの最小化)

その影響もあるのか、「個人情報を持つと色々ややこしいから、なるべく持たないようにしたい」という傾向を感じることがある。

しかし、必要な個人情報を保有することを前提に、利用目的、セキュリティなど適切な取扱いを担保する方向性で考えた方が生産的なのではないか。どうも「持ちたくないから持たないことにしよう(持たないとは言っていない)」というのは欺瞞的でよろしくない。

アクセス権限なしと設定すれば「保有」していないことになるというのは、GDPRでは「管理者」(Controller)の認定の問題でもあると思う。管理者は、個人情報処理の目的と手段を決定する主体である9。アクセス権限がないと設定しても、アクセス権限を決定するのはシステムを設置・運用する政府なんだから、政府が管理者として責任を負うべき場面であることは間違いないし、個人情報ファイル簿の公表くらい忙しくてもやったらどうだろうか。

(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data;
「管理者」とは、個人データ処理の目的と手段を単独又は他者と共同で決定する、自然人または法人、公的機関、機関、またはその他の機関を意味する。

この件はあまりちゃんと調べていないので、とりあえず、疑問点を明確化するために現時点の認識を記録しておくことにする。

コメント

タイトルとURLをコピーしました