ヘッドライン

■ところ変われば条例変わる~武雄の図書館騒動を見て草加市個人情報保護条例を紹介してみる【追記あり】

今回の結論をまず先に。
・埼玉県草加市の個人情報保護条例の下ではカルチュア・コンビニエンス・クラブが指定管理者として図書館運営をしても個人情報の扱い方という点ではほとんど従来どおりのやり方しかできません。
・草加市個人情報保護条例の下でもし貸し出し履歴をマーケティングに使ったら下手したら懲役です。

 武雄市がカルチュア・コンビニエンス・クラブに指定管理者として市立図書館の運営をさせる方針を打ち出していることを聞いて私は個人情報保護がとても気になった。貸し出し履歴を使ってリコメンド(推奨)までするというのだからなおさらだ。とりあえず地方自治の世界では割と有名な埼玉県草加市の個人情報保護条例と武雄市の個人情報保護条例を比較してみた。それぞれの原文はこちら。
武雄市個人情報保護条例
草加市個人情報保護条例
 この記事をお読みになるに当たってはそれぞれの条例のページを別ウィンドウで開いたままにしておくことを推奨します。以下、個人的な視点に沿って検証して行く。なお、各セクションの冒頭には「要約」を付した。細々とした解説は要らないという方は要約だけ読めばいいように作ってある。ただ、解釈が正しいかどうかを顕彰する際には本文もごらんいただきたい。細々とした解釈が縷々述べてるが解釈の誤りなどはまさにその細々とした部分に潜んでいるからである。

1.個人情報保護制度の目的
要約
・武雄市の個人情報保護条例は個人の権利利益を保護し、公正で信頼される市政を実現することが目的
・草加市の個人情報保護条例は自己の個人情報を管理する権利、個人の権利利益を保障し、公正で信頼される市政を実現することが目的

草加市個人情報保護条例第1条

 この条例は、自己の個人情報を管理する権利を保障し、個人の権利利益の保護を図るため、高度情報通信社会の進展に対応した個人情報の適正な取扱いの確保に関し必要な事項を定め、市が保有する自己に関する個人情報の開示等を請求する権利を明らかにすることにより、より公正で信頼される市政の運営に資することを目的とする。

 武雄市個人情報保護条例第1条

 この条例は、個人情報の適正な取扱いに関し必要な事項を定めることにより、個人の権利利益を保護し、もって基本的人権の擁護と公正で信頼される市政の実現を図ることを目的とする。

 どちらも個人の権利利益の保護は目的として示されている。ただ武雄のほうは個人情報の適正な取り扱いに関し必要な事項を定めることによりとあっさり済ませているところが草加市では個人情報を管理する権利を保障することを示しているのが目に付く。

2.個人情報の定義
要約
・草加市の条例では符号等で識別される情報も個人情報、もちろん他の情報とつき合わせることで個人が識別できる情報も個人情報
・武雄市の条例では情報そのもので個人を識別できるもののみが個人情報

草加市個人情報保護条例第2条第3号

 個人に関する情報(事業を営む個人の当該事業に関する情報を除く。)であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により特定の個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいう。

 番号、記号その他の符号により識別できる場合も個人情報扱いである。もっともその後の括弧書きで他の情報と容易に照合することができてそれにより個人を識別できる場合も個人情報とみなされることとなる。また、個人別に付されたIDナンバーで個人が識別できる場合も当然個人情報に当たり、もちろんTポイントカードのIDで識別できる場合も個人情報となる。草加市の条例の下では武雄市長のように氏名さえ除いてあれば個人情報ではないという言い訳はできないのだ。一方、武雄市の個人情報保護条例第2条第1号は個人情報の定義について次のように定めている。

 個人情報 個人を対象とする情報であって、特定の個人が識別することができるものをいう。ただし、次に掲げるものを除く。
ア 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員に関する情報(当該法人その他の団体の機関としての情報に限る。)
イ 事業を営む個人の当該事業に関する情報

 特定の個人が識別できる情報としているのみであり、IDなどで識別できるのみのときは個人情報ではないということだ。こうして見比べてみると草加市の個人情報保護条例の規定の徹底振りが見えてくる。

3.個人情報保護制度を実施する機関
要約
・武雄市は市の機関のみが実施機関
・草加市は市の機関のほか、外郭団体も実施機関に入れられている
・どちらも指定管理者は実施機関には入っていない

 個人情報保護制度を適用する機関のことを一般に「実施機関」と呼んでいる。この実施機関について武雄市個人情報保護条例は「市長、議会、教育委員会、選挙管理委員会、監査委員、農業委員会、固定資産評価審査委員会及び公営企業管理者」(第2条第2号)としている。要は市の組織すべてということだ。一方草加市個人情報保護条例は第2条第1号のアで「草加市長、草加市議会、草加市教育委員会、草加市選挙管理委員会、草加市監査委員、草加市公平委員会、草加市農業委員会、草加市固定資産評価審査委員会及び草加市病院事業管理者」と定めている。こちらも市の組織全てだ。さらにイで「草加市土地開発公社及び社会福祉法人草加市社会福祉事業団」と定め、外郭団体まで制度の対象としている。草加市の実施機関の範囲の広さには驚く。もっともどちらも指定管理者は実施機関ではないので指定管理者には制度が及ばないのであるが…草加市は別の方法で指定管理者に網を被せている。詳細は後述。

4.目的外使用・外部提供の制限
要約
・本人同意、法令等の定め、出版・報道等で公になっている場合、身体・生命の保護のための緊急の必要がある場合はどちらも目的外使用・外部提供可能
・武雄市はそのほか公益上の必要その他相当の理由があり、本人の権利利益を不当に侵害するおそれがない場合も可能
・草加市は本人同意等の場合のほか公益上特に必要がある場合、かつ本人の権利利益を不当に侵害するおそれがない場合に限定
・草加市は公益上特に必要があるという理由や生命・身体等の保護のために外部提供・目的外使用をした場合は本人に通知する。

 個人情報を目的外使用・目的外使用できる場合について見てみる。武雄市個人情報保護条例は次のように定めている(第8条)

 実施機関は、個人情報取扱事務の目的以外に保有個人情報を、当該実施機関内若しくは実施機関相互において利用(以下「目的外利用」という。)をし、又は実施機関以外のものへの提供(以下「外部提供」という。)をしてはならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
(1) 法令等に定めがあるとき。
(2) 本人の同意があるとき。
(3) 出版、報道等により公にされているものを利用し、又は提供することが正当であると認められるとき。
(4) 個人の生命、身体又は財産の保護のため、緊急かつやむを得ないと認められるとき。
(5) 実施機関があらかじめ武雄市個人情報保護審議会の意見を聴いた上で、公益上の必要その他相当の理由があり、かつ、本人の権利利益を不当に侵害するおそれがないと認めるとき。
2 実施機関は、外部提供する場合において、必要があると認めるときは、提供を受けるものに対して、当該保有個人情報の使用方法の制限その他の必要な制限を付し、又はその適切な取扱いについて必要な措置を講ずるよう求めるものとする。

 一方草加市の規定は次の通り(草加市個人情報保護条例第7条)

 実施機関は、個人情報取扱事務の目的の範囲を超える個人情報の利用(以下「目的外利用」という。)又は実施機関等以外の者への個人情報の提供(以下「外部提供」という。)をしてはならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
(1) 本人の同意があるとき。
(2) 法令又は条例に定めがあるとき。
(3) 出版、報道等により公にされているとき。
(4) 個人の生命、身体、生活又は財産を保護するため、緊急かつやむを得ないと認められるとき。
(5) その他実施機関が審議会の意見を聴いて公益上特に必要があり、かつ、本人の権利利益を不当に侵害しないと認めるとき。
2 実施機関は、前項第4号又は第5号の規定により目的外利用又は外部提供をしたときは、速やかにその旨及び内容を本人に通知しなければならない。ただし、審議会の意見を聴いて本人に通知する必要がないと特に認めたときは、この限りでない。
3 実施機関は、外部提供をする場合において、必要があると認めるときは、外部提供を受ける者に対し、当該個人情報の使用目的若しくは方法について制限を課し、又はその適正な取扱いについて必要な措置を講ずるよう求めなければならない。

 どちらも第1項に目的外使用ないし外部提供をできる場合について定めている。本人の同意があるとき、法令に規定があるとき、出版・報道等により公になっているもの、生命または身体の保護のために緊急かつやむを得ないとき、ここまでは共通だ。その次が武雄市は「公益上の必要その他相当の理由があり、かつ、本人の権利利益を不当に侵害するおそれがないと認めるとき」、草加市は「その他実施機関が審議会の意見を聴いて公益上特に必要があり、かつ、本人の権利利益を不当に侵害しないと認めるとき」となっている。両者とも審議会の意見を聞かねばならないことは共通である。違うのは武雄市が相当の理由があれば利用できるのに対し草加市は公益上特に必要がなければ目的外使用ないしは外部提供ができないということだ。図書館の貸出履歴はもともと蔵書管理のためのデータであり、それを本人の同意なくして選書やおすすめ図書の提示のために使用することは草加市の条例下では不可能である。もっとも選書やおすすめ図書の提示も蔵書管理もどちらも図書館の運営という目的なのは一緒だという解釈をとるなら別であるが。
 そのほかに違いがあるのは草加市の条例では公益上の特に必要ないし生命や身体の保護のために外部提供ないしは目的外使用をしたときは本人通知が必要だと定めていることだ。この点、武雄市の個人情報保護条例はまったく規定を欠いている。

5.コンピューターによる個人情報処理の制限
要約
・武雄市は個人情報のコンピューター処理は必要な範囲内で行うことという制限あり。また、センシティブ情報のコンピューター処理は法令等の定めがあるとき、または特に必要がある場合に限る。
・草加市は何ら規定を置いていない。もっともコンピューターの外部接続は別途規定あり(武雄市も同様)。

 こちらは草加市の条例にはまったく規定がないのだが武雄市の条例には規定が置かれている。武雄市の個人情報保護条例は次のように定めている(第9条)。

 実施機関は、保有個人情報を電子計算機処理するときは、その所掌する事務の目的達成に必要な範囲内で行わなければならない。
2 実施機関は、第7条〔引用者注…センシティブデータ〕に規定する個人情報の電子計算機処理を行ってはならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
(1) 法令等に定めがあるとき。
(2) 前号に掲げるもののほか、実施機関が武雄市個人情報保護審議会の意見を聴いた上で、特に必要があると認めるとき。
3 実施機関は、新たに保有個人情報の電子計算機処理を行おうとするときは、あらかじめ武雄市個人情報保護審議会の意見を聴かなければならない。

 武雄市ではセンシティブ情報は特に必要があると認められない限りコンピューター処理することができない。こちらは珍しく武雄市の方が保護が手厚い。

6.開示対象となる個人情報
要約
・武雄市は実施機関の職員が作成した文書に書いてある個人情報のみが対象
・草加市は実施機関の職員のみならず指定管理者が作成した文書に記されている個人情報も対象
・上記の定義は訂正等の要求等にもそのまま適用される

 開示する個人情報の範囲を見てみよう。非開示とできる理由はどちらも大差がない。大差があるのは対象となる文書の範囲である。武雄市は「公文書に記録されている自己に関する個人情報」としている(第13条第1項)。そして公文書の定義として「実施機関の職員が職務上作成し、又は取得した文書、図画、写真、マイクロフィルム、磁気テープその他これらに類するもので、当該実施機関が管理するものをいう」としている。もちろん指定管理者が保有する個人情報は対象外である。一方草加市は「自己に関する実施機関の個人情報」とさらっとした書き方。しかしこれは一般的な用法ではない。実施機関の個人情報については第2条第9号に「実施機関が保有する公文書に記録された個人情報をいう」と定めがあり、ここでも公文書の定義が問題となる。公文書の定義は第2条第8号に次のように定めがある。

公文書 次に掲げるものをいう。
ア 実施機関の職員が職務上作成し、又は取得した文書、図面、写真、フィルム及び電磁的記録であって、当該実施機関の職員が組織的に用いるものとして、当該実施機関が保有しているもの
イ 実施機関の公の施設において、指定管理者の役員、職員等が当該管理業務の執行上作成し、又は取得した文書、図面、写真、フィルム及び電磁的記録であって、当該指定管理者の役員、職員等が組織的に用いるものとして、当該指定管理者が保有しているもの

 なんと、指定管理者が作成し指定管理者が保有する文書も公文書となるのだ。しかしここで問題。公文書の定義上は指定管理者が保有する文書は公文書なのだが、「実施機関の個人情報」は「実施機関が保有する」としている。ここに齟齬が見られる。指定管理者が保有する個人情報は対象なのかそうでないのか?この点につき草加市が作成した情報公開制度・個人情報保護制度の手引を調べてみたいと考えている。もっともおそらくは指定管理者の保有する個人情報も「実施機関の個人情報」に入るのではないかと見てはいるのだが。
 この違いが何を意味するか?早い話が指定管理者が保有する個人情報を開示請求できるかどうかという点に違いがあるのだ。武雄市の条例では開示請求できないが草加市の条例では開示できる。さらに草加市の条例では「実施機関の個人情報」につき訂正請求や目的外使用の停止請求、削除請求ができることとなっている。かなり広い範囲である。もちろん武雄市の条例でもこれらの請求はできる訂正請求も「公文書に記録されている個人情報」、目的外使用の停止請求や削除請求は「保有個人情報」、すなわち「実施機関の職員が職務上作成し、又は取得した個人情報であって、当該実施機関の職員が組織的に利用するものとして、当該実施機関の公文書に記録されているものをいう」(第2条第7号)でありつまりは指定管理者が持っている個人情報は請求対象外である。

7.委託業者への規制
要約
・武雄市の条例では委託業者や実施機関の職員が個人情報ファイルを正当な理由なく提供したとき、または個人情報を不当な理由で提供ないし盗用したときに罰則規定がある
・草加市の条例では委託業者が不正な利益を図る目的で盗用ないしは漏らしたら罰則
・草加市の条例ではただ単に漏らしただけで罰則
・このほか草加市の条例では不当な目的で個人情報を利用してはならない

 この点につき、さすがに武雄市も規定を置いている。「実施機関の職員若しくは職員であった者又は第12条第1項の委託を受けた事務若しくは公の施設の管理に関して行う事務に従事している者若しくは従事していた者」が個人情報ファイルを正当な理由なく提供したら「2年以下の懲役又は100万円以下の罰金」(武雄市個人情報保護条例第36条)、「実施機関の職員若しくは職員であった者又は第12条第1項の委託を受けた事務若しくは公の施設の管理に関して行う事務に従事している者若しくは従事していた者」が「自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したとき」は「1年以下の懲役又は50万円以下の罰金」(同37条)である。本来この規定さえあれば例えば図書館業務を受託したカルチュア・コンビニエンス・クラブが図書館の業務以外の事業のマーケティングに使えば違法になるはずである。武雄市の条例もそれなりに厳しいのだ。市長さんは何を考えているのだろうか。
 一方草加市は徹底して委託業者を規制している。まず第10条第3項で「個人情報取扱事務受託者等若しくはその役員、職員等又はこれらの者であった者は、その事務又は業務に関して知り得た個人情報に関する秘密を漏らし、又は不当な目的に利用してはならない」とし、「不当な目的」で個人情報を利用してはならないとしている。これを受けて第47条第3号は「第10条第3項の規定に違反して、その事務又は業務に関して知り得た実施機関の個人情報を自己若しくは第三者の不正な利益を図る目的で漏らし、又は盗用した者」に対し「1年以下の懲役又は50万円以下の罰金に処する」としている。これは武雄市個人情報保護条例の第36条にほぼ相当する。さらにダメ押しで草加市の条例は「第10条第3項の規定に違反して秘密を漏らした者」を「1年以下の懲役又は3万円以下の罰金に処する」としているから不当な目的と認められなくても漏らしただけで懲役である。草加市の条例ならさらにマーケティング目的での個人情報使用が罰則規定に触れる危険性が高い。まあ図書館職員だけでマーケティング分析するのなら別なのではあるが。結局のところ図書館業務を受託しても館内で選書に使う、おすすめ図書を提示する程度が個人情報を使用できるギリギリということになる。

8.市外犯の規制
要約
・草加市の条例は全国でも珍しく罰則に触れる行為を市外で行ったものをも処罰できる規定を置いている

 草加市の条例で特徴的なのは罰則規定につき市外で罰則規定に触れる行為をした者に対しても適用するとしていることである。一般に条例というのは当該自治体の範囲内での適用なので市外犯にも適用するという規定がなければ区域外で犯罪を犯したものには適用されないのだ。わかりやすく言えば武雄市条例で犯罪になる行為を武雄市外で行った場合には犯罪にはならないというのに対し草加市個人情報保護条例によれば犯罪になる行為を草加市外で行った場合には犯罪になるのだ。

 以上、長々と書いて来たがこれが何かの参考になれば幸いである。

〔追記 2012.6.28〕
 今日午後私が住んでいる自治体の個人情報保護担当に電話で聞いてみたが受託業者が自社のマーケティングのために自治体から預かっている個人情報を使うなんてことは普通はないと言っていた。冷静に考えたら当然の間隔で、これをまともに議論しなければならないというのは異常事態である。
スポンサーサイト

テーマ:地方自治体ウオッチング - ジャンル:政治・経済

■コメント

■コメントの投稿

管理者にだけ表示を許可する

 

プロフィール

資料屋

Author:資料屋
ブログ名変えた(2011.4.24)。落ち着かないなあ。

月別アーカイブ

FC2カウンター

ブログ内検索

ブロとも申請フォーム