2020年04月15日 11:02 弁護士ドットコム
新型コロナウイルスが感染拡大する中、プライバシーをめぐるさまざまな問題が噴出している。その一つが、地方自治体が持つ感染者の個人情報だ。防疫のために公開すべきか、プライバシーを保護すべきか、現場では判断が揺らいでいる。
【関連記事:お通し代「キャベツ1皿」3000円に驚き・・・お店に「説明義務」はないの?】
たとえば、3月30日夜に県内初の感染が確認された富山市では、感染者がクラスターの発生した京都産業大学の卒業生だったことから、大学名、性別、年代、行動履歴が明らかにされた。同日夜、この感染者に関する情報をいつ、どこまで公開するかをめぐり、富山県知事と富山市長が対立したとも報じられ、混乱ぶりが伝わった。
現在、地方自治体によって公開される情報には差異が大きい。遺族の意向により、死亡した感染者の性別や年代を公表しないケースもあれば、クラスターの発生を懸念して、感染者の立ち寄り先を実名で公開するケースもある。
なぜ、地方自治体の判断基準はバラバラにみえるのか。情報法制研究所(JILIS)理事長の鈴木正朝新潟大学教授(情報法)に聞いた。(弁護士ドットコムニュース編集部・猪谷千香)
富山市によると、最初の感染者は3月21日、京都産業大学のゼミ卒業祝賀会でヨーロッパに卒業旅行へ行った学生から感染したと考えられる。翌日に富山市の自宅に戻って以降の行動履歴が3月31日、発表された。
市民からは詳細な場所や飲食店名の公表を求める声が寄せられたと報じられたが、富山市はプライバシー保護などのため、感染者が訪れた飲食店の名はまだ明らかにしなかった。ところが、感染者を起点にともに飲食した友人らが陽性と診断され、彼らと濃厚接触した人たちにも感染が広がっていった。
4月4日には、最初の感染者が訪れた飲食店の店員が陽性と判明。富山市は店名を明らかにした。その後、この店に中学生が30人以上訪れていたことがわかり、この中学校は3日間の臨時休校を決定した。富山市は現在、この飲食店で店員が勤務していた時間帯に飲食していた人の中で、症状がある場合は相談窓口に連絡するよう、緊急の呼びかけをしている。
これに対して、感染を不安に思う市民からは「もっと早く店名を公表してほしかった」といった声が上がっているという。
この場合、富山市はどのような基準で感染者の情報を公開するか、判断しているのだろうか。鈴木教授は富山市の個人情報保護条例をひもとき、次のように指摘する。
「富山市の個人情報保護条例には、第11条において、『実施機関は、法令等に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない』と定めていますが、同条2項では『人の生命、身体又は財産の保護のために緊急に必要があるとき』はこの限りではない、としています。
つまり、緊急に必要があるときには保有個人情報を利用したり提供したりすることができます。ここを根拠に、感染者に関する情報を公表したのだろうと思います」
一方で、地方自治体ごとに各個人情報保護条例で感染者の情報を取り扱うことの限界もあるという。何が個人情報に該当し、それをどこまで公表するか、個々の判断は地方自治体ごとに下さなければならないからだ。
たとえば、富山市は県内初の感染者の情報として、京都産業大学の卒業生であることを当初より公表している。しかし、報道によれば京都産業大学に誹謗中傷や脅迫の電話・メールが寄せられているほか、学生や関係者が各地で差別的な扱いを受けるなどの被害が出ているという。
地方自治体と大学側が当初から大学名などを伏せていれば、こうした事態を避けられたかもしれない。しかし、一方でクラスター発生の懸念もあったため、早急な情報公開は必須だったという声もある。
「何をどこまで公表するか。その判断は、個人情報の保護と公衆衛生上の必要性のほか、本人のデータプライバシーの保護やメディアの報道の自由など、それぞれの価値と価値との比較衡量など専門的な見地から行う必要があります。しかし、その判断を地方自治体ごとにバラバラに委ねるべき問題なのか、地域の特性を尊重すべき問題なのかと疑問に思っています」と鈴木教授は話す。
「地方自治体に任せれば、当然、地方自治体ごとに対応にブレが出ます。そもそも、何が個人情報なのかの定義も地方自治体ごとにバラバラです。また、個人情報保護法では、差別につながるため、特別な取り扱いが求められる『要配慮個人情報』を定めていますが、それもバラバラです。
平成27年度と令和元年度の法改正では、個人情報の利活用促進のために匿名加工情報や仮名化データの制度が定められましたが、それに対応する規定を設けた地方自治体はほとんどありません。定義ですらこれほどまでにバラバラなのに、国民に等しく情報を提供できるわけはありません。
広域災害やパンデミックといった問題に対しては、国が統一的なデータ収集と公表の基準を機動的に定めるべきです」
個人情報に関する法律や条例の複雑な構造も、地方自治体のバラツキや対応の難しさに拍車をかけている。
日本の個人情報保護法制は、およそ2000個にも及ぶ法律と条例群によって構成されている。まず、「個人情報の保護に関する法律」(個人情報保護法)、「行政機関の保有する個人情報の保護に関する法律」(行政機関個人情報保護法)、「独立行政法人等の保有する個人情報の保護に関する法律」(独立行政法人等個人情報保護法)の3つの法律がある。
これに、1912の普通地方公共団体(47都道府県、786市・757町・184村、23特別区)、それに100を超える特別地方公共団体(広域連合、一部事務組合等)の「個人情報保護条例」も加わる。
こうしたあり方がどのように作用するか。
たとえば、医療データを取り扱う場合、国立感染症研究所は「行政機関個人情報保護法」、国立大学の病院は「独立行政法人等個人情報保護法」、私立大学の病院や民間の病院は「個人情報保護法」、自治体立病院はそれぞれの都道府県・市区町村が定める「個人情報保護条例」を守らなければならない。これが、医療機関の間における医療データベース間の円滑な連携の妨げとなっている。
こうした、2000近くある地方自治体の個人情報保護条例が並立している状況について、鈴木教授はこう指摘する。
「こうした状況は、『個人情報保護法制2000個問題』と言って、その解消の必要性を訴えているところです。
東日本大震災を経験してその認知がある程度進みましたが、この2000個問題は、ルールのばらつきの問題とともに、権限のばらつきという問題があります。未だに『憲法が定める地方自治の本旨に反する』という意見や、『地方自治法の自治事務の縮小は地方分権の尊重に反する』という主義主張などがあります。
現在の個人情報保護制度は、紙文書の中の個人名を黒塗りするような情報公開制度や公文書管理制度の世界と、ビッグデータの中で個人の行動を追跡するようなデジタルデータの世界の双方を対象にしています。
最も重要なのは、この両者をどうきれいに仕分けていくかという点です。この立法論的な問題をいかにクレバーに、データ社会を見据えて設計していくかが問われているところです。
広域災害やパンデミックへの機動的対応、マイナンバー制度や医療IDなども含めてデータの法的基盤整備として大きく捉えていく仕事になります」
また、鈴木教授は「2000個問題を知らない問題もまた、この問題の解決の最大の障害になっています」と説明する。
「この問題を多くの首長や地方議会の議員や住民で共有できていません。大半の自治体において個人情報保護条例は、日常的に円滑に運用され、粛々と守られています。現状になんら問題がないという認識なのではないかと思います。
しかし、全国で起きている問題に対して、2000近くある地方自治体がそれぞれ同時並行で対応しなければならない今の制度に無理があることは、東日本大震災の際にも、それ以降の度重なる広域災害の際にも、繰り返し指摘されてきたことです。
今回の新型コロナウイルスの感染に関する情報でも、対象情報の範囲が微妙に異なり、例外条項も異なり、判断権者も異なります。パンデミック対応において、個人情報の取り扱い方に地域の特性など必要なのでしょうか。それに、専門の法律家が1人もいないような小規模な自治体が多数あることも忘れてはいけません」
新型コロナウイルスの感染者は日々、増加している。
「今回のようなパンデミックが発生した場合、ナショナルミニマム(国が設置する必要最低限)の問題として国が早急に対処すべきです。少なくとも個人情報保護法制全体を見渡し、適正に政府解釈を全国統一的に打ち出していく、ルールと権限が2000に分立していてはお話しにならない。
だからこそ、国がきちんとした専門家を呼んで法律としてまとめ、判断基準を一律にする、運用は地方自治体が行う、という形にするべきです。そして、新型コロナウイルス後にはそれを、データ社会に向けた法的基盤整備の布石にしなければなりません。今後の社会をどう構築していくかに目をむけて考えていくべきです。
なお、感染症法についてはまた別の機会に解説したいと思います」