インタビューレポート

本日は、「個人情報の使い方にルールを追加し、悪質な違反には課徴金を科せるようにする法案（個人情報保護法改正案）」について、お考えや気になっている点を伺います。差し支えない範囲で率直にお話しください。 この法案に、どういう立場で関わっていますか。

ありがとうございます。専門的に関わっていらっしゃるとのことですが、この法案には、具体的にどんな立場（例：法務、コンプライアンス、情報セキュリティ、監査、事業部門のデータ活用側など）で関わっていますか。

地方議会議員として関わっていらっしゃるのですね。今回の個人情報保護法の改正について、現時点でどの程度ご存知ですか。

承知しました。前提をそろえるために要点だけ短く共有しますね。 この法案は大きく、①AI開発・統計目的なら一定条件で同意なしにデータ提供を可能にする、②16歳未満の子どもは保護者同意や利用停止請求をしやすくする、③顔特徴データは利用目的の公表や利用停止請求を可能にする、④悪質な大規模違反（被害者1,000人超など）には課徴金、⑤闇名簿対策で名簿の提供先確認を義務化――といった内容です。 この改正を全体として、どのように評価していますか。

「どちらかといえば良い」と感じられるのは、どのあたりが良さそうだと思いましたか。

AI開発のためのデータ活用と、闇名簿対策の必要性を感じていらっしゃるのですね。 まずAI開発のほうから伺いたいのですが、地方議会の活動や地域の課題の文脈で、どんな領域で「データが使えると良い」とイメージされていますか。

市民の属性や志向のデータを、政策決定プロセスにも反映できると良いということですね。 その「市民の志向のデータ」について、どういった種類の情報を想定されていますか。

なるほど、政策分野ごとの優先度（子育て・教育、介護・福祉、産業振興など）を、属性とあわせて把握して政策判断に活かしたいということですね。 そうした志向データを集める方法として、どんな形をイメージされていますか。

アンケートで集めるのが良い一方で、回答数を増やすのが課題ということですね。 回答数を増やすために、どんな仕組み（配布方法や導線、インセンティブ設計など）をイメージされていますか。

ありがとうございます。来庁時やイベントでの誘導、広報誌での呼びかけが現実的、ということですね。 その方法で集めたアンケート結果を政策判断に使う際に、「この点が担保できないと不安だ」と感じる条件はありますか。

利用範囲の明確化と、外部（ベンダー等）のアクセス範囲の管理が重要ということですね。 外部のアクセスについて、どんな状態になっていると「明確で安心できる」と感じますか。

アクセス権限を個人単位で管理し、付与先の所属も明確にすることが安心につながるのですね。 その「個人単位のアクセス権限管理」について、どんな運用（例：IDの発行・棚卸し・ログ監査など）までできていると十分だと感じますか。

ID発行・棚卸しに加えて、詳細ログの適正管理までが大切、ということですね。 その「詳細なログの適正管理」について、どの程度の記録（どんな操作まで残すイメージ）だと十分だと感じますか。

なるほどです。「いつ・どこで・誰が・何を・どうしたか」が追えるログが必要、ということですね。 そのレベルのログを残す前提で、自治体が外部ベンダーに委託してアンケート集計や分析をする場合、どんなルール（契約条項や運用ルールなど）があると安心できますか。

ありがとうございます。2次委託以降の制限や、外国人・外国企業による取扱いへの制限が必要ということですね。 ここで伺いたいのですが、「外国人や外国企業でのデータの取り扱い」について、具体的にどんな形の制限があるとよいとお考えですか。

ありがとうございます。外国企業が扱う場合は、事業者情報の開示と同意の徹底、加えて特定の国・地域への委託制限も必要、ということですね。 その②の「特定の国や地域への委託を制限する」について、どんな基準で“制限対象”を決めるのが現実的だと感じますか。

相手国の公権力が、法律に基づいて事業者に開示を求められてしまうような国は制限が必要、ということですね。 その前提で伺いますが、委託先を選ぶ段階で「相手国からのアクセス可能性が高い」と判断するために、どんな情報（法律の有無、透明性レポート、第三者監査など）が提示されると十分だと感じますか。

第三者認証を軸にするのが望ましい、ということですね。 公的機関が委託する場合に必要とする「第三者の認証機関の認証」について、どんな観点が認証に含まれていると安心できますか。

責任の所在が明確で、一定以上の安全性が認証で担保されていることが重要、ということですね。 その「責任の所在の明確化」について、委託先で問題が起きた場合に、どこまでが委託元（自治体等）の責任で、どこからが委託先の責任だと整理できていると納得感がありますか。

整理すると、庁舎内での取扱いは委託元、庁舎外（持ち出し含む）は委託先、という線引きが納得感につながるのですね。 その線引きで「庁舎外」の扱いになるのは、どんなケースを想定されていますか。

ありがとうございます。庁舎外のデータセンター利用、インターネット経由のアクセス、USB等での物理持ち出し、といったケースを想定されているのですね。 その想定の中で、特にリスクが高いと感じるのはどのケースですか。

物理持ち出しが一番リスクが高く、次いでインターネット経由も高め、という感覚なのですね。 物理的な持ち出しについて、どんな対策（例：原則禁止、例外手続、暗号化必須、持出し記録、返却確認など）があれば「リスクを許容できる水準になる」と感じますか。

原則禁止で、委託元の許可がある場合のみ、という整理ですね。 その「許可が出るケース」は、どんな条件を満たしたときだと妥当だと感じますか。

緊急時など「やむを得ない事情」の場合に、理事者の承認を要件にするということですね。 その「緊急時／やむを得ない事情」に当たる例として、どんな状況を想定されていますか。

災害時や事件・事故など、人命に関わる事態で他に方法がない場合、という整理ですね。 そうした緊急時に持ち出しを許可した場合でも、最低限これは必要だと思う“条件”は何でしょうか。

緊急時でも、移動方法・利用方法・利用後の処理まで報告を義務化すべき、ということですね。 その「利用後のデータの処理方法」について、具体的にどんな処理ができている状態だと安心できますか。

利用後は原則破棄して所定手続きで移管、移管が難しい場合は委託元の許可で継続利用、という整理ですね。 ここまでの話を踏まえて伺います。今回の法改正の論点の中で、あなたが特に気になっている点はどれですか。

ありがとうございます。「一定の条件のもとに、同意なく個人データが使われるようになること」が特に気になっているのですね。 その点が気になるのは、どのような背景からですか。

ご懸念は、委託元が把握しないまま再委託先にデータが流れてしまうことなのですね。 今回の法案について、制度を設計する人に伝えるとしたら、再委託のルールをどんな形で厳格にしてほしいですか。

ありがとうございます。再委託先情報の提出義務化、多重下請けの制限、元請け責任の強化というご提案ですね。 ここまで伺った内容をまとめ、レポートを作成します。

お時間をいただき、ありがとうございました。以下、伺った内容の要約レポート案です。内容に誤りや、補足したい点がないかご確認ください。