宮下裕 マイナンバー制度の哲学 ――過ちを繰り返さないために 【世界】2023.09
2023年12月24日(日)
サンタにもマイナンバーかな,
ワンちゃんにもニャンコにも,ペット用マイナンバーとか…….
まぁ,冗談ではあるけれど,
いや,意外とそうでないかもしれない.
それで,来年には,健康保険証が廃止されるのだとか.
……マイナンバーで,むかしの背番号制のことを思い出すことがある.
といって,あまりキチンとは覚えてはいないのだけれど,
だいたいは政府による統制強化だ……とかいって,左派,あるいは革新系の反対が目だった.
おまけにこの時,お金持ちも反対だった……かな.
誰だったか,左派に分類される人が,背番号制導入賛成の声を上げていた.
うん,そうだよな,と思ったことがあった.
それで,今回のマイナンバーか.
これ,ほんとうに必要なんだろうか……,わからない.
なにが狙いなんだろう?
なんなら健康保険証自体をデジタル化するとか,
そして,その保険証と税とか年金とか,やりたければ紐付ければいいじゃないか,などと.
おまけで人々を釣ろうとしてみたり,それだけでもなんだか胡散臭い仕組みじゃないか,などと邪推だけれど.
担当の大臣はやたらと高飛車だったか.
今となれば,まずは国会議員あたりから全面的に導入,税金,政治資金の流れなどのモニターに使えばよかったんじゃないか,などと.
たった1枚のカードを紛失したら,あるいはネットでデータを詐取されたりしたら,などとちょっと身震いする.
パスワードは,自己責任で保守せよ,という.
ちょっと脳機能が衰えた高齢者は,パスワードなくても……とか行っていたな,と思うが,
ついメモを忘れたりしたら,どうするんだろうか.
自己責任でいいから,マイナンバーじゃなくて……とはならないようだが.
―――――――――――――――――――――――――
【世界】2023年09月
マイナンバー制度の哲学
――過ちを繰り返さないために
宮下 裕
みやした・ひろし 中央大学教授。専門は、憲法・情報法。主な著書に『プライバシーという権利』(岩波新書)、『EU一般データ保護規則』(勁草書房)
■「強いシステム」と「強い個人」
家族は多様化し、行政から世帯主への給付という旧式対応では、もはや国や自治体から個人への支援が行き届かない。コロナ給付金の受給権者を世帯主にしたことで、この問題は顕在化した。家族の中でも世帯主と別居している者、DV被害にあい世帯の中でも居所を知られたくない者、虐待により世帯主から離れた福祉施設で生活する子どもなど、世帯主への給付では個人に対する支援が到達しないのが現実である。
だからこそ、行政が平均的な世帯を想定し世帯への給付を改め、個人への給付を行うという制度の端緒として、各人を唯一無二の存在として扱う番号が付された[1]。番号は、世帯の実態を知らない。知らないからこそ、番号の持ち主である個人の負担に応じて公平に直接の給付を可能とした。マイナンバー制度は、世帯への給付から、個人への給付と いう構造転換を図る仕掛けとなっている[2]。
マイナンバー法の正式名称は、「行政手続における特定の個人を識捌するための番号の利用等に関する法律」であり、あくまで「個人」をその対象とし、各人への唯一無二の付番を制度の出発点とした。そして、制度の具体的運用の一例として、マイナンバー法に基づき公金受取口座の登録を定める口座登録法においても、「預貯金者の名義」である「個人の名義」のみを登録対象としている。さらに、保険証に番号制度を付着させるための健康保険法が改正され、医療保険の被保険者番号が「世帯」単位から「個人」単位へと転換した[3]。「世帯」ではなく、一貫して「個人」を起点としているのがマイナンバー制度である。
かくして、マイナンバー制度は、個人と行政との関係において「システム個人主義」を貫徹した。この制度は、生まれたばかりの赤ちゃんから寝たきりの高齢者まで、システム上はひとりの独立した尊い存在として等しく公平に扱っている。
それは「システム個人主義」という理念であり、日本の社会がデジタル化を推進する中で目指そうとする哲学でもある。逆にシステム上のフィクションだからこそ、システムの内側では家族をも解体させる個人主義が採用されているが、システムの外側の現実の世界では家族をはじめとした人間の絆の上に温かみのある支えあいの社会保障制度は何ら否定されていない。
マイナンバー制度はシステムの内と外の厳格な分離の上に成り立っており、システムの内側では個人主義、システムの外側では相互扶助主義を念頭に置いている。すなわち、戸籍制度を始めとする世帯を中心とした日本の伝統と制度の残滓(ざんし)のもと、「個人の尊重」という哲学の地平をシステムの中に拓く企てである[4]。
システムの中では個人の年金や税の情報を正確に安全に記録管理する、「強いシステム」が前提とされている。同時にこの制度は、ポータル上で自己の情報を自分で確認・管理し、行政に対して必要な申請等を行い、自ら給付を受け取る「強い個人」も見込んでいる。マイナンバー制度は、「強いシステム」と「強い個人」を仮想した「システム個人主義」に立脚した制度である。
マイナンバーカードもまたこの制度を反映している。たとえカード自体を第三者が物理的に管理したとしても、「カードの中の自分」としての個人の情報のみを格納する「カード個人主義」の設計になっている。
日本がマイナンバー制度を通じて「システム個人主義」を実現できるかどうかは、システムの内と外の厳格な分離のもと、信頼ある「強いシステム」を構築できるか、そしてデジタル化の中で自らの情報を管理できる「強い個人」が国民の間に浸透するかどうかにかかっている。同時に、デジタルに「弱い個人」への支援も不可欠である。
■哲学なきトラブル
しかし現実には、各種証明書の誤交付をはじめ、公金受取口座等のいわゆる誤登録、マイナ保険証や年金記録の誤入力等、マイナンバーカードの交付に伴う様々なトラブルが生じてきた。
制度の転換期にトラブルは不可避であり、交付現場の努力の中での小さなヒューマンエラーには豪放嘉落(ごうほうらいらく)な姿勢があってもよかろう。しかし、制度の哲学と相容れないミスは放置されてはならず、システム改修の前提となる哲学の再考が必要となる。以下、三つの論点に絞り指摘する。
(1)家族名義の誤登録
第一に、マイナンバーカードを通じた公金受取口座における家族名義の登録をめぐる問題である。公金受取口座の誤登録は他人名義が七四八件、そして家族と思われる同一口座の登録が約一三万件である(二○二三年六月七日デジタル庁発表)。公金受取口座の約五四〇〇万の登録のうち約○・二%にすぎず、目角を立てる問題ではないという楽観的な見方も成り立ちうる。しかし、個人情報保護委員会は、個人データ(書類やメール〉の第三者への誤送付・誤送信も漏えいに含まれると整理し、一〇〇人を超えるマイナンバーに係る事故を「重大事態」と位置付けている[5]。
さらに、マイナンバーカードの中にいる自分が自分ではない、カードに他人の記録が刻み込まれるような事態は、「システム個人主義」の理念を根底から覆す。そもそも誤登録問題は数の多寡にかかわらず、旧態依然とした世帯給付を可能とするシステム設計に責任があると言わざるを得ない。それゆえ公金受取口座の登録は、ミスを防ぐためにも、口座名義と番号の本人とのフリガナで照合することを可能とする法改正を待ってから進めるのが筋であった。
また、子どもの口座開設の実務上の課題はひとまず置いておいたとしても、口座を持たない子どもについては親の口座を登録するという事態は想定できた。だから、本人口座の登録について、制度の哲学とともに周知・発信していれば、国民にも現実がより詳細に伝わっていただろう、
誤登録は、単なるエラーで済まされる問題ではなく、給付を世帯から個人へと変容させるマイナンバー制度の根本原理に反するものと指摘せざるを得ない。
(2)プライバシー権侵害
第二に、マイナンバー制度におけるプライバシー権の侵害についてである。公金受取口座を家族名義に「誤登録」した問題について、個人情報の漏えい事案に該当しないとみることも決して不可能ではない。「各行政機関等が分散管理している個人情報が外部に流出するおそれ」に着目して、マイナンバー制度が「個人に関する情報をみだりに第三者に開示又は公表されない自由」を侵害するものではないとした二〇二三年三月九日最高裁判決に従えば、この理解に誤りはない。しかし、マイナンバー制度の核心がシステムの内側にいる個人の存在であるとするならば、システムの内から外への「開示又は公表」は、プライバシー権の主題を言い当てたことにはならない。システムの内側にいる個人こそがプライバシー権として保護される対象であり、プライバシー権の侵害は、システムの内側から外側への流出よりも、システムの内側にいる個人への干渉や影響において具体化される。個人情報が勝手に書き換えられることでシステム内の個人が歪められたり、一部の情報を切り取ることで行政が当該個人に不当な決定を下すことこそが、システムの内側にいる個人に対するプライバシー権の侵害となる。
マイナンバー制度のシステム上ではすべての個人が独立した存在である以上、たとえ家族であっても自分以外の情報を入力した場合はシステム上の個人の自己同一性への侵害となり、システムの内側におけるプライバシー権の侵害とみるべき事案となる。ただし、情報入力した者が家族構成員のプライバシーを侵害したのではない。前記最高裁判決によれば、「法制度上又はシステム技術上の不備」があったことが原因で、システムの内側における個人の情報を書き換えることで個人の自己同一性を容易に侵害できる状態を作り出したことに国の責任がある、ということになろう[6]。
(3)マイナ保険証と家族歴
第三に、マイナ保険証の導入に伴う医療情報の取扱いである。マイナ保険証は、被保険者記号の世帯単位から個人単位への転換を前提とした、マイナンバーカードの電子証明書の識別子IDを用いる仕組みであり、①オンライン資格確認[7]と、②医療機関等での患者の過去の薬剤情報等の閲覧(任意)という二つの異なる機能を有する。従来の保険証を廃止し、マイナ保険証を導入し、例外的に本人の申請により資格確認書の交付を認めることとされている[8]。
患者の過去の医療情報の閲覧に関しては、一般的な疾患の発症リスクの探知のため、ときに家族の医療情報と結びついてしまうときがある。要するに、データの突合を可能とする医療情報システムにおいては、生まれながらにして医療リスクの高低が特定の番号カードにつきまとう事態が発生する。これは、マイナンバー制度の各人の医療情報はあくまで各人に属するとする個人主義と、医療の現場における家族歴調査とが緊張関係にあることを意味する。
この事態に対処するためには、「カード個人主義」をより徹底するほかない。すなわち、マイナンバーカードのシステムの中では、原則として家族歴を排斥した個人のみの属性情報が紐づけされなければならない。家族歴を含む情報のシステムの格納が認められるには、関係するすべての者から同意の取得が必要となる。同意取得の例外として、医療の質の向上に関する具体的エビデンスに基づく公益性も考慮に入れた慎重な設計が必要となろう。
いずれにしても、家族歴が医療DX(デジタル・トランスフォーメーション)の不可欠な要素の一つとなりえても、「カード個人主義」に立脚したマイナンバー制度においては、できる限り個人以外の医療情報を排し、差別・排除の防止と 個人情報保護の措置が講じられなければならない[9]。医師、薬剤師等の守秘義務や健康保険事業以外の目的の告知要求制限がマイナ保険証の利用場面において空洞化されないかという問題がくすぶるが、「人の生命そのものにかかわるデータベース[10]」であるだけに慎重な対応が求められる。
■部外者の保護
マイナンバー制度という仕掛けとしてのシステム個人主義は、行政手続において個人の正確な把握を要請する一方で、国家といえども立ち入ることのできない私的圏域についても考えなければならない。この私的圏域が保障されなければ、マイナンバー制度は、国家が個人の生き様の隅々をシステムの中で記録・管理し、精巧な監視を実現させてしまう変換の可能性を秘めているからだ。実際、制度開始にあたっては法律で定められた別表記載事項のみに利用を認めるという歯止めが存在した。だが、二〇二三年法改正により別表2は削除され、法定事務に「準ずる」事務にまで情報連携が認められ、国会のコントロールなしに自己肥大できる状態になった。
そこにオーウェルが描いた「真理省」に存在するような独裁的思考を有する官僚が万が一にでも登場すれば、テレスクリーンを通じて個人の思想を規格化させる事態は決して絵空事ではない。実際、イギリスの国民IDカードは、監視社会の懸念を払しょくできず、保守党・自由民主党への政権交代を機に二〇一一年に廃止された。後に首相となったテレサ・メイ内務大臣は、国民IDカードの廃止により政府の支出削減ができ、また「政府が法令遵守する品位ある国民に対する国家の管理を小さくさせ、国民の手に自らの管理を戻す」ということを廃止の理由として説示した[11]。日本のマイナンバー制度は、監視というトロイの木馬を想定して入念に設計されてきた。二〇一四年一月には、個人情報保護委員会という新たな第三者委員会がこの制度とともに設置された(当時の正式名称「特定個人情報保護委員会」)。
マイナンバー制度の設計段階では「国家管理への懸念」および「個人情報の追跡・突合に対する懸念」が指摘されてきた[12]。それについては、各人の様々な情報が分散管理されたとしても、システムの内側では現実のものとなりうる。各人は、国家が管理するシステムの内側にいる自分に対する追跡・突合による侵害事実を知ることができず、システムの「部外者[13]」となってしまったためである。そこで、システムの内側にいる個人を保護する目的で、システムの内側にいる個人に干渉しうる当事者の主務官庁に代わり、システムそのものをチェックできる独立した職権が付与された第三者としての個人情報保護委員会が設置された。言い換えれば、「監視に対する監視」の仕組みである。システムを管理する行政機関等がその内側にいる個人を不当に監視しないか、個人情報保護委員会が行政機関等を監視する仕組みが採られたのだ。すなわち、個人情報保護員会は、システムの内側にいる個人の守護神としての役割を果たすことを本来の任務として期待されていた。
しかし、番号制度のもとでシステムの内側にいる個人は、すでに二度も脅威にさらされたが、個人情報保護委員会は独立した職権を行使しなかった。一度目は、二○一五年、日本年金機構に対する不正アクセスにより約一二五万件の個人データが漏えいしたときだ。個人情報保護委員会は、プライバシー影響評価(公的年金業務等に関する事務全項目評価書)の審査を実施のうえ、問題なしとして年金機構の体制を承認したが、三ヵ月もしないうちに事故が起きた。事故後も、日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書が厚生労働省に提出され、個人情報保護委員会による独立調査の結果は公表されなかった。
二度目は、二○一八年に明らかになった、日本年金機構の業務委託先から中国企業に個人データが無断で移転された問題についてである。この委託問題の調査について、厚生労働省の下で日本年金機構における業務委託のあり方等に関する調査委員会報告書が公表された。後にマイナンバーを含む無断委託であった可能性が高いという新たな事実が明らかにされたが、個人情報保護委員会は、「一定の結論が得られているものとして厚生労働省及び日本年金機構より説明を受けたと承知しておる[14]」として、新たに漏えいした可能性を含む事故について独立調査の結果を示していない。仮に主務官庁において個人情報の事故調査を自ら行い、それで問題が片付いたとするならば、個人情報保護委員会の存在意義は否定されることとなる。
プライバシーという権利は、公と私の領域の適切な管理としての防波堤をなし、国家と個人との布置関係を整理したうえで、システムの内側にいる個人を保護することを狙いとする。イギリスで国民IDカード導入が開始された二〇〇六年にイギリス情報コミッショナーは、「監視社会」という報告書の結論において「誰が何を知り、誰がデータを所有し、誰がデータを訂正する権利を有しているのかについて、国民と国家の聞にはますます気懸りで未解決の相克が存在する」と指摘していた[15]。個人情報保護委員会の任務は、国家が正確に把握しなければならない個人情報と、把握してはならない個人情報との境界設定という、システムの中の国家と個人の関係性を主題とするマイナンバー制度の運用監視である。
■人間とシステムをめぐる哲学
個人情報保護委員会の任務はそれにとどまらない。マイナンバーカードの交付をめぐる誤登録をめぐり、ヒューマンエラーを想定したシステム対処について整理しなければならない(マイナンバーのカードとポータルの管理の瑕疵(かし)に伴う管理者である国の法的責任の明確化と救済方途に関する論点をひとまず脇に置いておく)[16]。
デジタル化は、説明責任を果たせないシステム万能論、すなわち完全な自動意思決定システムを盲信するものであってはならない。たとえば、マイナ保険証の利用に際して医療機関窓口における九九%の正確性をほこる一対一の顔認証システムが導入されたとしても、一億人の保険証利用者の中で一○○万人がこの顔認証システムからはじかれる計算になる。システムにもエラーは避けられない。このシステムエラーには人間が対処しなければならず、システムと人間のエラーは相互にチェックしあうしかない。ヒューマンエラーとシステムエラーは循環論であって、いずれか一方が一〇〇%完全でなければ、エラーの連鎖が生じる。このエラーの連鎖を前提として個人情報保護制度を設計したのがEUの一般データ保護規則(GDPR)である。欧州のデータ保護法制には「人間の尊厳」の思想が埋め込まれ、その体現として、データの自動処理における「人間介入の権利」が明文化されている(GDPR二二条三項)。この権利は、人間のミスをカバーするために効率的なシステムによるデータ処理が推奨されるが、逆説的にシステムがもたらす偏見や排除を含む種々のエラーに対処するために、たとえ非効率であったとしても人間が介入する契機を認め、システム内側のデータ処理に人間の倫理と責任を包蔵させることを意味する。
マイナンバー制度は、情報連携やカードの恩恵による国民の利便性の向上や行政の効率性の促進のみを狙いとした軽い存在ではない。この制度は、デジタル化を目的ではなく手段としつつ、個人尊重の基礎に関わる氏名の読み仮名や生活場所である住所表記の在り方、身分関係を登録・公証する戸籍制度が前提としてきた社会構造のほか、世帯ではなく個人への給付のためのシステムにおける個人の把握、そして国家が管理するシステムの内側にいる個人の保護といった、国家と個人との関係に関わる根源的な問いを抱えている。これらの根源的な問いについて、デジタル庁や個人情報保護委員会が国民と「コンセンサス[17]」を形成しながら方向性を明らかにできるかどうかが問われている。
システムの開発と運用には思想や哲学が必要である。かつて「消えた年金問題」の政府検証報告書では「システムの開発・運用においても……基本的な思想や哲学に一貫性がない」ことが原因であると指摘された。同じ過ちを繰り返してはならない。
注
1 「社会保障・税番号大綱」(平成二三年六月三〇日政府・与党社会保障改革検討本部)において、「主として給付のための『番号』として制度設計」がなされたことが記された。
2 番号制度の導入決定に伴う「社会保障・税一体改革大綱」(平成二四年二月一七日閣議決定)において、「社会保障給付費」を「個人」に帰属する給付が集計対象とされている国際労働機関(ILO)基準に則ることが明記された。
3 「新しい経済政策パッケージ」(平成二九年一二月八日閣議
決定)では「医療保険の被保険者番号について、従来の世帯単位を個人単位化し、マイナンバー制度のインフラを活用」すると記載された(健康保険法三条一二項、参照)。
4 二〇二四年までに「戸籍情報連携システム」の導入が予定されており、国民各人の身分関係のシステム上の編製・公証の在り方が今後問題となろう(戸籍法一二一条の三)。
5 個人情報保護委員会は公金受取口座に係る事前評価審査で「特段の問題は認められない」との結論を下していた(個人情報保護委員会「口座登録法に基づく公金受取口座の登録等に関する事務及び預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する事務全項目評価書」令和四年一〇月二六日承認)。この審査で口座登録における「漏えい・不正がないよう厳格に事務を実施」との藤原靜雄委員による注意喚起が重要である(第二二一回個人情報保護委員会議事録)。
6 最高裁判決の判断枠組みは、住基ネット判決(最判平成二〇年三月六日民集六二巻三号六六五頁)と変わりがなく、システムの「構造審査」と評されることがある。
7 保険医療機関及び保険医療養担当規則(令和五年四月一日)三条一項。
8 「経済財政運営と改革の基本方針2022」(令和四年六月七日閣議決定)では加入者から申請があれば「保険証」が交付されると明記されていたが、令和五年六月二日に成立した改正マイナンバー法に伴う健康保険法五一条の三において「被保険者の資格の確認に必要な書面」(資格確認書)が交付されると変更された。
9 「医療等IDに係る法制度整備等に関する三師会声明」平成二六年一一月一九日。
10 日本医師会「日医IT化宣言」平成一三年一一月二〇日(同「日医IT化宣言2016」平成二八年六月八日)。
11 GOV.UK,Identiry cards and National Identity Register to be scrapped,27 May 2010(access 30 June 2023).
12 前掲「社会保障・税番号大綱」一五頁。
13 Spiros Simitis,‘Reviewing Privacy in an Information Society’(1987)135 U Pa L Rev 707,743.
14 第二〇四回衆議院予算委員会第五分科会第二号令和三年二月二六日内閣府副大臣答弁。なお、個人情報保護委員会委員長は国会出席資格を有する政府特別補佐人とされておらず(国会法六九条二項)、個人情報保護法の国会答弁はデジタル大臣等が行う。
15 Information Commissioner's Office,‘A Report on the Surveillance Society’(2006)74.
16 マイナポータル利用規約は免責事由を「デジタル庁の故意又は重過失によるものである場合」(令和五年五月一一日改訂)と定めているが、「公の営造物の設置又は管理に瑕疵」(国家賠償法二条一項)の問題であるとも捉えうる。信号機のプログラム設定ミスが原因で起きた事故について、信号管理の瑕疵を認定した事例(千葉地判平成一〇年一一月二四日)が参考になる。
17 かつて国民総背番号制という批判から頓挫した「統一個人コード」について、「国民コンセンサスの流れ」を踏まえるべきとした行政管理庁長官答弁を回顧する必要がある(第七一回参議院予算委員会第一分科会第三号昭和四八年四月七日)。
18 総務省・年金記録問題検証委員会「年金記録問題検証委員会報告書」(平成一九年一〇月三一日)一六頁。
サンタにもマイナンバーかな,
ワンちゃんにもニャンコにも,ペット用マイナンバーとか…….
まぁ,冗談ではあるけれど,
いや,意外とそうでないかもしれない.
それで,来年には,健康保険証が廃止されるのだとか.
……マイナンバーで,むかしの背番号制のことを思い出すことがある.
といって,あまりキチンとは覚えてはいないのだけれど,
だいたいは政府による統制強化だ……とかいって,左派,あるいは革新系の反対が目だった.
おまけにこの時,お金持ちも反対だった……かな.
誰だったか,左派に分類される人が,背番号制導入賛成の声を上げていた.
うん,そうだよな,と思ったことがあった.
それで,今回のマイナンバーか.
これ,ほんとうに必要なんだろうか……,わからない.
なにが狙いなんだろう?
なんなら健康保険証自体をデジタル化するとか,
そして,その保険証と税とか年金とか,やりたければ紐付ければいいじゃないか,などと.
おまけで人々を釣ろうとしてみたり,それだけでもなんだか胡散臭い仕組みじゃないか,などと邪推だけれど.
担当の大臣はやたらと高飛車だったか.
今となれば,まずは国会議員あたりから全面的に導入,税金,政治資金の流れなどのモニターに使えばよかったんじゃないか,などと.
たった1枚のカードを紛失したら,あるいはネットでデータを詐取されたりしたら,などとちょっと身震いする.
パスワードは,自己責任で保守せよ,という.
ちょっと脳機能が衰えた高齢者は,パスワードなくても……とか行っていたな,と思うが,
ついメモを忘れたりしたら,どうするんだろうか.
自己責任でいいから,マイナンバーじゃなくて……とはならないようだが.
―――――――――――――――――――――――――
【世界】2023年09月
マイナンバー制度の哲学
――過ちを繰り返さないために
宮下 裕
みやした・ひろし 中央大学教授。専門は、憲法・情報法。主な著書に『プライバシーという権利』(岩波新書)、『EU一般データ保護規則』(勁草書房)
■「強いシステム」と「強い個人」
家族は多様化し、行政から世帯主への給付という旧式対応では、もはや国や自治体から個人への支援が行き届かない。コロナ給付金の受給権者を世帯主にしたことで、この問題は顕在化した。家族の中でも世帯主と別居している者、DV被害にあい世帯の中でも居所を知られたくない者、虐待により世帯主から離れた福祉施設で生活する子どもなど、世帯主への給付では個人に対する支援が到達しないのが現実である。
だからこそ、行政が平均的な世帯を想定し世帯への給付を改め、個人への給付を行うという制度の端緒として、各人を唯一無二の存在として扱う番号が付された[1]。番号は、世帯の実態を知らない。知らないからこそ、番号の持ち主である個人の負担に応じて公平に直接の給付を可能とした。マイナンバー制度は、世帯への給付から、個人への給付と いう構造転換を図る仕掛けとなっている[2]。
マイナンバー法の正式名称は、「行政手続における特定の個人を識捌するための番号の利用等に関する法律」であり、あくまで「個人」をその対象とし、各人への唯一無二の付番を制度の出発点とした。そして、制度の具体的運用の一例として、マイナンバー法に基づき公金受取口座の登録を定める口座登録法においても、「預貯金者の名義」である「個人の名義」のみを登録対象としている。さらに、保険証に番号制度を付着させるための健康保険法が改正され、医療保険の被保険者番号が「世帯」単位から「個人」単位へと転換した[3]。「世帯」ではなく、一貫して「個人」を起点としているのがマイナンバー制度である。
かくして、マイナンバー制度は、個人と行政との関係において「システム個人主義」を貫徹した。この制度は、生まれたばかりの赤ちゃんから寝たきりの高齢者まで、システム上はひとりの独立した尊い存在として等しく公平に扱っている。
それは「システム個人主義」という理念であり、日本の社会がデジタル化を推進する中で目指そうとする哲学でもある。逆にシステム上のフィクションだからこそ、システムの内側では家族をも解体させる個人主義が採用されているが、システムの外側の現実の世界では家族をはじめとした人間の絆の上に温かみのある支えあいの社会保障制度は何ら否定されていない。
マイナンバー制度はシステムの内と外の厳格な分離の上に成り立っており、システムの内側では個人主義、システムの外側では相互扶助主義を念頭に置いている。すなわち、戸籍制度を始めとする世帯を中心とした日本の伝統と制度の残滓(ざんし)のもと、「個人の尊重」という哲学の地平をシステムの中に拓く企てである[4]。
システムの中では個人の年金や税の情報を正確に安全に記録管理する、「強いシステム」が前提とされている。同時にこの制度は、ポータル上で自己の情報を自分で確認・管理し、行政に対して必要な申請等を行い、自ら給付を受け取る「強い個人」も見込んでいる。マイナンバー制度は、「強いシステム」と「強い個人」を仮想した「システム個人主義」に立脚した制度である。
マイナンバーカードもまたこの制度を反映している。たとえカード自体を第三者が物理的に管理したとしても、「カードの中の自分」としての個人の情報のみを格納する「カード個人主義」の設計になっている。
日本がマイナンバー制度を通じて「システム個人主義」を実現できるかどうかは、システムの内と外の厳格な分離のもと、信頼ある「強いシステム」を構築できるか、そしてデジタル化の中で自らの情報を管理できる「強い個人」が国民の間に浸透するかどうかにかかっている。同時に、デジタルに「弱い個人」への支援も不可欠である。
■哲学なきトラブル
しかし現実には、各種証明書の誤交付をはじめ、公金受取口座等のいわゆる誤登録、マイナ保険証や年金記録の誤入力等、マイナンバーカードの交付に伴う様々なトラブルが生じてきた。
制度の転換期にトラブルは不可避であり、交付現場の努力の中での小さなヒューマンエラーには豪放嘉落(ごうほうらいらく)な姿勢があってもよかろう。しかし、制度の哲学と相容れないミスは放置されてはならず、システム改修の前提となる哲学の再考が必要となる。以下、三つの論点に絞り指摘する。
(1)家族名義の誤登録
第一に、マイナンバーカードを通じた公金受取口座における家族名義の登録をめぐる問題である。公金受取口座の誤登録は他人名義が七四八件、そして家族と思われる同一口座の登録が約一三万件である(二○二三年六月七日デジタル庁発表)。公金受取口座の約五四〇〇万の登録のうち約○・二%にすぎず、目角を立てる問題ではないという楽観的な見方も成り立ちうる。しかし、個人情報保護委員会は、個人データ(書類やメール〉の第三者への誤送付・誤送信も漏えいに含まれると整理し、一〇〇人を超えるマイナンバーに係る事故を「重大事態」と位置付けている[5]。
さらに、マイナンバーカードの中にいる自分が自分ではない、カードに他人の記録が刻み込まれるような事態は、「システム個人主義」の理念を根底から覆す。そもそも誤登録問題は数の多寡にかかわらず、旧態依然とした世帯給付を可能とするシステム設計に責任があると言わざるを得ない。それゆえ公金受取口座の登録は、ミスを防ぐためにも、口座名義と番号の本人とのフリガナで照合することを可能とする法改正を待ってから進めるのが筋であった。
また、子どもの口座開設の実務上の課題はひとまず置いておいたとしても、口座を持たない子どもについては親の口座を登録するという事態は想定できた。だから、本人口座の登録について、制度の哲学とともに周知・発信していれば、国民にも現実がより詳細に伝わっていただろう、
誤登録は、単なるエラーで済まされる問題ではなく、給付を世帯から個人へと変容させるマイナンバー制度の根本原理に反するものと指摘せざるを得ない。
(2)プライバシー権侵害
第二に、マイナンバー制度におけるプライバシー権の侵害についてである。公金受取口座を家族名義に「誤登録」した問題について、個人情報の漏えい事案に該当しないとみることも決して不可能ではない。「各行政機関等が分散管理している個人情報が外部に流出するおそれ」に着目して、マイナンバー制度が「個人に関する情報をみだりに第三者に開示又は公表されない自由」を侵害するものではないとした二〇二三年三月九日最高裁判決に従えば、この理解に誤りはない。しかし、マイナンバー制度の核心がシステムの内側にいる個人の存在であるとするならば、システムの内から外への「開示又は公表」は、プライバシー権の主題を言い当てたことにはならない。システムの内側にいる個人こそがプライバシー権として保護される対象であり、プライバシー権の侵害は、システムの内側から外側への流出よりも、システムの内側にいる個人への干渉や影響において具体化される。個人情報が勝手に書き換えられることでシステム内の個人が歪められたり、一部の情報を切り取ることで行政が当該個人に不当な決定を下すことこそが、システムの内側にいる個人に対するプライバシー権の侵害となる。
マイナンバー制度のシステム上ではすべての個人が独立した存在である以上、たとえ家族であっても自分以外の情報を入力した場合はシステム上の個人の自己同一性への侵害となり、システムの内側におけるプライバシー権の侵害とみるべき事案となる。ただし、情報入力した者が家族構成員のプライバシーを侵害したのではない。前記最高裁判決によれば、「法制度上又はシステム技術上の不備」があったことが原因で、システムの内側における個人の情報を書き換えることで個人の自己同一性を容易に侵害できる状態を作り出したことに国の責任がある、ということになろう[6]。
(3)マイナ保険証と家族歴
第三に、マイナ保険証の導入に伴う医療情報の取扱いである。マイナ保険証は、被保険者記号の世帯単位から個人単位への転換を前提とした、マイナンバーカードの電子証明書の識別子IDを用いる仕組みであり、①オンライン資格確認[7]と、②医療機関等での患者の過去の薬剤情報等の閲覧(任意)という二つの異なる機能を有する。従来の保険証を廃止し、マイナ保険証を導入し、例外的に本人の申請により資格確認書の交付を認めることとされている[8]。
患者の過去の医療情報の閲覧に関しては、一般的な疾患の発症リスクの探知のため、ときに家族の医療情報と結びついてしまうときがある。要するに、データの突合を可能とする医療情報システムにおいては、生まれながらにして医療リスクの高低が特定の番号カードにつきまとう事態が発生する。これは、マイナンバー制度の各人の医療情報はあくまで各人に属するとする個人主義と、医療の現場における家族歴調査とが緊張関係にあることを意味する。
この事態に対処するためには、「カード個人主義」をより徹底するほかない。すなわち、マイナンバーカードのシステムの中では、原則として家族歴を排斥した個人のみの属性情報が紐づけされなければならない。家族歴を含む情報のシステムの格納が認められるには、関係するすべての者から同意の取得が必要となる。同意取得の例外として、医療の質の向上に関する具体的エビデンスに基づく公益性も考慮に入れた慎重な設計が必要となろう。
いずれにしても、家族歴が医療DX(デジタル・トランスフォーメーション)の不可欠な要素の一つとなりえても、「カード個人主義」に立脚したマイナンバー制度においては、できる限り個人以外の医療情報を排し、差別・排除の防止と 個人情報保護の措置が講じられなければならない[9]。医師、薬剤師等の守秘義務や健康保険事業以外の目的の告知要求制限がマイナ保険証の利用場面において空洞化されないかという問題がくすぶるが、「人の生命そのものにかかわるデータベース[10]」であるだけに慎重な対応が求められる。
■部外者の保護
マイナンバー制度という仕掛けとしてのシステム個人主義は、行政手続において個人の正確な把握を要請する一方で、国家といえども立ち入ることのできない私的圏域についても考えなければならない。この私的圏域が保障されなければ、マイナンバー制度は、国家が個人の生き様の隅々をシステムの中で記録・管理し、精巧な監視を実現させてしまう変換の可能性を秘めているからだ。実際、制度開始にあたっては法律で定められた別表記載事項のみに利用を認めるという歯止めが存在した。だが、二〇二三年法改正により別表2は削除され、法定事務に「準ずる」事務にまで情報連携が認められ、国会のコントロールなしに自己肥大できる状態になった。
そこにオーウェルが描いた「真理省」に存在するような独裁的思考を有する官僚が万が一にでも登場すれば、テレスクリーンを通じて個人の思想を規格化させる事態は決して絵空事ではない。実際、イギリスの国民IDカードは、監視社会の懸念を払しょくできず、保守党・自由民主党への政権交代を機に二〇一一年に廃止された。後に首相となったテレサ・メイ内務大臣は、国民IDカードの廃止により政府の支出削減ができ、また「政府が法令遵守する品位ある国民に対する国家の管理を小さくさせ、国民の手に自らの管理を戻す」ということを廃止の理由として説示した[11]。日本のマイナンバー制度は、監視というトロイの木馬を想定して入念に設計されてきた。二〇一四年一月には、個人情報保護委員会という新たな第三者委員会がこの制度とともに設置された(当時の正式名称「特定個人情報保護委員会」)。
マイナンバー制度の設計段階では「国家管理への懸念」および「個人情報の追跡・突合に対する懸念」が指摘されてきた[12]。それについては、各人の様々な情報が分散管理されたとしても、システムの内側では現実のものとなりうる。各人は、国家が管理するシステムの内側にいる自分に対する追跡・突合による侵害事実を知ることができず、システムの「部外者[13]」となってしまったためである。そこで、システムの内側にいる個人を保護する目的で、システムの内側にいる個人に干渉しうる当事者の主務官庁に代わり、システムそのものをチェックできる独立した職権が付与された第三者としての個人情報保護委員会が設置された。言い換えれば、「監視に対する監視」の仕組みである。システムを管理する行政機関等がその内側にいる個人を不当に監視しないか、個人情報保護委員会が行政機関等を監視する仕組みが採られたのだ。すなわち、個人情報保護員会は、システムの内側にいる個人の守護神としての役割を果たすことを本来の任務として期待されていた。
しかし、番号制度のもとでシステムの内側にいる個人は、すでに二度も脅威にさらされたが、個人情報保護委員会は独立した職権を行使しなかった。一度目は、二○一五年、日本年金機構に対する不正アクセスにより約一二五万件の個人データが漏えいしたときだ。個人情報保護委員会は、プライバシー影響評価(公的年金業務等に関する事務全項目評価書)の審査を実施のうえ、問題なしとして年金機構の体制を承認したが、三ヵ月もしないうちに事故が起きた。事故後も、日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書が厚生労働省に提出され、個人情報保護委員会による独立調査の結果は公表されなかった。
二度目は、二○一八年に明らかになった、日本年金機構の業務委託先から中国企業に個人データが無断で移転された問題についてである。この委託問題の調査について、厚生労働省の下で日本年金機構における業務委託のあり方等に関する調査委員会報告書が公表された。後にマイナンバーを含む無断委託であった可能性が高いという新たな事実が明らかにされたが、個人情報保護委員会は、「一定の結論が得られているものとして厚生労働省及び日本年金機構より説明を受けたと承知しておる[14]」として、新たに漏えいした可能性を含む事故について独立調査の結果を示していない。仮に主務官庁において個人情報の事故調査を自ら行い、それで問題が片付いたとするならば、個人情報保護委員会の存在意義は否定されることとなる。
プライバシーという権利は、公と私の領域の適切な管理としての防波堤をなし、国家と個人との布置関係を整理したうえで、システムの内側にいる個人を保護することを狙いとする。イギリスで国民IDカード導入が開始された二〇〇六年にイギリス情報コミッショナーは、「監視社会」という報告書の結論において「誰が何を知り、誰がデータを所有し、誰がデータを訂正する権利を有しているのかについて、国民と国家の聞にはますます気懸りで未解決の相克が存在する」と指摘していた[15]。個人情報保護委員会の任務は、国家が正確に把握しなければならない個人情報と、把握してはならない個人情報との境界設定という、システムの中の国家と個人の関係性を主題とするマイナンバー制度の運用監視である。
■人間とシステムをめぐる哲学
個人情報保護委員会の任務はそれにとどまらない。マイナンバーカードの交付をめぐる誤登録をめぐり、ヒューマンエラーを想定したシステム対処について整理しなければならない(マイナンバーのカードとポータルの管理の瑕疵(かし)に伴う管理者である国の法的責任の明確化と救済方途に関する論点をひとまず脇に置いておく)[16]。
デジタル化は、説明責任を果たせないシステム万能論、すなわち完全な自動意思決定システムを盲信するものであってはならない。たとえば、マイナ保険証の利用に際して医療機関窓口における九九%の正確性をほこる一対一の顔認証システムが導入されたとしても、一億人の保険証利用者の中で一○○万人がこの顔認証システムからはじかれる計算になる。システムにもエラーは避けられない。このシステムエラーには人間が対処しなければならず、システムと人間のエラーは相互にチェックしあうしかない。ヒューマンエラーとシステムエラーは循環論であって、いずれか一方が一〇〇%完全でなければ、エラーの連鎖が生じる。このエラーの連鎖を前提として個人情報保護制度を設計したのがEUの一般データ保護規則(GDPR)である。欧州のデータ保護法制には「人間の尊厳」の思想が埋め込まれ、その体現として、データの自動処理における「人間介入の権利」が明文化されている(GDPR二二条三項)。この権利は、人間のミスをカバーするために効率的なシステムによるデータ処理が推奨されるが、逆説的にシステムがもたらす偏見や排除を含む種々のエラーに対処するために、たとえ非効率であったとしても人間が介入する契機を認め、システム内側のデータ処理に人間の倫理と責任を包蔵させることを意味する。
マイナンバー制度は、情報連携やカードの恩恵による国民の利便性の向上や行政の効率性の促進のみを狙いとした軽い存在ではない。この制度は、デジタル化を目的ではなく手段としつつ、個人尊重の基礎に関わる氏名の読み仮名や生活場所である住所表記の在り方、身分関係を登録・公証する戸籍制度が前提としてきた社会構造のほか、世帯ではなく個人への給付のためのシステムにおける個人の把握、そして国家が管理するシステムの内側にいる個人の保護といった、国家と個人との関係に関わる根源的な問いを抱えている。これらの根源的な問いについて、デジタル庁や個人情報保護委員会が国民と「コンセンサス[17]」を形成しながら方向性を明らかにできるかどうかが問われている。
システムの開発と運用には思想や哲学が必要である。かつて「消えた年金問題」の政府検証報告書では「システムの開発・運用においても……基本的な思想や哲学に一貫性がない」ことが原因であると指摘された。同じ過ちを繰り返してはならない。
注
1 「社会保障・税番号大綱」(平成二三年六月三〇日政府・与党社会保障改革検討本部)において、「主として給付のための『番号』として制度設計」がなされたことが記された。
2 番号制度の導入決定に伴う「社会保障・税一体改革大綱」(平成二四年二月一七日閣議決定)において、「社会保障給付費」を「個人」に帰属する給付が集計対象とされている国際労働機関(ILO)基準に則ることが明記された。
3 「新しい経済政策パッケージ」(平成二九年一二月八日閣議
決定)では「医療保険の被保険者番号について、従来の世帯単位を個人単位化し、マイナンバー制度のインフラを活用」すると記載された(健康保険法三条一二項、参照)。
4 二〇二四年までに「戸籍情報連携システム」の導入が予定されており、国民各人の身分関係のシステム上の編製・公証の在り方が今後問題となろう(戸籍法一二一条の三)。
5 個人情報保護委員会は公金受取口座に係る事前評価審査で「特段の問題は認められない」との結論を下していた(個人情報保護委員会「口座登録法に基づく公金受取口座の登録等に関する事務及び預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する事務全項目評価書」令和四年一〇月二六日承認)。この審査で口座登録における「漏えい・不正がないよう厳格に事務を実施」との藤原靜雄委員による注意喚起が重要である(第二二一回個人情報保護委員会議事録)。
6 最高裁判決の判断枠組みは、住基ネット判決(最判平成二〇年三月六日民集六二巻三号六六五頁)と変わりがなく、システムの「構造審査」と評されることがある。
7 保険医療機関及び保険医療養担当規則(令和五年四月一日)三条一項。
8 「経済財政運営と改革の基本方針2022」(令和四年六月七日閣議決定)では加入者から申請があれば「保険証」が交付されると明記されていたが、令和五年六月二日に成立した改正マイナンバー法に伴う健康保険法五一条の三において「被保険者の資格の確認に必要な書面」(資格確認書)が交付されると変更された。
9 「医療等IDに係る法制度整備等に関する三師会声明」平成二六年一一月一九日。
10 日本医師会「日医IT化宣言」平成一三年一一月二〇日(同「日医IT化宣言2016」平成二八年六月八日)。
11 GOV.UK,Identiry cards and National Identity Register to be scrapped,27 May 2010(access 30 June 2023).
12 前掲「社会保障・税番号大綱」一五頁。
13 Spiros Simitis,‘Reviewing Privacy in an Information Society’(1987)135 U Pa L Rev 707,743.
14 第二〇四回衆議院予算委員会第五分科会第二号令和三年二月二六日内閣府副大臣答弁。なお、個人情報保護委員会委員長は国会出席資格を有する政府特別補佐人とされておらず(国会法六九条二項)、個人情報保護法の国会答弁はデジタル大臣等が行う。
15 Information Commissioner's Office,‘A Report on the Surveillance Society’(2006)74.
16 マイナポータル利用規約は免責事由を「デジタル庁の故意又は重過失によるものである場合」(令和五年五月一一日改訂)と定めているが、「公の営造物の設置又は管理に瑕疵」(国家賠償法二条一項)の問題であるとも捉えうる。信号機のプログラム設定ミスが原因で起きた事故について、信号管理の瑕疵を認定した事例(千葉地判平成一〇年一一月二四日)が参考になる。
17 かつて国民総背番号制という批判から頓挫した「統一個人コード」について、「国民コンセンサスの流れ」を踏まえるべきとした行政管理庁長官答弁を回顧する必要がある(第七一回参議院予算委員会第一分科会第三号昭和四八年四月七日)。
18 総務省・年金記録問題検証委員会「年金記録問題検証委員会報告書」(平成一九年一〇月三一日)一六頁。
2023-08-14 23:20
nice!(0)
コメント(0)
コメント 0