「2019年度 電子情報利活用研究部レポート


地方公共団体における個人情報の保護と利活用
~教育分野での事例を交えて~」

JIPDEC 電子情報利活用研究部 主査  松下 尚史

1.個人情報保護と教育

1.1. 調査の視点と背景
 我が国においては、1960年代以降、コンピュータが情報を大量に処理することができるようになった社会との関わりにおけるプライバシーの問題が注目された。さらには、1980年代以降、コンピュータ技術と通信技術の飛躍的発展とその結合によってネットワーク化が進展し、情報量が増大するとともに、その流通が国際的にも盛んになってきた社会と関わるプライバシーの問題も議論されるようになった。そして、1999年7月、高度情報通信社会推進本部の下に個人情報保護検討部会が設置され、個人情報の保護・利用の在り方を総合的に検討することとなった。
 個人情報保護検討部会が設置された1999年度時点において、国レベルでは、国の行政機関のみを対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(1988年)が制定されていた。また、地方公共団体レベルでは、1,521団体(都道府県・市町村合計)が、自主的に個人情報保護条例を制定しており、地方公共団体によって内容に違いが生じることになった。
 他方、2020年度より、小学校では新しい学習指導要領が全面実施となり、個に応じた指導の実現のため、様々なデータ利活用・データ連携が模索されているところである。ところが、教育現場でのデータ利活用・データ連携は遅々として進んでおらず、その背景には地方公共団体が定める個人情報保護条例が影響を及ぼしていることも一因として考えられる。
 このことから、本稿では、地方公共団体が定める個人情報保護条例の状況を確認し、教育分野を例に、個人情報保護条例がデータ利活用・データ連携等に及ぼす課題等について考察していく。

1.2. 個人情報保護制度
1.2.1. 個人情報保護の法体系における個人情報保護条例

 地方公共団体は、個人情報保護基本法制に関する大綱(2000年10月11日)において、保有する個人情報に関して、以下のような措置を取ることとされた。

■ 地方公共団体の保有する個人情報に関する施策

   地方公共団体は、本基本法制の趣旨にのっとり、その保有する個人情報に関し、個人情報の適正な取扱いを確保するため必要な施策を策定し、これを実施するよう努めなければならないものとすること。
地方公共団体が保有する個人情報については、その自主性・自律性を尊重して、本基本法制の趣旨にのっとった自主的な取組が促進される必要がある。
本基本法制の趣旨にのっとり、条例が整備されていない地方公共団体においては速やかにその制定に努めるとともに、既に制定済みの地方公共団体においても、一層の充実を図る観点から現行条例の必要な見直しに努める必要がある。

 この措置を踏まえ、2003年に成立した個人情報の保護に関する法律(以下、個人情報保護法)では、地方公共団体が保有する個人情報について条例により規律することとし(同法第5条、第11条第1項)、個人情報保護に関する法体系において、図1のように整理されることとなった。

表 1 個人情報の保護に関する法律 第5条及び第11条第1項
個人情報の保護に関する法律
第5条 地方公共団体の責務

 地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。

第11条第1項 地方公共団体等が保有する個人情報の保護

 地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるように必要な措置を講ずることに努めなければならない。

図 1 現行の個人情報保護に関する法体系のイメージ

図 1 現行の個人情報保護に関する法体系のイメージ

1.2.2. 条例の2000個問題
 個人情報保護法第5条及び第11条第1項に基づいて、個人情報保護条例未制定であった地方公共団体も各々に個人情報保護条例を定め、都道府県においては2003年、市町村においては2006年に100%の制定率となった。しかし、その内容が地方公共団体によって異なっているという状況が是正されることはなかった。
 このような差異を是正するため、総務省は各地方公共団体に対し、「個人情報保護条例の見直し等について 」を2017年5月19日に通知した。これは、2015年に個人情報保護法の改正法が、2016年に行政機関個人情報保護法等改正法が公布され、2017年5月30日より全面実施されることを受けたものである。通知の中で、個人情報の定義の明確化、要配慮個人情報の取扱い、非識別加工情報を提供するための仕組みの整備等の事項について、個人情報保護条例を見直すように促した。個人情報の定義の明確化としては、指紋データ、旅券番号等の個人識別符号が個人情報に該当することが明確化し、行政機関の保有する個人情報の保護に関する法律(以下、行政機関個人情報保護法)第2条第3項と同様の定義に改正することが適当であるとした。また、要配慮個人情報の取扱いとしては、地方公共団体が保有する個人情報に関しても、本人に対する不当な差別又は偏見が生じないようにその取扱いに特に配慮を要する個人情報を明確にする必要性は変わらないため、個人情報保護条例においても、要配慮個人情報の定義を設けることが適当であるとするとともに、改正後の個人情報保護法第2条第3項に要配慮個人情報と規定された情報を含めることが適当であるとした。さらに、非識別加工情報を提供するための仕組みの整備として、官民を通じた匿名加工情報の利活用を図っていくため、個人情報保護条例においても、行政機関個人情報保護法を参考としつつ、個人の権利利益の保護及び行政の事務の適正かつ円滑な運営に支障を生じないことを前提として、非識別加工情報の仕組みを導入することが適当であり、非識別加工情報の定義及び加工の基準は個人情報保護法上の匿名加工情報の定義及び加工の基準と同等の内容が適当であるとした。
 ところが、地方自治情報管理概要によると、2019年度において、個人情報の定義における個人識別符号の定義を規定している都道府県は41(87.2%)、市町村は956(54.9%)となり、規程状況にバラツキがある。同様に、要配慮個人情報の定義については都道府県が36(76.6%)、市町村が916(52.6%)、非識別加工情報の作成・提供については都道府県が2(4.3%)、市町村が9(0.5%)という状況となっている。
 現在、このような地方公共団体の取組状況には差が生じていることに加え、個人情報保護に関する法体系は、図1のように、地方公共団体・民間部門・国の行政機関・独立行政法人等によって適用される枠組みがそれぞれ異なっていることとも相まって、所謂「2000個問題」として顕在化することになり、以下のような問題が指摘されるに至った。

(i) 条文のばらつきが予想以上に大きいこと
 「個人情報」の定義の違いだけではなく、「個人識別符号」、「要配慮個人情報」、「匿名加工情報」・「非識別加工情報」の有無、学術研究利用の適用除外条項の有無、安全管理の水準などかなりばらついている。

(ii)解釈権が2000個に分立していること
 モデル条例を採用するなど条文を統一しても解釈権が自治体に残れば識別性判断基準、照合性判断基準などがばらつき、非個人情報化の手法に大きく影響する。

(iii)各個人情報保護審議会(審査会)の答申 — 手続き上の課題
 自治体が保有する個人データの連携が必要な場合に、関連するそれぞれの自治体の個人情報保護審議会の答申を待たねばならないという手続的制約がある。審議会の委員の経歴、専門性等もばらつきがあり、判断が異なることが多い。地方においては必ずしも個人情報保護法制に明るい人材がいるわけではなく、2000の審議会の水準を同等にすることは極めて困難であるように思われる。

(iv)個人情報保護法の3年ごと見直し条項 — 国家法と自治体法の乖離
 国の個人情報保護法は、越境データ問題解決のために今後も改正が繰り返される(例えば、プロファイリング規制条項の導入は検討課題となっている。)個人情報保護法制における国家法と自治体法は3年ごとに乖離していくことになる。地方議会は、マイナンバー条例の改正など関連条例を含めて改正圧力にさらされて疲弊することになり、放置する自治体も増加するほどに、統一性はさらに崩れていくほかない。

 このような問題は、個人データの広域連携及び利活用を阻害する大きな要因となることやオープンデータ政策への影響が懸念されており、地方公共団体が保有する情報の十分な利活用が難しくなるのではないかとの指摘がなされている。
 そこで、昨年度、当協会で取り組んだ教育分野でのオープンデータ利活用に関する調査研究結果を用いて、より具体的に、以降に示していく。

1.3. 2000個問題を取扱うにあたって
 個人情報保護法の第1条(目的)には、「個人情報の適正かつ効果的な活用」、「個人情報の有用性に配慮」という言葉が含まれており、個人情報の保護のみを目的とした法律ではないことがわかる。また、同条は「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」と締め括られていることからも、個人情報の有用性(適正活用)と個人の権利利益の保護のバランスをとることを目的としていることは明らかである。
 地方公共団体は、同法第5条(地方公共団体の責務)にあるように、「この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する」のであって、個人情報保護法の目的を踏まえた施策を策定しなくてはならず、個人情報を保護するだけではなく、有用性についても検討しなければならない。
 では、実際の個人情報の活用にはどのようなものがあるのだろうか。例えば、箕面市の「子ども成長見守りシステム」では、学力・体力調査結果、学校健診・乳幼児健診の結果、生活保護・児童扶養手当・就学援助の受給状況、保育料算定時の所得状況などのデータを活用している。福岡市の「地域包括ケア情報プラットフォーム」では住民情報や介護保険・国民健康保険・後期高齢者医療加入者の被保険者情報などのデータを活用するなどしている。これらの例のように、個人情報の活用においては、特定個人情報及び要配慮個人情報を除く、様々な個人情報が活用されている。
 上記の例は、複数の地方公共団体が連携しているものではなく、単一の地方公共団体による取組であり、広域連携などを課題とする2000個問題の事例としては適切ではない。他方、多くの地方公共団体が共通のフォーマットとして保有しているデータを用いることができれば、地方公共団体の取扱いの差異が明確になるとともに、広域連携などの課題も明確になると考えられる。
 そこで、小学校に着目してみたい。市町村は、その区域内にある学齢児童を就学させるに必要な小学校を設置しなければならない(学校教育法第38条)とされていることからも、全国の地方公共団体には小学校が存在していると考えられる。また、小学校においては、2020年度より新たな学習指導要領(平成29年告示)の全面実施が予定されており、ICT機器などのコンピュータ等の情報手段を活用した「個に応じた指導」の実施に関する様々な議論・取組を進めている。ところが、「個に応じた指導」の実現に必要な教育データの活用・連携、分析等について、経済産業省で開催された「未来の教室」とEdTech研究会においても指摘※1されたように、多くの議論・取組において、個人情報保護条例が課題になるという事態となっている。
 かかる観点から、全国の地方公共団体が共通フォーマットで保有している全国学力・学習状況調査結果の取扱いや解釈の違いから、データ利活用に関する課題を洗い出す。

1.3.1. 教育データの非識別加工
 全国学力・学習状況調査は、全国の小学6年生及び中学3年生を対象に2007年度から実施※2されており、調査の目的は、以下のとおりとなっている。

 ・義務教育の機会均等とその水準の維持向上の観点から、全国的な児童生徒の学力や学習状況を把握・分析し、教育施策の成果と課題を検証し、その改善を図る。
・学校における児童生徒への教育指導の充実や学習状況の改善等に役立てる。
・そのような取組を通じて、教育に関する継続的な検証改善サイクルを確立する。

 このような目的を達成するために、調査の内容として、教科に関する調査(主に国語と算数・数学)と生活習慣や学校環境に関する質問紙調査が実施されている。全国学力・学習状況調査は、2010年度~2012年度を除き、悉皆調査となっているため、2010年度~2012年度を除く2007年度~2019年度までの調査実施率の平均値は、小学校99.1%・中学校95.3%と、全国のほとんどの小学校・中学校で実施されていることがわかる。
 このように全国規模で実施された全国学力・学習状況調査の結果は、各地方公共団体の学校や教育委員会に伝達される。学校や教育委員会における調査結果の取扱い方は、「教育情報セキュリティポリシーに関するガイドライン」の指針を参考にすると、校務系情報として扱われることになっている。校務系情報とは、「児童生徒の成績、出欠席及びその理由、健康診断結果、指導要録、教員の個人情報など、学校が保有する情報資産のうち、それら情報を学校・学級の管理運営、学習指導、生徒指導、生活指導等に活用することを想定しており、かつ、当該情報に児童生徒がアクセスすることが想定されていない情報」として、教職員以外がアクセスできない重要な情報に位置づけられる。また、校務系情報は、機微な情報を含むため、インターネット接続を前提とするシステムで管理しないことを原則としている。
 一方、文部科学省では、大学等の研究者による多様な研究の進展等により、教育施策の改善・充実等を図ることを促進するため、全国学力・学習状況調査の調査結果の個票データ等を大学等の研究者や公的機関の職員等に一定期間貸与している。貸与しているデータには、個票データ・匿名データ・パブリックデータの3種類があり、個票データには児童・生徒及び学校のローデータ※3があり、それに非識別化等の処理を施したものが、匿名データ・パブリックデータとなる。匿名データは、調査実施日に調査を行った児童・生徒や学校の10%を無作為に抽出し統計処理を行ったものであり、パブリックデータは、集計表の統計量から乱数を発生させて作成したものとなる。文部科学省のガイドラインによれば、個票データの貸出は有識者会議にて審査を行った後に文部科学省が貸与を決定、匿名データの貸出は文部科学省にて審査を行い、有識者会議に報告するなど、審査・決定方法にも違いがある。
 このような文部科学省の取組を参考にして、地方公共団体においても、全国学力・学習状況調査の結果を非識別加工情報として提供することができないかと、一部では検討が進んでいる。

1.3.2. 非識別加工に係る課題
 地方公共団体が非識別加工情報を提供するためには、その旨を個人情報保護条例に規定しなければならないが、前述したように、非識別加工情報に関しての規定を設けている団体は、都道府県が2(4.3%)、市町村が9(0.5%)という状況である。一方で、非識別加工情報に関する規定がなされていない地方公共団体の中には、統計の作成又は学術研究を目的として、非識別加工情報を貸与するための体制を整えている地方公共団体も存在する。
 まず、前者について、人口10万人以下の地方公共団体が地方公共団体全体の80%以上を占めることから、人口10万人以下の小規模地方公共団体が非識別加工情報を提供する際に係る課題を整理し、後者の例として、個人情報保護条例の目的外利用について、埼玉県個人情報保護条例を紹介する。

(1)小規模地方公共団体での非識別加工情報導入に関する課題
 文部科学省が貸与する匿名データは、抽出調査である平成22年度、平成24年度を除き、全国の小学6年生・中学3年生の全児童・生徒を対象としている。そのため、文部科学省による匿名データの作成手法をそのまま小規模地方公共団体の個票データに適用した場合は、以下の2つの点において、非識別性と有用性の観点から不足が生じると思われる。

a)サンプリングについて
 第一に、サンプリングの問題が考えられる。全国学力・学習状況調査は、小学校約2万校・中学校約1万校・小中学生それぞれ約100万人を対象としている。文部科学省の匿名データでは、ここから10%のサンプリングを行っても統計処理を行うのに十分なデータが残っている。しかし、人口10万人以下の小規模地方公共団体を想定し、その地方公共団体の個票データから10%のサンプリングをした場合、学校匿名データは数件、児童生徒匿名データは数百件程度のデータになることが推測される。
 匿名データは、平均正答率の信頼区間を一定区間に収めるという観点から、サンプリング率の検討が行われている。小規模地方公共団体の個票データの非識別加工を行う際にも、同様の観点から有用性を考慮した上でサンプリング率を再検討するべきであるが、有用性の観点からサンプリングを行わないという手段も考えられる。仮に、サンプリングを行わなかった場合には、他の非識別加工の手法を組み合わせるなどして、十分に非識別性を担保する必要がある。

b)学校データの取扱いについて
 全国学力・学習状況調査の結果データを非識別加工する上で学校データの取扱いは特徴的の一つである。学校データは個人情報ではないが、個人を特定するための情報の一つである。加えて、個人情報の観点以外に、学校の序列化を招かないためにも学校が特定されることは避けるべきであるとされている。
 特に、児童生徒匿名データと学校匿名データの紐付けを行った場合、学校ごとの児童生徒匿名データの件数から児童生徒数が割り出され、公表されている学校の児童・生徒数と照合したり、学校ごとの平均正答率が計算され、学校ウェブサイト等で公表されている平均正答率と照合したりすることで、児童生徒が属する学校が特定されてしまうおそれがある。学校が特定されれば、他の情報と組み合わせることで比較的容易に個人が特定される可能性が考えられるため、学校を識別する情報を削除した上で、児童生徒匿名データと学校匿名データの紐付けも避けるべきであると考えられる※4
 また、教科ごとの平均正答率の情報は、匿名データでは整数値に丸められているが、小規模地方公共団体に同様の考え方を適用した場合、例え整数値に丸めたとしても平均正答率が近い学校から特定の学校を推測することは容易であるため、別の非識別加工の方法を検討する必要があると思われる。
 このように2点の課題について取り上げたが、非識別性と有用性はトレードオフの関係にあると言われる。また、個人情報から特定リスクを完全に取り除くことは不可能である。佐久間淳によれば、「特定のリスクを適切に低減するためには、データを収集する者、データを流通させる者、データを利用する者の『してもよい行為』と『してはならない行為』を明確に区分することが必要」であるとされている※5。データを非識別化した上で、想定される技術範囲を超えた高度な技術を用いて特定することは制度によって規制することも含めて検討するべきであると考えられる。

(2)目的外利用
 個人情報保護条例等において、地方公共団体の内部において情報の利用(収集)目的以外の目的のために個人情報を利用することができる場合及び地方公共団体の外部に提供することができる場合として、目的外利用等が規定されることがある。埼玉県では、県個人情報保護条例の利用及び提供の制限を表2のように定めている。

表 2 埼玉県個人情報保護条例 利用及び提供の制限
(利用及び提供の制限)
第11条 実施機関は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報(保有特定個人情報を除く。以下この条、第12条及び第27条第1項において同じ。)を自ら利用し、又は提供してはならない。
2 前項の規定にかかわらず、実施機関は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。

 一 本人の同意があるとき、又は本人に提供するとき。
二 実施機関が法令の定める所掌事務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することにつき相当の理由があるとき。
三 県の機関、国の機関、独立行政法人等、他の地方公共団体又は地方独立行政法人に保有個人情報を提供する場合において、当該保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することにつき相当の理由があるとき。
四 前3号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することにつき特別の理由があるとき。

3 前項の規定は、保有個人情報の利用又は提供を制限する他の法令の規定の適用を妨げるものではない。
4 実施機関は、個人の権利利益を保護するため特に必要があると認めるときは、保有個人情報の利用目的以外の目的のためのその内部における利用を特定の部局又は機関に限るものとする。

 この利用及び提供の制限のうち、「専ら統計の作成又は学術研究の目的のために保有する個人情報を提供するとき」に該当するとして、県独自に行っている埼玉県学力・学習状況調査の結果は、個人が識別できないように加工し、委託契約を締結した上で、慶應義塾大学にデータ提供されている。慶應義塾大学以外からの申請に対しても門戸を開いているが、埼玉県のホームページ上には申請窓口などの設置はしておらず、電話での受付のみとなっている。申請があった際には、利用目的等が埼玉県の個人情報保護条例及び埼玉県教育委員会が定める「埼玉県学力・学習状況調査データの提供に関する基本方針」※6に合致するか確認し、合意に至れば、提供を許可することも可能としている。加工方法については、埼玉県は700万人以上の人口を抱え、埼玉県学力・学習状況調査は、毎年度、小学校約706校・中学校約356校で実施されており、調査対象人数は小学生約15万人・中学生約14万人※7とサンプル数も十分にあるため、人口10万人以下の小規模地方公共団体と違い、個人に関連する情報の一切を削除することで提供が可能となっている。
 しかし、埼玉県のように目的外利用について、「専ら統計の作成又は学術研究の目的のために保有する個人情報を提供するとき」を規定している地方公共団体は、都道府県において34(72.3%)、市町村においては642(36.9%)となっており、その規定状況には、やはりバラツキがある。目的外利用については、「専ら統計の作成又は学術研究の目的のために保有する個人情報を提供するとき」以外にも様々な規定があり、2019年度の総務省の調査によると、その規定状況は図2のとおりとなっている。

図 2 目的外利用等の規程状況(複数回答)

図 2 目的外利用等の規程状況(複数回答)

 では、目的外利用について規定すれば足りるのかというと、そうではない。埼玉県教育委員会へのヒアリングでは「個人情報の提供に当たって、条例を改正すれば足りるというものではなく、地方公共団体・学校は勿論、保護者の方々からのご理解も得るように努めなければ、例え、個人を識別できない形に加工した個人情報であったとしても、円滑な提供には至らない。」と、条例を改正しただけでは広く理解を得ることが難しいとの指摘があった。

1.3.3. 教育現場で取得される個人情報に対する解釈とオンライン結合制限
 文部科学省では、2017年度より次世代学校支援モデル構築事業を実施している。本事業では、児童生徒が学習用コンピュータ等を活用した際の学習履歴等と、教員が校務事務で入力したデータ等を連携・活用して、学びを可視化することを通じ、教員による学習指導や生徒指導等の質の向上、学級・学校運営の改善等を図ることを目的とし、モデルケースの整理及び効果的なデータ連携・活用方法に関するポイントの整理を行っている。
 次世代学校支援モデルの実証地域は、福島県新地町、東京都渋谷区、大阪府大阪市、奈良県奈良市、愛媛県西条市の5地域、実証校全19校となっているが、これらの実証地域において、個人情報の取扱いについて、それぞれ異なる解釈や対応の例が、表3のように確認されている。2000個問題として指摘された解釈権の分立の一例である。

表 3 個人情報の取扱いの解釈と具体的な対応の例
地域
内容
地域A
・パブリックネットワーク上で稼働する学習系システムを新たに利用するにあたり、本人の同意が必要となるため、保護者に同意書を提出してもらった。
・また、校務支援システムはプライベートネットワーク上で稼働している。プライベートネットワークにあっても、外部のサーバとつないで個人情報の処理を行うことになるため、個人情報保護審議会にて諮問を行い、承認を得た。
地域B
・個人情報は既存の校務支援システムの中で取り扱っており、個人情報を外部へ提供することはない。
・しかし、パブリックネットワーク上で授業・学習系システムを利用することは、外部のサーバとつなぐことになるため、個人情報保護審議会への諮問を行った。その結果、個人名は必要以上の個人情報と判断されたため、システム上では個人名を表示する代わりに、児童生徒IDを表示している。
地域C
・児童生徒に対する個に応じた指導の実現と教育効果の最大化を図るという本来の目的の範囲内で利用している。
・また、従来、パブリックネットワーク上で校務系システム、授業・学習系システムが稼働しており、公益上の必要があり、かつ個人情報保護について必要な措置が講じられているため、個人情報保護審議会への諮問は必要ないという判断に至った。

 表3にあるように、実証地域においては、外部サーバへ接続する際には、必要に応じて個人情報保護審議会への諮問を行うなどの対応を取っている。多くの地方公共団体では、個人情報保護審議会等の意見を聴いた上で、公益上の必要があると認める場合などには、個人情報保護条例に基づき、個人情報の提供についてオンライン結合※8が認められている。このようなオンライン結合の制限に関する規定は、都道府県において44(93.6%)、市町村において1,625(93.3%)で規定されているため、表3のように解釈の違いにより、対応にも違いが生じる可能性がある。一方、行政機関個人情報保護法では、オンライン結合を禁止しておらず、地方公共団体においても、ITの活用により行政サービスの向上や行政運営の効率化が図られていることから、オンライン結合制限については、行政機関個人情報保護法の趣旨を踏まえながら、その見直しを行うなど、各地方公共団体において適切に判断する必要があるとの指摘がなされている。また、「官民データ活用推進基本法」にて「国の施策と地方公共団体の施策との整合性の確保その他の必要な措置を講ずるもの(第19条)」と規定されているにも関わらず、行政機関個人情報保護法と各地方公共団体の個人情報保護条例は整合していない状態となっている。

2.データ利活用に向けた施策

 ここまで教育分野を例に見てきたように、個人情報保護条例の条文や解釈にはバラつきがあり、非識別加工などの利活用に関しては、条例に規定したとしても、サンプル数(学校データを用いた場合の容易照合性含む)、住民理解、オンライン結合等の課題があり、その利活用が難しいことを確認することができた。
 このような課題に対し、現在、どのような検討が進められているかを、以下に示していく。

2.1. 個人情報保護条例の条文・解釈のバラつきへの対応
 2016年10月28日、個人情報保護法及び行政機関個人情報保護法の改正等を踏まえ、個人情報の保護に関する基本方針の一部変更が閣議決定された。この中で、個人情報保護条例の見直しに当たっては、「特に、行政機関個人情報保護法を参考としつつ、個人情報の定義の明確化、要配慮個人情報の取扱い、非識別加工情報を提供するための仕組みの整備等の事項について留意することが求められる」とされ、その内容は2017年5月19日に総務省から「個人情報保護条例の見直し等について」として通知されたことは既に述べたとおりである。
 その後、2019年11月27日、経済再生諮問会議において、「自治体ごとにばらばらな約2000の個人情報保護の取扱基準があり、民間による行政データ活用の大きなハードルになる。国の行政機関や独立行政法人における取扱基準も含め、国全体での官民通じた利活用を進める基盤とするべく、個人情報保護委員会及び総務省は、法律の制定を含め、個人情報保護基準の標準化を早期に推進すべき」 との指摘もなされた。
 そして、個人情報保護委員会は、個人情報保護法いわゆる3年ごと見直し制度改正大綱において、「地方公共団体の個人情報保護制度の中長期的な在り方については、これまで検討が十分になされている状況とはいいがたい。このため、まずは関係者による実務的な意見交換の場として、委員会と地方公共団体等から構成する『地方公共団体の個人情報保護制度に関する懇談会』の開催を本年10月に決定し、12月から開催しているところである」として、「今後、現在条例で定められている地方公共団体が保有する個人情報の取扱いについて、法律による一元化を含めた規律の在り方、地方公共団体の個人情報保護制度に係る国・地方の役割分担の在り方に関する実務的論点について地方公共団体等と議論を進める」とし、取り組んでいる。
 法律による一元化について、個人情報保護委員会の報告を確認すると、一元化については横断的な利活用のためとする意見が多く、その他、各地方公共団体の負担軽減のためとする意見や、個人情報保護の対策が遅れる地方公共団体を押し上げる議論であるべきとの意見があった一方で、地方自治を損なう統合には反対とする意見や、従来の条例による分権的法制を維持すべきとの反対・慎重な意見もあったことが報告されている。加えて、法律の統合について規律の緩い方に合わせた法制度を構築する場合は反対とする意見も出された。
 そこで、地方公共団体の個人情報保護制度に関する懇談会(以下、本懇談会)では、地方公共団体における個人情報保護条例の規律の在り方に係る実務的論点を整理することとして、その検討の前提となる地方公共団体の個人情報保護等に関する条例等の実態を、より詳細に把握し、整理するための調査を予定している。その結果、一定の顕著な傾向や本懇談会の意見交換で出てこなかったような新たな論点が見えてくるようであれば、本懇談会での今後の意見交換にて検討していくこととされている。

2.2. 非識別加工情報の作成組織
 個人情報保護条例の条文を整えるだけでなく、地方公共団体が保有する個人情報の利活用を推進するためには、非識別加工情報の提供に関する課題も解決していかなければならない。
 既に述べたように、地方公共団体の80%以上を占める人口10万人以下の小規模地方公共団体においては、サンプル数などの課題が残るほか、データの加工を行う人材の確保が難しい可能性がある。
 そこで、総務省は、「地方公共団体が保有するパーソナルデータの効果的な活用のための仕組みの在り方に関する検討会」(平成30年4月20日報告書公表)において、地方公共団体の非識別加工情報の活用をより効率的に行う観点から、データを利活用する民間事業者が簡便に地方公共団体のデータにアクセスできる環境の整備及びこれに伴う地方公共団体の負担軽減について作成組織等の検討を進める必要があるとされたことや、「規制改革実施計画(平成30年6月15日閣議決定)」の内容等を踏まえ、「地方公共団体の非識別加工情報の作成・提供に係る効率的な仕組みの在り方に関する検討会」(以下、本検討会)を開催し、地方公共団体の非識別加工情報の作成・提供に係る効率的な仕組みの在り方について検討を行った。本検討会では、地方公共団体とは別の組織である作成組織(図3)での非識別加工情報の作成・提供等について検討が進められた。

図 3 作成組織による非識別加工情報の作成・提供の仕組み

図 3 作成組織による非識別加工情報の作成・提供の仕組み

 他方、作成組織の事業採算性について、「作成組織における事業採算性等に関するワーキンググループ」での検討が行われ、事業採算性については、現時点において非識別加工情報のニーズが十分に見込めるとはいい難いこと、地方公共団体とのデータ受渡し等にどの程度の調整コストを要するか等、様々な不確定要素があるため、作成組織の仕組みに係る事業採算性を明確に評価することは難しい状況にあるとされ、財政的な支援を行うことが適当であるとの考えが示された 。
 本検討会は、上記のような検討を踏まえた今後の方向性として、地方の非識別加工情報の効率的な作成・提供の仕組みである作成組織の取扱いについては、データ利活用の推進策の観点から、検討・整理されることが適切と考えられるとして、中間とりまとめを公表したところである。

3. まとめ

 個人情報保護法第1条(目的)は、個人情報の有用性(適正活用)と個人の権利利益の保護のバランスをとることを目的としていることは既に述べたとおりである。また、第5条において、地方公共団体は、上記の趣旨を踏まえつつ、その責務を果たすことが求められている。地方公共団体が保有する個人情報をデータとして連携し、利活用することで、災害・医療などの地方公共団体の境界線に縛られない対応が必要な分野において可能になるほか、民間事業者が活用することで、様々な新規事業が創出されることも考えられる。
 例えば、教育分野では、非識別加工情報を活用することで、

・児童生徒の学習コンテンツの利用状況に関する非識別加工情報を活用し、新教材の開発等に活用するケース
・教員の指導計画及び児童生徒の評価等情報に関する非識別加工情報を活用し、新教材の開発等に活用するケース

というようなケースを考えることもできる。
 このような活用のためには、データの形式やフォーマット、用語の定義や解釈を統一させたデータの標準化がなされる必要があると同時に、行政機関個人情報保護法では禁止されていないオンライン結合を可能にし、目的外利用の基準を統一するなど、データを簡便に利用できる環境を整えなくてはならない。
 地方自治を尊重し、地方公共団体の個人情報保護条例が異なることを良しとする向きもあるが、地方公共団体が保有する有益なデータ利活用を前向きに進めていかなければ、人口減少・高齢化等の要因から、多くの地方公共団体が提供するサービスの水準は低下していくであろうし、地方公共団体が保有するデータを有効に利活用できなければ、地方創生に繋がる新サービスの創出を阻害することにもつながる。そうした場合、不利益を被るのは、そこに住む人々である。そのように考えれば、本稿で見てきたような個人情報保護条例の2000個問題を放置することなく、地方公共団体が保有するデータを横断的に利活用できるよう、国が主導して法律による一元化を進めるべきである。
 また、小規模な地方公共団体の非識別加工情報に関する作成・提供についても、財政力や人材などの課題もあるため、国が財政支援をしつつ、作成組織を現実のものにしなければ、いつまで経っても非識別加工情報の提供が進むことはない。この点においては、「地方公共団体の非識別加工情報の作成・提供に係る効率的な仕組みの在り方に関する検討会」での更なる検討が期待される。
 顕在化した2000個問題を放置することなく、個人情報保護法の目的にあるとおり、保護と同時に、その有効活用を模索していかなければ、地方公共団体が抱える多くの問題は解決しないのではないだろうか。  

<注>

※1 経済産業省「未来の教室」と EdTech 研究会第1次提⾔(2018)
 本提⾔書の中で「各⾃治体の個⼈情報保護条例のほとんどは、「オンライン結合制限」(通信回線を通じたパソコン等の結合の制限)を規定しているため、個⼈情報利⽤を伴うクラウドの利⽤には⼤きな制限がかかり、これが原因となり、学校での EdTech の導⼊が⾒送られることが多々ある」との指摘がなされている。 https://www.meti.go.jp/shingikai/mono_info_service/mirai_kyoshitsu/pdf/20180628001_1.pdf

※2 2011年度は、東⽇本⼤震災の影響等を考慮し、調査の実施は⾒送られている。

※3 児童⽣徒の解答⽤紙番号ごとに、教科に関する調査の解答状況及び質問紙調査の回答状況等を⼀覧にしたものを「児童⽣徒ローデータ」といい、学校コードごとに、教科に関する調査の平均正答数等及び質問紙調査の回答状況等を⼀覧にしたものを「学校ローデータ」という。

※4 ⽂部科学省による匿名データでは、学校匿名データと児童⽣徒匿名データの紐付けは⾏われておらず、今後の課題として位置づけられている。

※5 佐久間淳(2016)データ解析におけるプライバシー保護.講談社,p.31

※6 埼⽟県教育委員会によると、インターネット上には公開していないとのことであった。

※7 調査対象となる学校数及び児童・⽣徒数は、2015年度〜2019年度までの平均値である。

※8 通信回線を通じた電⼦計算機の結合をいう。