これにより、各自治体がこれまで運用してきた条例はすべてリセットされることになった。年収、病歴、犯歴といった「要配慮情報」の収集を規制するなど、国の統一基準よりも厳しいルールを定めてきた自治体は少なくないが、そんな条例は一切吹き飛んでしまった。
国に基準を合わせるということは、ルールを緩和するということにほかならない。
政府は、「自治体がもつ個人情報も匿名加工すれば民間事業者に提供できるようになる」「災害時の避難者情報が自治体間で共有しやすくなる」など国と自治体のルール統一の利点を強調するが、自治体が住民との間で長年にわたって築いてきた個人情報保護ルールが後退することは、住民にとって望ましいはずがない。
自治体が先行し国が後追いする形で整えられてきた個人情報保護の枠組みは、一大転機を迎えたのである。
つぶされた個人の「自己情報コントロール権」
さらに懸念されるのは、プライバシー権の侵害の可能性だ。それは、個人情報を主体的にコントロールできるのかという根元的なテーマにぶつかる。
もともと、行政機関には「業務の遂行に必要で相当な理由のあるとき」は、本人の同意がなくても個人情報の目的外使用や第三者への提供を認められているが、個人情報保護法の一本化でさまざまなデータが集めやすくなるため、こうした個人情報の利活用は増大することが予想される。
この流れに対抗するためには、自分の情報の収集や利用を他人に許さず、消去や修正もできる「自己情報コントロール権」の確立が重要になる。
政府は、閣議決定した「デジタル社会の実現に向けた改革の基本方針」で、「個人が自分の情報を主体的にコントロールできるようにする」とうたったにもかかわらず、「デジタル化の憲法的役割」を担う「デジタル社会形成基本法」には盛り込まなかった。
EUは「消去を求める権利」を明記
政府は、個人が自分の情報を主体的にコントロールすることについて閣議決定までしていたにもかかわらず、これを葬った。「さまざまな見解があり、一般的な権利として明記することは適切ではない」と弁明したが、まさに自家撞着といえる。
結局、政府は、自己情報コントロール権の明示には応じなかった。
このため、いくら本人であっても、政府がどんな情報を保有しているのか、確かめるすべはない、ということになる。
自分の個人情報について「消去を求める権利」を明記している欧州連合(EU)の「一般データ保護規則(GDPR)」には比ぶべくもない。
個人情報保護法の改正は、データの利活用拡大の歴史であって、データ保護の強化を進めてきたわけではないことがわかる。