コロナ接触確認アプリ、行動変容を促せないんじゃないか問題をフリークスが議論する――プライバシーフリーク・カフェ（PFC）リモート大作戦！04 #イベントレポート #完全版：通知が出たら、どうすればいいんですか？（4/5 ページ）

[鈴木正朝, 高木浩光, 板倉陽一郎, 山本一郎，＠IT]

政府広報とセットでなければ

板倉　例えば、LINEのパーソナルサポートに入っている県は県民にアンケートを送っていますから、ここしばらく熱があるとか薬を飲んでいるとかデータを持っているんです。それとつなげられるのであれば、この人には通知しなくていいという判断ができるんですが。今回の主体は厚労省で、パーソナルサポートのデータを持っているのは県です。そこだって、もう1回考えなければいけないんです。つないでいいのか、つないだ方がいいのか。

山本　勝手につないでアレ俺詐欺みたいなことをしてしまったダメな研究者もいましたけれど、そういったものも含めてうまく全体を設計しないといけないにもかかわらず、今回は災害情報と同じような扱いをしないんです。例えば、地震だったら、こういう形で避難所に行ってくださいとか、そこまでガイダンスを出せるようにしようという話だったじゃないですか。

　感染症対策においては、期間が短く詰められなかったとはいえ、「国民にどういう情報を個別に提供し、何をしてもらわなければならないのか」という、国民に必要な情報提供の仕組みは、パラレルに作らねばならなかったですよね。それがうまくいかなかったので、感染症の疑いがある人に対してきちんとした情報を提供できないまま今まで来ちゃったという反省としてあると思います。

　必ずしも政府が全て悪いわけではないけれども、政府広報の問題とセットでなければならないというのは今回非常に強く反省点としてあるんだと思うんですよね。

鈴木　都道府県がコントローラーになっていて、厚労省もコントローラーになっていて、民間にもコントローラーがいる。となれば、コントローラーtoコントローラーのデータ流通の仕組みが必要ですが、その公民連携の法的基盤が全く整っていない。個人情報保護委員会の監督権限も、行政機関、自治体には及びません。ガバナンスが機能しないところに国民のデータを預けられない。ましてやそこにEU域内の個人データが混入すると厄介です。

　公民一元化に向けた個人情報保護法改正は2021年に予定されていますし、現状、個人情報保護条例は積み残しになりそうな流れです。対象となる個人情報の定義も自治体の個人情報保護条例ごとにばらついていて、位置情報単体が個人情報に該当するか否かも各首長の有権解釈に依存しますからね。ここも当面放置される。防災もパンデミック（世界的大流行）もいろいろと国の仕事であることが明白になってきている中で、ルールも国内統一して、むしろグローバルでハーモナイゼーションでしょう？　もう日常的に使っているスマホもPCのデータもクラウド上にいっているわけですから。

山本　まさにそこだと思うんですよね。

鈴木　もう問題はここまで発現しているのに、「まだ立法事実がない」と言っていますからね。個人情報保護条例まで統合するような立法事実がどこにどれだけ具体的にあるのかと迫ってくる。

高木　誰が言っているんですか？

鈴木　大手自治体と霞ヶ関の某部局ですよ。

目的外利用はしないと宣言せよ

山本　目的外利用をしないことをきちんと明示した上で、対自治体だけでなく国民全体に広報、告知をしないといけないという鉄則があるわけで。そこをうまくフォローアップできないと、話がどうしてもごちゃごちゃになっちゃうと思うんですが。

高木　そうですね、ついつい「個人情報は取りません」と言いたくなるところを、ごまかさずにちゃんと広報できるかどうかですね。そこを準備していただきたいところです。一応、評価書では有識者はそう指摘しているんです。それを受けて、どう広報するかにかかっているわけです。

　前半で触れたように、「政府が悪用できないようになっているかどうか」については、できなくもないわけですから、「あくまでも今回の目的のためだけに使います。それ以外では使いません」と広報が言わないといけないんですよね。でも、そういうふうに広報すると「え、できるの？」と国民が思うじゃないですか。だから言わないということになりがちなんですよね。「できません」と言いたくなるじゃないですか。でもそれはウソですから。

山本　「しません」ですよね。

高木　そうです。「しないんだ」と言わないといけないんです。そういうことって、ずっと日本はできてきていないので。

鈴木　マイナンバー制度導入の前夜も、「正直ベースでいこう」と言いましたよね。もうマイナンバーの必要性や安全性だけを強調するのではなくて、そのリスクも社会に示す。そして、それをどう防ぐかを、例えば、独立行政委員会として個人情報保護委員会を設置し、立入調査権や罰則で手当するなど説明して、「ごまかさずに正攻法でいくのが信頼回復に一番いい」と言っていた。現にそうやってきたと思うんですよね。

板倉　今回も外から「個人情報については個人情報保護員会が、セキュリティに関してはNISC（内閣サイバーセキュリティセンター）がちゃんと見ます」と、国民に説明するためのツールであるはずなのに、いまだに委員会は公的機関を監督していません。監督されていないから適当でいいやと思っているのが間違いで、監督してくれていることで信頼が得られるんだという発想にすぐ切り替えてほしいわけです。会社も大きくなればなるほど、監査役や監査役会を置けとなるわけですから当然です。