木村 政府における平成12年のIT戦略本部発足、そして江戸川区における13年の情報化推進本部設置以来、電子政府・電子自治体への移行が急速に進んできた。8月の住民基本台帳ネットワークシステムの二次稼動をはじめ、行政の電子化の流れの中で、我が区においても情報化推進本部を中心に、電子自治体の構築が着実に進められている。実際、江戸川区は、雑誌『日経パソコン』の企画調査「e都市ランキング」において、今年、82点の評価点を獲得し、対象となった全国2640の区市町村の中で23位にランキングされた。同調査は、庁内情報化の整備状況、個人情報保護条例の充実度、セキュリティ対策、といった五つの観点から、「行政の情報化」の進展度を評価したもの。2001年調査時の418位、昨年調査時の287位に比べると、情報化における大きな進展を印象付けるものであり、執行部の努力には素直に敬意を表したい。
今回の調査において、23区中もっとも情報化の進んだ自治体であるという一定の評価を受けたわけだが、同時に、情報化の進展と推進はその目まぐるしい速さゆえ、対応のいかんによって、その評価は一気に乱高下するものでもある。今回の調査においても上位を占めている三鷹市、横須賀市、藤沢市、水沢市、あるいは市川市などのように、電子自治体の議論の中で常に高い評価を受け続ける自治体でありたいものだ。そのためには、情報インフラとしてのハード面の整備はあくまでも基本としておさえ、同時に、個人情報保護制度などの情報化政策やセキュリティ対策をいかに進めていくかという問題が、電子自治体の推進議論における向こう5年間の中心課題になっていくであろう、と私は推測する。
<個人情報保護制度の充実化>
木村 さて、今年5月、国会において、懸案となっていた個人情報保護法、そして、全面改正を受けた行政機関個人情報保護法、独立行政法人等個人情報保護法、ならびに情報公開・個人情報保護審査会設置法があわせて成立した。これによって、とにもかくにも、個人情報保護をめぐる基本的な法整備が緒に付いたと言える。中でも、個人情報保護法は民間部門の個人情報保護のあり方を規定した一般法としての性格のみならず、個人情報なるものの取り扱いを定めた基本法としての性格も併有している、大変重要な法だ。その意味で、一連の保護法制の成立が意義深いものであることは言をまたないわけだが、冷静に見るなら、これによってようやく日本は世界的に大きな影響を与えてきた、個人情報をめぐる国際的二大原則である「OECD8原則」あるいは「EU個人データ保護指令」の水準に近づいただけである、と表現することもできる。その意味において、我が国は個人情報保護の分野において国際標準の仲間入りを今果たしたばかりなのだ。また、個人情報保護法の規定自体、個人情報を守るための十分条件の提示ではなく、そのためのミニマム・スタンダードを示しているに過ぎないということを忘れてはならない。
私は昨年の第二回定例会において、江戸川区個人情報保護条例について質問をしたが、国レベルの保護法が成立した今、改めて我が区の同条例について検討することは必要な作業であると考える。今回は新たな視点も含めて、三点お伺いしたい。
第一に、第4条に記されている民間規制について。そこでは民間事業者に対して「区民の基本的人権を侵害することのないよう努めなければならない」という漠然とした努力義務がわずかに言及されているのみだ。個人情報保護法の成立によって民間事業者に対する法的規制が明確にうたわれた時代状況に鑑み、現在の努力義務規定だけで果たして民間の個人情報保護は十分なのか。区の実施機関に対する場合と同様、事業者による個人情報の収集・利用に関するもう少し具体的な拘束の仕組みづくりが必要なのではないか。
区長 個人情報保護関連五法が5月に成立し、法整備が一応終わった。それに先行して制定していた江戸川区の個人情報保護条例もこの法律の制定で考え直していかなければならない面がある。目下、作業中である。ただ、まだ政令が出ていないので、詰め切れないという問題がある。
民間事業者に対する規制のあり方をどうするかという点についての法律の規定は抽象的だ。いっぽう、民間事業者のさまざまな問題に対し、自治体が関わることが当然予想される。それを条例で決めればいいのか、政令でそういったことが示されるのか、確かめなければならない。
国が自治体にはこういうことをお願いしたいといったことを政令で示すのか、条例ではどのように準拠させるのか、などの問題があり、まだペンディングなのだが、早い時期に整備する必要があるとは思っている。
木村 第二に、個人情報処理に係る職員等の責務について。本条例においてはその対象となる行政機関つまり実施機関として、区長 、教育委員会、選挙管理委員会、監査委員および農業委員会を明確に定義している。一方で、第30条に「出資法人等の義務」として、当該法人等は「この条例の趣旨を十分に尊重し、個人情報の保護について必要な措置を講じるよう努めなければならない」という努力義務が記されている。これは、先の事業者に対する規定の場合と同様、個人情報を守る上で十分な規制内容に至っていないという課題を背負っている。また、例えば、区長以外が代表を務める諸審議会などが、「出資法人等」という文言に含まれるのかどうか、条文上、曖昧だ。独立行政法人等個人情報保護法が併せて成立したことを考えると、第30条周辺の規定については、その規制対象者をより広く定義し、また単なる努力義務から責務規定へと厳格化する方向で、条例文の整備を図る必要があるのではないか。
区長 個人情報に関わる諸問題の職員の責務の問題は、出資法人、つまり区民施設公社や環境促進事業団の職員に関することだと考える。個人情報保護関連五法では、独立行政法人に対する法律も独立で作られている。当然、条例の中にもそういう規定を収め込むのがいいと思う。これも後ほどきっちり整備したい。
木村 第三に、本条例に完全に欠けている罰則規定について。総務省の12年のデータによると、全国の個人情報保護条例のうちその条文中に罰則を規定している例は157であり、一年後の13年4月には177へと微増している。保護法制をめぐる罰則規定について国の見解が積極的になされていない当時のデータだが、1年の間に罰則を備える自治体が少しずつ増えたことがわかる。大きな動きが期待されたのは、今年3月、片山前総務大臣が個人情報保護政策の主務大臣として初めて、全国の自治体への保護条例の制定を指導し、その条例中に、当時の行政機関個人情報保護法案の内容を踏まえて「罰則をどうするかも含めて見直していただきたい」と明言し、不正を行なった職員への罰則を盛り込んだ条例の制定またはそうした条例への改正を強く求めたということだ。
国の一連の個人情報保護法には懲役あるいは罰金に関する規定がそれぞれ明記されているが、現在の我が区の条例にはその規定がない。総務大臣より「罰則を盛り込んだ条例」への改正という明確な指導指針が出されたことをも踏まえ、今一度、本条例における罰則規定のあり方についても再検討をする意味は十分にあると思うが、いかがか。
区長 職員の罰則規定について。法律では民間事業者に対する罰則が法律で用意された。また、行政機関、あるいは独立行政法人についても、それぞれ規定された。だから、区の条例の中に民間事業者の罰則については触れる必要はないと思う。それは法律で定められた。ただし、区の行政機関の職員に対する罰則は当然設ける必要があると思う。これもいずれ整理したい。いま作業中なので、ご理解いただきたい。
<セキュリティ・マネジメント>
木村 次に、インフラ面での情報化推進と個人情報保護にとって、もう一つ欠くことのできないセキュリティ・マネジメントについてお伺いする。
セキュリティ・マネジメントに関しては、12年7月に政府の情報セキュリティ対策推進室が『情報セキュリティポリシーに関するガイドライン』をまとめ、自治体におけるセキュリティ対策に関する意識の向上とセキュリティ・ポリシーの策定が全国的に広まった。総務省は全国の自治体に対し、セキュリティ・ポリシーの策定期限について、15年7月を努力目標に、15年末を最終目標とし、設定した。
江戸川区では、情報化推進本部による3ヵ年計画である江戸川区情報化推進計画の下で、情報管理安全対策要綱と情報管理安全対策基準とからなる「情報セキュリティポリシー」が14年4月に策定された。しかし、セキュリティ・マネジメントの難しさは、セキュリティ・ポリシーを作成してしまえば終わりというものではなく、変化または進化してくるサイバー攻撃に対処するため、日々その適合性を管理する継続的な取り組みが確保されなければならないという点だ。そのことを受け、ここ二、三年、セキュリティ・マネジメント関連の規格制度やセキュリティ監査制度が整備され始めたのだ。
マネジメント関連の規格においては、2000年に国際標準化規格としてISO17799が整備され、それを受けて我が国では同規格のJIS化が行われ、2002年5月にISMS(情報セキュリティマネジメントシステム)適合性評価制度がスタートした。そして、杉並区はいち早くその規格の認証取得への意思を表明した。規格の認証取得にはそれなりの時間と労力を要する作業がともなうが、その認証取得のための意思表示と努力過程は、議会をも含めた区役所全体のセキュリティに対する意識改革を目指す上ではこの上なく良い環境作りになると思う。ISMS規格の認証取得について、現段階での区長の見解をお聞かせいただきたい。
区長 区の情報化はセキュリティ・マネジメントがしっかりと構築されていないと進めることはできない。実態的には区としてもやっているとご理解いただきたい。継続的にローリングしながら、内容を改めていくことは今もやっている。セキュリティ・マネジメントがなければ情報化は推進できないので、それを前提にしていく。ISMS認証については、そのセキュリティ・マネジメントを形で明示することであるから、大変に意味はあると思う。客観的にみて、取り組んでいるんだなと分かってもらえることであるから、システムに対する信頼性を高め、大いに貢献すると思う。ぜひ検討課題としたいと思う。