○井上哲士君　日本共産党の井上哲士です。
　本会議の質疑の際に、ＡＩの発展や普及に伴うリスクに応じた法規制や国民の権利利益の保護の強化を求めました。今日は、その中でも自己情報コントロール権の保護の必要について更にお聞きいたします。
　二〇〇六年の大阪高裁の判決でも、自己情報コントロール権は、憲法上保障されているプライバシーの権利の重要な一内容となっているとしております。ところが、本会議で個人情報保護法への明記を求めたところ、担当大臣は、自己情報コントロール権については、その内容、範囲及び法的性格に関し様々な見解があり、明確な概念として確立しているものではないと答弁をされました。
　そこで、城内大臣にお聞きいたしますが、こういう政府の見解の下で、本法案はこの自己情報コントロール権を国民が保有をしていることが前提とはなっていないということでしょうか。
○国務大臣（城内実君）　井上委員の御質問にお答えしますが、いわゆるその自己情報コントロール権につきましては、御指摘のような高裁判決が存在したとは承知しておりますけれども、その上告審である最高裁判決はこれを認めたものではなく、自己情報コントロール権につきましては、その内容や範囲あるいは法的性格に関して様々な見解があり、明確な概念として確立しているものではないと承知しておりまして、その旨本会議でも御答弁申し上げたとおりであります。
　したがいまして、自己情報コントロール権を国民が有しているかどうかにつきましては、司法判断としてもいまだ結論が出ていない発展途上の概念でありますので、本法案はかかる概念を前提としているものではないというふうに考えております。
○井上哲士君　この判決、最高裁判決は、これについてあえて触れていないということでありまして、否定されたものでもないんですね。
　この判決は、憲法第十三条のプライバシーの権利の保障を実効的なものにするためには、自己のプライバシーに属する情報の取扱い方を自分自身で決定するということが極めて重要になっているということを指摘をして、今日の社会にあって、自己のプライバシー情報の取扱いについて自己決定する利益、自己情報コントロール権は、憲法上保障されているプライバシーの権利の重要な一内容になっていると、こういうふうに明確に示したわけですね。
　これからもう二十年たっております。むしろ、この自己情報コントロール権というのは一層重要になっていると思うんですね。ところが、今もありましたように、政府はこれを認めるという立場に立っておりません。そういう下で、今の個人情報保護法の目的や基本理念の規定が真に個人情報を守るにふさわしい中身になっているのかが私は問われていると思います。
　個人情報保護委員会を、来ていただいておりますが、昨年の十月に個人情報保護法のいわゆる三年ごとの見直しの検討、充実に向けた視点を公表されております。その中で、個人の権利利益を保護するための考慮すべきリスクとして四つのリスク事案を例示をしております。例えば、住所、電話番号、インターネット利用の履歴等を本人が想定しない事業者が入手して、勧誘であるとか犯罪等の悪意ある行為にさらされるリスクなど四つを挙げておりますが、これ、いずれも、まさに自己情報コントロール権の保障という問題ではないんですか。
○政府参考人（佐脇紀代志君）　お答えいたします。
　委員御指摘のように、昨年十月に私ども、充実に向けた視点を公表してございまして、そこにおきましては四つのリスクを挙げてございますが、個人情報保護法におきましては、その目的といたしまして、個人の権利利益を保護することということが規定されていることも踏まえまして、個人の権利利益の侵害をもたらし得るリスクとして具体的に例示したものでございます。
　これら全てが、委員がおっしゃる自己情報コントロール権の問題ではないかという御指摘でございますけれども、先ほど城内大臣からもありましたとおり、この自己情報コントロール権につきましては、その内容、範囲、法的制約、性格に関しまして様々な見解がございまして、明確な概念として確立しているものではないと私どもも認識しておりますが、これらの四つのリスクは、いずれも個人情報保護法に基づく具体的な義務の履行でありますとか権利の行使を通じて対処すべき同法における重要なリスクであるというふうに認識しております。
○井上哲士君　四つのリスクの例えばもう一つは、本人が秘匿しておきたい自身の情報について、一旦事業者に提供すると、自身が認識できない利用がなされる可能性が排除できず、不安を覚える状況になるリスク、これなどまさに自己情報のコントロールが乱されていると、侵されているということだと思うんですよね。現実には、やっぱりそれを保護することが現実にやっぱり求められていると思うんですよ。
　日本弁護士連合会は、今年三月に個人情報保護法改正に向けた意見書を発表しておりますが、その中で、この法律は、この個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的すると規定しているけれども、個人の権利利益が何を意味しているかが明確でないと指摘をしております。そして、法律の解釈や運用の指針となるべき目的規定として不十分だという指摘を日弁連はしているわけですね。その上で、この自己情報コントロール権の保障を明記するということを求めているんです。つまり、具体的に起きている様々なこの個人情報の侵害、自己情報コントロール権の侵害、これをやっぱり正す上で、それ明確にすることが必要だと。
　四つのリスクはまさにこの自己情報のコントロール権の保障が問われているわけですから、具体的な問題を解決をし、権利を擁護する上で、曖昧、不明確なものではなくて、これをしっかりと自己コントロール権の明記をすることが必要だと、こういう指摘をしているわけですよ。改めて、いかがですか。
○政府参考人（佐脇紀代志君）　お答えいたします。
　御指摘のとおり、個人情報保護法の目的規定には個人の権利利益の保護というふうに書いてございますが、私ども、いわゆる三年ごと見直しの中で、まさに具体的にどのようなリスクをどういう手段で保護、対処していくかということをひもとく上で、あえて四つの具体的なリスクの例を挙げながら、現行の制度が足りているか足りていないのかという具体的な議論を進めているつもりでございます。
　現に、この個人の権利利益を守るためには、個人情報保護法におきましては、本人の関与の重要性に鑑み、開示、訂正、利用停止などの請求を可能とする諸規定がございますし、委員会におきましては、この法律上の諸規定を適切に運用することによって、実効的に個人の権利利益を確保していきたいというふうに考えております。
○井上哲士君　こういう問題に関するリスクというのは、これまで予想しなかったものも含めてこれからたくさん出てくるわけですよね。その度に、これをどうするかというときに、やっぱり土台になるこの考え、具体的な法益、これは明確にしておくことが必要だと思うんですよ。
　日弁連はそのことを指摘をして、今のこの個人の権利利益では、これでは不明確だということで指摘をしているわけで、重ねて、やっぱりしっかりこれを確立をしていく、明記をすることが必要だということを強く求めておきたいと思います。
　その上で、具体的にお聞きしますけれども、現行の個人情報保護法は、個人情報の目的外利用、要配慮個人情報の取得、個人情報を第三者提供する場合は本人の同意が必要だと、こういうことを定めております。しかし、形式的にはこの本人同意拒否の選択ができるという形を取っていても、同意をしない限りサービスを利用させない、また、一部のサービスを利用できないという仕組みにして、事実上本人同意を強制するという運用がかなり広範囲に行われている実態があります。これでは本人の自由な判断による同意というのは保障されないと思うんですね。
　なぜこういう事業者側による本人同意の事実上の強制というのを現行法は許しているんでしょうか。
○政府参考人（佐脇紀代志君）　お答えいたします。
　現行法におきましては、委員御理解のとおり、本人の同意の取得というものはとても重要なものとして元々位置付けてございまして、同意の取得に当たりましても、事業の性質及び個人情報の取扱状況に応じまして、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によって合意の、同意の取得をしないといけないというふうになってございます。また、同法では、個人情報の不適正な利用、あるいは不正取得を禁じる規定を設けてございます。
　委員御指摘のように本人の同意が事実上強制されるような場合などにつきましては、本人の同意に係る今のような規律でございますとか、不正取得、不適正利用に該当する可能性がございますので、委員会として適切に対応してまいりたいと思います。
○井上哲士君　いや、広範囲にやられているんですよ。ちっとも適切に対応されていないんですね。
　例えば、通販サイトでは登録しないと商品購入できません。入会するにはインターネットサイトの閲覧履歴とか購入履歴などの個人データなどを、ＡＩを利用したプロファイル分析とか、分析結果の第三者提供への同意が求められるという場合もあるわけですよね。この入会してサービスを利用した時点で本人同意をしたことになると、こういうやり方も行われておりまして、いずれも事実上の強制になっています。相当広範囲に行われているんですね。
　二〇一八年に施行されたＥＵの一般データ保護規制、規則、ＧＤＰＲは、事業者に適正な本人同意の立証責任を課して、同意が自由に与えたものであるか否かを評価する場合、目的とするサービスの提供に不必要な個人データ処理への同意を条件としているか否かが最大限考慮されなければならないというふうに規定をしております。
　こういうことも参考にして、例えば、個人情報に関する本人の同意が事実上の強制になっていないか、自由な判断による選択でなければ同意を無効にするなど、こういうような規定を今後設けていくべきではないかと思いますが、いかがでしょうか。
○政府参考人（佐脇紀代志君）　お答え申し上げます。
　現在、三年ごと見直しということで、様々な観点から法律、制度の見直しを行ってございます。
　例えば、昨年六月にその中間整理を公表いたしましたけれども、個人情報取扱事業者の提供する商品、サービスなどが本人にとって他の事業者による代替が困難な場合など、自らの個人情報を提供するか否かについて自律的な意思を選択することが実質的に難しいという場合をどうするかというのも論点にして議論してございました。
　個人情報取扱事業者と本人の関係に照らしまして、当然認められるべき利用目的の達成に必要な範囲を超えて個人情報を取得、利用することなどに対しましては、不正取得や不適正利用などの規律をどのように適用すべきか、そういったことを継続的に検討していきたいという旨を委員会として公表してございます。
　その検討事項も含めまして、現在進めております見直しの中で、関係者との対話を更に重ねながら検討を進めてまいりたいと思います。
○井上哲士君　継続的な検討はいいんですけど、やっぱり現に起きているわけですから、本当速やかに私はやってほしいと思うんですね。
　それで、ちょっと城内大臣に追加してお聞きしますけど、今議論をしてきましたように様々な問題があります。大臣、今日の午前中の質疑でも、この間の本会議でも、この法案について、イノベーション促進とリスク対応の両立を図るために、いわゆる規制法ではない形の法律として世界のモデルになり得るものだということを繰り返し答弁をされております。
　しかし、先ほど紹介したこのＥＵのＧＤＰＲ、個人情報を保護する規則では、その前文で、全ての者が自己に関する個人データ保護の権利を有するということを明記をしております。それから、ＥＵは、二〇二四年からＡＩのリスクに応じて四段階に分類して法規制を始めております。直ちに禁止、高いリスク、限定的なリスク、最小限のリスクと、高いほど厳しい規制をするということをやっているわけですよね。
　一方、この法案には規制ということはないわけですよ。どうしてこれで世界のモデルになり得るのかと、極めて疑問なんですけれども、いかがですか。
○政府参考人（渡邊昇治君）　済みません、通告ございませんでしたので、ちょっと私の方からお答えさせていただきます。（発言する者あり）はい。済みません。
　ちょっと細かくお答えしますと、確かにＡＩ法案、ＡＩ法という面で比べますと、日本のＡＩ法には罰則規定がないということがございます。しかし、法体系ということで比較をしますと、ＥＵが言っているその四つのランクに分けて、一番厳しいものは禁止、次は基準適合義務とか、こういう考え方ですけれども、日本も当然、刑法とか個人情報保護法に抵触するものは規制が掛かっているわけですし、それから医療機器とかであればその認証というのがありまして、そういう意味では、やっぱりリスクの高いものについては何らかの規制が掛かっているというところは、ＥＵと日本は、法律は違うんですけど、ＡＩ法ではなくて個別の業法みたいな形になりますけれども、ＥＵと同じような考え方ではあるということだと思います。
　さらに、そのＥＵの法律はいわゆる一般的な、ジェネラルなＡＩについて横断的に規制を掛けているわけですけど、これについては、今回そのＡＩ法案でその生成ＡＩ等については横断的に指針を課すということにしていますので、確かにその罰則、罰金があるかどうかというところとかは細かく見れば幾つか違いはあるものの、法体系を比較しますと、高いリスクのものについては何らかの制限を掛けるというところは一致しているというふうに考えております。
○井上哲士君　罰則、罰金があるというのは細かい問題ではないと私は思いますよ。この間も紹介した、今日も出されました国民の様々な不安について言っても、やはり応えるものに現状ではなっていないということを指摘しておかなければなりません。
　その上で、大臣にこのＡＩのリスクに対する対応についてお聞きしますが、このＡＩには、判断の根拠や過程がブラックボックスになる問題や、学習したデータに偏りがあったり、人間社会の偏見や不平等を反映したり、時には増幅してしまうと、こういうバイアスの問題があります。今日も幾つか指摘をされました。
　これが就職試験とか人事評価、人間の評価、選別に活用されれば、差別や不利益をもたらす危険があるということも指摘をされてきました。アメリカのアマゾンは、ＡＩを活用した人材採用システムに女性を差別する学習効果があることが判明して運用を取りやめたということもありました。これも日本でも広く知られておりますが。
　こうしたＡＩに生じるブラックボックスの問題やバイアスの問題のリスクについて、大臣の認識はいかがでしょうか。
○国務大臣（城内実君）　お答えいたします。
　ＡＩをめぐる問題の中には、機械学習モデルについて透明性が欠如、すなわちブラックボックスとなっていて内部動作が理解しにくく、重要な意思決定の場面で問題を引き起こす可能性があることや、あるいは偏ったデータを学習に使用することでＡＩが下す判断も偏ってしまうと、すなわちバイアスが掛かってしまう可能性があることなどがあると認識しております。
　このブラックボックスに起因する問題としては、例えばＡＩが不適切な判断や誤った判断をした場合に、なぜそのような判断が行われたのかが説明できないと、責任の所在が不明確になったり、再発防止を図ることが困難となったりするということが考えられます。
　また、バイアスに起因する問題としては、例えば偏ったデータの学習が行われることによりまして、ＡＩが特定の人種、性別、年齢、地域などに対し不当な判断を下してしまうということも考えられます。
　以上です。
○井上哲士君　今様々なことを挙げられましたけど、今年三月に時事通信が行った主要企業百社の調査によれば、約三割の企業で採用活動にＡＩが導入をされています。既にボーナスなどの人事評価にＡＩを使っている企業もあるわけで、更に普及が進めばリストラツールに使われるんじゃないかという指摘もあるわけですね。
　今、様々、るるリスクについてお話がありましたが、では、この日本での従業員の採用や人事評価システムの安全性、実際に使われている、この安全性がどのように確保されているのか。それから、そういう企業がきちっとガイドライン等を守っているということを誰が確認をしているのか、どのようにチェックしているのか、どうでしょうか。
○政府参考人（渡邊昇治君）　お答え申し上げます。
　ＡＩを利用しているか否かにかかわらず、雇用等の場面でそのＡＩを使って、それが偏見、差別を含んでいるというのは、これは良くないことでございまして、厚労省のガイドライン等でこういった点については一定の考え方というのは示されているところであります。
　また、総務省と経産省、先ほども御答弁ありましたけれども、作っているＡＩ事業者ガイドラインにつきましては、事業者がＡＩを使う場合に、これ当然そういった人事評価とかそういうものも含むというふうに考えておりますけれども、そういうところで使う場合にバイアスとかそういった問題にも配慮をしなきゃいけないということが書かれております。
　また、今国際的なＩＳＯとかＩＥＣで議論されているＩＳＯ４２０００シリーズという国際規格がありますけれども、これも、事業者がＡＩを使ったときのマネジメントについて国際標準というのを作っているところでございます。
　そういった取組が進んでいる中で、今回この法律に基づいて指針を整備するということになりますので、この指針の中でも、こういう雇用あるいは労働現場での不当な差別等がないように、そういうことを指針の中に盛り込んでいきたいと、そういうことは検討していきたいと思います。
　また、その実態把握といいますか、どのぐらいそれが使われているかというこの把握でございますけれども、先ほどあのアンケート調査の話がちょっと出ていましたけれども、私ども、このガイドラインに限らず、指針に限らず、政策がどのぐらい浸透しているかということも含めてこの法案、法律のこの施行実態というのは調査をしていかなきゃいけないというふうに考えております。
○井上哲士君　まあいろいろ言われて、結局業者任せなんですよね、指針ちゃんとやりなさいよと。
　先ほど紹介したＥＵのＡＩ規制は、ＡＩのリスクに応じて四段階に分類して法規制をするわけですが、雇用や人事選考などでＡＩを利用することはハイリスク利用のカテゴリーに位置付けられて、第三者機関による適合性審査を義務付けて安全性を確保するということがやられてきております。
　日本でもこの第三者機関などによる外部からのチェックということが必要だと思いますけれども、いかがでしょうか。
○国務大臣（城内実君）　お答えします。
　雇用や人事採用、選考の在り方につきまして、我が国におきましては、ＡＩに特化したものではないものの、厚生労働省のガイドライン等におきまして一定の考え方が示されているところであります。また、ＡＩ事業者ガイドラインにおきましても、ＡＩの活用に当たりましては事業者が留意すべき事項等を示しているところであります。その上で、例えば男女雇用機会均等法では、雇用管理の各ステージにおいて性別を理由とする差別が禁止されているなど、既存法による一定の取組も存在しております。
　御指摘のＥＵのＡＩ法では、確かに最上位から二段階目となるハイリスクなＡＩシステムに雇用や人事に係る事項が位置付けられていることは承知しておりますけれども、各国の制度体系はそれぞれの歴史あるいは文化によって異なるものでありますので、一概にはちょっと比較するのはどうかなというふうに思いますが、いずれにしましても、我が国としては、既存法とガイドライン等を組み合わせましてリスクに対応することを基本としつつ、本法案に基づく指針の整備や情報収集、調査、指導、助言、情報提供等を通じまして必要な対応を図っていくことになると考えております。
○井上哲士君　指針の整備とか言われますが、やはりきちっとそれが守られているかということをチェックをしなければ、これは実効性ができないわけでありまして、第三者のチェック体制を整えることが必要だと繰り返し求めたいと思うんですが、同時に、それにとどまらず法規制そのものを強める必要があると思います。
　今年四月の大手法律事務所のニュースレターによりますと、米国では、連邦政府が業界自主規制の促進や非拘束的ガイドラインの発行といったアプローチを優先してきた一方で、州レベルですね、州レベルではＡＩ関連法案の提出が急増し、ＡＩに関わる事業者に実質的な義務を課す規制法案が顕著に増加していると、こういう報告がされております。イリノイ州やメリーランド州、ニューヨーク州、ニュージャージー州、カリフォルニア州、マサチューセッツ州などで採用や人事評価の分野でのＡＩ利用についてバイアス監査、事前通知、応募者の同意などを義務付ける法規制が始まっていると、こういう報告がされております。
　こういういろんな世界の流れも見たときに、人間の評価、選別にＡＩを利用する場合は、第三者機関や外部機関による安全性審査、アルゴリズムの透明性の確保、プロファイリング対象者の同意など、やはり法規制をして事業者に義務付けていくというのが大きな世界の動きになってきていると思います。
　やはりこれに日本も踏み出すべきだと考えますが、いかがでしょうか。
○国務大臣（城内実君）　先ほども申し上げたとおりですが、国によりまして歴史や文化の背景が異なりますことから、各国の制度や法体系、様々であると考えております。
　我が国について言いますと、安全性の審査については各種業法、いわゆるプロファイリングについては個人情報保護法といった既存法によりまして、規制の対象となる場合があるものと承知しております。
　これに加えまして、本法案第十三条に基づき整備する新たな指針におきましては、ＡＩの研究開発、利用の透明性の確保を図っていくこととされております。この指針におきまして、生成ＡＩが格差、差別を助長するような出力をしないための装置をＡＩ開発者が講じることについて盛り込むことを検討しているところであります。
　いずれにしましても、今般のＡＩ法案に基づきます枠組みの中で、必要となる対応をしっかりと図ってまいります。
○井上哲士君　繰り返しになりますが、業者任せではなくて、ＡＩの発展や普及に伴うリスクに応じた法規制や国民の権利利益の保護の強化を図るということを一体で行うことが必要だということを強く求めまして、終わります。