高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱
(語り手)JILIS副理事長 高木 浩光
(聞き手)JILIS出版部 編集長 小泉 真由子
(撮影)宇壽山 貴久子
この1年、過去の海外文献を調査していたという高木浩光さん。これまでの研究の一部は情報法制レポート創刊号の特集として掲載されましたが、高木さんに言わせると「あれはまだ序の口」とのこと。本日お伺いする内容は近々高木さん自身が論文にされる予定とのことですが、まだ時間がかかりそうということで、急ぎ、インタビューとしてお話しいただくことになりました。なお、このインタビューは大変長くなっております。ぜひ、最後までお付き合いいただければと思いますが、時間のない方は、目次を参照していただき、気になるトピックからお読みください。
—— 今日は、高木さんがどうしても今すぐみなさんに伝えたいことがあるとのことで、インタビューでお話を聞くことになりました。
高木: はい、よろしくお願いします。話はとても長くなります。全部を説明しないと結論の理由にならないので、かなり大変ですが、全部を一気にお話ししましょう。
—— さて、どこから始めましょうか。個人情報保護法の改正の話からでしょうか。一昨年と昨年、立て続けに個人情報保護法の改正がありました。今年と来年に施行されるとのことですが、個人情報保護の法制度は今後どのように変化していくとお考えですか。
高木: 一昨年成立した「令和2年改正」は「3年ごと見直し」の一環で、「仮名加工情報」、「個人関連情報」の概念が整理されたほか、「保有個人データ」の6か月要件が撤廃され、「不適正利用」を禁止する規定が新設されます。「匿名加工情報」もガイドラインで微修正されます。施行は今年4月です。
昨年の「令和3年改正」は「公民一元化」、つまり、これまで、行政機関と独立行政法人が対象の「公的部門」と、一般の事業者が対象の「民間部門」の法律が別々になっていたのを、一本化して、定義などを統一するという改正です。これも今年4月施行です。
さらに、都道府県や市区町村など全国の地方公共団体は、それぞれ独自の個人情報保護条例が適用されていたのが、令和3年改正で、国の法律に一元化され、個人情報保護法が直接適用されるようになります。これが来年に施行されます。
—— 「3年ごと見直し」があるのは知っていましたが、それとは別の改正もあるのですね。
そうなのです。元々「公民一元化」は、平成27年改正の附則で検討事項とされていたもので、いつかはやるのだろう、今度の次の「3年ごと見直し」でやるのかな?と思っていたところ、急遽やることになった感があります。菅内閣発足で始まった「デジタル改革」と合わせて整備されましたが、実は、それより前、令和元年12月から立案が開始されていたもので、本当はデジタル改革はあまり関係ないと思います。
—— なるほど、実はデジタル改革とはあまり関係がない。公民一元化は何を目的にしているのでしょうか。ルールの内容が大きく変わる?
高木: ルールの内容は基本的にはほとんど変わりません。まずは一元化するだけです。しかし、将来の改正でルールを変更するための下準備ができたといえるでしょう。これまでは、民間部門を改正すると、追って公的部門も同じように改正するか検討するというパターンになっていて、過去には、「公的部門には必要ない」などといって、チグハグな結果となることが多々ありました。そこに、さらに地方公共団体の条例もとなると、足並みが揃う見込みがありませんでした。
—— なるほど。公民一元化することで、将来の改正をスムーズにする下地を作ったというわけですね。
高木: そうです。そして、これから必要となってくるのは、この法律の目的を明確にし、「保護」の中身は何なのか、その憲法上の位置付けを明らかにしていくことです。そのためには、公民チグハグ、地方バラバラでは話が始まらないのです。
目次
- 個人情報保護法が保護するのは個人情報ではない?
- 目的内の提供は制限されていない?
- 不適正利用の禁止は適正な利用義務ではない?
- 紹介されていなかった個人データ保護の真意
- 「file」とは何か、「data」とは何か
- プライバシー保護法ではなくてデータ保護法である
- プライバシー保護じゃないのにプライバシーガイドライン?
- 見え隠れする米国の意向
- ここからが本題
- 関係ないデータを用いた個人の評価
- データ保護の意思決定指向利益モデル
- フランスの50年前の事例
- 公開情報であっても対象となる理由
- 曲解されていった日本法
- 他の法目的はどうなの?
- 情報公開と個人情報保護は車の両輪ではない
- なぜこんなに混乱してきたのか
- 記録を伴わない自動処理への拡張
- 自己情報コントロール権と情報自己決定権
- 平成15年法制定時の大失敗
- これからどうしていくのか
- 憲法上の位置付けを明らかにしていくとは?
- 自治体条例を「リセットする」本当の理由
個人情報保護法が保護するのは個人情報ではない?
—— 「法律の目的」が明確になっていないというのは衝撃的なのですが。「法律の目的」は個人情報を保護することではないのでしょうか。
高木: この法律の目的は、情報を保護することではないのです。第1条の目的規定は、「個人の権利利益を保護する」と書かれていて、「個人情報を保護する」とは書かれていません。EU(欧州連合)のGDPR(一般データ保護規則)でも、第1条で「個人データの処理に係る自然人の保護」がうたわれており、個人データを保護するとは言っていない。保護する対象は「人」なのです。
—— なるほど、保護するのは「情報」ではなく「人」。でも、GDPRには「the protection of personal data」(個人データの保護)というフレーズも出てきますよね。
高木: この「the protection of personal data」というのは、文字通りにpersonal data(個人データ)をprotect(保護)することではないのです。このフレーズは欧州の法律用語であり、ドイツ法の「Datenschutz」が起源で、それと共通の用語だと言われています。「Daten」はデータのことで、「schutz」は保護の意味です。英語に直訳すればdata protectionです。この場合のdataはpersonal dataのことです。
—— データを意味する「Daten」+保護を意味する「schutz」で「Datenschutz」。なのに「Datenschutz」=データを保護することではない、ということですか?
高木: 実はドイツでも、Datenschutzの語が登場した1970年代前半に、この用語は誤解を招くとの批判がありました。データの漏えい・滅失・毀損を防ぐ意味での「保護」と誤解させると。ドイツではDatensicherung(データ保護)あるいはDatensicherheit(データ保護)とDatenschutz(データ保護)は別概念だとされているのですが、字面ではそのことがわかりません。
当時、別の言葉がいくつか提案されたようですが、いずれもイマイチだということで、結局このDatenschutzの語を使い続けることで落ち着いたそうで、その後は、Datenschutzは文字通りにデータを保護することではなく特別な意味を持つ法律用語だということになっています。
—— Datenschutzは文字通りの意味ではないというところまでは理解しました。では、その「特別な意味」とは、どのような意味なのでしょうか。
高木: 西ドイツで1977年に成立した連邦データ保護法(Bundesdatenschutzgesetz、BDSG)の正式名称は、「データ処理における個人データの濫用防止に関する法律」(Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung)というものでした。あくまでも、個人データを濫用(Mißbrauch ≒ abuse, misuse)から保護することによって、保護に値する当事者の利益の侵害を防止することが法の目的でした。ここで「濫用」とは何かが問題となるところですが、それは後にして、そのような濫用を間接的に防止するための個人データ処理についてのルールセットがDatenschutzだというわけです。
—— 具体的にはどのようなルールセットなのでしょうか。
高木: 当初は簡単なものだったようですが、1980年のOECDガイドライン(プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告)を経てドイツ法も改正され、1995年のEUデータ保護指令があり、現在はGDPRに準拠する形に変貌しています。日本の個人情報保護法も、OECDガイドラインの基本原則に準拠しているとされており、似たようなルールセットを持っています。利用目的を特定し、通知または公表し、目的外利用・提供せず、正確性を確保し、安全管理をし、開示・訂正・利用停止等の請求に応じるという、お馴染みのルールセットですね。
—— それを「情報を保護する」と言わないのですか? 法律の題名は「個人情報の保護に関する法律」で、「個人情報の保護」とありますけど。
高木: 「個人情報の保護」(≒ data protection、Datenschutz)と「個人情報を保護する」は同じじゃないのです。実は、このことは、昭和63年の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が立法される際の国会でも議論されていました。
当時の国会会議録を見ると、野党から、第1条に「個人情報を保護する」と明記するよう修正を求める質問があったようです。この指摘に対し、政府側は修正を拒否しています。
○浦井委員 (略)私は、この点については日弁連の側の意見が正しいというふうに思っておるわけなんです。だから、ここで私は総務庁に要求したいのは、立法の趣旨というものはやはり個人情報の保護にあるというふうにすべきだと思う。そのためにだれが見ても「目的」の項はそう読み取れるように書き直すべきだと思うのです。例えば「個人情報を保護することにより、個人の尊厳を保持し、国民の基本的人権を擁護することを目的とする。」というふうな格好に書けば、これは極めて明確になる。(略)この「目的」のところをひとつ大臣、勇断を奮って書き直していただきたいと思うのです。
(第113回国会衆議院内閣委員会第6号昭和63年10月11日)(太字は引用時、以下同じ)
そして昨年、令和3年改正の国会審議でも、同じような議論がありました。野党から修正案が提出され、個人情報保護法第1条の目的に「個人情報を保護し」との文言を加えるというものでした。修正案の提出者はこう説明しています。
○後藤(祐)委員 (略)日本国憲法第13条で、自己の個人に関する情報の取扱いについて自ら決定できる権利も保障されているという考え方が多くの憲法学者によって支持されています。しかしながら、政府原案は、国や企業のデータの利活用ばかりに目が向いて、個人に関する情報の自己決定権を認めないばかりか、そもそも個人情報保護法の目的に、個人情報を保護することという文言すら入れておらず、個人の権利や利益の保護という観点が不十分であると言わざるを得ません。
(国会会議録第204回国会衆議院内閣委員会第14号令和3年4月2日)
このように、日本の個人情報保護法も、「個人情報を保護する」とは言っていないというのが、与野党と政府の共通した認識だとわかります。この修正案は否決されたのですが、その理由を、11月に出版された立案担当者解説が、次のように説明しています。
Q83 改正後の個人情報保護法の目的にある「個人の権利利益」とは何ですか。また、今回の改正で「個人の権利利益を保護すること」の内容として、「個人情報を保護すること」を明記しなかったのは、どのような理由によるものですか。
A
1 「個人の権利利益」には、プライバシー(他人に知られたくない自己の情報をみだりに開示・公表されないこと)や名誉のほか、生活の平穏を乱されないことや不当な差別を受けないことなど、個人の様々な権利利益が含まれます。
2 個人情報保護法制は、このような様々な「個人の権利利益」を保護することを目的として、予防的に個人情報の取扱いに関する義務の遵守を求めるものであるため、「個人の権利利益を保護すること」の内容として「個人情報を保護すること」を例示することは適当ではありません。
(冨安泰一郎・中田響『一問一答 令和3年改正個人情報保護法』(商事法務、2021年)98頁)
政府がこのような理由で修正を拒否するのは、歴史的にドイツ法が「Datenschutz」は文字通りの意味ではないと釘を刺してきたことや、GDPRの「protection of personal data」も同様であること、それらを理解してのことではないか。そのことは、昭和63年法の立案時から一貫して受け継いできたのではないかな、と私は思うのです。
このように、日本法も、GDPRと同様に、保護するのは、あくまでも「人」であり、個人情報(personal data)の処理によって影響を受ける「個人の権利利益」なのです。
目的内の提供は制限されていない?
—— なるほど、ずっとそうだったのですね。では、「個人情報を保護する」と書くのは間違っているということですか?
高木: 情報自体を保護すると書くと、意味するところが違うものになってきます。ドイツでいうDatensicherheitの方、つまり、セキュリティの方の意味での「保護」だと誤解させたり、さらに、個人情報の提供を制限するものだとの誤解も招きます。
—— ん? 提供には同意が必要というルールですよね?
高木: いえ。たしかに、日本の個人情報保護法は、民間部門では個人データの第三者提供を制限して、原則的に同意が必要としていますが、公的部門では目的内の提供は何ら制限していませんし、民間部門でも、委託や共同利用の場合には目的内の提供を制限していません。OECDガイドラインでも、目的外の提供を問題にしているだけです。
—— おお、そうなんですか。
高木: 巷にあるOECDガイドラインの日本語訳の中には、誤訳して、「本人の同意がある場合を除き、提供されてはならない。」などと書いているものもありますが、原文にそんなことは書かれていません。原文は「10. Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with Paragraph 9 except: a) with the consent of the data subject; or b) by the authority of law.」となっていて、「Paragraph 9」(目的明確化の原則)で特定された利用目的、それ以外の利用目的で提供することや利用することについてshould notと言っているだけなのです。本人同意は例外の位置付けです。厳しいと言われるGDPRでも、正当な場合にまで本人同意を求めているわけではありません。
—— それは知りませんでした。日本では第三者提供が規制されているので、世界でもそういうものだと思っていたのですが、違うのですね。
高木: 元々、昭和の時代、日本でも欧米に倣って個人データ保護法を作ろうと検討していた時点では、目的外の利用と提供を論点としていました。「目的外の利用」と「提供」じゃないですよ、目的外の「利用と提供」です。実際、昭和63年法では目的外の「利用と提供」を制限するように規定されて、現在の公的部門に引き継がれているのですが、平成15年法で民間部門のルールが立案された際に、ほとんど議論なく、目的内の提供も制限することになったのです。
—— そうすると、かつて問題になった、Suicaデータ提供事件(2013年)は何だったんですか? 第三者提供が問題になりましたが、あれは、本当は第三者提供してもよかったということですか?
高木: たしかに、Suicaデータの提供は、提供先の会社が統計量に集計して利用・販売することを前提にしていましたので、それを前提にすれば、目的外の利用・提供にはあたりません。OECDガイドラインでもGDPRでも、統計量に集計する二次利用は、目的外とはみなさないことになっています。
あの事案が問題だったのは、提供するデータが個人データに該当しない旨、主張された点にありました。提供されるデータは、匿名化されておらず、仮名化しているにすぎないものでした。当時、ちょうどGDPRが誕生しようとしている時期で、GDPRでも、仮名化を匿名化と区別して、仮名化しただけでは依然として個人データである旨、整理されていました。もし、仮名化で非個人データになるとするSuica事件の主張を認めていたら、統計目的に限らず、どんな目的であっても、仮名化すれば目的外提供が許されることになってしまい、日本は世界から孤立するところでした。
—— つまり、目的内の提供が制限されている日本のルールでは、Suica事件のようなことは許されないが、GDPRだったら問題なしということですか?
高木: 日本法でも、統計量への集計処理を業者に委託する形にすれば適法です。このことは、当時、我々は当初から言っていましたよ。JR東日本が自らの責任で、自ら統計量にして自ら販売するのであれば、問題ないのだと。今年になってようやくそういう話が、JR東日本が自ら販売するとの報道が出てきていますね。
—— 日本法は厳しすぎるということですか? 平成15年法で、目的内の提供まで制限したのはなぜなのでしょうか?
高木: 平成15年法の立案当時、つまり西暦2000年ごろですが、立法事実として問題にされていたのは、主に名簿屋の存在でした。名簿屋が「名簿販売」を利用目的に掲げてきたら、これが目的内提供だということになって何の制限もかからないのはまずい。かといって、「名簿販売」という利用目的を許さないとすることもできず、民間部門の利用目的は自由とする代わりに、目的内の提供も規制することになったのです。
EUでは、単に「データを販売します」というのでは利用目的を特定したことにはならないでしょう。販売したデータが販売先でどのように使われ、データの本人に影響し得るかまで特定した利用目的を掲げる必要がある。その点、日本法の利用目的特定義務はゆるいのです。平成15年法が立案された当時は、事業内容を掲げておけばOKのようなことを言っていたので、「名簿販売」を排除できなくなっていたわけです。
—— なるほど、目的内の第三者提供が厳くなっているのは、利用目的を自由にしてもらっている代わりのバーターなのですね。
高木: そうなのです。利用目的の特定がもっと厳密に求められる義務になっていれば、目的内の提供はもっとゆるい規制で足りるはずです。しかし、どのように利用目的を特定すれば正当と言えるのか、日本法は何も言っていません。その点、公的部門で目的内の提供が制限されていないのは、公的部門では利用目的の設定が自由ではないからです。そもそも「法令の定める所掌事務を遂行するため必要」なことしか利用目的にすることができないからです。
ちょっと回り道しましたが、話を戻して、何の話だったかというと、本来、本人同意のない提供それ自体を規制するのが法の趣旨ではないということです。問題とされる提供はあくまでも目的外の場合です。情報それ自体を保護する趣旨ではないからです。「個人情報を保護する」と書いちゃダメというのは、「本人同意のない提供それ自体を規制」する趣旨だとの誤解を招くからです。いや、その誤解はすでにかなり広まっているところであり、それを目的規定に書いてしまったら、後戻りできなくなってしまうということです。
不適正利用の禁止は適正な利用義務ではない?
—— なるほどそういうことですね。利用目的の特定をもっと厳密にやれば良いとのことですが、これは実現しそうなのでしょうか。
高木: 実は、令和2年改正の検討段階では、民間部門も利用目的特定義務を厳密にしようとする動きはありました。検討の初期、2019年春の時点で、利用停止請求権の強化と合わせて、保有個人データの利用目的公表義務を厳密化することが考えられていたようです。そして、絶妙なタイミングで立法事実となったのが、同年夏に発覚したリクナビ事件です。
リクナビ事件では、個人情報保護委員会が出した勧告は、リクナビが就活生の個人データを本人同意なく第三者提供していた点の違法を指摘するものでしたが、世論としては、本人同意があればやって良いことなのかが問題視されました。もし利用目的が、「あなたのWeb閲覧履歴から、あなたが内定を得た各求人企業について、あなたがその内定をどのくらい辞退する可能性があるかを算出し、その求人企業に提供します。」と明示されていたら、同意する就活生なんていませんよね。就活生を何かしら騙して「同意」を得た形にする以外に、成り立ちようのない事業だったわけです。厚労省職業安定局も、「本人同意があったとしても直ちに解消する問題ではなく、職業安定法第51条第2項に違反する恐れもある」として、「今後、募集情報等提供事業や職業紹介事業等の本旨に立ち返り、このような事業を行わないようにすること。」と、業界団体に通達する展開になったのでした。
—— そうでした。
高木: このとき、個人情報保護委員会が、第三者提供のところを捉えてしか違法を指摘できなかったところに、日本の個人情報保護法の欠陥が露わになったと言えます。もしこの事案が、求人企業がリクナビに委託する形で整理されたら、日本法では合法ということになってしまいます。
この事件を受けて、同年12月の「制度改正大綱」では、「適正な利用義務の明確化」が盛り込まれ、「適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化することとする。」としていました。リクナビのような個人データ利用が禁止されるのかなと期待されたのでしたが、開けて悔しき玉手箱、最終的に出来上がった改正法は、そうはなりませんでした。
—— ならなかったんですか!
高木: 令和2年改正で新設される「不適正利用の禁止」(改正後19条)は、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」の利用を禁止しているだけです。ガイドライン通則編に記載された該当例は、暴力団員ガーとか、貸金業者ガーとか、違法薬物ガーとか、犯罪的な香りのするものばかりですし、「採用選考」の例もあるにはあるのですが、「性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために」となっていて、内定辞退予測は該当しないと判断した様子がうかがえます。
—— 「不当な行為」には当たらないのですか?「不当な行為」とは?
高木: ガイドライン通則編ではこう説明されています。「『違法又は不当な行為』とは、法(個人情報の保護に関する法律)その他の法令に違反する行為、及び直ちに違法とはいえないものの、法(個人情報の保護に関する法律)その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいう。」と。つまり、元から違法だった行為を、「助長・誘発するおそれがある方法」まで広げて事前抑止するだけなのですね。「制度趣旨に反する行為」も対象ですが、その「制度趣旨」が何なのかが不明なままです。
—— 利用目的特定義務の厳密化の方は、どうなったのですか?
高木: こちらも残念な結果でした。「保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの」(現行27条1項4号)の公表事項に、「保有個人データの処理の方法」が追加されることになっていたのですが、開けて見たれば鳥の糞、追加されたのは「安全管理のために講じた措置」でした。また漏えいの話してる。これは何の意味もありませんね。
それから、ガイドライン通則編に若干の追記があり、注の※1に、「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合」の例が加えられたのですが、「どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない」と言っているだけで、何を要件にしているのかが不明です。ここの例示に、本来はリクナビ事案が入る予定だったようですが、なぜかボツになっています。
—— ボツと言いますと?
2020年10月時点の委員会の検討資料では、「履歴書や面接で得た情報のみならず、(本人が分析されることを想定していない)行動履歴等の情報を分析し、人事採用に活用するケース」の例を載せる予定があったようで、そこには、悪い公表の例として、「取得した情報を採否の検討・決定のために利用いたします」と書かれており、良い公表の例として、「履歴書や面接で得た情報に加え、行動履歴等の情報を分析して、当該分析結果を採否の検討・決定のために利用いたします。」と書かれていました。これが、パブコメにかけられたガイドライン改正案の時点で丸ごと消えていました。なぜボツになったのかは不明です。パブコメで理由を問えばよかったのですが、残念ながら見落としました。
—— リクナビ事件を踏まえた対策はできなかったということですね。
高木: そういうことになりますね。「制度改正大綱」では「適正な利用義務の明確化」を予定していたのに、できた改正法は「不適正利用の禁止」となり、反転されてしまいました。私の感触では、個人情報保護委員会事務局はやる気あるように見えていたのですが、「不適正利用の禁止」が限定的なものに留まったのは、内閣法制局を通せなかったのではないですかね。
もちろんそれは、法制局を通るような理由づけを立案当局である個人情報保護委員会が示せなかったということでしょう。理由のはっきりしない規定を設けるわけにはいかないから、暴力団員ガーとか、違法薬物ガーとか、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」などという、現行法令を追認するだけの規定に終わってしまう。つまり、「適正な利用義務」とは何かを示すことができなかったのでしょう。
結局これは、「個人情報の保護」(≒ data protection、Datenschutz)がいかなる意味なのかの理解が、法制局にも委員会にも共通認識になっていないからなんだろうと思うのです。
紹介されていなかった個人データ保護の真意
—— 法目的は何かという最初の話に戻るわけですね。まずは結論というか、お答えを伺いたいのですが、高木さんはこの法律の法目的を何だとお考えですか?
高木: はい。データによる個人の選別から個人を保護することです。
「データによる個人の選別」との表現は、3年ほど前から使い始めたもので、海外に同じフレーズがあるわけではありません。日本法の誤解され具合に合わせて、誤解を解くために編み出した端的な表現でした。しかし、その後の文献調査で、海外にも同様の整理があることがわかってきました。
—— 独自の見解というわけではないのですね。
高木: 去年、まるまる1年かけて、1970〜80年代を中心に海外文献の原典をあたっていました。国内で目にする「プライバシーと個人情報保護法」みたいな解説って、どれもこれも、Samuel D. WarrenとLouis D. Brandeisの「ひとりにしておいてもらう権利」から始まって、William L. Prosserの4類型の話、そして、Alan F. Westinの「自己に関する情報を、いつ、どのように、どこまで他者とコミュニケートするかを自ら決める個人、集団、または組織の要求」に言及して、あとは、Arthur R. Millerの「Assault on Privacy」ですか。そこからOECDガイドラインができたというのだけども、Westin(1968年)、Miller(1971年)からOECDガイドライン(1980年)までの間に何があったのか、そこの説明がいつもスポーンと抜けてるんですよねえ。
—— 確かに!OECDガイドラインまでに10年ありますね。ここが空白なんですか。それとも誰もフォローしていないだけ?
高木:そこにずっと疑問を持っていたのです。いったいどういう趣旨でOECDガイドラインができたのかと。これを去年、やっと調べたのです。
—— なるほど。
高木: 以前からずっと謎だったのは、OECDガイドラインが「file」概念に言及していないことでした。今回その経緯を示す文書が見つかったのです。OECDガイドラインの制定過程で重要なアドバイザー役を果たしたと評されているOslo大Senter for rettsinformatikkのJon Bingが、1984年の論文でその内幕を書き残していたのを見つけました。元々はfile概念を入れたかったのが、米国代表の意見で排除されたというのです。
当時のOECDの内部文書が今では秘密解除されており、立案過程の議事概要を入手できました。この分析結果はJILISレポートに書くつもりですが、定義規定がどんどん削られて、シンプル化して行った様子が確認できます。シンプルになりすぎたせいで、肝心の前提が不明瞭なものになり、後の読者らに誤解を招いていったわけです。立案に携わった専門家部会の方々の頭の中には当然の前提になっていたことが、後世の読者にはわからなかったわけです。
この頃の日本語文献も調べましたが、この辺の経緯の話、当時も日本ではほぼ誰も紹介していなかったようです。OECDガイドラインの真意を日本の法学界が理解できなかったのは、1980年までの西側諸国の専門家コミュニティで日本は蚊帳の外だったからでしょうね。OECDの会合には日本代表も出席していて、発言も記録されているものの、通産省の出向者だったようで、その後の著作がありません。
「file」とは何か、「data」とは何か
—— えーと、いろいろ聞きたいのですが、まず「file概念」というのは何ですか?
高木: これは、日本法でも公的部門の「個人情報ファイル」として定義されているものに相当するのですが、当時の文献では、その真意はもっと詳しく説明されていました。
そのルーツは例によってドイツ法にあり、ドイツ語の「Datei」がその言葉です。Dateiはコンピュータ用語として英語では「file」に訳される単語です。今日、Windowsでアイコンをドラッグする「ファイル」も同じ言葉ですが、ドイツ語の「Datei」にはもっと狭い意味が込められていました。この言葉は、当時、コンピュータの普及に伴って、Daten(データ)と「Kartei」からのアナロジーで誕生した造語で、そして「Kartei」とは、かつて図書館でよく見かけたこの(写真)カード式目録のことです。
—— これは懐かしいですね。木と油と古い紙の匂いがしてきそうです。
高木: この木箱の全体がKarteiで、それがデータベースで言うテーブル(表)の1個に相当し、紙のカード(Karte)の各1枚がテーブルの行に相当するものです。
—— この写真を見ながら、そう説明を受けると大変わかりやすいです。
高木: カードは統一された様式で書かれていますからね。これはDateiにも同じことが言え、要するにデータベースのテーブルのことなわけです。そのテーブルの各行が「Daten」ということです。
つまり、Datenschutzの「Daten」は、このようなDateiにおけるDatenのこと、つまりテーブルの行を指しているのであり、一般的な意味での「データ」(コンピュータ上にあるbit列一般)のことではないのです。「data protection」の「data」もこれに同じです。
OECDガイドラインと同じ時期に立案された欧州評議会第108号条約「個人データの自動処理に係る個人の保護に関する条約」では、定義語に「automated data file」がありますが、この「file」も「data」も、そのような意味での「Datei」「Daten」相当の意味なわけです。OECDガイドラインには「automated data file」の定義が入りませんでしたが、「personal data」定義における「data」は、「automated data file」における「data」の意味だったのです。
—— 「data」という用語自体が日常語とは違う意味だということですか。よく、「データと情報の違い」の話は耳にしますが。
高木: 情報とデータの違いの話は、高校の教科「情報」の検定済教科書にも出てくるようですね。「データ」は生の記録であってそれに解釈を与えたのが「情報」である的な説明をしばしば耳にします。しかし、用語の意義は使われる場面によって違うのが常で、例えば情報理論の場面での「情報」はその意味ではありませんし、data protectionの場面でもそれとは違っています。
OECDガイドラインでは、「“personal data” means any information relating to an identified or identifiable individual」と定義しているように、data(データ)はinformation(情報)から構成されるものとなっています。この場合の「情報」は「データに解釈を与えたもの」というわけではありませんね。先に情報があって、情報の集合物としてデータが構成されるのです。
1974年の国際規格ISO 2382-1に「information」と「data」の定義がありました。その日本版であるJIS X 0001「情報処理用語−基本用語」では、「情報」とは「事実、事象、事物、過程、着想などの対象物に関して知り得たことであって、概念を含み、一定の文脈中で特定の意味をもつもの。」とされ、「データ」とは「情報の表現であって、伝達、解釈又は処理に適するように形式化され、再度情報として解釈できるもの。」とされています。
注目は、データというのは「伝達、解釈又は処理に適するように形式化され」たものだという点です。これの意味するところは、単にコンピュータで扱えるように已む無く必要的にbit列化したものという意味ではなく、利用の目的のために誰かが「形式化」したものということですね。これはpersonal dataにも共通することです。誰が形式化するのかといえば、personal dataを用意した一次利用者、OECDガイドラインがいう「data controller」です。
—— データは生の記録というより、人為的に構成されたものということですか?
高木: フォーマットが人為的に構成されるということです。内容が生の記録かもしれないにしてもですね。フォーマットというのはテーブル(表)の列の項目設計のことです。これは、利用の目的があって初めて設計できることですよね。
データというのは電磁的記録のことをいうというわけでもないです。電磁的記録でないデータもあるわけです。JIS X 0001にも「備考1」として、「データに対する処理は、人間が行ってもよいし、自動的手段で行ってもよい。」と注記されています。そのような処理ができるように準備されたものが「データ」であるわけです。紙のカードに書いたもの、さっきの「Kartei」のカードがそうですが、それを人間が処理するのもこの意味での「データ」です。
personal data(個人データ)と言うときの「data」には、その言葉自体、このようなニュアンスが含意されているのです。それなのに、それを個人情報(personal information)と言い換えてしまうと、そのニュアンスが蒸発してしまいます。
プライバシー保護法ではなくてデータ保護法である
—— なるほど、高木さんは以前から、「個人情報保護」ではなく「個人データ保護」だとおっしゃっていましたが、そこなのですね。日本の個人情報保護法にも「個人データ」の定義はあるようですが、これはどういうことですか?
高木: 現行法の「個人データ」は、「個人情報データベース等」を構成する「個人情報」として定義されていますが、この法律が「個人情報データベース等」に対象を限っている理由を、巷の解説書は、大量の個人情報が漏洩すると被害が大きいからとか、それ以外も対象にすると事業者に酷だからみたいな説明で溢れていますけども、そういうことではないのです。OECDガイドラインが求めているのは、個人データの設計のあり方だからです。
その点、現行法の前身である昭和63年法は、「処理情報」という用語を定義して使っていました。法律の題名にあった「電子計算機処理に係る個人情報」のフレーズは同じ意味でしょう。当時は法律に「データ」という外来語は避けたかったのでしょうかね。先行していた地方公共団体の条例が「電子計算機処理に係る個人情報」と呼んでいたのが影響したのかもしれません。その後、平成15年法で「処理情報」の概念は廃止されてしまい、「記録情報」(行政機関個人情報保護法10条1項5号)として残骸があるだけですが、昭和63年法の時点では、人為的に構成する設計としての「data」のニュアンスが含意されていたように見えます。
—— 昭和63年法を作った人たち、政府の中の人ですか、「data」の真意をわかっていたということでしょうか?
高木: 行政管理局の役人さんですね。真意をわかっていたのか、そこはまだ、はっきりとした根拠資料を発掘できていません。単に当時の外国法の規定ぶりを忠実に真似たら結果的に「file」と「data」の概念が入っただけで、その趣旨まで理解していたのかは怪しいという感じもしますし、ちゃんと理解したからこそ、外国法の規定ぶりを忠実に真似たのだという感じもします。
昭和63年法ができる前には、1976年の「電子計算機処理データ保護管理準則(昭和51年1月29日事務次官等会議申合せ)」という内規がありました。その内容は、DatenschutzではなくDatensicherheitの方、つまり安全管理の規程なのですが、「データ」の語が定義なく使われていて、規定内容からして単にbit列のことを指していたようです。この時点ではまだ、1970年代前半に欧州で出現したdata protectionの「data」の意味を踏まえるに至っていなかったわけです。それが、昭和63年法で「処理情報」概念に変えてきたわけですから、data protectionの「data」の意味を把握したからこそ、そのように規定した感じもします。昭和63年法で「データ」の語を避けたのは、古い準則の意味とは違うから誤解させないようにという配慮だった可能性も考えられますね。
それから、当時の外国法を調査して日本語訳した本が、行政管理局から何度も出版されています。特に、昭和63年法が成立した直後に出版された、「世界の個人情報保護法——データ・プライバシー保護をめぐる諸外国の動向」(1989年)には、総務庁行政管理局長の「はしがき」にこう書かれています。「西ドイツ・ヘッセン州の個人情報保護法について、高鳥元総務庁長官自ら翻訳されたので、これも掲載する」と。この高鳥修総務庁長官は、昭和63年法の法案審議の国会答弁で、次のように述べているのですね。
○谷津委員 上程されております2法案につきまして、自由民主党を代表いたしまして質問をさせていただきたいと思います。(略)
そこでお尋ねしたいわけでありますが、一般にプライバシーと言われているものが個人においても国政上におきましても尊重されるべきものであるということは、当然のことだというふうに思います。しかし、一般にある利益を法的保護に値する利益、いわゆる権利とでも申しましょうか、保護するためには、明確な内容と限定性を備えていることが不可欠というふうに思うわけであります。プライバシーまたはプライバシー権というのですか、今日までいろいろな形で言われてき、また議論されてきておるところでありますけれども、その実態といいますかそのものは、抽象的でありますと同時に、多義的な概念であって、すべてを一つの法律で保護しようとすることは論理上無理ではなかろうかというふうに私は考えているわけであります。
そこでお聞きしたいのでありますが、情報化社会におけるプライバシー保護対策はどう考えておるのか、また、その前提としてのプライバシーまたはプライバシーの権利と言われるものについてはどのように認識をしておるのか、この点について最初にお聞かせいただきたいと思います。長官にお願いします。
○高鳥国務大臣 (略)私どもは、今回御提案申し上げてまいりましたこの法律につきまして、どうも個人情報保護法案というふうに一般的に短縮をして申しておりますので、その結果として、これがいわゆるプライバシー保護法案ではないか、プライバシー保護法案だということになれば、中身がこれはまことに欠落部分が多いではないかというおしかりを各方面からいただいたところであります。弁護士会の御指摘でありますとかあるいはまた労働団体の御指摘でありますとか、私どもいろいろそうした各方面の御意見、あるいは先日11日に行われました各委員からの御質疑などにおきましても、プライバシー保護という面においては甚だごく一面しかとらえていないではないかという御指摘を数々いただいたところであります。
私どもは、個人情報保護法案と短縮して申しておりますが、これはプライバシー保護法案ではなくてデータ保護法案である。個人のデータのうち国がコンピューター処理をしておるものについてこれを保護するというのが、この法律の趣旨でございます。したがって、プライバシー全般についてこれをカバーする機能はもともと持ち合わせていない、そういう性格のものであるということを御理解いただきたいわけであります。
問題意識といたしましては、プライバシー全般に対する法的な考え方については、法務省などが中心になってさらにまとめていただかなければならないと思います。それからまた、民間部門における個人情報の処理についても、今後私どもといたしましても勉強してまいりたいと存じますし、関係各省庁におきましてさらに詰めていかなければならない、できるだけ早期にこれらの問題についても適切な対処をするように努力しなければならないと考えておりますが、当面少なくとも、先刻御指摘のあったような事情を踏まえて、政府が保有しております個人情報のうち、電算機処理されたものについて適切な管理体制を整える必要がある、このように考えて御提案した次第であります。
(第113回国会衆議院内閣委員会第7号昭和63年10月13日)
「プライバシー保護法案ではなくてデータ保護法案である」との発言があります。これはDatenschutzの真髄を理解しているからこその答弁のようにも見えますね。
ただ、続く部分を読むと、「当面少なくとも……電算機処理されたものについて」「適切な管理体制」とあって、Datensicherheitの方、つまり安全管理の話をしているかのようにも聞こえてしまいますね。
さらにその続きでは、プライバシー保護との関係を問われ、「保護すべき個人の権利利益、これは何であるか」「一般にプライバシーと言われているものとはどのように違うのか」との与党側からの質問があり、これに行政管理局長が答弁しています。
○谷津委員 先ほど長官から、この法案についてはプライバシー保護法ではなくして、むしろデータ保護法であるというふうなお話がありましたが、(略)
そうなってまいりますと、プライバシーの保護との関係というのも重要な問題になってくるだろうと考えるわけであります。今のお答えの中でこの両方の兼ね合いというのは非常に大事な問題になるだろうと思いますが、この点について長官はどのようにお考えになっておりますか、ひとつお聞かせいただきたいと思います。
○高鳥国務大臣 先刻申し上げましたように、本法の第一の目的は個人の権利利益を保護するということにあるわけでございまして、そのための措置として、本法では、個人情報の保有制限、それから安全、正確性の確保、利用、提供制限、開示請求権など個人情報取り扱いの基本的な事項を定めることによりまして、行政の円滑かつ適正な運営を優先するものではなくて、それを図りつつも基本的な第一の目的をきちっと達成する、こういうことを考えておるところであります。
○谷津委員 確かに11日の議論でいろいろその辺が大きな問題になって、今の御答弁のように、本法案が個人の権利利益を保護すること、それが究極の目的であることだということは私も十分に理解できたわけであります。
そういうふうなことを踏まえまして、本法案で扱っておりますところのいわゆる記載されている保護すべき個人の権利利益、これは何であるか、そして、一般にプライバシーと言われているものとはどのように違うのか。これは本案の目的を示す非常に大事な問題であるというふうに私は思うわけであります。この辺のところをはっきりとお答えをいただきたいと思います。
○百崎政府委員 この法律で保護することを目的とする個人の権利利益、これは電算機処理に係る個人情報の取り扱いに伴って生じます侵害から守られるべき個人の権利利益ということでございまして、一つは、個人の秘密が公開されないこと。これは先ほど大臣の御答弁にもございましたが、私どももプライバシー問題の専門家ではございませんけれども、個人の秘密が公開されないということは、要するに他人に知られたくないことを公開されないという意味で、普通に言われているプライバシーの範疇に入るものではなかろうかと考えております。
それから二番目に、誤った情報あるいは不完全な情報によりまして自分に関して誤った判断がなされないということについての権利利益。これは例えば、不完全な情報をもとに情報が集められた場合に、場合によっては虚像が形成されるというおそれもあるわけでございます。その場合には、あえて言えば人格権というものにかかわる、つまり、そういう意味でもプライバシーの範疇に該当するものではなかろうかというふうに考えておりますが、もう一つは、例えば誤った情報に基づいてある行政処分が行われた、その場合に財産上の損失をこうむった、これはどちらかといえばプライバシーの問題よりはむしろ財産権の侵害というようなことになろうかと思いますが、いずれにしても、そういった間違った情報で受ける不利益から守られる。
それから三番目には、自己の情報を知る権利利益。
大まかに申し上げますと、この法律で保護される権利利益というのはその三種類ぐらいに大別されるのではなかろうかと考えておるわけでございます。
(第113回国会衆議院内閣委員会第7号昭和63年10月13日)
ここで「二番目」に注目です。「自分に関して誤った判断がなされないということについての権利利益」とありますね。これは、「データによる個人の選別」に近いところなのですが、データの話をしていないところが気がかりです。「自分に関して誤った判断がなされない」というだけですと、例えば、役所に電話をかけたら、電話に出た人がメモを取り、後日、担当者がメモを見て判断して折り返し電話が来なかったというときに、メモの内容が間違っていて「自分に関して誤った判断」がなされたという事案があったとしましょう。二人で使ったメモは行政文書ですが、このメモに開示と訂正を請求するのでしょうか? これは「データ」の話ではないんですよね。data protectionは、このような、データと関係ない事案を問題とする趣旨ではないのです。
この話はちょっと後にして、その前に、「プライバシー保護法案ではなくて」発言の方に着目しておきましょう。
プライバシー保護法じゃないのにプライバシーガイドライン?
—— そこ気になりました。OECDガイドラインの名称は「プライバシー保護と個人データの……」だから、「プライバシー保護」と言っていますよね。それなのに「プライバシー保護法ではない」というのは、どういうことですか?
高木: まず、WestinやMillerが1970年前後に問題提起したころ、ずっと「privacy」の語で語られていました。それが西側諸国に広がり、かなり広く知られることになりました。日本でも、学者以外の運動家に問題提起をする人々が現れ、やはり「プライバシー」の語を使って問題提起されていました。この種の課題は「プライバシー」というキャッチフレーズ抜きには語れなくなっていた事情があったと思われます。
英国では、プライバシー権保護の法律を制定すべきとの世論に押されて、1970年、政府がプライバシーに関する諮問委員会を設置しました。議長のKenneth Youngerの名からYounger委員会と呼ばれています。その使命は、「私人や組織、企業によるプライバシーへの侵入に対して、市民個人や商業・産業界の利益をさらに保護するための法律が必要かどうかを検討し、勧告を行うこと」というものでした。1972年に出版されたその報告書「Youngerレポート」は、「プライバシーは自由な社会に不可欠な価値観であり、社会全体の支持を必要とする」としつつも、「既存の英国法でプライバシーが既にかなりの範囲で保護されている」し、「プライバシーは人によって意味が大きく異なり、比較的短期間に大きく変化する概念である」から「定義の対象には適していない」こと、「情報の自由な流通に対する危険性」を挙げて、「このような不確実性を法律の新しい分野に拡大することは賢明でない」と結論づけました。
これには失望が広がったようですが、Youngerレポートが検討したプライバシー侵害の局面は、報道、放送、信用格付け機関、銀行、雇用、教育、医療、隣人による詮索、未承諾勧誘物、私立探偵、騒音、産業スパイ、技術的監視装置、そしてコンピュータと、多岐にわたるもので、コンピュータの脅威については最後にチラッとあるだけでした。しかも、そこでは、「これまでに挙げられたプライバシー侵害の形態の中で、コンピュータの使用や誤用に関わるものは、具体的な裏付けが最も少ない」「端的に言えば、英国のプライバシーに関するコンピュータの問題は、不安と恐怖の問題であり、事実や数字の問題ではない」と述べていたのですね。
ただ、「コンピュータに関するこれらの懸念のうち、一般の人々の間で最も注目されているのは、『個人プロファイル』を編集する機能、情報を関連付ける能力、個人情報(personal information)への不正アクセスの新たな機会を与えることの3つである。」とは言っていて、この問題への対処方法として、当時、英国コンピュータ協会(British Computer Society、BCS)がコンピュータ技術者のプロフェッショナル行動規範として掲げた原則を、10の基本原則にまとめて紹介していました。これが後に、米国のFIPPs(Fair Information Practice Principles、1973年)や、欧州評議会の2つの決議(1973年と1974年)、OECDガイドラインの基本原則(1980年)、そして108号条約(1981年)の元になったと言われています。
ちょうどこのYounger委員会と並行するタイミングで、欧州評議会での検討と、OECDでの検討が始まりました。どちらも、プライバシー権一般を扱うのをやめて、コンピュータに特化した課題解決を目指したのです。
—— 1972年ごろに大きな転換があった、ということでしょうか?
高木: そうなのです。当初はプライバシーの話から始まったけれど、そこから脱却して、コンピュータ処理に焦点を絞ったのです。
欧州評議会は、1973年に、民間部門を対象とした閣僚委員会決議「Resolution (73) 22 on the Protection of the Privacy of Individuals Vis-a-Vis Electronic Data Banks in the Private Sector」と、続く1974年に、公的部門を対象としたほぼ同内容の決議「Resolution (74) 29」を採択します。この時点では「privacy」の語が題名に使われています。
1981年の108号条約では、題名が「Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data」となっていて、「privacy」の語はありません。ただ、本文には、第1条として、「この条約の目的は、各締約国の領域において、国籍または居住地の如何を問わず、すべての個人に対し、自己に関する個人データの自動的な処理に関して、自己の権利および基本的自由、特にプライバシーに関する権利の尊重を確保することである。(これをdata protectionという。)」とあるように、「privacy」に言及しています。
この辺りの事情について、欧州評議会でこの取り組みを担当した官僚であったFrits W. Hondiusが、後にこの取り組みを振り返って書き残した複数の論文で言及していまして、曰く、「親密な私生活」の意味で捉えられる「privacy」は、コンピュータの不正使用から保護されるべき重要な権利として考慮されるけれども、それを唯一の目的としているわけではないのだと。欧州の法律や条約のタイトルに「privacy」の語が入っていないことは重要だと言っています。それでも「privacy」の語が使われるのは、コンピュータ利用者や専門家がこの言葉を好んで使うようになったからだとも言っています。
前出のBingも、OECDガイドラインと欧州評議会108号条約を分析するに際して、data protectionは、個人的あるいは親密な情報を保護するという狭い意味での「privacy」を超えたものであることは明らかだと言っています。
つまり、data protection(データ保護)とprivacy保護は、重なるところはあるにしても、プライバシー保護全般をサポートするものではないし、プライバシー保護と関係ないところをカバーするものだということで、どちらかといえば「privacy」はあまり関係ないということなのです。それなのに「privacy」の語を使っていたのは、みんながprivacy言うてたからという事情が見えます。その後、1995年のデータ保護指令でも「privacy」の語は使われていましたが、2016年のGDPRでは、前文も含めて(注を除く)一切の「privacy」の語が排除されています。「privacy」に言及する限り法の趣旨の誤解が止まらないと、懸念したからではないでしょうか。
前掲の、日本の1988年の国会で、「これはプライバシー保護法案ではなくてデータ保護法案である」と総務庁長官が答弁していたのも、こうした理解を共有していたからではないでしょうか。
見え隠れする米国の意向
—— OECDガイドラインの時点では、その懸念はなかったのでしょうか。タイトルからして文字通り「プライバシー保護と個人データの……」ですけど。
高木: OECDガイドラインの立案過程の議事概要を見るに、その趣旨は欧州評議会の108号条約と変わるところはなく、data protectionを想定していたものだと思います。立案に関わっていた有識者らも同じ人たちです。OECDガイドラインの方には「file」概念がないため、そのことが見えにくくなっていますが、米国代表の拒否で省略されているだけで、趣旨は同じなんだと今では理解できます。そうすると、「privacy」の語を使うことで誤解を呼ぶことの危険性は、察知されていても不思議はないですね。
それなのに題名を「プライバシー保護」としたのは、ここはまだ明確な根拠資料を発掘できていませんが、米国の意向が強かったのではないかと推測しています。
—— アメリカですか。アメリカに言われたら従うしかないんですか。
高木:まず一つに、当時、米国の「Privacy Act of 1974」がありました。これは、「プライバシー法」と言っていますけど、内実は、公的部門のデータ保護法で、連邦政府機関が保有する「個人レコード」に関する公正情報実施規範(前掲のFIPPsに相当)を定めたものです。対象は「a system of records」で、これは先ほど述べたドイツの「Datei」に相当し、「record」は「Daten」に相当するものと言ってよさそうです。つまり「file」と「data」ですね。米国でも、対象範囲の画定方法について、当時の文献で詳しく論じられていました。その時点では米国も欧州と方向性を共有していた様子があります。それゆえに、このことを良く知る米国の関係者にとっては、data protectionのことを「Privacy Act」と呼ぶことに違和感がなかったのかもしれません。
もう一つは、data protectionの対象dataが、個人だけでなく法人にまで拡大することを、米国は阻止したかったのかもしれません。というのも、1970年代の時点で既に、ノルウェーとオーストリアのデータ保護法が、個人データだけでなく法人データにまで対象を広げていました。一部の国では、自然人だけでなく法人にも人格権があるのが必然であるため、データ保護法を法人データにも適用するという流れがありました。108号条約も、3条2項bで、法人データに拡大できるとしています。OECDの議事概要を見ると、何度か法人データにも適用すべきではないかとする意見が出て、米国代表はそれを拒否していました。これについて、米国はprivacyを法人データに拡大するのは言葉の矛盾に近いと考えていたようだと、Bingは述べています。
—— 法人データにも適用する国があるのですね。たしかにプライバシーとは程遠い感じですが、どうしてdata protectionに法人データを含めることになるのでしょうか?
高木: はい。それは、data protectionが保護する法的利益の中核は、不適切なデータに基づいて人が誤った判断をされない利益だからです。行政機関には、法人データもたくさんあるでしょう。誤ったデータに基づいて不利益処分を被るのは、法人にとっても避けたいことであり、自社のデータがどうなっているのか確認したり、誤りを訂正したいという要求はあるでしょう。このことは自然人にも法人にも共通することだからです。
先ほど引用した、昭和63年法の国会審議でも、行政管理局長の答弁が、「誤った情報あるいは不完全な情報によりまして自分に関して誤った判断がなされないということについての権利利益」と言っていましたよね。
—— なるほど、そういうことですか。たしかにそういう対処の需要はありそうですね。そうなると、だいぶ「プライバシー」とは違う角度の制度なのですね。
高木: 昭和63年法に至る前の政府の検討文書を読むと、当初は、こういう法律を作るまでもなく行政では既に対処できているとする声が大きかった様子がわかります。安全管理は内部規程で対処できているし、目的外提供は公務員の守秘義務で対処できていると、そういう話は巷の本でも紹介されてたりしますが、それだけでなく、「誤った情報」の問題についても、不適切な行政処分に対して不服申し立てする術もあるし、個別の分野では誤りを訂正するための規定が設けられているところもあるから、そういう行政の対応というのはデータ保護法を作るまでもないという声があったようです。
その点、たしかに、法人データについてなら、誤った行政処分をされた法人が行政に対抗するのは、強い法人だからこそできることでしょう。しかし、自然人である個人については、誰でもそこまでの対処ができるわけではなく、弱い個人だからこそ、個人データ保護法による対処が必要だという違いがあったのだろうと思います。
「Datenschutz」概念を生んだドイツでは、1977年の連邦データ保護法(BDSG)の初期のコンメンタール(逐条解説書)を読むと、どの識者も口を揃えて次のようなことを言っていました。つまり、1960年代に「プライバシー」をきっかけに議論が始まった経緯があるけれども、コンピュータ処理に特有の法的に保護するに値する利益は何かと突き詰めて行ったところ、従前にはなかった新しい法領域があることに気づいたのだと。それがDatenschutzであり、それはもはや「プライバシー」とは別のものだったと。しかも、コンピュータの普及で危機感が出て議論が始まったけれども、よくよく考えてみれば、コンピュータ登場以前からあった問題であり、コンピュータによる自動処理だけでなく、人間が手作業で行うデータ処理だって同じ問題が昔からあったのだと。
こうした説明に添えて出てくるのは、データによる個人の管理は、近代国家の誕生と共に既に始まっていたのだというエピソードです。そのようなデータパワーの存在こそが近代国家が成立し得るための要件だったのだと。それが科学技術の進歩に伴って強力になり過ぎたので、ついに法的対処が必要になったというのですね。今から50年前の話ですけども。
ここからが本題
——うっすらと把握しました。
高木: と、ここまでの話だと、単に行政データの管理の話で終わってしまいます。問題はそこじゃなく、ここからが本題です(笑)。
—— えっ(笑)。わかりました。お願いします。
高木: 「データによる個人の選別」の問題は、単に「誤った情報による誤った判断」だけではないのです。「どんなデータによって個人を評価するのか」の問題なのです。
—— どんなデータによって、とは。
高木: 例えば、医大の入試採点で合否の評価に性別を入れるのはどうか。
—— あれはひどかったですね。東京医科大が女子の受験者を減点していた、しかも長年当たり前のようにやっていたのが発覚した。他の大学にも疑いがかかりましたよね。問題になってやめたら、去年の入試で初めて男女の合格率が逆転したという。憤懣やるかたないです。
高木: これもう4年前の事件で、当時の私はあまり強くは言わなかったのですが、今になって思えば、これは個人情報保護法違反で、個人情報保護委員会が立入検査すべき事案でしたよ。入試において構成する受験者の個人データのうち、性別の項目の利用目的は何と特定されていたのですかね。本人確認用でしょうか、顔写真と合わせて本人確認用でしょうね。それを採点の評価に利用したのは目的外利用で現行法の16条違反です。
しかし、利用目的の特定は、どうせ「入試のため」とかそんなレベルの特定だったでしょう。そうなると、目的外利用だったと指摘できなくなりますね。そもそも、利用目的の特定義務が「入試のため」で許されてしまうところに日本法の欠陥があるのです。これは先ほども述べましたね。
—— 利用目的の特定は、使用する個人データの項目毎に決めないといけないということですか。それでも、「入試のため」で済まされてしまいそうです。
高木: フランスの最初のデータ保護法(Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés(情報技術とファイルそして自由に関する1978年1月6日法律第78-17号))なんか、第3条で「何人も、自動処理の過程で使用される、結果が自己に不利益となる情報及び論理を知り、これに対し異議を申し立てる権利を有する。」と規定したのですよ。「論理」のところの原語は「raisonnements」。推論、演繹、といった意味ですね。今風に言えばアルゴリズムを教えろというところでしょうか。アルゴリズムよりもっと広く、理由を示せということでしょうかね。これ、第3条ですよ? のっけから言っているのです。自分をデータ処理で評価するならそのアルゴリズムを示せ権があるというわけです。
—— それは、なんかこう、フランスっぽいですね。知りませんが。いいですね。
高木: 日本法なんか、事実の誤りしか訂正してくれないんですよ。これは昭和63年法のときからそうで、立案当時の法制局での審議録を読むと、訂正の求めの規定について、評価情報はどうするのかということが議論されていました。つまり、個人データを作成する行政機関が、独自の評価関数あるいはアルゴリズムで評価値を生成する場合に、その評価に本人から異議申し立てがあったら訂正に応じるのかという論点について、当時の結論は、対応しないというものでした。あくまでも元となったデータの誤りを訂正するだけであると。
これは、OECDガイドラインが求める「正確性の確保」についてもそうで、日本法は、「ファイル保有目的に必要な範囲内で、処理情報が過去又は現在の事実と合致するよう努めなければならない。」(昭和63年法)、「利用目的の達成に必要な範囲内で、保有個人情報が過去又は現在の事実と合致するよう努めなければならない。」(現行公的部門)、「利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに……努めなければならない。」(現行民間部門)と言っているだけなんですね。
これじゃあ、大学入試の合格者評価に性別を使われても、性別データの入力ミスでもない限り、「正確性に何ら問題はなかった」ということになりますわな。
関係ないデータを用いた個人の評価
—— では、高木さんの考えでは、データ保護の目的は、差別を防止することだということですか?
高木: 概ねそうです。ただし、日本で「差別」という言葉は、かなり限定的な意味で理解する人が多いですよね。ヘイトの意味と取り違えている人は多いですし、そうでなくても、男女差別とか人種差別のように、特定の集団に対する不利益が社会に遍在している場合の区別についてだけが差別だと考えている人が多いでしょう。でも、data protectionで言う「差別」はもっと広い意味です。特定の集団に限らず、関係ないデータを用いた個人の評価はすべてdiscriminationです。これを日本の皆さんにもわかるように表現したつもりだったのが「データによる個人の選別」なのです。
—— 「関係ないデータ」というのはどういうことでしょうか。
高木: 入試の合格者決定に性別は「関係ない」ですよね。就職の採用選考に親の職業は「関係ない」ですし、Web閲覧履歴なんか関係あるわけがない。逆に、関係あるデータというのは、例えば、所得税額を決定するのに、収入がいくらかとか、経費がいくらかとか、医療費にいくら支出したかというデータが「関係ある」ものです。税額の算定式は法令で定められているから当たり前ではありますが、そのような法令の妥当性は国民が納得しているからこそ認められているものです。
実は、「関係ないデータで人を評価するな」というのは、OECDガイドラインにも明記されているのです。
—— そうなんですか。それは初耳な気がします。
高木: 実は私もこれに気づいたのは去年のことです。前出のBingの論文を読んでいたら、ズバリ書いてあったのです。data protectionが保護する法的利益は何かを論ずる中で、Bingは、relevancyの原則と説明していました。
OECDガイドラインを確認してみると、2つ目の基本原則である「Data Quality Principle」に、「8. Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up to date.」とあります。文の後半は、日本法の正確性確保でも言っているようなこと、つまり「その利用目的に必要な範囲で、正確かつ完全であり、最新の状態に保たれていなければならない。」ですが、問題は前半です。「personal dataは、その利用目的に関連しているもの(relevant)でなければならない」とあるではないですか。何ですかこの「関連しているもの」って。
——relevant、ですねえ。
高木: ここの重要性、日本で誰か説明してる人いました? ただ英語を日本語に翻訳して「その利用目的に関連しているものでなければならない」と言ったところで、何の説明にもなっていませんよ。それどころか、誤訳の酷いものが巷に溢れていて、ある本の翻訳では、ここを、「データ内容の原則: 8. 個人データは、利用目的の範囲内において利用し、かつ利用目的の達成に必要な範囲内で正確、完全及び最新の内容に保つべきである。」と書いちゃってるんですね。おい、「relevant」どこ行った?
—— すっ飛ばしてますね。
高木: 人は、自分の理解しているようにしか他人の文章を読めないものなのですね。日本法の理解でOECDガイドラインを曲解してしまうわけです。
—— 「relevant」という英語、日本語にしようとすると、ニュアンスが難しいですね。
高木: 行政管理局が出版した翻訳集の本(1982年)では、「個人データは、その利用目的に沿ったものであるべきであり」と訳されていました。この方がベターですかね。
この原則は、1981年の108号条約にもありますし(5条c)、1995年のデータ保護指令にも受け継がれ、GDPRにも引き継がれているのですが(5条1項(c))、これに「(data minimisation)」という名前がついているおかげで、誤解が固定化した気がします。「データ最小化の原則」だと、漏えいによるリスクを最小化するための原則だと思ってしまう人は多かったんじゃないでしょうか。すみません、私もそうでした。しかしそうじゃない。
これは、人を評価するその目的に照らして関係のないデータを用いてはならないという意味なのです。Bingの論文がそのように説明していたので理解できました。法目的を漏えい対策や提供の制限と思ってる人たちには、それがわからんのですよ。
—— 高木さんでも、読まないとわからなかったのですね。
高木: そう。見落としてた。この何年か、file概念のことばかり調べてたのです。OECDガイドラインの「説明覚書 (explanatory memorandum)」を見るとこう説明されています。「データに関連性があることという要件は、さまざまな見方をすることができる。実際、専門家部会のメンバーの中には、このような要件が実際にプライバシー保護の枠組みに当てはまるのかどうか躊躇する者もいた。しかし、専門家部会の結論は、データは利用される目的に関係しているべきであるというものであった。例えば、意見に関するデータは、それが関係のない目的のために使用されると誤解を招きやすいのであり、同じことが評価用データに当てはまる。」と。OECDの専門家部会での検討でも、すんなりとは理解されなかった様子が窺えますね。
—— なるほど、もしかして、目的外利用が禁止される理由もこれと同じなのでしょうか。
高木: そうなのです。personal dataは、作成される時点で、その利用目的に合わせて設計されたものなのですから、目的外に利用したり提供したら、利用目的に沿ったデータではなくなる可能性が大なので、禁止されるのです。
—— 「作成される時点」というのは? 「合わせて設計されたもの」というのは?
高木: 先ほど、だいぶ前の方で、Dateiの説明で、データというのは利用の目的のために誰かが「形式化」したものだと言いましたよね。誰が形式化するのかといえば、personal dataを用意した一次利用者、OECDガイドラインがいう「data controller」だと。データというものはフォーマットが人為的に構成されるのが必然で、それはテーブル(表)の列の項目設計のこと、利用の目的があって初めてそれを設計できるのだと述べました。personal dataは、data controllerが利用目的に合わせてフォーマット設計し、data controllerが作成するものなのです。
データ保護の意思決定指向利益モデル
—— ええと……、それは何か重要なことなのですか?
高木: 日本で「個人情報」と言うと、「本人のものだ」とか言い出す人がいるでしょう? personal dataはそうじゃありません。data controllerが一次利用の目的のために自ら設計し、作成するものなのです。
—— 「個人情報は誰のもの?」と問われると本人のものです、と思ってしまう人はまだ大多数を占めると思います。ほとんどの人がそう思っているのではないでしょうか。
高木:「個人情報は誰のもの?」という問い自体が愚問だという話は、日本でも幾人かの識者がかねてより指摘していました。情報に所有権構成は無理があるという指摘ですね。情報はいくらでも複製できるから物権と違うのだとか、人格権に関わるものだから所有権で語れないとか、そういう指摘がよくありました。ですが、そういうことじゃなく、それ以前に、そもそもpersonal dataは、それを作成するdata controllerのコントロール下においてのみ観念される概念なのです。なぜなら、data protectionの法目的が、dataによる個人の評価を前提にしているからです。
Bingは、このことを「a decision-oriented view of data protection(データ保護の意思決定指向の側面)」(1984年)、「Data Protection: A Decision-Oriented Interest Model(データ保護:意思決定指向利益モデル)」(1994年)と呼びました。data protectionは主に意思決定におけるデータ使用に関するものであり、この「意思決定」はかなり広範な概念を指すもので、重大なものに限られず、データに基づいて反応するだけでも該当するというのです。逆を言えば、統計量に集計される場合のように、いかなる個人への決定にも使用されない場合だけが該当せず、データ保護の問題として重要でなくなるのであり、漏えい対策の利益だけが残るというわけです。
GDPRの22条に「Automated individual decision-making, including profiling」があるせいで、「決定」云々は、法的効力のある意思決定とか重大な影響を及ぼす決定に限って法目的に関係あると、誤解されてそうですが、そうじゃなく、GDPRの全体が、意思決定におけるデータ使用に関するものなのであり、法的効力のない任意の意思決定や重要でない些細な影響を及ぼす決定もdata protectionの前提なのです。「profiling」も、GDPRで初めて追加された概念なのではなく、1970年代のdata protection誕生からずっと前提となっていたことなのです。GDPRに「profiling」が入ったのは、元の趣旨を忘れている人が多いから、確認的に明記しただけなのですね。
—— 「決定」ですか。さっきは「評価」と言っていましたが、「決定」と「評価」は違うものですか?
高木: 実は「評価」は結局のところ法目的に関係ありません。関係するのは「決定」です。「評価に基づく決定」ですね。というのも、「評価」はするが「決定」しない場合があるからです。具体的には、一人ひとりの個人をデータで「評価」し、それらを統計量に集計するだけなら、「決定」がありません。なので、最初から「決定」と言えばよいところ、ただ「決定」と言っても、皆さん意味がわからないでしょう? なのでまずは「評価」の言葉で説明したまでです。
—— 高木さんが言う「データによる個人の選別」も、この「決定」と同じ意味ですか。
高木: そうです。「決定」では通じないだろうし、「評価」では正確でないので、「選別」と言ってきたのです。もう一つの狙いは、単発の個人に対する決定ではなく、多数の個人に対する一律の決定のことを指すというニュアンスを出すために、「選別」の表現を使いました。リストにされている個人たちがいて、Aグループの人たちとBグループの人たちに分けるのが「選別」です。
Bingも、1970年代の各国のデータ保護法が、systemやregistry、あるいはfileに対象を限定した理由を説明する中で、単発の扱いが問題なのではなく、多数の個人に対する処理が問題とされている旨を説明しています。当初のプライバシー権から始まった論点を切り離して、data protection固有の法領域を極めたのは、プライバシー権を法で扱いきれないからという消極的理由ではなく、多数の個人に対する処理にこそ固有の法的保護に値する利益があるからだということが説明されています。
—— 多数の処理が問題なのですね。
高木: 人数が多いことが問題なのではありません。2人でも同じです。いや、1人でも該当です。多数用に設計されたデータによって評価するシステムに1人しか対象者がいない場合も同じです。
「関係ないデータ」というのは、統計的に相関がないデータという意味ではありません。統計的に相関があろうとも、「一律に決定」が問題なのです。つまり、個人に対する「単発の扱い」というのは、人間が人間の相手をするということです。相手をどう評価するかは、それぞれの人間がその状況において必要と思ったことをする行為で、元より自由な行為です。それに対し、データによる個人の選別というのは、多数の人々を、限られたデータによって一律に評価することになる。データは画一的なものとならざるを得ないし、評価のアルゴリズムも画一的なものとなる。全体として統計的には「正しく」ても、一人ひとりの個人にとっては「正しく」ないことがある。そんな評価は不完全で非人間的な扱いにならざるを得ないのだ——ということなのです。50年前に騒がれた「コンピュータ社会は人間疎外だ」というのはこういうことなのです。
日本語話者の思考では単数と複数の区別や具体と総称の区別があやふやなので、なかなかこのニュアンスが通じません。「データによる個人の選別」と表現したことで、通じるようになったのではないかと思うのですが、どうでしょうか。
—— 言われてみればわかる気がします。でも、「選別」も、何か限定的な意味で解釈されてしまう気がします。
高木: そうですねえ。早速、今年になってデジタル庁が「人間の選別はしません」的なことを言い出していますね。これは「選別」を何か特殊な意味で捉えてそうです。この話はまた今度にしましょう。「選別」というのは、先ほど述べたように、単にAグループとBグループに分けるという乾いた意味であって、そこに善も悪もありません。
—— でも、データによる個人の評価は、今日、かなりあちこちで行われているのではないですか。「選別」が乾いた意味だとすると、どれもこれも問題だということですか?
高木: いえ、 「データによる個人の選別」自体が悪いことだと言っているのではありません。data protectionの対象になるという意味です。選別に用いるデータはその評価の目的に対して「関連しているもの」でなければならないということです。それを逸脱するのが「悪いこと」です。
実際のところ、今日あちこちで行われている「データによる選別」は、問題のないデータに基づく問題のないアルゴリズムによる評価がほとんどなのではないでしょうか。日本社会も、50年前に一度こうした問題が議論となる経験をしており、なんとなく共通認識になっていたのではないでしょうか。だからこそ、逸脱することは誰もやってこなかった。データ処理の倫理が、そこそこ根付いていたのではないでしょうか。
そこに旋風を巻き起こしたのが、3年前のリクナビ事件でした。今世紀に入って機械学習が急速に発達し、コンピュータの計算速度とメモリ量の増強で、力技による学習が可能となりました。関係ないようなデータを用いても何かしらの相関が現れて、役にたつかもしれない。「ビッグデータ」のキャッチフレーズで企業経営の格好の草刈り場となりました。Web閲覧履歴をデータにすれば何かできちゃうんじゃ?という発想でやったのでしょうね。採用選考と関係ないデータを用いたのは、データ保護法の根付いている国では明らかに違法な行為でした。提供の同意ガーとかそんな瑣末な話じゃなくてですね。
フランスの50年前の事例
—— 欧州でもリクナビ事件のような悪い例が何かありますか?
高木: そもそも、1970年前後に欧米で議論が盛んになったのは、テクノクラートが良かれと思って国民のあらゆるデータを政府のコンピュータに入れる構想を立てたところから始まったようです。何でもブッ込めるようにしておけば後々データ分析で政策立案に役立てられるだろうと考えたわけですね。そういう状況がある中で、国勢調査に対してさえ国民の拒絶感が出てきたわけです。このころの情勢については、前出のHondiusが当時を振り返って書いているのですが、話が長くなるのでまた今度にして、他の文献にあったのは、コンピュータセンターの職員に対する不信感の話。これは盗み見の話ではありませんよ。データによる個人の選別のアルゴリズムを好き勝手に決められかねないことへの反発です。
それに比べると、同じ時期の日本には、そんな空気はなかったようです。「反コンピュータ運動」的な活動は出てきていましたが、言っていることが、「コンピュータはミスをする」とか、「この前は新幹線が止まった」とか言っていて、ピントハズレな批判が多い。「コンピュータは社会を良くしない」とか言っちゃってるんですね。そこに自治体の技術職員が出てきて、むしろコンピュータを使った方が正確に人を扱えるとか言ってる。そりゃそうなんだけど、そういう話じゃない。
そうなったのは、日本では当時、良くも悪くも、無茶なことをやらかすテクノクラートがいなかったからではないですかね。DXに消極的だったのか、賢くて慎重だったのか、わかりませんが。「各省庁統一個人コード」の構想が出たのが1968年で、欧米の騒動と同時期ですが、実現しなかった。10年ほど遅れて、グリーンカード(少額貯蓄等利用者カード)の計画が決まりましたが、1985年に中止。国民総背番号制として批判されましたが、やろうとしていたことは限定的な用途だった。唯一無二・悉皆番号の危険性は後の番号制度で明確にされるのですが、実際に悪い事案というのは起きてはいないのですね。
結局、悪い事案が起きるまで人々は問題を理解できないのですね。昭和63年法の立案までの何年か、OECDガイドラインに沿って日本にもデータ保護法を作ろうという機運があっても、政府は「立法事実がない」という立場でした。
—— 「関係ないデータ」を使おうとする事案が、かつての日本にはなかったということですね。「関係ない」というのは、どういった基準で判断するのでしょうか?
高木: その点、フランスで1973年に誕生した「GAMINシステム」の事案が興味深いです。
フランスでは、母子保護施設(Protection maternelle et infantile, PMI)が児童虐待防止の役割を担っていたところ、問題を抱える子供たちを早期に発見してPMIが適切に見守ることを目的として、GAMINシステムが構築されました。このシステムは、同時に、障害の病因に関する医学研究を発展させるための統計分析にも利用することになっていました。子供のプロファイルは、国が一元的に定めて標準化したデータ形式に従って、地域のPMIセンター毎に運用されました。データには、子供の身長体重や視力、行動上の問題、健康診断の結果や、母親の婚姻状況や職業などの項目が用られ、170の医学的・社会的リスク要因をモデル化することで、監視対象とすべき子供を選出するための「通常」と「優先」の選別が自動的に行われて、コンピュータが優先的な子供のレポートを出力するというものでした。
フランスでは、このシステムが多くの論議を呼び、長らく激しい論争が繰り広げられたそうです。当初はソーシャルワーカーから異議が出て、後に、小児科医、保護者の間でも反対意見が増えていったそうです。批判の決定的なものは、統計的な根拠に基づいてこの制度の役割を正当化することはできないとの指摘だったようです。システムの信頼性は低く、社会的に不利な立場にある家族に対して過剰な選択につながったそうです。1981年になると、保健省がCNIL(フランスのデータ保護機関)に意見を求めたところ、CNILは、このシステムがデータ保護の基本原則に違反しているという理由で、自動化された手段による子供の選択に否定的な見解を出しました。翌年にシステムは改廃され、統計目的は残されつつ、記録データは子供が6歳に達した時点で破棄することになり、自動処理で子供にフラグを立てる機能は廃止されたそうです。
前出のフランスのデータ保護法では、1978年の初版から、「人間の行動の評価を含む行政上又は私的な決定は、当該個人のプロファイルや人格を定義づける情報の自動処理のみを、その決定の基礎においてはならない」(2条後段)との規定を置いており、これに抵触したものと思われますが、親の婚姻状況や職業といった情報が、目的に対して「関係ない」データであったとも言えるのではないでしょうか。
—— なるほど。その事例は、本人に不利益が生じるわけではないですよね。児童虐待の兆候が発見されるなら、発見されないよりマシのようにも思えますが、それでもダメだと。
高木: そうです。正義のためであれば許されるというのなら、犯罪予防のために、データ分析によってどの家庭に犯罪が起きそうか推定して対処するのも許されることになりますが、少なくとも西側自由主義社会は、そうしたことを許してこなかったように思います。
児童虐待の話でいえば、私もかつて知人から、母子家庭で軽い障害のある子供の虐待を無用に疑われたという話を聞かされたことがありました。疑われるだけでも問題だとなれば、人が疑うのも許されないのかという話になりますが、人は事情を総合的に判断することもできるのに対して、データによって自動的に選別されるとなると、あらゆる行動がデータとして評価されるのではないか、それを気にすることで、日頃の行動の自由が阻害されることになってしまいます。フランスのデータ保護法の題名が「情報技術とファイルそして自由」と、「自由」を強調しているのは、そういうことなのでしょうね。
公開情報であっても対象となる理由
—— 日頃の行動がデータとして評価されるところに、自由の問題があるということなのですね。
高木: はい。「決定」つまり「選別」につながる評価に用いられるデータの元情報が何なのかの問題です。したがって、元情報が「プライバシー」に関わる情報であることは要件ではありません。公開情報であっても対象です。
GAMINシステムの事例で元情報となった親の婚姻状況や職業は、やや「プライバシー」っぽい情報ですし、リクナビ事件のWeb閲覧履歴も、非公開情報ですから、やや「プライバシー」っぽいですが、例えば、もし、Twitterに公然とツイートしている内容が「データ」化され、自動処理によって採用選考の決定に用いられるならば、上の話と同様の理由で、data protectionの基本原則に反しているということになるでしょう。
これに該当する日本の事例としては、2019年6月の「Yahoo!スコア」事案があります。中国の信用スコアに憧れて日本でもやろうというブームに乗っかった事案ですが、評判が悪く、需要もなく、1年後にサービス終了した事案です。
ヤフーは1年前の時点でサービス開始を予告しており、その時点では、購買履歴や検索履歴、性別などを分析して信用スコアを算出するとしていました。ところが、1年後にサービスが開始されると、評価に使用するデータは、「登録された電話番号およびメールアドレスの有効性、住所確認や本人確認の有無等」「ヤフオク!における取引実績や評価、ショッピングでのレビュー回数、知恵袋での活躍度」「Yahoo! JAPANが提供するEコマースサービス、Yahoo!ウォレット、Yahoo! JAPANカードなどの利用金額等」に変更されていました。つまり、本人確認状況のほかには、公開情報と金額情報だけを用い、履歴は使わないことにしたわけです。取引実績や評価、レビュー回数、知恵袋での活躍は、いずれも一般公開されている情報ですね。
ヤフーは、サービス開始に際して、「Yahoo!スコアの作成および利用は、お客様のプライバシーの保護に十分に配慮したうえで実施しております。」「算出元データには、通信の秘密にあたる情報、スコア化することで不当な差別につながる可能性がある情報(要配慮個人情報、性別や職業等)は使用しません。」と注意書きしていました。おそらく、内部の検討で、誰かに指摘されたため、使用するデータを変更したのでしょう。
しかしどうでしょう。購買履歴や検索履歴を使わなければプライバシーの保護に配慮したと言えるのでしょうか? この時のヤフーは、公開情報ならプライバシーじゃないから問題ないと考えたのでしょうね。ところが、公開情報からのデータによる個人の選別は、data protectionの問題となります。目的である「信用スコア」の用途に対して「知恵袋での活躍度」というデータはrelevantといえるでしょうか?
それに、ヤフーは「不当な差別につながる可能性がある情報(要配慮個人情報、性別や職業等)は使用しません。」と胸を張りましたが、「要配慮個人情報、性別や職業等」に限らず、relevantでない如何なるデータによる個人の選別もdiscriminationです。
こうしてみると、公開情報をもとにしたデータであっても、利用目的に対してrelevantでないデータによる選別に用いられたら、それは「プライバシー」の「侵害」と言ってよいような感じもしてきます。しかし、これをプライバシー権侵害で民事で訴えても、公開情報ですから侵害は認められないでしょう。そういった「侵害」とは違う何かがここにあるように思うのです。これを「データプライバシー」と呼び分けてはどうかというのは、以前私も言っていた時期がありましたが、Oslo大でBingの後を継ぐ形になったLee A. Bygraveも、著書で「privacy」と区別して「data privacy」の語で通しています。先ほど紹介した、行政管理局の1989年の本も、タイトルが「世界の個人情報保護法——データ・プライバシー保護をめぐる諸外国の動向」になっていますね。その前の1982年の本では「世界のプライバシー法」のタイトルだったのに、言葉を変えてきていた。このとき既にこうしたことを察知していたのではないでしょうか。
曲解されていった日本法
—— 公開情報の扱いは、日本法ではどうなっているのでしょうか。
日本の個人情報保護法でも、公開情報も対象になるとされてきました。その理由は何なのか。これは、1970年代の欧米のdata protectionの流れを汲んで立法された経緯からの伝承によるものだと思いますが、そうすると、本当の理由は、これまでに述べたように、データによる個人の選別につながるからには公開情報であっても本人の自由との関係で問題となるからのはずです。
ところが、日本法では、そうした理由なく、「氏名や住所などの公開情報も保護の対象である」的な、単に決めの問題としてそうなっているにすぎない的な説明が繰り返されてきました。このことが、長年にわたり、この法律の法目的を曲解させ、無用な混乱を許し続けることになったのです。
—— 曲解、混乱というのは。
高木: 個人情報の全てが該当するとなると、ほとんどあらゆる情報が対象になってしまいます。それではあまりにも無理があるので、「氏名がなければ問題ないはずだ」とする、合理化の防衛機制が働いてしまいました。その結果として逆手に起きたのが、Suica事件でしたし、リクナビ事件もそうです。
本当は、あらゆる情報が対象になるわけではありません。個人について自動処理が可能なdataが作成された時点からそのdataのみが対象になるのです。「自動処理が可能な」というのは、dataが一律の評価が可能な形式に設計されているときです。氏名の有無は関係ありません。
—— 氏名がなくても、個人について自動処理が可能な場合がある?
高木: そうです。昭和63年法の時点では、インターネットもありませんでしたし、対象が行政機関だったので、行政機関が個人を扱う事務には氏名は必然的に伴っていたことから、氏名によって個人が識別されるという説明で足りていました。氏名による識別は例示にすぎなかったのに、いつの間にかそれが要件であるかのような曲解が広まっていきました。
1970年代の米欧の文献を見ると、この辺がかなり詳しく論じられていました。ドイツ法では「Datei」の定義に苦心したようです。米国Privacy Act of 1974でも「a system of records」の解釈に議論がありました。当初は、何をキーに検索するかを論点にしていたようですが、最終的に、何をキーにするかは関係なく、個人を一人ひとり引き出せるようになっていれば該当するのであると、さらには、米国法では、政府機関が事務として個人を一人ひとり引き出す実態があれば該当するのだという結論に至ったようです。
このような整理になるのは、意思決定指向利益モデルを採用しているからこそ、すなわち、法目的の前提に「データによる個人の選別」があるからこそであるわけです。漏えい対策や提供制限の観点からではこうはなりません。日本法の平成27年改正の際にいわゆる「容易照合性の提供元基準」が確認されましたが、これも、「データによる個人の選別」を前提に置くとその解釈になるのです。漏えい対策や提供制限で考えている人たちが「容易照合性の提供元基準」に反発していましたが、法目的を取り違えているからです。
実は日本法でも、昭和63年法では、自動車登録番号をキーに個人を識別する場合があることを前提としていました。法制定後の立案担当者の逐条解説書にはチラッとしか出てきませんが、内閣法制局での審議録を読むと、かなり時間をかけてそこが議論されていました。立案当局である行政管理局は、自動車登録番号による個人の識別を主張するのですが、法制局参事官は意味がわからないと難色を示していました。行政管理局は、ドイツ法や米国法の議論を勉強していたからそうしたのではないでしょうかね。
このことを、インターネットが普及した今日に当てはめれば、スマートフォンを通じて個人が識別されるなら、たとえ氏名がなかろうとも、それに基づいてデータ化されるものは個人データなのであって、data protectionの対象であるということです。cookieを個人識別符号に入れる施行令改正を経るまでもありません。
他の法目的はどうなの?
—— でも、法目的は「データによる個人の選別」だけなんですか? 漏えい対策や提供制限はどうなんですか。
高木: たしかに、漏えい対策もdata protectionの一部です。自動処理で個人を評価できるデータセット、つまりfileを作成したからには、そのデータは漏えいしないように安全管理しなさいというルールです。その趣旨は、そのような個人の評価が可能なfileが漏えいすると、漏えい先で目的外に個人の評価に使われかねないからというところにありますが、じゃあそれ以外の情報はどうなんだというと、これは結局、決めの問題です。漏えい対策は、そもそも、個人データに限らず、法人データや、データでない機密文書などに対しても実施すべきことであって、個人情報云々は、対策の進まない事業者に対策をさせる口実にされてきた面があります。
それから、提供制限については、守秘義務が既に公務員のほか医師看護師その他の特定の業種について刑法や個別の法令で規定されていたところに、データ保護法は全業種に義務を課すことになったわけですけども、それは、data protectionの法目的の本丸ではなく、オマケです。このことは、先のBingやドイツの専門家らも述べていました。
提供に際して匿名加工する場合については、平成27年改正の際にさんざん議論され、法制局で大混乱がありましたが、今回1970年代の海外文献を調べたところ、1979年のドイツ法の初期のコンメンタールで、既にすべて書かれていました。匿名化の考え方や、匿名加工の方法、基準についてです。当時の日本語文献は、誰もそれを紹介してなかったことも確認しました。日本の議論はまるっと35年の周回遅れだったのです。
公的統計の分野でも、1970年代に、統計調査とプライバシーといったテーマで、かなり研究が済んでいたようです。この辺はまだ主要な本を入手しただけで未読ですが、欧州でも米国でも盛んだったようです。
—— 漏えい対策や提供制限の観点からも、「容易照合性」は「提供元基準」でよいのですか?
高木: そうです。容易照合性を提供元基準で解釈すると、結果的に、ほとんどの場合で、保有しているデータセットの全部が対象になります。提供制限も同様で、匿名加工する場合についても、提供元基準での容易照合性が解消される程度に加工する必要があると解釈することで、辻褄が合います。平成27年改正は、法制局で混乱があったものの、最終的にそのような結末に落ち着いたといえます。この辺はちゃんと論文に書いておかないといけないところで、次の「情報法制研究」の連載論文(5)で書くところです。冒頭で、令和2年改正で「仮名加工情報」の概念が整理され「匿名加工情報」もガイドラインで微修正されると述べましたが、これらも、この解釈に沿ったものであり、順当な改正が進んでいると言えます。平成27年改正の騒動を経て、ようやく、仮名化で非個人情報化できるとの誤った解釈を一掃し、匿名化の要件をドイツ法の45年前の水準に合わせることができたということです。
なお、この「提供制限」はあくまでも目的外提供の話です。目的内提供については、日本法は厳しすぎる面があるという話を冒頭でしましたよね。ここは法改正によって解決していく必要があると考えています。統計目的の二次利用もこれに当たり、私はそれを「統制された非選別利用」と呼んで、医療データの二次利用を中心に、今後の立法的解決の必要性を提唱しています。そのためには、「非選別利用」が法目的の観点から問題とならないことが、世間の共通認識となる必要があります。
—— その他に法目的はないのでしょうか。
高木: GDPRは、ダイレクトメールのオプトアウト規制も含んでいますね。これは異質なものが混在していると思います。個人データのリストが規制対象になれば、結果的に、ダイレクトメール規制にもなりますね。望まないダイレクトメールや電話の拒否は、1970年代の同じ時期から俎上にのっていたので、その経緯からでしょうか。
この点、日本法はどうでしょうかね。もし日本法がダイレクトメール規制の法目的も含んでいるのなら、メールアドレスは連絡が可能である以上、全てが個人情報に該当すべきですね。それなのに、氏名が含まれていることを要件とするのは、矛盾していますね。ちなみに、令和2年改正で導入される「仮名加工情報」に係る規定に、連絡の禁止規定があります。これは、ダイレクトメール規制の法目的も含んでいるようにも受け取れますね。まあ、これはどうでもいいことかなと思います。ダイレクトメール規制は別でやればいいことかと。
それからもう一つは、前掲の国会答弁で、保護すべき個人の権利利益は何かと問われた行政管理局長が、「三番目には、自己の情報を知る権利利益」と答えていた件。これには2つの意味が混在していると思います。一つ目は、不適切なデータで自己について決定されることに抵抗する手段として訂正を求めるための前段としての事実確認のための「自己の情報を知る」ことであり、二つ目は、そういうことと関係なく、行政機関に対して情報公開請求する意味での「知る権利」です。この国会答弁の時点では、まだ情報公開法がありませんでした。本人情報に限って先行して情報公開制度ができていた面もあろうかと思います。この二つが混在していたことも、その後の混乱を引き起こすことになったのですが……
情報公開と個人情報保護は車の両輪ではない
—— また混乱……
高木: はい。昭和63年法ができた後、情報公開法の立案が始まります。1996年に取りまとめられた「行政改革委員会の意見」では、本人が自己の情報を情報公開請求しても、情報公開法としては「個人に関する情報」に当たるとして不開示とすることになり、本人の自己情報開示は個人情報保護法の方で開示対応するものとするべきとの結論を出します。その理由は、情報公開法では請求者が誰であるかに関係なく判断する方式だからというのです。その理由自体はどうでもよいのですが、このとき問題となるのが次の点です。
情報公開法ではあらゆる行政文書が対象であるのに対し、個人情報保護法、この時点ではまだ昭和63年法のことを指すのですけども、電子計算機処理に係る個人情報保護法では、電算処理情報だけが対象でしたので、それ以外の個人情報は、情報公開法でも開示されないし、個人情報保護法でも開示されないということになってしまう、いわば「制度の谷間」が生じることになりました。
この谷間を埋めるため、情報公開法の原案を立案した行政改革委員会は、個人情報保護法つまり昭和63年法を改正して、電算処理情報以外も対象にすべきと提言したわけです。これが、1999年から検討が始まった、民間部門も対象とした新個人情報保護法の立案に引き継がれ、昭和63年法は行政機関個人情報保護法に全部改正されることになったのです。これが平成15年法となるわけですが、行政機関個人情報保護法の対象が「保有個人情報」となり、「file」を構成していない個人情報一般まで全部が対象となってしまいました。これによって何が起きたか。
—— 「data」のニュアンスが蒸発してしまう……
高木: そう。personal data(個人データ)と言うときの「data」には、その言葉自体に、これまでに述べたニュアンスが含意されていたのに、個人情報(personal information)に言い換えられたことで、そのニュアンスが蒸発してしまいました。
こうなってしまうと、もう法目的が何だったかわからなくなってしまうわけです。しかも、不運なことに、2000年前後から個人情報保護法の専門家となった次世代を担う中堅の識者らのほとんどが、それまでに情報公開法制の専門家となっていた方々でした。このことが、個人情報保護に情報公開のコンタミを起こしました。個人情報保護の趣旨を、個人情報の不開示と同一視してしまうのです。そういった方々によって解説書が書かれました。皆さんそれを読んで勉強して個人情報保護法とはそういうものなんだと思い込まされたでしょう?
例えば、宇賀克也(敬称略、以下文献を指す文脈において同じ)は、個人情報保護法の容易照合性のことを「モザイクアプローチ」だと常に書いていますが、そこには何の根拠もありません。注を辿って行くと、自著である「アメリカの情報公開」のページが参照されているだけで、そこにはdata protectionとの関係は書かれていません。書かれているのは開示・不開示の話だけです。開示先での照合のことを言っているわけですね。
容易照合性の括弧書きが、英国Data Protection Act 1984由来であることは、4年前に解明しました。詳しくは情報法制研究4号の89頁あたりに書いてあります。去年の調査で追加でわかったことは、米国Privacy Act of 1974の解釈にも共通しており、一人ひとりのdataとして取り出す(retrieve)ことのできる状態になっているrecordの全体を指すための括弧書きなのです。これをBingは、対象情報の範囲を画定する要件として「retrievability」の語で説明していました。意思決定指向利益モデルを採用しているからこそであるというのは、先ほども言いましたね。2002年に国会対応で作成された行政管理局の想定問答には、容易照合性は「電子計算機により個人情報を処理しているのと同様な状態であるかどうか」で判断されると書かれていたという話も情報法制研究4号の87頁あたりに書きましたが、この説明も、Bingの言うretrievabilityと整合します。
これが提供元基準の根拠であるわけですが、平成27年改正のときは危なかったです。提供先基準説、つまり、提供元の照合は関係ないとする説が幅を利かせている中、私は鈴木正朝先生と「提供元基準で理解すると諸々辻褄が合う」という説明を、検討初期の段階でIT室へ持ち込みました。それが後に国会で「日本の場合、これは情報の移転元で容易照合性があるということで解釈が統一されておりまして」との答弁となるのですが、おそらく、昭和63年法立案時の部内資料を確認されたのでしょう。私は何年も後になって情報公開請求で取得した部内資料で、やはりそうだったのだと知ったのですが、提案した時点では、ここまで理論的には理解できていませんでした。ただ状況からして辻褄が合うと考えただけでした。
—— コンタミですね、こわいですね。
高木: 「季報 情報公開個人情報保護」という雑誌があるのですが、これは、全国の自治体に何千とある情報公開・個人情報保護審査会の関係者向けの業界誌です。発行元の一般財団法人行政管理研究センターの紹介ページを見に行くと、冒頭、「情報公開と個人情報保護は、いわば車の両輪。」と謳われてます。そちら系の識者の皆さんもそうおっしゃいますね。
彼らの言う「個人情報保護」はdata protectionではないでしょう。情報公開・個人情報保護審査会が、フランスのCNILのように、関係ないデータに基づく子供の選択に否定的な見解を出したりしますか? しませんよね。不開示の判断と本人開示の判断をするだけですよね。あ、あと訂正・利用停止もありますかね。
ここではっきりと通告しておきたいのですが、我々の大事な個人データ保護は貴殿らの情報公開と「車の両輪」ではありません。こっちに来ないで頂きたい。我々は上に飛ぼうとしているのに、地べたを這わされるのでは困るのです。そちらの組織の名称も、「情報公開・個人情報開示等審査会」に変えたらよろしい。
—— 今日の話の最初の方の伏線が回収できた気がします。「個人情報保護法が保護するのは個人情報ではない」というのはそういうことなのですね。
高木: そうです。冒頭で、令和3年改正の国会審議で否決された野党側の修正案が、第1条の目的に「個人情報を保護し」の文言を加えるものだったことを紹介しましたよね。これの背後には、日弁連がいるようなのですが、日弁連は昭和63年法のときからずーっと同じことを言い続けていて、常に拒否されてきているのですが、これ、ずっと同じ人たちが関わっているのですね。そしてその方々は、情報公開法の立案に関わったり、情報公開・個人情報保護審査会の委員を務めた方々なのです。
彼らの言う通りにしていたら、個人情報保護法は完全に情報公開法の裏返しに退化し、1970年代からのdata protectionの元の趣旨に戻ることはできなくされてしまいます。与党と政府がこれを食い止めているのは実に立派です。
なぜこんなに混乱してしまったのか
—— それにしても、どうしてこんなに混乱してしまったのでしょうか。誰か止める人はいなかったのでしょうか。
高木: 一人だけ、この流れを批判していた先生がいらしたことに、3年ほど前に気づきました。平松毅は、個人情報保護と情報公開の両方の論文を1990年代にたくさん書いていますが、その中で、当時の自治体の個人情報保護条例の方向性がおかしいと批判していました。ドイツ法と比較しながら、fileを対象にするのがDatenschutzなのに、当時の条例の多くがfile概念を持たず、file化されていない個人情報、つまりは「散在情報」まで対象としていることに疑問を呈していました。情報公開と個人情報保護は法目的が異なるのに、自治体の条例が両者を一体的に整備してきたことで、そのような混乱が生じたのではないかと指摘しています。
ただ、平松も、個人情報保護の法目的を、個人情報の濫用からの不安感を取り除くためとし、開示・訂正の観点で違いを論じるにとどまっており、意思決定指向利益モデルの理解には至っていなかったように見受けられます。結局のところ彼は、fileに限定すべきとする理由を、そうしないと開示請求があっても検索できないものまで含まれてしまい、実務上不都合だからという、消極的理由で説明するにとどまっていました。
この理由では流れをひっくり返せなかったようです。実際、全部改正で散在情報まで対象を広げた行政機関個人情報保護法は、「適用除外等」として、45条2項で、「保有個人情報……のうち、まだ分類その他の整理が行われていないもので、同一の利用目的に係るものが著しく大量にあるためその中から特定の保有個人情報を検索することが著しく困難であるもの」については、開示等の規定の適用について、「行政機関に保有されていないものとみなす」との規定を置いて、平松が指摘していた問題を回避してしまいました。
ちなみに、この「保有されていないものとみなす」規定は、塩野宏が行政管理局に提案したことによって実現した経緯があることが、開示資料から判明しています。詳しくは情報法制研究7号83頁と、同9号110頁で述べています。
—— 堀部先生はどうされていたのでしょうか。
高木: 畏れながら、この際少し言及せざるを得ません。何回か単発の質問が堀部政男に向けられた記録がありました。1980年のジュリストに載っているシンポジウム報告で、高木教典が鋭い質問をしています。情報公開では既に出来上がった情報を検証するだけとなるが、コンピュータ処理を前提にすると、情報作成プロセスが判断を左右するからそこに問題があるのではないか、テクノクラートしか介在できないのは危うい的なことを指摘しています。堀部の返答は、同調しながらも「今後問題を考える際に参考にさせていただきます」で終わっています。2000年の「第4回個人情報保護法制化専門委員会」で、林良造通産省機械情報産業局次長が、EUに行ったら与信の自動処理プログラムをどう考えるかの議論をしていたが云々と話を向けていたのですが、堀部座長はスルーでした。
—— データによる選別、アルゴリズムの妥当性の話をしようとしていたように見えますね。
高木: そう思います。一つ、言いそびれていたのですが、relevancyの原則の他に、adequacyの原則もあります。これはOECDガイドラインには入っていなかったのですが、108号条約の方には入っています(5条c)。Bingは、adequacyの利益こそが最も重要であるとして、relevancyの原則だけでは足りないと書いていました。1995年のデータ保護指令には「adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed」と明記され(6条1項(c))、GDPRにも引き継がれています(5条1項(c))。このadequateのニュアンスが難しいのですが、データが少なすぎても個人を適切に評価できないという点で十分なデータが必要という意味と、評価の材料としてそのデータ自体の妥当性のことを指しているようでもあります。個人情報保護の目的を、漏えいガーとかプライバシーガーで捉えていると、データは少なければ少ないほど良いことになりますが、意思決定指向利益モデルで捉えると、このように必ずしもそうではないということになります。
日本ではこういう話を書いたものがぜんぜん見当たりません。私がこの辺に最初に気づいたのは、3年半ほど前、 Colin J. Bennettの「Regulating Privacy: Data Protection and Public Policy in Europe and the United States」(1992年)を邦訳した、「プライバシー保護と行政の対応 欧米4カ国の国際比較」(江夏健一監修・土屋彰久訳)に目を通していたところ、チラッと書かれているのを見たところからでした。「データ保護」について、「ドイツ語のDatenschutzから訳した、ヨーロッパの学術用語である。」「この言葉は難解な専門用語で、一般市民には、馴染みの薄い言葉である。」と書かれていて、評価こそが問題であることや、評価のためにはデータが必要な面もあるというadequacyの話もチラッと書かれていました。ただ、この本の主題は別のところにあるので、詳しいことは説明されていません。そこから原書をあたり、各国の文献の原典をあたっていったのでした。
他には、樋口範雄が1998年の時点でジュリストで重要な指摘をしています。当時、民間部門については、通産省告示「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(1997年)があったのですが、これがEUのデータ保護指令とは似て非なるものだと批判、通産省告示は、EU指令の「controller」を「管理者」に置き換え、全く異なる概念になっていると指摘していました。通産省告示の「管理者」はGDPRでいうDPO (Data Protection Officer)のことですね。「controller」はそういうことじゃありません。樋口は、OECDガイドラインの「data controller」がその由来であるとし、これこそがキー概念であると指摘するのですね。「管理者」は企業内部の責任者であって、むしろ情報の利用者ではないのに対して、「data controller」はむしろ利用者自身であって、情報処理のあり様の全般を決めるという意味で情報をコントロールする主体である旨を解説しています。
しかし、これを聞いてもピンと来ない人は多いのではないでしょうか。鈴木正朝先生が最近、「日本法にもコントローラ概念を」と吠えていますが、「べつにそんなのなくても、個人情報取扱事業者と委託先の関係でしょお?」という感想は多いのではないでしょうか。
—— 鈴木先生、吠えていらっしゃいますね。私も実はピンと来ていないのですが。
高木: これは、data controllerの真髄を誰も言えていないからだと思うのですね。
日本でみんな勘違いしているのは、先に個人情報というものが世に存在していて、それを取り扱うことになったら、個人情報取扱事業者としての責任が生じて、利用目的を特定する義務がかかるという発想をしているでしょう? data protectionは逆です。まず先に、個人についてデータ処理する適法な利用の目的があって、その目的に沿った適切なdataを構成する義務があるのです。dataは初めからあるのではなく、利用の目的を立てたdata controllerが独自に構成するのです。前の方で、そもそもデータというのは「誰かが形式化したもの」と述べましたよね。personal dataはinformationで構成されるのですが、informationは初めから存在するかもしれませんが、personal dataは人為的に設計して構成するものなのです。その設計者が「data controller」なのです。
OECDガイドラインの2つ目の基本原則である「Data Quality Principle」の文を改めて見て欲しいのですが、「Personal data should be relevant to ……」とあるように、「relevantなデータしか取得してはならない」といった書き方ではなく、「データはrelevantであるべき」という書き方になっていますよね。これは、存在するものを取得する話ではなく、data controllerが自らdataを設計する話だからなのです。
—— 情報とデータ、言葉を間違えると意味がわからなくなってしまうのですね。
高木: ホントそうですよ。樋口も「情報コントローラ」と書いちゃってますし。それから、「processing」のことを「取扱い」と言い換えて訳す人がいっぱいいるでしょう? この、「processing」を最初に「取扱い」と訳したのは誰ですか? だいぶ前から続いていたようですが、今でも個人情報保護委員会がGDPRの参考訳をWebに載せていて、「processing」を全部「取扱い」と訳しちゃってるでしょ。タイトルからして、「…… on the protection of natural persons with regard to the processing of personal data」を「個人データの取扱いと関連する自然人の保護に関する……」に勝手に変えちゃってる。「controller」も「管理者」と訳してるし、これはもう冒涜ですよ。「processing」(処理)と「handling」(取扱い)は同じ言葉じゃありません。前出のYoungerレポート(1972年)の時点ではhandlingの語で書かれていましたが、その直後に、欧州評議会もOECDもprocessingの語を使うようになるのです。
先ほど出てきたJIS X 0001にも、用語「データ処理」(data processing)の定義があって、「データに対して行われる操作の体系的実施」とあるのですね。これは1件の扱いを問題にしていないわけで、多数を一律に扱うことをデータ処理と呼んでいるわけです。個人データに限らず、一般用語としてのdata processingにさえこのようなニュアンスが含意されているとJIS X 0001に書いてあるわけです。これは元は1974年のISO 2382-1であり、ちょうどdata protectionの勃興期と同じ時期ですね。当時の「data」「processing」の語感がこのように古い規格の定義に今も残っているわけです。
—— 用語は大切ですね、翻訳1つ間違えるだけで戦争が起きるといいますが、本当に訳語は注意が必要ですね。
高木: そうですよ。最近の、顔識別カメラの話題でも、identification(識別)のことを認証(authentication)と言い換えて訳す研究者が多くて問題だという話をしていましたが、言葉を大切にしなくて何が人文系ですか。一事が万事、理解の乱れは用語の乱れから。理解していないから用語を誤るし、用語を誤ったら理解もできないのですよ。
多賀谷一照は、フランスのデータ保護法を1981年と1982年に論文で紹介しているのですが、「情報処理・情報の蓄積(ファイル)・諸自由に関する法律」と、「fichiers」を「蓄積」と訳したんですね。「ファイル」の訳語も添えられてはいますが、「蓄積」と訳したら、これまでに述べたような「file」「data」のニュアンスが消えてしまいます。単なる置き場所の意味になってしまう。たしかに、「file」という単語だけ見ても、その背景にあるニュアンスはわからないというのはそうなんだろうとは思います。ドイツ法の経緯を理解する必要があったわけですが、当時の情報環境では難しかったでしょうかね。
記録を伴わない自動処理への拡張
—— 大昔はともかく、1990年代や、2000年代はどうなんでしょうか。
高木: もし、著名な英語文献でこの辺りをしっかり書いたものがあれば、日本でも理解されていただろうなとは思います。Bingの論文は英語で書かれていますが、広く引用されてはいなかった様子があります。EUデータ保護指令が制定される1995年前後の文献を探したのですが、指令の趣旨の深いところを理解するのに適した文献はあまりないようです。前出のBygraveが2002年の著書で、データ保護指令の法目的の趣旨を説明した文献はないと書いていたのを目にしました。
それから、欧州でも、日本と同様の混乱があったようでもあります。情報それ自体を保護する法であるとか、プライバシーを保護する法であるという誤解は、絶えなかったようで、Bygraveの著書もそこの説明に注力しています。意思決定指向利益モデルとは矛盾するような裁判所の判決もあって、はっきりとこうだと言える通説的見解はなかったのかもしれません。
—— ということは、今日の高木さんの話も、1970〜80年代の古い話にすぎなくて、90年代以降には当てはまらない話になっている可能性はないのですか?
高木: そこの調査はまだ十分でないのですが、一つには、1995年のデータ保護指令は、そしてGDPRも、対象を「file」に限定していない点が以前から気になっていました。これらの対象は、自動的手段による処理及び非自動的手段による処理のfiling systemです。「非自動的手段による処理のfiling system」というのは、日本法のマニュアル処理情報(現行法2条4項2号)に相当するもので、file概念を維持していますが、「自動的手段による処理」の方は「file」に限定していないように見えます。そのため、構造化されていない個人情報である散在情報が、電子文書に記載されてコンピュータで扱われれば自動処理に該当するかのようにも見えます。つまり、例えば、ブログに他人の名前を書き込んだというだけで、個人情報の自動処理になるのかという問題です。
これについては、まだ調査が足りていませんが、「data」という言葉自体が、これまでに述べたニュアンスを含意しているのであれば、「file」の語がなくても元の趣旨は前提として生きているのではないかと考えています。そうすると、なぜデータ保護指令で「file」の語を捨てたのかが問題となりますが、OECDガイドラインで「file」が記載されなかったのとは事情が違って、記録を伴わない自動処理による決定も対象となることを明確にするためだったのではないかと考えています。
—— 記録を伴わない自動処理?
高木: 一昨年のフランスの行政訴訟の判例を見て合点がいきました。COVID-19対応のために、市が学校に体温測定用の赤外線カメラを配布し、一定の体温以上の児童や教員を自動判定して退出させるようにしていたところ、GDPRに違反するとされた事例です。体温測定カメラは、顔識別をしていませんでしたし、測定した体温を記録するわけでもなく、その場で判定していただけなのですが、GDPRの対象となるというのです。
—— これ、日本ではみんなやってますよね。致し方ないかなとも思いますが、GDPR的にはNGであると。
高木: この事例は、公的機関が法令に基づかず事前の影響評価を行わず医師を介することもなく実施したことが問題だったようです。少なくとも、判定の基準は妥当か、測定器の能力は十分かといったことが事前に確認されている必要があったでしょうね。
その辺はともかく、日本法の発想ですと、皆さん、まず「特定の個人を識別できない」と言うでしょうし、記録していないから「取得すらしていない」と言うでしょう。ですが、その場にいる人に対してdataを用いた自動処理による決定をしているのだから、personal dataの自動処理だというわけです。意思決定指向利益モデルの極みですね。日本的な漏えい対策・提供制限利益モデルの発想ではこうはなりません。
人に対する決定こそがdata protectionの法的利益の核心であるなら、記録の有無は関係がなく、file化することは制度の前提として不要なわけですね。対象を1980年代までのようにfileに限定していたら、この種の事案に対処できないと言われてしまうかもしれません。1995年のデータ保護指令が、本当にこのようなケースを想定して「file」を捨てたのかは、まだ確認していませんが、初期案には「file」概念があったようなので、修正の経緯を調べようと思っています。
それで、データ保護指令が「file」に限定しなくなったとはいえ、「processing」の語の方に意思決定指向利益モデルの前提が含意されているとすれば、決定を伴わないようなことにまで適用されるわけではないと理解できるのではないでしょうか。この体温測定の判決でも、単に体温測定カメラを置いて市民が利用できるようにするだけであれば「processing」に該当しないと、GDPRの「processing」はフランス語では「traitement」ですが、これに該当しないと判示されています。
—— なるほど。コペルニクス的転回というか、これまで天動説で空を見ていたんだなあという感じがしてきました。
高木: 日本法でも、仮想的な個人情報ファイルあるいは個人情報データベース等の利用であると解釈することができるかもしれません。類似のことを情報法制研究4号81頁の注32に書いておりました。「情報ソースから散在する情報を逐次的に読み取って、個人情報を発見次第、随時『プロファイリング』処理を行うという処理形態(ストリーミング処理)もあり得るところ、このような場合において、物理的な個人情報ファイルは作成されないと言うことができるかもしれないが、処理の全体を見れば、論理的には個人情報ファイルが一時的に生成されたと見ることが可能であろう。」と。
ただ、行政機関個人情報保護法の場合、「保有個人情報」が対象で、行政文書に記録されたものだけが対象なので、これに対処することはできないですね。他方、民間部門は、「個人情報データベース等を構成する」ものが対象なので、対処可能かもしれません。
ここで興味深いのが、令和2年改正で、「保有個人データ」の6か月要件が撤廃されることです。これは、保存期間が0秒でも保有個人データに該当することを意味します。この改正が、誰の意向で入ったのかは謎ですが、もしかすると、data protectionの考え方に合わせていく一環なのかもしれません。意思決定指向利益モデルに沿っている感があります。日本法では、決定のアルゴリズムの開示を求める制度はありませんが、利用停止請求について、その場で決定されるシステムを対象にできる余地があるかもしれません。
今になって思えば、なぜ、6か月保有しなければ開示・訂正・利用停止の対象にしないことにしたのですかね。逐条解説書を確認すると、開示等の実益と事業者の負担を利益衡量したと書かれていますね。「実益」をいったい何と捉えていたのやら。その点、逆に、意思決定指向利益モデルに基づけば、個人に対する「決定」に用いられないことが保障される個人データであれば、開示等の実益はないわけです。令和2年改正で創設される「仮名加工情報」の制度はそれに沿っています。
自己情報コントロール権と情報自己決定権
—— なるほどそこに話が戻るのですね。これでだいぶ伏線を回収した気がしますが、まだ何か残っている話はありますか。
高木: はい。冒頭で、去年の令和3年改正法案の国会審議で、野党の修正案が否決された話をしました。「個人情報を保護する」の文言を入れよという主張が通らなかった話をしましたが、他にも、自己情報コントロール権や情報自己決定権を入れよという主張も通りませんでした。それはよかったのですが、改正法の附帯決議に検討事項が入ってしまいました。
四 デジタル社会の形成を図るための関係法律の整備に関する法律の施行に関し、以下の事項について配慮すること。
1 個人の権利利益の保護を図るため、自己に関する情報の取扱いについて自ら決定できること、本人の意思に基づいて自己の個人データの移動を円滑に行うこと、個人データが個人の意図しない目的で利用される場合等に当該個人データの削除を求めること及び本人の同意なしに個人データを自動的に分析又は予測されないことの確保の在り方について検討を加え、必要な措置を講ずること。
(第204回国会衆議院閣法第28号附帯決議)
「自己に関する情報の取扱いについて自ら決定できる」とありますが、これは、日本的な提供制限利益モデルに陥っている疑いが濃いです。「本人の同意なしに個人データを自動的に分析又は予測されない」とも言っていますが、これまでに述べたように、分析されることが問題なのではなく、「決定」されることが問題なのです。「決定」に用いられないなら分析自体は問題ではないと先ほど言いましたよね。具体例は、統計量への集計という二次利用です。
—— 「自己に関する情報の取扱いについて自ら決定できる」というのは、どういう意味ですか?
高木: これは、「自己情報コントロール権」と「情報自己決定権」をくっつけて言い換えたものでしょうね。
—— 「自己情報コントロール権」はよく聞きますが、これはどういうものですか?
高木: 日本の憲法学界では通説になっていると言われているもので、佐藤幸治が1970年に次のように書いたのが元祖と言われています。
ビーニー教授は、現在プライヴァシーの法的概念にふくまれていて、プライヴァシーの権利の定義づけで考慮されなければならないものとして少なくとも三つの範疇が区別されるとして、法的概念としてのプライヴァシーの権利を次のように定義する。すなわちプライバシーの権利とは、個人(団体)が、他人(個人、団体あるいは政府)によって(a)自己の諸々の思い(アイデア)、書き物、氏名、肖像、その他のアイデンティティの徴表を取得されまたは利用されうる、(b)自己または自己が個人として責任を追う者に関する情報(インフォメーション)を取得されまたは明かされうる、または(c)物理的にまたはより巧妙な方法で自己の生活の場および自己の選ぶ活動領域に侵入されうる、程度を決定できる法的に承認された自由または力である②、と。もし『情報』という言葉をひろく解して右の定義における(a)および(b)をも自己についての『情報』の取得にかかわる場合としてとらえれば、プライヴァシーの権利はこれを自己についての情報をコントロールする権利(原文では傍点)といい換えることができよう③。
②Beaney, “The Right to Privacy and American Law,” 31 Law and Contemporary Problems 253, 254 (1966).
③See Charles Fried, “Privacy,” 77 Yale Law Journal 475, 482 (1968).
(佐藤幸治「プライヴァシーの権利(その公法的側面)の憲法論的考察(1)」法学論叢86巻5号12頁、1970年)
10年後、佐藤は、プライバシーの権利とは何かを論ずる中で、次のようにも述べています。
(略)今日われわれが、高度に相互依存的な現代社会に生き、税や社会保障あるいは各種サーヴィス等の分野において好むと好まざるとにかかわらず公権力と接触しなければならない状況下にあることを前提とするならば、われわれが道徳的自立の存在として、自ら善であると判断する目的を追求して、他者とコミュニケートし、自己の存在にかかわる情報を開示する範囲やその性質を選択できる権利というように理解すべきではないかと思われる。(略)
右のようなプライバシーの権利の把握は、「自己に関する情報のコントロール権」説とか「情報プライバシー権」説とか呼ばれる。
(略)
(3)「情報プライバシー権」の保護措置
「情報プライバイシー権」は、個人についての情報の①取得収集、②保有および③利用の各局面に応じて問題となり、政府の保有する個人情報システムについて、閲覧請求権、訂正・削除要求権、利用・伝播統制権を内包しなければ、十分には実現されない。そうだとすると、「情報プライバシー権」は、不当に自己に関する情報を取得収集されないという自由権としての側面のみならず、請求権としての側面も有することになる。
(佐藤幸治「情報化社会の進展と現代立憲主義——プライバシー権を中心に」ジュリスト707号、1980年1月)
このころに既に「通説」と言われ始めていたようですが、1980年1月という、OECDガイドラインが出る直前のタイミングで、「個人情報システム」、つまり個人情報保護法制に言及しています。しかし、昭和63年法の立法時には、個人情報保護法はプライバシー権を実現するものでもないし自己情報コントロール権を実現するものでもないと整理されています。その理由は、「その内容、根拠が判例上、学説上も未だ明確なものとはなっていないから」とされていました。
佐藤説に対しては否定的な見解も少なくなく、端的に言えば、自分についての情報を他人が誰かに伝えることを本人が決める一般的な権利なんてあるはずもないという指摘です。佐藤説への批判を精力的に書いたのが、阪本昌成です。阪本は1980年の時点で、佐藤説は既に通説だとしながらも、次のように批判しています。文中「PA」とあるのは、前出の米国Privacy Act of 1974のことです。
たしかに、PAは「個人に対し、自己に関するどのような記録が行政機関により収集、保有、利用または流通されるかを決定すること」を立法目的のひとつとして掲げており、それは、A・ウェスティン流の定義である「自己に関する情報のコントロウル権」説を実定法化したものである。この説は、わが国においては通説的地位をしめているといって良いだろう(62)。ところが、右定義は、その外延も内包も明確にするところがなく、現実の紛争処理のための判断基準を提供しないのである。この定義を字句どおりに解するならば、L・ラスキィのいうように、「隣人たちが、私のことを、退役軍人である、とか、春さきのゆううつ病にかかっている、とか牡蠣が好物だ、と語りあったとしても」プライヴァシーの権利侵害となってしまう(63)。
(阪本昌成「プライヴァシー保護法と情報公開法」法律時報52巻4号50頁、1980年)
注(62)は、先ほどの1970年の佐藤文献を指しています。阪本は、佐藤説をWestinの主張と同一視して批判しています。先ほど触れたWestinの「自己に関する情報を、いつ、どのように、どこまで他者とコミュニケートするかを自ら決める個人、集団、または組織の要求」ですね。
翌年、阪本は自説を確立し、これに対する佐藤の反論があり、二人の論争はその後も続き、棟居快行や松井茂記など他の論者も巻き込んで展開していきました。
—— 阪本説はどのような見解なのでしょうか。
高木:初期の阪本説は、1981年の「プライヴァシーとは、自己について何らかの決定がなされるさいに、その決定の基礎として利用されうる個人情報が、適切なものであることに対してもつ個人の利益を中心的構成要素とする。」(季刊行政管理研究15号5頁)という見解です。
ここで勘のいい読者は「おや?」っと思うはずですが、そこは後にしておきましょう。
佐藤はこれに対してずっと否定的な見解を示しており、まず、1984年に、「阪本教授は(略)中心的構成要素は、自己についての何らかの決定がなされるさいに(略)個人の利益である(略)とされるが、このようなとらえ方自体は、必ずしも、“私的なるもの”それ自体の保護ということに結びつかないといえるかもしれない。(略)プライバシーという以上、両者に共通するところがあるとすれば、そこにはなお“私的なるもの”の保護という視点は措定されているのではあるまいか。」(法学セミナー28巻12号23頁)と指摘を入れていました。
対する阪本は、1984年の法学教室で自説を発展させ、「私は、プライヴァシーを『他者による評価の対象となることのない生活状況または人間関係が確保されている状態』と定義することにする。(略)つぎに、プライヴァシー利益とは、こうした状態に対する正当な要求または主張をいう、と私は定義することにする。」(法学教室41号7頁)と述べました。「評価」を問題としているところから、1981年の見解から続いているように見えます。
これに対して佐藤は、松井の言葉を借りて、何故「評価」の問題としなければならないのかと、1996年に次のように批判しています。
……とされる阪本教授の指摘は重要であると思う。ただ、記述的概念であるはずの「プライヴァシーそのもの」を、「他者の評価の対象となることのない生活状況または人間関係が確保されている状態」と捉えることには疑問を覚える。ここには既に「他者の評価」「人間関係」といった基準が持ち込まれている。(略)
また、阪本教授は、(略)ここでのプライヴァシー利益をもって「自己について何らかの決定がなされるさいに、その決定の基礎として利用される個人情報が、適切なものであることに対してもつ個人の利益である(62)」とされる。つまり、(略)「公権力による評価の統制問題」として考えなければならないとし、「公権力による個人情報の保有・利用におけるプライヴァシー問題とは、公権力が当該個人情報を真実情報に基づき、正当に評価しているか否か、である(63)」、とされる。しかし、松井教授も指摘されるように、何故ここでも「評価」の問題と理解しなければならないのか、問題は評価ではなくて自己情報に対するコントロールの喪失から生じるのではないか(64)、「評価の統制」といっても具体的に何をどのように統制するということなのか(65)、また、「正当な評価」が問題の核心というなら、公権力がますます詳細な個人情報の収集・保有・利用を求めることへと道を開かないか、さらに、民間における個人情報の収集・利用等の問題が放置されることにならないか、等々の疑問がある。
(佐藤幸治『現代国家と人権』2008年483頁、489頁。初出は「プライヴァシーの権利と個人情報の保護」『国法学の諸問題』1996年)
「松井の言葉を借りて」というのは、松井が1988年の法律のひろばで「自己情報コントロール権説再検討」(41巻3号37頁)として、佐藤説、阪本説、棟居説を比較検討しており、松井見解としては佐藤説絶賛なのですね。それで佐藤は、松井による阪本説批判をそのまま持ってきて上のように批判したものです。注(64)はその松井文献です。
論争の概略を私の観点で要約すると、佐藤説に対する初歩的な批判は、すべての情報が対象になるのは無理があるとするもので、これに対して佐藤説は、「プライバシー固有情報」と「プライバシー外延情報」に分け、コントロール権といっても全ての情報をコントロールするわけではないとします。すると、固有情報の範囲がわからないという批判が出て、その区別が議論になります。そこに阪本説のように「他者による評価」を問題の核心に据える立場をとると、情報の種類による区別が不要になるのでした。しかし、それに対しては「評価を問題とする理由がわからない」とする疑問が出てくるわけです。そこに、評価自体を問題とする原理を追求して、棟居説「自己イメージコントロール権」(1986年)が出てきます。
—— 「プライバシー外延情報」というのはどういうものでしょうか。
高木:上の佐藤文献490頁によれば、まず、「プライヴァシー固有情報」の方が、「個人の心身の基本に関する情報(いわゆるセンシティヴ情報)、すなわち、思想・信条・精神・身体に関する基本情報、重大な社会的差別の原因となる情報」のことを指していて、「公権力がかかる情報を集取し、あるいは利用ないし対外的に開示することが原則として禁止される」とするのに対して、「これ以外の情報、すなわち道徳的自律性に直接かかわらない外的事項に関する個別的情報」のことを、「プライバシー外延情報」と呼ぶとしています。
それで、「プライバシー外延情報」については、「公権力が正当な政府目的のために、正当な方法を通じて収集・保有・利用しても、直ちにはプライヴァシーの権利の侵害とならない。しかし、このような外延情報も悪用されまたは集積利用されるとき、個人の道徳的自律の存在に影響を及ぼすものとして、プライヴァシーの権利の侵害の問題が生ずる。“データ・バンク社会”の問題は、まさにこれである。」というのですね。続けて「この問題は、公権力との関係にとどまらず、私人間でも生ずる。」とも書かれています。つまり、情報の種類で2つに区分したけども、「データバンク社会」を前提にすると両方とも問題となるという話です。
さて、ここからが私の見解です。
——ようやく……。よろしくお願いします。
高木:佐藤が1970年に最初に元ネタにしたFriedも、その頃のWestinもMillerも、だいたい同じように、自己に関する情報の流通をコントロールする権利等々と言っていました。佐藤説はそれを輸入した日本版であったわけですが、欧米ではその直後の1970年代前半、既にその発想から脱却して、data protectionの発想が新たに出現していたのです。108号条約やOECDガイドラインの立案に関わったHondiusやBingらは、1970年前後は「privacy」をキャッチフレーズに検討が始まったものの、data protection固有の法領域が見つかり、それは先ほど述べたように、多数の個人に対する処理に固有の法的保護に値する利益があるのであって、もはやprivacyから切り離したもので、Westin説は採用していない旨を述べているのですね。つまり、OECDガイドラインはWestin説ベースではないわけです。
ところが佐藤は、OECDガイドラインが出てきた1980年代に入ると、自説を個人情報保護法制に絡めて論じるものですから、日本では、個人情報保護法がWestin説ベースであるかのように言われるようになっていくわけです。今でも憲法の教科書を見ると、プライバシー権と個人情報保護法がゴッチャに書かれているものが多々ありますよね。佐藤は、HondiusやBingを読んでいなかったのでしょうか、OECDガイドラインがWestin説ベースでないことに気づかなかったのだと思われます。
その状況をもし、当時の時点で批判しようとすれば、何を言うべきでしょうか。そう、OECDガイドラインはBingの言うように意思決定指向利益モデルに基づいているのであって、データによる個人の評価・決定こそを問題の核心に置いているのだぞと、自己に関する情報の流通をコントロールする権利は採用してないよと、そう指摘することになりますね。
勘のよい読者は既にお気づきのように、阪本説はそれを言っていたかのようなのです。それもそのはず、なんと、1981年の阪本論文は、Bing論文のインスパイア版だったのです。
—— あー。
高木:このことは注に正直に書かれていました。「本稿を書くにあたっては、Bing, A Comparative Outline of Privacy Legislation, in Comparative Law Year Book, 1978, at 149から深い示唆を得た。」とあります(写真)。Hondiusも参照していますね。「A Decade of Computers and Law (1980)」も大事なことがたくさん書かれている文献です。
この論文の内容は、タイトルにあるように、また、掲載誌が「行政管理研究」であることからも推察されるように、出たばかりのOECDガイドラインを受け、日本での立法をどうするかを論ずるために、Bingを引いて紹介したものなのでしょう。実際、見比べて読むと、Bing論文の後半部分と同じことが書かれているのがわかります。
その冒頭の内容は、前出のrelevancyの原則についてであり、阪本は、「個人情報の濫用を防止するという立法目的にとっては、ある決定をなすについて関連性や正確性に欠ける情報の利用を第1に規制しなければならない。」「まず、関連性について考えてみよう。関連性とは、ある機関(組織)の正当な目的にとって、当該個人情報が関係していることをいうが、……」と書いていますが、これは先ほど紹介したBingの解説とだいたい同じです。
Bing論文の方でこれに相当する箇所は、adequacyの利益について述べる中でrelevancyに言及しているところです。こうして両者を見比べると、阪本説1981の「自己について何らかの決定がなされるさいに、その決定の基礎として利用されうる個人情報が、適切なものであることに対してもつ個人の利益」というのは、「適切な」は「adequate」のことですから、つまりは、後の108号条約やデータ保護指令そしてGDPRの言う「Personal data shall be adequate, relevant and limited to ……」の原則(GDPR 5条1項(c))のことだったわけです。
Bingは、この時点ではまだ、「decision-oriented」(意思決定指向)の表現こそ用いてはいなかったものの、既にこの時点で、「濫用(misuse)の典型的な形態は、意思決定プロセスにおいて、関連していない情報を使用することや、当該個人自身が関連していると考える情報の考慮を怠ることである。」とはっきり述べていますね。これが最初に述べた初期ドイツ法の題名「データ処理における個人データの濫用防止」にある「濫用」の内実なわけです。「関連していない情報を使用」というのは、保有を問題にしているのではなく、あくまでも意思決定の考慮に入れることを問題としているのだということも、「…… does not desire non-relevant information to be taken into consideration.」との文で書かれていますね。
—— すごい、全部つながりましたね。 阪本説は先見の明があったと。阪本説は通説にはならなかったのですか?
高木:残念ながらこの後の阪本説は変説してしまうのです。その話は後にして、その前に、先ほどの佐藤からの批判に答えてみるとしましょう。
佐藤は、阪本説に対し、何故「評価」の問題と理解しなければならないのかと疑問を呈しました。これに答えると、data protectionというのは、データによる個人の評価に基づく決定(=選別)を問題の中核においており、relevantでない如何なるデータによる個人の選別もdiscriminationだからです。
佐藤は、「『評価の統制』といっても具体的に何をどのように統制するということなのか」と問いましたが、これに答えると、data controllerが行う「データによる個人の評価に基づく決定」を、data protectionのルールセットと本人関与の手続きと第三者機関による監督により、統制します。また、「『正当な評価』が問題の核心というなら、公権力がますます詳細な個人情報の収集・保有・利用を求めることへと道を開かないか」との疑問も呈されていましたが、これに答えると、まさに、データが目的に対し「adequate」であることを求めるのはそのような面ももたらしますが、同時に「relevant」であることを求めているので、その心配はないということになります。
それから、佐藤は、阪本説への最初の批判で、「プライバシーという以上……そこにはなお“私的なるもの”の保護という視点は措定されているのではあるまいか」と述べていましたが、これに答えると、data protectionは、プライバシー権とはほとんど独立のものとして出現した固有の法領域であり、privacyの語はそれまでの経緯の都合で使われていたにすぎないので、「私的なるもの」に限られず、公開情報であっても対象になるということです。
つまり、両者は別の話をしていたわけです。佐藤はプライバシーの話をしていた。Bingらはprivacyから脱却したdata protectionの話をしていた。阪本はBingの解説を持って来て佐藤説に対抗する材料になると考えたということでしょう。
—— 阪本先生は佐藤説に反論はしていないのですか?
高木:たしかに、Bing論文を紹介していたわけですから、それに沿って今述べたように反論できたと思うのですね。しかし、そのようには反論されていないようです。というのも、阪本は、前出のように、1984年の法学教室で自説を発展させ、「私は、プライヴァシーを『他者による評価の対象になることのない生活状況または人間関係が確保される状態』と定義することにする」と述べています。これはもはや、「data」や「file」の話をしていないのですね。1対1の人間関係のプライバシーの話になってしまった。しかも「決定」が外れて「評価」そのものを問題にしてしまった。
この発展形について阪本は、「伝統的見解と新しい見解とを連結させるために、両見解の基礎にある同質的な性格に着目しつつ、新たなプライヴァシー概念を提唱する」(7頁)と述べています。「伝統的見解」というのは、「他者に知られたくない個人情報または私的空間に対する相当な(reasonable)要求」(同頁)のことだそうで、「新しい見解」というのが、1981年にBing論文からインスパイアした見解のことです。後者を阪本は「立法論的な(つまり、具体的権利とはいえない程度の)プライヴァシー権論のために提唱したものであった。」(同頁)と釈明しているのですね。元ネタのdata protectionは「伝統的見解」から脱却して出現した新しい法領域だったのに、そこを再連結してしまったら、それはもう辻褄が合わなくなると思うのですが。
阪本は結局、data protectionの前提にあるドイツ法由来の「data」「file」概念に気づかなかったのではないでしょうか。気づかないままBing論文を訳しても、その真意に迫ることはなく、何故「評価」の問題としなければならないのかについて、Bingが説明した「データによる決定」の話とは違う方角へ行ってしまったように見えます。Bingもあいにく1978年のこの論文では「file」概念についてほとんど説明していませんでした。1980年以降の論文では「Datei」(= file)がキー概念だと説明に注力していたのですが、阪本はそこまで追いかけなかったのではないでしょうか。
松井も、1988年に阪本説を「プライヴァシーを『社会の評価からの自由』と定義すべき理由が、定かでないのである。」(法律のひろば41巻3号37頁)と批判するに際して、阪本の元ネタを確認しなかったのでしょう。1996年の佐藤もそうでしょう。私が調べた限り、日本でBingやその周辺の文献について紹介したものは、阪本1981以外に見つかりません。今の私が松井のこの指摘に答えるなら、「関連していないデータによる個人の選別からの自由」がデータプライバシーです。
かくして、日本の憲法学界隈はその後も、data protectionとは違うところの議論を延々と続けたのです。これは現在も続いています。
—— 今も続いているというのが、去年の国会の附帯決議なのですね。
高木:そうです。自己情報コントロール権説は、憲法の教科書に書き込まれ、何十年にもわたってそれを信ずる法学徒を輩出してきたことでしょう。今や、高校の教科「情報」の教材にすら、「現在の個人情報の扱いの考え方の基本になっているのは,1967年にコロンビア大学のアラン・ウェスティン博士が著書の中で述べた「自己に関する情報をコントロールする権利」であると考えられる。」(文部科学省高等学校情報科「情報I」教員研修用教材33頁)などと書かれてしまう始末です。これは政府見解とは異なる説明です。
佐藤説とその周辺の各説は、世代を超えて今も「プライバシー」研究の対象として人気ですが、個人情報保護法と絡めるのはそろそろやめていただきたいと思うのですね。個人情報保護法と関係ないところで「プライバシー」を探求する研究はどんどんやって頂いてよい。それを個人情報保護法に絡めるのは、この法律の趣旨を誤解させるばかりで、本来の法目的を忘れさせてしまう害があると、私は言いたいのです。
その点、前出の棟居説「自己イメージコントロール権」説は対照的です。棟居は、むしろ「情報」から離れて、伝統的プライバシーの原理の探求において、他人からの評価の問題を検討しているのですね。棟居は、阪本説に対して「『評価の対象とされることによって、何が侵害されているのか、』というプライヴァシー侵害のエッセンスはナゾのままであろう。」(神戸法学雑誌36巻1号4頁)とし、自説として、「『多元的な社会関係を形成する自由』から派生するもの」(12頁)、「人間は様々な社会関係において様々な役割期待を担いつつ、逆に主体的にシンボルを解釈し操作することによって、自己の『役割イメージ』を形成し、それを相手方に演じて見せるのである。」(14頁)と論を進めていくのですが、個人情報保護法制の話はしていないので、理解できます。棟居は自説によって「名誉侵害とプライヴァシー侵害との関係が明瞭になる」(19頁)としていて、なるほどと思いましたが、これはdata protectionの話ではないわけです。
なお、海外でも同様の混乱はあるようでして、data protectionから切り離したprivacyを論じようという動きは、最近のAndrea Monti & Raymond Wacks「Protecting Personal Information – The Right to Privacy Reconsidered」(2019年)にも見られます。この本は、data protectionを理解した上で、data protectionへの誤解に基づく過剰な期待を批判して、それとは別にプライバシー権そのものを論じるべきとしているようです。
—— 阪本先生の方はどうなんですか。個人情報保護法制と関係づけているのですか?
高木:関係づけていますね。例えば、1985年の自己情報の訂正請求権に関する論文では、1981年の自説を引きつつ、「公権力による個人情報の保有・利用におけるプライヴァシー問題とは、公権力が当該個人を真実情報に基づき、正当に評価しているか否か、である(略)。だからこそ、真実性が問題視されるのであり、個人情報の秘匿性、非公知性、公表に伴う精神的苦痛、といった要件は不要となる(情報の秘匿性等ではなく、referenceの問題である)。」(「プライヴァシー権論」197頁、初出はジュリスト829号)と述べています。それから、1985年に、「総合的プライヴァシー保護への動き」として、OECDガイドラインに言及しつつ、自治体の情報公開条例における本人開示について、「本人にとって最大の関心事は、自己の事実に関する情報よりも、評価・判定に関する情報を知ることであり、それが『自己情報コントロウル』の核心的部分である。」(同183頁)と述べています。ただ、relevancyの話をしていないのですね。
個人の評価に用いる情報が真実であることの重要性は、個人情報保護法制の開示・訂正請求権の根拠ですし、実際、後の立法はそのようになったわけですが、data protectionは、それだけでなく、dataにrelevancyとadequacyを求めているのに、その話が出てきません。1981年のBingをインスパイアした自説では、「まず、関連性について考えてみよう。」と書いていたのに、その後はその話が出てこなかったようです。OECDガイドラインに言及した場面では、Data Quality Principleについて「個人デイタは、その利用目的に沿ったものであるべきであるととともに……」と触れているものの、「沿ったもの」(= relevant)とは何かについて、1981年のときのようには説明していないのです。
そして、阪本説の最終的な到達点は、2008年の「プライバシーの権利と個人情報の保護——情報財の保護か自由な流通か」(国民主権と法の支配——佐藤幸治先生古稀記念論文集下巻83頁)のようです。そこでは、米国の学説を追って、「ある論者は、プライバシー権と呼ばれている権利には独自の実体はないとその権利性を否定するかと思えば、別の論者は、プライバシーを人間の尊厳や人が人であること(personhood)に論拠づけて、権利としての統一性を持たせようとする。さらに別の論者は、プライバシー権存立の危うさを回避するために「データ保護」法制を検討しているかと思えば、ある者は、個人情報に財産権的な理論構成をほどこせばその権利性の弱さをカヴァできるのではないかと論じている。」(85頁)という話から始まるのですね。
データ保護法制(= data protection)が「回避するため」のものだというのは、阪本先生の見解なんでしょうか。そうだとすれば残念です。続く部分で、「論者によっては、『情報プライバシー』に代えて、『データ保護』という別の用語を選択すべきだという(27)。この論者が『プライバシー』ではなく『データ』保護という用語と近接法を好む理由は、次のとおりである。」(98頁)とあるのですが、挙げられているのが消極的理由ばかりなのには、ガッカリです。
この論文では、結局、法と経済学の方へ行ってしまわれたようで、「この学派にとっての権利のモデルはproperty ruleを基礎とする財産権(所有権)である。」(102頁)、Westin 1967も「個人情報を財産権として理論構成できないか問題提起していた。」、Miller 1971も「財産権的発想が最も簡明であろうが、人間の価値にかかわるプライバシーを財産権と考えることには強い反対が予想されると指摘していた。」(103頁)との話を持ち出して、1990年代後半の法と経済学派の盛り上がりを紹介していき、その限界に言及するという内容なのですが……。HondiusやBingは最初にそこを否定して、それらとは別のdata protectionの意義を説明していたのですけど……。
そうした議論も、個人情報保護法から切り離されたところの学問としてならよいのですけども、阪本は2012年のNextcomで、個人情報保護法について批判するのです。個人情報保護法の目的は何なのかと。曰く、「個人情報保護法制の実現に今まで関与した法学者は、個人情報の要保護性をどう語るか、よほど苦悩したようにみえる。同法の『目的』を語る1条は、こうなっている。(略)『個人の権利利益を保護する』の意味について、(略)『個人の権利利益の侵害を未然に防止しようとするもの』である。(略)いかなる種類・範囲の権利利益が、未然に保護されるのか、私には予想もできない。いかなる法益を保護しようとするのか曖昧なまま、この個人情報保護の法制が『公法的規制』に乗り出すことは賢明なことだろうか?」(「プライバシー保護と個人情報の違い——私法的保護か、公法的保護か——」Nextcom 12号)と。いや、先生、それは先生が1981年にインスパイアされた元論文に書かれていたことではないですか。
というわけで、以上の話を系統樹にしてみました。どうでしょう? もっと網羅するべきところは多々あるのですが……。
—— これはわかりやすい……ですかね?
高木: つまり、Westinらで始まった「情報プライバシー」からすぐに「脱却的転回」で独立したのが「data protection」であった。「OECDガイドライン」も同じ系統にある。「自己情報コントロール権説」は、転回前のWestinらの説を輸入したが、向こうでは「脱却的転回」で違うものになっているのに気づかないまま続け、「OECDガイドライン」が向こうの系統なのに、こっちと同じと思っていた。日本法の制定はOECDガイドラインを基にしているから、向こうの「data protection」の系統なのだけど、「脱却的転回」に気づいてない人たちが度々「自己情報コントロール権説」を持ち出して悪影響を及ぼしそうになった。阪本説は、「脱却的転回」後を説明していたBingらの文献をヒントに「自己情報コントロール権説」を疑問視したが、阪本もdata protectionの真髄を理解しないまま続けていた——ということです。
—— 「悪影響」というのは?
高木: 今日最初の方で述べたように、「情報を保護する」法律だと誤解させるということです。日弁連はずっと「個人情報を保護する」と明記せよ、自己情報コントロール権を認めよ、と主張し続けています。政府はそれを拒否し続けています。
—— 政府の中の人はdata protectionの真髄を理解している?
高木: さてどうでしょうね。立法時に自己情報コントロール権説を取り入れなかったのは、前出のように、「その内容、根拠が判例上、学説上も未だ明確なものとはなっていないから」と説明されていましたが、本当は、data protectionを理解していたからこそという可能性も考えられますね。昭和63年法の立案担当者は、1970年代からの海外立法例を勉強したはずです。担当者によっては、HondiusやBingを見たかもしれないし、「脱却的転回」を把握していたかもしれない。今日冒頭で述べた「文字通りの意味でデータを保護するものではない」という説明は、ドイツ法の初期のコンメンタールにズバリ書かれていますから、さすがに読んでいたのかもしれません。
そうした役人からすれば、日本の学説には「どれも違うわー」との感触を持つでしょうね。しかし、役人は研究者ではありませんので、自説を述べることはしないわけです。有識者の言っていることに対して「お前の言ってることは海外の説と違うぞ」とは決して言わないです。役人としては、採用しない権限があるので、採用しないことによって職務を全うできる。理由はなんとでもつけられる。それが役人の矜持なのでしょう。
例えば、この資料を見てください(写真)。これは、行政管理局が保有していた「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律案検討資料(OECD、EU等)」という行政文書ファイルを情報公開請求で取得したものですが、OECDガイドラインの邦訳のうち「説明覚書 (explanatory memorandum)」の部分です。
左の写真、丸が手書きされているところ、「ガイドラインは、検索、意思決定、研究調査等のために組みたてられたデータの集合体の利用と集積について規定するものである。」の文の、「検索」「意思決定」「調査研究」に丸が付いてます。この文は、今日前半で述べた、「personal dataは人為的に設計して構成するもの」に相当することを言っているようです。「検索」とあるのは「retrieval」のこと(一人ひとりのレコードを取り出すの意)ですし、「意思決定のために組み立てられた」は、Bingの言う「decision-oriented」(意思決定指向)に相当することでしょう。そこを丸で囲んでいた。右の写真、上の波線が引かれているところ、これはrelevancyを説明した段落で、Bingの言う「…… does not desire non-relevant information to be taken into consideration」に相当する話で、ここに波線を引いていたわけです。どこまで理解されていたのかは定かでありませんが、肝心のところに着目されていた様子は窺えます。
—— なるほどですね。自己情報コントロール権は採用されていなかったと。あと、もう一つありました。「情報自己決定権」、こちらはどういうものですか?
高木: 「情報自己決定権」というのは、1983年のドイツ連邦憲法裁判所の国勢調査判決で確立したとされる「Recht auf informationelle Selbstbestimmung」の訳語で、英語にすると「right to informational self-determination」です。
この判決は、当時、西ドイツで反発の声が高まっていた国勢調査法について、統計用のデータを他の目的で利用できるとする規定など一部を無効と判断したものでしたが、判決理由の中で、「自分の個人データの開示と利用を自ら決定する権利」を認めたことから、これが一般化して捉えられていったものです。ドイツの最初の連邦データ保護法(BDSG)から5年ほど経った時点でしたので、データ保護法に憲法上の根拠を与えたと主張する人もいたようです。
しかし、ドイツでも「情報自己決定権」には強い批判があり、議論が錯綜している様子があります。これは、日本で「自己情報コントロール権」をめぐって学説が混乱してきた状況とそっくりだと思います。日本では、両者を同じものと考える人たちもいて、近年では、自己情報コントロール権説の旗色が悪いせいか、舶来物の「情報自己決定権」に言い換えている人たちもいますね。でも、向こうでも同様に批判されているわけです。
ドイツでの批判の急先鋒は、連邦データ保護・情報自由監察官(BfDI)の初代長官(1978〜1983年)だったHans Peter Bullです。情報自己決定権への誤った期待を全方位的に批判しまくっています。この黄色い本のタイトルは、「情報的自己決定——ビジョンかイリュージョンか?」(2011年)です。
他にも、ドイツ政府を代表してGDPRの交渉に携わったというWinfried Veilは、その仕事に疲弊したらしく、「The GDPR: The Emperor’s New Clothes – On the Structural Shortcomings of Both the Old and the New Data Protection Law」(GDPR:皇帝の新しい服——新旧データ保護法の構造的な欠点について)との論文で、GDPRもろとも情報自己決定をボロカスに批判しています。曰く、「小さな子供が声を上げ、誰もが皇帝が裸であることに気づく瞬間を待っているのである。」とのこと。
これらは、ちょっと否定しすぎている感もあるので、話半分なところもありますが、ドイツでも日本と同じように、データ保護法制に対する「誤解」が絶えない様子がわかるかと思います。
—— 混乱は日本だけじゃなかったのですか。
高木: そのようです。他にもイタリアでも同様の混乱があったようですが、そこの調査はまだこれからなので、今日はやめておきます。
ドイツで私が期待している答えに近い論者は、Kai von Lewinskiのようだとわかりました。v. Lewinskiは、元々は法制史が専門だったようですが、Datenschutzの歴史を掘って名をあげ、今や、Auernhammerの名を冠する老舗コンメンタール最新版の主要著者です。
v. Lewinskiは、情報的自己決定(informationelle Selbstbestimmung)について、これはむしろ、Datenschutzの観点からは、「informationelle Fremdbestimmung」(informational heteronomy = 情報的他律)への制限あるいは抵抗とでも呼ぶべきものだと主張しています。自己決定すなわち「自律」の反対語である「他律」、それを否定する形で、情報的他律への制限・抵抗というわけです。前出のBullもVeilもこの説を賞賛しています。これの言わんとしてることは、データによって他者から自分のことが決定されることに問題の核心があるのだと、つまり、これまでに述べたBingが言うところの「意思決定指向利益モデル」と同じ話ではないかなと思うのです。
国勢調査判決の事案はともかく、一般化して言うならば、そもそも informationelle Selbstbestimmung (英語:informational self-determination) という言葉それ自体は、情報に伴う自己決定、あるいは、自己決定のうち情報由来なもの、と言っているだけで、情報について自己で決定するとまでは言っていないよね、というようなこともv. Lewinskiは言わんとしているように読んだのですが、私の深読みが過ぎるでしょうか。つまり、自己決定権が損なわれるような「情報的他律」(=データによる選別)が問題とされているのであって、それを制限させたり抵抗する権利が「情報的な」自己決定権ではないのか。このように捉えると、少なくともせめてちゃんと字面通り「情報的自己決定」と訳しておくべきだと思います。
ドイツの情報的自己決定権についての日本での研究は多々あります。しかし、いくつか拝見したところ、肝心の前提についてすっ飛ばしているか、又はそこの意味を取り違えているものが少なくないと思いました。
—— 肝心の前提というのは、どういうものでしょうか?
高木: まず、国勢調査判決が画期的だったのは、それまでの私的事項を保護するという「領域理論」を採用せず、すべての情報を対象にするとした点です。これはちょうど、自己情報コントロール権の佐藤説が、「プライバシー固有情報」と「プライバシー外延情報」に分け、固有情報だけでなく外延情報も対象にする必要がある旨を説いていたこととシンクロしています。国勢調査のデータの中には、プライベートな情報もあれば、比較的オープンな情報もあるけれども、対象となるのはプライベートな情報に限られないということです。
しかし、国勢調査判決がそのことについて言及したとされる元の文はこうです。「……この点で、自動データ処理という前提の下では、もはや『取るに足らない』データ項目というものは無いのである。」(…… insoweit gibt es unter den Bedingungen der automatischen Datenverarbeitung kein “belangloses” Datum mehr.)と。このように、あくまでも「自動データ処理という前提」を置いていることが重要です。「『取るに足らない』データ項目」(”belangloses” Datum)なんて無いんだというのは、すべてのデータ項目が問題となるということです。
—— 「問題となる」というのは?
高木: この文の前はこうなっています。「……情報の種類は唯一の基準にはなり得ない。決め手となるのはその使い勝手と使用可能性である。これらは、一方では調査の目的によって、他方では情報技術に特有の自己処理とリンク可能性によって決まる。これにより、それ自体では取るに足らないデータ項目が新たな意味を帯びてくることがあり、この点で、自動データ処理という前提の下では……」と。
—— プロファイリングの話でしょうか?
高木: そういうことですね。後ろの文章はこうなっています。「情報がどの程度センシティブであるかは、それが親密なプロセスに関わるかどうかだけでは決められない。むしろ、人格権の観点からデータ項目らの重要性を判断するためには、そのデータ項目らが使用される文脈を知る必要がある。どのような目的で情報が必要とされ、どのような関連付けと使用の可能性があるかが明確になって初めて、情報的自己決定権の許容される制限の問題に答えることができるのである。」と。
日本の自己情報コントロール権説でも、すべての情報が問題となり得るということが言われていましたが、根本的に異なるのは、ここでは「自動データ処理という前提の下では」という具体的な限定があることです。自己情報コントロール権説で言われていたような、「データバンク社会では」とか「高度情報化社会では」みたいな漠とした前提とは違います。
ところが、ドイツでも、これを拡大解釈する動きが続いたようで、この前提の理解が難しかったのか学説も錯綜したようです。玉蟲由樹は1998年の時点で、ドイツの学説を紹介した上で、次のように自説を展開しました。
連邦憲法裁判所による国勢調査判決以降の展開をも視野にいれて、情報自己決定権の内容を再構成するとすれば、以下のようなことが指摘できよう。
第一に、情報自己決定権はいかなる「情報」を保護の対象としているか、である。まず、保護対象となる情報の存在形態についてはどうであろうか。国勢調査判決は、現代の高度情報化社会での自動的データ処理技術の危険性を強調し、それを情報自己決定権を承認する上での拠り所のひとつとしている。しかし、第一次禁治産宣告決定でも示されたように、情報処理は何も自動的データ処理に限定されるものではないし、従来の自動化されていない情報であっても、その後の自動化の可能性は十分考えられる。それゆえここでは、文書、会話などといった自動化されていないデータを含む全ての形態での情報が保護対象となっているとみるべきであろう(105)。
(略)
以上のように、国勢調査判決は対象の面では自動的データ処理に、そして射程の面では国勢調査法に示された特定の情報処理技術に照準を合わせていたが、情報自己決定権の効力はこれに限定されるものではなく、情報に関わる全ての事項および局面を問題とする権利であるといえよう(112)。
105 藤原・前掲注(1)736頁も同旨。
(玉蟲由樹「玉蟲由樹ドイツにおける情報自己決定権について」上智法学論集42巻1号156頁、1998年)
こんなふうに前提を外して「全ての形態での情報が保護対象」と言ってしまうと、話が振出しに戻ってしまいます。初期佐藤説への初歩的な批判に戻ることになるわけです。ここで注目したいのは、注105です。「藤原・前掲注(1)736頁も同旨」とありますが、本当に同旨なんでしょうか。辿って見に行くと、藤原静雄が述べているのは以下のことです。
第一に、この権利がどのような種類のデータ処理に影響を及ぼすかという問題がある。この点について、連邦憲法裁判所はデータ処理の自動化を人格権保護の発展の根拠としているが、判決の説くところは、従来の自動化されていないデータ処理にも妥当すると解されている。これは学説の一致して認めるところである(41)。
(藤原静雄「西ドイツ国勢調査判決における『情報の自己決定権』」一橋論叢94巻5号736頁、1985年)
この「従来の自動化されていないデータ処理」というのは、マニュアル処理のことです。日本法で言うと2号個人情報ファイルに相当する話、つまり、昔ながらの紙で処理していたデータ処理のことです。データ保護指令もGDPRも、自動処理の他に「非自動的手段による処理のfiling system」を対象にしています。この点はOECDガイドラインの時点で既に決着済みでした。
ここで忘れてはいけないのは、マニュアル処理も「データ処理」に限られるということです。ここでいう「data」も「processing」も特別な意味であることは今日、前半で説明しました。JIS X 0001にも「データに対する処理は、人間が行ってもよいし、自動的手段で行ってもよい。」と注記されていると。そのような処理ができるように準備されたものが「データ」であるわけです。data protection法制は、コンピュータの普及で危機感が噴出して議論が始まったけれども、問題の理解に至ってみれば、コンピュータ登場以前からあった問題であり、人間が手作業で行うデータ処理だって同じだと。藤原が「学説の一致して認めるところ」という「従来の自動化されていないデータ処理にも妥当する」というのは、そういう意味です。
—— はい。ここでまた伏線が回収されましたね?
高木: 「data processing」を「情報の取扱い」と訳してしまうと概念が蒸発してしまうという話もしました。玉蟲は、「自動化されていないデータを含む全ての形態での情報が保護対象」との文で「データ」の語を用いていますが、これはどういう意味で書かれたものでしょうか。この論文の前の方のページを見に行くと、こう書かれています。
一般に情報とは、事物あるいは事物の構成要素の描写を意味するとされる(19)。情報それ自体は、情報を得ようとする主体が事物に対して何らかの認識をすることですでに存在し、情報の受け手の行動や状態に影響を与える意味を持つものではあるが、しかし、この情報が重要な意義をなすのは、むしろコミュニケーションの過程での相互的な交換の場面であった。これまでも情報は、コミュニケーションの過程において交換可能な客体として、様々な手段、たとえば会話、文書などによって交換されてきた。このように記号(列)によって固定化された情報は、しばしばデータと呼ばれるが、このデータの取り扱いはコンピューターの登場によって加速的に発展の道をたどることとなった。データ処理を含む情報に関わるテクノロジーは、世界的なレベルでもドイツ国内においても、ここ30年ほどの間で飛躍的な発展をとげた。特に、今やコンピューターは個人所有レベルまで一般化し、自動的データ処理は情報伝達の手段として中心的な役割を演じている。
(玉蟲由樹「玉蟲由樹ドイツにおける情報自己決定権について」上智法学論集42巻1号121頁、1998年)
「記号(列)によって固定化された情報は、しばしばデータと呼ばれる」と書かれていますから、これは、情報をbit列化したものがデータであるという、一般語としてのデータの意味で書かれていますね。「自動的データ処理は情報伝達の手段」と書かれているのも、bit列のコンピュータ処理一般を「自動的データ処理」と捉えている様子です。しかし、今日前半で説明したように、それはDatenschutzが前提としている「Daten」とも「automatischen Datenverarbeitung」とも違うものです。
—— そこは今日の話でよくわかりました。
高木: ちょっと違う角度からも根拠を示しておきましょう。Wikipediaのドイツ語版にある「Personenbezogene Daten」(英語:personal data)のエントリを見ると、「Daten」の説明でこう書かれています。
「情報技術におけるデータ用語とは同一ではないが、データ処理におけるDatensatz(レコード)と同一である。」(Er ist nicht mit dem Datenbegriff der Informationstechnik identisch, aber identisch mit dem Datensatz in der Datenverarbeitung.)
どうですか。ドイツでも同じ誤解が絶えないからこそ、こう書かれているわけですよね。
—— ソースはWikipediaですか。
高木:今の生きた議論が垣間見えるということですよ。
それから、ドイツでは近年、情報的自己決定権の拡大解釈を諌める方向の判例が出ています。2019年のいわゆる「忘れられる権利」に関する連邦憲法裁判所の判決で、Webに掲載された過去の自身の犯罪報道を削除させる権利の有無について、情報的自己決定権の問題ではなく、情報的自己決定権とは独立した一般的な人格権で保護されるものとしたのですね。その理由の中で、情報的自己決定権は、データ処理から生じるリスクに対する保護を与えることを目的としているのであって、メディアの報道や通信過程の結果としての自己の個人に関する情報の流布に対する保護とは区別されるものだと指摘しています。
いやこれ、私もずっと前からそう思ってました。Webから削除の件はdata protectionと違う話だよなあと。「Daten」の意味をbit列一般と誤解していると、ここのところの区別がわからなくなるわけです。
平成15年法制定時の大失敗
高木: それで、ここの前提の取り違えは、日本の学説が自己情報コントロール権論で混乱し続けてきたこととも同根なわけです。
個人情報保護法制に関する1990年代の論点の一つが、昭和63年法を改正して「マニュアル処理情報」まで広げる必要性の主張でした。昭和63年法では「電算処理情報」だけを対象とし、「マニュアル処理情報」は将来の課題として先送りしたからです。これは、当時の英国Data Protection Act 1984も自動処理のみを対象にしていたことの影響でしょう。1990年代は英国でも「マニュアル処理情報」相当のfiling systemまで広げることが議論されていましたので、「日本もそうしなくては」という論調になるわけです。
ところが、「マニュアル処理情報」が何を意味するのか理解していない人たちが、「マニュアル情報」などと呼んで、「processing」や「data」と関係のない紙文書上の任意の記述である個人情報、これは後に「散在情報」と呼ばれることになるのですが、そのような散在情報の「取扱い」まで保護対象にするのが欧州の動向だと勘違いしていた様子があります。これが、平成15年法を大混乱に陥れることになったのだろう、というのが私の見立てです。この辺りは、情報法制研究4号78頁に書いてあります。
—— また大混乱ですか。
高木: 平成15年法、つまり現在の個人情報保護法は、2002年に旧法案が一旦廃案になって、「基本原則」を削除するなどして2003年に再提出された新法案が成立したものです。削除された「基本原則」の何が問題だったかというと、対象が「個人データ」ではなく「個人情報」だったからです。「処理」とは無関係な散在情報である個人情報まで全てを対象にOECDガイドラインの8原則を、といっても5原則に圧縮されたものでしたが、これを入れていたものですから、「表現の自由を規制するものだ」「メディア規制法だ」との反対運動が大いに盛り上がって廃案となり、基本原則の削除に至るわけです。
この辺の話は、6年前の「法とコンピュータ」34号(2016年)にもう書いたので、今日は省略します。66頁あたりから書いてあります。一つだけこの機会に改めて伝えたいのは、2002年の臨時国会で旧法案が廃案になるとき、野党から実に的を射た質問があったのです。
当時自由党の衆議院議員だった達増拓也(現、岩手県知事)が、次のように指摘していました。
○達増委員 きょうは私は、自由主義インターナショナル、リベラルインターナショナルのネクタイをしてまいりました。(略)
情報通信技術の発達の中で、個人の情報がデータとして大量に、高速に処理され、そして一瞬にして世界のどこにでも行ってしまう、そういう新しい可能性が出てくる中で個人のプライバシーや人格を守っていこう、そういうOECD勧告が80年に出ました。それを受け、80年代、90年代、イギリス、ドイツ、フランス等で法制化が進み、またアメリカでも独特の法制化が行われ、そしてEU指令というものも出てきております。
自由を守る、自由を追求する我々の仲間も、各国であるいはEU議会でそういう活動に取り組んでいるわけでありますけれども、そういう各国の取り組みの成果、OECD勧告でありますとか欧米諸国の法律と比較した場合に、今私たちの目の前に出ている個人情報保護法案というのは一種異様なものであります。
どこが異様かといいますと、問題になっているのは、情報通信技術の発達の中でいかにして個人のプライバシー、人格を守るか、テクノロジーからいかにして個人の人格を守るか、プライバシーを守るかということであります。当然、問題になるのはデータとしての個人情報であります。コンピューターで高速処理され得るような、データファイルでありますとかデータベースでありますとか、そういう個人データをどうやって守るか、乱用を防ぐか、プライバシーや人格を傷つけることを防ぐかということがテーマでありまして、諸外国の法律のタイトルあるいはその目的、原則等々の中でも、あくまで対象はデータとしての個人情報、守るべきはテクノロジーから個人の人格やプライバシーを守るというふうな趣旨がはっきりあらわれるような法律になっておりますが、この個人情報保護法は、第二章、基本原則というところで、広く個人情報を取り扱う者全体を対象に基本原則を定めている。これはデータに限らずあらゆる個人情報が対象であります。コンピューター処理されるもの以外のものも含めあらゆる個人情報が対象、そしてすべての個人、団体、法人、機関が対象、個人もまた対象になっている。
なぜこのように諸外国に例を見ないような広範な基本原則を持つこういう法案を提案されたのでしょうか。
第155回国会衆議院内閣委員会第11号(平成14年12月4日)
この質問は、今日述べてきたdata protectionへの誤解を指摘しているものですよね。達増はこのとき、data protectionを理解していたように見えます。
このとき、達増はなぜこの理解ができていたのでしょうか。ぜひ達増先生ご本人の証言を頂きたいとずっと願っているのですが、なにぶん今や県知事さんですから、その願いはなかなか叶わないでしょうね。どなたかお近くの方がこれをお読みでしたら、橋渡しをお願いしたいのですが……。
—— 反応があるといいですね。橋渡し頂ける方は、JILIS事務局までご連絡をお願いします。
高木: ちなみに、この8年ほどいろいろ文献を掘ってきましたが、当時この点を指摘している者は達増以外に誰もいませんでした。多賀谷が2002年11月という廃案が叫ばれている時期に、近いことを述べたものがあるのですが、方角が異なるものです。
多賀谷は、「電子化された『個人データ』についてのみ、その特殊性をとらえて規律すべきであり、手書きを含めた『個人情報』一般についても規律が必要なら、別立てで仕組みを設けた方がよかったのではないか」(法律文化14巻11号22頁)と述べているのですが、これは、処理情報vs散在情報の関係を、電子化情報vs手書き情報の関係と取り違えていて、話の方角が違います。電子化されていない「file」「data」、つまり前出の「従来の自動化されていないデータ処理」のことですが、その意味するところ、特に「処理」概念を理解していない。「その特殊性」とやらは、いったいどのように捉えられていたのか。2005年の著書に、data protectionのことは書かれていません。
なお、この達増の質問に、政府参考人の藤井昭夫内閣官房内閣審議官は次のように答弁しています。「あくまで基本原則の部分については、そういった効果というのは努力義務でございますし、5章の方は、先ほど来御指摘のような、IT処理される個人データということでございます。」と。「5章」というのは旧法案の5章で、現行法の4章のことです。つまり、個人情報取扱事業者の義務は全て「IT処理される個人データ」が対象と言っていますね。ここ、重要なところです。ちゃんと「処理」の言葉を用いていますね。
—— おや?現行法4章は、15条から18条までは「個人データ」ではなく「個人情報」が対象なんじゃないんですか?
高木: そこですよ問題は。話が長くなるので今日はその話は省略します。内閣法制局の横槍でおかしくなったんだろうと推察していますが、詳しくは前出の「法とコンピュータ」34号69頁あたりから書いてあります。いずれにせよ、立案当局の政府参考人が4章の義務は「IT処理される個人データ」だと答弁して成立した法律なんですから、そう解釈すべきですよ。あ、マニュアル処理情報が「IT」かは疑問ですが、そこは目を瞑りましょう(笑)。
これからどうするのか
—— これで予定していた話題が出尽くしたみたいですので、そろそろまとめに入りたいと思います。日本の個人情報保護法は、これからどのようになっていくべきなのでしょうか。というか、端的に、どうすればいいんですか。
高木: まず、OECDガイドラインに準拠させる必要があります。これまで、概ねOECDガイドライン準拠だと思っていたら、肝心要の、2丁目1番地にあるrelevancyの原則、つまり「Personal data should be relevant to the purposes ……」、これに対応していなかったのでした。
この原則は、「利用目的に必要のない情報を保有しない」という意味ではないので要注意です。その意味でなら日本法も公的部門でも民間部門でも規制済みです。しかし、例えば、入試採点に性別を加味すると決めている医大や、採用選考に親の職業やWeb閲覧履歴を加味すると決めている求人企業にとっては、それらの情報は「利用目的に必要なもの」ということになるでしょう。relevancyの原則は、そういうことではなく、人を評価するに際してその目的に関係ないデータを用いてはならないという意味です。
OECDガイドラインといえば、堀部先生がいつも講演で「8原則が5原則にされてしまった」と話されてますが、これは、1982年の行政管理庁「プライバシー保護研究会」報告書が起源だそうで、なぜ減らしたかは、日本人に8個は多すぎるだとか、重複があるからという話だったそうですが、これは改めて見比べると酷いですね。OECDの8原則と行政管理庁の5原則の対応関係を図にしてみるとこうです。
8つが5つに減っているのは、3箇所で2つが1つにまとめられているからですね。「1. Collection Limitation Principle」と「3. Purpose Specification Principle」を合わせて「1. 収集制限の原則」にしたというのは、まあ、重複というよりは、いっぺんに書いただけですかね。「6. Openness Principle」と「7. Individual Participation Principle」を合わせて「3. 個人参加の原則」にしたのも、まあ、「6. Openness Principle」のうち、「存在及び内容を知ることができ」という点に限って開示等請求と合わせた感じでしょうか。「about developments, practices and policies with respect to personal data」の部分は蒸発してるようですが、まあ、公的部門を中心に置くと、そういうのは要らないという話になるのですかね。
問題は、「2. Data Quality Principle」の行方です。まず、後段の「should be accurate, complete and kept up to date」が、安全管理措置「5. Security Safeguards Principle」と一体になって、「4. 適正管理の原則」にされちゃってます。データ品質の原則なのに、管理の問題に勘違いされていたようです。これがまず「酷い」点。
そして、前段の「should be relevant to the purposes」は完全に蒸発していますね。当時の報告書を読んでみても、ここは誰も気づかなかった様子です。
—— 堀部先生は当時どう考えられていたのでしょうか?
高木: 1988年の新書を確認したところ、Data Quality Principleについてこう書かれていました。
第二は、データ内容の原則(Data Quality Principle)で、「個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範囲で正確、完全であり最新のものに保たれなければならない」とするものである。
前段の利用目的に沿ったものであるという要件は、データはそれが利用される目的と関係づけられるべきであるということであり、後段の正確性、完全性および最新性は、データ内容の概念の重要な要素をなしている。後段の場合、「利用目的に必要な範囲内」という条件がついているので、(略)
(堀部政男『プライバシーと高度情報社会』72頁、1988年)
後段が重要だと書かれていますね。前段のrelevantのところの説明が、「データはそれが利用される目的と関係づけられるべき」というのは、ちょっと意味がわかりませんね。
—— 誰もそこの意味がわからなかった、ということ?
高木: そうでしょうね。これは、目的に関連している情報しか「data」にしてはいけないという意味なのですが、これを理解するには、「data」という用語に込められた専用の意味を理解する必要があって、dataはdata controllerが設計するものという理解が必要です。そこを、情報とdataの区別がわからないまま、先に情報があって、取得したら管理が必要になるという観念にとらわれていたら、「data should be」の文は理解不能でしょう。Data Quality Principleは、目的に沿った適切なdataを構成する責任があるということなのですけどね。
もう一つ、2002年に廃案になった旧法案に規定されていた5原則の場合を比較すると、1982年の5原則とはまた違っていて、数は同じ5個ですが、合わせ方が違っています。「8. Accountability Principle」がどこにも繋がっていないのは、法案全体がそれだからということでしょうかね。
「正確性の確保」が「安全性の確保」から独立したのは良いですが、やはりここでも、relevancyの原則はどこにも入っていません。
そもそも「Data Quality Principle」(データ品質の原則)を「データ内容の原則」と訳していたことからしておかしいです。内容じゃなくて枠の設計の話です前段は。後段は内容ですけど。クラスとインスタンスの違いなんですが、言葉からでは概念理解が難しいでしょうかね。
—— 深刻な課題があることはわかりました。これを次の法改正で正していくことはできそうでしょうか。
高木: これはなかなかにハードルが高いです。まず、一部の識者は「基本原則」を復活させよとする意見を展開されているようですが、こんな5原則なら大反対です。まず、「個人情報」対象なのを「個人データ」に変更しないといけない。しかし、基本法部分は公的部門も対象なので、「個人データ」限定なのはおかしいという話になってしまう。「個人情報」のままだと、20年前の「メディア規制法だー」の大反対が復活します。
そもそもこの5原則だと、第4章に同じことが具体的義務として規定されてますから、原則に掲げる意味はないのですね。だから旧法案から削除になったわけです。これは2000年当時の立案の経緯も関係しているようで、当初は基本原則だけの法案を構想していたのが、途中から具体的義務を規定することになって、二重になっていた事情があったようです。
そうすると、基本原則を復活させずに、relevancyの原則を義務規定で実現しないといけない。これは現行法の構造を維持していると、かなり難しいのではないか。「data」概念から立て直さないといけない。現行法の「個人データ」は「個人情報データベース等を構成する個人情報」という定義なので、結果的に「個人データ」になっているかを問う形になっていますが、そうじゃなくて、利用目的に沿ってどう「個人データ」を設計するかの義務を規定しないといけない。
この発想の転換にはたしてどれだけの人たちがついて来てくれるか。50年来の勘違いを正そうというのですから、まさにコペルニクス的転回が必要です。「processing」を「取扱い」と言い換えているうちは無理でしょうね。そう書いている本を窓から投げ捨てないといけない。
—— relevantであるかどうかは、誰がどうやって判断するのでしょうか。
高木:そこですね。それはBingも問いかけていたところでした。現在では、EUなら、各国のデータ保護機関とEDPS(European Data Protection Supervisor、欧州データ保護監督官)や裁判所の仕事でしょう。日本の場合、かつての主務大臣制では全く無理だったでしょうが、今なら、個人情報保護委員会がある。しかし、今の個人情報保護委員会にその知見があるのかどうか。
何しろ、今日前半で述べたように、令和2年改正でも、「適正な利用義務の明確化」を予定していたのに、できた改正法は「不適正利用の禁止」となり、反転されてしまった。「適正な利用義務」とは何かを示すことができないわけです。
—— 個人情報保護委員会に専門家はいらっしゃるのでしょうか。
高木:委員会事務局は、役人の方々で、各省からの出向者で成り立っていますが、これからはプロパーの専門家も育っていくはずです。委員会本体は、実際のところ、あえて従前の個人情報保護法の専門家を置いていないのだと思いますが、それは賢明だと思っています。なぜなら、例えば「情報公開と車の両輪だ」とか「自己情報コントロール権だ」と言っている先生が権限を持ったら、この国のdata protectionは再起不能になってします。EDPSのようにお任せしきれる委員会本体に育つまでには、この国の法学のスタイルからして、あと何十年もかかるでしょうね。
なにより、まず、学説として、data protectionとは何か、日本法もdata protectionを実現するものである、なぜならOECDガイドラインに準拠しようとしたものだから、OECDとdata protectionは同じものである、という見解を普及させなければなりません。ところが、日本の学説の状況は、OECDガイドラインはdata protectionとは違うものであるとか、やれプライバシー権だ、自己情報コントロール権だ、情報自己決定権だと言っている。何でも本人同意に持ち込もうとする勢力もそろそろ有害になってきました。
—— 本人同意に持ち込むのは有害なんですか?
高木: そうですよ。目的に対してrelevantでadequateなdataによる本人の選別は、同意なくやっていいわけです。
—— 例えばどういう場合ですか。
高木: そうですね、例えば、ネットショップで、あるお客さんに対してその客がその店で以前に買った商品から関係しそうな別の商品をお勧めとして提示するのは、relevantなdataに基づく本人選別でしょう。この「本人選別」というのは、その商品のお勧め対象の個人として評価し決定するということです。逆に、他所の店の購買履歴とか、単なるWeb閲覧履歴とか、位置情報の履歴とか、テレビの視聴履歴とかに基づいてお勧め商品を提示するのは、non-relevantなdataに基づく決定、つまり、「関係ないことで判断してくれるな」「そんなの関係ないだろ」ということになり、同意がないとできないということになりますね。
同意は、あくまでも例外的な適法化根拠だというべきです。同意があるのであれば制度上は認めざるを得ないから、そういう規定がある。GDPRの現地の解説書を読むと、同意が必須だと誤解されている旨が説明されていますね。relevancyの原則はlegitimate interestsの判断要素となるでしょう。そこを同意で突破しようとすると、同意の有効性要件はどんどん厳しくなっていきます。昨今のEU方面からcookie規制が厳しくなってきているのは、relevancyが不明な事業が横行しているからで、同意があるなら認めざるを得ないが、同意の有効性は厳しく取り締まって行くぞということでしょう。
—— ターゲティング広告はこれからどうなっていくとお考えですか。
高木: おそらく、relevancyの原則に沿ったターゲティング広告しか許されないよう、追い込められていくと思います。そうなると、生き残るのは「広告カスタマイズサービス」のような事業ではないでしょうか。つまり、広告を見る人が自分の見たい広告を指定する仕組みになっている広告システムです。その方が広告の効果も高いように思えるのですが、そのようなシステムが出てこないのは、無法に広告を見せつける現状のシステムの方が儲かるため、生き残れないからではないですかね。EUの規制によって無法広告システムが淘汰されれば、そうした本来の理想的な広告システムが事業として成立する世の中が来るかもしれません。
ただ、EUでは、ePrivacyという別の法制もあって、そういう前提とは関係なくcookieを規制しているので、こういう話が見えにくくなっています。私の意見としては、ePrivacyは筋悪で、日本が拙速に同調すべきものではないと考えます。欧州でもePrivacyへの批判は多々あるようで、ちょっと手が回らないのでまだ調べていないですけども。
—— このところ聞こえてくる電気通信事業法改正の話でしょうか。
高木: そうです。あの検討会の人たち、ちゃんと海外法制を批判的に研究したんですか? 消費者保護だ同意だ言ってれば歓迎されると思ってませんか。同意なんか求めて、その後どうするんですか。意味のないものになるのは明らかです。
いや、かつて、ガラケー携帯電話の「契約者固有ID」の問題を提起していた私がこう言うのも何ですけど。私も10年前は3rdパーティcookieガーとか言ってましたが、そういう問題じゃないというところまで理解が追いついたのです。今さら1stパーティか3rdパーティかで区別するのは周回遅れです。私は2013年以降それを言っていません。個人データ保護法制で対処すべきだと理解したからです。
だいたいですね、契約者固有IDが個人情報に該当しないと決めてきたのは、他ならぬ、総務省電気通信事業部消費者行政課ですよ。2010年のいわゆる「第二次提言」(利用者視点を踏まえたICTサービスに係る諸問題に関する研究会)で、「個人識別性を有しない」と書かれました。注44のところを見てください。今から思うにこれが迷走の始まりだったと思いますね。誰の指示だったんですかね。
そもそも、2001年の時点では、総務省の研究会(次世代移動体通信システム上のビジネスモデルに関する研究会)が、契約者固有IDのことを「ユーザID」と呼んで、個人情報に該当するから、個人情報保護法が成立して施行されると違法になるから、なんとかしなくてはという議論がされていたのです。それがなぜか、2002年を最後にその議論がパッタリ途絶えているのですね。何があったんでしょうかね。
それが今になって総務省が、「電気通信事業ガバナンス検討会報告書」で、「近年、特定の個人を識別することなく利用者を区別し電気通信サービスを提供するような形態も増えてきていることから、個人情報に該当しない利用者に関する情報についても……」として、電気通信事業法で規制しようとしている。あのですね、そもそも、「利用者を区別し」ているなら、それはまさしく個人を識別しているのであって、そのような状況にあるデータは当然に個人データに該当するものというべきですよ。いったい誰が、氏名がなければ個人情報じゃないなんて言い出したんですか。
昭和63年法の個人情報定義では、「当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの」となっていて、氏名と並んで「個人別に付された番号」で識別される「個人に関する情報」も個人情報だったのです。平成15年法でこの「又は」以下が消えましたが、「等」に置き換わっていて、そこに含意されていたのです。このことは行政管理局の解説書に書いてあります。この前、公的部門ガイドラインのパブコメがあったので、今もその解釈が生きているかと質問したところ、ちゃんと、「改正後の法第2条第1項第1号に規定する「その他の記述等」には、個人別に付された番号その他の符号が含まれます。」との回答を得ました。
—— そうすると、個人識別符号とはなんだったのでしょうか?!
高木: 平成27年改正で導入した「個人識別符号」は、実は要らない規定でした。この規定がなくても初めから元々「個人別に付された番号、記号その他の符号」により当該個人を識別できる「個人に関する情報」は個人情報だったのです。2010年の総務省「第二次提言」以来、氏名がなければ個人情報にならないという誤解が蔓延して、顔識別カメラで個人を追いかける場合でさえ個人情報じゃないと主張した大阪駅顔実験事案とか、DNA配列でさえ個人情報じゃないと主張する向きもあったことから、個人識別符号の規定を設けることによって、それらは「個人を識別することとなる符号ですよ」と、確認的に規定されたのです。
この辺りは、例によって内閣法制局でも混乱が生じていました。情報公開請求で開示された部内資料によると、立案当局(内閣官房IT室)は、当初は、「パーソナルデータ検討会」での検討結果に沿って、唯一無二性や悉皆性、不変性などの高い識別子に限って個人識別符号に入れるよう検討をしていたのですが、法制局の部長レベルでは、「パスポート番号なんて本人も覚えていないのになぜそれが個人情報になるのかわからない」的な横槍が入って右往左往し、最終的に、長官のどんでん返しでひっくり返るという事態が起きていました。
—— 長官のどんでん返し、ですか?
高木: はい。横畠裕介内閣法制局長官は、個人識別符号の案に難色を示し、「登録した者において識別可能な状態で管理しているもの」は全部対象なのであって、一部の識別子だけ対象にするような「つまみ食いはダメ」だと指摘していたようです。この辺りの経緯は、情報法制研究2号79頁あたりに書いています。
今日説明したように、data protectionの「意思決定指向利益モデル」を前提にすれば、「登録した者において識別可能な状態で管理しているもの」が全部対象となるのは必然なわけです。この場合の「識別可能」というのは、個人に対して「決定」を及ぼせるということです。この「決定」の意味が広範であることは前半で述べたとおりで、画面に何を表示させるかを個人毎に変えることも「決定」です。
横畠は、1970年代からのdata protectionの趣旨を理解していたのではないでしょうか。横畠の指摘の「登録した者において識別可能な状態で管理しているもの」との表現は、今日前半で述べた、米国Privacy Act of 1974での当時の「retrievability」の整理とそっくりです。
このどんでん返しの結果、個人識別符号の「政令で定めるもの」は、如何なる状況でも個人を識別することとなるものとして限定的に捉えられ、最小限のものしか入っていません。2号個人識別符号のうち「個人に販売される商品の購入に関し割り当てられ」のところは、政令で該当なしとされており、空文化しています。結局、1号個人識別符号も、2号個人識別符号も、平成27年改正前から既に「個人に関する情報」に含まれれば個人情報となるものだったものということです。この改正で個人情報の範囲は変わっておらず、だから経過措置は設けられなかったわけです。
—— ということはつまり、……、どういうことですか?
高木: つまり、スマートフォンを通じて「登録した者において識別可能な状態で管理しているもの」は元より全て個人データなのです。2010年「第二次提言」のせいで皆で間違えてきただけなのです。
なので、令和2年改正に向けての「3年ごと見直し」の個人情報保護委員会でのヒアリングの席で、個人識別符号にcookieを入れる方向性には反対意見を述べたのです。詳しくは「第105回 個人情報保護委員会」の配布資料と議事概要をご覧ください。
平成27年改正の際に「パーソナルデータ検討会」の技術WGで整理された識別子の強弱論は、もはや関係ありません。あの議論はもう捨てるべきです。
たしかに、私も10年前までは、識別子の唯一無二性、悉皆性、不変性などの性質を捉えて、「強力すぎる識別子」の議論をしていたこともありました。しかしそれは、情報技術論として、そういう識別子を作ってはいけない、使ってはいけないという話をしていたものです。日本ではガラケーの「契約者固有ID」が問題となっていたからです。後には、スマホの端末IDも問題化しました。しかし、米国議会やFTCそしてAppleの対応によって端末IDの問題は解決していきましたし、ガラケーの「契約者固有ID」は目出度くもう廃止目前です。これは技術論の話であって、法制度の規制対象の話は別です。法制度の話としては、識別子の「強力さ」に関係なく、どんな識別子であろうとも、「登録した者において識別可能な状態で管理しているもの」は個人データなのです。私は2013年にそこの理解に到達しました。
それから、その後のリクナビ事件の勃発で急遽導入されることとなった「個人関連情報」も、私の見解としては、新たに規定するまでもなくそれは個人データの提供だったのであり、令和2年改正の「個人関連情報」も確認的に規定されるものだと考えています。
しかし、そうは言っても、現に誰もそうは思ってないじゃないかという話があります。これは、法目的から理解する必要があるのです。「パスポート番号だけからでは誰だかわからないじゃないか」的な発想は、漏えい対策・提供制限利益モデルで法目的を考えているからです。情報公開系のモザイクアプローチだの言っている人々にも理解不能なのです。
—— そうすると、どうやってそこを解決していくのでしょうか。
高木: 法目的が明確になれば、「cookieに格納したID」もその処理形態によっては該当するのだと、解釈で示すことができる……と言いたいところですが、ここで障害となるのが、「個人情報」と「個人データ」の違いです。「個人データ」を直接定義する構想も考えたことがありました。2013年11月の法とコンピュータ学会第38回研究会でお話しした「パーソナルデータ保護法制に向けての提案」はそれでした。
しかし、日本法ではまず「個人情報」の定義があって、それを用いて「個人データ」が定義されるので、その構造がある限りそうはいきません。既に述べたように、「情報」と「data」は異なるものです。data protectionにおける「data」概念に沿って日本法も「個人データ」を解釈するようにし、かつ、法の規定から「個人情報」概念を排除する必要があります。その場合に、公的部門をどうするのかという問題がさらなる障害になってきます。ここのハードルが高いです。しかし、これをやらないことには解決しない。どうしたものでしょうかね……。
憲法上の位置付けを明らかにしていくとは?
—— なるほど大変そうですね。法目的を明確にすることがまず重要という、最初の話に戻りましたが、もう一つ、「憲法上の位置付けを明らかにしていく」という話がありました。これはどういうことでしょうか。
高木: 欧州ではEU基本権憲章で、7条「Respect for private and family life」(私生活と家庭生活の尊重)とは別に、8条「Protection of personal data」(個人データの保護)を設けています。8条1項は、「Everyone has the right to the protection of personal data concerning him or her.」(何人も、自己に関する個人データの保護の権利を有する。)という内容です。
ここでまた誤訳に注意です。「個人データ」とすべきところを「個人情報」と訳したり、「個人データの保護」とすべきところを「個人データを保護」と訳すのは間違いですからね。これは今日最初から述べてきたことです。
「the right to the protection of personal data」の文は、「the protection of personal data」なるものがあることを前提としています。その定義は憲章にありませんが、これまでに述べてきた「data protection」のことです。前出のHondiusが早い時期から、data protectionを基本権にする必要があると論じていました。それがどのような経緯でこのように実を結んだのかはまだ調べていませんが、1970年代からのdata protectionの法目的の前提が活かされているに違いありません。
それに対して日本はどうでしょうか。自民党の憲法改正草案(2012年)は、こんなものを新設しようとしていました。
(個人情報の不当取得の禁止等)
第19条の2 何人も、個人に関する情報を不当に取得し、保有し、又は利用してはならない。
(自由民主党 日本国憲法改正草案 平成24年4月27日決定)
全くお話にならない。あらゆる意味でめちゃくちゃ。これでは人の噂話も憲法違反になりますよ。情けなくて涙がこぼれます。
これが通る心配はないでしょうけども、これが、自己情報コントロール権だ、情報自己決定権だと、置き換わってくると、まずいことになってきます。
情報的自己決定権については、先ほど、ドイツでも誤解と拡大解釈の混乱があって強い批判がある旨を紹介しました。前出Veilの「皇帝の新しい服」の論文は、2018年の時点で、2015年の文献を引いて、「情報的自己決定権はドグマーティクレベルでは国際的にはほとんど受け入れられなかった」と指摘しています。EU基本権憲章にdata protectionがあるので情報的自己決定権にどの程度将来があるかも不明だとも言っています。
ところが、フランスが、2016年の「デジタル共和国法」でデータ保護法を改正して、「何人も、自らの個人データの利用をコントロールまたは決定する権利を有する」とする「l’autodétermination informationnelle」(情報的自己決定)を明記していました。これはやってしまいましたね。CNILが2016年の活動報告のパンフで、ドイツ由来の情報的自己決定権を明記しましたと宣伝していました。
ところがところが、曽我部真裕「フランスの個人情報保護法制」(比較法研究81号、2019年)によると、「ただし、2018年オルドナンスにより、個人情報の利用法を決定しコントロールする個人の権利は、GDPR、2016年4月27日指令(法執行・司法部門の情報保護指令)及び本法の枠内で行使される、という表現に再改正され、端的な権利宣言としての印象は薄まった。」(195頁)というのです。これは、フランスでもいささか混乱があるということではないでしょうか。
この「GDPRの枠内で」との限定がかかる話は、直近の日本での自己情報コントロール権論議とも関係するところがあるように思えます。情報法制研究7号(2020年)に掲載された、曽我部・山本龍彦の「【誌上対談】自己情報コントロール権をめぐって」(128頁以下)は、自己情報コントロール権説を今どう捉えるべきなのか、とてもわかりやすい論争として整理されているので、皆さんも是非ご覧になるとよいと思います。
—— ざっくり言うとどんな論争なのでしょうか。
高木: 私の観点で要約しますと、まず、山本は冒頭、「憲法学では、プライバシー権の理解として自己情報コントロール権説が通説的な位置を占め」てきたとして、阪本説などの従来からの批判はあったとしながらも、「AI技術の発展やプラットフォームの台頭が著しいこの時代だからこそ、自己情報コントロール権を基本権として捉えることが一層重要になってくる」と主張します。
これに対して曽我部はまず、「自己情報コントロール権に含まれる自己決定あるいは同意は、プライバシーあるいは個人情報保護の文脈では、手段的性格が強いのではないか」、「必ずしも本質的要素ではなく、個人情報の社会通念上不当な取扱い及びそれに起因する不利益を防止するのが目的であり、自己決定・同意の要素は基本的にそのための手段である」と指摘します。加えて、同意の有効性に疑問を呈し、さらに、「実定法における自己決定の不徹底」を指摘します。つまり、個人情報保護法のルールは実際そうなってないじゃないかという指摘ですね。GDPRだって同意以外の根拠に基づく個人データ処理を様々に認めていると。
さらに曽我部は、「本来は、あらゆる個人情報についてあらゆるコントロールを及ぼしうるようなことを想定しているわけではないはずですが、ネーミングが独り歩きをして、個人情報を取り扱う主体に対して過剰な負担となるなど混乱を生んでいる側面がないではない」と指摘します。「少なくともその名称においてミスリーディング」だと。
山本はこれに対して、「手段的性格をもつものは基本権と考えてはいけないのか」と疑問を呈した上で、ネーミングの問題はあると認め、「自己に関する情報を誰とシェア=共有するか、しないかを自ら決定する権利、つまり『情報自己決定権』という方が実態に合っているし、誤解も少ない」と主張しつつ、佐藤説の自己情報コントロール権も、「その本質は、どこまでの情報を誰とシェアするかを選択する関係的な権利ですので、両者の互換的な使用は許される」と主張します。
そして、同意の有効性に対しても、山本は、「当然、何らかの正統な利益があれば、同意がなくても一定の情報処理は可能です。表現の自由なども、他の正統な利益と調整されるわけですから、絶対的なものではありません。もともと権利というのは相対的にしか保証されないわけですね。ですが実務の場面では、なぜか情報自己決定権は問答無用の切り札的な権利なのだと誤解」されると言います。
これに対し曽我部は、「ではどのような自己情報のどのような取扱いに対してコントロールを求めるものなのか」と疑問を呈し、「プライバシー固有情報かどうかの区別等、大まかなものはありますが、全体としては不明確」と指摘します。さらに、「こうした名称を名乗る以上は、しかるべき範囲については同意が必要とするのが権利内容なのだと思われます。」とした上で、本人が情報提供を拒否できるかについて「結局は利益衡量によって拒否を認めないのであれば、自己情報コントロール権説をとる意義は減退するのではないでしょうか。」と畳み掛けています。
ここで私の感想を述べますと、ネーミングが独り歩きしているのは日本だけでなく、ドイツでも、おそらくフランスでも混乱が生じているのではないかと思うのですが、山本が言う「誰とシェアするかを選択する」権利という理解も、すでに「独り歩き」した結果だと思うのですね。今日述べたように、少なくともdata protectionの趣旨としては、「誰とシェアするかを選択する」一般的な権利を実現するものではない。そこは曽我部が指摘するとおり、実際GDPRがそうなっていない。
山本は、他の利益と調整されるから絶対的ではないと言うけれども、そこの調整の原理は何なのでしょうか。「自己情報コントロール」からも「情報自己決定」からも、そこのヒントは何ら得られないと思うのですね。例えば、かつてヤフー社長室長だった別所直哉は、legitimate interestsを日本法にも入れたい旨を講演で述べていましたが、legitimate interestsというのは、事業者の「正当な利益」を理由とする適法化根拠ですけども、何をもって「正当」と言えるのか、「自己情報コントロール」や「情報自己決定」からでは何ら導き出されるものはありません。
他方、この対談で曽我部は、自説として、「個人情報の保護を求める権利」と言った方が良いと提案しています。「EU基本権憲章8条1項の定式化を借りた」のだそうです。たしかに、EU基本権憲章では、「the protection of personal data」を定義することなく、「the protection of personal data」の権利を設けています。しかし、これができるのは、EUにおいては、「protection of personal data」すなわち「data protection」の法学概念が50年をかけて既に確立しているからこそではないでしょうか。
先ほどの、フランス法が「情報的自己決定」を明記してしまったが「GDPRの枠内で」と限定をかけたという話も、GDPRが十分に完成したものだからこそ、「情報的自己決定」という独り歩きするネーミングのキャッチフレーズを入れてしまっても、「GDPRの枠内で」解釈されることは揺るぎないわけですね。それに対して、日本で「情報自己決定」やら「自己情報コントロール」を入れてしまったら、そっちのネーミングに引っ張られて、個人情報保護法自体が明後日の方角へ飛んで行ってしまうことになるでしょう。だから、これらの言葉を安易に受け入れることは危険なのであって、政府が拒否し続けるのはそのためでしょう。
一方、曽我部の言うように、日本において「個人情報の保護を求める権利」と言うと、その「個人情報の保護」とは何のことを指すことになるのでしょうか。実定法たる個人情報保護法のルールセットのことを指すことになるでしょうか。曽我部はここで、音無知展の「自己情報の適正な取り扱いを求める権利」説を紹介して、この捉え方に「転換するべきではないか」と主張しています。
しかしどうでしょう。「個人情報の適切な取り扱い」とは? 漏えい対策・提供制限のことでしょうか? 令和2年改正で「適正な利用義務の明確化」を予定していたのに、法制局で「不適正利用の禁止」へと反転されてしまい、結局「適正な利用」とは何かを誰も説明できなかった様子が窺われるこの国で、「適正な取り扱いを求める権利」と言ったところで、トートロジーではないですか。
今日述べてきたように、日本の個人情報保護法は明らかに何かが足りていません。その足りないものを埋める根拠を基本権に求めたいところなのに、その基本権が「個人情報の保護を求める権利」だというのであれば、何も決まりやしないではないですか。ただの現状追認にしかならない。ここにEUから50年遅れ続けたニッポンの「個人情報」の悲哀を感じざるを得ません。
曽我部はこの対談で、「もっとも、『個人情報の保護を求める権利』、あるいは、『自己情報の適正な取り扱いを求める権利』であっても、重要な場面(この辺りの明確化は今後の課題です)では同意の必要性はあると思いますので……」と述べているのですね。「この辺りの明確化は今後の課題」とのことですが、私としては、そのような同意例外を使わざるを得ない「重要な場面」とは、relevantでないdataによる個人の選別が行われる場面のことだと思うのです。
Datenschutzがそうであるように、data protectionを人格権の保護ととらえるならば、「relevantでないdataによる個人の選別」こそが人格権に関わるものだということではないか、そこの解明を日本の憲法学に期待したいです。
—— なるほど。これが今日の高木さんの結論ですね。
高木: ですから、まず、data protectionが「意思決定指向利益モデル」で設計されていて、日本法もその系統にある、という事実の確認から始める必要があると思うのですね。
最近、複数の研究者の方から、私の説を引いて頂いて、最近ではデータによる個人の選別からの個人の保護ということが言われるようになってきたと書いて頂いていて、たいへんありがたいことなのですが、私の見解は、今それが台頭してきたという話ではなく、50年前の最初からdata protectionはそういうものだったのだという説です。
当時は「エキスパートシステム」と呼ばれていて、機械学習による自動モデル生成は今ほど強力ではなかったでしょうが、モデルを適用して個人を選別することは50年前にとっくに始まっていたわけです。40年前にCNILが中止させた前出の「GAMINシステム」のような構想が日本で出てきたときに、個人情報保護委員会はそれを止められるのか? という話であるわけです。
自治体条例を「リセットする」本当の理由
—— 以上でそろそろ終わりでしょうか。もうおなか一杯ではありますが、最後に何か一言ありますでしょうか。簡単に。一言だけ。
高木:もう一点だけ最後に。令和3年改正で、地方公共団体(自治体)の個人情報保護条例が廃止となり、個人情報保護法が直接適用されるようになります。来年の施行が予定されているところですが、今、何やら妙な争いが始まろうとしているようです。
—— 妙な争いとは……
高木:自治体で個人情報保護の業務に携わってこられた方々の一部に、この条例廃止に不満を抱いておられる方がいらっしゃるようで、このところ、いくつか書籍などが出ております。一つ例を挙げると、今年1月、日弁連の情報問題対策委員会が、「個人情報保護法改正に自治体はどう向き合うべきか——リセットされないための処方箋」という題名のブックレットを出版しました。
—— リセットされないための処方箋。
高木:この「リセット」いうのは、デジタル改革担当大臣の国会発言が由来のようです。
昨年3月19日の衆議院内閣委員会で、平井卓也デジタル改革担当大臣が、「現行の地方公共団体の条例の規定は、基本的には改正法の施行までに一旦リセットしていただくことになり、独自の保護措置として存置する規定等については改めて規定していただくことになると思います。」と発言したのが、翌月の参議院で、与党議員から「自治体が熟議を重ね、独自に築き上げてきた個人情報保護条例をいとも簡単にリセットという、こういった表現をされるというのは、地方議会出身の私としましてはいささか釈然としないところもあります。」と突っ込まれる事態があって、そこを取り上げた題名のようです。
この本だけでなく、他の論文・記事でもそうですが、自治体の個人情報保護条例は、国の個人情報保護法に先駆けて整備された先進的なものだったにもかかわらず、このようにして後から来た国にリセットされるのは心外だ的な言説が飛び交っています。
たしかに、1980年のOECDガイドラインの直後から、各地の自治体で個人情報保護条例の制定が先行して始まっていき、1988年になってやっと国の個人情報保護法(昭和63年法)ができたという経緯はあります。
しかしどうでしょうか、前出の平松が1990年代に既に指摘していたように、当時の条例は、file概念を持たないものが主流となっていました。情報公開と個人情報保護は法目的が異なるのに、両者を一体的に整備したことで、そのような混乱が生じたと指摘されていました。
国の法律、つまり昭和63年法は、file概念を取り入れ、data概念に相当する「処理情報」概念を規定していました。これは1970年代からの海外法制を十分に研究し、英国法・ドイツ法・米国法の規定ぶりを忠実に真似たからこそでしょう。そこの概念を取り入れていない自治体条例が、ただ早かったというだけで、先進的だったと言えるのでしょうか。
実際、そうした論者の記述を見ても、例によって「マニュアル処理情報」と散在情報の区別がついておらず、電算処理以外の散在情報まで対象にした条例が先進的だったと書いているのですね。これは「処理」という言葉の意味を理解していない。案の定、匿名加工と仮名加工の混同も見られます。自治体条例が先進的だったとおっしゃる方々で、どなたか、今日お話ししたdata protectionをお分かりの方はいますか?
これから個人情報保護法制を立て直していかなければなりません。一つには、スマホ等で識別されて行われるデータによる個人の選別への対処。かつては、公的部門はこうした利用に縁遠かったでしょうが、スマホの普及した現在では、自治体がdata controllerとなっている事案が既にかなり出てきているのではないでしょうか。これを個人データ処理として法の対象にしていかないといけない。条例に任せておいても無理だろうから、国の法律で対処していきますよ、というのが今回の条例廃止・国法への一元化の狙いなのです。
—— 令和3年改正の狙いなのですね。
高木:政府がどう考えたのかはわかりませんが、私の理解です。定義の統一は、このために実行する必要があったものと考えています。
「利活用のため」とか「デジタル改革」とかは、実は関係ないと思うのですね。デジタル庁構想が出る前から、2000個問題を解消すべしという提案はずっとあったわけです。しかし、今の時代、規制強化のためを理由にしていたら通らないのですよ。「利活用のため」ということにしておかないと通らないのです。
そしてもう一つは、OECDガイドラインへの準拠です。relevancyの原則を個人情報保護法に導入しないと、「GAMINシステム」のような構想を止めることができません。自治体の条例に任せておいて、各地の情報公開・個人情報保護審査会が止めることができるのですか? かつて、武雄市の図書館にTポイントカードが導入されてID連携するときも、審査会は何ら問題なしと答申を出しましたよね。
令和3年改正で、条例を廃止するだけでなく、地方の審査会の権限も召し上げることになっているのは、そこの改革のためというのが私の理解です。
——なるほど。よくわかりました。
高木: 今日お話ししたことは、ちゃんと論文に書くつもりです。本当は論文に書いてから解説したいところだったのですが、この論文を書くにはかなり時間がかかりそうです。正確に引用して書かないといけないところ、今日はだいぶラフに語ったところがあり、不正確なところも多々あったと思います。
しかし、先ほど終盤で述べたように、令和3年改正の附帯決議に「自己に関する情報の取扱いについて自ら決定できる」などという危うい検討事項が入り、日弁連は全国の自治体に向けて「リセットされないための処方箋」などと扇動を始めたものですから、今すぐ皆さんにお伝えする必要があると思い、急ぎインタビュー形式でお話ししたしだいです。
——おっしゃる通り、論文になるまでにはまだ時間がかかりそうですので、先にお話しが聞けて良かったです。今日うかがったお話は記事として一回で全文公開する予定ですが、一読して理解するのは厳しいかもしれませんね。
読者の皆様におかれましては、論文がもう少し先になりそうということなので、それまでこの記事を熟読、再読しながら論文に備えて理解を深めておいていただければと思います。
高木さん、というわけで、論文執筆のほうもがんばってください。
今日は長時間にわたりありがとうございました。