(注:3日前に書き始めていた日記(11日付)だが、仁義は切ったので、今日(14日午前)パブリッシュする。もっと早く気づけばよかったが、この土日に気づいた。手遅れにならないことを祈る。)
このところ、前回の日記のように、生成AIを用いて個人情報保護法のR8改正案の構造を分析していたのだが、それとは全く別に、改正後条文を目視でぼんやりと眺めていたら、思わぬところに重大な問題があることに気づいた。読替規定や全体構造の複雑さに気を取られ、ノーマークだった「罰則」に、明らかに深刻な欠陥があり、国会で修正しなければ大変な禍根を残すことになる。
問題の規定は、以下の条文からなる新180条(新設)である。
180条 自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為(…)その他の個人情報を保有する者の管理を害する行為により、個人情報を取得したときは、当該違反行為をした者は、2年以下の拘禁刑又は百万円以下の罰金に処する。
2 前項の規定は、刑法(…)その他の罰則の適用を妨げない。
一見すると順当な罰則に見えるかもしれない。個情委が以前から予告していた*1「詐欺行為等により個人情報を不正に取得する行為に対する罰則」の実現であり、予定されていた通りだなと、私もこの(国会提出されてからの)1か月そう思い込んでいた。しかしよく見てみると、これまでの他の罰条とは異なり、この新180条には名宛人がない。つまり、「何人も」なのである。個人情報取扱事業者の行為に限られず、データベースを構成するものにも限られず、さらには、報道機関の報道目的などの適用除外規定(57条)からも外れている(適用除外にならない)。
目的犯の形で、行為にも限定がかかっていることから、無難な構成要件のように見えるかもしれないが、「本人、個人情報を保有する者その他の者に損害を加える目的」はかなり危ういし、「人を欺き」は容易に該当してしまう。報道記者の取材などは普通にこれらに該当してしまう。それどころか、一般の人の私生活における通常の行為が容易にこれに該当してしまう。
この条文は、不正競争防止法21条の営業秘密侵害罪から条文を借りてきたもののようだ。比べると次のようになる。
不正競争防止法 21条1項1号
不正の利益を得る目的で、又はその営業秘密保有者に損害を加える目的で、詐欺等行為(人を欺き、人に暴行を加え、又は人を脅迫する行為をいう。次号において同じ。)又は管理侵害行為(財物の窃取、施設への侵入、不正アクセス行為(…)その他の営業秘密保有者の管理を害する行為をいう。次号において同じ。)により、営業秘密を取得したとき。
個人情報保護法 新180条
自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為(…)その他の個人情報を保有する者の管理を害する行為により、個人情報を取得したとき
このように、いわゆる「図利加害目的」と、「詐欺等行為」又は「管理侵害行為」をそのまま踏襲しているものだが、営業秘密侵害罪は、「営業秘密」が対象なので、よく知られているように、「秘密管理性」「有用性」「非公知性」が要件となるから、それなりに限定的であり、一般の人の私生活には無縁のものであるわけだが、個情法改正案では、単に「個人情報を取得」となっているから、どんな情報でも該当してしまう。
「管理侵害行為」の方は、それ自体が他の犯罪を指していると言えそうなのでいいとしても*2、「詐欺等行為」のうち、「人を欺き」だけは、通常それだけでは犯罪とはならない行為だ。目的要件の方も、「不正な利益を図る目的」は犯罪っぽいものしか該当しないかもしれないが、「損害を加える目的」は何でも入ってしまいそう。営業秘密侵害罪における「損害を加える目的」では、それなりに不正競争に関わる意味での「損害」が想定されているはずだが、個情法改正案では、ここが「本人、個人情報を保有する者その他の者に損害を加える目的」となっているので、あらゆる意味での「損害」に広がってしまい歯止めがないように思える。
どうしてこうなったのか。他の罰条では、以下のように、「その業務に関して」あるいは「その職権を濫用して」に限定されているか、対象情報が、「個人情報ファイル」「個人情報データベース等」に限定されているか、「秘密に属する事項」に限定されている。
176条 行政機関等の職員若しくは職員であった者、第66条第2項各号に定める業務若しくは第73条第5項若しくは第121条第3項の委託を受けた業務に従事している者若しくは従事していた者又は行政機関等において個人情報、仮名加工情報若しくは匿名加工情報の取扱いに従事している派遣労働者若しくは従事していた派遣労働者が、正当な理由がないのに、個人の秘密に属する事項が記録された第60条第2項第1号に係る個人情報ファイル(その全部又は一部を複製し、又は加工したものを含む。)を提供したときは、3年以下の拘禁刑又は百五十万円以下の罰金に処する。
新178条(旧179条) 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第185条第1項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図り、若しくは本人その他の者に損害を加える目的で提供し、又は盗用したときは、2年以下の拘禁刑又は百万円以下の罰金に処する。
新179条(旧180条) 176条に規定する者が、その業務に関して知り得た保有個人情報を自己若しくは第三者の不正な利益を図り、若しくは本人その他の者に損害を加える目的で提供し、又は盗用したときは、2年以下の拘禁刑又は百万円以下の罰金に処する。
新182条(旧181条) 行政機関等の職員がその職権を濫用して、専らその職務の用以外の用に供する目的で個人の秘密に属する事項が記録された文書、図画又は電磁的記録を収集したときは、1年以下の拘禁刑又は五十万円以下の罰金に処する。
これらに対して、新180条は、「その業務に関して」のものに限られず、「個人情報ファイル」「個人情報データベース等」に限られない、「秘密の事項」にも限られない、散在情報であるあらゆる個人情報が対象となる。「個人情報」は氏名や住所・電話番号などの連絡可能情報に限られるものではなく、「あの人はこうらしい」という情報も個人情報である。
この状況は、平成13年(2001年)の個情法立法過程で、マスコミから「メディア規制」法案だとして、大反対キャンペーンを張られ*3、翌年末に廃案に追い込まれた個情法「旧法案」の亡霊*4が、25年の時を経て令和に蘇ったようなものだ。
「旧法案」で問題にされたのは、「基本原則」に名宛人がなく「何人も」対象となる上に、「個人データ」ではなく「個人情報」が対象であったこと、そして、報道の適用除外から外れていたことから、取材と報道の自由が阻害されると懸念されたのであった。基本原則は「努めなければならない」となっていて、努力規定に過ぎないから心配は要らないと、政府側は当初説明していたが、それでも民事上の規範になりかねないといった批判に耐えられず、廃案となり、基本原則ごと削除した「新法案」で出直すことになったのであった。
「何人も」対象で、「個人データ」でなく「個人情報」対象で、報道の適用除外から外れているのが、今回も同じだ。それどころか、25年前は努力規定でさえ許されなかったのが、今回は犯罪化である。問題の深刻さが桁違いに重大だ。
こうした欠陥が生じないようにするのが、内閣法制局の審査であるはずだが、いったいどうしたのか。
私がこれまで疑問を抱かなかったのは、条文で考えていなかったからで、おそらくは、提供罪(旧179条)と同様になるのだろう(「個人情報ファイル」「個人情報データベース等」に限られ、個人情報取扱事業者若しくはその従業者が対象になるのだろう)とぼんやりと思っていたのだろう*5。
しかし、改めて考えてみるに、提供罪(旧179条)では、提供行為を問題とすることから、行為の際に現にそこにあるものを提供するのだからこそ、「個人情報ファイル」「個人情報データベース等」を対象にし、それらを手にできる個人情報取扱事業者に行為者を限定することが可能だったのに対して、取得罪を創設しようとすると、取得段階では「個人情報」の状態である(「個人情報ファイル」「個人情報データベース等」の状態になる前である)ことから、「個人情報」対象とせざるを得ず、それゆえに個人情報取扱事業者に関連づけることもできないという困難がある。
おそらくそんな都合でこうなるのが必然だったのだろう。そうすると、安全な構成要件にすべく直すには、「本人、個人情報を保有する者その他の者に損害を加える目的で」を直すか、「人を欺き、」を削ることが考えられるが、不正競争防止法と「図利加害目的」の平仄を合わせようとしている時点で、それは受け入れ難いだろう。
ここで思いついた私の修正私案は、「第20条第1項の規定に違反して」との限定をかける案だが、どうだろうか。
個人情報取扱事業者(その者が法人である場合にあっては、その役員、代表者又は管理人)若しくはその従業者が、自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為(…)その他の個人情報を保有する者の管理を害する行為により、第20条第1項の規定に違反して個人情報を取得したときは、当該違反行為*6をした者は、2年以下の拘禁刑又は百万円以下の罰金に処する。
20条1項は、平成15年立法時からある、「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」との義務規定であり、ここの「偽りその他不正の手段により」は、今回の「詐欺等行為」「管理侵害行為」に近いところにあり、「偽り」がかなり広く解釈されてきたことからしても、今回の「人を欺き」も相当に広いものである。上記の修正案は、そこに「図利加害目的」の要件を加えて、20条1項から狭めた範囲について直罰とするものという位置付けになる。
これでもまだ危ういとする批判もあるかもしれないが、20条1項に違反していないものは犯罪とならない。20条1項も対象が「個人情報」(「個人データ」でなく)となっているから、広く散在情報まで該当してしまいそうだが、名宛人が「個人情報取扱事業者」(=「個人情報データベース等を事業の用に供する者」)であるだけに、実務上、「個人情報データベース等」と関係ないところの裸の「個人情報」は問題にされていない。その解釈を係船柱にすることができる。
つまり、この修正私案では、犯罪として問われるのは、データ処理の一環として、体系的に(システマティックに連続・継続して、あるいは単に多数の)そのような「取得」を行う場合、ということになる。(原案ではそうとはならない。)
そもそも、個人情報保護法の趣旨は、OECDガイドライン1980に準拠しているのであれば、「個人データ」を問題とするものであって、欧州の「データ保護(data protection)」と同じ趣旨であるのなら、「自動処理」と「体系的に構成されたファイリングシステム」による「データ処理」をスコープとするものであって、個人データの「データ処理」からの個人の保護を目的とするものであるはずである。実際、4章の義務セットは概ねそうなっているし、罰則の直罰規定も、これまでのものは(公的部門のものを除いて)概ねそれに沿っていたと言えるだろう。そこに、今回改正案の新180条は、データ処理とは無関係に、単体個人情報の取得行為それ自体を犯罪化するものであり、異質である。
この異質さに今の個情委は気付けないのだろうか。一昨年春の時点では、個情委事務局は、単体の個人関連情報(個人関連情報データベース等を構成しない個人関連情報)の規制を検討して、2つの裁判例(東京高判令和4年9月15日、東京高判令和4年12月21日)を資料に掲載していたが、いずれも単体の個人関連情報を問題視するものであった。この的外れっぷりは危険な兆候だとして、同年6月の委員会ヒアリングの席で、苦言を申し上げた。そのことは提出した意見書に書いてある*7。その後、人事異動があり、個情委事務局の幹部は入れ替わり、法目的から考え直したことで、今の改正案に再構築された。今の個情委事務局なら、データ処理の法律であることはわかっているはずだが、この罰則は残ってしまった。
上記のような修正が叶わないならば、いっそ新180条は削除でもいいと思う。「人に暴行を加え、若しくは人を脅迫する行為」「財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為」は、いずれも既に刑法と各法で犯罪化されている*8(「人を欺き」は犯罪ではない)。それでは足りないとする理由が、個情委から示されていない。
私のこのような刑法感覚はおかしいだろうか? 生成AIはどう答えるだろうか。
というわけで、ノーヒントで、ChatGPT 5.5と、Claude Opus 4.7に聞いてみた。ChatGPTは、メモリー機能により、私のとの過去の会話を抽象的に覚えているようなので、真にノーヒントとは言えないかもしれないが、刑罰や不正競争の話はほとんどしていなかったと思う。Claude(ここから)では、メモリー機能をオフにして聞いている。
公式ページでは、PPCが4月7日に法案・新旧対照条文等を公表していて、概要も「詐欺行為等により個人情報を不正に取得する行為に対する罰則」とだけ説明しています。かなり雑に見えるのは、対象が「個人データ」ではなく「個人情報」になっている点です。
[思考時間: 37s]
はい。まずいです。いちばん大きいのは、「個人情報保護法の刑罰」として、事業者のデータベース管理侵害に限定されない“個人情報一般の不正取得罪”を作ってしまっている点だと思います。
公式の法案本文でも、新180条は「人を欺き…又は…不正アクセス行為その他の個人情報を保有する者の管理を害する行為により、個人情報を取得したとき」を処罰対象にしています。しかも刑は「2年以下の拘禁刑又は100万円以下の罰金」です。 
特に危ないのはここです。
人を欺き……個人情報を取得したとき
「個人情報」は氏名・住所・電話番号・勤務先・メールアドレス・顔写真・経歴など、かなり広い。これを「個人データ」や「個人情報データベース等」に限定せず、しかも「人を欺き」で取っただけで直罰にする。すると、典型的なフィッシングや名簿窃取を処罰したい趣旨を超えて、取材、調査、潜入調査、証拠収集、内部告発支援、民間の不正追及のような場面まで形式的に巻き込む余地が出ます。
たとえば、悪徳業者を調べるために身分や目的を隠して問い合わせ、担当者名・携帯番号・メールアドレス・取引先名などを得る。これは「人を欺き」による「個人情報の取得」になり得る。さらに、その調査が相手に営業上・ reputational な損害を与えることを予定しているなら、「その他の者に損害を加える目的」とも読まれかねない。ここ、かなりヤバいです。
現行の個人情報データベース等不正提供等罪は、PPC自身の説明でも「個人情報取扱事業者若しくはその従業者又はこれらであった者」が「その業務に関して取り扱った個人情報データベース等」を不正利益目的で提供・盗用する場合の罰則です。つまり、もともとは業務上管理されるデータベースの内部不正・持ち出しが中心でした。 
ところが新180条は、行為主体も「個人情報取扱事業者等」に限定されず、対象も「個人情報データベース等」ではなく「個人情報」一般です。ここで一気に、個人情報保護法が「情報取得行為一般の刑罰法」みたいになってしまう。
さらに条文技術としてもまずいです。
詐欺罪のように財産的処分行為・財産上の損害を要求するわけではなく、単に欺罔によって個人情報を取得しただけで足りる構造です。刑罰法規としては外延が広すぎます。
「本人、個人情報を保有する者その他の者」とあるので、本人や保有者に限らず、誰かに損害を与える目的で足りる。公益的調査や報道でも、相手方に不利益を生じさせることは普通にあります。
窃取、損壊、侵入、傍受、不正アクセスの後に包括語を置いていますが、「管理を害する行為」の外延が曖昧です。刑罰構成要件としては、かなり漠然としている。
個人情報取扱事業者でも行政機関等でもなく、「個人情報を保有する者」。私人が手帳やスマホや紙メモに持っている場合まで入りそうです。すると、個人情報保護法の制度的対象から遊離します。
2項で「刑法その他の罰則の適用を妨げない」と置いているので、窃盗・建造物侵入・不正アクセス・電気通信関係の罪などと重ねる設計です。  しかし、重ねるならなおさら、個人情報保護法側で何を独自に保護するのかが曖昧になります。
要するに、これは「個人情報保護法」の罰則としては、保護法益・対象・主体・行為類型がズレています。 本来やるなら、せいぜい
個人情報取扱事業者等が管理する個人データ又は個人情報データベース等について、当該管理を侵害する一定の不正行為により取得した場合
くらいに絞るべきです。
今の文言だと、“個人情報をだまし取ったら処罰”という一般犯罪を、個人情報保護法の中に雑に新設している状態です。これは濫用可能性も、萎縮効果も、罪刑法定主義上の明確性も、かなり問題になります。
やはりこのような見解が出た。
せっかくなので続けてみた。
現行法の報道・著述等の適用除外は、法57条1項で、主に第4章の個人情報取扱事業者等の義務規定について「適用しない」とする構造です。PPCの一般説明でも、適用除外は「57条1項」の問題として整理されています。
ところが新180条は第7章の罰則に置かれる条文で、しかも条文自体に「報道目的」「著述目的」「公益目的」などの除外がない。したがって、報道機関・フリーランス・市民ジャーナリスト・研究者が取材目的で行った行為でも、構成要件に当たれば形式的には処罰対象になり得る。
これはまさに、2001〜2002年旧法案で問題視された「メディア規制法」論争の亡霊ですね。2002年当時、日本新聞協会は、個人情報保護を名目に報道の自由を制約し、報道機関を行政の裁量に委ねるものだとして反対声明を出していました[日本新聞協会]。また、当時の反対論では、「報道機関」「報道目的」だけに表現活動を閉じ込めること自体が危険だ、という批判もありました[週刊金曜日]。
今回の新180条は、ある意味で旧法案より悪いかもしれません。
旧法案の問題は、少なくとも表向きは「個人情報取扱事業者の義務」や「行政関与」が報道に及ぶことへの懸念でした。これに対して今回は、刑罰構成要件そのものとして、
人を欺き……個人情報を取得したとき
を処罰する。つまり、行政指導や命令以前に、取材過程がいきなり犯罪化され得る。
しかも「人を欺き」は、取材では普通に問題になる場面があります。身分を明かさない、目的を全部は言わない、相手方組織の実態を調べるために一般客・利用者・求職者・相談者を装う、悪質商法や違法業者に接触する。これらはジャーナリズム上は典型的な潜入・覆面取材ですが、条文上は「欺く行為により個人情報を取得」と読まれ得る。
さらに「本人、個人情報を保有する者その他の者に損害を加える目的」という目的要件も、報道・告発の萎縮防止には全然効かない。報道は、多くの場合、相手方に社会的評価の低下、営業上の不利益、行政処分・刑事告発の契機などをもたらすからです。公益目的の報道であっても、相手から見れば「損害を加える目的」と主張されかねない。
なので、問題の核心はこう整理できると思います。
新180条は、個人情報保護法の罰則として、報道・取材・著述・市民的調査活動に対する明示的セーフガードなしに、欺罔による個人情報取得を直罰化している。
これは旧法案で廃案に追い込まれた問題、すなわち、
個人情報保護を名目に、取材・報道・表現活動を萎縮させる法構造
の復活です。しかも今回は「適用除外の範囲が狭い」というレベルではなく、適用除外の外側に刑罰を新設しているので、見落とされやすいぶんタチが悪い。
修正するなら最低限、
報道、著述、学術研究、政治活動その他公益を図る目的で行われる正当な活動については、この限りでない
のような除外を置くか、そもそも対象を
個人情報取扱事業者等が管理する個人情報データベース等/個人データ
に限定し、かつ「人を欺き」を単独類型から外すべきでしょう。
今のままだと、これは「フィッシング対策」や「名簿窃取対策」の顔をした、覆面取材処罰条項になり得ます。マスコミが2002年に大騒ぎした案件、ここで黙っていたら本当に大復活です。
[思考時間: 7s]
はい。その立場で組むなら、批判の芯はこうですね。
これは「報道規制を狙った改正」だと決めつけるより、むしろ、フィッシング・名簿窃取・不正アクセス型の悪質取得を罰するつもりで条文化したところ、構成要件の切り方を誤って、2002年旧法案で問題になった報道・取材萎縮問題を罰則として復活させてしまった、という批判が適切だと思います。
政府・PPC側の説明を見る限り、改正趣旨は「詐欺行為等により個人情報を不正に取得する行為に対する罰則」や、「経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為」の抑止です。つまり、想定している中心はフィッシング、名簿業者、不正アクセス、内部者・外部者による大量取得の類でしょう。
ところが条文は、そこに絞れていません。問題は、少なくとも次の三段階で整理できます。
第一に、対象情報を「個人データ」「個人情報データベース等」「大量の個人情報」に限定せず、単に「個人情報」としていることです。これにより、制度趣旨上は「大量の個人情報の取扱いによる悪質事案」を狙っているのに、条文上は一件の氏名、電話番号、勤務先、メールアドレス、顔写真、肩書、経歴の取得まで形式的に含み得る。PPC概要の「大量の個人情報の取扱い」という説明と、法案本文の「個人情報を取得したとき」との間にズレがあります。
第二に、取得手段として「人を欺き」を単独で置いていることです。暴行・脅迫・窃取・損壊・施設侵入・通信傍受・不正アクセスは、既存の違法行為類型との結びつきが比較的明確です。しかし「人を欺き」は、詐欺罪のように財産的処分行為や財産上の損害を要求する構造ではありません。取材・調査・覆面調査では、身分、目的、関心事項、所属、利用目的を全部は明かさないことがあり得ます。悪徳商法、違法勧誘、ブラック企業、反社会的活動、行政・企業の不祥事を調べる場合には、むしろそれが必要になることもある。そこまで「人を欺き」に飲み込ませてしまうのは、条文の切り方として粗すぎます。
第三に、目的要件がセーフガードになっていないことです。「自己若しくは第三者の不正な利益を図る目的」はまだ限定として機能し得ますが、「本人、個人情報を保有する者その他の者に損害を加える目的」は広すぎます。公益的報道や調査でも、相手方の社会的信用、営業上の利益、地位、評価に不利益を与えることは予定されます。悪事を暴く取材は、相手から見れば「損害を加える目的」そのものだと言われかねない。ここで「不正な損害」とも「違法な損害」とも限定していないため、公益目的との切り分けが条文上できていません。
したがって、批判はこう言えます。
新180条1項は、立法目的としては、フィッシング、名簿窃取、不正アクセス等による悪質な個人情報取得を処罰しようとするものと理解できる。しかし、条文化において、対象を「個人情報」一般とし、手段に「人を欺き」を含め、さらに「損害を加える目的」を広く置いたため、報道・著述・調査・公益的告発のための取材行為まで形式的に処罰対象に含み得る構造となっている。これは意図された政策判断というより、構成要件設計上の重大な過誤である。
ここで2002年旧法案との接続は、かなり強く打ち出せます。
2002年当時の批判の本質は、「個人情報保護」を名目に、取材・報道活動が萎縮するという点でした。しかも旧法案では、報道目的の適用除外の狭さ、主務大臣制、行政関与が大きな問題でした。今回の新180条は、形は違いますが、「個人情報の取得」段階を刑罰で押さえるため、取材源への接触、覆面取材、内部資料の入手支援、関係者への聞き取りといった、報道の入口に萎縮効果を及ぼし得ます。
しかも、法57条の報道・著述等の適用除外は、個人情報取扱事業者等の義務規定を外す仕組みであって、新180条の刑罰構成要件を当然に排除するものではない。つまり、旧法案で問題にされた報道萎縮の懸念が、今回は適用除外の外側に置かれた罰則として再発している、という構造です。
ここは「大復活」と言ってよいですが、表現としては少し精密にすると、
2002年旧法案で強く批判された、個人情報保護法制による取材・報道活動への萎縮効果が、今回は「不正取得罪」という罰則の形で、意図せず再導入されている。
くらいがよさそうです。「意図せず」がポイントです。これを入れると、修正要求が政治的に受け入れられやすくなります。
修正方向としては、少なくとも次のどれかが必要です。
一つ目は、対象を絞る修正。
個人情報
ではなく、
個人情報データベース等を構成する個人情報
又は
個人データ
に限定する。
これにより、個別取材で得られる一件情報や、単発の氏名・連絡先取得は原則として外れます。個人情報保護法の刑罰としても、こちらの方が制度趣旨に合います。
二つ目は、手段を絞る修正。
「人を欺き」を単独で残すなら、少なくとも
個人情報を保有する者の管理を害する方法として人を欺き
のように、「管理侵害」と結びつける必要があります。単なる取材上の身分秘匿や目的秘匿ではなく、アクセス権限、本人確認、認証、管理手続を突破する欺罔に限定する趣旨を明確化すべきです。
三つ目は、目的要件を修正する。
「損害を加える目的」は危険なので、
不正な利益を図る目的
に一本化するか、少なくとも
不正に損害を加える目的
とする必要があります。ただし「不正に」だけではまだ弱く、報道・公益目的との関係を明文化した方が安全です。
四つ目は、明示的な除外規定を置く。
たとえば、
報道、著述、学術研究、宗教活動、政治活動その他公益を図る目的で行われる正当な活動については、この限りでない。
ただ、これは57条型の適用除外を罰則に移植することになり、また「正当な活動」の解釈問題も残ります。根本的には、そもそも180条の対象を「個人情報」一般にしない方がよいです。
一番筋のよい批判文は、こんな感じでしょう。
新180条1項は、フィッシング、不正アクセス、名簿窃取等による悪質な個人情報取得を処罰しようとする趣旨自体は理解できる。しかし、条文はその趣旨を超えて、「人を欺き」個人情報を取得する行為一般を処罰し得る構成となっている。しかも対象は「個人データ」や「個人情報データベース等」ではなく「個人情報」一般であり、報道・著述等の適用除外も当然には及ばない。このため、覆面取材、公益的調査、内部告発に伴う情報取得など、2002年旧法案で強く問題視された取材・報道活動への萎縮効果が、罰則の形で再発するおそれがある。これは報道規制を意図したものというより、悪質な大量取得事案を処罰するための構成要件設計を誤った条文化上の重大な欠陥であり、国会審議において修正されるべきである。
さらに踏み込むなら、最後にこう締められます。
個人情報保護法は、個人に関する情報の取得一般を刑罰で統制する法律ではない。少なくとも、個人情報取扱事業者等が管理する個人情報データベース等に対する管理侵害型の不正取得に限定しなければ、同法の制度目的を逸脱し、報道・取材・公益的調査活動を萎縮させる危険な一般的情報取得罪となる。
この線なら、「反対」ではなく欠陥修正要求として出せます。かなり強いです。
要するに、今回の新180条のミスは単なる「報道除外を書き忘れた」ではなく、平成15年法以来の例のねじれ、つまり、
義務の客体は実質的には「個人情報データベース等を構成する個人情報」のはずなのに、条文上は取得段階の義務を「個人情報」と書いてしまった
という問題が、今度は刑罰構成要件で爆発したということですね。
2022年4月1日の整理でいうと、核心は、個人情報取扱事業者の義務規定に出てくる「個人情報」は、裸の散在情報一般ではなく、当該「個人情報データベース等」に従属して観念されるもの、つまり「個人情報データベース等の要素」としての個人情報と解すべきだ、という点でした。特に、同記事では「どの『個人情報データベース等』にも関係しない裸の『個人情報』は義務の対象となり得ない」と整理されています。 
しかし、法制局的にはおそらく、
取得時点ではまだ個人情報データベース等に編入されていない。したがって、取得規制の客体は「個人データ」や「個人情報データベース等を構成する個人情報」とは書けず、「個人情報」と書くしかない。
というロジックになる。これが平成15年法の17条・18条あたりから続く「取得段階だから個人情報」という発想ですね。
民事的・行政的義務なら、まだ「個人情報取扱事業者」という名宛人や、当該データベースへの従属解釈で補正する余地がある。実際、あなたの2022年記事も、平成27年改正後の「X情報取扱事業者」構造から、義務の対象を「X情報データベース等」の要素として読むB解釈を示していました。 
ところが新180条は違う。これは罰則です。しかも主体が「個人情報取扱事業者」ではなく「当該違反行為をした者」になっている。ここで「個人情報」と書いてしまうと、義務規定で辛うじて可能だった「当該個人情報データベース等に係る個人情報」という限定解釈が効きにくくなり、本当に裸の個人情報一般の取得罪になってしまう。
つまり、今回の問題はこう言えます。
平成15年法以来、「取得段階ではまだ個人データではないから、客体を個人情報と書く」という立法技術が採られてきた。しかし、その技術は、個人情報取扱事業者の義務規定という文脈では、当該個人情報データベース等に係る個人情報という限定解釈によって辛うじて制度趣旨と整合させる余地があった。ところが、新180条1項は、主体を一般人に広げ、罰則として「個人情報を取得したとき」と規定したため、その限定が外れ、私生活上の個人情報取得一般を犯罪化し得る条文になっている。
これ、かなり良い批判ポイントです。「報道除外を入れろ」では足りないし、むしろ誤誘導になる。問題は報道だけではない。
たとえば一般人でも、
家族・恋人・友人・近隣住民・勤務先関係者について、身分や目的を偽って電話番号、住所、勤務先、交友関係、病院名、学校名などを聞き出す。これは日常的には不適切・迷惑・民事上問題あり得るとしても、直ちに個人情報保護法上の犯罪にするような話ではない。
ところが新180条は、「不正な利益目的」または「損害加害目的」がある場合に、「人を欺き」個人情報を取得すれば足りる。対象は個人データでもデータベースでもない。これでは、個人情報保護法が本来対象にしてきた体系的な個人データ処理から外れて、私人間の詐称・聞き出し・探り合いまで刑罰化する危険があります。
したがって、四つ目案、つまり報道・著述・学術研究等の適用除外を足すだけではダメですね。それだと「マスコミは助かるが、一般人は犯罪化されたまま」になる。2002年旧法案批判を使ってマスコミを巻き込む戦術としては有効でも、条文の本質的欠陥を直していません。
三つ目案の「不正に損害を加える目的」も弱い。「不正」という語の解釈に逃げるだけで、客体が「個人情報」一般である問題、主体が一般人である問題、取得行為一般を刑罰化している問題が残る。
本筋はやはり一つ目案です。すなわち、
個人情報データベース等を構成する個人情報
個人データ
又は個人情報データベース等に記録する目的で取得される個人情報
のように、データベース等への編入・管理侵害・体系的処理との結びつきを条文上明示する必要がある。
ただし、法制局ロジックへの対抗としては、「取得段階ではまだ個人データではない」という反論を先回りして潰す必要があります。ここはこう言えばよいと思います。
取得段階で形式的にまだ個人データでないことは、罰則の客体を裸の個人情報一般に広げる理由にはならない。問題にすべきは、取得された情報がその後個人情報データベース等に編入される予定であるか、又は個人情報データベース等の管理を侵害して取得されたものであるかである。取得時点の形式的状態だけを理由に「個人情報」と書くと、個人情報保護法の制度目的を超えた一般的な個人情報取得罪となる。
より条文化寄りに言うなら、
個人情報データベース等を構成し、又は構成することとなる個人情報
という書き方が候補になります。
ただ、この「構成することとなる」は、やや広すぎる可能性があります。将来どこかのデータベースに入る予定なら何でも含む、となるとまた危ない。なので、新180条の趣旨が「管理侵害型の不正取得」なら、むしろ、
個人情報取扱事業者その他個人情報データベース等を管理する者の管理に係る個人情報データベース等を構成する個人情報を、不正アクセス行為その他当該個人情報データベース等の管理を害する行為により取得したとき
の方向が筋です。
そして「人を欺き」を残すなら、
当該個人情報データベース等の管理上の認証、本人確認その他のアクセス管理を欺く行為
のように、単なる対人欺罔ではなく、データベース管理を突破する欺罔に限定する必要があります。
批判文としては、こうまとめるのがよさそうです。
新180条1項の問題は、報道機関に対する適用除外の欠落にとどまらない。より根本的には、個人情報保護法が本来対象としてきた個人情報データベース等に係る個人データの管理侵害ではなく、裸の「個人情報」の取得一般を刑罰の対象にしてしまっている点にある。これは、平成15年法以来、取得段階の規律について「取得時点ではまだ個人データではない」として客体を「個人情報」と書いてきた立法技術上のねじれを、罰則にまで持ち込んだことによる条文化の誤りである。取得時点で個人データでないとしても、処罰対象を「個人情報」一般に広げてよい理由にはならない。少なくとも、個人情報データベース等を構成し、又はその管理に係る個人情報に対する管理侵害型の不正取得に限定しなければ、個人情報保護法の制度目的を逸脱し、報道のみならず一般私人の私生活上の情報取得まで犯罪化する危険がある。
この立て方なら、「マスコミだけ守れ」ではなく、
個人情報保護法は、散在する個人情報一般の取得を刑罰で取り締まる法律ではない
という本質論に持っていけます。これはかなり強いです。
[思考時間: 7s]
はい、名宛人を「個人情報取扱事業者」に寄せる案は、かなり有力だと思います。 少なくとも、「人を欺き」や「個人情報」という文言を正面から直すより、法制局・政府側が飲みやすい修正案になります。
今回の180条の文型は、不正競争防止法の営業秘密侵害罪の「図利加害目的+詐欺等行為又は管理侵害行為+取得」という型をほぼ移植したものですね。不競法21条1項1号は、「不正の利益を得る目的で、又はその営業秘密保有者に損害を加える目的で、詐欺等行為又は管理侵害行為により、営業秘密を取得した者」を処罰する構造です。詐欺等行為は「人を欺き、人に暴行を加え、又は人を脅迫する行為」と定義されています。
だから、「人を欺き」を削れと言うと、おそらく「これは営業秘密侵害罪と同じ定型句であり、詐欺等行為・管理侵害行為の二分構造を採っただけだ」と返される。そこを崩すのは法制局的には嫌がるでしょう。
また、「個人情報」を「個人データ」に変えろという修正も、例の平成15年法以来のロジック、つまり「取得時点ではまだ個人データではない」という壁にぶつかる。ここも、正論ではあっても、条文化段階では抵抗が強い。
その場合、現実的な修正ポイントは、行為主体を限定することです。
今の案は、
当該違反行為をした者
ですから、一般人すべてが主体になります。ここが最悪です。
これを、
個人情報取扱事業者若しくはその従業者又はこれらであった者
にする。あるいは、現行179条の個人情報データベース等不正提供等罪に合わせるなら、かなり自然です。
現行の不正提供等罪は、もともと「個人情報取扱事業者若しくはその従業者又はこれらであった者」が、業務に関して取り扱った個人情報データベース等を不正な利益目的で提供・盗用する構造です。PPCもこの罰則をそのように説明しています。 そうすると、新180条も、少なくとも同じく「個人情報取扱事業者等による、事業上の個人情報取得」の場面に限定すべきだ、という主張ができます。
修正文としては、たとえばこうです。
個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して、自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き……個人情報を取得したときは、当該違反行為をした者は、二年以下の拘禁刑又は百万円以下の罰金に処する。
ただ、これだけだとまだ少し足りないかもしれません。 「個人情報取扱事業者」が、自社の事業とは無関係に私人として誰かの住所を聞き出した場合まで入る余地があるからです。したがって、「その業務に関して」を入れるのが重要です。
より個情法らしくするなら、
個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して個人情報を取得するに当たり、……
という形です。
さらに言えば、対象を「個人情報」のまま残すとしても、
個人情報取扱事業者が、その事業の用に供する個人情報データベース等を構成させる目的で
と入れられれば、かなり本筋に戻ります。ただ、これは「個人情報」の置換に近いので、抵抗される可能性があります。
したがって、受け入れやすさ順に並べると、こうでしょう。
第一案:主体+業務関連性で絞る。
個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して、……個人情報を取得したとき
これは一番通りやすい。 「人を欺き」も「個人情報」も温存できるからです。
第二案:主体を個人情報取扱事業者に絞る。
個人情報取扱事業者が、……個人情報を取得したとき
これは従業者による取得をどう扱うかが問題になります。個人情報取扱事業者は自然人・法人を含むので事業者本人の行為は入りますが、従業者個人の刑事責任をどう立てるかが曖昧になります。罰則としては、従業者も入れた方がよい。
第三案:主体は広く残しつつ、「個人情報取扱事業者の業務に関して」を入れる。
個人情報取扱事業者の業務に関して、……個人情報を取得した者
これは外部委託先や外部協力者も拾えますが、やや広がります。 フィッシング業者を処罰したいなら政府側はこちらを好むかもしれません。
ただし、第三案は一般人への広がりを十分に止められないおそれがあります。たとえば「名簿屋に売るために個人情報を聞き出した者」は入るでしょうし、それは立法目的からは入れたいのでしょうが、条文上の限定としては弱い。
私なら、批判と修正提案はこう整理します。
新180条1項は、不正競争防止法の営業秘密侵害罪における「詐欺等行為又は管理侵害行為による取得」の構成を、個人情報保護法に移植したものとみられる。しかし、不正競争防止法では、客体が「営業秘密」に限定され、しかも営業秘密保有者による秘密管理性等の要件によって保護対象が限定されている。これに対し、個人情報保護法上の「個人情報」は、氏名・住所・連絡先等を含む広い概念であり、そのまま同じ構文を移植すると、私人間の情報取得一般まで刑罰化する結果となる。したがって、少なくとも行為主体を個人情報取扱事業者等に限定し、かつ「その業務に関して」取得した場合に限るべきである。
ここで「不競法と同じだから大丈夫」という反論への返しは、こうです。
不正競争防止法では、「営業秘密」という客体自体が事業上管理された秘密情報に限定されているため、「人を欺き」による取得を処罰しても、私生活上の情報取得一般には広がらない。ところが、個人情報保護法で同じ構文を用いる場合、客体が「個人情報」一般であるため、同じ文型でも射程がまったく異なる。したがって、同じ構文を使うなら、その分、主体又は業務関連性によって限定しなければならない。
これがたぶん一番刺さります。
つまり問題は、「人を欺き」という語そのものではない。不競法では“営業秘密”という客体限定が効いているのに、個情法では“個人情報”が広すぎる。そのまま移植したから爆発した。 だから、「文型を維持したいなら、主体限定で補正せよ」という話になります。
最小修正案としては、私はこれがよいと思います。
個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して、自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為その他の個人情報を保有する者の管理を害する行為により、個人情報を取得したときは、当該違反行為をした者は、二年以下の拘禁刑又は百万円以下の罰金に処する。
ただし、この案には弱点があります。 外部のフィッシング犯や名簿窃取犯が「個人情報取扱事業者等」ではない場合に外れてしまう、という政府側の反論です。
その反論に備えるなら、代替案として、
個人情報取扱事業者等に提供し、又はその事業の用に供する目的で
を足す方向もあります。
たとえば、
個人情報取扱事業者若しくはその従業者若しくはこれらであった者がその業務に関して、又は個人情報取扱事業者に提供する目的で、……
ただ、ここまで広げるとまた一般人側に漏れ出します。 なので、修正要求としてはまずは強く、
名宛人を個人情報取扱事業者等に限定すべき
でよいと思います。
そのうえで、政府が「外部者を落とせない」と言うなら、
では外部者については、個人情報データベース等の管理侵害行為に限定せよ
と返す二段構えがよさそうです。 つまり、詐欺等行為による取得は事業者等に限定し、外部者の管理侵害行為は別途拾う。
構造としては、
① 個人情報取扱事業者等が、その業務に関して、詐欺等行為又は管理侵害行為により個人情報を取得した場合 ② 何人も、個人情報取扱事業者等が管理する個人情報データベース等に対する管理侵害行為により個人情報を取得した場合
これなら、覆面取材や私人間の聞き出しを外しつつ、不正アクセス・侵入・窃取型の外部攻撃は拾えます。
ただ、国会修正としての簡潔さを考えると、まずはこう言うのがよいです。
新180条1項は、不正競争防止法の営業秘密侵害罪の構文を借用したものとみられるが、営業秘密と異なり、個人情報は保護客体自体による限定が極めて弱い。そのため、同じ構文をそのまま用いると、報道・公益的調査に限らず、一般私人の私生活上の情報取得まで犯罪化する。構文を維持するのであれば、少なくとも行為主体を「個人情報取扱事業者若しくはその従業者又はこれらであった者」に限定し、かつ「その業務に関して」行われた取得に限る修正が不可欠である。
これなら、「人を欺き」も「個人情報」も触らずに、問題の大半を止血できます。
つまり、新180条を独立の「個人情報不正取得罪」として立てるのではなく、20条1項違反のうち、特に悪質な類型だけを直罰化する規定として構成し直す、ということですね。
現行20条1項は、
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
という形です。ここもたしかに客体が「個人データ」ではなく「個人情報」になっている点は、本当はおかしい。しかし、名宛人が「個人情報取扱事業者」であり、個人情報保護法の義務体系の中に置かれているため、実務上は、一般私人の散在情報的な取得まで問題にする規定とは扱われていません。e-Gov上の現行法でも20条1項はその構造です。 
そこで、2022年4月1日の日記の解釈が効いてくる。すなわち、個人情報取扱事業者の「個人情報に係る義務」は、裸の個人情報一般ではなく、当該個人情報取扱事業者が事業の用に供する個人情報データベース等に係る個人情報を対象とすると読むべきだ、という整理です。日記の表題自体も「個人情報取扱事業者の個人情報に係る義務の対象は当該個人情報データベース等に係る個人情報と解される」となっています。 
この読みを前提にすると、新180条の修正方針はかなりクリアになります。
新180条は、20条1項の特別加重・直罰規定として書くべきです。
たとえば発想としては、
個人情報取扱事業者が、第二十条第一項の規定に違反して、自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き……個人情報を取得したときは……
という形です。
これなら、「人を欺き」や「個人情報」という政府側が動かしたがらない文言を温存しつつ、規定の性格を、
個人情報取扱事業者による20条1項違反のうち、図利加害目的と詐欺等行為・管理侵害行為を伴う悪質事案の直罰化
に戻せます。
ここで重要なのは、20条1項違反であることを構成要件に入れることです。単に主体を「個人情報取扱事業者」にするだけだと、個人情報取扱事業者である自然人・法人の従業者が私生活上で誰かの情報を聞き出した場合など、まだ変な余地が残ります。しかし「20条1項の規定に違反して」と入れると、20条1項自体の解釈、つまり個人情報取扱事業者の義務としての限定がかかる。
言い換えると、こうです。
20条1項は、文言上は「個人情報」としているが、個人情報取扱事業者の義務規定である以上、当該事業者が事業の用に供する個人情報データベース等に係る個人情報の取得を規律するものと解されてきた。新180条もこの20条1項違反の悪質類型として構成すれば、散在情報一般の取得や私人間の私生活上の情報取得を犯罪化するものではないと説明できる。
これはかなりよいです。
逆に、今の法案のままだと、20条1項と切断されているのがまずい。 新180条は「人を欺き……個人情報を取得したとき」と直接書いてしまっているので、20条1項の名宛人限定も、義務体系上の限定も、2022年日記で示されたような「当該個人情報データベース等に係る個人情報」という解釈的絞りも、ストレートには効きません。
批判としては、こう言えます。
20条1項も文言上は「個人情報」を客体としているが、同項は「個人情報取扱事業者」を名宛人とする義務規定であり、個人情報保護法の体系上、当該事業者が事業の用に供する個人情報データベース等に係る個人情報の取得を規律するものと解される。そのため、同項は実務上、私人間の散在情報の取得一般を禁止する規定とは理解されていない。これに対し、新180条1項は、20条1項違反としてではなく、何人にも適用される独立の罰則として「個人情報を取得したとき」と規定しているため、20条1項に内在するこの体系的限定を失っている。
そして修正案は、こうですね。
新180条1項は、「第二十条第一項の規定に違反して」という要件を明示し、個人情報取扱事業者による不正取得禁止義務違反のうち、図利加害目的及び詐欺等行為・管理侵害行為を伴う悪質な場合に限って直罰化する規定とすべきである。
条文イメージとしては、最小限ならこうです。
個人情報取扱事業者が、第二十条第一項の規定に違反して、自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為その他の個人情報を保有する者の管理を害する行為により、個人情報を取得したときは、当該違反行為をした者は、二年以下の拘禁刑又は百万円以下の罰金に処する。
ただ、従業者・元従業者を入れるなら、
個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して、第二十条第一項の規定に違反して……
とする手もあります。
もっと条文技術的には、20条1項の名宛人は「個人情報取扱事業者」なので、従業者個人に「20条1項違反」を直接かけるのは少し工夫が要ります。したがって、自然な書き方は、
個人情報取扱事業者の業務に関して、第二十条第一項の規定に違反する行為として、……
かもしれません。
たとえば、
個人情報取扱事業者の業務に関して、第二十条第一項の規定に違反することとなる個人情報の取得をした者が、自己若しくは第三者の不正な利益を図る目的で、又は……
ただ、これはやや回りくどい。
政策的な説明としては、こうまとめるのがよさそうです。
政府が処罰しようとしているのは、私人間の日常的な情報取得ではなく、個人情報取扱事業者による不正取得禁止義務違反のうち、特に悪質な取得行為であるはずである。そうであれば、新180条1項は20条1項違反の直罰規定として構成すべきであり、20条1項から切り離して、何人にも適用される一般的な「個人情報取得罪」として規定すべきではない。
これが一番きれいです。
そして、2002年旧法案問題との接続も、より正確になります。
問題は報道機関だけではない。20条1項の義務体系から切り離して「個人情報を取得したとき」を直罰化すると、報道・取材だけでなく、一般私人の私生活上の情報取得まで処罰対象になり得る。報道適用除外を追加しても、この根本問題は解決しない。必要なのは、罰則を20条1項違反の悪質類型に限定し、個人情報保護法の本来の規律対象である個人情報取扱事業者のデータベース等に係る取得規律へ戻すことである。
この線なら、政府側にもこう言えます。
これは罰則を弱める修正ではない。政府が本来処罰しようとしている20条1項違反の悪質事案に処罰対象を正確に合わせる修正である。
うん、これがたぶん最も説得的です。 「不競法型の構文を壊さない」「個人情報という語も維持する」「しかし一般的情報取得罪化は防ぐ」。この三つを同時に満たせます。
現行の不正提供等罪で「個人情報取扱事業者若しくはその従業者又はこれらであった者」が出てくるのは、まさに、
在職中・業務中に取り扱った個人情報データベース等を、退職後に提供・盗用する
という場面を拾うためですよね。 つまり、過去に正当にアクセス・保有していた者が、後から外へ出す類型だから「これらであった者」が意味を持つ。
これに対して、新180条型の「取得」は、これから取得する行為です。元従業者が退職後に、昔の会社から不正アクセスや詐欺等で個人情報を取得するなら、それは「元従業者だから」ではなく、外部者としての不正取得です。したがって、20条1項違反の直罰として構成するなら、主体は基本的に、
個人情報取扱事業者
で足りる、というか、その方が筋がいいです。
従業者個人を直接処罰したいなら、少し別設計になりますが、20条1項の名宛人はあくまで個人情報取扱事業者ですから、素直には、
個人情報取扱事業者が、第二十条第一項の規定に違反して……
とするのが一番きれいです。法人の従業者が実行行為をした場合は、個人情報取扱事業者たる法人の業務としての取得行為として評価し、必要なら両罰規定で法人処罰・行為者処罰を整理する話になります。
問題は、そこで報道等の適用除外がどうなるかですね。
結論から言うと、最終案のように、
個人情報取扱事業者が、20条1項の規定に違反して、一定の悪質な方法で個人情報を取得した場合の直罰
と構成すれば、報道等の適用除外は効くはずです。
理由は、57条1項が、報道機関等について一定の場合に「第四章の規定は、適用しない」としているからです。20条1項は第4章の規定です。したがって、報道機関等が報道目的で個人情報を取得する場面には、そもそも20条1項が適用されない。すると、
20条1項の規定に違反して
という構成要件を満たさない。 したがって、新180条も成立しない。
この点が、今の法案本文との決定的な違いです。
今の新180条は、20条1項違反として書かれていないので、57条の適用除外を経由できません。たとえ報道目的でも、罰則条文が独立に、
人を欺き……個人情報を取得したとき
と書いてあるため、57条の外側で処罰され得る。
しかし、修正案で、
第二十条第一項の規定に違反して
を入れると、57条で20条1項の適用が除外される主体・目的については、新180条の前提が消えます。
なので、修正案の効果は二重です。
第一に、一般私人を外す。
20条1項は個人情報取扱事業者の義務なので、私人間の日常的な情報取得一般は入らない。
第二に、報道等の適用除外を復活させる。
57条により20条1項が適用除外される場面では、20条1項違反を前提とする新180条も成立しない。
この意味で、報道除外を180条に直接書き足す必要はありません。むしろ書き足すと、「報道だけ助ければよい」という誤った問題設定になる。 本筋は、180条を20条1項違反の悪質類型として構成し、既存の義務体系・適用除外体系に乗せることです。
条文イメージは、かなり絞ってこうでしょう。
個人情報取扱事業者が、第二十条第一項の規定に違反して、自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為その他の個人情報を保有する者の管理を害する行為により、個人情報を取得したときは、二年以下の拘禁刑又は百万円以下の罰金に処する。
ただし、最後の「当該違反行為をした者は」をどう置くかは要注意です。 主体を「個人情報取扱事業者が」とすると、法人事業者の場合の自然人処罰との関係が出ます。既存の罰則体系に合わせるなら、実行行為者と法人の両罰をどうするかを整理する必要があります。
概念的には、こういう整理がよさそうです。
新180条は、20条1項の不正取得禁止に違反する行為のうち、図利加害目的をもって、詐欺等行為又は管理侵害行為により個人情報を取得する悪質類型を直罰化する規定として構成すべきである。20条1項違反を前提とすれば、同項の名宛人でない一般私人の私生活上の情報取得は対象外となり、また57条により20条1項の適用が除外される報道・著述等の目的の取得についても、構成要件を満たさないことになる。
これは、かなり良い落としどころだと思います。
つまり、政府案の欠陥は、
20条1項違反の悪質類型を罰するつもりだったはずなのに、20条1項から切り離して独立の一般的個人情報取得罪として書いてしまった
ことにある。
そして修正要求は、
新180条を20条1項違反の直罰規定として書き直せ
でよいです。これなら、「人を欺き」も「個人情報」も残せるし、報道等の適用除外も既存体系のまま効くし、一般私人の私生活の犯罪化も避けられます。
ポイントは、個人情報定義は、氏名・住所・電話番号のような定型的属性情報に限られないことですね。特定の個人を識別できる情報であれば、事実・評価・噂・供述内容・行動歴・トラブル情報・人間関係・評判のような非定型情報も入り得る。
したがって、条文上はこういう話になる。
ある特定の氏名の人物について、「あの人は実はこういうことをしているらしい」「職場でこういう問題を起こしたらしい」「家族関係がこうらしい」「昔こういう事件があったらしい」といった噂話を、身分や目的を偽って聞き取り、メモした場合も、形式的には「個人情報の取得」になり得る。
しかも重要なのは、ご指摘のとおり、氏名そのものの提供を受ける必要すらないという点です。
たとえば、調査者がすでに「甲野太郎」について調べている。相手には氏名を明示し、または相手もその人物を分かっている。そのうえで、その人物についての噂話や事情を聞き取る。この場合、聞き取った内容それ自体が「甲野太郎に関する個人情報」になる。つまり、「氏名・住所・電話番号を聞き出した」場合に限られない。
ここは批判文では、こう補足するとよさそうです。
なお、ここでいう「個人情報」は、氏名、住所、電話番号等の定型的な属性情報に限られない。特定の個人についての評判、噂、経歴上の事情、交友関係、トラブル、過去の行動等についての聞き取り内容も、当該個人を識別できる限り個人情報に該当し得る。したがって、対象者の氏名や連絡先の提供を受けた場合だけでなく、既に特定されている人物について第三者から噂話を聞き取り、記録するだけでも「個人情報の取得」と評価され得る。新180条1項を20条1項違反から切り離した一般的な取得罪として読むと、このような日常的・私生活上・取材上の情報収集まで、図利加害目的や欺罔の評価次第で犯罪化される危険がある。
これはかなり効きます。 「電話番号をだまし取る」くらいなら、まだフィッシング対策っぽく見える。けれど、
特定人物についての噂話を聞き取ってメモすることまで、欺罔による個人情報取得になり得る
と示すと、条文の異常な広がりが見えます。
さらに言うなら、個人情報保護法の「取得」は、必ずしも相手方から正式に「提供を受ける」ことではない。聞き取り、観察、閲覧、コピー、メモ、録音、撮影など、情報を自己の支配下に置く行為一般が入り得る。だから、
情報を保有する者から名簿を受け取る
という場面だけではなく、
会話の中で聞き出す
立ち話を録音する
SNS投稿を見てメモする
関係者から評判を聞く
ある人物についての証言を集める
という場面まで射程に入り得る。
この意味で、新180条の問題は「名簿屋対策が広すぎる」では足りないですね。もっと正確には、
個人に関する言説・評判・噂・証言の収集まで、個人情報取得罪の素材になってしまう
という問題です。
最終的な批判文に入れるなら、こういう段落がよさそうです。
問題の深刻さは、「個人情報」が名簿的・属性的情報に限られない点にある。氏名、住所、電話番号、勤務先等を新たに取得した場合だけでなく、既に特定されている人物について、第三者から評判、噂、過去の行動、交友関係、トラブル等を聞き取り、メモすることも、当該人物に関する個人情報の取得となり得る。すなわち、「氏名の提供を受ける」ことすら要件ではない。特定の氏名の人物について噂話を聞き取れば、それだけで個人情報の取得に当たり得る。このような広い客体を前提に、不正競争防止法の営業秘密侵害罪と同じ「人を欺き」等の構文を移植すれば、営業秘密の場合とは異なり、私生活上の情報収集、取材、調査、告発準備まで刑罰の射程に入り得る。
ここを入れると、「報道の自由」論だけでなく、一般人の生活感覚にかなり刺さります。
たとえば、極端に言えば、
友人が恋人の浮気を疑って、共通の知人に別の口実で話を聞く
近隣トラブルで、相手方について住民から事情を聞く
被害者が加害者側の勤務先や過去の言動について関係者から聞き取りをする
消費者被害の当事者が、業者担当者や代表者について他の被害者から話を集める
こういうものが、道徳的・民事的にどう評価されるかは別として、個人情報保護法の直罰で処理する話ではない。
なので、補足の結論はこうですね。
新180条1項は、属性情報の不正取得罪ですらない。文言上は、特定個人についての噂・評判・証言の取得まで含み得る、極めて広い「個人情報取得罪」になっている。
これはぜひ入れた方がいいです。
個人情報定義が広いのは、立法者が「住所・電話番号・勤務先・病歴・思想信条」みたいな特定の危険属性リストを取り締まりたいからではなく、ある個人についての評価・判断・処遇に用いられ得る情報は、内容の種類を問わず問題になり得るからですよね。
つまり、個人情報保護法の「個人情報」は、
何が書かれているか
ではなく、
誰についての情報として使われるか
その人についての評価・決定・取扱いにどう接続されるか
という観点で広く取られている。
だから、噂話、評判、行動履歴、交友関係、断片的な証言、印象、過去のトラブル情報、写真、メモ、会話内容、観察記録のようなものも、特定個人に結びつけば個人情報になり得る。ここを「個人情報=住所・電話番号・生年月日などの属性セット」だと思っていると、法の構造を根本的に見誤る。
そして今回の新180条は、その誤解が罰則化の場面で露呈した可能性がありますね。
おそらく作った側の頭の中には、こういう絵がある。
フィッシングで氏名・住所・電話番号・クレカ情報をだまし取る
名簿業者が個人情報リストを不正に集める
不正アクセスで会員データを抜く
この絵だけ見ていれば、「人を欺き……個人情報を取得」は自然に見える。 しかし、個人情報定義の本当の広さを考えると、条文はそこで止まらない。
実際には、
特定人についての悪評を聞き出す
関係者から内情を聞き取る
目的を隠して証言を得る
対象人物の行動や人間関係についてメモする
ある人物についての噂を収集する
こういうものまで「個人情報の取得」になり得る。
ここで重要なのは、これは「定義が広すぎるから悪い」という話ではないことですね。 定義が広いこと自体には理由がある。個人に対する評価・決定に使われ得る情報は、属性情報に限られないからです。
問題は、その広い定義を、義務体系・データベース性・事業者性・目的拘束・利用局面との接続を外して、刑罰構成要件の客体にそのまま使ってしまったことです。
つまり、こう言えます。
個人情報定義は、評価・決定に用いられ得る情報を広く捕捉するために広く設計されている。しかし、その広い定義は、個人情報取扱事業者のデータベース等に係る処理規律という制度的文脈の中で用いられるからこそ成り立つ。これを文脈から切り離して「個人情報を取得したとき」という刑罰構成要件に直接持ち込めば、個人についての言説・噂・聞き取り・調査一般まで処罰対象に含み得ることになる。
これはかなり本質的です。
「属性情報誤解」への批判としては、こういう一段も入れたいです。
個人情報保護法への典型的な誤解は、同法が氏名、住所、電話番号、病歴、思想信条など、何らかの特定の属性情報を規制している法律だと考える点にある。しかし、同法が問題にしているのは、特定の属性それ自体ではなく、個人に関する情報が当該個人についての評価・決定・処遇に用いられる構造である。したがって、特定の「属性」を避ければよいという発想は誤りであり、個人に関する噂話や評価情報も、特定個人に結びつけば個人情報となり得る。
その上で、新180条批判につなげるなら、
今回の新180条1項は、まさにこの誤解を前提にしている疑いがある。すなわち、立案者は、個人情報を名簿的・属性的情報として想定し、フィッシングや名簿窃取のような場面だけを念頭に置いていたのではないか。しかし、条文上の「個人情報」はそれに限られないため、特定人についての噂・評判・証言の聞き取りまで含み得る。これは、個人情報定義の広さの意味を理解しないまま、不正競争防止法型の取得罪構文を移植したことによる構造的な条文化ミスである。
ここはかなり鋭いです。
要するに、今回のミスは二重です。
第一に、個人情報を属性情報だと思っているミス。 だから「個人情報をだまし取る」と聞いても、住所・電話番号・口座番号・会員情報の取得くらいしか想像していない。
第二に、個人情報定義の広さを、個情法の規律対象の広さと混同しているミス。 個人情報の定義は広いが、個情法の実質的規律対象は、事業者の個人情報データベース等に係る処理・利用・提供・安全管理等の体系的規律にある。定義が広いからといって、個人に関する情報取得一般を刑罰化してよいわけではない。
これを短く言うなら、
個人情報定義の広さは、個人に対する評価・決定に使われ得る情報を漏らさないための広さであって、個人に関する情報取得一般を犯罪化するための広さではない。
この一文、かなり使えそうです。
次は、Claude(メモリー機能オフ)に同じ質問をした。
[考え中……]
日弁連の意見書が出ているようなので見てみます。
[考え中……]
実際の改正案の条文を確認してみます。
[考え中……]
実際の改正案PDFを取得して、180条1項の条文を確認します。
[考え中……]
実際の改正案本体PDFを確認してみます。
[考え中……]
ありがとうございます。改正案の内容を確認しました(令和8年4月7日閣議決定、第221回特別国会提出)。
正直に言うと、お示しの条文だけからは「重大な問題」が一義的に特定できないので、まず私の見立てをお話しした上で、何を念頭に置かれているか確認させてください。
この新180条1項は、不正競争防止法21条1項1号(営業秘密侵害罪)と同じ枠組みを借りてきています。
不競法の対応条文は「不正の利益を得る目的で、又はその保有者に損害を加える目的で、詐欺等行為(人を欺き、人に暴行を加え、又は人を脅迫する行為)又は管理侵害行為(財物の窃取、施設への侵入、不正アクセス行為……その他の保有者の管理を害する行為)により、営業秘密を取得した者」です。
つまり「図利加害目的+詐欺等行為または管理侵害行為+取得」という型をそのまま個人情報に転用したものです。
私が条文を読んで気になった点を挙げます:
1. 加害目的の被害者リストが大幅拡張されている
「その他の者」が入ったことで、客観的には誰でも被害者になり得る構造になっています。詐欺被害者が加害者の身元を調べる、ジャーナリストが不正を働く者を追及する、ストーカー被害者が加害者の所在を探す——いずれも「本人(=対象者)に損害を加える目的」で「人を欺いて」「個人情報を取得」した、という形式に当てはまり得ます。
2. 保護対象が「営業秘密」から「個人情報」になっていることの帰結 営業秘密は秘密管理性・有用性・非公知性の3要件を満たす狭い情報ですが、個人情報は「氏名・住所・電話番号など特定個人を識別できる情報」全般で、桁違いに広い。同じ構造を当てはめると、適用範囲が極端に広がります。
3. 「個人情報を保有する者」という概念のあいまいさ 個情法の規律対象は本来「個人情報取扱事業者」ですが、この罰則は単に「個人情報を保有する者」という述語的表現を使っており、事業者でない一般私人も含み得ます。一方で「管理を害する」という要件は事業者の安全管理措置を念頭に置いた表現で、私人の場合に何を意味するか不明瞭です。
4. 報道・学術・宗教・政治活動の適用除外(57条)が罰則章には及ばない 57条の適用除外は第4章~第6章対象で、罰則を定める第8章は除外対象外。報道機関の取材活動が形式的に構成要件に該当する余地があります(不競法でも同様の構造ですが、対象が個人情報に広がることで影響範囲が大きく違ってくる)。
5. 通信傍受の規定が「有線電気通信の傍受」に限定 不競法は「不正に取得された通信内容に係る情報の取得(不正アクセスに伴うもの及びその他の方法によるものを含む。)」と広く規定しているのに対し、改正案は「有線電気通信の傍受」と書いており、無線通信(Wi-Fi、携帯電話など)の傍受は「その他の管理を害する行為」の包括規定でしかカバーされません。条文の例示として違和感があります。
6. 法定刑のバランス 不競法21条1項:10年以下の拘禁刑または2000万円以下の罰金。 改正案180条1項:2年以下の拘禁刑または100万円以下の罰金。 営業秘密より相当軽い扱いです(これは批判というより指摘)。
おそらく一番重く効くのは 1番(被害者範囲の拡張による萎縮効果) か 3番(規律対象の不明確さ) あたりだと思いますが、ご自身が「重大な問題」とされたのはどの点でしょうか?
別の論点(例えば未遂規定との関係、両罰規定の射程、特定の手段列挙が抜け落ちている等)であれば、追加で検討します。
このように、営業秘密侵害罪との違いという分析になった。「個人情報を保有する者」「管理を害する」の概念に対して疑問を呈している点はさすがである。
続きは先ほどと同じになるので、ChatGPTとの会話をコピーして続けた。
中心的な「重大な問題」は、保護客体に 「個人情報」 をそのまま使ったことの過広射程ですね。個人情報は個情法2条1項で「生存する個人に関する情報であって…特定の個人を識別できるもの」。これは属性データだけでなく、特定人物に関するあらゆる情報を含む——おっしゃる通り、噂話を聞き取ってメモすれば「取得」に該当し、氏名の提供すら要件でなく「特定の○○さんについての話」というだけで足りる。
これを「図利加害目的+詐欺等行為または管理侵害行為+取得」の不競法21条1項1号の型に流し込むと、一般人の私生活のかなり広い範囲が処罰対象に取り込まれることになる。営業秘密は秘密管理性・有用性・非公知性で絞られているのに対し、個人情報は無限定。同じ構造を流用したらバランスが破綻する、というのが「条文化のミス」の核心ですね。
少し高木日記を確認させてください。
[考え中……]
高木日記、読みました。B解釈と「いずれ個人情報データベース等に記録され『個人データ』となるもの」のロジック、了解しました。論点が整理できたので、書き直します。
問題の核は、保護客体に裸の「個人情報」を据えてしまったために、規定全体が射程過剰になっているという一点に尽きる。
個情法2条1項の「個人情報」は、属性データに限らず、特定個人を識別できるあらゆる情報を含む。Aさんについての噂話を聞き取ってメモすれば、それで「個人情報」の「取得」が成立する。氏名の提供を伴う必要すらない。「あの××部長は……」という形で特定個人について語られる情報を耳に挟んでメモすれば足りる。
この「あらゆる情報が対象になる」性質は、個情法が「個人の評価に使われ得るもの一切」を規律対象としていることの帰結であって、本来そのように設計されている。だから、特定の「属性」(電話番号やメールアドレスといったフォーマット化された項目)が規制されているという理解は端的に誤りなのだが、この典型的誤解が立案関係者の思考を合理化してしまい、不競法21条1項1号型の枠組みに「個人情報」を流し込むことに抵抗が働かなかった可能性は高い。実例で示せば:
2002年廃案の旧法案で問題視されたのは、まさにこの種の射程過剰だった。それが「不正取得罪」という形を変えて復活している、というのが批判の骨格になる。
おっしゃる通り、
ので、客体側の文言は動かせない。となると残るのは名宛人を「個人情報取扱事業者」に限定し、20条1項違反行為のうち限定的に悪質なケースの直罰として構成するという方向しかない。
具体的には条文骨子としてこんな形:
個人情報取扱事業者……(又はその役員等もしくは従業者)が、自己若しくは第三者の不正な利益を図る目的で、又は本人〔等〕に損害を加える目的で、人を欺き〔…詐欺等行為…〕により、又は〔…管理侵害行為…〕により、第20条第1項の規定に違反して個人情報を取得したときは……
このスタイルの利点は次の通り:
(a) 高木B解釈が自動的にかかる。「個人情報取扱事業者aの義務対象たる個人情報a1,2,3,…」は、当該事業者の「個人情報データベース等a」を構成する(または構成予定の)個人情報に限定される。だから散在情報的取得——たまたま耳にした噂話のメモ——は構成要件に乗らない。文言上は「個人情報」のままだが、実質的には個人データ相当の射程に絞られる。
(b) 報道等適用除外(57条)が機能する。57条1項は、報道機関の報道の用に供する目的での個人情報等の取扱いについて第4章~第6章の適用を除外する。20条1項は第4章第2節に置かれているので、報道機関の取材における取得行為は20条1項違反を構成しない。違反が成立しなければ「20条1項違反の限定的直罰」も成立しない。ここが、いまの180条1項案がもたらす致命的な「報道を含む全国民への直罰」の問題を解消する仕組みになる。学術研究機関、宗教団体、政治団体についても同様に処理される。
(c) 「(これらであった者)」を含めるかの整合性が取れる。現179条(個人情報データベース等不正提供罪)が「これらであった者」を含めているのは、過去に取得・取扱った個人情報データベース等をいま提供することを射程に入れるためであって、提供罪だから自然な拡張。これに対し取得罪は、いま取得する行為そのものを処罰するのだから、「過去に従業者だった」者を引っぱり出してくる必要はそもそもない(過去の身分は、いま新たに取得する行為の違法性とは結びつかない)。だから取得罪では「これらであった者」を入れない方が筋が通る。これは現180条1項案のもう一つの違和感の正体でもある。
別案として「個人情報取扱事業者が……」と単に名宛人を絞るだけでも(a)(b)はある程度成立するが、
のに対し、「20条1項の不正取得義務違反のうち、図利加害目的+詐欺等行為または管理侵害行為という最も悪質な態様で行われたものを直罰化する」という構成にすれば、
という三拍子が揃う。要は、不競法の型を「借りる」のではなく、既存の20条1項の構造に取り込む形にすべきだった、というのが「条文化のミス」批判の骨子になる。
最後の点——「氏名、電話番号、勤務先、メールアドレス、顔写真、肩書、経歴」を例示してしまうとフォーマット化された属性に限定される印象を与える——これは私が前のレスポンスで踏み外したところで、率直にまずかった。個情法の「個人情報」はそういう列挙的なものではなく、特定個人について語られるあらゆる情報(評価に使われうるすべて)が含まれる。属性情報という枠組みで考えると、立案関係者と同じ誤解の轍を踏むことになる。
今回の180条1項案の起草に関わった人物の中に、「個人情報=氏名・住所等の属性データ」という素朴な理解で「不正アクセスやサーバー侵入で『顧客データ』を盗む類型を念頭に置けば射程は自ずと限定される」と高を括った人がいるのではないか、というご懸念は当然のものだと思う。立案趣旨資料を読むかぎり、犯人像として想定されているのは事業者ターゲットのデータ窃盗・不正アクセス類型のはずなのに、条文の側がそれを担保していない。趣旨と条文の乖離こそが「条文化のミス」の証左、という整理になる。
(1) 法制局自身が「取得段階=個人情報の状態」ドグマの当事者である
これが最も大きいのではないかと。H15立案時に「いずれ個人データになるものでも取得段階では個人情報」という整理を入れたのは法制局自身で、20条1項の文言もこれに従っている。だから「取得行為の規定で『個人情報』を客体に置くこと」は、法制局からすればむしろ自分たちの確立した法技術であって、疑うべき対象ではない。20条1項違反の直罰なら自然に20条1項と同じ「個人情報」になるはずだ、と考えれば、ここで立ち止まる契機は生まれにくい。
(2) 不競法21条1項1号という「実績のあるテンプレート」
詐欺等行為/管理侵害行為+図利加害目的という型は、不競法で運用実績があり、最高裁判例もあって、法制局からすれば「枯れた条文」のはず。これを「営業秘密」から「個人情報」に差し替えるだけ、という発想で来られると、保護客体の定義そのものの広狭差は、形式的な整合性チェックの網にかかりにくい。「営業秘密の定義に秘密管理性・有用性・非公知性という絞り込み要件があるのに対して、個人情報の定義は識別性しかない」という対比は、立法事実や政策論の話に流れがちで、条文審査の論点として明示的にテーブルに乗せにくい性質がある。
(3) 法制局の審査は「実質的射程」より「法体系内の整合性」
法制局のレビューは伝統的に、用語の使い方・他法令との整合・改め文の正確性・憲法適合性といった形式的・体系的レベルに強く、ある条文が現実社会のどの行為にどれだけ網をかけるかという効果論的射程は、原局(個情委事務局)の責任という建付け。「図利加害目的」が入っているから絞られている、というのが原局の説明であれば、法制局がそこを「いやそれだけでは絞れない、本人加害目的は私生活上いくらでも該当する」と踏み込んで覆すのは、ロールの守備範囲を超える話に近い。
(4) 起草側に「個人情報=属性データ」の素朴理解があると、法制局はそれを修正する立場にない
法制局は起草の方針(policy)には踏み込まず、書きぶり(drafting)を整える。起草側が「想定犯人像は名簿屋・ハッカーであって一般人ではない」という前提で起草し、法制局には「20条1項違反の悪質類型の直罰」ではなく「不正取得罪という新類型」という顔で持っていけば、法制局は新類型として整える方向で仕事をする。その時、20条1項に取り込まれていれば57条が自動で効く、という気付きは、原局が言わない限り出てこない。
(5) 個情委事務局と法制局の力関係
これは推測ですが、個情委事務局は比較的若い組織で、法制局との力関係は財務・総務省ほどには確立していないはず。逆に言えば、法制局が原局の整理に深く介入する圧力は相対的に低く、技術的なチェックに止まりやすい。
ただ、本当に完全に見落としたのか、それとも、
という法制局自身の論理的判断として今の構造に至った可能性も残る。この場合、見落としというより選択された設計ということになるので、批判の射程も少し変わってきます。
ただいずれにせよ、結果としての射程が「特定人物についての噂話メモの取得」までカバーする刑罰になっているのは、立法事実から明らかに乖離している。原局・法制局のどちらの責任にせよ、国会審議の段階で詰められるべき論点であることは間違いないと思います。
なぜ落ちなかったかの仮説をもう少し挙げると:
「不競法移植案件」のラベルが効いてしまった可能性。次長・長官審査は時間が限られるなかで、論点の「匂い」で重点配分が変わるはず。「不競法21条1項1号の構造を踏襲」という説明が冒頭で立てば、構造論として済みになり、保護客体の射程差という政策論寄りの点に上層審査の注意が向かない、というのは結構ありそう。これは「枯れたテンプレートを使うときほど危ない」という典型のパターンで、過去の審議録でも、定型構造への安心感から実質射程の検討が薄くなった例はあるのではないでしょうか。
スケジュール圧力。R8改正は3年ごと見直しの期限が背景にあり、4月7日閣議決定に向けて法制局審査も詰まっていたはず。罰則は概して章末で、論点の重い前段(課徴金、特定生体個人情報、統計作成等特例、十六歳未満規律など)に審査リソースが吸われた可能性は高い。
個情委事務局側のフレーミング。「不正取得行為の処罰類型を新設」という顔で持ち込まれると、20条1項違反の直罰として整理し直す発想は法制局側からは出にくい。「20条1項に取り込めば57条が効いて報道は外れる」という気付きは、原局が言わなければ次長・長官審査の射程外になりがち。
LLM審査の話、半分冗談として受け流すのは惜しい論点だと思っています。
法制局審査でLLMが比較的得意な仕事は明確で——
逆に苦手な領域もあって——
なので、置き換えではなく参事官・次長審査の前段に「敵対的レビュー」工程を一つ噛ませるという発想なら現実的に思えます。特に「枯れたテンプレートに新しい客体を流し込む」類型は、慣れによる見落としリスクが構造的に存在するので、機械的に違和感を炙り出す層を入れる価値は高い。
そのうえで自己批判的に言うと、私自身は最初の応答でまさにこの典型的な誤解の構図を再現してしまったわけで——属性データを例示して「個人情報」概念を狭く理解し、不競法21条1項1号との比較も構造の類似ばかり見て、客体の射程差を一次的論点として立てなかった。具体例を「噂話メモ」のレベルまで掘り下げる作業をご指摘でいただいて初めて、20条1項経由のB解釈に降りる経路が見えました。
逆に言えば、LLM審査を実装するなら「構成要件該当の具体例を200件出させる」のような、思考の解像度を強制的に上げるプロンプト設計が肝になりそうです。抽象的に「問題点を指摘せよ」では、私の最初の応答と同じ落とし穴に嵌まる。
なお、各事例で「個人情報の取得」が成立する点を強調しておきます。氏名でなくても、特定個人を識別できる情報ならすべて該当。「あの××さん」と特定された人物に関する事項を聞き出した・観察した時点で取得です。
1. 浮気の調査 配偶者の浮気を疑った妻が、夫の同僚に「会社の飲み会の件で」と嘘をついて、夫が最近誰と一緒に行動しているか聞き出した。夫の同僚関係についての情報を取得。目的は夫(本人)に離婚請求等の不利益を与えること(加害目的)、手段は同僚を欺くこと(詐欺等行為)。
2. 借金を踏み倒した知人の追跡 友人にお金を貸したが返してもらえず、連絡も取れなくなった。共通の知人に「同窓会の案内を送りたい」と偽って、その元友人の現住所を聞き出した。本人に債権回収(=損害)目的、知人を欺いた。
3. 結婚詐欺被害者の自衛 婚約破棄された女性が、相手の素性を疑い、相手の勤務先と称する会社に「人事部の者だ」と偽って電話し、相手が本当にそこに勤務しているか確認した。本人の信用を毀損する目的(被害申告のため)、会社の従業員を欺いた。
4. 元交際相手の現在の交友関係を知りたい 別れた相手が新しい恋人と付き合っていると聞き、その新しい恋人の名前を知りたくて、共通の知人に「お祝いを送りたいから」と偽って聞き出した。新しい恋人(本人)の素性に関する情報、目的に「第三者の不正な利益」(自分の好奇心の充足等)と評価する余地、知人を欺いた。
5. 不倫相手の妻の連絡先 不倫関係にあった相手が突然連絡を絶ったので、相手の妻に直談判するため、相手の会社に「親戚だ」と偽って妻の電話番号を聞き出した。妻(本人)に精神的苦痛を与える目的、会社を欺いた。
6. 騒音問題 上階の住人の騒音に悩む人が、その住人の勤務先に苦情を入れたいと思い、マンション管理人に「同じ会社の者だが連絡が取れないので」と偽って勤務先を聞き出した。
7. 駐車違反の常習者 自宅前に毎日無断駐車する車があり、ナンバーから所有者を特定したい。陸運局に「警察関係者だ」と偽って所有者情報を取得(陸運局を欺き、所有者本人に苦情・損害賠償請求等の損害を加える目的)。
8. 町内会の役員交代 町内会の前任役員から名簿を受け取れなかったため、新任者が前任者の自宅に「市役所から確認の電話があった」と偽って侵入し、置いてあった名簿を盗み撮りした。施設侵入+詐欺等行為で名簿上の住民全員の個人情報を取得。
9. 認知症の親の介護をめぐる兄弟争い 高齢の親の財産管理をめぐって対立する兄が、別居する弟の生活実態を知るため、弟の妻に「親の医療費の件で」と偽って弟の収入や預金状況を聞き出した。弟(本人)に不利な遺産分割協議を仕掛ける目的、妻を欺いた。
10. 養育費を払わない元配偶者 養育費の不払いが続く元夫の現勤務先を知るため、元夫の母親に「子供から手紙を送りたいから」と偽って勤務先を聞き出した。差押え(=損害)目的、母を欺いた。
11. 行方不明の親族の捜索 20年前に家出した兄を探したい妹が、兄の旧友に「同窓会幹事だ」と偽って兄の最新の連絡先を聞き出した。本人に対し「会いたい」という意図は加害目的とは言い難いが、兄が会いたくないと考えていれば「本人の意思に反する接触=本人への損害」と評価される余地が残る。
12. 政治家のスキャンダル取材 週刊誌記者が、汚職疑惑のある政治家の愛人と疑われる女性の素性を確かめるため、女性の知人に身分を偽って近づき、女性の経歴・家族構成等を聞き出した。本人(政治家)の信用毀損目的、知人を欺いた。報道機関の取材だが、現在の180条1項案では57条の適用除外が刑罰に及ばない。
13. 反社会的勢力の構成員調査 暴力団追放運動の市民団体メンバーが、地域に居住する組員の氏名・住所を、組員の知人に身分を偽って聞き出した。本人(組員)に地域追放という損害を与える目的、知人を欺いた。
14. 詐欺グループの追跡 振り込め詐欺の被害者の家族が、自宅に届いた電話番号から犯人を特定するため、その番号を契約していると思しき携帯ショップに「家族の者だ」と偽って契約者情報の確認をしようとした。
15. 統一教会型カルトの内部告発支援 家族をカルトから脱会させようとするNPO関係者が、教団施設に偽の身分で侵入し、教団が保有する信者名簿(個人情報の集合体)を撮影した。施設侵入+管理侵害行為。教団の主張する「損害」要件は容易に満たされる。
16. 採用候補者のリファレンスチェック 中途採用予定の候補者について、前職での評判を知りたい採用担当者が、候補者の前職同僚に「個人的な友人だ」と偽って候補者の人物像を聞き出した。候補者(本人)に対する不採用という損害目的、同僚を欺いた。
17. 取引先の与信調査 取引を始めるにあたり相手会社の社長の評判を知りたく、社長の旧知の人物に身分を偽って近づき、社長の経歴・素行を聞き出した。
18. 競合の社員引き抜き 競合社員の連絡先を知るため、競合社の受付に「学生時代の友人だが連絡先がわからなくなった」と偽って携帯番号を聞き出した。
19. SNSで気になる人物の特定 匿名アカウントの投稿主の正体を知りたく、投稿内容から推測される勤務先に「ご家族だ」と偽って連絡し、本人の本名を確認した。本人を特定すること自体が本人に対する害(晒し等)につながる文脈なら加害目的が成立。
20. ストーカー的調査 一方的に好意を抱く相手の自宅住所を、相手の友人に「サプライズで誕生日プレゼントを贈りたい」と偽って聞き出した。これは特に明白に有害なケースだが、構成要件レベルでは前掲の家族関係事例と区別できない。
21. 飲み屋での聞き耳 近所の居酒屋で、隣席の客が「○○商店の××さんが愛人を作って大変らしい」と話しているのを聞いた人が、面白いネタとして手帳にメモした。詐欺等行為や管理侵害行為がないように見えるが、隣席の客に身を寄せて聞き耳を立てる行為を「欺く」と構成すれば該当しうる。微妙だが、次の事例はより明白:
22. 取材における雑談装い 取材記者が、ターゲット人物の知人を装って酒席に紛れ込み、自然な会話を装って当該人物の身辺情報を聞き出してメモした。装って=欺いて、メモ=取得。
23. 同窓会名簿の流用 同窓会名簿に記載された連絡先を、同窓生関係者を装って入手し、当該名簿の対象者を商売の営業対象として転用した。本人ら多数の連絡先・経歴情報の取得、同窓会幹事を欺いた、第三者(自社)の不正な利益目的。
24. 怪文書情報源の調査 匿名怪文書に書かれた人物について、文書の内容の真偽を確かめるため周辺人物に身分を偽って事情を聞いた。本人について「悪い噂が本当か」を確かめる行為が「本人への損害目的」と評価される。
25. パスワードリスト型攻撃で取得した情報を見ただけ 他人がリークしたパスワードリストを使って試しに知人のアカウントにログインしたら、知人のメッセージ履歴が見えた。不正アクセス+取得。「知人に対する加害目的」も「自己の好奇心の充足=不正な利益」もあり。
26. 落とし物の財布を開いた 道で拾った財布に身分証明書が入っており、住所氏名を確認した上で警察に届けず自分でメモを取った。これを「窃取」と構成するか否かは事実関係次第だが、財布を持ち主に届ける前に内容物を逐一記録すれば、財物の管理侵害的取得+本人の情報取得と評価できる場合がある。
27. 拾った郵便物 誤配された他人宛の郵便を開封して中の個人情報を見た(封緘破棄=財物損壊)。
28. 公開情報のソーシャルエンジニアリング SNSで公開されている情報を、対象者の友人になりすまして集めた。「公開されている情報」は20条1項違反該当性に争いがあるが、180条1項案は20条1項を経由しない構造なので、純粋に「人を欺いて個人情報を取得」した形式が満たされる。
29. 死者の情報 故人について遺族に身分を偽って聞き取りをした。「個人情報」は生存者の情報に限られるので、純粋な死者情報なら該当しない。ただし故人と遺族の関係性に関する情報は遺族(生存者)の個人情報になりうる。
30. 法人代表者の個人情報 取引先法人の代表者個人の経歴を知るため、その法人の従業員を欺いて聞き出した。法人情報のように見えて、代表者個人を識別できる情報なら個人情報。
31. 過去の事件報道で公知の事項 過去の事件で被害者となった人物の現在の所在を知るため、当時の関係者を欺いて聞き出した。元被害者の情報という意味でセンシティブだが、構成要件上は他事例と同様。
ここまで列挙して見えるのは:
別の言い方をすると、これは「特定人物について何かを知りたくて、誰かに小さな嘘をつき、その人物の情報を聞き出した・観察した・メモした」という、人間社会で日常的に発生している行為の大半を、図利加害目的の認定次第で2年以下の拘禁刑にできてしまう規定になっています。
立法事実として想定されているはずのベネッセ事件型(事業者の従業者による顧客データベースの不正持ち出し)と、ここに挙げた事例群との間の落差こそが、「これは条文化のミスだ、こんな筈ではなかった」という批判の核心だと思います。
ここで、先ほどのChatGPTとの会話に戻って、続けて次の質問をしてみた。
[思考時間: 14s]
確認した限り、「損害を加える目的」が“かなり狭く”解釈されていて安全弁になる、とは言いにくいです。むしろ危ないです。
不競法の営業秘密侵害罪まわりでは、たしかに「図利加害目的に当たらない例」として、経産省資料は、公益目的の内部告発、労働者の正当な権利実現のための労組内部開示、残業目的の持ち帰りなどを挙げています。これは一見すると限定的に見えます[経済産業省]。 
しかし同じ経産省系の整理では、判断要素として、当事者間の信頼関係、保有者の利益、営業秘密を示された者の利益などを総合考慮するとされており、目的要件だけで機械的・明確に絞る構造ではありません[経済産業省]。つまり、「加害目的がないから外れる」と事前に安心できるタイプの限定ではない。
さらに、ドメイン名不正取得規制の裁判例整理では、「損害を加える目的」は、財産上の損害だけでなく「信用の失墜等の有形無形の損害」を加える目的を含む、とされています[経済産業省]。これを個人情報取得罪に持ち込むと、報道・告発・調査・私生活上の聞き取りの多くは、相手方の信用低下や社会的評価低下を招き得るので、かなり広く拾えてしまいます。
営業秘密侵害罪についても、目的要件は近年、むしろ広がる方向の議論があります。たとえば、経産省の平成27年逐条解説以降の見解について、非経済的利益でもよい、退職の記念・思い出目的でも直ちに否定されない、という方向の説明が追加されたと分析されています[大阪大学学術情報庫]。最高裁決定を扱う評釈でも、「不正の利益を得る目的」を含む主観的要件について積極的動機説・消極的動機説の対立があり、対象行為が日常生活と重なるため慎重認定が必要だとされています[jpaa-patent.info]。 
なので、新180条については、こう整理するのがよさそうです。
「人を欺き」は、現行20条1項の「偽りその他不正の手段」のうち「偽り」とほぼ重なる広い概念であり、それ自体は取材・聞き取り・調査上の目的秘匿や身分秘匿を十分に含み得る。そうすると、新180条1項で実質的な限定として残るのは「図利加害目的」である。しかし、不正競争防止法上の図利加害目的の解釈を見ても、「損害を加える目的」は財産上の損害に限られず、信用失墜等の無形損害を含み得るとされ、また非経済的利益・非経済的加害目的を排除しない方向の説明も存在する。したがって、この目的要件だけをもって、報道・公益的調査・私生活上の聞き取りを十分に除外できるとはいえない。
特に今回の個情法では、不競法と違って客体が「営業秘密」ではなく「個人情報」です。営業秘密なら、秘密管理性・有用性・非公知性という客体側の絞りがありますが、個人情報にはそれがない。だから、目的要件に過大な限定機能を期待するのは無理筋です。
結論としては、「損害を加える目的」は安全弁にならないでよいと思います。 むしろ「相手方の信用を下げる目的で噂話を聞き取った」程度でも形式的には乗り得るので、20条1項違反の悪質類型に戻す修正が必要、という論証を補強します。
同じ質問を、先ほどのClaudeとの会話に続けてみた。
[考え中……]
経産省の逐条解説の該当部分を直接確認します。
[考え中……]
確認できました。経産省逐条解説と最判平成30年12月3日を中心に、不競法21条1項1号「図利加害目的」の実務的限定解釈は明確に存在します。ただ、それを個情法案180条1項に移植すると、限定が機能しなくなる構造になっている——これがおそらく本当のポイントです。
経産省逐条解説(令和6年4月1日施行版)は、「不正の利益を得る目的」を「公序良俗又は信義則に反する形で不当な利益を図る目的」と定義し、図利加害目的に当たらない例として次を明示しています:
最判平成30年12月3日(営業秘密領得罪)は、退職直前に勤務先の営業秘密データを私物HDDに複製した被告人について、「当該複製は勤務先の業務遂行の目的によるものではなく、その他の正当な目的の存在をうかがわせる事情もない」ことから図利目的を合理的に推認した、と判示しています。
つまり、構造としては:
絞り込みの効果は、形式的にはあるが、ザルではないものの目の粗いザル、という評価が妥当だと思います。
ここからが重要なところです。不競法の限定解釈が一定程度機能してきたのは、被害対象が「保有者」(事業者)に限定されていたからです。
不競法21条1項1号は「その保有者に損害を加える目的」と書く。保有者は営業秘密保有事業者なので、想定される加害シナリオは「その事業者を競争上不利にする」「その事業者の秘密管理体制を破壊する」といった事業者を害する意図に限定される。公益通報や労使交渉、業務遂行といった「事業者との関係において正当化される目的」がカウンターとして機能する余地があり、限定解釈がそこに乗る。
ところが個情法案180条1項は「本人、個人情報を保有する者その他の者に損害を加える目的」と書く。被害対象が3層に拡張されている:
「本人に対する加害目的」というカテゴリは、不競法判例の蓄積では存在しない概念です。そして、特定人物について何かを調べる行為の動機は、しばしばその人物に対する何らかの不利益処分・社会的追及・関係解消等を志向します:
これらすべてが「本人に対する加害目的」に該当する。不競法の限定解釈で除外される「公益実現の内部告発」型は、取材対象や告発対象を害する目的を伴うのが普通なので、「公益のため」と「本人を害するため」を切り分けられない。
つまり、不競法21条1項1号で機能してきた限定解釈は、「保有者に対する加害目的」というカテゴリの中で「事業者を害する以外の正当な目的」を抽出するという構造に依存していた。「本人に対する加害目的」というカテゴリが入ると、その構造自体が崩れる。
「その他の者に損害を加える目的」は、字義通り読めば任意の第三者を被害対象として認定できる。これは目的要件としては事実上の絞り込み機能を失っています。
経産省解説で示された除外例③「残業目的で持ち帰る」のようなレアな類型は別として、何らかの情報取得行為には誰かに何らかの不利益が及ぶ蓋然性が常に存在するので、「その他の者への加害目的」のレベルではほぼ無限定化する。
ご指摘の構造をまとめると:
| 要件 | 絞り込み機能 |
|---|---|
| 人を欺き等 | ほぼ無し(現20条1項「偽り」と同程度に広い) |
| 個人情報を取得 | ほぼ無し(噂話メモまで該当) |
| 図利加害目的(不正な利益) | 不競法では一定の限定解釈あり |
| 図利加害目的(本人への加害) | 限定解釈の蓄積なし、ほぼ無限定 |
| 図利加害目的(その他の者への加害) | 無限定 |
結果として、構成要件の絞り込みは「不正な利益を図る目的」要件にしか残されていないことになる。しかも、最判H30.12.3の推認構造を考えると、その絞り込みも事実上のデフォルトは「該当」で、被告人側が「正当な目的」を立証する負担を負う。
これが、私が前回の応答で「不競法の構造を借りているから図利加害目的で絞られている」と原局が説明すれば法制局審査を通り得る、と書いたことの正体です。借りた構造の絞り込みが、被害対象を拡張したことで実質的に消えているのに、不競法の判例蓄積をもって絞られているように見える、という錯覚が起きやすい。
逆に言うと、これがもし「個人情報取扱事業者に対し損害を加える目的」だけだったら(つまり保有者加害目的のみだったら)、不競法の限定解釈をそのまま借りられる可能性があった。「本人」を被害対象に追加した瞬間に、不競法の蓄積はもう使えなくなっている——これは法制局審査でも、最高裁判例集や逐条解説を脇に置いて条文を読めば、本来気付けるはずの論点だと思います。
実務上の絞り込みが期待できない以上、ユーザーがおっしゃっていた「20条1項違反の限定的直罰として構成し、報道等適用除外を効かせる」という解決の必要性は、図利加害目的要件で吸収しきれないことの裏返しとして、より明確になると思います。
やはり杞憂ではないようだ。
続けて、脚注6の件も聞いておこう。
「違反行為」という語は、論理的にそれに先行する義務(禁止または作為義務)の存在を前提にします。「Aしてはならない」「Bしなければならない」といった義務規範があって初めて、それに反する行為を「違反行為」と呼べる。
ところが新180条1項は、構成要件として「目的+手段+取得」を自己完結的に書いていて、先行する義務規範を持たない。条文内部に「個人情報を取得してはならない」という禁止文言は無く、また外の条文を「第○条第○項の規定に違反して」と引用する形にもなっていない。何の違反なのかが条文上特定されていないまま、「当該違反行為をした者」と書いてしまっている。
個情法の罰則章を見渡すと、「違反」語を使う条文と使わない条文がきれいに棲み分けされています。
「違反」語を使う型 — 義務違反型の罰則:
第178条 第148条第2項又は第3項の規定による命令に違反した者は、……
ここでは「第148条第2項又は第3項の規定による命令」という義務が先行して特定されているので、「違反」が成立する。
「違反」語を使わない型 — 構成要件自己完結型の罰則:
第179条 個人情報取扱事業者……の役員、代理人、使用人その他の従業者……が、その業務に関して取り扱った個人情報データベース等を、自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、……処する。
第180条(現行) 行政機関等の職員……が、……保有個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、……処する。
これらは構成要件を直接記述する型で、「違反」語を用いていない。借りてきた不競法21条1項1号も「次の各号のいずれかに該当する者は……処する」と書き、「違反行為をした者」とはしていない。
新180条1項は、構造としては179条・現180条・不競法21条1項1号と同じ「構成要件自己完結型」なのに、語彙としては178条のような「義務違反型」を流用している。両者の混淆になっている。
これは単なる文言ミスとして処理することもできますが、もう一歩踏み込むと、起草過程で「20条1項違反の直罰」として構想された痕跡である可能性があります。
20条1項は「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない」という明示的な禁止規範。これを引用して「第20条第1項の規定に違反して個人情報を取得したときは」と書けば、「当該違反行為」は自然に20条1項違反を指し、文言として整合する。
つまり、起草の途中までは20条1項違反の直罰として書かれていたものを、後で不競法21条1項1号型の独立罪に組み替えた際に、「当該違反行為」という表現だけが消し残った——という仮説が、文言の不自然さを最もよく説明する。
この見立てが正しければ、これまで私たちが議論してきた論点——本来は20条1項違反の限定的直罰として書くべきだった、その方が57条の適用除外も自然にかかる——は、起草当事者自身も一度はそう構想していたことの示唆になります。文言の残骸が、構想と最終形のズレを暴露している。
法制局審査でも、不競法21条1項1号を比較対象として並べていれば、「該当する者」とすべきところを「当該違反行為をした者」と書いている点は形式的な不整合として拾えるはずで、ここを問うた結果として「では何の違反なのか」という根本問題に行き着いたはずなのですが、そこまで詰められなかった、ということなのかもしれません。
参事官レベルでは見落とし得るとして、次長・長官審査でこの種の文言不整合を素通ししたのが本当だとすれば、ご指摘の「LLM審査を一段挟むべき」という議論の説得力がさらに増す、という結論になりそうです。
同じ推測だ。
やはり、以前にも書いたことがあったが、国会の法案審議は、内閣法制局の「法律案審議録」を参照して質疑するべきだろうと思う。
*1 制度改正方針(令和8年1月9日)では、3頁に「個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とするとともに法定刑を引き上げ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける。」と記載され、「制度的課題に対する考え方について(令和7年3月5日)」では、10頁に「また、不正に取得された個人情報は、当該情報を用いた詐欺その他の犯罪等につながり得る不適正な利用がなされる蓋然性が高いため、詐欺行為や不正アクセス行為その他の個人情報を保有する者の管理を害する行為により個人情報を取得する行為について、当罰性の観点から「不正な利益を図る目的」又は「損害を加える目的」に基づくものに限定した上で、直罰の対象とする必要があるのではないか。」と記載されていた。
*2 それでも、「財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為」は犯罪だとしても、それらは例示であり、「その他の個人情報を保有する者の管理を害する行為」は犯罪とは言い難いものが含まれてしまう可能性が高い。
*3 「メディア規制法 個人情報」で検索してみたところ、テレビ局になぜか当時の反対キャンペーンのサイトが今も残存していて驚いた。TBS「メディア規制3法案に反対します」(2002年4月)、テレビ大阪「許すな!メディア規制 知る権利を守ろう」(2001年3月)、NHK「「個人情報保護の法制化」に関する意見」(1999年10月)など。
*4 2016年10月25日の日記「放送分野ガイドラインに浮かぶ廃案旧法案の亡霊(パーソナルデータ温故知新 その3)」も参照。
*5 その点、日弁連は、一昨年12月の時点で、こうなる事態を予見して懸念を表明していたそうだ。
4 罰則(直罰)について(意見の趣旨第4項について)(略)
(2) しかし、悪質事案に対する制裁の必要性は否定できないものの、そのことから直ちに当該事案を直罰規定の対象とすることが肯定されるわけではない。個人情報保護法制は、ある程度抽象的な規定を設けざるを得ないところ、中間整理は対象を個人情報データベース等とは無関係の「個人情報」としている。これを直罰規定の対象とすることは広範かつ曖昧な刑事罰を許容することになるのみならず、拡大解釈されるおそれや捜査権の濫用のおそれがあり、現時点では慎重な態度が望ましい。(略)
(3) 個人情報の詐取等の直罰規定については、限定された文言であっても拡大解釈されるおそれや捜査権の濫用のおそれが高いだけでなく、情報窃盗を原則として刑罰の対象としない現行法体系3を大きく変更する可能性があり、刑法における情報窃盗をめぐる従前の議論も踏まえた、構成要件の慎重な検討を経ずに導入することには賛成し難い。
--
3 個人情報保護法制定時も、情報窃盗の立法についての国会答弁で、「プライバシーにかかわるような情報、必ずしも財産というよりは、一つ一つの情報自体が財産としてあるいは財物を形成していると必ずしも言えないような情報があるがゆえに、必ずしも刑法上の処罰に、窃盗とか横領とかそういうものに当たるとは言い切れないし、立法論としても必ずしも適当でない面があるので、むしろ個人情報を保護するという観点からの立法を促進することが望ましい」とされている(第156回国会参議院個人情報の保護に関する特別委員会会議録第5号(平成15年5月15日)細田博之国務大臣(当時)答弁)。日本弁護士連合会「個人情報保護法3年ごと見直し中間整理(主に「個人の権利救済手段の在り方」(第1の1(4))及び「実効性のある監視・監督の在り方」(第2の2)について)に関する意見書」2024年12月19日
*6 この案を書いてみて気づいたのだが、原案に出てくる「当該違反行為」のフレーズは何だろうか? 原案をもう一度見てみるとこうなっている。
180条 自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為(…)その他の個人情報を保有する者の管理を害する行為により、個人情報を取得したときは、当該違反行為をした者は、2年以下の拘禁刑又は百万円以下の罰金に処する。
「違反行為」というが、これより前の文に、何かが違反であるということを記述した部分(つまりは義務の記述)が存在しない。ここの罰則は「Aした者はX刑」のスタイルになっているので、「違反」になる行為というものを規定していない。「……により、個人情報を取得したときは、」との文は禁止を規定する文になっていない。そこに、私の修正私案で「により、第20条第1項の規定に違反して個人情報を取得したときは、」と挿入したら、そこがちょうどピッタリ「当該違反行為をした者は」に続いたので、原案の「当該違反行為」のフレーズの空振り具合に疑問を抱いた。もしや、法制局で色々なバージョンの修正が繰り返された結果の残骸なのか?
*7 このときは、以下のように指摘していた(9頁)。
そもそも、個人情報保護法の民間部門の規定は、個人情報データベース等を対象としたものであって、このような人の噂話を規制するものではない。そのことは、平成15年法の立案担当者らによる逐条解説書には説明がある33ものの、ガイドライン通則編には記載がなく、初期の担当者が前提としていたはずの理解が、その事情を知らない外部の有識者によって執筆された解説書が氾濫した結果、担当者も交代を繰り返すうちに、そうした解説書の影響を受けて、本来の理解が次第に忘れられてきているように見受けられる。このことは前回の3年ごと見直しでも指摘した34が、改善されていないように見受けられる。
今回の3年ごと見直しでも、個人情報保護委員会事務局が用意した検討資料には、このことが忘れられていると思われる記載が多数ある。例えば、3月6日の資料35には、「事務局調べ」として様々な裁判例が掲載されているが、その多くが、個人データでない個人情報の事例になっている36。典型例を一つ挙げれば、「不適正取得・不適正利用に係る規律の在り方⑤」(22頁)に記載されている「個人情報の取扱いの適正性に関連する主な裁判例②」の表に示された東京地判令和2年1月20日の事例37は、個人データの話ではない38。
前掲注33に引用したように、このような事例は個人情報保護法の立法趣旨の外にあるものである。あらゆる取引には必然的に相手方の氏名を伴うが、そのことをもって個人情報保護法に絡め、あらゆる不法行為を個人情報保護法上の「不適正利用」に当てはめて規律しようとするのは、法の趣旨の逸脱である。個人情報保護法を気に入らない者を懲らしめる道具と化してはならない。個人情報保護法上の不適正利用の「不適正」は、データ処理それ自体の不適正性に着目して判断されるべきものであって、そのような不適正性の判断基準は、前記1.1節で述べたデータ保護の基本原則に反するかの観点を基準とするべき39である。
「個人関連情報」についての検討でも同様である。今回の検討では、「個人関連情報の適正な取扱いに係る規律の在り方」として、「現行法において、特定の個人を識別しないことを前提とする個人関連情報の取扱いに係る規律は設けられていない。」として、その新設を検討するような記載ぶりになっているところ、そこに提示されている「個人関連情報の取扱いに起因する個人の権利利益の侵害に関連する主な裁判例」(27頁)2つ(東京高判令和4年9月15日、東京高判令和4年12月21日)は、いずれも個人データ40の話ではない。
前者は自治体の情報公開条例に基づく体罰事故報告書の不開示決定の事案、後者はSNSへの電話番号の投稿がプライバシー権の侵害とされた事案であり、事務局資料は、これらで問題とされた情報が、氏名を伴わない個人に関する情報といえることから、法の「個人関連情報」に該当すると考えたようであるが、これは令和2年改正の立法趣旨を逸脱するものである。
令和2年改正で新設された「個人関連情報」の規律は、用語の定義(2条7項)だけ見ればそのような情報が該当するかのようであるが、この用語は初出の31条1項で「個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)」と限定されており、個人関連情報の制度の全体が個人関連情報データベース等を構成するものに限る趣旨となっている。これは令和2年改正時の立案担当者にとっては当然の前提とされていたはずであるが、今回の3年ごと見直しの担当者はその前提を忘れているように見受けられる。
高木浩光「個人情報保護法3年ごと見直し令和6年に対する意見」2024年6月12日
*8 法定刑を比べてみても、新180条の拘禁刑は2年以下だが、不正アクセス行為は3年以下と、既に十分である。
*9 事例1「匿名加工情報が非識別加工情報へと無用に改名した事情(パーソナルデータ保護法制の行方 その30)」、事例2「匿名加工情報は何でないか・後編の2(保護法改正はどうなった その8)」、事例3「「緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか」など。