個人情報保護/雑な同意、歪んだ議論… 

必要なのは説明と透明性、中央大・小向教授 

2021年 11月 8日

 自分の情報を誰がどう使っているのか、不信感や疑心暗鬼が広がる昨今。日本の個人情報保護法はどういった理念や内容なのか。欧州との違いは何か。情報法が専門の中央大学・小向太郎教授は「日本は世界的にも個人情報の内部利用の自由度が高い。他方で第三者提供だけは厳しい」と現状を語る。どういうことか。個人情報保護法制の現在とこれからについて聞いた。 

EU基本権憲章_法政大学新聞電子版.jpg

個人情報を保護されることが基本的人権であると示したEU基本権憲章の第8条。収集された情報の閲覧・訂正も権利であると明示されている。

■「保護と活用」…誰のため? 

 現在の日本の個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」(第一条)を目的と定める。つまり「情報を守るのと使うのと両方大事ということ」(小向教授)だ。 

 個人情報保護の議論では「権利利益と利活用のバランス」という常套句が用いられる。そもそも、権利利益と利活用は天秤にかけるべきなのか。憲法13条から導かれる自己決定権をもとにした「自己情報コントロール権」という考えがある。小向教授は「自己情報コントロール権説は通説といわれているが、具体的にどんな場面で何が保障されるかということについての統一的な見解はない」と話す。「プライバシーの権利」についても見解が一致しておらず、そのため現在の法律には「プライバシー」という言葉が入っていない。 

 では現在の法律で、権利利益と利活用のバランスはどうなっているのか。小向教授は「利活用というのは本来、企業が好き勝手に使うことを尊重しようということではない。人間は自己の情報を開示しないと生きていけないし、知ってもらってメリットもある。権利利益と利活用が相反するものだという考え方が間違っている」と話す。 

 

■世界の動きは… 

 「個人情報を保護すべきという考えはどの国でも強まっている。世界で広く共通了解のあるのは、自分の情報がどう使われているのかが分かるようにすることだ」。各国で法の建て付けや厳格度合いは違えども、この動きはビジネスの自由を尊重するアメリカを含めて世界で高まっているという。 

 顕著な例は、EUが2016年に制定したGDPR(一般データ保護規則)だ。1995年に採択された「EUデータ保護指令」から個人データ保護をより強化したもので、個人データの消去を求める権利である「忘れられる権利」などの具体的な新しい権利を保障したほか、「データ侵害通知」「データ保護影響評価」など情報取扱者への義務を厳格化した制度だ。 

■安易な「同意」でよしとする日本 

 個人情報保護の研究を行う小向教授から見て、日本の個人情報保護法では「同意が雑に扱われている」という。そして「個人情報保護法の規制を、できるだけ形式的に運用してきた結果だろう」と指摘する。 

 そもそもこの法律は、個人情報を取り扱う際に、本人の同意や適切な利用方法であることを、必ずしも要していない。個人情報ごとの利用目的を特定して公表すべきというのが基本で、同意が必要なのは「第三者提供する場合」「利用目的を変える場合」「要配慮個人情報を利用する場合」だ。 

 しかし、第三者提供等のために同意を取る場合にも、利用規約等を示して、それに不同意の意思を示さない限り同意したものとみなす「包括的同意」が認められているのが実情だ。小向教授は「同意という言葉が軽く扱われている。せめて、同意を取る際には企業にもっと説明させるべき」と訴える。 

 

 

 

 

 

 

 

 

 

■「個人情報じゃない」、安直な議論 

 事前に包括的同意も取れていなくても、「匿名加工情報」の制度を使えば第三者提供を行える。個人情報を加工し、特定の個人を識別しにくいようにして、かつ再識別しないことを約束すれば、同意を得ずとも第三者提供ができるというものだ。 

「ビッグデータの時代に同意を取り直さずに個人情報を使いたいという声を反映した制度。日本の企業には、個人情報でない状態にすればいいだろうという『個人情報じゃないもん病』(先生の造語)が蔓延している。実際には、どのようなレベルの加工をすれば匿名加工情報と呼べるのかが明確でなく、技術に自信を持っている一部の大企業が提供する方法を使って、ごく限られた場面で使われているのが実態だろう。こういう中途半端な制度は、今からでもやめるべき。EUとの間で個人情報が十分保護されていることを互いに認定しているが、その条件として、EU域内から移転された個人情報を匿名加工情報にして第三者提供等はしないと、EUに約束させられている。」 

■歴史と「基本的人権」、ヨーロッパでは 

 個人情報保護が最も厳格だとされるEUのGDPRに、第三者提供を原則禁止する規定はない。日本と違い、第三者提供をするか否かだけを重視していないからだ。「個人情報の利用は原則違法で、利用を正当化する根拠(適法化根拠)を事業者が説明していなければ、個人情報の利用を停止しなければならず、処罰される場合もある。本人の同意を根拠にするのであれば、本人の意思をきちんと反映したものでなければならないし、本人は一度同意してもいつでも撤回できる。一方で同意以外にも適法化根拠にできるものがあり、例えば、適正な利益のための目的でメリットとデメリットを勘案すれば社会的に許されるという主張をすることもできる。日本の法律が形式的であるのに対し、事業者に実質的な取り組みを求める規定だ」。 

 適法化根拠を求める規定は、1995年のEUデータ保護指令にも存在していた。欧州でこうした厳格な規定が設けられてきたのは、一つには歴史的な経験があるからだとされている。 

「諸説あるが、よく言われるのはナチスの悲惨な経験。それ以前は異端審問でも凄惨な歴史がある。これらの弾圧は個人情報を使ってするものだから、個人情報の扱いを間違えると大変だと骨身にしみていた。だから、個人情報を扱う側に説明責任を求めるという考え方が出てきたのではないか。」 

2000年宣言のEU基本権憲章の第8条には「全ての者は、自己に関する個人情報を保護される権利を有する」などと、個人情報の保護が基本的人権であると具体的に規定されている。 

 

■3年ごと見直し 

 日本の個人情報保護法は2003年に成立(行政機関個人情報保護法は1988年)。15年の改正では、3年ごとに法を見直すことになった。 

 今後、この法律はどうあるべきか。小向教授は、学界では異端の考えだとしつつ「個人情報の利用について、それが正当であることの説明責任を企業に負わせる制度が望ましい。GDPRの第6条に相当する条文を入れるべきだ」と話す。 

 また日本では従来、公的部門には「行政機関個人情報保護法」、民間には「個人情報保護法」と法律が分かれていたが、21年の改正(「デジタル改革関連法」の一環)で一本化された。しかし「現在のところ、あまり政府機関に対する規制が強まっているわけではない。従来の政府機関に対する規制をそのまま持ってきただけの規定が多い」と小向教授。他方、従来はマイナンバーと民間部門の個人情報保護を監督してきた独立性の高い監督機関「個人情報保護委員会」の守備範囲がさらに広がることは確かだ。「人が150人程度しかいない。もともとマイナンバーの監督もしているし、政府機関の監督もするのであれば、もっと増やさないといけない」と実務体制の整備も課題とした。 

 

 個人の生み出すデータの量は多い。情報がどう使われているのか、また、自分の個人情報に関して、対等な立場で自由な主張ができているのかについて、私たちは問い直していくべきかもしれない。 

※教授の話をもとに構成

(聞き手・髙橋克典) 

こむかい・たろう教授 

中央大学国際情報学部教授。専門は情報法。博士(法学)。主著に『情報法入門(第5版)デジタル・ネットワークの法律』(NTT出版、2020年)、『概説GDPR―世界を揺るがす個人情報保護制度』(共著、NTT出版、2019年)

匿名加工情報_法政大学新聞電子版.jpg