今、みんなが求める個人情報保護法の規範は、形式的ルール?実体的ルール?(6/3個情法見直し有識者発表資料から考える)
こんにちは!
3年見直し論点、今日は少し違った角度で、個人情報保護法やルールを考えてみたいと思います。
違った角度?
論点ごとの規範の中身ではなく、
広く日本のほぼ全ての事業者に適用される個人情報保護法であることをふまえ、どういうタイプのルールであるべきなんだろう?という問いです。
ルールのタイプ、とは、ざっくり2つのイメージ
●各論の手続きの具体、やり方を求めるのか?
●目指すところが何かの理念/哲学があって、やり方は事業者の裁量を広く認めるのか?
かねてから、悶々としていたところ、、
6/3の第287回個人情報保護委員会 の有識者ヒアリングで、曽我部先生が形式的・実体的ルールか?という視点で資料を公開しておられました。
その資料を見ながら、
ひとりブレストしてみたいと思います。
有識者ヒアリング資料曽我部真裕 京都大学大学院法学研究科教授)の資料より
曽我部先生の「個人情報保護法見直しに関するコメント」では、
・個人の権利利益のより実質的な保護の在り方
・実効性のある監視・監督の在り方
といった個人情報保護委員会の論点分類に沿った意見の前に、
「形式的ルールか実体的ルールか--比例原則の導入問題」として、個人情報保護法の質的在り方を論じているのが特徴的です。
1. 形式的ルールか実体的ルールか--比例原則の導入問題
4スライドに沿って見ていきましょう。
まず、a)個人情報保護法は、基本的には形式的なルール、
対してGDPRは比例原則を強調し、実体的ルールであると、
両者を、形式的ルール⇄実体的ルールという用語で対比しています。
正直なところ、これまで、私自身は、形式的ルール、実体的ルールという分類に馴染みがなかったため、他の先生などの見解も伺ったところ、意味合いとしては、以下のように言い換えられる印象です。
●形式的:手続き的(決められた手続きを行いさえすれば、法の目的等を踏まえた総合考慮などはあまり求められない)
●実体的:実効的(やり方そのものよりも、事案ごとに法の趣旨を踏まえた評価に基いて、行動することに重きを置く)
資料の前段の、利用目的の規範は、個人情報取得時の基本ルールですが、
利用目的の具体性(書き方)の言及はありますが、曽我部先生のおっしゃる通り、その取得の場面において、正当性や関連性などは求められていません。
3-1-1 利用目的の特定(法第17条第1項関係)
法第17条(第1項)個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
個人情報取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならないが、利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい(※1)(※2)。
なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない(3-6-1(第三者提供の制限の原則)参照)。
それに対し、GDPRは、比例原則を強調し、実体的ルールであるとしています。
引用されているGDPR前文4項は、以下の通りで、比例性原則に従うこと、個人データの取扱いの文脈(社会におけるその機能との関係)において判断されるものであり、EU基本権憲章等に定めのある人間の基本的権利を尊重することが明確です。
(4) 個人データの取扱いは、人間に奉仕するために設計されるべきである。個人データ保護の権利は、絶対的な権利ではない;
すなわち、それは、比例性原則に従い、社会におけるその機能との関係において判断されなければならず、かつ、他の基本的な権利とバランスのとれたものでなければならない。本規則は、全ての基本的な権利を尊重し、そして、憲章によって認められ、諸条約に掲げられている自由及び基本原則、特に、私的な家庭生活、住居及び通信の尊重、個人データの保護、思想、信条及び信教の自由、表現及び情報伝達の自由、 事業活動を営む自由、実効的な救済及び公正な裁判を受ける権利、並びに、文化上、宗教上及び言語上の多様性を尊重する。
”日本では不法行為プライバシー法が実体的ルールの役割を果たしている。”という部分は、実際、プライバシーの視点で争いになった場合は、民法等の不法行為法の観点で総合判断され、不法行為が成立したとしても個人情報保護法違反となるとは限らないことを示していると思われます。
この点は、2023/3に公表された『犯罪予防や安全確保のための 顔識別機能付きカメラシステムの利用について』報告書にも言及があります
2 不法行為の成否と個人情報保護法の関係
顔識別機能付きカメラシステムを利用した撮影行為について不法行為が成立する場合、当該撮影行為は個人情報保護法上どのように評価されるべきか。
不法行為法と個人情報保護法はその目的や性格に異なる部分があることから、不法行為が成立する場合、同時に個人情報保護法違反となる場合もあり得るが、不法行為が成立したからといって必ずしも個人情報保護法違反となるわけではない。
個人情報保護法は、本人の利益のみならず社会全体の利益の増進のためにパー ソナルデータの利活用を益々促進することが望まれる一方、プライバシー保護の観点か らは、これまでと同様、適切な取扱いが求められている 27として、平成 27 年に改正され、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特 に配慮を要する個人情報である要配慮個人情報に関する規律が設けられ(法第2 条第3項、法第 20 条第2項等)、また個人による開示等の求めが裁判所に訴えを 提起することができる請求権であることが条文上明確にされた(法第 33 条第1項、 法第 34 条第1項、法第 35 条第1項、同条第3項)。
さらに、令和2年改正法 においては不適正利用禁止規定が新設され、違法又は不当な行為を助長し、又は 誘発する恐れがある方法により個人情報を利用することが禁じられることとなった(法 第 19 条)。このように、個人情報保護法は、個人情報の性質や取扱方法を考慮す る等、個人の権利利益に配慮している。
そこで、1で紹介した裁判例の動向を踏まえると、不法行為の成否を評価するに当 たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第 19 条) や適正取得規定(法第 20 条第1項)の解釈などにおいて、考慮すべきであると考えられる。
したがって、顔識別機能付きカメラシステムを利用するに当たっては、個人情報保護法を遵守するのみならず、肖像権やプライバシー保護の観点からも留意する必要があるし、そのような観点を個人情報保護法の適用においても考慮すべきであると考えられることに留意する必要がある。
次に、b)ただし、個情法にも部分的には実体的ルールの側面はあるとして、形式的100−実体的0ではなく、実質判断、比較衡量の要素がある条文をあげられています。
また、それは、フラットな比較衡量ではないとしています。
そして、c)形式的ルールは明確性、予測可能性において優れるが、利益衡量が条文に固 定化・定式化されるので硬直的になり、過剰保護・過少保護が生じる。として、形式的ルールのメリットデメリットを論じられています。
その上で、経済団体が求める事項のパラドックス的な難しさを論じています。
・きめ細かさ→情報類型の増加→複雑さ
柔軟な判断を認めるなら、実体的ルールが適切
・ルールの明確化→形式的ルールが向く
そして、d)とはいえ、事業者は不法行為プライバシーとの関係で実体的判断をしなければな らない。として、前述の『犯罪予防や安全確保のための 顔識別機能付きカメラシステムの利用について』報告書をあげ、実務上、企業は個人情報保護法だけの対応を行えば万全な訳ではなく、法に書いていなくても、プライバシーとの関係でプラスアルファの実体的判断を求められる現状があるとしています。
この指摘は、おっしゃる通りで、
こちらの記事にも書いたように個人情報+アルファの対応、すなわちプライバシーガバナンスが企業(特に大企業)には求められているのですよね。(なぜかプライバシーガバナンスは経産省/総務省で、個人情報保護委員会の主管ではないのももやもやです…)
その上で、
例えば、第三者提供規律をよりフラットな比例原則に服させることも考えられないか。として、(事業者等からも多く意見が出ている)同意によらず、(実体的な評価を前提に)正当利益、契約等による提供の規範も検討すべきでは?とのお考えを述べられています。
加えて、同意の形式が、他国等に比べゆるいことにふれ、形式的に同意をとっていれば(実質が伴っていなくても)OKであることにも言及されています。
2. 個人の権利利益のより実質的な保護のあり方 (一部)
続いて、個別の論点、a)こども については、
仮に要配慮情報と位置づけた場合、現在の規範では、
形式的ルールとして同意が必要となるため、あまりに硬直的で不適当とした上で、
現時点でも、個情法の中で(実体的ルール色の強い)不適正利用禁止の枠内で、ガイドライン等に記載、事業者のフラットな比例原則(総合衡量)とするという案を示唆されています。
一方、利用目的の明示については、誰に示すかの明確化の必要性にふれています。
これは一見、形式的ルールに見えますが、こどもの権利を保護するという本質はどこにあるのか? すなわち、こどもの判断能力も踏まえて、誰に判断してもらうことが最適なのか?という根っこの実体的な議論が必要と主張されているようにも思えます。
考察
以上、曽我部先生の資料から、個人情報保護法を、形式的ルール⇄実体的ルールという側面を読み解いてきました。
個人としては、曽我部先生の意見に同感で、より実体的な側面〜個人の権益を保護するという理念をより明確にした上で、事業者の裁量(総合衡量)で判断することが、本来望ましいように思います。
一方、そうした総合判断を前提とする場合、GDPRでいうところのDPIA(データ保護影響評価)やバランシングテスト(正当利益の評価)など、事業者が、考えて、決めることが必要となります。
個人情報・プライバシー分野を専門とするスタッフが潤沢にいない会社においては、考えて決めることはむしろ負担で、形式的にやらなければいけないことを教えてよ、そっちの方が考えなくてよいし楽だよ、と思う企業もあるかもしれないとも思います。
日本のほぼ全ての企業に適用される個人情報保護法。
置かれた状況が異なることもふまえ、どの企業にとっても100%満足というルールを考えるのは難しいことなのかもしれません。
●あらゆる企業サイズ(体力)への適合性
●変化や複雑性への柔軟性(理念の浸透)
●必要な行動の具体性
一見、パラドックスに見える事項を、どうバランスさせることがみんなにとってHappyになるのでしょう?
個人的には、最近、以下の5点が必要なのではないかな?と考えています。
・理念(法目的)を明確化する(こども憲法的にわかりやすく)
・形式的ルールは最低限にする
・実体的な判断でOKとする規範を増やす
・全ての事業者が必要な開示、教育等は、ツールを公開する
(参考:英国の中小企業向けプラポリ作成ツール、シンガポールのDPO教育ゲーム等)
・個人情報を悪用する者には、罰則を明確に執行する
みなさんはどう思われますか??
では、また!
c.f. ChatGPTによる形式的ルールと実体的ルールの説明
形式的ルール(Formal Rules)と実体的ルール(Substantive Rules)は、法体系や規制の枠組みの中で異なる役割を果たします。以下に、それぞれの概念とその違いについて説明します。
形式的ルール(Formal Rules)
定義
形式的ルールとは、法律や規制の適用方法や手続きを定めたルールのことです。これらのルールは、法の適用が公平かつ一貫して行われるようにするための枠組みを提供します。
特徴
- 手続きの規定: 法的手続きや手順を具体的に定める。例としては、訴訟手続き、証拠の提出方法、判決の執行手続きなどが含まれる。
- 一貫性の確保: 法の適用が一貫して行われることを保証する。
- 公平性の確保: 全ての関係者が同じ手続きに従うことで、公平性を保つ。
例
- 民事訴訟法
- 刑事訴訟法
- 行政手続法
実体的ルール(Substantive Rules)
定義
実体的ルールとは、社会の中での行為や権利、義務を規定するルールのことです。これらのルールは、個人や団体の行動や関係を直接規制します。
特徴
- 権利と義務の規定: 個人や団体が持つ権利や負う義務を具体的に定める。例としては、契約法、刑法、労働法などが含まれる。
- 具体的な行為の規制: 適法な行為と違法な行為を明確に区別する。
- 社会秩序の維持: 社会全体の秩序と安全を保つためのルールを提供する。
例
- 刑法(犯罪行為とその罰則を規定)
- 民法(契約、財産、家族関係などを規定)
- 労働基準法(労働条件を規定)
形式的ルールと実体的ルールの違い
結論
形式的ルールと実体的ルールは、法体系の中で互いに補完し合いながら機能しています。形式的ルールは法の適用が公平かつ一貫して行われることを保証し、実体的ルールは具体的な行為や権利、義務を規定して社会秩序を維持します。これらのルールのバランスと適用は、法の健全な運用にとって不可欠です。