見出し画像

夏井先生との15年前の対談「個人情報保護法(平成15年法)の意義と限界」


 本稿(ビジネス法務2003年9月号収載)は、「個人情報の保護に関する法律」(平成15年法)が2003(平成15)年5月に成立した直後の6月に明治大学の研究室にお伺いして夏井高人先生と対談させていただいたときのものです。

 2015(平成27)年に「個人情報の保護に関する法律」の大改正があった今日(追記:そして2020(令和2)年改正があり、来年は公民一元化に向けた改正があるなど大きな変動期にある今)、民間部門を対象としたはじめての立法をどう受け止めたのか平成15年法成立当時のことを振り返ってみるのも意義あることかもしれずと、ここに再掲してみました。

 第三者機関創設の必要性、自己情報コントロール権説への批判、そして「デジタル化されずに放っておいてもらう権利」の提唱など夏井先生の見解を、個人情報保護委員会が創設された今日、プロファイリング等自動処理規制や忘れてもらう権利などのGDPR関連の議論や憲法改正のリアリティなど昨今の動向を踏まえてあらためて読んでみるとその発想力というか慧眼に驚かされます。夏井先生の見解を中心に前半部分だけでもさっと目を通していただけると幸いです。

 最後に、(すでに数年前のことになりますが)私のサイトへの掲載をご快諾下さいました中央経済社「ビジネス法務」編集部のみなさまと夏井先生には厚く御礼申し上げます。


-----------------(本文)----------------------

ビジネス法務2003年9月号(中央経済社)22頁〜29頁

この法律はどのような影響を与えるか?
「個人情報保護法の意義と限界」【対談】

夏井 高人 × 鈴木 正朝

目 次
・「個人情報」は誰のものか?(p.22)
・「自己情報コントロール権」と「デジタル化されない権利」(p.23)
・個人情報保護法でプライバシーは守れるか(p.24)
・法目的の捉え方と行政権の拡大(p.24)
・司法救済の限界と可能性(p.25)
・第三者機関の必要性(p.26)
・行政の関与(p.26)
・ブラックリストと個人情報保護(p.27)

---(22頁)---
「個人情報」は誰のものか?

鈴木 本日は,先般成立した「個人情報の保護に関する法律」について,特に民間部門の一般法としての個人情報保護法を念頭において,夏井先生からいろいろお話しをお伺いしたいと思います。よろしくお願い致します。
 まず,はじめに「個人情報は誰のものか」という問題を提起したいと思うのですが,そもそも人間関係は情報の伝達,コミュニケーションで成り立っているわけですし,情報が人間の営みの中で生成されているという意味では,情報はすべて個人情報性を秘めているともいえるのではないかと考えます。そうした情報を「誰のものか」といった発想で捉えること自体が,実は間違っているのではないかという意見もあろうかと思います。私は,個人情報には本人のものであると法的に構成し得るものもあれば,帰属性を論じること自体なじまないものもあると思っています。
 ある意味で個人情報という概念は,それほど茫漠とした広い概念ではないかという感じがします。従って,個人情報は本人のものであるという基本哲学に根ざした アプローチは,現実問題としてはかなり副作用が大きく問題があると思っているのですが,そのあたり,先生はどうお考えになりますか。

夏井 個人情報が本人のものであるとはいえないような場合もあると思いますね。
 一般に個人情報がどのようにして生成されるかというと,本人以外の人によって生成さることもしばしばあります。例えば,「夏井高人は明治大学の教授である」という個人情報があるとしますと,私は生まれたときから明治大学の教授だったのではありません。この個人情報は,私が明治大学に所属したことによって,明治大学において生成されたものです。
---(23頁)---
 でも,この情報の持つ属性としては私の個人情報であることになります。
 実は個人情報の権利主体というものは,非常にあやふやなものです。それが誰のものであるのかを決めること自体,非常に難しいというのが現実です。「個人情報は誰のものか」という問いかけは,問題解決のための手順として用いるのであれば,その有用性に疑問があります。


「自己情報コントロール権」と「デジタル化されない権利」

鈴木 「プライバシーの権利」に関しては従来から「自己情報コントロール権」として捉えるべきであるという説がありますが,これはプライバシーに係る情報は本人に帰属するという考え方によるものですね。

夏井  自己情報コントロール権という考え方は,その情報の権利主体がいることを前提として,ある種の財産権的な捉え方をしない限り成立しません。しかし,現実には特定の個人情報とその情報主体とが一致していないことがしばしばあるので,その意味では,その両者を一致させることを前提とする自己情報コントロール権というスキームは最初から破綻していることになると思います。少なくとも民間部門の一般法としての個人情報保護法においては採ることが難しい考え方ですね。
 私は,以前から「デジタルデータ化されないで放っといてもらう権利」というものを提唱しています。本人に断りなく勝手にデジタル化されることを禁じる場合もあるという考え方なのですが,自己情報コントロール権的な考え方よりも,情報へのアクセスのブロックになり,かつ,情報の帰属主体が本人であるということに囚われずに理論構成できるという点でいいのではないかと思っています。

鈴木 仮に自己情報コントロール権を肯定的に捉えるとしても,それが機能し得る範囲というものは,1995年あたりから急速に狭まってきているのではないかと思います。
 自己情報コントロール権が提唱されたのは汎用機中心のコンピュータ産業の黎明期でした。それがインターネットの普及で情報ネットワーク社会に大きく変容したことで,その時代背景の下で支持された理論も一気に賞味期限が迫ってきてしまったのではないかと思います。
 確かに自己情報コントロール権は,人格権侵害に依存しないという意味で本人救済に資する面も有していますが,情報を管理する名宛人がいてはじめて具体化し本人救済が実現される権利です。インターネットの普及とP to Pのような技術の出現,ユビキタス社会の到来によって,もはや主役の座から1歩引いてもらわなければならなくなった。目に見えないネットの住人達を相手にする,1対nの世界は,誰もがコントロールできないのですから自己情報コントロール権に実効性を期待すること自体とても空疎な感じがします。
 少なくとも民間部門では,自己情報コントロール権の妥当する領域が日増しに縮小しているというべきかな、と思います。自己情報コントロール権を私人間においても適用すべきだという意見もありますが,やはりその適用範囲は,公的部門などの実益のあるところに限定すべきではないでしょうか。
 もし,そういう状況にあるという認識が正しいとしたら,今は自己情報コントロール権に変わる新たな理論が求められているのかもしれません。その意味でも夏井先生が様々な場所で発言されている「デジタル化されずに放っておいてもらう権利」という考え方には,非常に興味をもっておりました。いずれ論文におまとめになるのかもしれませんが,本日はその一端だけでもご紹介頂ければと思います。

夏井 実際にはかなりの部分が自己情報コントロール権と同じになると思うのですけれども,本人の情報を勝手にデジタル化することが許されないという意味では,自己情報コントロール権よりも強化されていると思います。
---(24頁)---
 例えば住基ネットの例で言うと,全部住基ネットに取り込むというような法律は違憲,選択制であれば合憲という感じです。私は極端な主張をするつもりはなくて,今後,勝手にデジタル化するのだけはやめてくれという程度で言っているのですけどね。詳細についてはまた別の機会にしたいと思います(笑)。

鈴木 なにごとも普及するか否かにネーミングの果たす役割は意外と重要で,「自己情報コントロール権」というのは,まさにネーミングにおいても成功した事例の一つではないかと思います。この言葉から各人がいろいろインスパイアされるものがありますから。
 「デジタル化されずに放っておいてもらう権利」も,これは1度聞くと忘れられないかなりのインパクトがあって(笑),もちろん名前がおもしろいというだけではなくて,やはり,ここからいろいろなことが連想され,啓発されるところがあります。
 したがって,先生の思いとは別に,受け取る側が自分なりに,これをヒントにいろいろ構想しはじめるという面があるような気がします。その意味でもこれは非常に可能性を秘めているのではないかと思うのです。自己情報コントロール権が実は意外と多義性を帯びているというか,拡張されて理解されているというか,これと同じことが「デジタル化されない権利」にも起きるのではないかと思うわけです。


個人情報保護法でプライバシーを守れるか

鈴木  自己情報コントロール権は,「プライバシーの権利」という憲法や不法行為法等の民事法における議論であると思いますが,行政法である個人情報保護法制の問題と混同して整理されずに議論されることも多いように感じました。実際,報道でも国会の議論でも頻繁にプライバシーの保護という言葉が無自覚的に使われていたように思います。
 そもそも個人情報保護法は,プライバシーを保護するための法律ということがいえるのでしょうか。

夏井  個人情報保護法はプライバシーを保護するための法律ではないと思います。これはあくまでも個人情報を取扱う事業者を取り締まるための業法であり,行政法に属するいわゆる業法の一つにすぎません。要するに,立法者が情報取扱産業という業界があるとみなして,そこに行政庁がうまく関与をできるような仕組みをつくったということだろうと思います。
 例えば住基ネットの例で言うと,全部住基ネットに取り込むというような法律は違憲,選択制であれば合憲という感じです。私は極端な主張をするつもりはなくて,今後,勝手にデジタル化するのだけはやめてくれという程度で言っているのですけどね。詳細についてはまた別の機会にしたいと思います(笑)。

鈴木 なにごとも普及するか否かにネーミングの果たす役割は意外と重要で,「自己情報コントロール権」というのは,まさにネーミングにおいても成功した事例の一つではないかと思います。この言葉から各人がいろいろインスパイアされるものがありますから。
 「デジタル化されずに放っておいてもらう権利」も,これは1度聞くと忘れられないかなりのインパクトがあって(笑),もちろん名前がおもしろいというだけではなくて,やはり,ここからいろいろなことが連想され,啓発されるところがあります。
 したがって,先生の思いとは別に,受け取る側が自分なりに,これをヒントにいろいろ構想しはじめるという面があるような気がします。その意味でもこれは非常に可能性を秘めているのではないかと思うのです。自己情報コントロール権が実は意外と多義性を帯びているというか,拡張されて理解されているというか,これと同じことが「デジタル化されない権利」にも起きるのではないかと思うわけです。


法目的の捉え方と行政権の拡大

鈴木  私は,実のところ個人情報保護法の真の法目的がよくわからずにいます。例えばプライバシーの保護のためということを言うと,個人のたった1人の情報が漏れても,行政庁が関与してもいいということになるのですけれども,事業者の大量に保有する個人データの適正な取扱い方について規律することが真の法目的だと いうことになれば,社会的にあまり影響のない問題についてまで行政庁は関与すべきではないということになります。
---(25頁)---
 あらゆる個人情報の取扱いの問題に,行政庁が関与できるとすると,何のための法律か,ターゲットがよくわからなくなるのではないかと思いますが。

夏井 そうですね。プライバシーの保護ということを法目的として考えると,行政権を肥大化させてしまうことにつながる面があります。
 また,もう一つ注意して頂きたい点があります。さきほどこの法律は,業法であるといいましたが,これまで「業」というと,営利事業者を「業」と考えていたわけですよね。けれども,この法律は,社会的に反復継続して行うものを全部「業」として捉えるようですから,刑法の業務上過失致死傷罪で言うような「業」に近い考え方を採用していることになります。
 そうすると,これまで営利事業者でないから関係ないと思っていた人たちも,個人情報取扱事業者として, 法の適用を受けるというようなことが出てくるでしょう。個人情報取扱事業者という法律概念を介して,行政権の及ぶ範囲が広範に拡大しているという点に着目すべきでしょう。

鈴木 「個人情報」概念が非常に広範であること,「個人情報取扱事業者」の概念が従来の「業」と異なり営利事業者に限定されないことは,ある意味法目的の曖昧さと表裏をなすものだと思います。個人情報保護法の解釈においては,こうした行政権の濫用の危険性を抑止する法解釈ないし法理論が求められるのではないかと思っています。


司法救済の限界と可能性

鈴木 プライバシーの侵害があった場合の裁判所による本人救済は,一般に紛争の解決までの時間が長く費用も高いとか,仮に勝訴しても損害賠償額が低額で,差止請求も認めらない場合があるなどその限界が従来から指摘されていました。そういうこともあって,迅速で本人の費用負担が少ない個人情報保護法制へのニーズが高まっていたという面もあったように思います。
 プライバシーに係る個人情報の保護については,裁判所による事業救済だけではなく,プライバシーの権利と隣接する個人情報保護法制を拡充することで,その救済の実効性を担保しようとしたということも言えるのかもしれません。
 プライバシーに係る個人情報の保護について裁判所が果たす役割は今後も限定的なものに止まると考えてよろしいのでしょうか。

夏井 いや,やり方の問題だろうと思います。もし私が立法に関与できるとしたら(笑),ただ一カ条だけ,「他人のプライバシーを侵害した場合の損害賠償額は,個々の侵害行為毎に,少なくとも500万円以上であると推定する」というような損害賠償額推定条項をつくりますね。
 それだけで裁判官は仮差押えや仮処分をすることが非常に容易になります。それによって和解による解決も多くなるのではないでしょうか。判決だけで解決しようと考えるからいろいろ限界がでてくるわけで,一時的な救済手段として,現行の民事保全制度を活用することも検討すべきで,そのための立法政策を考えていくこともできると私は思います。

鈴木 民事保全制度を活用するための損害賠償額推定条項を立法化すれば,行政規制とほぼ同等の迅速な対応ができるということでしょうか。

夏井 迅速性の問題だけではなく,裁判所の方が行政庁よりもずっと公正に紛争解決できるのではないでしょうか。もちろん行政手続法もありますが,行政処分においては当事者主義に基づく審理システムにはなってないので,規制を受ける事業者はどうしても弱い立場になりますね。
 裁判所の場合には,判断者が独立していて,申し立てた人間と申し立てられた人間の対立構造の中から,緊急命令を出すかどうかを決めていくわけですからより公平な判断が可能です。
---(26頁)---
 相手方を呼び出して,事情を聴いた上で判断するということになると思いますが,その時点で解決できてしまう問題はものすごく多いと思いますね。


第三者機関の必要性

鈴木 個人情報保護法の議論の中で,第三者機関をつくるべきだという主張がありましたけれども,それに対して先生はどういうお考えをお持ちですか。

夏井 第三者機関といっても,その内容が問題です。機能しなければ意味がない。だから,本来的には,国家権力の機関として第四の独立した機関をつくるべきだと思います。
 日本の憲法システムは,運用面から見ると二権分立システムに見えますね。議院内閣制をとっている関係で,行政権と立法権は近い関係にあります。非常に長期的な展望にたっての意見なのですが,内閣と国会とは完全に分離して,内閣が法案を提出することを禁止するところまでいかないといけないと思いますね。
 その上で,情報を新しい時代の一つの権力と捉えて,どこからも影響を受けない,裁判所からも影響を受けない独立機関としてつくって受け持たせるべきだろうと思います。理想的にはこれからの憲法は,四権分立システムであるべきですね。国の情報の統制に関する問題は,憲法的視野をもって,より柔軟に制度設計する,そうした中で現実の解を求めていくべきで,当初から近視眼的にアプローチしているようではだめですね。
 行政改革の流れに逆行するからというような理由などで主務大臣が監督するのが現実的なのだという制度設計の仕方は,いろいろな意味で問題があると思います。

鈴木 具体的にはどのような弊害があるでしょうか。

夏井 まず,誰が監督するのかよくわからないし,全く同じ出来事なのに,場合によっては総務省のほうが関与してみたり,全く同じものを別の側面では経済産業省が関与してみたり,文部科学省が関与してみたりというようなことが度々起こるだろうと思いますし,一体誰のどのような監督をするのかがよくわからないような状況がすぐに出てくると思いますよ。
 しかも,監督権限が一元化されてないために,逆にいろいろなところから圧力や誘惑を受けやすいだろうと思います。
 さらに言えば,監督権限があちこちに分散しているために,もし何かまずいことがあっても見えにくくなっているだろうと思います。監督権限をプライバ シー・コミッショナーみたいなところに集中していた方がその仕事のプロセスがはっきりしている分だけ国民からは見えやすいと思いますね。あちこちに分散していると,たぶん問題の発生原因を突き止めるのが大変だと思います。


行政の関与

鈴木 今回の法律は,個人情報をどう取扱うべきか,ということに関して,個人情報に関しては「本人の関与」とありますよね。だから,「個人情報は誰のものか」ということに関しては,はっきりとしたことを言わずに,とりあえず個人に関する情報であれば,本人はある程度何らかの形で関与していいだろうと。
---(27頁)---
  個人情報は多種多様だから,それによって本人の関与の度合いも変わるだろうと。行政もある程度関与して,何とか個人情報の取扱いの適正化を図ろうじゃないかと,こう考えたというのは一つ見識じゃないかと思うのですが。

夏井 誰か直接の当事者以外の人が関与をするというスキーム自体はかまわないと思うのだけど,行政庁ではないほうがいいだろうというのが私の考え方です。
 根本的な枠組みで見た場合に,行政庁がなぜ悪いのかという最大の理由は,行政庁自身が個人情報取扱事業者でしょう。ただ,国の機関だから別の法律によって規律されているけれども。つまり,本当は当事者の一員にすぎないのに,どうして監督権を持つのかということは,どうやったってうまく説明できないですよ。

鈴木 でも,独立行政委員会などのような第三者機関をつくっても,それは同じことが言えるのではないでしょうか。

夏井 独立行政委員会は,日常業務として,判断者としての立場だけでやっていますね。確かに情報は取り扱うけれども,普通の税金とか,住民基本台帳のような意味で網羅的に行政情報として個人情報を取り扱うということは,そもそもあり得ないことでしょう。事件がなければ取り扱わないわけだから。それは根本的な違いだと思います。とはいっても,行政機関の一部であることには違いないので,結局は程度問題に過ぎないですね。理想的には,行政機関とは全く無縁の独立した機関を新設し,そこで審査をさせるべきだろうと思います。


ブラックリストと個人情報保護

鈴木 最後に具体的な論点を一つだけ取り上げたいと思います。企業が困るのは,個人情報の利用目的の明示などの対応ではなくて,実は本人からの開示,変更・利用停止等の求めの対応でしょう。
 まずその対応のルール作りが大変なのですが,そこでの論点というか試金石がいわゆるブラックリストをどう扱うかという問題です。
 これは本当に問題で,世の中には,悪質な顧客が現に存在します。クレーマー,暴力団,カルト宗教,いわゆる電波系と言われる人々,料金を踏み倒す人などその人の情報を持ってないと,大きい組織だと,一方でシャットアウトしても別の方からまた入って来られてしまうということがあって,どうしてもこういったブラックリストは共有化せざるを得ない面が現実問題としてあります。
 個人情報保護法は,「業務の適正な実施に著しい支障を及ぼすおそれがある場合」には開示しなくてもいいというようなざっくりしたことが書いてあるのですが(25条1項2号)。さて,ブラックリストは,その「業務の適正な実施に著しい支障を及ぼすおそれがある場合」に該当するのかどうか。
 一方,本人の立場になれば,まさにブラックリストに載るから,そこのサービスを受けられなかったり,不利益を被ったり,まさにブラックリストこそ開示等の求めの対象としなければ本人救済の実がないということになります。
 そういう意味でブラックリストをどう取扱うかというのは,企業のポリシーを見極める論点になります。この点,先生はどうお考えでしょうか。
---(28頁)---
夏井 ブラックリストの存在自体について合理性を説明できれば,裁判所が救ってくれることもあると思うけれども,原則としては開示せざるを得ないでしょうね。
 日本の伝統的な通説的な考え方から言ったら,ブラックリストは違法なのでしょう。それは,これまでは建前上存在しないものとして扱ってきたから誰も問題にしなかっただけだと思います。

鈴木 原則は,開示せざるを得ない。そうすると,もう企業としての道は2つしかなくて,徹底的に隠す,もしくは徹底的にガラス張りにする。この決断をするほかないということでしょうか。

夏井  どっちにしても企業に対するイメージは下がるでしょうね。それから,隠した場合には違法になるから,行政の規制対象にはなるでしょう。ガチガチのプライバシー原理主義者的な考え方からいけば,例えば,犯罪者情報はプライバシー情報だから,ほかの人が持っていてはいけないということになっています。
 顧客に対するマネジメントあるいはマーケティングの問題として,そういう情報を特別に取り扱うことは,プライバシーだけの関連から言うと,許されないということになります。ただ,これはプライバシー原理主義者の場合です。
 私は最近社会の中で共有すべき悪いやつらの情報というのはやっぱりあるだろうと思っています。ただ,前提として,そういう人がここにいるよという情報は与えるけれども,その人を差別しちゃいけませんね。そのあたりの線引きはきちんとする必要があります。

鈴木 では,情報の共有までは許す。注意しながら,商品・役務の提供はもちろんしますということですね。ただし,違法行為があったら,それはそれで毅然として訴訟を起こせばいいと。

夏井 そうです。はっきりした証拠もないのに,疑いだけで不利に取扱うのは,それは差別だということです。

鈴木 開示等の求めに応じると企業が成り立たないような類の個人情報について,主務大臣が開示せよと命令してきた場合は,個人情報取扱事業者においては主務大臣に対してノーといわなければならないわけですが,そのまま放置していては,罰則の対象となり,犯罪企業のレッテルを貼られることになります。従って,行政事件訴訟により,当該命令を取消してもらうというアクションを起こさざるを得ないということになります。
 でも,実際は行政を相手に訴訟を起こすことはまれです。実はそこまでしなくてもなんとかなるからです。
 まず,こうした発想をとる前提として,ブラックリスト的機能は必要であるという立場にあるということになります。しかし,ブラックリストが存在すれば,当然それに載せるべきか否かの判断を間違えるときがあるので,そうしたヒューマンエラーが介在しないシステムのあり方が求められますし,その一環として本人の開示等の求めに堂々と応じるしくみも必要となるのだろうと思います。
 その方法としては,一つに,開示しても本人を不快にさせない表示をすること,そして企業として一定の要注意情報を共有できるようにすることでしょう。例えば,淡々と数字を記載し,その数字から事実を読み取らせることでブラックリスト機能を果たすことも可能なはずです。少なくともDB上に担当者の自由記載欄を設けて,「変な奴」など相手の人格を傷つけるような記載が可能になってしまうようなお馬鹿な設計をしないとか,個人的にはアイデアはいろいろあるところです。
 また,ブラックリストの開示を求められたら当該本人の「保有個人データ」を削除して,開示しない。
---(29頁)---
 これがどこまで適法かは議論があるところですが。しかし,実際問題として,事業者に罰則付きの保存義務を課すことなく,開示の求めに応じる義務だけを課しても,実効性はそれほど期待できないのではないでしょうか。結果として削除に応じたに等しいわけで,カルテのような情報でもないし,一般法としてはそうした対応でもまあいいだろうという考え方もあるだろうと思います。
 どうしてもブラックリストが必要というなら,最終的には、ばらばらの紙媒体として運用するほかありません。「保有個人データ」ではないので,一応,個人情報保護法上は,開示等の対象とはならないからです。でも,本当にそれでいいのか。プライバシーの権利という観点からも検証が必要だろうとは思います。

夏井 そうですね。でも,個人情報取扱事業者は,開示等の求めに応じないことが何で違法ではないかということを説明しなければいけませんね。
 そうすると,たぶんどういう目的でつくったかということを説明しなければいけなくなります。そのとたんに,かなりのダメージを受けることになるのではないかと思います。そのあたりも考えて対応を決定すべきでしょうね。

鈴木 そうですね。よくわかりました。
 残念ですが予定の時間となりましたので,本日はこれで終わらせて頂きます。本当は具体的な論点を一つ一つお伺いしていきたいところですが,時間の関係で断念せざるを得ません。いずれ先生とは現代ビジネスとサイバー法シリーズの1冊として個人情報保護法の本をいっしょに書かせて頂けるということになっておりますので,残りの質問はその機会に譲りたいと思います。

 本日は遅くまでどうもありがとうございました。

いいなと思ったら応援しよう!