裏逐に書かれていた理念はどこへ消えた
それでですね、最近私が何をしているかっていうと、実は、10年前の立法時に、どういう経緯で現行法が作られたかっていうのを調べていまして。用意しておいたのがこちら。
鈴木 裏逐条解説。略して「裏逐」ですね。
高木 これは当時の内閣官房の個人情報保護担当室が、法案の段階で作成した内部向けの逐条解説です。情報公開請求で二関辰郎弁護士が取得されたものを、私も頂きまして、隅々まで読んだのですが、「適正な取得」の17条のところに、大変興味深いことが書いてありまして。
山本 ほお。
高木 ここですね。「特に、他人に知られることを望まないような類の個人情報が、本人が全く認識し得ない状態で取得されたり」…「明確にこれを禁止するものである」と書いてある。…アレレ?っていう。
山本 ぜんぜん、また…
高木 ですよねえ?
鈴木 私は、けっこうこれ言ってたんですよ。
高木 そうなんですか?
鈴木 だって、2千万人分なんて個人が適法に取得できるわけがないこと明かなものを持ち込んでいるのに漫然と買い受けるってね。それ自体、適正な取得じゃないだろうと。預金者情報とかもね。まっとうに出てくるしろものじゃないだろうと。
山本 ですねえ。
鈴木 そういったものはデータの量からみても、内容や性質からみても、明らかに違法な手段で入手したものだとわかりきっているはず。情報自体が、預金者情報なんて、そもそも外に出るわけがないじゃないですか。
高木 いや、そこではなくて。出所が不正の話ではなくて。「出るわけがない」ものを取得したらそれも不正な取得だろうという話をされているのでしょうが、今言いたいのは、取得手段の不正の話とは別に、「他人に知られることを望まないような」情報を「本人が全く認識し得ない状態で取得」すること自体を、「個人の権利利益を著しく侵害すると考えられる」って言っているという部分。
鈴木 なるほど。
高木 だから、特定のグッズの購入者とか。
山本 まあ、ヅラとかですよね。
鈴木 そう、ヅラとか、ヅラとかですね。
高木 そういった情報もあるので、そういった類の情報は本人が認識し得ない状態で取得すること自体を禁止するって書いてあるんですよ。
鈴木 当初はね。
高木 ええ。ところが…
鈴木 今度は表逐条解説ですね。『個人情報保護法の解説』(ぎょうせい)。2005年の改訂版です。
高木 ええ。これが、さきほどの裏逐をベースに法案を作った方々が書かれた本で…
鈴木 法案を起草された第2世代ではないかなと。法案作った江崎さんらは人事異動してしまいましたから。現行法はなんと成立までに2年以上もかかりましたので。
高木 この「改訂版」には江崎さんが入っていますが…
鈴木 そうですか。その後も協力してもらったんですかね。中心となった起草者ですからね。
高木 それで、これを見ると、さっきのことがですね、全然書いてないんですよ、そんなこと。
山本 本当だ。
高木 これですが。
山本 書かれてないですね(笑)
鈴木 まったく書かれてないですね(笑)
高木 「適正な手段により取得されることが重要」としか書いてなくて、条文繰り返し読んだだけじゃん、みたいになってて、さっきの部分がさっくり削られているんですよ。
裏逐
【趣旨】
本条は、個人情報取扱事業者に対して、個人情報の適正な取得を義務付けることにより、個人の権利利益の侵害を防止しようとするものである。
【解説】
個人の権利利益侵害を防止するとの観点からは、個人情報が適正に取得されることは不可欠である。特に、他人に知られることを望まないような類の個人情報が、本人が全く認識し得ない状態で取得されたり、違法な手段によって個人情報が取得され、事業の用に供されることは、個人の権利利益を著しく侵害すると考えられるため、明確にこれを禁止するものである。
表逐
【趣旨】
本条は、個人情報取扱事業者が個人情報を取得するに当たっては、適正な手段で行なうべきことを定めるものである。
【解説】
本条は、個人情報の取得手段の適正性を規律するものである。個人情報の適正な取扱いに対する本人の信頼を確保し、個人情報の不適切な取扱いによる本人の権利利益侵害を未然に防止するとの観点から、個人情報の取扱いが始まる最初の段階から、それが適正な手段により取得されることが極めて重要である。
鈴木 裏逐は各方面への説明のときの資料ですよね。議員さんに質問されたときなんかも、後ろからヒュっと出さないとだめじゃないですか、説明。それがぶれないように、きっちり固めるために内部資料で作っているんですね。
高木 うん。
鈴木 まあ、これを最初から見ていると本が書きやすいっていうね(笑)
山本 なるほど!ちょっと、いい話ですね(笑)
鈴木 そうそう…アンチョコみたいなものでして。「お前、よく知ってるな!」って。これを見ていたせいかもしれない(笑)。いや説明を聞いていたのか。で、これがね、いつのまにか私の頭の中にインプットされていたんでしょうね。
山本 なるほどね(笑)
鈴木 でもふつうの弁護士さんは条文から解釈しますから。私は作っている人から直接聞いているので、予断に満ち溢れていたわけですよね。だから、削られた部分を平気で言っていたと。条文に書かれていない行間が脳みそに入っていたと(笑)。手続き面を定めた条文なのに、なぜか実質に渡る部分に踏み込んで解説していたと。
高木 うん。
山本 そういうことですよね。
鈴木 で、表本を書く人は、「おやっ?」と思ったんでしょうね。これはちょっと言い過ぎているかもと。
高木 うん(笑)
鈴木 これは間違えるといやだから消しちゃおうって安全策でいったのがこれ、表逐条のほうなんでしょう。
高木 これ、趣旨のところもですね、変わっているんですよ。裏逐ではですね、「個人の権利利益の侵害を防止しようとするものである」って書いてあるんですよ。
鈴木 うん。
高木 それが、それすらなくなっている!「適正な手段で行なうべきことを定めるもの」って、条文繰り返しただけになってる。
鈴木 …これはねえ、ちょっとねえ、あの、全般にそうかもしれませんが、起草者の思いより後退してヘタレが過ぎるというかですねえ。結局ガイドしていないですよね。今振り返ってみると、1条に目的があって「権利利益の保護」って書いてあって、3条には「個人の尊重の理念」って書いてあるじゃないですか。すごい立派なことが書かれてあるのに、個別義務規定の解釈には、ほとんどその理念に及んでいないっていうか…、もう少し踏み込んで解説しても良かったんじゃないかとも思いますね。
山本 しょっぱい感じですね…
鈴木 そうそうそう。だから、裏逐のほうでは趣旨がよかったんですけど、表になったら安全策が過ぎてですね、形式論になっちゃったんでしょうかね。その結果、本当にこう、カッサカサに乾いた法律というか法解釈論になっていくわけですよ。
山本 ただその、もし、さっきの黄色の部分が、実態論も含めて重視すべきとなったときに、ウェブ会社に限らず取得している情報って山ほどあるんですよと。たとえば、家電メーカーさんに委託された量販店が、壊れたエアコンを直すときになぜか家の間取りまで情報を持ってきてますよ、とか。それというのは、当然知られたくない情報のひとつに入る可能性がありますね。
鈴木 うん。なかなかね…。
山本 一人暮らしのお宅はともかく、日中妻子を置いて留守にするような家であれば、知られたくない情報の最たるものじゃないですか。だから、別にビジネスに限らずですよ、いろんな会社がいろんなものを取っていますよと。それは実態だと思いますが、実は利用者にとってそれって知られたくない情報を類推できるものであるといった瞬間に、けっこうな反動があるんじゃないでしょうか。
鈴木 萎縮しちゃうってことですよね。
山本 ええ。
高木 EUでは取得も本人同意が原則ですよね。
鈴木 そうです。
高木 日本の17条は、オプトアウトすらさせないんですよ。
山本 ないですね。
高木 「私のは取得しないでください」っていうオプトアウト。まあ、これは前回も話しましたっけ?顔の識別なんかの場合は、識別のオプトアウト。
山本 ええ。
高木 アメリカの自主ルールで行なわれている、行動ターゲティング広告でのオプトアウトなんかも、履歴を取得するトラッキングのオプトアウトですから、取得のオプトアウトなんですが、これが日本法にはないわけですよ。これでEUの十分性に適合するの?っていう。ただ、OECDガイドラインには適合しているのだそうで、そういう説明が本のこの下のところには書いてあります。
鈴木 まあ、今の話を解説するとですね。個人情報の取扱いにはざっくり5つのフェーズというか局面があります。第一に取得の局面。個人情報を取ってくるっていう。第二に利用の局面、第三に提供の局面、第四に開示等、苦情処理の局面、第五に利用停止、消去の局面です。で、現行法って「取得の制限」が極めて緩いんですよね。現行法は17条ひとつだけ。「嘘ついたりだましたりしないでね」っていう最低限のことしか書いていないんです。オプトアウト手続は、23条2項の第三者提供の時だけ。販売したり誰かにあげるってときにだけあるんですけれども、今、高木さんがおっしゃったのは、取得の段階から、もう少し本人関与を強化すべきではないかということです。具体的には、取得に際しての本人同意原則を定め、例外としてここでもオプトアウトを認めたらどうかということでしょう。この17条だって強化すれば、闇名簿屋対策に使えるようになるでしょうし、あと今日はあんまりやらないけれども、NICTがJR西日本に顔認証のデータ渡すことを発表した炎上案件がありました。それから、京都大学が勝手に研究のためとはいえカメラで撮影していた件が炎上していました。顔認証システムが入ってきたら、これはもう勝手に撮られてIDが生成されたりするかもしれない。こうした問題も「取得の制限」を工夫すれば、対応できるのですよね。
山本 基本的にそうですね。
鈴木 だから、「取得の制限」って今日、非常に重要で、改正の論点として浮上してきました。名簿屋と顔認証が典型ですけど、我々はあずかり知らないところで、自ら防御することすらできずに、いつのまにか個人情報をとられている。それでいいのかという問題が突きつけられているときに、だましたり、脅したりしなければいいという現行17条程度の規制しかないわけです。これをそのまま改正せずに維持していて大丈夫かと。
高木 それで、もう一つ用意しているのがこちら。先ほどは取得段階の話でしたが、こちらは提供の段階のオプトアウトです。
高木 最近こういう記述があるのを私、見つけまして。なんだと。最初からそうなっていたじゃないかと思ったんですね。
鈴木 これは表逐条ですね。
高木 ええ。何の話を今しているかというと、先ほどは犯罪の対策とかダイレクトメールの対策でしたが、氏名が入ってるとかの問題じゃなくて、どういう履歴がくっついているかが問題なんだっていう話をしていますよね。
鈴木 はい。
高木 それで、私の意見はこうです。氏名、性別、生年月日、住所のいわゆる「4情報」については、これまで通りの規律でいいだろうと思うんです。先ほど鈴木先生が「どこにもダイレクトメール出せなくなってしまう」と、それも事業者が干上がってしまうという話をされていましたので、4情報は今まで通りとすると。それに対して、4情報だけでなくて、特定の属性情報が付いているものについては、やっぱり、オプトアウト方式で提供してよいっていう規律は、おかしいと思うんですよ。そう考えていたところ、逐条解説にこのように書いてある。書いてありました。最初っから。
鈴木 ちょっと読んでいただけますか。
高木 オプトアウトの規定。23条2項のところですけれども、
「取り扱われる個人情報の性質や利用目的等から、本人に重大な権利利益の侵害をもたらすおそれのある分野、業種等については、第三者提供に際して事前の本人同意を求める本条第1項に立ち戻るなどの特別の施策や運用が図られることが望ましい。」
高木 この規定を作った趣旨についてこう書かれています。「本来であればすべての本人の同意を得た上で提供」するのが望ましいけど、まあ、現実的に困難なのでー、と。それで「必要最小限度の手続きを取ることを条件に」特則として認めているのだと書かれている。そしてその下。ここに「ただし、」って本当は入れてもいいと思うんですけど、読みますと「取り扱われる個人情報の性質や利用目的等から、本人に重大な権利利益の侵害をもたらすおそれのある分野、業種等については、本条第1項に立ち戻るなどの特別の施策や運用が図られることが望ましい」と、書いてある!
山本 けっこうちゃんと書いてある!
高木 「アダルトグッズの購入者名簿」とか、「本人に重大な権利利益の侵害をもたらす」もの…
山本 ヅラとかですね。
鈴木 ヅラとかですね。
山本 そこ重要ですよね。
高木 …については、2項を適用しちゃいかんと、書いてある。
鈴木 でもね、書いてあるんだけど、これ勝手に解説で書いてあるだけで、条文見ると…。よく、世間でも23条1項の本人同意が原則で、23条2項のオプトアウト手続きは例外だと、よく口では言っているんですが、条文相互間の構造を見ると、事業者の選択制になっているんですよ。
山本 ああー、なるほどねえ。
鈴木 23条1項と2項の関係は、条文ヅラからは、「原則・例外」とか「2項が特則」ってわかんないですよ。一方、「取得に際しての利用目的の通知等」について定める18条1項と2項の関係は、第2項に「前項の規定にかかわらず」直接書面取得の場合は・・・ってちゃんと書いてあるので、「原則・例外」の関係がわかるし適用場面が異なるとわかる。でも23条の作りは、そうはなっていない。起草者の心はわかったと。ただ、条文としては…
山本 そうは言ってないだろう、と。
鈴木 23条1項と2項は、事業者の選択になっているんですよね。
高木 1項に立ち戻るべきというのは、パーソナルデータ検討会の事務局にヒアリングに呼ばれて話をしたときも、私、最初からずっと言っていたんですよ。表逐にも書かれているとはその後で気づいたのですが、趣旨として同じことを言っていたわけです。2項のオプトアウト方式を適用しない場合の線引きを情報の内容で区分しようと。すると、「でも、どうやって線引きするんですか?」って言われたんです。
鈴木 うん。
山本 うん。
高木 そこは、例えば、いわゆる「4情報」のみか否かでいいと思うんですよ。それで、実は現行法でもそういう線引きって既にありまして。
高木 これは、五千人を超えない事業者は適用除外とする件について書かれた部分ですが
鈴木 零細企業は適用から除外するっていう…
高木 その五千人をカウントする方法について、施行令に書いてあるんですよね?
鈴木 はい。
個人情報の保護に関する法律施行令
(個人情報取扱事業者から除外される者)
第二条 法第二条第三項第五号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去六月以内のいずれの日においても五千を超えない者とする。
一 個人情報として次に掲げるもののみが含まれるもの
イ 氏名
ロ 住所又は居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)
ハ 電話番号
二 不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができるもの又はできたもの
高木 「次に掲げるもののみが含まれるもの」はカウントしないと。「のみ」というのは、氏名、住所又は居所、電話番号と書いてあります。こういった基準でいいと思うんですよ。「4情報」とは違って、性別や生年月日は入れないの?とか、電話番号は入れるの?という細かい違いはありますが。
鈴木 これはどこから出た基準かっていうと、国会の議員さんから質問などありまして、「お前、五千ったって、店が電話帳を持ってりゃ、一気に五千を超えるじゃないか」と、それに「営業車にカーナビつけただけで、もうそれだけで五千超えるから」と。これをカウントすることになれば、結局意味がない、空文化するって怒られて、さっきの氏名、住所・居所、電話番号のみを含むっていう表現を作ったんですよね…。
山本 あーなるほど。
鈴木 この記述はね、電話帳を想定したものなんですよ。逆に言えば、この手の情報は電話帳くらい流通しちゃってる情報だから、今さら取り締まったって…っていうニュアンスを若干含むところもあるかもしれない。ただこれは、個人情報取扱事業者に該当するかしないかの判断のフェーズだけの話しです。そこでの五千人をカウントする部分の話しなので、個人情報の定義とか保護の対象をどうするかとはまた別なんです。
山本 別なんですね。
高木 そこもおかしいですよね。ずっと法律読んでて「なんじゃこりゃ?」って思ってたのは、五千人にカウントするかどうかについてはこの基準を使うけれども、ひとたび、その事業者がなんらかの事業で別の個人データをたくさん持っていて、個人情報取扱事業者に該当してしまったらば、この種のカウントしないはずの個人データも合わせて保護しないといけないわけですよね。
鈴木 そういうことです。