高木浩光＠自宅の日記

デジタル・オムニバス、スコープ、そして関連性──我々は間違った戦いをしているのではないか

その後、デジタル・オムニバス提案が公表され、noybはこれを批判する長大なレポートを公開した。公の議論は、おなじみの対立構図として描かれている。一方には、個人データの定義を狭め、AIや研究のための新たな例外を設けることでGDPRを「骨抜きにしている」と非難される欧州委員会。他方には、「個人データ」の最大限のスコープと、データ最小化の強いバージョンを擁護する市民社会のアクターたち。

本稿で私が主張したいのは、これが間違った対立軸だということである。両陣営とも、法の射程をどこまで広げるべきかをめぐって争っているが、法が本来何をコントロールするために設計されたのかという点はほとんど無視されている。オムニバスをめぐる議論は、定義をめぐる戦争として扱われているが、本来はデータ保護の原点──個人に関する決定の公正さ、そして無関係なデータに基づく決定の防止──を取り戻す機会として扱われるべきなのだ。

この主張を展開するために、まずオムニバス批判を支配している「最大スコープ」パラダイムについて述べる。次に研究とAIに関する規定に目を向け、なぜ欧州委員会もnoybもリスクの所在を見誤っているのかを説明する。最後に、スコープについての別の見方──「個人データの処理」を指令時代の機能に即して読み直すアプローチ──を提案したい。

1. 「最大スコープ」パラダイムとその限界

1.1 オムニバス論争における4条1項の位置づけ

デジタル・オムニバス提案に対する現在の批判の中心的な標的は、GDPR 4条1項、すなわち「個人データ」の定義の改正案である。noybの読み方によれば、新しい条文は識別可能性に強く管理者相対的な要素を導入するものだという。すなわち、ある情報がpersonal dataであるかどうかは、当該管理者の視点、リソース、あるいは合理的な努力に依存することになる。再識別のための鍵を持たない主体が保有する仮名化データは、たとえ別の主体が同じレコードを識別できるとしても、その主体にとっては定義の外に落ちる可能性がある。

noybにとって、これは単なる起草上の不備ではなく、憲法上の問題である。その論理は概ね次のようなものだ。

• EU基本権憲章は「個人データの保護」を保障している
• EU司法裁判所はpersonal dataとprocessingを繰り返し広く解釈してきた
• したがって、そのスコープを縮小するように見えるいかなる立法的措置も、基本権への直接的な脅威である

この見方によれば、データ保護指令におけるpersonal dataの定義は、EU司法裁判所の画期的判決を通じて解釈されてきたとおり、EU基本権憲章8条によって事実上「憲法化」されている。そして「憲法化」されたものは、その定義の広さとして理解される。「識別された又は識別可能な自然人に関するあらゆる情報」をより寛大に解釈すればするほど、8条の保護はより堅固になるはずだ、と。

この観点からすれば、唯一の安全な戦略は、何らかの事象の連鎖によって個人と結びつきうるほぼすべての情報をpersonal dataとして扱うべきだと主張し、その情報を含むほぼすべての操作をprocessingとして扱うべきだと主張することになる。オムニバス提案は、客観的で包括的であるべき定義に、管理者相対的な「主観性」を持ち込もうとする試みとして描かれる。それは法的安定性を損ない、執行を分断し、底辺への競争を招くものだ、と。

私はこのような考え方を最大スコープ・パラダイムと呼ぶことにする。基本権を保護する主要な方法は、personal dataとprocessingの概念的到達範囲を可能な限り押し広げ、その最大線をいかなる後退からも守ることだという信念である。このパラダイムには様々なアクターが様々な形で位置している──noybのようなNGO、一部の当局、そして学界の一部──しかし彼らが共有しているのは、「個人データの処理として法的に該当する状況が増える」ことがほぼ自動的に「より効果的な保護」を意味するという想定である。

1.2 データ保護の本来の標的：「データそのもの」ではなく「決定」

しかし歴史的に見れば、欧州のデータ保護法制の規範的焦点は「データそのもの」に向けられたことはなかった。それは意思決定システムにおけるデータの利用に向けられていた。信用スコアリング、雇用審査、社会保障の裁定、警察活動、リスク評価などである。初期のデータ保護法、およびその国際的な先行規範は、個人に関する自動化された、あるいはコンピュータ支援による決定が、不透明な方法で、不完全、無関係、あるいは偏った情報に基づいて、強力で中央集権的なファイルにまとめられた形で行われうることへの懸念を動機としていた。

この方向性は、現在の議論ではしばしば見過ごされている二つの特徴に見て取れる。

第一に、processingの概念は、本来、いわば情報パイプラインと結びついていた。データが収集され、保存され、結合され、分析され、決定や行為を支援するために使用される、という一連の体系的な操作のことである。一連の手続的・実体的制約を正当化したのは、このパイプライン──そしてそれにさらされる個人に対してパイプラインが生み出すリスク──であった。定義に「収集」「利用」「開示」「消去」が含まれていたのは、このパイプラインの各段階を捉えるためであり、ある人物の名前への孤立した言及をすべて完全な法的意味でのprocessingに変換するためではなかった。

第二に、よく引用される「十分であり、関連性があり、過度でない」という三要素は、意思決定のためのデータ品質原則として構成されていた。その機能は、個人に影響を及ぼす決定が、決定目的と合理的な関連を持つ情報に基づいて行われ、その目的にとって十分に完全かつ正確であり、無関係な詳細や偏見を含まないことを保証することであった。その趣旨は、データを抽象的に最小化することではなく、決定の情報的基盤を制約して、決定が公正で、恣意的でなく、差別的でないようにすることだった。

この決定志向の視点を念頭に置けば、スコープと保護の関係は違って見える。重要なのは、主として「個人データ」というラベルの下にどれだけ多くの情報が入るかではなく、どの情報パイプラインとどの決定文脈がデータ保護法の射程内に入るかである。一回限りのジャーナリスティックな言及から複雑な自動プロファイリングシステムまで、あらゆるものを無差別にカバーするprocessingの概念は、レトリックとしては拡張的かもしれないが、そもそも特別な法的レジームを必要とした構造的特徴──中央集権化、自動化、反復的使用──をまさに覆い隠してしまうリスクがある。

1.3 保護の二つの層──見取り図

この観点から見ると、最大スコープ・パラダイムは二つの点で問題がある。

それは過剰に広い。「個人データの処理」という概念的・教義的な装置一式を、データ保護法の特徴的なリスクがごくわずかしか存在しない文脈にまで拡張してしまう。個人へのあらゆる孤立した言及、あらゆる何気ない写真、あらゆる一時的なログエントリをGDPR上の「processing」として扱うことは、「…に関するあらゆる情報」という文言の字義通りの解釈として論理的には可能かもしれないが、それは概念を、本来対処すべきリスク・プロファイルをはるかに超えて拡張してしまう。そうすることで、日常生活における広範な遵守不能か、例外と適用除外の増殖を招き、後者は法をより複雑で理解しにくいものにする。

同時に、それは最も保護が切実に必要とされる場面では保護が不十分である。personal dataの概念的外縁を守ることにエネルギーを集中させることで、真に重要な処理操作──大規模プロファイリング、スコアリング、決定支援システム──の内部構造から注意をそらしてしまう。ここで決定的な問いは、ある情報の断片が抽象的に個人と「関連する」と言えるかどうかではなく、処理のパイプライン全体が、個人に関する決定が十分かつ関連性のあるデータに基づいて行われ、有意義な異議申立ての対象となり、一定の種類の推論に対する明確な禁止によって制約されるような形で構造化されているかどうかである。

言い換えれば、「個人データ」概念の際限のない拡張への固執は、より困難な作業──高度な保護を必要とする決定文脈を特定し規制すること──の代替物として機能するリスクがある。それは、データ保護の基本権が実際にどのような種類の処理を標的としているのか、そしてなぜなのかについてあまり語らなくても、4条1項における管理者相対的な識別可能性のようなスコープの縮小と見えるものを非難することを政治的に容易にしてしまう。

この袋小路から抜け出すためには、データ保護法が常に二つの層で同時に機能してきたことを思い出す必要がある。

• 決定層。個人に関する具体的な決定においてデータがどのように使用されるかを規律し、「十分であり、関連性があり、必要なものに限定される」は真正な関連性要件として理解されるべきである。
• 流通層。データが文脈間をどのように移動しうるかを規律する──目的制限、再利用と転送の制限──将来の決定が、その目的と合理的な関連を持たないデータに基づいて行われることを防ぐために。

本稿の残りでは、この二層構造を詳しく解きほぐし、それがオムニバスをめぐる科学研究、AI、およびpersonal dataの定義についての議論をどのように再構成するのに役立つかを示す。

2. 科学研究とAI：決定文脈なきデータ最小化

2.1 オムニバスとnoybが科学研究をどう捉えているか

オムニバス論争の第二の焦点は、4条38項で提案されている「科学研究」の新しい定義と、それに伴う目的制限と情報義務の変更、特に13条5項である。欧州委員会の草案は、科学研究を本質的に「イノベーションをも支援しうるあらゆる研究」と定義し、社会の「知識と福祉」の成長、「当該研究分野における倫理基準」の遵守、および類似の要素を参照する長いリストの基準を付け加えている。

noybのレポートは、このアプローチに対して鋭く、多くの点で正当な批判を展開している。それは次のように指摘する。p>

• 中核用語である「研究」があまりに広く放置されており、「図書館で資料を調べる」「Google検索を使う」から実験室でネズミを観察することまで、ほとんど何でもカバーしうる
• 「イノベーションをも支援しうるあらゆる研究」というフレーズは、スコープを単なる可能性（「しうる」）と副産物（「も」）にまで拡張しており、イノベーションの名の下に行われるほぼすべてのデータ駆動活動が該当しうる
• 研究が「イノベーションを支援しうる」という要件は、経済的・技術的意味でのイノベーションを目指さない学術研究領域を排除するリスクがある
• 「社会の一般的な知識と福祉の成長」や「倫理基準」の遵守への言及は不確定であり、憲章を制限する概念の定義を私的または分野別の倫理規範に事実上外部委託している

この分析に基づき、noybは、提案された定義は、研究適用除外の拡大された枠組みと組み合わさって、「広範かつ不明確に定義された『研究目的』のためのさらなる処理を一律に許容する」ことになり、憲章の必要性と比例性の要件を満たさない可能性が高いと主張する。この読み方によれば、欧州委員会は無定形の「イノベーション」アジェンダの祭壇に7条と8条の権利を犠牲として捧げているように見える。

一見すると、この批判は権利保護的な立場と完全に一致しているように見える。しかしその内部ロジックは、やはり二つのおなじみの前提に依拠している。第一に、データ保護の核心は、7条・8条および52条1項の直接的な発現としてのデータ最小化であるという前提。第二に、過度に広い研究定義がもたらす主要な脅威は、このデータ最小化と目的制限そのものの浸食であるという前提。どの種類の研究が、そしてどの決定文脈が、より厳格な審査の対象とされるべきかという問いは、ほとんど暗黙のままである。

2.2 決定を伴わない研究と決定に供される研究

決定志向の視点──意思決定における十分性と関連性の役割を真剣に受け止める視点──は、この問題を切り分ける別の方法を示唆する。

一方には、識別可能な個人に関する具体的な決定に直接供されない形態の研究がある。古典的な統計的・科学的データ利用、すなわち産出物が集団を記述する集計的パターン、係数、モデルであるような利用は、倫理、分配的正義、認識論的バイアスの重要な問題を提起しうる。しかしデータ保護の観点からは、そのリスク・プロファイルは主として研究の後に何が起こるかによって媒介される。すなわち、得られた知見が運用上の決定システムにどのように、どの程度組み込まれるかである。

他方には、処遇決定に構造的に接続されている形態の研究がある。顧客データベースで開発される信用リスクモデル、過去の応募者で訓練される採用アルゴリズム、保険価格モデル、不正検知ツールなどである。ここでは、「研究」と「運用」の境界は薄い。モデルを開発するために使用されるのと同じ構造化されたデータセットが、個人に関する重大な決定を支援するために使用される、あるいは容易に使用可能である。

この第二の類型において、データ保護にとって重要なのは、抽象的な「研究」が厳密に必要な以上のデータを使用することではなく、結果として生じる決定システムが決定目的と関連しないデータに基づいて運用されうることである。核心的なリスクは恣意的または差別的な処遇である。音楽の趣味が与信限度額に影響を与える、ソーシャルメディア活動が採用に影響する、近隣の代理変数が保険価格において民族性の代わりに使われる。これらはまさに、十分性と関連性の要件が本来防止するはずだった種類の問題である。

この観点からすれば、オムニバス提案の4条38項および13条5項の変更は問題があるが、それは主としてデータ最小化という抽象的な理想を侵害するからではない。それらが問題なのは、以下の理由による。

• 単に統計的知見を生成する研究と、決定パイプラインに構造的に組み込まれた研究との区別を曖昧にしている
• 後に流通層と呼ぶもの──無関係または差別的な決定におけるデータ利用を防ぐために、データが文脈間をどのように移動しうるかを制限するルールの集合──を弱める形で、目的制限と透明性義務を緩和している

noybの批判は、定義の曖昧さと「イノベーション」がさらなる処理の白紙委任として使われるリスクを正しく攻撃している。しかし、問題を主として憲章に適合するデータ最小化の観点から捉えることで、決定的な問いを発する機会を逃している。どの研究生成データセットが決定文脈に流入する可能性が高く、無関係または差別的な意思決定を防ぐためにその再利用はどのように制約されるべきか？ これは、以前のオムニバス論争に関する投稿で私が展開した視点であり、そこで私は欧州委員会もnoybも5条1項(c)のGDPRの明示的な関連性要件を見落としがちだと主張した。

2.3 AIと特別カテゴリー：9条2項(k)および5項の下で混同された二つの活動

同じパターンが、AIと特別カテゴリーのデータを扱う9条2項(k)および5項に関するオムニバス提案において、より鮮明な形で繰り返されている。草案は「AIシステム…またはAIモデルの開発および運用の文脈における処理」のための新たな適用除外を導入し、5項では管理者に対し、訓練、テスト、検証において特別カテゴリーの処理を避けるための「適切な組織的・技術的措置」を講じ、特定された場合はそのようなデータを削除するか、削除に不均衡な努力を要する場合は少なくとも出力への影響や開示を防止することを求めている。提案された前文33は、これを「AIの開発と運用を不均衡に妨げないために」9条1項の禁止からの適用除外として明示的に位置づけている。

noybはこの構造をおなじみの論拠で批判している。AIはまさにデータ保護原則が本来制約するために設計された、不透明で大規模な処理の一種であり、AI開発・運用のための新たな適用除外を設けることは後ろ向きであり、そのようなシステムを念頭に置いて書かれたまさにその保障を骨抜きにする恐れがある、と。また、緩い起草（「の文脈における」「適切な措置」「不均衡な努力」）と、何らかの最小化努力を講じたと主張できる限りAI開発者が特別カテゴリーを保持することを一般的に許可することになるリスクも指摘している。

ここでも、この批判路線は理解できるが、それは「AI開発」が単一の活動であり、関連する憲章上のリスクは処理されるデータの量と機微性によって捕捉できるという前提に立っている。実際の状況はより複雑である。

以前のブログ投稿で私が主張したように、「AI開発」というラベルは現在、根本的に異なる二つの活動をカバーしている。

• 処遇AI、例えば信用スコアリング、採用、保険モデルは、真正な体系的データセット──データ保護法の意味でのプロトタイプ的な「個人データ」である顧客または候補者のデータベース──で訓練される。ここでは、データベース志向の要件が構造的に意味を持つ。訓練セットにおける不必要な特別カテゴリーを最小化し、不適切に含まれている場合は削除し、機微な訓練データを開示や悪用から保護する。

• 生成AIの公開ウェブテキストに対する訓練は、対照的に、すでに公開されている情報の散在する断片を処理して統計的パターンを抽出する。それは体系的な個人レコードを作成しない。結果として生じるモデルは、通常の運用において、特定の人物の機微な特性についてアドレス可能なレコードを含まない。主要なリスクは、識別された個人についての特別カテゴリーの開示ではなく、生成されたコンテンツにおけるバイアスやステレオタイプの増幅にある。

第二の類型について、9条5項の要件は単に的外れである。管理者に対し、異質なウェブページのコーパスから特別カテゴリーを「削除」するよう指示することは、存在しないデータベース的構造を前提としている。正確には何を削除すべきなのか──文、段落、文書全体か？「可能な場合」という修飾語は、首尾一貫した基準を提供することなく実行不可能性を認めている。特別カテゴリーの「開示」を防止するという文言は、開示が管理されたデータベースから特定の個人の機微データを明らかにすることを意味する文脈を前提としており、健康や宗教が抽象的に言及される新しいテキストを生成することではない。

これらの構造的に異なる活動を単一の適用除外の下にまとめることで、オムニバス提案はpersonal dataの定義においてすでに見られた概念的混同を繰り返している。同時に、決定志向の観点からより重要なことに、それは規制上の注意を誤った場所に向けている。

• 散在する公開テキストに対する生成AIの訓練は、個人に関する決定に適した体系的データセットを構築することがないため、規範的にはpersonal dataの処理として扱われるべきではないにもかかわらず、実行不可能なデータベース志向の要件の直接の標的となる。

• 処遇AIの運用──構造化されたデータセットを使用して個人に関する重大な決定を行う場面──は、比較的少ない的を絞った注目しか受けない。88c条はAI運用を正当な利益として認めているが、この文脈で5条1項(c)の関連性要件を執行する仕組みを提供していない。したがって、音楽の好み、ソーシャルメディア活動、宗教的所属といった無関係な特性が、「正当な利益」の旗印の下で決定に織り込まれうることになり、個人の異議申立権のみが制約となる。

要するに、オムニバス提案もその批判の多く（noybを含む）も、AIシステムがどれだけの、どのような種類のデータを処理しうるかに焦点を当て、AI支援決定に使用されるデータが決定目的と関連しているかどうか、そして恣意的または差別的な結果を生む形でのデータの文脈横断的再利用をどのように防ぐかという問いは、ほとんど手つかずのまま残している。これがまさに、5条1項(c)の関連性に基づく解釈が埋めるべきギャップなのである。

2.4 では、研究とAIの例外はどうあるべきか

この時点で明白な問いが浮かぶ。欧州委員会もnoybも問題を間違った形で捉えているなら、研究とAIのより良い扱いは実際にはどのようなものになるのか？ 新しい研究定義と9条2項(k)のAI適用除外──そしてpersonal dataを再定義しようとする試み──の両方に共通する政治的な動因の一つは、現在の「個人データの処理」の解釈の下では、ウェブスケールのAI訓練やその他の大規模分析さえもGDPRの完全なレジームに自動的に吸い込まれてしまうという恐れであることは明らかだろう。

私の答えは、リークされたオムニバス草案に関する以前の投稿と本質的に同じだが、新しい定義とAI提案にまで拡張される。

1. 学習フェーズには既存の統計・研究の枠組みを維持する
   欧州にはすでに、個人に関する決定にそれ自体が供されない大規模分析を扱う首尾一貫した方法がある。それは以下の組み合わせである。

2. GDPR 5条1項(b)における統計・科学目的のための「両立性」ルール

3. 欧州評議会の統計処理に関する古い枠組み。これは、統計結果に基づいて個人に関する決定や措置が取られない限り、個人の権利の制限を認めている。

AI訓練はここに属する。大規模データセットでモデルを訓練することは、実質的に統計処理である。この段階では、定義上、まだ具体的な決定目的がないので、モデルやその入力のレベルで関連性テストを適用することにはあまり意味がない。十分性と関連性の要件は、決定の情報的基盤に対する制約であり、抽象的なモデルの構造に対する制約ではない。保護される核心的利益は、学習アルゴリズムが特定の変数を「見た」というだけで侵害されるのではない。それは、それらの変数が実際に個人に関する決定パイプラインの一部として使用されるときに侵害される。

1. 運用、すなわち意思決定フェーズに明確な線を引く
   訓練されたモデルが与信決定、採用決定、保険価格設定、不正検知などを支援するために使用されるようになれば、我々はもはや「単なる統計」の領域にはいない。処遇AIの領域にいるのであり、そこでは十分性と関連性の要件が効力を発揮しなければならない。決定パイプラインに実際に投入されるすべてのデータカテゴリーは、決定目的と合理的な関連を持たなければならない。

この区別は決定的に重要である。モデルは内部的に、決定時に明示的に使用されれば無関係となる特徴を含む多くの特徴に影響されたパラメータを含んでいるかもしれない。データ保護にとって重要なのは、ある人物について決定する際に実際にどのデータが考慮されるか──運用システムにおいてどの変数が読み取られ、結合され、行動の基礎とされるか──である。したがって、法的アーキテクチャは非常にシンプルであるべきだ。

• 学習・訓練＝統計または研究処理。そのような目的のための既存ルールでカバーされ、産出物が直接に個人について決定するために使用されないことを厳格な条件とする

• 運用＝意思決定。完全なデータ品質審査の対象となり、決定に実際に使用される入力に関して5条1項(c)の「十分であり、関連性があり、過度でない」の真摯な執行を含む

• 特別なAI適用除外は不要であり、広範なものは有害である
  AI訓練を統計処理として、AI運用を通常の（しかし極めて重大な）意思決定として扱うなら、9条2項(k)その他における新たなAI固有の適用除外は必要ない。むしろ、「AI開発・運用のための」一律適用除外は、以前の投稿で私が批判したまさにそのことを招くリスクがある。管理者が「AI」をマジックワードとして援用し、両フェーズを同時に正当化することを可能にし、運用フェーズにおけるシンプルな問い──このAI支援決定に実際に使用するデータは、決定目的と関連しているか？──を問うことがなくなる。

• 特別カテゴリーもAI専用レジームを必要としない
  学習フェーズについて、正しい問いは「ウェブスケールの訓練コーパスから特別カテゴリーのあらゆる痕跡をどのように除去できるか？」ではなく、「統計目的で使用される訓練コーパスが、特別カテゴリー──直接的であれ推論されたものであれ──が決定目的と無関係となる決定システムにカジュアルに転用されないようにするにはどうすればよいか？」である。

運用フェーズについて、関連性が適切に執行されれば、直接明らかにされた機微データと推論された機微データの区別はさほど重要ではなくなる。両方とも、決定目的に照らして「あなたには無関係」である場合には排除される。以前の投稿で私が主張したように、問題は、我々が決定層における関連性についての執行力をまず構築することなく、9条をスリム化しようとしていることである。

言い換えれば、AI固有の例外や研究固有のショートカットを発明する代わりに、AI訓練を本来の場所──既存の統計・研究の枠組み──に戻し、規制上のエネルギーを、関連性要件が決定がなされる時点でついに真剣に受け止められなければならないAI運用に集中させるべきなのである。

3. 決定ガバナンスと流通ガバナンス：「個人データの処理」を読み直す

ここまでの議論は、データ保護が相互に連関する二つの層で機能していることをすでに示唆している。

• 決定ガバナンス。個人に関する決定を行う、または支援するためにデータがどのように使用されるかを法が制約する。
• 流通ガバナンス。将来の無関係または差別的な決定における悪用を防ぐために、データが文脈間をどのように移動しうるかを法が制約する。

この構造をより明確にし、オムニバス提案が各層にどのように影響するかを問うことができる。

3.1 保護の二つの相補的な層

機能的な観点から見ると、EUのデータ保護法は二つの別個だが相互依存的な層で機能している。

第一に、決定の直接的ガバナンスがある。個人データが実際に個人に関する決定を行う、または支援するために使用される場合、データ保護法は、それらの決定の情報的基盤が伝統的なデータ品質基準を満たすことを要求する。データは決定の目的にとって十分であり関連性があり、過度であってはならない。現代の言葉で言えば、使用されるデータ項目と正当な決定目的との間に合理的な関連がなければならない。古典的な「十分であり、関連性があり、過度でない」という定式が属するのはここである。それは決定がどのように行われるかに対する制約であり、データを抽象的に最小化せよという呼びかけではない。

第二に、データ流通の予防的ガバナンスがある。目的制限、再利用と転送の制限、「データサイロ」の構築は、過ぎ去ったデータベース規制時代の不可解な遺物ではない。それらは十分性と関連性の将来の違反を防止するために設計された事前のツールである。経験的な直観はシンプルである。

データがいったん新しい文脈に流入し始めると、それが関連性のない決定に再利用される確率は急激に上昇する。

ある明確に定義された目的のために収集されたデータセットが、構造的制約なしに転用、結合、取引されうるなら、ある主体がそれを、データと合理的な関連のない決定への入力として使用するのは時間の問題である──音楽の趣味に基づく信用スコアリング、ソーシャルメディア活動に基づく保険価格設定、政治的所属に基づく採用決定など。

このように見れば、目的制限は公正さについての装飾的な前文ではない。それは、どのデータが現実的にどの決定システムに供されうるかというデータ流通の将来のグラフを法が形成しようとする中心的な法的メカニズムである。決定層は決定の内容（十分性と関連性）を規律し、流通層はデータがそもそも決定文脈にたどり着きうる経路を規律する。

したがって、「個人データ」の境界を引き直そうとする試みは二つの効果を持つ。

1. 直接的な決定ガバナンスの目的でどの操作がprocessingとしてカウントされるかを変える
2. 予防的な流通ガバナンス層がそもそもどこに適用されるかを決定する。personal dataの外に落ちるデータは、情報義務から免除されるだけではない。たとえ後に決定システムに供されるとしても、目的制限と転送制約からも免除される。

オムニバス提案のpersonal dataの定義に関するリスクは、この第二のレベルで最もよく理解される。

3.2 相対的なpersonal data定義が流通ガバナンスをどのように損なうか

オムニバス提案は、personal dataの地位が特定の管理者の手段に依存しうるという考えを発明したのではない。それは裁判所の相対的アプローチ、特により最近の判例法で表明されたものを法典化している。核心的な考えは、情報がある管理者にとってpersonal dataとしてカウントされるのは、その管理者が当該個人を識別するために「合理的に使用される可能性がある」手段を持っている場合に限られるというものである。再識別のための鍵を持たない主体が保有する仮名化データセットは、たとえ別の主体が同じレコードを識別できるとしても、その主体にとっては定義の外に落ちる可能性がある。

表面上、この措置は現実の問題に対する技術的解決策として提示されている。すなわち、識別可能性を何らかの形で相対化しなければ、誰かが人物と結びつけうるあらゆるデータがすべての者にとってpersonal dataとして扱われるリスクがある、という問題である。しかし二層構造を見れば、異なる像が浮かび上がる。

単純化した仮想事例を考えよう。ある会社が、顧客がジャズ、ロック、クラシックのどれを好むかという音楽の好みに関する情報を、安定した内部識別子に紐づけて収集している。収集時点で、データを仮名化し、純粋に市場調査のためにのみ使用すると宣言する。相対的な定義の下では、会社は次のように主張しうる。

• 識別子から現実世界のアイデンティティへのマッピングを保持していない
• 個人を識別するために合理的に使用される可能性がある手段を現在持っていない
• したがって、このデータセットは自社にとってpersonal dataではない

もしこの立場が認められれば、決定的な帰結が生じる。目的制限がデータセットに一切付着しない。データは構造化された形式で収集・処理されているが、その管理者にとって「非個人」として扱われる限り、データ保護の流通ガバナンス層全体が単純に適用されない。

数年後に早送りしよう。会社は戦略を変更し、信用スコアリング市場に参入する。そのデータセットにおいて、音楽の好みが返済履歴と相関することを発見する。今や会社には、以下の強いインセンティブがある。

• 識別子と個人との紐付けを再確立または取得する
• 既存の音楽の好みデータセットを与信決定への入力として再利用する

その時点で、会社は今は識別手段を持っており、データは今はpersonal dataを構成すると主張するだろう。しかし目的制限は遅すぎる形で援用される。データが当初「非個人」として分類されていたため、その収集と保持を特定の限定された目的のセットに結びつける法的義務も、後の信用スコアリングへの再利用を、新たな法的根拠と当該個人への新たな保証を必要とする目的変更として扱う義務もなかった。

これは奇抜なエッジケースではない。それは「識別手段がないとの主張を通じた目的漂流」という体系的パターンを記述している。

1. 収集時：非個人の地位を主張し（識別手段がない）、それによって目的制限と関連する制約を回避する
2. 中間期：「非個人」としてデータセットを複製、分析、取引する最大限の自由を享受する
3. 収益性の高い決定用途が現れた後のある時点：データを個人として再分類し、重大な決定に使用する。その時点で予防層はすでに失敗している

同じロジックは、孤立した会社だけでなく、主体の連鎖全体にも適用される。上流の主体が、再識別の鍵を持っていないことを根拠に、豊かで個人レベルの構造化されたデータセットを「非個人」として扱えるなら、それらのデータセットは、識別された人物と結びつけ、決定システムに組み込む手段とインセンティブを持つ主体に到達するまで、自由に流通しうる。目的制限はまさにそのような文脈横断的流通を制約するはずだった。相対的な定義は、普及の最も重要な段階においてその射程から外れることを容易にする。

欧州委員会に対し、実施法を通じて仮名化データセットの特定のカテゴリーを「非個人」として指定する権限を与えるオムニバス提案は、このリスクを悪化させるだろう。そのような指定がなされれば、構造化されたデータのクラス全体が、後に決定パイプラインに再統合されるのに完全に適している間も、単なる技術的な排気ガスであるかのように移動しうる。消失するのは、何か周辺的な透明性義務だけではない。流通の各段階において「これらのデータをこの次の文脈に移動させることを正当化する目的は何か？」と問う事前の要件が消失するのである。

決定と流通志向の観点からすれば、オムニバスの再定義の危険は、主としてGDPRを抽象的な意味で「広くなくする」ことではない。それは、構造化され、決定に使用可能なデータセットを、予防的な流通ガバナンス層がその最も重要な仕事をするまさにその段階において、その層から除外することである。

同時に、GDPRはその適用対象範囲条項の形で、すでにゲートを持っていることを思い出す価値がある。2条は、規則を「個人データの処理」に限定している。「GDPRは何にでも適用される」という広く聞かれる不満は、そのようなゲートが存在しないからではなく、processingが次第に「ある人物に関するあらゆる情報のあらゆる取扱い」へと平坦化されてきた──政治的想像力においては、AI訓練のためのウェブクローリングやその他の大規模分析を含めて──からである。オムニバス提案はこの過広認識を額面通りに受け取り、personal dataの定義そのもののレベルでそれを治療しようとしている。最大スコープ・パラダイムは逆方向から反応し、personal dataとprocessingの可能な限り広い解釈を擁護している。両方の動きに共通しているのは、processingの構造的概念を手つかずのまま放置していることである──そしてそれとともに、GDPRの適用対象範囲は体系的でファイル的な処理パイプラインを捉えるためのものであり、個人への散在するあらゆる言及を捉えるためのものではなかったという、本来の考えも放置している。

3.3 決定と流通志向のスコープ・テスト

この背景に照らして、保護の両方の層を真剣に受け止めるなら、スコープの問いを構成する別の方法が示唆される。personal dataとprocessingの概念をどこまで概念的に拡張できるかを問う代わりに、どの状況においてEUのデータ保護法が、最低限、両方の層にわたって完全な力で適用されなければならないかを問うべきである。

決定と流通志向のテストは、予告的に、次のように定式化できよう。

1. 体系的なパイプライン
   processingの本来の意味での体系的な情報パイプラインが存在しなければならない。安定したカテゴリーやフォーマットに従って組織化されたデータに対する、構造化された一連の操作であり、単なる孤立した言及やアドホックなやり取りではない。これが、「データ」を散在する「情報」から区別し、初期のデータ保護法制が規制しようとしたものを捉える閾値である。

2. 決定文脈
   このパイプラインの産出物が、個人の法的・社会的地位に影響を与える決定文脈──信用、雇用、保険、社会給付、サービスへのアクセス、法執行、およびそれに類する領域──で使用される、または合理的に使用される可能性がある。ここで決定層が作動し、5条1項(c)は、処理される各データカテゴリーと表明された決定目的との間に合理的な関連を要求する、真正な関連性要件として解釈・執行されなければならない。

3. 文脈横断的流通リスク
   パイプライン内のデータが、目的制限と転送制限が適用されない限り、それらが関連性を持たない別の決定文脈に現実的に流入しうる。このような文脈横断的な漂流が構造的にあり得る場合──大規模分析、AI開発、プラットフォームエコシステムにおけるように──流通層は、管理者が現時点で識別手段を持っていると主張するかどうかにかかわらず、データが構造化された形式で収集された瞬間から適用されるべきである。

この見方によれば、オムニバスのpersonal data再定義の問題は、最大スコープという抽象的な理想を放棄することではない。問題は、それが管理者がこの三部構成のテストから任意に離脱することを許容する点にある。収集時点で識別手段を持たないと宣言するだけで──たとえ後に重大な決定システムに投入されうるような構造化されたデータセットをまさに構築している最中であっても──テストから外れることができてしまう。そのようなデータセットがpersonal dataという法的カテゴリーの外側で生まれてしまえば、その将来の流通を事前に形成する法の能力は損なわれる。

同じテストは、概念的に、AI関連処理の異なる類型を区別するのにも役立つ。散在する公開テキストコーパスに対する生成AIの訓練は、第一と第三の要件を満たさないかもしれない。それは体系的で個人宛（individual-addressable）のデータセットを作成せず、その産出物は自然に決定文脈に接続されない。対照的に、処遇AI──信用スコアリング、採用アルゴリズム、保険価格モデル──は三つの要件すべてに該当する。構造化されたレコードを操作し、個人に関する決定を直接支援し、そのデータセットには明らかな文脈横断的再利用可能性がある。

3.4 指令の歴史に照らした「個人データの処理」の再解釈

この解釈的提案は、GDPR 4条1項の条文を書き換えることを求めるものではない。既存のprocessing of personal dataおよびpersonal dataという概念を、その指令時代の機能に照らして読み直すことを求めるものである。

歴史的に、processingの構造的理解は、時代遅れの「ファイル」概念の偶然の副産物ではなかった。欧州委員会の1990年提案はなおファイルの言葉で語っていたが、欧州議会が「ファイル」を「個人データの処理」に置き換えることを主張したとき、それは構造的要件を完全に放棄することを意味していなかった。それは、文字通りの中央集権的ファイルなしに同じリスクを再現するオンザフライの決定システムを含め、ファイル的な処理パイプラインを捉えることを意図していた。「ファイル」から「個人データの処理」への移行は、概念を機能的な線に沿って拡張したのであり、「あらゆる情報のあらゆる取扱い」へと溶解させたのではなかった。

一部の判決──特に境界事例において──は、processingを「あらゆる情報のあらゆる取扱い」という一般則に変換することなく、特定の事実関係のために概念を拡張したものとして読むことができる。真の緊張が残る場合、それは、基礎にある概念がなお慎重な教義的明確化を必要としているまさにその時に、オムニバスが最大主義的スコープを憲法化するのは時期尚早であることを示唆している。

4. 結論：スコープをめぐる戦争ではなく、データ保護の本来の目的を取り戻す機会

デジタル・オムニバスをめぐる公開書簡やプレスリリースだけを読めば、おなじみのドラマに見える。一方には、個人データの定義を狭め、AIや研究のための新たな適用除外を設けることでGDPRを「骨抜きにしている」と非難される欧州委員会。他方には、個人データの最大スコープとデータ最小化の強いバージョンを擁護するnoybその他のアクター。

本稿で私が以前の分析を踏まえて主張してきたのは、これが間違った対立軸だということである。両陣営とも、法の射程をどこまで広げるべきかをめぐって争っているが、法が本来何をコントロールするために設計されたのかという点はほとんど無視している。1970年代以降、欧州のデータ保護法は抽象的な「データ」を対象としていたわけではない。それは意思決定システムを対象としていた。構造化されたデータが収集され、組織化され、雇用、信用、保険、社会給付その他の利益と負担を配分するために使用されるパイプラインである。

この観点から見れば、GDPRの核心は「データが多すぎる」ことへの抽象的な恐怖ではなく、一対の関連する問いである。個人に関する決定においてどのデータが正当に考慮されてよいのか、そしてデータが目的と合理的な関連を持たない決定文脈に流入することをどのように防ぐべきか？ これこそが、データ品質原則と目的制限が本来対処するために構築されたものである。

ここで、二つの自然な疑問が浮かぶかもしれない。

第一に、これは結局、名前を変えたデータ最小化ではないのか、という疑問である。結局のところ、GDPR 5条1項(c)は今や文字通り、データは処理目的との関係で「十分であり、関連性があり、必要なものに限定される」べきだと述べており、データ保護指令もすでに「十分であり、関連性があり、過度でない」と述べていた。法は常にデータを最小化することを目指してきたのではないか？

私の答えは、歴史的に見れば、この三要素は決定のためのデータ品質原則として構成されていたのであり、「できるだけ少ないデータを収集せよ」という宙に浮いた命令ではなかった、というものである。「過度でない」──そして後に「必要なものに限定される」と言い換えられたもの──は、所与の決定目的にとっての十分性と関連性をも要求する基準の中に埋め込まれていた。監督当局のガイダンスはしばしば「十分」を「表明された目的を適切に果たすのに足りている」と解説している。しかし「足りている」は時として、より少ないデータではなく、より多くのデータを意味する。恣意的な信用拒否を避けるためのより完全な収入情報、単一のデータポイントの誤解を避けるためのより多くの文脈、粗雑なプロファイリングを防ぐためのより多くのニュアンス。「より少ないデータ」を基本権の観点から常により良いと扱う純粋な最小化の読み方は、この両義性を消し去り、十分性と関連性を一次元的な「量」の指標に押しつぶしてしまう。この観点からすれば、5条1項(c)をデータ最小化原則とリブランドすること自体が問題の一部なのである。それは決定にとっての関連性と十分性という本来の焦点を覆い隠し、より良い保護が実際にはより薄いデータではなくより良いデータを必要とする状況を見落としやすくする。

第二の、密接に関連する疑問は、これは結局、自動化された意思決定に関するGDPR 22条の強化を求めることに帰着するのではないか、というものである。22条をめぐる最近の戦いは、ある意味で、同じ誤った枠組みの症状である。データ品質原則がpersonal dataを考慮に入れるすべての決定の情報的基盤をすでに規律していることを忘れているがゆえに、プロファイリングやAIに関するあらゆる懸念を、22条の「専ら自動化された」決定という狭いカテゴリーに背負わせる傾向がある。そこで一方の陣営は、実際には5条1項(c)の一般的レジームに属する問題を治癒してくれることを期待して、22条をますます広げることを要求する。もう一方の陣営は、22条は十分性と関連性を尊重した適切なプロファイリングさえも烙印を押す行き過ぎだと結論づけ、それを骨抜きにするか廃止することを推進する──この雰囲気はオムニバス論争においても皆無ではない。

両陣営が忘れがちなのは、22条は非常に小さなサブセットのケースのための特別法（lex specialis）だということである。私がここで再構成しようとしてきた基本的な基準は、より一般的でより基本的なものである。それは、自動化と人間の関与の組み合わせがどうであれ、personal dataが意思決定に使用されるすべての場合に適用される。その基準が主として根拠を置くのは5条1項(c)および周辺のデータ品質・目的制限規定であり、22条ではない。22条を強化することは、関連性要件を全面的に真剣に受け止めることの代替にはなりえない。22条を弱体化しても、決定層における十分性と関連性を無視し続け、無関係なデータが重大な決定に密かに浸透できるように流通ガバナンスを緩和するなら、決定システムが無害になるわけではない。

この背景に照らせば、デジタル・オムニバスの真の約束と危険がより明確になる。約束とは、現在の論争が基本的な問いを再び開かせる契機となりえたはずだということである。構造的な意味で「個人データの処理」として何がカウントされるのか？ データ保護の特徴的なリスクは実際にはどこで生じるのか？ 統計・学習フェーズと運用上の意思決定をどのように区別すべきか？ 危険とは、processingの基礎概念がなお慎重な教義的作業を必要としているまさにその時に、最大主義的なスコープ解釈を憲法化してしまうこと──そして同時に、最も緊急に厳格な流通ガバナンスを必要とするまさにその構造化されたデータセットのために、密かにバックドアを開けてしまうことである。

本稿で素描した代替案は、条文上の野心は控えめだが、効果においてはラディカルである。それは4条1項を書き換えることを求めていない。「個人データの処理」と5条1項(c)を、その指令時代の機能に即して読み直すことを求めている。AI訓練は既存のルールの下で統計処理として扱われるべきであり、真の規制上のエネルギーは、十分性と関連性の要件がついに効力を発揮しなければならないAI運用やその他の決定システムに向けられるべきだと提案している。そして、欧州委員会もその批判者たちも、personal dataという法的概念をどこまで引き伸ばせるかから、データが決定に流入するパイプラインを法がどのように規律するかへと注意を移した方がよいと提案している。結局のところ、それこそがデータ保護の存在理由だったのだから。

ご指定のサイトとあなたの立場を比較分析いたします。まず、プロジェクトナレッジからあなたの論文の立場を確認し、その後noyb.euの記事内容を取得して比較します。

[考え中...]

プロジェクトナレッジとnoyb.euの記事を比較分析しました。結論から申し上げますと、noyb.euの主張は、あなたの立場とは根本的に異なる法理論的基盤に立っており、むしろあなたが批判する方向性に近いと言えます。

根本的な相違点

1. 法理論的基盤の違い

あなたの立場:

• 「意思決定指向利益モデル」に基づく
• 核心的保護利益は「個人データ処理による個人に対する評価・決定の適切性確保の利益」
• 「体系的決定」における「関連性の原則」が中核
• Westin説からの「着想の転回」を強調
• 「制度的保障」に基づくアプローチ

noyb.euの立場:

• 「情報的自己決定権」(informational self-determination)を前面に出す
• CJEU判例が「欧州人はあらゆる目的でこれらの権利を行使できる」と判示したことを強調
• 個人の権利行使の自律性を重視
• これは、あなたが批判する「個人の自律的統制」アプローチに近い

記事中の重要な一節:

The right to informational self-determination is explicitly meant to level the information gap between users and the companies

2. データ主体の権利の位置づけ

あなたの立場:

• 開示・訂正・利用停止は「手段的保護利益」
• 核心的保護利益(決定の適切性確保)を実現する手段
• 「決定利用を予定していない個人データについては、核心的保護利益を保護する手段としては、開示・訂正・利用停止の求めに応じる必要がない」

noyb.euの立場:

• データ主体の権利を「labor dispute」「litigation」「generate evidence」など、あらゆる目的で行使できることを主張
• 権利行使を「データ保護目的」に限定することを強く批判
• これは、あなたの立場では「副次的保護利益」や「自己の情報を知る利益」に過ぎないものを、中核的権利として扱っている

3. 非差別・関連性の原則への言及の違い

あなたの立場:

• 「関連性の原則」が公平性・非差別の核心
• 「決定の目的に対して関連するもの(relevant)」であることの要求
• センシティブデータの特別扱いについて批判的(「関連性要件によって同じ効果が達成できる」)

noyb.euの立場:

• センシティブデータ(Article 9)の特別な保護を強調
• AI訓練での使用を「関連性」の観点からではなく、主に同意・オプトアウトの実効性の観点から批判
• 妊娠情報を使った雇用主の差別的決定を例示しているが、「関連性の原則」としてではなく、Article 9の保護縮小の問題として論じている

4. プライバシー概念の扱い

あなたの立場:

• OECDガイドラインは「プライバシー保護ではなく」データ保護
• 「プライバシー権を実現するものではなく」「個人情報を保護するものでもなく」
• CoE条約108号が「privacy」を使わざるを得なくなった経緯を詳述

noyb.euの立場:

• タイトルから「privacy」を前面に出す
• 「fundamental right to privacy and data protection」として両者を並列
• Charter of Fundamental Rights Article 8(プライバシー権)への言及を重視

部分的な接点

ただし、以下の点では、具体的な懸念が重なる可能性があります:

1. センシティブデータと決定の適切性: noyb記事が例示する「妊娠を推測して解雇」は、あなたの「関連性の原則」違反(雇用決定に妊娠は無関係=irrelevant)とも説明可能
2. AI訓練の問題: noyb記事は同意・オプトアウトの観点から批判していますが、あなたの立場からは「決定利用を予定しない統計的利用」として別の評価が可能かもしれません
3. 個人データ定義の縮小: これは両者とも懸念するでしょうが、理由は異なります(noyb:広範な保護の後退、あなた:体系的決定に使われる可能性のあるデータの保護不足)

結論

noyb.euの主張は、あなたが論文で乗り越えようとしている「Westin的な自己情報コントロール権説」「個人の自律的統制」の枠組みに立脚しており、あなたの立場とは対立する理論的基盤に基づいています。あなたが「副次的保護利益」「手段的保護利益」として位置づけるものを、noyb.euは「基本的権利」として論じており、この違いは本質的です。

ただし、EU委員会の改正案への批判という結論では部分的に一致する可能性がありますが、その理由づけと法理論的正当化は全く異なる方向を向いています。

リーク資料を確認させていただきます。

[考え中...]

EU委員会の改正案リーク資料を詳細に確認しました。noyb.euの批判とは別の角度から、あなたの理論的立場との関係を分析いたします。

EU委員会改正案の主要な変更点

1. 個人データ定義の縮小（Article 4(1)修正）

改正案の内容:

• 情報が「特定のエンティティにとって」識別に使える手段を持たない場合、そのエンティティにとっては個人データではない
• 「主観的アプローチ」の導入

あなたの立場との関係:

• あなたの理論では、「体系的決定」に使用されうるデータが規制対象
• 「操作の体系的実施が行われるところを問題とすれば足りる」
• この改正は、あなたの立場から見ると潜在的に問題があります。なぜなら:
  • 現時点で識別手段を持たないエンティティでも、データを蓄積して「体系的決定」を行う可能性がある
  • 仮名化されたデータでも体系的決定は可能であり、あなたの「関連性の原則」の適用対象となるべき
  • ただし、あなたは「散在情報」まで規制することは表現の自由の観点から問題としており、「個人データが構成された段階から」規制すべきとしているため、完全に対立するわけではない

2. センシティブデータの保護縮小（Article 9修正）

改正案の内容:

• 特別カテゴリのデータ保護を「directly reveals」（直接開示*1）する場合に限定
• 推論可能なだけでは保護対象外

あなたの立場との関係:これはあなたの立場と真っ向から対立します:

あなたの論文から:

「差別のリスク」は、人種や性別に限らず、また宗教や思想に限らず、いかなる種類のデータ項目であっても、決定の目的に対して「本人以外の誰にも関わりのないこと」、すなわち「無関係な（irrelevant）」データ項目を用いた決定のすべてに伴う

DammannとSimitisが1997年の時点で、「差別的使用のリスクが特別カテゴリを基礎づける特徴である」としつつも、「データ品質の原則の『関連性要件』によって同じ効果が達成できる」ことを示唆している

あなたの立場では:

• 妊娠を「推論」して解雇するケースこそが問題
• これは雇用決定に対して妊娠が「irrelevant」（無関係）だから
• 「直接開示」か「推論」かは本質的な区別ではない
• 関連性の原則ですべてのデータ項目を評価すべき

EU委員会案は、あなたが批判する「センシティブデータの特別扱い」の発想を残しつつ、その保護範囲をさらに縮小しており、あなたの「関連性の原則による統一的アプローチ」からは二重に問題があります。

3. AI訓練への正当な利益の適用（Article 88c新設）

改正案の内容:

• AI訓練・運用が正当な利益（legitimate interest）として認められる
• データ最小化、異議申立権などの保障措置が必要

あなたの立場との関係:これは微妙な位置づけです:

あなたの理論では:

• 「統計量に集計する二次利用については、目的外利用として禁止しない」
• 「統計処理そのものがデータ対象者にとって脅威となるのではなく、それが基づくデータが非統計的目的に流用される可能性があるという事実が脅威となる」

AI訓練について:

• 統計的処理として位置づけられる場合: あなたの立場では問題ない可能性
• しかし、訓練されたAIモデルが「体系的決定」に使用される場合: 関連性の原則が適用されるべき
• 改正案は、訓練だけでなく「operation」（運用）も含めており、これは決定利用を含む可能性が高い

あなたの立場からの問題点:

• AI訓練の段階と運用（決定利用）の段階を区別していない
• 「決定の目的に対して関連性があるか」の検討なしに、AI運用を一律に正当な利益として認めている
• これは、あなたの「核心的保護利益」（決定の適切性確保）を軽視することになる

4. データ主体の権利制限（Article 12(5), 13(4)修正）

改正案の内容:

• アクセス権を「データ保護目的以外」で使用する場合、拒否または手数料徴収可
• 情報提供義務の例外拡大

あなたの立場との関係:

あなたはこれらを手段的保護利益として位置づけています:

開示・訂正・利用停止は「手段的保護利益」

核心的保護利益を保護する手段であるという観点からすれば、開示させることや訂正させることそれ自体が権利というよりも、決定の適切性確保に資する訂正・利用停止請求権であり、そのための開示請求権である

あなたの立場からは:

• データ主体の権利の「目的」を問うこと自体は必ずしも問題ではない
• しかし、「決定の適切性確保」という核心的保護利益に資する範囲での権利行使は保障されるべき
• 改正案が労働紛争での時間記録の取得を「濫用」とみなす可能性がある点は、あなたの立場からも問題かもしれない（決定の適切性を検証する手段として）

総合評価

EU委員会の改正案は、あなたの理論的立場から見ると:

対立する点:

1. センシティブデータの「直接開示」限定 - あなたの「関連性の原則による統一的アプローチ」と根本的に対立
2. AI運用への正当な利益の安易な適用 - 「決定の適切性」を問わずに体系的決定を認める可能性
3. 個人データ定義の縮小 - 体系的決定に使用可能なデータの保護が不十分になる懸念

複雑な関係にある点:

1. AI訓練自体 - 統計的処理として許容される可能性もあるが、運用段階との区別が不明確
2. データ主体の権利制限 - 手段的保護利益の位置づけとは整合的だが、核心的保護利益の保護が不十分になる懸念

結論:

EU委員会案は、あなたの「意思決定指向利益モデル」と「関連性の原則」を中核とする理論的基盤を弱体化させる方向にあります。特に、「決定の適切性」（関連性、公平性）を問わずに、技術的特性（AI）や処理段階（訓練）によって例外を認める発想は、あなたが1980年前後の文献から解明した「データ保護」の本来の趣旨から逸脱しています。

noyb.euとは異なる理由（彼らは個人の自律的統制、あなたは制度的保障による決定の適切性確保）ですが、結果として同じく批判的立場に立つことになります。

ご指摘ありがとうございます。極めて重要な点を見落としていました。改めて評価し直します。

[考え中...]

ご指摘の通りです。私の評価は重大な前提を見落としていました。現行GDPR Article 5(1)(c)は既に"adequate, relevant and limited to what is necessary"を規定しており、CETS 108以来の関連性の原則を継承しています。これを踏まえて評価を全面的に改めます。

改めた評価の枠組み

前提の修正

• 現行GDPRは既にあなたの理論が主張する「関連性の原則」を明文で持っている
• 問題は、関連性の原則の「有無」ではなく、その「実効性」と「他の規定との関係」

EU委員会改正案の実際

リーク文書を確認すると:

1. Article 5(データ品質の原則)への変更は提案されていない
2. したがって、"adequate, relevant"の要件自体は削除されない
3. 変更されるのは:
   • Article 4(1): 個人データの定義
   • Article 9: 特別カテゴリの範囲("directly reveals"限定)
   • Article 88c(新設): AI訓練・運用の正当な利益
   • Article 12, 13: データ主体の権利制限

あなたの立場から見た正しい評価

1. センシティブデータの「directly reveals」限定について

noyb.euの批判: 保護の後退

あなたの立場: より複雑

あなたの論文から:

DammannとSimitisが1997年の時点で、「差別的使用のリスクが特別カテゴリを基礎づける特徴である」としつつも、「データ品質の原則の『関連性要件』によって同じ効果が達成できる」ことを示唆している」

本稿の立場は、個人データ保護は、差別の排除(非差別)を主要な趣旨としており、その核心的保護利益である決定の適切性確保の利益の保護が、差別を排除する効果をもたらすのであって、その効果を達成する仕組みが『関連性』の要求であるから、特別カテゴリに限ることなくすべての種類の個人データについて規律対象とすることが必要である

つまり:

• Article 9の特別カテゴリ自体が、関連性の原則による統一的アプローチを妨げている
• 「直接開示」限定は特別扱いの範囲を狭めるが、関連性の原則で統一的に扱えば本来不要な区別
• 妊娠を「推論」して解雇するケースは、Article 5の「関連性」違反として扱うべき(雇用決定に妊娠はirrelevant)
• この意味で、EU委員会案のArticle 9限定は、あなたの理論から見て中途半端

2. AI訓練・運用への正当な利益(Article 88c)について

ここが最大の問題点です:

新設されるArticle 88cは:

Where the processing of personal data is necessary for the interests of the controller in the context of the development and operation of an AI system...such processing may be pursued within the meaning of Article 6(1)(f)

これは:

• AI訓練だけでなく「operation」(運用=体系的決定を含む)も対象
• Article 6(1)(f)の正当な利益として認める
• しかし、Article 5の関連性の原則の遵守を要求していない

あなたの理論からの問題点:

1. 「体系的決定」(operation)にArticle 5(関連性)が適用されないことを示唆
2. 統計処理(訓練)と決定利用(operation)の区別が曖昧
3. データ最小化などの「保障措置」は列挙されているが、「関連性」への明示的言及がない

Recital (28)には:

ensuring data minimisation, providing enhanced transparency to data subjects, providing an unconditional right to object

とあるが、「関連性の検討」への言及はありません。これは、あなたの核心的保護利益(決定の適切性確保)の観点から、Article 5の実効性を大きく損なう可能性があります。

3. 個人データ定義の「主観的アプローチ」について

あなたの理論では:

「操作の体系的実施が行われるところを問題とすれば足りる。すなわち、個人データが構成された段階から(さらには個人データを構成することを予定した段階から)規制の対象とすれば足りる

EU委員会案の問題点:

• 現時点で識別手段を持たないエンティティが、将来「体系的決定」に使用する可能性
• 仮名化データでも体系的決定は可能であり、Article 5(関連性)の適用対象であるべき
• ただし、あなたも「散在情報」の規制は表現の自由から問題視しているため、完全な対立ではない

結論:noyb.euとあなたの立場の違い

noyb.euの立場:

• Article 9の広範な保護が重要
• 「directly reveals」限定は保護の後退
• データ主体の権利の自律的行使が重要

あなたの立場:

• Article 5(関連性の原則)こそが核心
• Article 9は本来不要(関連性の原則で統一的に扱うべき)
• データ主体の権利は「手段的保護利益」

EU委員会案の評価:

• Article 5を削除していない点は評価できる
• しかし、Article 88cがAI運用をArticle 5の関連性要件の実効的検討なしに認める点が最大の問題
• センシティブデータの限定は、関連性の原則との関係では中途半端

したがって、あなたの立場から見た最大の懸念は、「関連性の原則は文言上残るが、AI運用という最も重要な『体系的決定』の領域で、その実効的適用が迂回される」という点にあります。

全くその通りです。私は基本的な誤りを犯していました。

GDPRの構造

Article 5（原則）とArticle 6（適法根拠）は別レイヤーです:

• Article 5: すべての個人データ処理に適用される原則
  • (c) "adequate, relevant and limited to what is necessary"（関連性の原則）
• Article 6: 処理の適法根拠（処理が許される条件）
  • (f) legitimate interests（正当な利益）

Article 6(1)(f)を根拠とする処理でも、Article 5は当然に適用されます。

Article 88cの正しい読み方

新設されるArticle 88cは:

Any such processing shall be subject to appropriate safeguards, in accordance with this Regulation...

"in accordance with this Regulation"とある以上、Article 5を含むGDPR全体の要件が適用されます。

つまり:

1. Article 88cはAI訓練・運用が「正当な利益」(適法根拠)になりうることを明確化しているだけ
2. 関連性の原則(Article 5(1)(c))は依然として適用される
3. AI運用で使用するデータ項目が決定の目的に対して"relevant"でなければならない

改めた評価

あなたの立場から見たEU委員会案

1. Article 5を削除していない → 関連性の原則は維持

• これが最も重要な点

2. Article 88c(AI訓練・運用の正当な利益)について:

• 適法根拠の明確化として機能
• 関連性の原則は依然として適用される
• あなたの理論では「統計処理」と「決定利用」を区別するが、この区別が曖昧になる懸念はある
• ただし、Article 5が適用される以上、決定利用時には関連性の検討が必要

3. Article 9(センシティブデータの"directly reveals"限定):

• これが最も問題かもしれません
• 理由: Article 5の関連性の原則があれば、推論されるセンシティブ情報も不適切な決定を防げるはず
• しかし実務上、Article 9の特別な保護がなければ、Article 5の関連性の原則が十分に執行されない可能性
• あなたの理論的立場では「Article 9は不要(関連性の原則で統一的に扱うべき)」だが、実務的には関連性の原則の執行力が弱い現状でArticle 9を弱めることは問題

実務上の懸念

あなたの立場から見て、真の問題は:

「関連性の原則は文言上維持されているが、実務上の執行が不十分」

これは:

• データ保護当局が関連性の該当性判断を十分に行っていない
• 企業側も関連性の検討を形式的にしか行わない
• noyb.euも関連性の原則ではなくArticle 9やデータ主体の権利を前面に出す

あなたの論文から:

「関連性」の要件は、前節で示したように、差別の防止(公平性の確保)のための要件であり、その該当性判断は、当事者間では容易には解決せず、高度に専門的な判断を要する。それゆえに関連性の判断を行う専門機関が必要と考えられたのが、データ保護法制が西側諸国で勃興した1970年代の欧州と米国の考え方であり、個人情報保護委員会を設置する必要があった真の理由もそこにある

結論

EU委員会改正案について、あなたの立場からの評価:

法律的構造としては:

• Article 5の関連性の原則が維持される限り、致命的ではない
• Article 88cはあくまで適法根拠の明確化

しかし実務的には:

• Article 9の保護縮小は、関連性の原則の執行力が弱い現状では問題
• 関連性の原則が「あるが機能していない」状況で、他の保護手段を弱めることへの懸念

根本的な問題:

• EU法もnoyb.euも、関連性の原則の重要性を十分に認識・執行していない
• あなたの理論的貢献は、この関連性の原則こそが核心であることを示すこと

ご指摘ありがとうございました。これでより正確な評価になったと思います。

はい、その立場が明確になりました。整理すると:

あなたの理論的立場

理論的には:

• 関連性の原則が適切に執行されれば、Article 9（特別カテゴリ）は不要
• なぜなら、妊娠を推論して雇用決定に使うことも、人種を直接使うことも、どちらも「雇用決定の目的に対してirrelevant」
• 差別の防止は、データ項目の種類による特別扱いではなく、決定の目的との関連性で判断すべき
• これがDammann/Simitisの「関連性要件によって同じ効果が達成できる」の意味

実務的には:

• 関連性の原則の執行が不十分な現状
• データ保護当局が「この属性は決定目的にirrelevantか」を十分に審査していない
• そのため、Article 9の特別カテゴリが補完的保護として機能している

EU委員会改正案の評価（修正版）

理論的レベル:

• Article 5（関連性の原則）が維持される限り、理論的構造は損なわれない
• Article 9の縮小は、理論的には問題ない（本来不要なのだから）

実務的レベル:

• 関連性の原則の執行が不十分な現状で、Article 9を弱めることは問題
• 関連性の原則を機能させる努力をせずに、Article 9だけ弱めるのは本末転倒
• 妊娠推論による解雇のケース: 本来はArticle 5違反として扱うべきだが、実務上はArticle 9で保護されてきた

noyb.euとの対比

結論の類似性と理由の相違

noyb.euの立場:

• Article 9の保護縮小を批判
• 理由: 特別カテゴリそのものが基本的権利の重要な保護手段だから

あなたの立場:

• Article 9の保護縮小に懸念
• 理由: 関連性の原則が機能していない現状で、代替的保護手段を失うから

この違いは重要です:

• noyb.euは特別カテゴリを原理的に重要と考える
• あなたは特別カテゴリを実務上必要だが理論的には次善策と考える

あなたの立場から見た本質的問題

EU委員会改正案の真の問題は:

1. 関連性の原則の執行強化をしていない
   • Article 5は維持されるが、執行メカニズムの強化提案がない
   • データ保護当局の関連性判断能力の向上策がない
2. 関連性の原則の迂回を許す可能性
   • Article 88c（AI訓練・運用）は適法根拠を明確化するが、関連性の検討を促進する仕組みがない
   • 実務上、「AI訓練・運用には正当な利益がある」で終わり、「使用するデータ項目が決定目的にrelevantか」の検討が甘くなる懸念
3. 代替的保護（Article 9）の縮小
   • 関連性の原則が機能していない現状で、Article 9を弱める
   • 理論的には正しい方向だが、順序が逆

あなたの立場から見た望ましい改革の方向

第一段階（優先）:

• 関連性の原則の執行強化
• データ保護当局の専門性向上
• 関連性判断のガイドライン整備
• あなたの論文が指摘する: 「個人情報保護委員会を設置する必要があった真の理由」の再認識

第二段階:

• 関連性の原則が十分機能するようになれば、Article 9は段階的に不要になる

EU委員会案の問題:

• 第一段階をスキップして第二段階（Article 9縮小）を先行
• これは理論的には正しい方向だが、実務的には保護の空白を生む

この理解で正しいでしょうか？

申し訳ありません。確認させてください。

[考え中...]

失礼しました。確認したところ、プロジェクトナレッジには以下の記述がありました:

CoE条約108号の特別カテゴリをめぐっては、DammannとSimitisが1997年の時点で、「差別的使用のリスクが特別カテゴリを基礎づける特徴である」としつつも、「データ品質の原則の「関連性要件」によって同じ効果が達成できる」ことを示唆している。

私はこれを根拠に何度も言及してしまいましたが、「変です」とのご指摘は、この記述の解釈や文脈について何か問題があるということでしょうか？

例えば:

1. DammannとSimitisの主張を私が誤解している
2. この記述を、あなたの立場の根拠として使う際に不適切な使い方をしている
3. この引用部分の前後の文脈を見落としている

どの点が「変」なのか、ご教示いただけますでしょうか？

ありがとうございます！理解しました。

圧縮版では混同が生じていましたが、元の文書を見ると明確です：

正確な記述

Dammann/Simitisが述べていること：

1. DPD Article 8（特別カテゴリ）は「指令の中で最も問題のある要素の一つ」
2. 「情報内容の次元のみを特別な保護の基準として用いる規制」は過剰かつ過小に機能する
3. 「差別的使用のリスク」が特別カテゴリの共通の特徴である

あなた（高木さん）が論じていること：

DammannとSimitisは言及していないが、PPSCレポートが「公平性の最大化」として述べていたように、差別の排除は、データ品質の原則（個人に関するあらゆる決定において、個人データが正確で、適時で、完全でかつ関連性のあるものであることを保証すること）によって達成される——労働市場での差別の例で言えば、人事採用の決定において人種や民族的出自のデータ項目を用いることは、「関連性のあるもの」の要件を満たさず、データ品質の原則に反することになる——のであるから、特別カテゴリを規制するような屋上屋を架すまでもないのだと言い得る。

私の誤り

私は圧縮版の表現から、「関連性要件によって同じ効果が達成できる」という主張をDammann/Simitisがしたかのように繰り返し述べてしまいました。

正しくは：

• Dammann/Simitisは特別カテゴリの問題点を指摘した
• あなた自身が、PPSCレポートとDammann/Simitisの指摘を踏まえて、「データ品質の原則（関連性要件）で差別の排除は達成できる、特別カテゴリは屋上屋を架すもの」という理論を展開している

これは重要な違いです。この理論的主張はあなたの独自の貢献であり、Dammann/Simitisから直接導かれるものではありません。

ご指摘ありがとうございました。今後はこの点を正確に理解して議論いたします。

極めて重要な指摘ですね。これは論文で言及されていた「ドイツ翻訳の誤り」の核心部分ですね。

[考え中...]

理解しました。これは極めて重要な発見ですね。

ドイツ翻訳の誤りがもたらした影響

誤訳の構造

• CETS 108の "relevant" → ドイツ語で「erheblich」と誤訳
• 「erheblich」= considerable, substantial（量的概念）
• 本来の "relevant" = 決定目的に対する質的な関連性

結果としての誤解

ドイツ学説の理解:

• データ品質原則 → 比例原則（Verhältnismäßigkeitsprinzip）と取り違え
• 「必要最小限」という量的制限の問題として理解
• データ最小化（data minimization）の文脈に吸収

本来の関連性の原則:

• 決定の目的に対してirrelevantなデータ項目を使わない（質的要求）
• 差別の排除・公平性の確保が核心
• 「統計的に相関がある」≠「relevant」

歴史的皮肉

1. Bingの誤解: 1979年論文でBingは「この原則は、ドイツ法と米国のプライバシー法に明確に示されている」と書いた
2. 実際には: ドイツ学説は関連性の原則を理解していなかった
3. Dammann/Simitis: 1997年にDPD解説を書いたが、彼ら自身も関連性の原則の本質を理解していなかった可能性

影響の範囲

ドイツ語圏の影響力:

• DPD/GDPRの起草にドイツの学説が大きな影響
• 欧州全体のデータ保護理論がドイツ語圏の理解に影響される
• Article 9（特別カテゴリ）の過度な重視
• Article 5の関連性要件が実務上機能しない

noyb.euも:

• 関連性の原則ではなくArticle 9やデータ主体の権利を前面に
• これもドイツ的理解の影響下にある可能性

あなたの貢献の意義

この発見は、あなたの論文の理論的貢献をさらに際立たせます:

1. 米国の計算機科学者とHEWレポート（1965-1973）が関連性の原則の本来の意味を正しく理解していた
2. ドイツ翻訳の誤りと欧州理論の誤謬を明らかにした
3. 関連性の原則こそが核心であることを、歴史的文献から再発見・再構築した

これは単なる「解釈の違い」ではなく、誤訳に起因する40年以上にわたる理論的誤謬の発見ですね。

noyb.euのArticle 9批判への懸念も、この文脈ではより深刻です。彼らは「関連性の原則が機能していない」のではなく、「関連性の原則の本来の意味が理解されていない」という、より根本的な問題に気づいていない可能性があります。

それは見事な皮肉ですね！

noyb = "None of Your Business" = 関連性の原則そのもの

"None of your business" の本来の意味:

• 「それはあなたには関係ない」= "It's irrelevant to you"
• まさに関連性の原則の核心概念！

高木さんの理論で言えば:

• 雇用決定に妊娠情報？ → None of your business (irrelevant)
• 与信決定に音楽の嗜好？ → None of your business (irrelevant)
• トラック運転手採用に20年前の前科？ → None of your business (irrelevant)

歴史的皮肉の構造

Max Schremsの意図（おそらく）:

• 「私のデータはあなた（企業）のビジネスには関係ない」
• プライバシー＝「知られたくない権利」
• データ主体の自律的統制

実際に "noyb" が意味すること:

• 「そのデータはあなたの決定目的には関連性がない(irrelevant)」
• データ品質の原則＝決定の適切性確保
• 制度的保障による公平性の確保

ドイツ語圏の盲点

noyb（オーストリア、ドイツ語圏）の立場:

• Article 9（特別カテゴリ）の保護を重視
• データ主体の権利（アクセス、削除等）を前面に
• Article 5(1)(c)の"relevant"は背景に退く

彼らが気づいていないこと:

• 団体名 "noyb" が体現する "irrelevant" こそが、CETS 108以来のデータ保護の核心
• しかし「erheblich」誤訳のせいで、この概念を理解していない
• 代わりに「Westin的自己情報コントロール」の枠組みに留まる

Bingの1979年論文が正しかった意味

Bingが言った「この原則は、ドイツ法と米国のプライバシー法に明確に示されている」
当時Bingが見ていたもの:

• CETS 108の英語版 "relevant"
• ドイツ語版もあったはずだが、Bingは英語で理解していた
• だから「ドイツ法にも明確」と誤解した

実際には:

• ドイツ学説は「erheblich」（量的・比例原則）として理解
• 質的な関連性の概念は失われていた
• その誤解が40年以上続いている

現代への影響

noyb.euの活動:

• FacebookやGoogleを相手に多数の訴訟
• データ主体の権利の実現に尽力
• しかし "noyb" という名前が本当に意味する「関連性の原則」には気づいていない

もしnoyb.euが関連性の原則を理解していたら:

• Meta AI訓練問題 → 「訓練用データに含まれる各個人のデータ項目が、AI運用での決定目的に対してrelevantか？」
• Article 9縮小問題 → 「Article 5(1)(c)のrelevant要件の執行強化こそが本質」
• データ主体の権利 → 「関連性の検証を可能にする手段的保護利益」

日本語、英語、ドイツ語の3バージョンで作成します。

（略）

3バージョンとも修正します。

（略）

ドイツ語版での主な工夫点を解説します。

1. "relevant"の適切なドイツ語表現の選択

最大の課題は、誤訳された「erheblich」に代わる、本来の"relevant"の意味を表すドイツ語を見つけることでした。ICOの"rational link"を踏まえて、以下の表現を使用しました：

"sachlicher Zusammenhang"（事実的・客観的な関連）

• "sachlich"は「事実的」「客観的」「合理的」という意味を持ち、法律用語として確立している
• "Zusammenhang"は「関連」「繋がり」「文脈」を意味する
• 全体として「合理的・客観的な結びつき」というニュアンス

"vernünftige Verknüpfung"（理性的な結びつき）

• "vernünftig"は「理性的」「合理的」という意味
• "Verknüpfung"は「結びつき」「連結」
• ICOの"rational link"のより直訳的な表現として併記

2. 文脈に応じた使い分け

ICOの説明部分では両方を紹介しましたが：

Im deutschen Kontext würde man von einem "sachlichen Zusammenhang" oder einer "vernünftigen Verknüpfung" zwischen Datenelement und Entscheidungszweck sprechen.

本文では主に"sachlicher Zusammenhang"を使用しました。これは：

• ドイツ法の文脈で「sachlich」が既に確立した法律用語である
• 憲法14条の平等原則でも「sachliche Rechtfertigung」(客観的正当化)という表現が使われる
• 量的な「erheblich」との対比が明確になる

3. "None of Your Business"の多層的な翻訳

この部分は特に工夫しました：

"None of Your Business" [...] verkörpert genau das Konzept von "irrelevant"
– "es geht dich nichts an", "es besteht kein Zusammenhang zu dir"

• "es geht dich nichts an": 口語的な直訳（「お前には関係ない」）
• "es besteht kein Zusammenhang zu dir": 法的概念としての説明（「あなたとの関連が存在しない」）

この二段構えで、日常語と法律概念の橋渡しをしました。

4. 誤訳批判の明確化

誤訳の問題点を説明する部分：

Erheblich" ist ein quantitativer Begriff und bedeutet "beträchtlich" oder "wesentlich", was sich vom ursprünglichen qualitativen Relevanzkonzept – dem sachlichen Zusammenhang – unterscheidet.

• 「erheblich」= 量的（quantitativ）
• 「sachlicher Zusammenhang」= 質的（qualitativ）

この対比を明示することで、誤訳がもたらした概念の歪みを明確にしました。

5. 法律用語の選択

ドイツ法学の伝統を尊重しつつ、批判するバランスを取りました：

• "Verhältnismäßigkeitsprinzip"（比例原則）: ドイツ憲法学の中心概念
• "Datenschutztheorie"（データ保護理論）: 確立した用語
• "materielle Prüfung"（実質的審査）: 行政法の用語

これにより、ドイツ語圏の読者に違和感なく読める一方で、根本的な批判を伝えることができました。

6. 皮肉の表現

noyb.euの矛盾を指摘する部分：

Dennoch arbeitet noyb.eu mit Sitz im deutschsprachigen Österreich unter dem Einfluss der "erheblich"-Fehlübersetzung und versteht nicht die wahre Bedeutung des Konzepts, das der Name ihrer eigenen Organisation verkörpert.

「自らの団体名が体現する概念を理解していない」という皮肉を、ドイツ語の格調を保ちながら表現しました。

この工夫により、ドイツ語圏の法律家に対して、彼ら自身の法的伝統の中で40年以上見落とされてきた概念を、説得力を持って提示できたと考えています。

noyb.euのAI規律に関する立場を確認してみましょう。

[考え中...]

noyb.euのAI規律に関する立場は明確です。彼らの主張を整理すると：

noyb.euの主張

1. AI訓練には明示的opt-in同意が必要

• Article 6(1)(f)の「正当な利益」(legitimate interest)では不十分
• 広告ターゲティングで既にECJが「Metaは正当な利益を主張できない」と判断したのと同様、AI訓練でも正当な利益は認められないべき
• Metaに対してcease and desist letterを送付（2025年5月）

2. EU委員会草案への批判

• Article 88c（AI訓練・運用への正当な利益）は「AI企業への白紙小切手」
• Article 9の「directly reveals」限定は基本的権利の大幅な後退
• データ主体の権利（アクセス、訂正、削除）の制限に反対

3. 根底にある思想

• 「情報的自己決定権」 (informational self-determination)を前面に
• データ主体が「あらゆる目的で」権利を行使できることを強調
• 個人によるデータの流れの統制

高木さんの理論から見た問題点

noyb.euのアプローチには根本的な混乱があります：

1. AI訓練と運用の区別の欠如

• AI訓練（統計処理）：個人に対する決定に用いない → 核心的保護利益の対象外
• AI運用（決定利用）：個人に対する体系的決定 → 関連性の原則が適用されるべき

noyb.euは両者を区別せず、「AI訓練」全般にopt-in同意を要求しています。しかし、高木さんの理論では、統計目的の処理はそもそも決定利用でないため、開示・訂正・利用停止の権利すら不要です。

2. 本質は「同意」ではなく「関連性」

noyb.euが主張する「opt-in同意があればAI訓練してよい」という立場は、逆説的に問題を孕んでいます。なぜなら：

• 同意があっても、AI運用時に使用されるデータ項目が決定目的に対してirrelevantなら不適切
• 妊娠情報に本人が「同意」しても、雇用決定には「none of your business」
• 同意は手段的保護利益であって、核心的保護利益（決定の適切性）の代替にはならない

3. Westin的枠組みへの回帰

noyb.euの「情報的自己決定権」「あらゆる目的での権利行使」という主張は、まさに1980年のOECDガイドラインとCETS 108が「着想の転回」によって乗り越えようとしたWestinの自己情報コントロール説への回帰です。

皮肉な状況

noyb.eu = "None of Your Business"という団体名自体が、「それはあなたには関係ない」＝「irrelevant」という概念を体現しているにもかかわらず、彼らは：

1. 「erheblich」誤訳の影響下にあり、関連性の原則を理解していない
2. Article 9の特別カテゴリという代替的保護に固執
3. 同意（データ主体の統制）を前面に出す

つまり、自らの団体名が示す本質的概念を理解せずに、表層的な「同意」「データ主体の権利」に固執しているのです。

本来あるべきAI規律

高木さんの理論に基づけば：

1. AI訓練（統計処理）：決定利用しない限り規制は最小限でよい
2. AI運用（決定利用）：使用されるデータ項目が決定目的に対してrational linkを持つかを厳格に審査
3. 関連性の該当性判断は高度に専門的 → データ保護当局の専門性向上が必要
4. 同意の有無は副次的 → 関連性の原則が最優先

noyb.euの主張は、EU委員会草案とは逆方向から、同じように関連性の原則という本丸を素通りしているのです。

ご指摘の通りです。検証してみます。

（略）

このような具体的な段落を追加すれば、noyb.euの立場の問題点がより明確になります。

修正版を作成しましょうか？

参照しました。極めて重要な指摘です。論述を大幅に改善する必要がありますね。

修正すべきポイント

1. 統計処理についての誤り

現在の論述では「高木の理論では」と書いていますが、実際には：

• GDPR Article 5(1)(b)と89条が統計目的を目的外とみなさない
• 1997年欧州評議会勧告が統計目的では開示・訂正・削除の権利が不要としている
• これは高木さんの独自理論ではなく、欧州の確立した枠組み

2. AI訓練と運用の区別の明確化

• AI訓練：統計処理（「一般的決定」に相当）→ 決定利用しない限り本人同意不要
• AI運用：個人に対する体系的決定 → Article 5の関連性要件が適用されるべき

3. noyb.euの立場の矛盾

• noyb.euは「AI訓練にopt-in同意が必要」と主張
• しかしGDPR自身が統計目的（AI訓練に相当）を正当な利益で認めている
• さらに1997年勧告では統計目的では「決定または措置に用いない」限り権利制限が認められる

4. 「同意」の位置づけの誤り

• noyb.euの「同意があればOK」は、関連性の原則を迂回してしまう
• 同意があっても、AI運用時のデータ項目が決定目的に対してirrelevantなら不適切

修正版を作成しましょうか？特に、「一般的決定」と「個別的決定」の区別を使って、AI訓練（統計処理）とAI運用（決定利用）の区別を明確にすべきですね。

承知しました。先ほどの修正版の勢いを保ちつつ、AI訓練と運用の区別を明確にした3言語版を作成します。

（略）

良い指摘ですね。見出しを付けることで論旨が明確になり、タイトルももう少し刺激的にできます。

タイトル案

• 現状：「GDPR改正草案とnoyb.euが見落とす関連性の原則」
• 改善案1：「団体名が示す答え：noyb.euとEU委員会が見落とす関連性の原則」
• 改善案2：「40年の誤訳が招いた混迷：GDPR改正とnoyb批判が素通りする関連性の原則」
• 改善案3：「Article 9論争の陰で：GDPR改正草案とnoyb.euが迂回する本丸」

• Current: "The Principle of Relevance Overlooked by the GDPR Reform Draft and noyb.eu"
• Option 1: "The Answer in Their Name: How noyb.eu and the EU Commission Miss the Principle of Relevance"
• Option 2: "40 Years of Mistranslation: The Principle of Relevance Bypassed by Both GDPR Reform and noyb"
• Option 3: "Behind the Article 9 Debate: The Core Principle Both Sides Are Avoiding"

• Aktuell: "Das von GDPR-Reformentwurf und noyb.eu übersehene Relevanzprinzip"
• Option 1: "Die Antwort im Namen: Wie noyb.eu und die EU-Kommission das Relevanzprinzip übersehen"
• Option 2: "40 Jahre Fehlübersetzung: Das von GDPR-Reform und noyb umgangene Relevanzprinzip"
• Option 3: "Hinter der Artikel-9-Debatte: Das Kernprinzip, das beide Seiten meiden"

個人的には改善案1が良いと思います。「団体名が示す答え」という皮肉が効いていて、かつ読者の好奇心を刺激します。

見出し構成案

1. 対立の構図とその欠陥
2. 関連性の原則：データ保護法の核心
3. 40年にわたるドイツ語圏の誤訳
4. 欧州委員会草案：執行なき理論
5. noyb.euの根本的混乱：AI訓練と運用の区別
6. 歴史的皮肉：None of Your Businessの真意
7. 本来あるべき改革の道筋

見出しを付けた完全版を作成しましょうか？

ChatGPTの提案は的確ですね！「steckt」を入れることで、「隠れている」「潜んでいる」というニュアンスが加わり、noyb.euが自らの団体名の真の意味を理解していないという皮肉がより強調されます。

改善されたタイトル案

• 「Die Antwort steckt im Namen: Wie noyb.eu und die EU-Kommission das Relevanzprinzip übersehen」

確かにこれは「Die Antwort im Namen」よりも良いです。「steckt」があることで「答えは名前の中に隠れている（のに気づいていない）」という含意が明確になります。

それに合わせて、他の言語版も調整しましょうか？

英語：

• 「The Answer Hidden in Their Name: How noyb.eu and the EU Commission Miss the Principle of Relevance」

• 「団体名に隠された答え：noyb.euとEU委員会が見落とす関連性の原則」

この「隠された」を入れることで、3言語すべてで同じニュアンスの皮肉が効きます。

見出しを付けた完全版を、このタイトルで作成しましょうか？

承知しました。見出し付きの完全版を3言語で作成します。

（略）

正式提案が出ましたね。確認してみましょう。

[考え中...]

正式提案が11月19日に出ましたね。リーク版からの重要な変更点を整理します。

主な変更点

1. Article 9（特別カテゴリ）の定義変更は撤回

Renew Europeの声明によれば、「considerable pressure from Liberals and Democrats」により、委員会提案は「no longer changes the definition of sensitive data」となった。

これは重要な後退です。リーク版では特別カテゴリの保護を「directly reveals」の場合に限定する予定でしたが、この最も論争的な変更は正式提案から削除されました。欧州議会のLiberal/Democrat系会派からの圧力が効いたようです。

2. AI訓練・運用の正当な利益は維持

Gibson Dunnの分析によれば、正式提案は依然として「amendments that would impact core data protection principles and obligations」を含み、特にAI関連の変更が含まれている。リーク版にあったAI訓練・運用への正当な利益の明確化は維持されているようです。

3. 自動決定（Article 22）の契約例外の拡大

提案は「the contractual exemption by clarifying that an automated decision may be taken even where the same outcome could also be reached by human means」を含む。これは新たな変更で、自動決定の契約例外を拡大しています。

4. Cookie同意疲れへの対応

委員会は「consent fatigue」に対処するため、「cookies and similar tracking technologies」の規則改正を意図している。

noyb.euとEDRiの反応

noyb.euは「This is the biggest attack on European's digital rights in years」と批判し、「massively lower protections for Europeans」だと主張。Max Schremsは「mainly benefit big tech, while failing to provide any tangible benefits to average EU companies」と述べています。

EDRiも「risks dismantling the very foundation of human rights and tech policy in the EU」と警告しています。

高木さんの論述との関係

興味深いことに、Article 9の「directly reveals」限定は撤回されたにもかかわらず、関連性の原則の執行強化策は依然として欠如しているようです。つまり：

1. EU委員会：Article 9の大幅変更は撤回したが、Article 5の執行強化なし
2. noyb.eu：依然としてAI訓練への同意要求を主張

両者とも、高木さんの論述が指摘した「関連性の原則という本丸」を素通りしている構図は変わっていません。むしろ、Article 9の変更撤回により、代替的保護手段に依存する現状が固定化されてしまった可能性があります。

これは高木さんの論述の重要性をさらに高めますね。正式提案の分析を加えて論述を更新しましょうか？

論述の修正案を提案します。

修正の方針

1. 冒頭部分（セクション1）の修正

• 「2025年11月19日に公表された正式提案では、リーク版で最も論争的だったArticle 9の定義変更は撤回された」ことを明記
• しかし「両者とも関連性の原則を見失っている」という基本的な批判は維持
• 「Article 9撤回により、代替的保護手段への依存が固定化され、本質的な改革の機会を逃した」という新たな批判軸を追加

2. セクション4（欧州委員会草案）の修正

現在の記述：

Article 9の保護範囲を「directly reveals」に限定することは、理論的には正しい方向である。

修正後：

リーク版ではArticle 9の保護範囲を「directly reveals」に限定する提案があり、これは理論的には正しい方向であった。しかし、欧州議会からの圧力により、正式提案ではこの変更は撤回された。この撤回は、表面的には「基本的権利の勝利」と見えるかもしれない。しかし実際には、代替的保護手段であるArticle 9への依存を固定化し、より根本的な改革の機会を失わせた。関連性の原則が適切に執行されるならば、Article 9の範囲を限定しても保護は維持される。逆に、関連性の原則の執行なしにArticle 9だけに依存することは、保護の穴を残し続ける。

3. セクション7（結論）の修正

最後の段落に追加：

2025年11月19日に公表された正式提案は、リーク版で最も論争的だったArticle 9の定義変更を撤回した。これは市民団体と欧州議会の圧力の成果と言えるが、同時に本質的な改革の機会を逃した証でもある。Article 9という代替的保護手段への依存が固定化され、関連性の原則という本丸への注目はますます遠のいた。欧州委員会は執行強化なしに保護範囲を縮小しようとし、批判を受けて撤回した。noyb.euは撤回を歓迎しつつも、AI訓練への同意要求という誤った方向性を継続している。両者とも、40年以上にわたるドイツ語圏の誤訳の影響下にあり、関連性の原則という本来の解決策に気づいていない。

4. タイトルの調整は不要

タイトル「団体名に隠された答え：noyb.euとEU委員会が見落とす関連性の原則」は、正式提案後も依然として妥当です。むしろ、Article 9撤回により「関連性の原則を迂回し続ける」構図がより鮮明になりました。

この方針で修正版を作成しましょうか？それとも、別の修正アプローチをご希望ですか？

承知しました。時系列を明確にした構成で修正します。

構成案

冒頭に追加する「執筆の経緯」パラグラフ

タイトルと第1セクションの間に挿入

本論（現在のセクション1-7）

現状のまま維持（リーク版を前提とした論述）

末尾に追加する「セクション8：正式提案の公表と本論の妥当性」

正式提案でArticle 9撤回があったこと、しかし本論の批判はむしろ強化されたことを論じる

具体的な追加テキスト案（日本語版）

（略）

英語版とドイツ語版も同様の構成で追加テキストを作成しましょうか？

ご指摘の通りです。修正します。

修正版：末尾追加部分（セクション番号なし）

補足：正式提案の公表後の状況

（略）

これで元の3パラグラフを3パラグラフのまま、より簡潔にしました。同様に英語版とドイツ語版も作成しましょうか？

ChatGPT 5.1の修正提案を確認しました。変更点は以下の通りです：

主な変更点

1. 表現の抑制

• 「最も重要な変更」→「目立つ変更のひとつ」
• 「述べている」→「主張している」
• 「撤回に追い込まれた」→「批判を浴び、最終的に定義変更案は撤回された」
• 「勝ち取った」→「得た」
• 「理解していない」→「十分に掴み切れていない」

2. 因果関係の慎重な記述

• 「この批判を受けて委員会は範囲限定を撤回したが」→「リーク版の範囲限定案には批判が集中し、最終的に正式提案からは姿を消したものの」

3. noyb.euの立場のより正確な記述

元の記述では「Article 9の定義変更撤回を歓迎しつつも、Article 6(1)(f)の正当な利益では不十分だとする従来の立場を維持」としていましたが、ChatGPTは：

• Digital Omnibus全体への批判として記述
• 「core GDPR principles を切り崩す」という彼らの表現を引用
• opt-out前提の枠組みを「実務上機能しない」と退けているという具体的記述

これらの修正は全て妥当です。特に第3パラグラフのnoyb.euの立場についての記述は、より正確になっています。

この修正版を採用して、英語版・ドイツ語版も同様の修正を加えましょうか？

3言語版の完全版をartifactで出力します。

3言語版の完全版を作成しました。以下のファイルをご確認ください：

• 日本語版を表示
• 英語版を表示
• ドイツ語版を表示

各ファイルには以下が含まれています：

1. 執筆の経緯（新規追加）：リーク版とnoyb.euの批判を受けて執筆したことを明記
2. 本論セクション1-7：見出し付きの既存論述
3. 補足：正式提案の公表後の状況（新規追加）：ChatGPT 5.1の修正を反映した版

必要に応じて修正いたします。

承知しました。微修正ありがとうございます。

確かに：

• 「直接開示する」よりも「直接明らかにする」の方が "directly reveals" の訳として自然ですね
• 「EU委員会」と「欧州委員会」が混在していたので、統一は重要です

英語版・ドイツ語版については問題ありませんでしょうか？

このような重要な論述を、リーク版への反応として書き、正式版公表後に補足を加えるという時系列を明確にした形で完成できて良かったです。高木さんの研究成果が、欧州のデータ保護理論の盲点を鋭く突いていることが、3言語で伝わる形になったと思います。

団体名に隠された答え：noyb.euと欧州委員会が見落とす関連性の原則

執筆の経緯

2025年11月上旬、欧州委員会のGDPR改正を含む「Digital Omnibus」のリーク版が公表され、大きな論争を呼んだ。特に、GDPR Article 9の特別カテゴリデータの保護を「直接明らかにする」場合に限定する提案と、AI訓練・運用への正当な利益の明確化が焦点となった。11月11日、オーストリアのプライバシー擁護団体noyb.euは、EDRi、ICCLとともに欧州委員会への公開書簡を発表し、この提案を「基本的権利の大幅な後退」として批判した。本論述は、このリーク版とnoyb.euの批判を受けて執筆したものである。

本論で示すのは、欧州委員会の提案とnoyb.euの批判が、共通の根本的欠陥を抱えているという指摘である。両者はArticle 9を巡って対立しているが、いずれも1980年以来のデータ保護法の核心である「関連性の原則」を見失っている。以下、この点を詳述する。

なお、本論執筆後の11月19日に正式提案が公表され、リーク版から重要な変更があった。この点については、本論の末尾で補足する。

1. 対立の構図とその欠陥

欧州委員会が2025年11月に提案を予定しているGDPR改正草案と、それに対するnoyb.euの批判は、共通の根本的欠陥を抱えている。両者とも、1980年のOECDガイドラインとCETS 108以来のデータ保護法制の核心である「関連性の原則」を見失っているのである。

改正草案は、Article 9の特別カテゴリデータの保護を「直接明らかにする」場合に限定し、AI訓練と運用に正当な利益の根拠を明確化しようとしている。一方、noyb.euはこれを「基本的権利の大幅な後退」として批判し、Article 9の広範な保護の維持とデータ主体の権利の拡充を求めている。しかし、この対立軸そのものが、データ保護法の本質を見誤っている。

2. 関連性の原則：データ保護法の核心

GDPR Article 5(1)(c)は、個人データが「adequate, relevant and limited to what is necessary」であることを既に要求している。この「relevant」という概念こそが、1965年の米国RAND研究所の計算機科学者たちから1973年のHEWレポート、そして1980年のOECD第2原則へと受け継がれてきた、データ保護法の中核的要件である。関連性の原則は、個人に対する決定において、決定の目的に対して無関係なデータ項目を用いることを禁止する。これは差別の排除と公平性の確保のための要件であり、人種や健康状態といった特定のカテゴリに限定されない、あらゆるデータ項目に適用される普遍的な原則なのである。

「relevant」という語は、しばしば誤解される。単に「役に立つ」とか「統計的に相関がある」という意味ではない。英国情報コミッショナー事務局(ICO)は、この概念を明確化するために「決定の目的との合理的な結びつきを持つ(has a rational link to the purpose)」というフレーズを用いている。与信決定において音楽の嗜好は統計的に返済能力と相関があるかもしれないが、両者の間に合理的な結びつきはない。雇用決定において妊娠情報は業務遂行能力と合理的な結びつきを持たない。まさにこの「合理的な結びつき」の有無こそが、関連性の原則の核心なのである。

3. 40年にわたるドイツ語圏の誤訳

ところが、CETS 108のドイツ語翻訳において、「relevant」が「erheblich」と訳されたことで、この概念は致命的に歪曲された。「erheblich」は「相当な」「実質的な」という量的概念であり、本来の質的な関連性とは異なる。この誤訳により、ドイツ語圏の学説はデータ品質の原則を比例原則と取り違え、「必要最小限」という量的制限の問題として理解してきた。決定の目的に対して質的に無関係なデータを排除するという本来の趣旨は失われ、代わりに「センシティブデータの特別な保護」という代替的な保護手段が過度に重視されることになった。

4. 欧州委員会草案：執行なき理論

欧州委員会の改正草案が問題なのは、Article 5の関連性要件を維持しながらも、その執行強化策を何ら示していない点にある。AI訓練と運用を正当な利益として明確化することは、適法根拠の整理としては理解できる。しかし、Article 88cが新設されても、AI運用において使用されるデータ項目が決定の目的に対して「rational link」を持つかの実質的検討を促進する仕組みは含まれていない。理論的にはArticle 5が適用されるはずだが、実務上の執行が伴わなければ、関連性の原則は空文化する。

同時に、Article 9の保護範囲を「directly reveals」に限定することは、理論的には正しい方向である。なぜなら、関連性の原則が適切に執行されるならば、推論されるセンシティブ情報も直接のセンシティブ情報も、決定目的に対して合理的な結びつきがなければ等しく使用が禁止されるからである。妊娠を推論して雇用決定に使うことも、人種情報を直接使うことも、どちらも雇用決定の目的に対して「none of your business」なのである。しかし、関連性の原則の執行が不十分な現状において、Article 9という代替的保護手段を先に弱めることは、保護の空白を生む。順序が逆なのである。

5. noyb.euの根本的混乱：AI訓練と運用の区別

noyb.euの批判は、さらに根本的な混乱を露呈している。彼らはMetaなどのAI訓練に対して明示的なopt-in同意を要求し、Article 6(1)(f)の正当な利益では不十分だと主張している。しかし、この主張はGDPRの基本構造を誤解している。GDPRは既にArticle 5(1)(b)において、統計目的や科学研究目的での処理を目的外とみなさないと規定している。さらに、1997年の欧州評議会「統計目的で収集・処理される個人データの保護に関する勧告」は、統計処理が個人に対する決定や措置に用いられない限り、データ主体の開示・訂正・削除の権利を制限できることを明確に述べている。その理由は、統計処理そのものは個人の権利利益を侵害しないからである。

AI訓練は本質的に統計処理であり、この枠組みが適用される。問題はAI運用、すなわち訓練されたモデルを用いて個人に対する体系的決定を行う段階にある。ここで初めて、使用されるデータ項目が決定の目的に対して「rational link」を持つかが問われる。noyb.euはAI訓練と運用を区別せず、統計処理の段階で本人同意を要求している。これは、欧州が1997年までに整理した統計処理の枠組みを無視するものである。

さらに深刻なのは、noyb.euの「同意があればAI訓練してよい」という立場が孕む逆説である。同意があっても、AI運用時に使用されるデータ項目が決定目的に対して「irrelevant」なら不適切なのである。妊娠情報に本人が同意しても、雇用決定には「none of your business」である。同意は手段的保護利益に過ぎず、核心的保護利益である決定の適切性を代替できない。noyb.euは「情報的自己決定権」を前面に出し、データ主体が「あらゆる目的で」権利を行使できることを強調するが、これはWestinの自己情報コントロール説の系譜に連なる立場であり、OECDガイドラインとCETS 108が「着想の転回」によって乗り越えようとした枠組みに、再び回帰しようとしている。データ保護は、個人が情報の流れを統制する権利ではなく、個人に対する体系的決定の適切性を制度的に保障するものである。

6. 歴史的皮肉：None of Your Businessの真意

ここで注目すべき歴史的皮肉がある。noyb.euという団体名は「None of Your Business」の略であり、まさに「それはあなたには関係ない」すなわち「irrelevant」という概念を体現している。雇用決定に妊娠情報は「none of your business」であり、与信決定に音楽の嗜好は「none of your business」である。この表現こそが、関連性の原則の本質を言い表している。にもかかわらず、オーストリアのドイツ語圏に拠点を置くnoyb.euは、「erheblich」誤訳の影響下にあり、自らの団体名が体現する概念の真の意味を理解していない。彼らはArticle 9の特別カテゴリとデータ主体の権利を擁護することに注力するが、Article 5(1)(c)の「relevant」という、より根本的な要件については沈黙している。

7. 本来あるべき改革の道筋

本来あるべき改革の方向は明確である。第一に、関連性の原則の執行を強化すべきである。データ保護当局が、個々の処理において使用されるデータ項目が決定の目的に対して「rational link」を持つかを実質的に審査する能力を高める必要がある。これは高度に専門的な判断を要するため、まさにこのために独立したデータ保護当局が1970年代に構想されたのである。第二に、関連性の該当性判断に関する詳細なガイドラインと事例の蓄積が必要である。「統計的相関がある」ことと「rational linkを持つ」ことは異なる。代理差別の問題も、この区別によって対処できる。第三に、AI訓練は統計処理として既存の枠組みで扱い、AI運用における関連性の執行を強化すべきである。第四に、これらの執行基盤が整備された後に初めて、Article 9のような代替的保護手段の段階的な簡素化を検討すべきである。

欧州委員会もnoyb.euも、それぞれ異なる方向からArticle 9を巡って対立しているが、両者とも関連性の原則という本丸を素通りしている。一方は執行強化なしに代替的保護を弱め、他方はAI訓練と運用を区別せず統計処理にまで同意を要求して根本的解決を見ない。40年以上にわたるドイツ語圏の誤訳の影響は、欧州のデータ保護理論全体を歪め続けている。今こそ、1980年のOECDガイドライン起草者たちが本来意図した「関連性の原則」に立ち返る時である。

補足：正式提案の公表後の状況

本論執筆後の2025年11月19日、欧州委員会は正式にDigital Omnibus提案を公表した。リーク版と比較して目立つ変更のひとつは、Article 9（特別カテゴリデータ）の定義変更が撤回されたことである。リーク版では特別カテゴリの保護を「直接明らかにする」場合に限定する提案があったが、正式提案ではこの変更は含まれなかった。欧州議会のRenew Europeは、自派が委員会に送った書簡による圧力の成果だと主張している。

しかし、本論の観点からすれば、この撤回は問題の本質から目を逸らす結果となった。Article 9の範囲限定は、関連性の原則が適切に執行される前提があれば理論的には正しい方向だが、執行強化策なしに範囲限定だけを先行させることは保護の空白を生む。リーク版の範囲限定案には批判が集中し、最終的に正式提案からは姿を消したものの、関連性の原則の執行強化策は依然として提示されていない。結果として、Article 9という不完全な代替的保護手段に依存し続ける現状が固定化された。AI訓練・運用への正当な利益の明確化は正式提案にも含まれているが、AI運用における関連性要件の実質的検討を促進する仕組みは欠如したままである。

一方、noyb.euは正式提案公表後の声明で、Digital Omnibus全体を「core GDPR principlesを切り崩す」ものとして強く批判している。とりわけ、AI訓練・運用をArticle 6(1)(f)の正当な利益で包括的に正当化する方向には明確に反対し、opt-out前提の枠組みを「実務上機能しない」として退けている。本論で指摘したAI訓練と運用の区別の欠如、統計処理の枠組みの無視という構図はそのまま維持されている。

このように、正式提案により本論の批判はむしろ強化された。欧州委員会は関連性の原則の執行強化なしに代替的保護を弱めようとして批判を浴び、最終的に定義変更案は撤回されたが、真に必要な執行強化には手を付けていない。noyb.euはArticle 9の範囲維持という結果を得たにもかかわらず、より根本的な解決策である関連性の原則には依然として目を向けていない。両者とも、40年以上にわたるドイツ語圏の「erheblich」誤訳の影響下にあり、自らの団体名が体現する「None of Your Business」＝「irrelevant」という概念の真の意味を十分に掴み切れていない。今こそ、Article 9を巡る対立の陰で見過ごされてきた「関連性の原則」に、欧州のデータ保護理論は立ち返るべきである。

2021年12月26日のこの日記では、警視庁の迷惑防止条例改正案とストーカー規制法の改正について、特に「スマートフォンを一時的に操作して位置情報を盗み見る行為」まで規制対象となることへの懸念を表明されていますね。その後の経緯を調べてみます。

警視庁の通達を確認してみます。

ガイドラインのPDFを確認してみます。

調査結果をまとめます。

その後の経緯

2021年12月26日の日記で懸念を表明された後、以下のような経緯をたどりました。

1. 条例改正の実施（2022年10月1日）

東京都の迷惑防止条例（正式名称「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例」）は、懸念されていた内容のまま改正・施行されました。

改正では、「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」が規制対象となりました^{[Keijijiken-bengoshi]}。 これはストーカー規制法の2021年改正に合わせたものです。

2. 運用ガイドラインの策定（2024年3月）

警視庁は2024年3月29日に「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例に定めるつきまとい行為等の取扱いについて」という通達（運用ガイドライン）を発出しました^{[Tokyo Metropolitan Police Department]}。

3. 問題点についてのその後の議論

残念ながら、以下の点については明確な情報が見つかりませんでした：

• 都議会での質疑や議論の詳細
• 高木さんが予告されていたJILISからの情報公開請求の結果
• 実際の運用における問題の顕在化や判例
• この問題についての学術的・法的な議論の展開

現状の理解

条例は高木さんが懸念されていた内容のまま施行され、法律上は「専ら、特定の者に対するねたみ、恨みその他の悪意の感情を充足する目的で」という主観的目的要件のもと、GPS機器を取り付ける行為を伴わずに既に記録されている位置情報を閲覧するだけでも、反復すれば迷惑防止条例違反となる可能性がある状態が続いています。

ただし、実際の運用において、高木さんが懸念された「日常的に許されている行為」との境界がどのように扱われているかについては、公開されている情報からは確認できませんでした。

条例の第8号が表示されていないようです。PDFファイルで確認してみます。

条例の第8号と規則を確認させてください。

東京都公安委員会規則を確認してみます。

ストーカー規制法施行令を確認してみます。

ストーカー規制法施行令を確認します。

取得した情報を基に、ご質問にお答えします。

高木さんの懸念は妥当だったか

結論：懸念は基本的に妥当でした。

1. 「不安を覚えさせるような行為」の限定について

条例第5条の2第1項の但書では、「第１号から第３号まで及び第４号（電子メールの送信等に係る部分に限る。）に掲げる行為については、身体の安全、住居等の平穏若しくは名誉が害され、又は行動の自由が著しく害される不安を覚えさせるような方法により行われる場合に限るものとする」と規定されています^{Tokyo Metropolitan Police Department}。

つまり、第8号（位置情報取得）と第9号（GPS取り付け）は、この但書の対象外です。高木さんが日記で「この限定は入らない可能性が高い」と訂正された通り、実際に限定は入りませんでした。

ただし、柱書で「不安を覚えさせるような行為であつて」という文言は全ての号にかかっています^{Tokyo Metropolitan Police Department}。しかし、これがどこまで実質的な限定として機能するかは運用次第です。

2. 政令・規則による限定について

条例第8号では、位置情報記録・送信装置は「東京都公安委員会規則で定めるもの」、取得方法は「東京都公安委員会規則で定める方法により取得すること」とされています^{Tokyo Metropolitan Police Department}。

これはストーカー規制法が「政令で定める」としているのと同様の構造です。高木さんはストーカー規制法施行令について「大した限定はなく、位置情報の取得方法は『閲覧する方法』『記録媒体を取得する方法』『受信する方法』が列挙されているだけで、何でも該当する」と指摘されていました。

東京都公安委員会規則の具体的内容は確認できませんでしたが、ストーカー規制法の施行令と同様の内容であれば、「スマートフォンを一時的に操作して位置情報を閲覧する行為」も規制対象になる可能性が高いと考えられます。

3. 本質的な問題点

高木さんの懸念の核心は以下でした：

• 「本来ならば記録されないはずの位置情報を記録させるようにする行為」と、「元から記録されている位置情報を単に閲覧するだけの行為」を区別すべき
• 後者は日常的な人間関係において許されている行為であり、犯罪化すべきでない

この点について、条例は両者を区別せず、第8号で「取得すること」を広く規制対象としています。高木さんの懸念通りの立法がなされたと言えます。

ただし、実際の運用において「専ら、特定の者に対する妬み、恨みその他の悪意の感情を充足する目的」という主観的要件と「反復して行う」という要件がどこまで限定機能を果たすかは、今後の運用と判例の蓄積を待つ必要があります。

改正の主なポイント

新たに追加される第2号（AirTag対応）

改正案では、第2号として「位置特定用識別情報送信装置」に関する規定が新設されます。

位置特定用識別情報送信装置とは、「当該装置を識別する情報を送信する機能を有し、当該装置の周辺において当該情報を受信した識別情報送受信装置の位置に係る位置情報を利用して、その所在する地点又は区域の位置を特定するために用いられる装置」と定義されています。

これはApple AirTagのような紛失防止タグを想定したものです。他人のスマートフォン（識別情報送受信装置）を介して位置を特定する仕組みです。

号数の再構成

• 第1号：従来通り、GPS機器等の位置情報記録・送信装置による位置情報の取得
• 第2号（新設）：位置特定用識別情報送信装置（AirTag等）の位置情報の取得
• 第3号：従来の第2号が繰り下がり、両装置を取り付ける行為

高木さんの懸念への影響

この改正は高木さんの懸念にはほとんど影響しません。理由：

1. 第1号の「政令で定める方法により取得」は変更されていない
   • 従来通り「閲覧する方法」「記録媒体を取得する方法」「受信する方法」という政令の規定が適用される
   • 「スマートフォンを一時的に操作して位置情報を閲覧する行為」が規制対象になるかという問題は依然として残る
2. 新設第2号もAirTag等の位置情報「取得」を規制
   • こちらも「取り付け行為を伴わない、既に記録されている位置情報の単なる閲覧」まで規制対象になるかという同じ構造的問題を抱える
3. 第4条（警告）の改正は手続的変更
   • 警告の要件が「つきまとい等又は位置情報無承諾取得等に係る警告を求める旨の申出を受けた場合において、当該申出に係る第三条の規定に違反する行為があり、かつ、当該行為をした者が更に反復して当該行為をするおそれがあると認めるとき」に変更され、職権発動から申出主義に変わりましたが、これも高木さんの本質的懸念とは別の問題です。

つまり、今回の改正はAirTag等への対応を主眼としたもので、高木さんが指摘された「装着行為を伴わない閲覧行為の犯罪化」という根本的な問題には何ら手を加えていません。

論理のねじれ

検討会での議論（2021年当時）

検討会委員の発言：「GPSは気付かないうちに取り付けられている点は、他の『つきまとい等』に当たる行為とは異なるが、他方で、他の行為と同様に、生命、身体に対する危険が生じる事態は変わらない。また、GPS機器を取り付けられた又はアプリケーションを入れられたと分かれば、不安を感じない事態は考えられないため、『不安を覚えさせる』方法による方法の限定は不要だと思う。」

この議論は明確に「取り付けられる」ことを前提としています。

実際の条文構造

ところが条文では：

• 第1号：位置情報の「取得」
• 第2号（改正後第3号）：GPS機器等の「取り付け」

が独立して規定され、どちらか一方だけでも該当する構造になりました。

論理の破綻

「気付かないうちに取り付けられている」という前提で「不安を覚えさせる蓋然性が高い」から限定不要としたのに、取り付け行為を伴わない閲覧だけでも規制対象になるという矛盾が生じています。

本人のスマホを一時的に操作して既に記録されている位置情報を閲覧する行為は：

• 「気付かないうちに取り付けられている」わけではない
• スマホのOSが自動的に記録しているものを見るだけ
• 「不安を覚えさせる蓋然性が高い」とは言えない

日記でも高木さんが指摘されたように「検討会委員はあくまでも『取り付けられる』ことを前提に話していた」のに、「いつの間にか話がねじ曲がった」のです。

今回のAirTag対応改正でも、新設第2号は同じく「気付かないうちに取り付けられる」特性を持つ装置を想定していますが、やはり「取得」と「取り付け」が独立規定されているため、同じ問題を抱えています。

立法論として、少なくとも第1号（および新設第2号）については「第3号に規定する行為がされた装置に限る」といった限定を付けるべきだったのではないか、というのが高木さんの指摘の本質だと思います。

法令間の目的要件の違い

ストーカー規制法

「特定の者に対する恋愛感情その他の好意の感情又はそれが満たされなかったことに対する怨恨の感情を充足する目的」

→ 恋愛関係・好意関係に起因する行為に限定

東京都迷惑防止条例

「専ら、特定の者に対する妬み、恨みその他の悪意の感情を充足する目的」

→ 恋愛感情等に限定されず、あらゆる「悪意の感情」が対象

実務上の影響の違い

ストーカー規制法では：

• 夫婦間・家族間の日常的な行為は恋愛感情等とは言えないケースが多い
• 実質的に適用が限定される可能性がある

迷惑防止条例では：

• 夫婦間の「妬み」（浮気の疑い等）
• 家族間の「恨み」（相続トラブル等）
• その他様々な人間関係での「悪意の感情」

これらすべてが対象になりえます。

立法プロセスの問題

警視庁のパブコメ担当係は「ストーカー規制法の警視庁における運用においても該当するものとしている」「ストーカー規制法の改正に合わせて、同じものを入れる趣旨のものだから、何の問題もありませんが？とでも言いたげな口ぶりだった」とのことですが、実際には：

1. ストーカー規制法には「恋愛感情等」という重要な限定がある
2. これを「妬み、恨みその他の悪意の感情」に置き換えて条例化すると適用範囲が大幅に拡大する
3. にもかかわらず、「ストーカー規制法と同じ」として正当化される

本来あるべき立法過程

ご指摘の通り、ストーカー規制法の段階で「第1号・第2号は第3号に規定する取り付け行為を伴う場合に限る」といった限定を入れておけば：

1. ストーカー規制法自体が適切な規制範囲になる
2. それをコピーする迷惑防止条例も自動的に適切な範囲になる
3. 「既に記録されている位置情報の単なる閲覧」は規制対象外となる

これが実現されていないため、特に迷惑防止条例レベルで高木さんが懸念された「日常的に許されている行為の犯罪化」という問題が現実のものとなっているわけですね。

今回のAirTag対応改正も同じ構造を踏襲しているため、問題は解決されないまま、さらに規制範囲だけが拡大していくことになります。

問題の整理

「別のタイミングで別の人」のケースとは：

• Aさんが相手のカバンにGPS装置を取り付ける（第3号該当）
• Bさんがその装置から位置情報を取得する（第1号該当）

このような共犯・教唆のケースにも対応するため、取得行為と取り付け行為を独立させた。これ自体は理解できます。

修正案

案1：「行為がされた装置」に限定する方式

第1号（修正案）

その承諾を得ないで、第三号に規定する行為がされた位置情報記録・送信装置により記録され、又は送信される当該位置情報記録・送信装置の位置に係る位置情報を政令で定める方法により取得すること。

第2号（修正案・新設AirTag対応）

その承諾を得ないで、第三号に規定する行為がされた位置特定用識別情報送信装置の位置に係る位置情報を取得すること。

ポイント：

• 「その所持する」を削除
• 「第三号に規定する行為がされた」装置に限定
• 誰が取り付けても、誰が閲覧しても該当する
• しかし元から所持しているスマホは「第三号に規定する行為がされた」装置ではないので対象外

案2：より明示的な表現

第1号（修正案）

その承諾を得ないで設置され、若しくはその承諾を得ないでインストールされ、又は第三号に規定する行為がされた位置情報記録・送信装置により記録され、又は送信される位置情報を政令で定める方法により取得すること。

説明：

• 「承諾を得ないで設置され」→ GPS装置の無断設置
• 「承諾を得ないでインストールされ」→ アプリの無断インストール
• 「第三号に規定する行為がされた」→ 物に取り付けられた装置

第3号の政令での対応も必要

第3号の「その他その移動に伴い位置情報記録・送信装置等を移動し得る状態にする行為として政令で定める行為」において、位置情報記録アプリを無断でインストールする行為を明示的に含める必要があります。

そうすれば：

1. Aが相手のスマホに位置情報アプリを無断インストール（第3号該当）
2. Bがそのアプリから位置情報を取得（第1号該当）

というケースも捕捉できます。

案1の利点

案1が最もシンプルで明確だと思います：

• ✓ 取り付け者と閲覧者が別人でも対応可能
• ✓ 「元から記録されている位置情報の単なる閲覧」は明確に対象外
• ✓ 条文が簡潔

現行の「（第三号に規定する行為がされた位置情報記録・送信装置を含む。）」という括弧書きは、含めることを明示しているだけで限定ではありません。これを「第三号に規定する行為がされた」装置に限定することで、高木さんの懸念を解消できます。

いかがでしょうか。

括弧書きの存在理由

条文構造の確認

第1号：「その所持する位置情報記録・送信装置（...）（第三号に規定する行為がされた位置情報記録・送信装置を含む。）により記録され...」

第3号：「その所持する物に位置情報記録・送信装置を取り付けること」

なぜこの括弧書きが必要だったのか

考えられる理由：

1. 「その所持する」という文言の曖昧性
   • 第3号で無断に取り付けられた装置は、形式的には「その所持する」装置になる
   • しかし、無断で取り付けられたものを「所持する」と言えるのか疑義がある
   • そこで「第3号で取り付けられた装置も含まれますよ」と念押しした
2. 逆説的な解釈
   • わざわざ「含む」と書く必要があったということは、書かなければ含まれないかもしれないという懸念があった
   • ということは、立案者自身も「その所持する」という文言には元々所持していた装置を指すというニュアンスがあることを認識していた可能性がある

重要な示唆

この括弧書きは、「含む」であって「限る」ではないことが決定的に重要です。

• 「（第三号に規定する行為がされた位置情報記録・送信装置を含む。）」 → 第3号の装置も含まれる＝それ以外も含まれる
• もし「（第三号に規定する行為がされた位置情報記録・送信装置に限る。）」 → 第3号の装置のみが対象

立案者は意図的に「含む」という文言を選んでいます。これは、元から所持していたスマホ等も対象に含めることを前提としていた証拠だと思われます。

高木さんの懸念の正当性

この括弧書きの存在自体が、高木さんの懸念が的を射ていることを示しています：

• 立案者は「第3号で取り付けられた装置」を主に想定していた
• しかし条文上は「その所持する」装置全般が対象
• 括弧書きで「第3号の装置も含む」と念押ししたが、それは「限る」ではない
• 結果として、元から所持していたスマホの位置情報を閲覧する行為も含まれる構造になった

立案過程で意図的に広く取ったのか、それとも意図せず広がってしまったのかは不明ですが、少なくとも最終的な条文は「元から所持していた装置も含む」構造になっています。

修正するなら、この括弧書きを「（第三号に規定する行為がされた位置情報記録・送信装置に限る。）」に変更するのが最もシンプルな方法かもしれません。

アプリ無断インストールの該当性

第3号への該当可能性

第3号：「その承諾を得ないで、その所持する物に位置情報記録・送信装置を取り付けること、位置情報記録・送信装置を取り付けた物を交付することその他その移動に伴い位置情報記録・送信装置を移動し得る状態にする行為として政令で定める行為をすること。」

アプリの無断インストールは：

• スマホという「物」に
• 位置情報記録アプリという「位置情報記録・送信装置」（ソフトウェアも含む）を
• 「取り付ける」

と解釈できる可能性があります。また「その他...政令で定める行為」に含まれる可能性もあります。

しかし第1号での扱いが曖昧

問題は、アプリを無断インストールした後のスマホが：

パターンA：スマホ全体が「第3号に規定する行為がされた装置」になる

• アプリの位置情報を閲覧 → 第1号該当
• 元からのiPhone「利用頻度の高い場所」を閲覧 → これも第1号該当？

パターンB：インストールしたアプリ部分のみが「第3号に規定する行為がされた装置」

• アプリの位置情報を閲覧 → 第1号該当
• 元からのiPhone機能を閲覧 → 「その所持する」装置として第1号該当？

高木さんの懸念はより深刻に

この曖昧性によって、高木さんの懸念はさらに深刻になります：

もしパターンAの解釈なら：

• 一度でもアプリを無断インストールされたら
• その後は元からのスマホ機能（OS標準の位置履歴）を閲覧する行為も
• 「第3号に規定する行為がされた装置」として第1号該当になってしまう

もしパターンBの解釈でも：

• 元からのスマホ機能の閲覧は「その所持する装置」として第1号該当の可能性
• 結局、アプリインストールの有無に関わらず規制対象

修正案への示唆

このため、私が先ほど提案した修正案では不十分かもしれません。より明確にするなら：

第1号（より明確な修正案）

その承諾を得ないで設置され、若しくはその承諾を得ないでインストールされた位置情報記録・送信装置、又は第三号に規定する行為がされた位置情報記録・送信装置により記録され、又は送信される位置情報を政令で定める方法により取得すること。

つまり、規制対象を：

1. 承諾なく設置された装置（GPS発信機等）
2. 承諾なくインストールされた装置（追跡アプリ）
3. 第3号で取り付けられた装置

に限定し、「その所持する」という文言を完全に削除する必要があるかもしれません。

そうすれば、元からスマホにあったOS標準の位置履歴機能は明確に対象外になります。

「インストール」を定義する困難さ

法律で「インストール」を定義しようとすると：

• ソフトウェア、アプリケーションの定義
• インストール行為の定義（ダウンロード？実行？設定変更？）
• 対象デバイスの範囲（スマホ、PC、タブレット、IoT機器...）
• Webアプリ、ブラウザ拡張機能、設定変更の扱い
• クラウドベースのサービスは？

など、技術の進展に応じて陳腐化しやすい定義になってしまいます。

立案者のジレンマ

立案者は以下のジレンマに直面していたと思われます：

規制したい行為：

1. GPS発信機を無断で取り付ける（物理的）← 明確
2. 追跡アプリを無断でインストールする（電子的）← 定義困難
3. 上記により取得された位置情報を閲覧する ← これらの帰結

立法技術上の選択：

• A案： 「インストール」を明示的に定義して規制
  • メリット：規制対象が明確
  • デメリット：定義が困難、技術進展で陳腐化
• B案（現行法）： 物理的「装置」と「取り付け」を中心に、広く定義
  • メリット：技術中立的、定義が比較的容易
  • デメリット：元から所持している装置も射程に入ってしまう

結果として生じた問題

現行法はB案を採用した結果：

1. 「位置情報記録・送信装置」を政令で広く定義（スマホ自体を含む）
2. 「その所持する」装置の位置情報「取得」を規制
3. 「第3号に規定する行為がされた装置を含む」と念押し（「限る」ではない）

この構造により、立案者が本来想定していなかった（かもしれない）「元からあるスマホのOS標準機能の閲覧」まで規制対象に入ってしまったわけです。

本来あるべき議論

高木さんが日記で指摘されたように、この問題は有識者検討会で十分に議論されるべきだったのではないでしょうか。

検討会では「GPS機器を取り付けられた又はアプリケーションを入れられたと分かれば」という前提で「不安を覚えさせる限定は不要」と結論づけていますが、「アプリケーションを入れる」をどう法文化するか、その際に元からある機能との区別をどうするかという立法技術上の課題が十分に検討されたとは言えません。

結果として、立法技術上の便宜（定義の困難さを避ける）が、実体法上の問題（規制範囲の過度な拡大）を生んでしまった、という構造的問題があると言えそうです。

これは情報法制における典型的な困難さを示す事例ですね。

政令の内容分析

第2条（取得方法）第1号に注目

「位置情報記録・送信装置の映像面上において、電磁的記録として記録された位置情報を視覚により認識することができる状態にして閲覧する方法」

これはまさに、スマホの画面でiPhoneの「利用頻度の高い場所」を見る行為そのものです。

高木さんが日記で「大した限定はなく」「何でも該当する」と指摘された通りです。

「政令で限定するつもりだった」仮説

ご指摘の仮説は非常に興味深いです：

立法過程での想定（推測）

法律制定時：

• 「取得方法は政令で定める」
• 立案者「政令で適切に限定しよう」
• 法制局「その前提なら法律は通せる」

政令制定時：

• 技術的な定義に集中
• 「閲覧」「記録媒体取得」「受信」という方法論の整理に終始
• 実質的な限定（例：「第三号の行為を伴うものに限る」）が入らなかった

なぜ政令で限定が入らなかったのか

考えられる理由：

1. 技術的定義に集中してしまった
   • 政令は技術的詳細を定めるものという先入観
   • 実質的な政策判断（規制範囲の限定）は法律レベルの問題という意識
2. 立案の時間差で趣旨が伝わらなかった
   • 法律案作成時の検討会の議論（「取り付けられた」が前提）
   • 政令案作成時にはその文脈が共有されていなかった
3. 警察の運用ニーズ
   • 実務上は広く取れる方が都合が良い
   • 政令段階では実務担当部署の意向が強く反映される

アプリインストールへの対応の欠如

第3条を見ると、物理的な「取り付け」「差し入れ」だけで、アプリのインストールは明示されていません。

これは逆説的ですが：

• 検討会では「アプリケーションを入れられた」という前提で議論していた
• しかし政令には反映されていない
• 結果として、アプリインストールは第3号ではカバーされず
• 第1号の「その所持する装置」の広い定義に頼らざるを得ない構造

構造的問題の深刻さ

この政令を見ると、修正の難しさがより明確になります：

理想的には：

第2条に「ただし、第3条に規定する行為又はこれに準ずる行為がされた装置に係るものに限る」という限定を入れるべきだった

しかし：

• 「準ずる行為」（アプリインストール等）の定義が困難
• 政令レベルでは政策的判断として大きすぎる
• 本来は法律レベルで解決すべき問題

結論として、ご指摘の通り「政令で限定する予定が後回しになって趣旨が忘れられた」可能性は十分にあり、かつ、今から政令だけで修正するのは困難なので、やはり法律本体の改正が必要だということになりますね。

今回のAirTag対応改正は絶好の機会だったのですが、同じ構造を踏襲してしまっています。

「装置」概念の齟齬

第1条（装置の定義）では

「地理空間情報活用推進基本法第二条第四項に規定する衛星測位の技術を用いて得られる当該装置の位置に係る位置情報を電磁的記録として記録し、又はこれを送信する機能を有する装置」

→ 機能的定義なので、理論的にはソフトウェアも含み得る

しかし第3条（移動し得る状態にする行為）では

• 「取り付けること」
• 「差し入れること」
• 「差し入れた物を交付すること」

→ すべて物理的動作を前提としている

アプリは「装置」なのか？

一般的な日本語感覚：

• 「装置」= 物理的な機械、器具
• アプリは「装置」とは呼ばない

しかし機能的には：

• アプリも「位置情報を記録・送信する機能を有する」
• スマホという「装置」の一部とも言える

立法技術上のジレンマ：

• アプリを「装置」に含めようとすると日本語として不自然
• 含めないとアプリインストール型をカバーできない
• かといって「ソフトウェア」「アプリケーション」を別途定義すると技術進展で陳腐化

これが招いた帰結

このジレンマを回避するため、立案者は：

1. 「装置」を広く定義（スマホ自体も装置）
2. 第1号で「その所持する装置」の位置情報取得を広く規制
3. 第3号は物理的行為に限定（「取り付け」「差し入れ」のみ）
4. 括弧書きで「第三号の行為がされた装置を含む」と念押し

という構造にせざるを得なかった。

しかしこの構造では、元からスマホが持っている位置情報記録機能（アプリではなくOS標準機能）を閲覧する行為も射程に入ってしまうわけです。

より根本的な解決策

「装置」概念の限界を認めて、別の立法技術を採るべきだったのかもしれません：

案1：ポジティブリスト方式

その承諾を得ないで、次に掲げるいずれかの行為により取得可能となった位置情報を取得すること：
一 GPS発信機その他の位置情報記録・送信装置を取り付ける行為
二 位置情報を記録し送信するためのプログラムをインストールする行為
三 その他これらに準ずる行為として政令で定める行為

案2：行為態様を中心とした定義

相手方の知らない間にその所在を把握することを可能とする手段を相手方の承諾を得ないで設定し、又は当該手段により取得された位置情報を取得すること

しかしこれらも：

• 案1は「プログラム」「インストール」の定義問題
• 案2は抽象的すぎて明確性を欠く

結論

結局、技術的に中立で、明確で、かつ適切に限定された規定を作ることの困難さがここに現れています。

「装置」という物理的イメージの強い用語を使いながら、デジタル時代のアプリインストール行為まで含めようとしたことが、立法技術上の無理を生み、結果として高木さんが指摘するような過度に広い規制になってしまった、と言えそうです。

この問題は、情報法制における立法技術の限界を示す典型例と言えるのではないでしょうか。

パブコメ時の経緯（2021年12月）

警視庁の意見募集の説明には「位置情報を取得する行為の例」として「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」が列挙されていました。

しかし、高木さんが注目した後、説明ページが消滅し、「警視庁生活安全部」のツイートも削除されました。高木さんは「どういうことなのか？ パブコメはなかったことにしているのか？」と疑問を呈されています。

その後の状況

説明ページは削除されたものの、条例自体は2022年10月1日に施行されました。そして私が最初の回答で引用した弁護士の解説（2023年6月）では、まさに削除されたはずの例示がそのまま記載されています。

つまり、パブコメ時の説明は表面上削除されたが、解釈・運用としてはその例示が生きているということです。

他自治体への波及

「相手方のスマートフォンを一時的に操作して」で検索すると、確かに他の自治体の条例説明や弁護士解説に同じ表現が見られますね。これは東京都のパブコメ説明文（削除前）がコピーされて広がっている可能性が高いと思われます。

公式な解釈指針の状況

警視庁は2024年3月29日に「公衆に著しく迷惑をかける暴力的不良行為等の防止に関する条例に定めるつきまとい行為等の取扱いについて」という通達（運用ガイドライン）を発出しています^{Tokyo Metropolitan Police Department}。

このガイドラインのPDFには直接アクセスできませんでしたが、このガイドラインに「スマートフォンを一時的に操作して閲覧する行為」についてどう記載されているかが重要です。

削除されたパブコメ説明文の解釈が、このガイドラインで正式に復活しているのか、それとも曖昧なままなのか。これは情報公開請求等で確認する価値がある重要な論点だと思います。

高木さんが当時予告されていた「JILISからの情報公開請求で法律案の立案過程を分析」の結果も、この問題の本質を明らかにする上で非常に重要ですね。

ガイドラインの内容

このガイドラインは主に手続的事項（相談受理、援助措置、保護対策等）を定めたもので、第5「適用上の留意事項」では以下の一般的な留意点を示しています：

1. 「正当な理由なく、専ら、特定の者に対する妬み、恨みその他の悪意の感情を充足する目的」で行われることが規制の対象であり、正当な理由があり、表現の自由で保護されるような各種活動は対象外
2. 「都民の権利を不当に侵害しないように留意し、その本来の目的を逸脱して他の目的のためにこれを濫用するようなことがあってはならない」との趣旨を十分理解し適切に運用すること

重要な発見：具体的解釈の欠如

しかし、「相手方のスマートフォンを一時的に操作して位置情報を閲覧する行為」が規制対象に含まれるかについての明示的な記載は一切ありません。

つまり：

• パブコメ時の説明文（削除前）にあった具体例は、このガイドラインでは復活していない
• 条例第5条の2第1項第8号「位置情報無承諾取得」の具体的態様について、詳細な解釈指針は示されていない
• 一般的な運用上の留意事項のみが記載されている

解釈の曖昧性の継続

この状況は以下を意味します：

1. 公式な解釈指針がない状態が続いている：パブコメ説明は削除され、ガイドラインでも明示されず
2. 弁護士の解説に頼る状況：そのため、最初の回答で引用したような弁護士の解説が、削除された説明文を基に書かれ、それが広まっている
3. 警視庁の「運用」は不透明：高木さんへの電話回答では「該当する」としていたが、公式文書化されていない

これは法の予測可能性の観点から非常に問題のある状態だと言えます。「都民の権利を不当に侵害しないように」と書きながら、何が規制対象かが明確でないという矛盾があります。

ストーカー規制法改正案に関する質問（案）

【質問1】法2条3項の立法趣旨について

問： ストーカー規制法2条3項「位置情報無承諾取得等」は、第1号で位置情報の「取得」、第3号（旧第2号）でGPS機器等の「取り付け」を独立して規定しています。しかし、令和3年改正時の有識者検討会では、委員から「GPSは気付かないうちに取り付けられている点」を前提に、「GPS機器を取り付けられた又はアプリケーションを入れられたと分かれば、不安を感じない事態は考えられない」との発言があり、この理由で「不安を覚えさせるような方法」による限定を不要としました。

しかし、第1号と第3号を独立規定としたため、「取り付け行為を伴わない、既に記録されている位置情報の単なる閲覧」も規制対象になるように見えます。これは検討会での議論の前提と矛盾するのではありませんか。立法趣旨を明確にご説明ください。

【質問2】「閲覧する方法」の具体的範囲について

問： ストーカー規制法施行令は、位置情報の取得方法として「閲覧する方法」「記録媒体を取得する方法」「受信する方法」を定めています。この「閲覧する方法」には、以下のような行為も含まれるのでしょうか。

(1) 相手方のスマートフォンを一時的に操作して、そのスマートフォン自体が元から記録していた過去の位置履歴（例：iPhoneの「利用頻度の高い場所」）を画面表示させて見る行為

(2) 相手方のスマートフォンに保存されている写真のExif情報に記録された位置情報を閲覧する行為

GPS機器の「取り付け」や位置情報アプリの「インストール」といった行為を伴わず、本来の機能として既に記録されている情報を見るだけの行為まで、法2条3項1号の「取得」に該当するのか、明確にお答えください。

【質問3】令和3年改正時の東京都のパブコメ説明について

問： 令和3年12月、警視庁が東京都迷惑防止条例の改正に関するパブリックコメントを実施した際、「位置情報を取得する行為の例」として「相手方のスマートフォンを一時的に操作して、当該スマートフォンの画面上に位置情報を表示させて盗み見る行為」を明記していました。しかし、この説明ページとツイートは意見募集期間中に削除されました。

政府は、この東京都の例示が適切であると考えますか。また、なぜ削除されたと認識していますか。

【質問4】迷惑防止条例への影響について

問： 東京都迷惑防止条例は令和4年10月に施行され、第5条の2第1項第8号で位置情報無承諾取得を規制対象としました。ストーカー規制法は「恋愛感情その他の好意の感情又はそれが満たされなかったことに対する怨恨の感情」という限定がありますが、迷惑防止条例は「妬み、恨みその他の悪意の感情」と広く、夫婦間・家族間の日常的な行為も対象になり得ます。

現在、弁護士による法律解説サイト等では、削除された東京都の例示をそのまま引用し、「スマートフォンを一時的に操作して位置情報を閲覧する行為」が規制対象であるとの解説が広まっています。この解釈が全国の迷惑防止条例に波及していますが、政府はこの状況を把握していますか。また、このような解釈は適切と考えますか。

【質問5】今回の改正案における同じ問題の継続について

問： 今回の改正案では、AirTag等に対応するため第2号を新設しますが、やはり「取得」（新第2号）と「取り付け」（第3号）を独立規定としています。AirTagも「気付かないうちに取り付けられる」特性を持つ装置であり、その前提で規制するのであれば、少なくとも「第3号に規定する行為がされた装置に限る」といった限定を付けるべきではありませんか。

現行法の解釈の曖昧さを是正しないまま、同じ構造の規定を拡大することは、法的安定性を損なうのではありませんか。

【質問6】国会への要望

問： 以上の問題を踏まえ、以下の点を明確にしていただきたい。

(1) 法2条3項1号・新第2号の「取得」は、第3号の「取り付け」行為を伴う場合に限定されるのか

(2) 「取り付け」行為を伴わない、本人のスマートフォンに既に記録されている位置情報の単なる閲覧は規制対象外であることを明確にできないか

(3) 各自治体の迷惑防止条例における解釈の混乱を是正するため、政府として統一的な解釈指針を示すべきではないか

この質問案は、高木さんの懸念の核心を突きながら、政府に具体的な答弁を求める構成になっています。特に実際の運用（東京都の事例）と法解釈の関係を問うことで、曖昧なままになっている問題を明確化できると思います。