最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 97   昨日: 3178

2016年10月10日

基本方針の一部変更案に対するパブコメ提出意見

個人情報保護法7条の規定に基づき閣議決定されている「個人情報の保護に関する基本方針」の変更案に対するパブリックコメントが、7日締切で募集されていた。

正直、基本方針なんかどうせ誰も見ないしどうでもいいかなあと、軽く見ていたのだが、締切当日になって新旧対照表を見たところ、わりと重大な改変(意見1)がわりと杜撰に(意見2)行われようとしているようだったので、急いで以下の意見を書いて個人で提出しておいた。


個人情報の保護に関する基本方針の一部変更案に対する意見

東京都墨田区在住 高木浩光
2016年10月7日

意見1【一部変更案(新旧対照表)5ページ4行目*1

「個人情報の利用に関する社会の信頼を高め、ひいては、国民一人一人がその便益を享受できる健全な高度情報通信社会の実現を可能とするもの」との記述は削除すべきでない。

(理由)
今回の基本方針の変更は、全般的に個人データ利活用の意義を強調するものとなっていて、そのこと自体に反対するものではないが、個人情報保護法が「個人情報の利用に関する社会の信頼を高め」るものであって、そのことが「国民一人一人がその便益を享受できる健全な高度情報通信社会の実現を可能とするもの」であることは、昨年の改正法をもってしても変更のない、法の趣旨・目的であるはずである。

今回の基本方針の変更でこの部分を修正しようとする意図は、推察するに、直前の部分にある「個人情報の保護に万全を期すことこそが、」という記述が、硬直的な保護を招き、一切のデータ利活用をしてはならないものと誤解させるところにあるのであろう。その点には大いに共感するが、だからといって、法の趣旨が「個人情報の利用に関する社会の信頼を高め」ることにある点まで否定するのは失当である。この記述は、法の基本的な意義を説明した重要な部分であり、基本方針の他の節に書かれていない記述である(「社会の信頼」の語すら他では一度も登場しない)から、この記述を削除することは、法の本来の趣旨を捻じ曲げるものとなりかねない。

したがって、例えば以下のような文に改めるべきである。

「個人情報の保護と有用性に関するこの法の考え方は、実際の個人情報の取扱いにおいても、十分に踏まえる必要があり、個人情報の保護と適正かつ効果的な活用のバランスを考慮して、個人情報の保護に関する施策を推進することこそが、個人情報の利用に関する社会の信頼を高め、ひいては、国民一人一人がその便益を享受できる健全な高度情報通信社会の実現を可能とするものである。」

意見2【一部変更案(新旧対照表)5ページ9行目*2

「十分に反映され、」の係り先が不明な文となっている。

(理由)
「1の(2)の,慮朕余霾鵑諒欷遒藩用性に関する法の考え方が、実際の個人情報の取扱いにおいて十分に反映され、社会的な必要性があるにもかかわらず、法の定め以上に個人情報の提供を控えたり、運用上作成可能な名簿の作成を取りやめたりするようなことを防ぐためには、(中略)法の正しい理解が不可欠である。」とあるが、現行の基本方針から中途半端に語句を差し替えて書かれたために、国語的に不可解な文章となっている。普通に読むと、「……十分に反映され、」が続く文の「社会的な必要性があるにもかかわらず、」と並置になっているように読める。そのように読むと、「十分に反映され、」は、「提供を控えたり」「作成を取りやめたり」に係ることになるから、「十分に反映」の指す内容を確認すれば矛盾していると気づくことになる。ここは、推察すれば、「十分に反映され、」は、「たりするようなことを防ぐ」と並置なのであって、続く「ためには」に係るという趣旨なのであろう。しかし、そのように読解することは容易でない。 したがって、例えば以下のように、読点を削除するなどして、文を改めるべきである。

  • 「法の考え方が、実際の個人情報の」→「法の考え方が実際の個人情報の」
  • 「反映され、社会的な」→「反映され、また、社会的な」
  • 「にもかかわらず、法の定め以上に」→「にもかかわらず法の定め以上に」
  • 「控えたり、運用上作成可能な」→「控えたり運用上作成可能な」

修正案:
「1の(2)の,慮朕余霾鵑諒欷遒藩用性に関する法の考え方が実際の個人情報の取扱いにおいて十分に反映され、また、社会的な必要性があるにもかかわらず法の定め以上に個人情報の提供を控えたり運用上作成可能な名簿の作成を取りやめたりするようなことを防ぐためには、(中略)法の正しい理解が不可欠である。」

以上


どうも、「保護に万全を期す」というフレーズや「過剰反応」の語が忌み嫌われたようで(それは私も大いに同調するところだが)、元の文をできるだけ残して機械的に差し替えるかの如き改変をして、おかしくなったようだ。

PDFの抜粋画像
図1: 意見の対象部分(こっちの新旧対照表から抜粋)

意見1に書いたように、「個人情報の利用に関する社会の信頼を高め、ひいては、国民一人一人がその便益を享受できる健全な高度情報通信社会の実現を可能とするもの」というのは、昨年の改正法をもってしても変更のない、個人情報保護法の基本的な趣旨・目的であるはずであり、これを削除してしまえというのは、ただでさえ不明になっているこの法律の趣旨をさらに消失させ、迷走を加速させかねないものであり、愚かと言うほかない。

*1 ページ番号と行番号を間違えた。こっちの新旧対照表がパブコメ対象なので、正しくは、4ページ12行目だった。間違えて参考資料とされていたこっちの新旧対照表を見て書いてしまった。

*2 ここも同様に、4ページ16行目の誤り。

本日のリンク元 TrackBack(0)

2016年10月25日

放送分野ガイドラインに浮かぶ廃案旧法案の亡霊(パーソナルデータ温故知新 その3)

総務省の「視聴者プライバシー保護WG」の第2回会合を傍聴してきた。このWGは、「放送受信者等の個人情報の保護に関する指針」(放送分野ガイドライン)の改正を目指すものであり、「視聴履歴」の扱いが論点となっている。

実は私は、このガイドラインの存在をこれまで知らなかった。テレビの視聴履歴を巡っては、去年の正月に「東芝REGZA、Tポイントと連携しないと広告が表示され、連携するとテレビの操作情報がCCCに駄々漏れになる件」が話題となり、新聞各紙が各社テレビ受像機の履歴送信機能の有無について報じていたのが思い起こされるが、このガイドラインによれば、以前から、視聴履歴の取得は代金の支払い又は統計の作成の目的のみに制限*1されていたようだ。

(取得範囲の制限)
第6条
2 受信者情報取扱事業者は、放送の受信、放送番組の視聴若しくは放送番組の視聴に伴い行われる情報の電磁的方式による発信若しくは受信に関し料金若しくは代金の支払いを求める目的又は統計の作成の目的のために必要な範囲を超えて、視聴履歴を取得しないよう努めなければならない。

放送受信者等の個人情報の保護に関する指針 平成16年総務省告示696号

といっても、名宛人が「受信者情報取扱事業者」であり、その定義にテレビ製造メーカーや共通ポイント運営会社が含まれるのかよくわからない。おそらくそのあたりも含め、「放送」と「通信」とで規制が異なるのはダブルスタンダードではないかというのが、WGでこのガイドラインを改正しようとする出発点なのだろう。そこにも興味深い論点はある*2が、今回の本題はそこではない。

驚いたのは、このガイドラインの3条である。

第3条 放送受信者等の個人情報データベース等を事業の用に供している者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。)は、個人情報が、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、次に掲げるところに従って、放送受信者等の個人情報の適正な取扱いに努めなければならない。

一 放送受信者等の個人情報は、その利用目的が明確にされるとともに、当該目的の達成に必要な範囲内で取り扱われること。

二 放送受信者等の個人情報は、不正の手段で取得されないこと。

三 放送受信者等の個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保たれること。

四 放送受信者等の個人情報の取扱いに当たっては、漏えい、滅失又は毀損の防止その他の安全管理ために必要かつ適切な措置が講じられるよう配慮されること。

五 放送受信者等の個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されること。

放送受信者等の個人情報の保護に関する指針 平成16年総務省告示696号

これは……。まず、「適正な取扱いに努めなければならない。」とあって3条各号は努力規定になっている。そして、このガイドラインでは、4条から27条が義務セットになっていて、個人情報保護法の15条から31条(改正前)の義務セットの引き写しのように規定されている。その結果、各規定は義務規定と努力規定とで二重に規定された状態となっている。例えば、安全管理措置について見てみれば、以下のように、3条4号で努力規定があるのに、同様の義務規定が10条で重ねて置かれている形になっている。

第3条 (略)次に掲げるところに従って、放送受信者等の個人情報の適正な取扱いに努めなければならない。

(略)

四 放送受信者等の個人情報の取扱いに当たっては、漏えい、滅失又は毀損の防止その他の安全管理ために必要かつ適切な措置が講じられるよう配慮されること。

放送受信者等の個人情報の保護に関する指針 平成16年総務省告示696号

第10条 受信者情報取扱事業者は、その取り扱う放送受信者等の個人データの漏えい、 滅失又は毀損の防止その他の放送受信者等の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

放送受信者等の個人情報の保護に関する指針 平成16年総務省告示696号

なぜこんな形になっているのか。これは、個人情報保護法の制定時、2002年の臨時国会で廃案となった、旧法案の「基本原則」規定を引きずったまま規定されたものと考えられる。

個人情報保護法は、法案が国会に提出される前の1999年ごろから、やれ報道規制だ、やれ表現規制だと、マスコミの大反対キャンペーン(Wikipedia「メディア規制三法」など参照)に遭い、2002年の臨時国会で廃案に追い込まれることとなった。そして翌年の通常国会で、一部に手直しをした新法案が提出されて今日の法律が成立したわけだが、その廃案となった旧法案から削除されたのが、この「基本原則」であった。

第2章 基本原則

第3条 個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、個人情報を取り扱う者は、次条から第8条までに規定する基本原則にのっとり、個人情報の適正な取扱いに努めなければならない。

(利用目的による制限)
第4条 個人情報は、その利用の目的が明確にされるとともに、当該目的の達成に必要な範囲内で取り扱われなければならない。

(適正な取得)
第5条 個人情報は、適法かつ適正な方法で取得されなければならない。

(正確性の確保)
第6条 個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保たれなければならない。

(安全性の確保)
第7条 個人情報の取扱いに当たっては、漏えい、滅失又はき損の防止その他の安全管理のために必要かつ適切な措置が講じられるよう配慮されなければならない。

(透明性の確保)
第8条 個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されなければならない。

個人情報の保護に関する法律案 第151回国会閣法90号

これを前掲の放送分野ガイドライン3条と見比べると、ほぼ同一であり、引き写しで書かれた様子が窺える。

個人情報保護法に基づく分野別ガイドラインは沢山あるが、このように旧法案に沿って作られたものは、他に例がないのではないか。国会では、旧法案の問題点が認められたからこそ廃案となったのであるから、分野別ガイドラインが旧法案を基礎としていることには問題があるのではないか。

具体的にどこに問題が生じるか。

まず、旧法案の「基本原則」では、名宛人が省略されているので、すべての人が対象であった。そのため、個人情報取扱事業者に該当しない個人であっても、他人の個人情報について、利用目的を明確にするだとか、適正な方法で取得しなければならないだとか、最新の内容に保たれなければならないだとか、安全管理をせよだとか、本人が適切に関与し得るように配慮だとかいう、努力義務が課されるところだった。

つまり、当時のマスコミの大反対キャンペーンでは、マスコミの都合のことばかりが主張されていたため、一般人からすれば白けたムードになっていたようにも記憶してるが、実際には、それに限られず、個人ですら他人の個人に関する情報を自由に扱うことが制限され、他人のうわさ話すら法律の努力規定違反ということになりかねないところだったわけで、この基本原則が削除されたことは、本当に幸いだったと、後になって私は理解した。

その点、放送分野ガイドラインではどうか。

ガイドライン3条は、名宛人が「放送受信者等の個人情報データベース等を事業の用に供している者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。)」となっているので、一般の個人まで対象とするものではなく、その点では問題がない。

では、そうすると、この規定は何のために置かれているのか。4条以下の規定では名宛人が「受信者情報取扱事業者」となっているのに対して、3条では「放送受信者等の個人情報データベース等を事業の用に供している者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。)」と書き分けられているが、そこに違いはあるのか。「受信者情報取扱事業者」の定義は「放送受信者等の個人情報データベース等を事業の用に供している個人情報取扱事業者をいう。ただし、(略)」とあるので、ほとんど違いがないように見える。

この点について、ガイドラインの「解説」で次のように説明されていた。

【趣旨】
第3条は、放送受信者等の個人情報の適正な取扱いに関して、その一般的な努力義務について規定する。

ここで規定される一般的な努力義務の対象となる者は、「放送受信者等の個人情報データベース等を事業の用に供している者」である。これには、第2条の規定で定義されている「受信者情報取扱事業者」だけではなく、これに属さないような小規模の個人情報データベース等を事業の用に供している者(以下「小規模事業者」という。)が含まれている

これは、小規模事業者であっても放送受信者等の個人情報を取り扱っていることに変わりはなく、放送の健全な発達を確保する観点から小規模事業者にも受信者情報取扱事業者と同様の安全管理措置等の義務等を課すべきという考え方もありうるところであるが、個人情報保護法において第4章の適用対象となっていないことから、ひとまず同法第3条の「基本理念」の内容を具体化した個人情報保護に関する一般的な努力義務を示し、小規模事業者による自主的な放送受信者等の個人情報保護のための取組を促進するものである。放送分野において全般をカバーする指針が示されることによって、放送受信者等の個人情報保護への総合的な取組が緒につくこととなる。(略)

放送受信者等の個人情報の保護に関する指針【解説】

なるほどそういうことか。当初の(そして現時点で現行の)個人情報保護法施行令では、5000人分以下との基準で、小規模事業者が「個人情報取扱事業者」に該当せず、4章の義務規定の対象外となっていたわけで、そこを野放しにしたくないということのようだ。

確かに、旧法案が、基本原則を置いて、4章の義務と二重になる形で努力規定を置いていたのは、50条(現行では66条)で適用除外(報道機関の報道目的、学術研究機関の学術研究目的ほか)となる者や、5000人分以下の小規模事業者にも、努力規定という形で何らかの義務を課したいという想定があったようで、その趣旨に鑑みれば、削除されてしまった基本原則をガイドラインで拾いたいという心情は察することができる。

このこといついて、ガイドラインの「解説」は、次のように述べている。

本規定は、個人情報保護法第3条の規定が個人情報の取扱いについての基本理念として求める個人情報の適正取扱いを、上記対象者について求められる基本的な配慮事項として具体化したもので、具体的には次の5つが挙げられている。

利用目的の特定と利用目的外利用の制限(第1号)
適正な取得(第2号)
正確性の確保(第3号)
安全管理措置への配慮(第4号)
本人の関与への配慮(第5号)

比較的大規模な個人情報データベース等を事業の用に供する者である受信者情報取扱事業者に対しては、次条から第29条までの規定において、より具体的な義務等の内容が明らかにされている。

なお、個人情報を取り扱う目的の全部又は一部が、報道・著述等それぞれ個人情報保護法第50条第1項各号に規定する目的であるときについては、個人情報保護法では、第3条の基本理念の規定は適用されることとなっているが、本指針では、第30条に規定するとおり第3条の一般的義務の規定も含めて全面的に適用されないこととなっている。

放送受信者等の個人情報の保護に関する指針【解説】

前段の部分、成立した法律の「基本理念」は、廃案となった旧法案の「基本原則」とは異なるものであるのに、そこを「具体化したもの」などと言ってよいのか疑問のあるところだが、後段を見ると、報道は全面的に適用除外だという点に触れ、報道規制との批判を免れたいとのガイドライン立案担当者の思いがひしひしと伝わってくる。

報道も除外され、個人も除外されているから、法律にない上乗せ規制をガイドラインでこのように入れても問題ないと、ガイドライン立案担当者は考えたのだろう。だが、重要なところを見落としていると私は指摘したい。

これまでにも何度か軽く触れたように、旧法案の基本原則が削除された理由には、名宛人が何人もだったことだけではなく、対象とする客体が「個人データ」ではなく「個人情報」と、散在情報まで含めていたところに問題があったからと言うべきである。

この放送分野ガイドラインは、電気通信分野ガイドラインとは異なり*3、「個人情報」と「個人データ」の語が書き分けられており*4、義務セットのうち、4条から8条までは「個人情報」が対象で、9条以降は「個人データ」を対象とするようになっていて、これは個人情報保護法4章の規定に合わせたものとなっている。そうすると、ガイドライン3条の努力規定が「個人情報」を対象と規定しているのは、明確に散在情報まで含めたものということになる。

散在情報まで対象としてしまうことが具体的にどのように問題となり得るのかは、前々回の日記「「法とコンピュータ」No.34に34頁に及ぶ論考を書いた」で紹介した論文「IoTに対応した個人データ保護制度のあり方」の中で、次の例を示している。

ある会社が、重役会議の議題として、「ライバル会社のX社長が末期ガンが見つかり死期が近づいているらしい」との情報を得て、自社の経営方針を検討するときはどうか。この会社はこれとは別に、常時5000人を超える規模の「個人情報データベース等」を事業の用に供していることから、個人情報取扱事業者に該当し、「ライバル会社のX社長が末期ガンである」という情報は個人情報であり、重役会議でこれを用いることは個人情報取扱事業者としての個人情報の取扱いということになる。この噂話は、自社の「個人情報データベース等」から抽出したものではなく、ライバル会社に送り込んでいる協力者から聞いたものであるから、「個人データ」に当たらない散在情報の個人情報である。このとき、利用目的を特定し通知又は公表しなければ、個人情報の目的外利用として、15条、16条、18条違反ということになるのか。また、この情報を得るために、協力者に何らかの嘘をつかせて聞き出したのだとしたら、17条にも違反することになるのか。

公的部門なら、こうしたことも行政機関個人情報保護法違反となり得よう。行政機関では、法令の定める所掌事務を遂行するため必要な場合に限り、保有個人情報として個人情報を保有し利用することが許されているからである。

しかし、民間の事業者にとって、他社の社長がどうだという情報を利用するのは自由であるべきであり、民間部門の規制の趣旨が「個人情報のコンピュータ処理等に伴う個人の権利利益侵害の危険性、本人の不安等の社会問題に対応しようとするもの」であるなら、このような規制は無用であるはずである。

旧法案にあった基本原則は、まさにこういう行為にも努力義務を課すことになるものであったが、それが廃案となったのであるから、新法案4章の義務規定からも同様に散在情報は除外されて然るべきだったのではないか。

高木浩光, “IoTに対応した個人データ保護制度のあり方”, 法とコンピュータ, No.34, pp.47-81(2016年7月)

旧法案の基本原則が削除された理由に、こうした問題点も想定されていたであろうと推定するのだが、その根拠として、論文では、前掲部分の直前部分で、以下のように分析している。

4.4.2 旧法案が廃案となった経緯

このことを窺わせる記録が、2002年の国会会議録にある。当時、個人情報保護法案は、2001年の通常国会に提出されたものの、継続審査となり、マスコミから「メディア規制だ」との批判を受けて2002年の臨時国会で廃案となり(旧法案)、一部を修正した新法案が成立した経緯がある。この廃案になる間際の衆議院内閣委員会での質疑(35)で、達増拓也委員(当時)が、次のように指摘していた。

「OECD勧告でありますとか欧米諸国の法律と比較した場合に、今私たちの目の前に出ている個人情報保護法案というのは一種異様なものであります。どこが異様かといいますと、(中略)当然、問題になるのはデータとしての個人情報であります。コンピューターで高速処理され得るような、データファイルでありますとかデータベースでありますとか、そういう個人データをどうやって守るか、乱用を防ぐか、プライバシーや人格を傷つけることを防ぐかということがテーマでありまして、諸外国の法律のタイトルあるいはその目的、原則等々の中でも、あくまで対象はデータとしての個人情報、守るべきはテクノロジーから個人の人格やプライバシーを守るというふうな趣旨がはっきりあらわれるような法律になっておりますが、この個人情報保護法は、第二章、基本原則というところで、広く個人情報を取り扱う者全体を対象に基本原則を定めている。これはデータに限らずあらゆる個人情報が対象であります。コンピューター処理されるもの以外のものも含めあらゆる個人情報が対象、そしてすべての個人、団体、法人、機関が対象、個人もまた対象になっている。なぜこのように諸外国に例を見ないような広範な基本原則を持つこういう法案を提案されたのでしょうか。」

この指摘は、英国法では「data」自体が定義された語であって限定的な意味を持つことを踏まえて、日本法の「個人情報」にはそのような限定がなく、「個人情報」を対象とした「基本原則」を規定する旧法案は世界に例を見ない異様なものであるとしたのであろう。

旧法案では、第2章に「基本原則」として、4条から8条までの5原則を掲げ、3条で「個人情報を取り扱う者は、(中略)基本原則にのっとり、個人情報の適正な取扱いに努めなければならない。」と努力義務規定を設けようとしていた。これが主に「メディア規制だ」とする批判の矛先となって、結局、この基本原則が削除された新法案が2003年の通常国会に提出されて成立した経緯がある。

しかし、メディア規制という以前に、一般の国民にとっても、このような努力義務を課されるのであれば、人の噂話すら憚られることになりかねないものであった。なぜなら、この規定は、個人情報取扱事業者に限定されておらず、個人情報を事業の用に供していない者に対しても、「個人情報を取り扱う」ことについて努力義務が課されるものだったからである。

このことについて、逐条解説書(18)に釈明らしきことが書かれている。1条の目的の解説部分で次のようにある。

「(略)他方、例えば、他人のうわさ話をする行為、上司に同僚の告げ口をする行為等も、外形的には他人の個人情報を第三者に提供する行為といえ、中にはこれにより精神的苦痛を被り、名誉を毀損される等個人の権利利益が侵害される場合もあり得る。しかし、これらの行為は、従来からの個人のモラルに委ねられてきたところであり、その予防は社会全体の利益擁護の観点からの規範である法律で規律すべき問題ではない。本法は、あくまで、高度情報通信社会が進展している現状において、個人情報のコンピュータ処理等に伴う個人の権利利益侵害の危険性、本人の不安等の社会問題に対応しようとするものである。個人情報の取扱いに伴って、現実にだれかの人権侵害等が発生した場合においては、民事事件における損害賠償の問題として、あるいは犯罪行為(名誉毀損等)を構成する場合は刑事事件の問題として、処理されるべきことはいうまでもない。」(41頁)

この解説は、民間部門では散在情報の個人情報は義務の対象ではないと説明しているようにも聞こえる。「個人情報のコンピュータ処理等に伴う(中略)に対応」とある。ただ、この「等」に何が含まれるのかが問題となり得る。

前掲の達増委員の指摘では、「当然、問題になるのはデータとしての個人情報であります。コンピューターで高速処理され得るような、データファイルでありますとかデータベースでありますとか、そういう個人データをどうやって守るか」と発言されており、「データ」が英国法(1998年)で言うところのa)とb)の「data」、すなわち自動処理に係るもののみを指しているように聞こえるが、この時点で、法案は、いわゆる「マニュアル処理情報」(2条2項2号)も含めており、これが英国法のc)の「data」に相当するもの(ただし、4.4.4節で述べるように一部が異なる。)であることから、自動処理に限るべきとする指摘は欧州の潮流からも外れていることになるので、ここは、マニュアル処理情報は対象とするべきとしつつも散在情報まで対象となることが「異様なもの」と指摘するのが、より適切であっただろう。この発言の本旨はそのようなつもりの指摘だったのかもしれない。前掲の「個人情報のコンピュータ処理等に伴う」の「等」が、マニュアル処理情報のことを指すのであれば、その指摘に答えたものということになる。

高木浩光, “IoTに対応した個人データ保護制度のあり方”, 法とコンピュータ, No.34, pp.47-81(2016年7月)

これに続き、基本原則の削除について、逐条解説書がどのように説明しているかを引用して、次のように考察している。

同書(18)は、「旧法案に規定されていた『基本原則』について」として、次のように説明している。

「このような基本原則は諸外国の法制には見られない条文である。このような条文を置くことが構想されたのは、同法案においては、諸外国の法制と異なり、具体的な法規制対象となるのは民間部門の一部であり、もともと対象外とされたり適用除外とされている分野が相当あること、公的部門における規律は別の法律に委ねられていたこと(これらの点は、本法においても同様である。)等から、それらの分野をも通ずる個人情報の取扱いに関してのあるべき基本的な姿を明確にしておくことが適当であると考えられていたことによる。(中略)法案の再提出に当たっての政府部内の検討においても、メディアに限らず、運用段階で条文の趣旨が誤解を受けやすいのであれば改善することが適当であること、基本原則の趣旨は民間部門については旧法案第5章(本法第4章)で既に具体的かつ詳細な義務規定として条文化されていること、加えて、個別法の重要な分野である国の行政機関等についても旧法案提出の1年後に国会が提出され、基本原則に沿った条文が既に具体化していたこと等が考慮され、与党三党修正要項どおり基本原則を削除した法案として提出されたところである。」(72頁)

この記述から、旧法案がメディア規制に限らず誤解を受けやすいものと認識されていたことがわかる。また、基本原則は基本法部分に位置するので、公的部門をも対象とする趣旨となり、それゆえに散在情報を含めて対象とせざるを得なかった(が、公的部門の法案は既に具体化したから掲げる必要がなくなった)という事情が読み取られる。「それらの分野をも通ずる個人情報の取扱いに関してのあるべき基本的な姿を」のくだりからは、公的部門と民間部門とでは性質が異なる(にもかかわらず、それらに通ずる基本原則を置く必要があった)と認識されている様子が窺える。しかし、散在情報が義務対象となることこそが問題の原因であったとまでは明記されておらず、新法案への変更の趣旨として、民間部門では散在情報を対象としないとする立法者意思があったかどうかは、定かでない。

高木浩光, “IoTに対応した個人データ保護制度のあり方”, 法とコンピュータ, No.34, pp.47-81(2016年7月)

論文では、この前後で、「4.4.3 なぜ「個人データ」としなかったのか」を論じている。その詳細はここでは省略するが、成立した法律の4章の義務セットで、15条から18条だけ「個人データ」ではなく「個人情報」の語で書かれているのは、条文をどう構成するかという法制技術上の都合にすぎなかったのではないかとの説を唱えており、本来はすべて「個人データ」と書くべきだったのであり、しかし話はそう簡単でもないという結論を導いている。

このように、民間部門について散在情報まで対象とすることの問題点は、旧法案が廃案となった時点で、新法案を立案する政府担当者や、与野党議員の間には認識されていたのではないかと、私は推察するのであるが、残念ながらこれを示す証拠をまだ確認できていない*5

仮にそうだとすれば、そのような理由により国会で削除された「基本原則」を、分野別ガイドラインで復活させるというのは、法の趣旨に反しているというべきであろう。

放送分野ガイドラインの立案担当者は、法案の基本原則が削除となったことを悔しがって、ここで復活させたのではなかろうか。旧法案が廃案となった理由が、単に、メディア規制法との批判をかわして法案を通すためだけの回避措置として理解されたならば、「マスゴミせいでこうなっただけ。悔しい。」といった思考に至るのは察することができる。

しかし、散在情報についてまで、最新の内容に保たれなければならないだとか、安全管理をせよだとか、本人が適切に関与し得るように配慮せよといった努力義務を課すことが、国会で成立した法律の趣旨になく、しかも廃案により削除された部分であるとなれば、このような上乗せ規制は許されないと言うべきではないだろうか。

なお、放送分野ガイドラインが、このように二重構造の規定を置いた趣旨を、小規模事業者が適用除外とならないためとしている点については、改正個人情報保護法の来年の施行により、5000人要件は撤廃されることになっていることから、この理由からの存在意義は消滅することになる。

その理由が消滅すると、放送分野ガイドライン3条の存在意義が、まさに散在情報まで広げて努力義務を課すための規定として浮き彫りになってしまう*6。民間部門に対してそのような義務を課すことは、EU法ですら課していない義務を課すことになるのだから、それを肯定するようなガイドラインとすることは避けるべきである。

よって、今回の改正により、放送分野ガイドラインの3条は削除するべきである。

*1 取得を制限といっても、「視聴履歴を取得しないよう努めなければならない」と、努力規定になっているのが謎だ。過失で取得してしまう事態を防止せよとでも言うのだろうか。意図して取得することしかあり得ないのだから、努力規定に弱める意味がわからない。

*2 放送と通信というけれど、このケースでは、放送事業者か通信事業者かではなく、オンデマンド配信かそうではない放送(ブロードキャスト)かという手段の区別に事の本質があるように思う。オンデマンド配信の場合は、Webの閲覧と同様に、何を視聴しようとしているかを自ら視聴者が送信して要求することから、それがサービス事業者に取得されて二次利用され得ることにある程度の推定が働くのに対して、ブロードキャストの場合は受信側でチャンネルを選択しているだけだから、どのチャンネルを視聴しているかの情報がどこかへ送信される必然性がなく、視聴履歴を取得され得ることへの推定が働かない。言い換えれば、オンデマンド配信ではコンテクストがあって視聴履歴が取得されるのに対し、ブロードキャストにおいて付加的な装置を用いて視聴チャンネル情報を送信するのは、コンテキストのないものということになる。そのようなコンテクストのない状況で利用者の同意なく送信する付加的装置は、盗聴器のようなものとも言え、コンピュータプログラムであればスパイウェアに相当し得るものであり、汎用のコンピュータに導入するアプリの形であるなら、刑法168条の2「不正指令電磁的記録に関する罪」を構成し得るものであろう。これを個人情報保護法の観点から捉えれば、17条1項の「偽りその他不正の手段により個人情報を取得してはならない。」に該当し得るということになろう。そうであるがゆえに、オンデマンド配信の場合と比べて、ブロードキャストにおいて視聴履歴を何らかの目的で取得するには、通常よりも個別かつ明確な本人同意が求められるということになる。従前の視聴率調査では、モニター参加者に専用の装置を設置させる方法であったから、視聴履歴の取得に誤認は起きようがなかったので、この放送分野ガイドラインも取得時の同意について特別の規定を置いていなかったのであろう。それが、今日のシステムでは、様々な形態での視聴率調査が可能になってきていることから、コンテキストを尊重せず、利用者を騙す形で、形式的な同意をとる方式が出てきかねない状況がある。例えば、履歴に基づいた番組のレコメンドサービスを提供する場合は、そういうサービスだと自然に理解できる形を取っていれば、コンテキストを尊重していると言えるが、「毎日ポイントが貯まります」といった理由でサービスに加入させ、視聴履歴を取得して、プロファイリングによるターゲティング広告を配信する形態は、コンテキストを軽視しているということになる。このWGでは、放送分野ガイドラインがこれまで代金支払いと統計作成のみに利用目的を制限してきたのを撤廃し、視聴履歴を用いた多様なサービスの適法な提供を許容する代わりに、取得時の同意を確実なものとする方向で検討が進められる様子であり、その背景の理屈はこのようなことであるはずだ。

*3 電気通信分野ガイドラインでは、「個人データ」の語を用いず、すべて「個人情報」を対象として書かれている。これは、個人情報保護法が制定される前の早い段階から先行して制定されていたことによるものと思われる。電気通信分野ガイドラインも、今年6月までに開かれていた研究会「改正個人情報保護法等を踏まえたプライバシー保護検討タスクフォース」でこの点の見直しをしようとしたものの、完成せず、改正は延期された状態となっている。こちらも法の本来の趣旨に照らして適正に改正されるか、引き続き注視したい。

*4 放送分野ガイドラインは、その前身となる1997年の「放送における視聴者の加入者個人情報の保護に関するガイドライン」の全部改正だったようで、用語を含め全く異なるものに改められている。

*5 現在、いくつかの方法で調査中。

*6 放送分野ガイドラインの立案担当者は、「解説」には書いていないものの、もしかすると、義務規定では「個人データ」のみ対象となっている規定について、散在情報を含めて規律するために、この3条で拾って努力規定を課すという、真正面からその必要性を考えてこのようにした可能性もある。実際、有識者の解説書には、個人情報保護法19条以降の規定について、法律上は「個人データ」のみが対象だが、散在情報に対しても同様の努力をすべきだとする見解を加えた文献もある。法案段階で、旧法案について作成された内閣官房の部内用逐条解説(2月20日の日記の脚注10参照)には、確かにそのようなことが書かれていた(例えば、20条の安全管理措置について、個人データが対象だが、個人データでない個人情報については、基本原則にある安全管理の努力義務が課されるといった説明が書かれていた)が、国会で廃案にされた考え方であるから、成立した法律にその趣旨はないと見るべきであろう。

本日のリンク元 TrackBack(0)

最新 追記

最近のタイトル

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|
最新 追記