高木浩光＠自宅の日記

■ 情報法制研究12号に画期的な論文（連載第6回）を書いたのでみんな読んでほしい

こう言っては何だが、画期的な論文ができた。「情報法制研究」の連載「個人情報保護から個人データ保護へ」の第6回である。 非会員でも有斐閣からオンデマンド出版で買えるようになるはずなので、みんな読んでほしい。

• 高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制学会「情報法制研究」第12号
  （2023年9月3日追記：先月からオープンアクセスとなり誰でも読めるようになった。）

今回の章の構成はこうなっている。見出しの数は前半が多いが 、本文の分量的には後半の節が長く、「3. (3) 」までが前半となっている。各節のダイジェストを載せようかと思ったが、どの段落も省略できず全文転載に近くなってしまうので、やっぱり見出しだけ。

• VII. 個人データ保護の法目的
• 1. 本章の概要 (p.49)
• 2. 日本法の法目的についての政府見解と学説 (p.50)
• (1) 「個人の権利利益」とは何か (p.50)
• (2) 疑問視する指摘 (p.50)
• (3) プライバシー保護法ではないということ (p.51)
• (4) 「データ保護」であるということ (p.52)
• (5) さらなる疑問視 (p.53)
• (6) プライバシーとは別の独自の法理 (p.54)
• (7) 「個人情報を保護する」とは規定していない (p.55)
• (8) 何を拠り所とするか (p.56)
• 3. 「データ保護」とは何か (p.57)
• (1) OECDガイドライン制定までの経緯 (p.57)
• (2) OECDガイドラインとCoE条約108号の異同 (p.59)
• (3) 「プライバシー」の語が用いられた経緯 (p.63) ← ここまでが前半
• (4) 「data protection」の起源 (p.69)
• 4. 意思決定指向利益モデルと関連性の原則 (p.71)
• (1) Bingの説明 (p.71)
• (2) 日本法での理解 (p.75)
• (3) Bing以外による説明 (p.79)
• 5. 小括 (p.82)

内容は、3月の「Cafe JILIS」インタビューで予告していたものだが、まだその半分くらいしか論文化できていない。残りは次号に書く。（論点の出現順序は想定読者に合わせて入れ替えてある。）

新しいこともいくつか書いている。3月のインタビューでは「米国の意向が強かったのではないか」と単なる推測でしかなかったところ（「見え隠れする米国の意向」の節）について、その後の文献発掘で根拠が見つかり、残りのピースが埋まったところを書いている。特に決定的な資料は、Transnational Data Report誌が掲載した、米国国務省が代表団に宛てた指示書公電の全文である。（なぜこれが掲載されたのかは不明だが、機密扱いではなかったようだ。）

Transnational Data Report 1巻7号（1978）22頁

これから何が言えるかは、論文中に書いた通りだが、少しだけここにも書いておく。

欧州評議会条約108号は、1978年に最終案がまとまる手筈だったのに、オブザーバーの米国が「今後一切関与しない」と声明を読み上げたため延期になった。その声明の内容がこの指示書に書かれており、米国国務省の指摘は、条約108号の草案が「privacy」に言及していないことを非難するものであった。その意図は、1978年当時、欧州の一部の国がdata protectionのデータ対象者（data subject）を自然人だけでなく法人にも適用する法律を制定し始めたことに対して、それの広がりを阻止したかったことにあった。 その背後にはIBMの反対があったようで、フランスは、データ対象者に法人を入れようとしたが、当初は歓迎されていたものの、内外の反対にあって取りやめたという。IBMの言い分も別の文献に書かれていた。注81に書いたので以下に抜粋しておく。

⁸¹ Harry B. DeMaio「Transnational Information Flow: A Perspective」『Data Regulation: European & Third World Realities』（Online Conferences、1978）169頁以下に、IBMデータセキュリティプログラム担当ディレクターの見解が書かれている。「プライバシー保護法の擁護者が表明する懸念の多くは基本的に妥当なものである。」としながら、「我々は、多くの立法提案に関連するいくつかの欠点と思われるものを指摘してきた。」として、「全体として、コンピュータ化された医療記録は、手作業による記録よりも安全に保管・処理されており、プロジェクトが発見した漏洩や不正使用の事例は、ほとんど手作業のファイルで起きていることがわかった。」とか、「我々は、自然人と法人を区別しなければならず、個人のプライバシー保護は、自然人と、自然人が容易に識別できるパートナーシップなどの法人形態にのみ拡大されるべきであると述べてきた。個人のアイデンティティがビジネスに直接結びついている中小企業の経営者はその典型例である。」などと述べられている。

高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制研究12号 (2022), p.66

法人に拡大することの問題性は理解できる（実際、その後GDPRでも法人を含めていないわけである）ものの、「privacyに言及しろ（言及しないのはけしからん）」という米国国務省の主張は、 本当は理屈が合っていない。1970年代に欧州で出現した「data protection」はprivacyから切り離された「法理の新機軸」を打ち出していた。そのことは法人に拡大してもしなくても変わりないからだ。ただ、確かに、privacyから切り離された法理の妥当性が見えれば見えるほど、法人に拡大しやすくなる傾向はあるだろうから、privacyへの言及を強制することによって、法人への拡大を防ぐというのは、政治的には効果があったということであろう。その結果、条約108号は「right to privacy」に言及することとなったし、後の1995年のデータ保護指令でもそうなった。このことが、data protectionの理解を難しくし、誤解を招き、各国で混乱をもたらした。GDPRで晴れてprivacyの語を排除できたのは、リスボン条約によってEU基本権憲章の法的拘束力が発効したことによるもの（この点は論文にまだ書いてない）と思われ、それまでは、欧州人権条約（ECHR）8条に根拠を置いていた（米国国務省はその点も指摘している）ため、privacyに言及せざるを得なかったのではないか。このように、privacyの語を排除したかったのは1978年当時からだったのである。

OECDガイドラインでも、privacyについて揉めた様子がある。OECDガイドラインの原案作成担当者だったPeter Seipelがこのことを後日談として書いており、どの国のせいでそうなったとは言及がないものの、以下のように、最後の文で皮肉が述べられているのである。

（略）Seipel*1は、次のように述べているのである。

「CoEとOECDは、作業の重複や両者の文書間の不必要な差異を避けるよう努力してきた。草稿やオブザーバーの交換は日常的に行われており、数名の専門家が自国を代表して両機関に参加している。両文書の調和をもたらすために協力する努力は、いくつかの肯定的な結果をもたらした。しかし、プライバシーの保護や国際的なデータネットワークにおける協力に関する事項については、一定の異なる考え方が存在した。」（34頁）

「主な困難は、自動処理以外の方法による個人データの取扱い（handling）に関するものであった。当初、専門家部会の作業はコンピュータによる個人データの処理（processing）にのみ向けられるべきであると、多かれ少なかれ考えられていた。データバンク・パネルの以前の活動や委任事項の条件から、そのようなアプローチは自然なものだった。しかし、ガイドラインを自動的なデータ処理に限定するのは概念的に間違っている、ガイドラインの焦点は個人のプライバシー保護一般であるべきだ、という意見が出された。この提案は、様々な反応を引き起こした。いくつかの国はそのようなアプローチを支持したが、その理由は様々であった。おそらく最も重要な論点は、自動的なデータ処理（processing）に限定すると、他のデータ処理（processing）方法を選択するだけで管理を回避できる可能性が残されてしまうということであった。（略）非自動的なデータ取扱い（handling）を含めることに対する反対意見は、主に2つの論拠に基づいていた。(a)このようなアプローチの結果について十分な調査が行われていないこと、(b)専門家部会はコンピュータネットワークにおける個人データの国境を越えた流れに努力を向けるべきで、人権保護に関する一般的な問題には触れないこと、であった。専門家会合は、代替案について長期的かつ詳細な議論を行った後、最終的に、ガイドラインを個人データの自動処理に限定しないことを決定した。第2項によると、ガイドラインは『個人データ......が、その処理方法、性質、または使用される状況により、プライバシー及び個人の自由に対して危険をもたらす場合』に適用される。このように、ガイドラインの範囲はリスクというかなり曖昧な基準で決定されている。説明覚書では、ガイドラインはプライバシー保護のための一般的な手段ではないとし、ガイドラインは『検索、意思決定、研究、調査および同様の目的のために編成されたデータの集合体』（38段落）だけを取り扱うとして、問題の明確化を試みている。この制限の正確な意味は明確でないが、データ収集の規模に関する定量的な要求と解釈すべきではないことは確かである。（略）これは、OECDの活動の方向性が、コンピュータ、データ・ネットワーク、貿易問題および関連事項に重点を置いていた過去および現在と、CoEが人権に関する問題に抱いていた関心とを比較すると、やや意外に思われるかもしれない。」（38頁）

どの国が「プライバシー保護一般であるべき」と主張したのかは書かれていないが、最後の文の「やや意外に思われるかも」というのは、CoEの方が人権の観点からで、OECDの方は経済の観点からだったはずなのに、話が逆転しているではないかという皮肉であろう。

高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制研究12号 (2022), p.61

俗耳に馴染みやすいありがちな言説としては、欧州が人権優先で米国が経済優先という対立構造であるが、このように、実際は、米国だけが（もしかするとカナダやオーストラリアもだったかもしれないが）「privacy」への言及に拘っていた（英国はdata protectionを理解したのでprivacyの語を避けている）のである。この点について注91に以下のように書いた。

⁹¹ 名和小太郎『個人データ保護』（みすず書房、2008）は、「OECDの議論のなかで目立ったのは、米国と欧州諸国とにおける考え方の違いであった。（略）そのタイトルには『プライバシー保護』と『個人データの国際流通』という言葉があった。前者には人権を尊重したい欧州の思い入れが、また後者にはビジネスを優先させたい米国の思惑が透けてみえる。データ保護といわないでプライバシー保護といった点に保護範囲をできるだけ拡げたい欧州の思いが、（略）『個人データ』といった点に情報流通をできるだけ自由にしたい米国の意図が、それぞれ示されている。」（106頁）と指摘しているが、上記のように、実際は逆であり、欧州諸国はプライバシーから切り離した「データ保護」を追求し、「プライバシー」の語に引きずられているのは米国なのである。

高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制研究12号 (2022), p.69

一言加えておくと、「引きずられた」ではなく「引きずられている」と書いたのは、現在も引きずられていて混乱しているからである。SoloveやSchwartzなどの米国の主要な情報プライバシー学説の論者らは、data protectionを未だ理解していない様子であり、この44年前のIBMを背後にした米国の政治的駆け引きによってもたらされた混乱の犠牲者たちであろう。それらを頼りに勉強してきた本邦の研究者たちもである。

次に、もう一つ、3月のインタビューでは述べていなかった大事なポイントを紹介。

欧州評議会で条約108号の起草担当者だったFrits W. Hondiusが、Westin流の自己情報コントロール権説を採用していないことを明確に述べていた部分。その文献を引用している様子を以下に抜粋しておく。

1983年のHondius（前掲注90*2）は、次のように述べている。

「Alan Westinは1968年、情報収集に特化した形で、『個人が自分に関するどのような情報を誰と共有するかを決定する権利』と表現した。しかし、これでは解決に近づかない。現代社会では、市民は、コンピュータ化された情報に基づいて他人が下す自分についての決定に、多種多様に依存している。Westinが描いた、自分に関する情報を誰が保存してよいかを主権的に決定する個人のイメージは、現実とは一致しない。多くの場合、人々が心配するのは、保存の事実そのものや、データに親密な秘密が含まれる危険性よりも、むしろ情報の正確さとその利用をコントロールできないことなのである。」（109頁）

さらに、1985年のHondius（前掲注50*3）は、次のように述べている。

「個人の親密な私生活に関連する情報が、その個人の意思に反してコンピュータ化されたデータファイルに体系的に保存されることのリスクは、むしろ低いのである。人々が欧州人権条約第8条に基づき欧州人権委員会に提訴した事例を分析すると、人々は、自分に関する情報を明さない権利よりも、自分で選択した私生活を送る権利の方を心配していることがわかる。Westinが作り出した、まるで君主のように自分のプライバシーゾーンを管理し、誰が自分に関する情報を受け取ってはいけないかを決める個人というイメージは、現代社会におけるデータ処理の現実と一致しない。」（91頁）

このように、Hondiusは、Westin的な自己情報コントロール権説を否定し、それでは解決に近づかないし、現実とは一致しないと指摘していた。これは、データの流れをコントロールするのではなく、データに基づく自己に対する他者による決定をコントロールするという、Westin説から脱却した着想の転回があったことを意味している。データ保護はこのような考え方で設計されているものということになろう。

高木浩光, 個人情報保護から個人データ保護へ(6)——法目的に基づく制度見直しの検討, 情報法制研究12号 (2022), p.81

これの意味するところを理解するには、「4. 意思決定指向利益モデルと関連性の原則 (p.71)」 の節を読んでおく必要がある。そこは3月の「Cafe JILIS」インタビューでもよい。「決定」の文言の意味を噛み締めて読まないと、脳がスルーしてしまうだろう。

ほかにもいっぱい紹介したい論点があるが、このくらいで。

このように、みんな太陽が天球と共に回っていると信じて疑わなかったが、実際は、地球の方が回っていたのである。宇宙は最初からそのように創造されていて、みなそこで生きてきていた。観測されるものに疑問を感じながらも、わかってみるまでわからない。わかってみれば、あれもこれもそれで説明がつくのである。（こんなことを公言していると内容証明が届いて裁判にかけられるのであろう。）

なお、この論文のことは、規制改革推進会議の11月7日のWGでもお話しした。議事録が公開されたので、質疑パートと合わせて見てほしい。

• 第2回医療・介護・感染症対策ワーキング・グループ 議事概要（36頁以下）

また、この論文の帰結から導かれる政策論のエッセンスは、先日発表された「GLOCOM六本木会議」の提言書に簡潔にまとめられているので、こちらもご覧いただきたい。

• 【提言書公表】デジタル社会を駆動する『個人データ保護法制』に向けて, GLOCOM六本木会議, 2022年12月22日

もはや学説よりも、一般人の理解の方が先に着いて来ている。