情報ネットワーク法学会の論文誌に、玄政和弁護士とご一緒して、韓国個人情報保護法に関する論文を書いた。オープンアクセスなので、誰でも閲覧できる。
これは、一昨年12月の情報ネットワーク法学会大会で口頭発表した話(今年3月16日の日記で書いた件)を、論文化したもので、韓国語が機械翻訳で十分読めるとはいえ、一人では限界を感じ、一昨年3月のCafe JILISの記事に賛同のツイートを頂いていた玄先生に、ご一緒しませんかとお誘いして、共同作業が実現したのであった。
当初は翌年2023年5月の締切に出そうとしていたのが、私の怠慢で(情報法制研究13号の締切と同時進行だったこともあり)間に合わなくなり、一旦断念していた。その後、韓国の状況に進展があり、2023年10月に憲法裁判所の合憲決定が出て、これによって、随分と書きやすくなった。
というのも、その前の段階では、正直、書くのがしんどい感があった。なにしろ、憲法裁判研究院の報告書では、もう違憲の結論しかないような書き振りになっていたので、焦りながら「そっちに行ってはいけない!」と、何とか韓国側にも伝わらないものかと力んでしまい、他方で、情報ネットワーク・ローレビューは査読ありなので、下手に独自説を強調してしまうと落とされる危惧もあり、どう書けばいいか悩むところがあった。
それが結局、合憲決定を紹介すればいいことになったので、肩の力が抜け、淡々と事実を紹介していけばいい形になった。しかも、締切近くになって、韓国においても我々と同様に「個人情報そのものを保護する法律ではない」と主張する憲法学者が見つかり(注98「韓国個人情報保護権の絶対化現象に対する批判」)、その点でも、淡々と紹介すればいい形になった。
ところがその結果として、我々の主張が遠回しで控えめになってしまい、書き足りていないのではないかと、修正、校正の際に気になった。何度読み返しても一応書いてはあるので、結局そのままにしたのだが、出版された今でも、読者に理解されるだろうかとの不安に苛まれる。
そんなわけで、この完成したバージョンをLLM(Claude 3.5 Sonnet Formal)に読ませて尋ねてみた。
主に3つの重要なポイントが読み取れます:
論文は控えめな表現を用いていますが、個人情報保護法制における重要な理論的転換を示唆する内容となっています。特に、「個人情報自体の保護」から「個人に対する決定の適切性の確保」へと、法制度の目的理解を転換させる必要性を指摘している点が革新的です。これは今後の法制度の発展において重要な示唆を含んでいると考えられます。
この論考は、医療データの二次利用など、今後の実務的な課題に対する理論的な基礎を提供することも意図していると読み取れます。
第一に、韓国の事例は、個人情報保護法制における理論と実務の衝突を鮮明に示しています。韓国では「個人情報自己決定権」が憲法上の権利として確立されているにもかかわらず、データ利活用のために仮名情報制度を導入せざるを得なかった現実があります。この状況は、個人情報保護と利活用のバランスを図る上での理論的課題を浮き彫りにしています。
第二に、韓国の状況は日本が直面している課題を先取りしているといえます。日本でも医療データの二次利用などについて、同様の課題に直面することが予想されます。韓国の憲法裁判所による判断とその理論的な問題点を分析することは、日本が同様の課題に直面した際の示唆となります。特に、韓国の憲法裁判所の判断理由の不十分さを指摘することで、より適切な理論的根拠の必要性を示すことができます。
第三に、この事例は個人情報保護法制の本質的な目的を再考する好機となります。韓国の事例を通じて、個人情報保護法が「個人情報そのもの」を保護するのではなく、「不適切な決定から個人を保護する」ことを目的とするという視点を提示できます。これは、OECDガイドラインやEU法の原点に立ち返る議論にもつながり、今後の法制度の発展における重要な示唆となります。
つまり、韓国の事例は、理論と実務の調和、将来の課題への対応、そして法制度の本質的な目的の再考という、三つの重要な観点から示唆を得られる絶好の題材だといえます。これらの示唆は、日本の個人情報保護法制の発展において重要な意義を持つと考えられます。
韓国では、憲法裁判所が2005年の判例で「個人情報自己決定権」を憲法上の権利として確立しました。これは個人が自分の情報の流れを把握し統制できる権利とされています。しかし、データ利活用の必要性から2020年に導入された仮名情報制度は、本人同意なしでの利用を可能とするものでした。これは一見すると、個人情報自己決定権と相容れないように見えます。
しかし、論文が指摘するように、この「緊張関係」は、個人情報保護法の目的を「個人情報そのものの保護」と誤解することから生じている可能性があります。法の本来の目的を「不適切な決定から個人を保護すること」と理解すれば、仮名情報の利用が個人への決定に影響を与えない限り、必ずしも権利侵害とはならないという理解が可能になります。
つまり、韓国の事例は、個人情報保護法制における表面的な対立を超えて、法の本質的な目的に立ち返って考える必要性を示唆しているといえます。これは日本における今後の法制度の発展にとって重要な示唆となります。
一つ目は、個人情報自己決定権を厳格に解釈する立場です。この立場からは、仮名情報制度が導入された2020年改正に対して、「個人情報主体の同意権を一切認めておらず、仮名情報であれば個人情報の保護のための各種権利と義務を全面的・一律的に排除している」という批判がなされました。
二つ目は、イ・インホ教授に代表される立場で、「個人情報保護権の絶対化」を問題視する見解です。この立場は、個人情報保護法を「誤用・濫用を統制するために情報主体に個人情報保護権を認める」ものと位置づけ、「個人情報を『秘密の情報』であるかのように錯覚してはならない」と指摘しています。
特に興味深いのは、イ・インホ教授による指摘です。教授は、個人情報処理者が行う個人情報処理の全過程を情報主体が「直接的に決定したり制御する権利」という理解は誤りであり、むしろ情報主体の個人情報自己決定権は、処理の過程に「参加する権利」として捉えるべきだと主張しています。
憲法裁判所は結論としては仮名情報制度を合憲と判断しましたが、その理由付けは十分とは言えないものでした。論文が指摘するように、なぜ仮名情報が本人に影響を与えないといえるのかについての根本的な説明が不足しているように見受けられます。
このような韓国での議論は、個人情報保護法制の本質的な目的をめぐる理論的な深化の過程を示していると言えるでしょう。
むしろ注目すべきは、韓国の憲法裁判所が2005年に個人情報自己決定権を憲法上の権利として確立したにもかかわらず、2023年の決定で仮名情報制度を合憲と判断したという事実です。この判断の変化は、個人情報自己決定権の解釈や理解が時代とともに変化している可能性を示唆しています。
論文では、この点について直接的な言及は控えめですが、イ・インホ教授の見解を引用しながら、個人情報自己決定権の本質的な意味を問い直しています。特に、「個人情報処理の全過程を直接的に決定・制御する権利」という解釈から、処理の過程に「参加する権利」という理解への転換が示唆されています。
このような解釈の変化は、個人情報保護法制の目的についての理解の深化を反映しているとも考えられます。論文が指摘するように、法の目的を「個人情報そのもの」の保護ではなく、「不適切な決定から個人を保護すること」と理解することで、個人情報自己決定権と仮名情報制度は必ずしも矛盾しないという結論が導かれる可能性があります。
つまり、韓国の事例は、憲法上の権利として確立された個人情報自己決定権の解釈自体が、データ利活用の実態や社会的要請を踏まえて発展している過程を示しているのかもしれません。
論文は、個人情報保護法制の起源に遡り、1970年代後半のOECDガイドライン策定に関与したJon Bingの説明を引用しています。それによれば、この法制度の本来の目的は「データ保護の意思決定指向の側面」にあり、個人に対する決定が適切に行われることを確保することにあったとされています。
しかし韓国では、「個人情報自己決定権」という名称の影響もあってか、個人情報の流れを完全にコントロールする権利という理解が広がり、それが仮名情報制度への反発の一因となったと考えられます。憲法裁判所も、この権利の本質的な意味について十分な説明ができていないように見受けられます。
この事例は、法制度の本質的な目的を正確に表現する用語の重要性を示唆しています。「個人情報自己決定権」に代わる、より適切な概念枠組みを検討する必要があるのかもしれません。
研究院の報告書は、「個人情報自己決定権」を「自分の個人情報の流れを把握して統制できる権能に対する法的保護」と位置づけた上で、「個人情報主体が自身の個人情報に対して閲覧・訂正・利用中止・削除などの必要な措置を要求する権利は、個人情報自己決定権の実質的な行使のための前提条件であり、自ら貫徹するための手続形成的要素が内在する請求権」と述べています。
この認識に基づき、研究院は仮名情報制度について、仮名情報の生成とその後の利用・提供・活用を区別することなく、生成自体から個人情報主体の同意権を無力化し、個人情報保護のための各種権利と義務を全面的・一律的に排除している点を問題視しました。
しかし、この報告書の立場は、論文が指摘するように、個人情報保護法を「個人情報そのもの」を保護するための法律と誤解している可能性があります。研究院の報告書は、個人情報の流れに対する統制権という側面を強調するあまり、この法制度の本来の目的である「不適切な決定からの保護」という視点が欠けているように見受けられます。
この研究院報告書と後の憲法裁判所決定の違いは、個人情報保護法制の本質的な目的についての理解の違いを反映している可能性があります。これは、「個人情報自己決定権」という概念の解釈をめぐる理論的な発展過程の一端を示しているとも考えられます。
ドイツの「情報的自己決定権(Recht auf informationelle Selbstbestimmung)」は、1983年の国勢調査判決で連邦憲法裁判所により導き出された権利です。韓国の個人情報自己決定権の概念形成には、このドイツの概念が大きな影響を与えていると考えられます。
しかし、論文が指摘するように、個人情報保護法制の起源に遡ると、1970年代後半のOECDガイドライン策定時には、「意思決定指向の側面」が重視されていました。ドイツ由来の「自己決定権」という名称は、法制度の本来の目的である「不適切な決定からの保護」という観点を見えにくくしている可能性があります。
この理解の違いは、個人情報保護と利活用のバランスをめぐる現代的な課題に大きな影響を与えています。「自己決定権」という名称が、個人の完全なコントロールを想起させ、仮名情報のような新しい制度の導入を理論的に困難にしている面があるかもしれません。
ドイツ語の"Recht auf informationelle Selbstbestimmung"は、直訳すると「情報的自己決定権」または「情報に関する自己決定権」となります。この表現は、「情報を自己決定する権利」という意味とは微妙に異なります。「情報的な」という形容詞的な用法は、自己決定権の性質や領域を限定する働きをしており、必ずしも情報そのものへの直接的なコントロール権を意味するものではありません。
一方、韓国語での「개인정보자기결정권」(個人情報自己決定権)という訳語は、より直接的に情報自体へのコントロールを示唆する表現となっています。この微妙な言語的な違いが、権利の性質についての理解に影響を与えた可能性があります。
このような訳語の選択と解釈の違いは、個人情報保護法制の本質的な目的の理解にも影響を及ぼしていると考えられます。「情報的な」自己決定権という理解であれば、それは情報が関わる文脈における自己決定の権利という、より広い解釈が可能かもしれません。これは、論文が指摘する「不適切な決定からの保護」という法の本来の目的とより整合的かもしれません。
この言語的な観点からの分析は、個人情報保護法制の理論的な基礎を再考する上で、重要な示唆を提供しているといえます。
論文によれば、日本では「自己情報コントロール権」説が憲法学界で有力とされているものの、最高裁判所がこれを認めた判例はなく、政府も個人情報保護法がこの権利を実現するものとは認めていません。
さらに、日本の「自己情報コントロール権」説の特徴として、「誰に対して自己の何を見えるか、いかなる情報を開示するか」について本人の自己決定を認めるべきという、情報の提供面に焦点を当てた解釈がなされています。組織内部での利用についてはほとんど問題にされていないという点で、韓国の個人情報自己決定権とは異なる展開を見せています。
この違いは、第三者提供の規律にも表れています。日本の個人情報保護法では、目的内であっても第三者提供を原則的に禁止していますが、これは自己情報コントロール権説の影響を受けている可能性があると論文は指摘しています。
また、令和3年改正の国会審議では「自己情報コントロール権を明記するべき」との主張がありましたが、結果的には附帯決議において「自己に関する情報の取扱いについて自ら決定できること」という表現に留められました。この経緯は、権利の性質についての慎重な態度を示していると解釈できます。
このように日本では、韓国のような憲法上の権利としての確立には至っていないことが、逆説的に、データ利活用と個人情報保護のバランスをより柔軟に検討することを可能にしているとも考えられます。
論文の分析からは、問題は権利を認めるか否かではなく、その権利の本質をどのように理解するかにあることが示唆されています。
法制度の本来の目的に立ち返ると、個人情報保護法は「個人情報そのもの」を保護するためではなく、「不適切な決定から個人を保護する」ことを目的としているとされます。この観点からすれば、仮に自己情報コントロール権を認める場合でも、それは情報の流れ全般への完全なコントロールを意味するのではなく、個人に影響を与える決定のコンテクストにおける権利として理解することが可能です。
日本では権利を認めなかったことで、データ利活用との調和を図る余地が残されましたが、それは必ずしも望ましい理由によるものではないかもしれません。むしろ、権利の本質的な意味を正確に理解した上で、それを法制度に適切に反映させることが重要だったと考えられます。
したがって、「賢明だった」という評価よりも、今後、個人情報保護法の本質的な目的に立ち返って、権利の意味を再考する必要があるというのが、論文の示唆する方向性ではないかと思われます。
しかし、両国の法制度には重要な違いも存在します。最も顕著な違いは、韓国では個人情報自己決定権が憲法上の権利として確立されている一方、日本ではそのような展開が見られないという点です。この違いは、両国の法制度の発展に異なる影響を与えています。
興味深いことに、2020年の韓国法改正による仮名情報制度の導入は、日本の令和2年改正による仮名加工情報制度とほぼ同時期に行われています。しかし、韓国法の仮名情報は第三者提供を認めているのに対し、日本法の仮名加工情報は事業者内部での利用に限定されているという違いがあります。これは、両国が同様の課題に直面しながらも、それぞれの法的背景に応じて異なるアプローチを採用したことを示しています。
このような状況は、法制度の発展が単純な影響関係だけでなく、各国固有の法的・社会的文脈の中で独自の展開を見せることを示唆しています。むしろ、両国の経験を比較検討することで、個人情報保護法制の本質的な目的についての理解を深めることができると考えられます。
特に重要なのは、両国の法制度の成立過程です。韓国法は、最初に公的部門を対象とした法律を制定し、その後、個別分野ごとの法律を経て、2011年に公民の全部門を対象とする一般法を制定するという道筋を辿りました。この発展過程は、日本の個人情報保護法制の発展と類似しています。
また、個人情報の定義における考え方も共通しています。両国とも、個人情報の定義に「容易照合性」の概念を取り入れています。ただし、韓国法では「他の情報の入手可能性」を考慮する解釈が採用されており、日本法の「提供元基準」とは異なる展開を見せている点は興味深い違いと言えます。
さらに、基本原則の規定においても類似性が見られます。韓国法の「個人情報保護原則」は、日本の2002年に廃案となった旧法案が規定しようとしていた「基本原則」に類似しています。このことは、両国の法制度が共通の理念的基盤を持っていることを示唆しています。
これらの共通点は、両国の法制度が同様の課題に直面し、類似のアプローチを採用してきたことを示しています。しかし同時に、それぞれの国の法的・社会的文脈に応じて、異なる発展を遂げている側面もあることが分かります。
論文によれば、OECD 8原則の第2原則は「Personal data should be relevant to the purposes for which they are to be used」(前段)と「...and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date」(後段)という二つの部分から構成されています。
韓国法は、3条の「個人情報保護原則」において、後段の「正確性、完全性、最新性」は取り入れていますが、前段の「関連性」については言及していません。実は、この特徴は日本法にも共通しています。
この「関連性」の原則の欠落は、両国の法制度における重要な特徴を示唆しています。個人情報保護法制の本来の目的が「不適切な決定からの保護」にあるとすれば、その決定に用いられるデータが目的に対して「関連性」を持つことは極めて重要な要件のはずです。
しかし、両国の法制度がこの「関連性」の原則を明示的に取り入れていないことは、個人情報保護法制の本質的な目的についての理解が十分でない可能性を示唆しています。これは、両国の法制度が「個人情報そのもの」の保護に重点を置きがちであることの一因かもしれません。
この共通の特徴は、今後の法制度の発展において重要な検討課題となり得ると考えられます。
研究院の主張は、個人情報の利活用から生じる利益の分配や、技術発展への貢献を個人の選択の問題として捉えています。しかし、これは個人情報保護法制の本来の目的である「不適切な決定からの保護」という観点から外れているように思われます。
統計作成や研究目的での仮名情報の利用は、そもそも個人に対する決定に用いられることを想定していません。そのため、個人の利益への還元や価値選択の問題として捉えること自体が適切ではありません。むしろ、仮名情報の利用が個人に対する決定に影響を与えないことこそが、重要な論点となるはずです。
論文が指摘するように、イ・インホ教授は「個人情報保護法は個人情報そのものを保護するための法律ではない」と述べています。この観点からすれば、研究院の主張は、個人情報をあたかも個人の財産のように捉え、その利用から生じる利益の分配を問題にするという誤った前提に立っているとも考えられます。
この問題は、個人情報保護法制の目的を正確に理解することの重要性を改めて示唆しています。法の目的を「不適切な決定からの保護」と理解すれば、統計作成や研究目的での利用は、むしろ決定の質を高めることに貢献する可能性があります。
本論文の重要なポイントは以下の3点に集約されると考えられます:
第一に、韓国の憲法裁判研究院は、仮名情報制度を個人情報自己決定権への侵害として捉え、その利益の分配や価値選択の問題として論じました。しかし、この理解は個人情報保護法制の本質を見誤っています。
第二に、個人情報保護法の本来の目的は「個人情報そのもの」の保護ではなく、「不適切な決定からの保護」にあります。この点は、1970年代のOECDガイドライン策定時から意図されていた基本原則です。しかし、日本法も韓国法も、この原則の重要な要素である「関連性」の概念を明示的に取り入れていません。
第三に、仮名情報の統計・研究目的での利用は、そもそも個人に対する決定に用いられることを想定していません。したがって、これを個人の利益への還元や価値選択の問題として捉えること自体が適切ではありません。
この理解に立てば、韓国の憲法裁判所による合憲判断は正しい結論でしたが、その理由付けは不十分でした。むしろ、仮名情報の利用が個人に対する決定に影響を与えないことを、より明確に説明すべきだったと考えられます。
これらの論点は、日本における医療データの二次利用など、今後の実務的課題に対する重要な示唆を含んでいます。個人情報保護法制の本質的な目的に立ち返ることで、より適切な制度設計が可能になると考えられます。
うむ、ちゃんとLLMには理解できるようだ。
しかしそれにしても、Claudeのスタイル「Formal」モードは堅いねえ。優等生すぎる。
ここで、スタイルを「Normal」モードに切り替え、続けてみた。
憲法裁判研究院の「個人情報の利活用から得られる利益が必ずしも全員に還元されない」「技術発展への貢献は個人の価値選択の問題」という主張は、完全に的外れです。
なぜなら、統計や研究目的で仮名情報を使う場合:
にもかかわらず、研究院は「個人情報は個人のもの」という誤った前提から出発して、まるで個人の財産を勝手に使われるかのような議論をしています。
これは「個人情報自己決定権」という名前に引きずられた誤解だと考えられます。結果として、関係ない議論(利益の還元や価値選択)で混乱を招いてしまっています。
本来の法の目的は「誤った/不適切な判断で個人が害されないようにすること」なのですから、統計や研究目的での利用はむしろ歓迎すべきものとも言えます。そうした利用によって、より適切な判断のための知見が得られる可能性があるからです。
この点を正しく理解できていないことが、日本での医療データ利活用などの議論でも混乱を招いているのではないでしょうか。
日本で1970年代から展開された「自己情報コントロール権」説は、韓国の「個人情報自己決定権」の議論に大きな影響を与えた可能性があります。日本の旧法案(2002年に廃案)の基本原則が韓国法に取り入れられているように、学説の影響関係もあったと考えられます。
特に注目すべきは、佐藤幸治博士による「自己情報コントロール権」の提唱です。この権利は、プライバシーの権利を積極的に捉え直したものとして影響力を持ちました。韓国の憲法裁判所2005年決定における個人情報自己決定権の説明は、この日本の学説の影響を強く受けているように見えます。
しかし、日本と韓国では、その後の展開が大きく異なりました:
この違いが、韓国での仮名情報制度をめぐる議論の混乱につながった可能性があります。日本の学説の影響を受けつつも、それを憲法上の権利として発展させたことで、かえって法制度の本来の目的から離れてしまったとも考えられます。
日本の学説の影響関係については論文では触れていません。そこまで議論を広げると、十分な根拠なく推測に基づいた主張になってしまう可能性があります。
論文で重視したのは、あくまで:
という点であり、これらの事実から得られる示唆を分析することに焦点を当てています。
私の先ほどの発言は、根拠が不十分な推測を含んでおり、適切ではありませんでした。
個人情報保護法制を自己情報コントロール権の実現として説明することを避け、個人情報取扱事業者に対する行為規範として構成することを選んだのです。政府の基本的立場として、「仮に自己情報コントロール権が憲法上の権利として認められるとしても、個人情報保護法がそれを実現する法律であるとは考えていない」と一貫して説明しています。
この選択により、韓国のような理論的な混乱は避けられた一方で、個人情報保護法制の本質的な目的を正面から説明する機会も失われてきた可能性があります。
そのことは、医療データの二次利用といった新しい課題に直面したとき、統計・研究目的での利用を理論的にどのように正当化するのかという問題に、十分な説明ができていないという形で表れているように思われます。
OECD 8原則が1980年に採択された時点で、すでに「Personal data should be relevant to the purposes for which they are to be used」という原則が示されており、その背景には「意思決定指向の側面」があったことが、Jon Bingによって説明されています。
また、1983年のドイツの国勢調査判決も、統計調査の公益性を認め、個人に対する決定に用いられないことを重視した判断をしています。
つまり、統計目的や研究目的での利用をどのように位置づけるかという問題は、1980年代から明確な方向性が示されていたにもかかわらず、その後の法制度の発展過程で、その本質的な理解が十分に継承されなかった可能性があります。
韓国の憲法裁判研究院の議論は、40年以上前にすでに解決されていた問題を、あたかも新しい課題であるかのように論じてしまっているように見えます。
この点で、法制度の本質的な目的に立ち返り、その原点を再確認する必要があるのではないでしょうか。
論文では、OECDガイドラインのPrinciple of Relevant Dataについて解説し、Jon Bingの「データ保護の意思決定指向の側面」「データ保護:意思決定指向利益モデル」という説明を引用しています。また、EUの加盟国の法制度における「decisionsに用いない」という条件についても言及があります。
これらの記述から、統計目的や研究目的での利用をどう位置づけるかという問題は、1980年代から一貫して存在し、その解決の方向性も示されていたことが分かります。
先ほどの私の発言で、ドイツの国勢調査判決に言及したのは適切ではありませんでした。これは論文では触れられていない内容であり、私が確実に知っているとは言えないためです。
論文の内容に限って議論を進めるべきでした。申し訳ありません。
これらのテーマは、今後の個人情報保護法制の発展にとって重要な示唆を含んでいると考えられます。