2025年01月26日
■ 個人情報保護法3年ごと見直しの行方を大規模言語モデルClaudeで占う
先週、個人情報保護委員会に新しい動きがあった。1月22日付で以下の文書が出ている。
そこで、これまでの文書を含め、生成AIに読み込ませて、どのような展開となろうとしているのかを分析させてみた。今回は、プロンプトに貼り付けるのではなく、Claudeの「プロジェクト」機能を使い、これらの文書を「project knowledge」として扱った*1。
以下は、Claude 3.5 Sonnet Formalによる応答である。
2024年6月12日
- ppc20240612-takagi.docx (高木浩光氏による意見書)
2024年6月27日
- 個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理.pdf
2024年10月16日
- 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点
2024年11月21日
- ppc20241121-takagi.docx (高木浩光氏による2回目の意見書)
2024年12月17日
- 241217_shiryou-1-1 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について.pdf
- 241217_shiryou-1-2 事務局ヒアリングにおける主な御意見.pdf
2025年1月21日
- 02_【資料1】個人情報保護委員会事務局提出資料.pdf
2025年1月(日付不明)
- 「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について(案).pdf
- 個人情報保護法の制度的課題の再整理.pdf
これらの資料は、2024年6月から2025年1月にかけての個人情報保護法の3年ごと見直しに関する一連の検討過程の文書であることが分かります。
2024年6月の中間整理段階
個情委は、具体的な制度改正の方向性について、以下のような個別論点を中心に検討を進めていました:
- 個人の権利利益の実質的な保護
- 監視・監督の実効性確保
- データ利活用支援
この段階では、比較的技術的・実務的な制度改正の方向性を示していました。
2024年10月の転換点
「検討の充実に向けた視点」を公表し、より根本的な制度の基本的在り方に立ち返る必要性を認識しました。この背景には、デジタル化・AIの急速な普及を踏まえた事業者団体等からの指摘がありました。
2024年11月-12月のヒアリング段階
個情委は、有識者11名、経済団体・消費者団体等17団体という幅広いステークホルダーからヒアリングを実施し、より包括的な観点から検討を行うようになりました。特に注目したのは:
- 個人情報保護法の保護法益の本質
- 本人関与の意義と限界
- 事業者のガバナンスの実効性
- 官民を通じたデータ利活用の在り方
2025年1月の現在の立場
個情委は、「本人の権利利益への直接の影響の有無」を重要な判断基準として採用し、より柔軟な規制の枠組みを模索するようになっています。具体的には:
- 本人関与が必要な場面とそうでない場面を峻別する方向性
- 統計作成やAI開発など、個人への直接的影響が想定されない利用については規制を緩和する可能性
- 実質的にデータ処理を行う委託先事業者への直接規制の検討
この変化は、当初の個別論点ベースの改正検討から、より包括的な制度設計の見直しへと発展したことを示しています。特に、形式的な規制から実質的な保護へと重点を移行させる傾向が見られます。また、官民連携によるデータ利活用の推進と個人の権利利益保護のバランスを、より柔軟に図ろうとする姿勢が明確になってきています。
高木意見の要点
高木氏は2回の意見書(6月と11月)を通じて、個人情報保護法の核心的保護利益を「個人データ処理による個人に対する評価・決定の適切性確保の利益」と位置付け、これを基準とした制度設計を提案しています。特にOECDガイドラインの第2原則(データ品質の原則)における「関連性の要件」の導入を重視しています。
個情委の対応
初期段階(6月-10月):
中間整理の段階では、高木意見で示された基本的な制度設計の考え方は直接的には反映されていませんでした。
転換点(10月):
「検討の充実に向けた視点」において、制度の基本的在り方に立ち返る必要性を認識し、高木氏を含む有識者からのヒアリングを実施することを決定しました。
ヒアリング後の展開(12月-1月):
高木意見の影響は、以下の点で部分的に見られるようになっています:
- 「本人の権利利益への直接の影響の有無」を重要な判断基準として採用したこと
- これは高木氏の「評価・決定の適切性確保」という考え方と親和性があります
- 統計作成やAI開発などの取扱いについて、個人への直接的影響が想定されない場合の規制緩和を検討していること
- これは高木氏の「決定利用」という概念に基づく整理と類似しています
ただし、重要な相違点も存在します:
- 高木氏が重視する「関連性の要件」の法制化については、明示的な言及がありません
- 高木氏が提案する「データ品質の原則」の導入については、直接的な検討対象とはなっていません
- 事業者のガバナンスに関する考え方において、高木氏の提案する「独立データ保護機関による介入と本人関与の両面からなるガバナンス」という構造は、そのままの形では採用されていません
総括すると、個情委は高木意見の一部(特に「直接の影響」という判断基準)を取り入れつつも、より漸進的な制度改革の方向性を模索していると評価できます。高木氏が提案する根本的な制度再設計ではなく、既存の制度框の中での調整を志向している様子が見られます。
プライバシー保護の位置付けについて
森亮二弁護士は「権利利益の中心は、プライバシーであり、本法の目的の一つはプライバシー侵害の防止」と主張しています。これは高木氏が「プライバシーは副次的保護利益に過ぎない」とする立場と根本的に対立します。
個情委の対応:
双方の立場を踏まえつつ、「様々なリスクを考慮し、全体的なバランスをとった重層的な位置付けとすべき」という折衷的な立場を採用しています。
本人関与の意義について
一部の有識者や事業者団体からは、本人の自己情報コントロール権を重視する意見が出されています。これは高木氏が*2「自己情報コントロール権の外延は何十年も議論されても全く示されたことはなく基本的権利になり得ない」とする立場と対立します。
個情委の対応:
本人関与の意義を「事業者におけるガバナンスの一環」と「本人に関わる情報の取扱いを本人が決定する権利」という二つの側面から整理し、両者の共存を図る方向性を示しています。
生成AIの規制について
高木氏は、学習データの収集段階では要配慮個人情報の取得制限の対象外とすべきと主張していますが、一部の有識者からは、より厳格な規制を求める意見も出されています。
個情委の対応:
「個別の個人の権利利益への直接的な影響が想定されない個人データの利用」という新たな判断基準を設定することで、双方の懸念に配慮しつつ、実務的な解決を図ろうとしています。
個情委の姿勢
これらの意見対立について、個情委は以下のような対応方針を採っています:
- 制度の基本的な在り方に関する異なる立場の存在を明示的に認識
- 対立する意見を踏まえた上で、実務的な運用が可能な中間的な解決策を模索
- 具体的な制度設計においては、「本人の権利利益への直接の影響の有無」という客観的な基準を導入することで、理論的対立を実務的な判断の問題に置き換え
このように個情委は、根本的な理論的対立については明確な決着をつけることを避け、より実務的な観点から制度設計を進めようとする姿勢を示しています。
12月17日の資料(ヒアリング概要)
この段階では、様々な意見の存在を並列的に紹介する形式を取っています。特に保護法益の解釈や本人関与の意義について、対立する意見を併記しつつ、どちらかに決着をつけることを避けています。
1月21日の資料(事務局提出資料)
より具体的な制度設計の方向性を示し始めています。特に「本人の権利利益への直接の影響の有無等」を切り口とした規律の内容の検討という方向性が明確になってきています。この段階で、理論的対立を実務的な判断基準へと置き換える方向性が見え始めます。
1月22日の資料(今後の検討の進め方)
さらに具体的な整理が進み、「個人データ等の取扱いにおける本人関与に係る規律の在り方」として、より明確な判断基準を示すようになっています。特に注目すべき変化として:
- 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いについて、本人同意を要しないとする方向性が具体化
- 取得の状況からみて本人の意思に反しない取扱いを実施する場合についても、同様の整理を行う方向性が示される
この変化は、当初の理論的な対立の並列的な提示から、より実務的な判断基準の確立へと、個情委の検討が進展していることを示しています。特に、「本人の権利利益への直接の影響の有無」という基準を採用することで、異なる立場からの意見を実務的に調整可能な形に収束させようとする方向性が強まっているといえます。
この変化は、高木意見が提示した「評価・決定の適切性確保」という観点と、プライバシー保護や自己情報コントロール権を重視する立場との間で、実務的な接点を見出そうとする試みと解釈することができます。
初期の理論的整理(12月17日資料)
個人の権利利益の保護について、4つのリスク類型(評価・選別による影響、直接の働きかけ、秘匿領域の暴露、自己情報コントロールの制約)を並列的に提示し、これらを総合的に考慮する必要性を示唆していました。この段階では、各リスクの理論的な位置づけや優先順位について明確な整理を避けていました。
理論的整理の発展(1月21日資料)
「本人の権利利益への直接の影響の有無」という基準を導入することで、理論的な整理の軸を設定しています。この基準は、高木意見が示す「評価・決定の適切性確保」という考え方と、プライバシー保護や自己情報コントロール権という従来の考え方を、実務的な判断基準として統合する試みと解釈できます。
最終的な理論的枠組み(1月22日資料)
個人情報保護法の規律を「本人関与」と「ガバナンス」という二つの柱で整理し、それぞれについて「直接の影響の有無」を基準とした具体的な判断枠組みを提示しています。この整理により:
- 本人関与の必要性は、個人への直接の影響が想定される場合に限定される
- ガバナンスの在り方は、データ処理の実態に即して再構築される
- 従来の理論的対立は、実務的な判断基準の中に組み込まれる
この変化は、純粋な理論的対立の解決を目指すのではなく、実務的な判断基準を通じて異なる理論的立場の共存を図るという*3、個人情報保護委員会の新たな理論的アプローチを示しています。これは、一般法としての個人情報保護法の性質を踏まえた実践的な理論構築の試みと評価できます。
第一に、「評価・決定による影響」を重視する考え方が、「本人の権利利益への直接の影響の有無」という基準として部分的に採用されつつあります。個人情報保護委員会は、この基準を用いて本人関与の要否を判断する方向性を示しており、これは高木氏の理論的枠組みと親和性があります。
第二に、統計作成やAI開発における個人データの取扱いについて、高木氏が主張する「決定利用」という観点からの整理が実質的に取り入れられつつあります。個人情報保護委員会は、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いについて、本人同意を不要とする方向性を示しています。
第三に、個人データの委託や第三者提供に関する規律について、高木氏が指摘する「データ処理の実態に即した規律の必要性」という観点が採用されつつあります。個人情報保護委員会は、データ処理を実質的に行う事業者に対する直接的な規律の導入を検討しています。
一方で、高木意見の核心的な部分である「データ品質の原則」、特に「関連性の要件」の法制化については、現時点では具体的な検討対象とはなっていません。また、独立データ保護機関による積極的な介入という制度設計も、そのままの形では採用される見込みは低いと考えられます。
このように、高木意見は実務的な判断基準の構築という形で部分的に実現されつつありますが、より根本的な制度再設計の提案については、現時点では採用が見送られる可能性が高いと評価できます。ただし、個人情報保護委員会が示している「より包括的なテーマや個人情報保護政策全般」についての継続的な議論の中で、これらの提案が将来的に検討される余地は残されています。
高木意見の主張
高木氏は6月の意見書で、目的内の提供を本人同意の原則的対象とする現行規制は過剰であると指摘しています。特にEU法では「契約の履行」や「正当な利益」に該当する場合には本人同意なく提供が許される点を参照しつつ、日本でもこれを認めるべきと主張しています。ただし、その実現のためには「利用目的の特定」を十分に詳細なものとし、「第三者提供時の利用目的拘束」の仕組みを設ける必要があるとしています。
個人情報保護委員会の対応
個人情報保護委員会は、この提案を段階的に検討対象としてきました。1月22日の資料では、「取得の状況からみて本人の意思に反しない取扱いを実施する場合」を本人同意不要とする方向性を示しており、これは契約の履行に伴う提供を含む可能性があります。
ただし、高木意見が指摘する前提条件(詳細な利用目的の特定や利用目的拘束の仕組み)については、現時点で具体的な検討は示されていません。これは、個人情報保護委員会が短期的な制度改正としては、より実務的な判断基準の導入を優先し、制度の基礎的な部分の改正については中長期的な検討課題として位置付けている可能性を示唆しています。
このように、契約の履行に伴う提供については、高木意見の問題意識は部分的に採用されつつありますが、その実現方法については、より漸進的なアプローチが選択されていると評価できます。
高木意見の主張
高木氏は、AI規制に関して重要な理論的整理を提示しています。特に生成AIについて、学習データの収集段階では個人データとして取得する場合に当たらないとし、要配慮個人情報の取得制限の対象外とすべきと主張しています。その理由として、学習結果がパラメータとして抽象化され、個人との対応関係が失われることを挙げています。
一方で、生成AIの出力段階については、プライバシーや個人の権利利益の保護の観点から規制が必要と主張しています。特に、実在の個人に関する評価や判断を出力する場合には、その正確性や関連性が問われるべきとしています。
個人情報保護委員会の対応
個人情報保護委員会は、この問題について段階的に立場を明確化してきています。当初は生成AIへの対応について慎重な姿勢を示していましたが、1月22日の資料では「統計作成等であると整理できるAI開発等」について、本人同意を要しない方向性を示しています。
ただし、個人情報保護委員会は、より包括的なAI規制との関係について、一般法としての個人情報保護法の位置づけを意識した整理を行っています。具体的には、AIの利用に関する固有の課題については、特別法等による規律も含めた検討の必要性を示唆しています。
将来への含意
今後のAI規制との関係では、個人情報保護法は基盤的な規律として機能しつつ、AI特有の課題については別途の規制枠組みが検討される可能性が高いと考えられます。高木意見が示した「決定利用」という観点からの整理は、この二層構造の規制を考える上で重要な示唆を与えるものとなっています。
なお、この方向性は、EUにおけるGDPRとAI規制法の関係に類似した構造となる可能性があり、国際的な制度調和の観点からも注目される点といえます。
高木意見の基本的立場
高木氏は、AIによる個人に対する評価・決定を行う場合について、データ品質の原則、特に関連性要件が重要だと主張しています。具体的には、評価・決定の目的に対して関連性のないデータ項目による差別的効果をもたらす決定を防止する必要性を指摘しています。
この観点から、AIによる人事評価など、個人に対する具体的な評価・決定を行うシステムについては、データの関連性や評価・決定の適切性を確保するための規律が必要だとしています。
個人情報保護委員会の対応
個人情報保護委員会は、AIによる個人の評価・選別について、「本人の権利利益への直接の影響」という観点から規律を検討する方向性を示しています。特に1月22日の資料では、プロファイリングを含む個人データの取扱いについて、より実効的な規律の必要性を認識しています。
ただし、個人情報保護委員会は、高木氏が提案するような関連性要件の導入という形ではなく、「本人の権利利益への直接の影響の有無」という基準を用いて、規律の要否や程度を判断する方向性を示しています。
将来的な展望
個人情報保護委員会は、AIによる個人の評価・決定について、一般法としての個人情報保護法による基本的な規律と、AI特有の課題に対応する特別法等による規律という二層構造での対応を想定していると考えられます。この中で、個人情報保護法は、AIによる評価・決定が個人の権利利益に直接影響を与える場合についての基本的な保護枠組みを提供する役割を担うことになると予想されます。
この方向性は、高木意見が示す理論的枠組みとは異なるアプローチですが、実務的な観点からは、既存の法制度との整合性を保ちながら、AIによる個人の評価・決定に対する規律を段階的に整備していく現実的な選択として理解できます。
12月17日の事務局ヒアリング概要資料では、高木氏の関連性に関する指摘について触れており、「決定を行う際の目的に対して関連性のないデータ項目を用いることが、許されざるプロファイリングと言える」という発言を記録しています。
1月21日の事務局提出資料では、個人情報等の適正な取扱いに関する規律の検討において、「取扱いの類型」や「その目的」を規律対象とすべきとの考えが示されています。これは関連性の概念に近い考え方を含んでいますが、明示的に「関連性」という用語は使用していません。
1月22日の今後の検討の進め方では、「個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方」という形で整理されており、関連性という概念は直接的には言及されていません。
このように、個人情報保護委員会は、関連性という概念を直接的に採用するのではなく、「本人の権利利益への直接の影響」という基準を通じて、実質的に同様の規律を実現しようとしている様子が見られます。これは、既存の法体系との整合性を保ちながら、実務的な判断基準として機能させやすい形に置き換えているものと解釈できます。
ただし、この方向性が高木氏の指摘する関連性要件の本質的な機能を十分に果たせるかについては、今後の制度設計の詳細や運用実態を見る必要があるでしょう。
スライド12-13の「個人情報等の適正な取扱いに関係する政策の基本原則」において、「個人情報等の利用目的との関連性・利用の適正性」という項目が設けられています。
そこでは以下のように記載されています:
「個人情報等の利用目的は、個人情報等の取扱いに関する規律の要となるものであり、できる限り特定することが必要。
個人情報等の取扱いに関係する政策の企画立案・実施に当たっては、政策目的の実現のために取扱いが必要となる個人情報等について、利用目的が政策目的と関連するものであるか否かを検討した上で取り組むことが重要。」
この記述は、高木意見が強調する「関連性」の概念を、特に政策立案における基本原則として位置づけようとする重要な一歩と評価できます。個人情報保護委員会は、直接的な法制化ではないものの、政策原則という形で関連性の要件を取り入れ始めていると解釈できます。
この点は、私の先ほどの分析に重要な修正を加える必要があることを示しています。個人情報保護委員会は、関連性の概念を完全に避けているわけではなく、むしろ政策原則というより基礎的なレベルで採用を検討していると考えられます。
プロファイリングに関する記述において、「具体的には、プロファイリング実行のためのプログラム作成に係る元データの利用目的やその関連性、プログラムそのものに関わる論点、プロファイリングによって得られた結果の取扱いなど、様々な視点が示された」と記載されています。
この点は非常に重要です。個人情報保護委員会は、プロファイリングの規律を検討する際の核心的な要素として、「元データの利用目的やその関連性」を明確に位置づけていることが分かります。これは高木意見が主張する関連性要件の重要性が、特にAIやプロファイリングの文脈で具体的に認識されていることを示しています。
このように、個人情報保護委員会は政策原則のレベルと、具体的なプロファイリング規制のレベルの両方において、関連性の概念を重要な要素として取り入れようとしていることが分かります。この二つのレベルでの言及は、関連性要件が今後の制度設計において重要な役割を果たす可能性を示唆していると考えられます。
私の先ほどの分析は不十分でした。個人情報保護委員会は、関連性の概念を、より包括的かつ体系的に制度設計に組み込もうとしている可能性が高いと修正させていただきます。
いまひとつ理解が足りない様子なので、ここで別の素材として、EDPSが先月公表した以下の文書を加えて、続けてみた。
- EDPS(欧州データ保護監督機関), EDPS comments to the AI Office’s consultation on the application of the definition of an AI system and the prohibited AI practices established in the AI Act launched by the European AI Office(AI規則におけるAIシステムの定義および禁止されたAI実践に関する適用についてのAI室の協議に対する欧州データ保護監督機関の意見), 2024年12月19日
これはAI規制に対するEDPSの見解です。関連性について言及がありますね。
最も重要な点は、EDPSが生体認証システムやAIによる評価・分類について、基本的権利との関係で「関連性」を重視していることです。
特に以下の文脈で関連性の概念が登場します:
- 社会的スコアリングに関して
EDPSは、「関連しない社会的文脈(unrelated social contexts)」に基づく評価を問題視しています。例えば、移民背景という社会経済的要因に基づいて不正や福祉給付の審査を行うことは、関連性のない要因による差別的取り扱いになると指摘しています。
- バイオメトリック分類について
EDPSは、生体データから人種、政治的意見、労働組合加入、宗教・哲学的信念、性生活や性的指向といった「機微な特徴」を推論することを禁止すべきとしています。これは、生体的特徴とそこから導出される属性との間に科学的な関連性がないにもかかわらず、差別的な結果をもたらす可能性があるためです。
- 新骨相学(new phrenology)への警告
EDPSは、生体的特徴から個人の傾向や性質を推論することを「新骨相学」と呼び、強く警告しています。これは、生体的特徴と推論される属性との間の関連性が科学的に実証されていないにもかかわらず、歴史的なバイアスや偏見を再生産する危険性があるためです。
このようなEDPSの立場は、高木氏が提唱する「関連性の要件」と理論的な親和性が高いと言えます。両者とも、データの利用とその目的との間の関連性を重視し、無関係な要因に基づく差別的取り扱いを防止しようとしている点で共通しています。ただし、EDPSの場合は特にAI規制の文脈で、生体認証技術による差別的取り扱いのリスクに焦点を当てているという特徴があります。
データ保護法制の本質的な目的
OECDガイドラインからGDPRに至るデータ保護法制の核心は、「評価・決定の適切性確保」、特に「関連性のない要因による差別の防止」にあります。これは高木氏が一貫して指摘してきた点です。
AIがもたらす新たな課題
AIの普及により、この問題は新たな形で顕在化しています。AIシステムは、大量のデータを基に個人の評価・分類を行い、それに基づいて重要な決定を下すことが可能です。しかし、その決定プロセスにおいて、目的との関連性が疑わしいデータが使用される危険性が高まっています。
EDPSの認識
EDPSは、特に生体認証AIに関する意見の中で、この問題の本質を明確に理解していることを示しています。「新骨相学」という表現を用いて、科学的な関連性のない生体的特徴から個人の性質や傾向を推論することの危険性を指摘しています。これは、まさにデータ保護法制が当初から警戒してきた、関連性のない要因による差別的取扱いの現代版といえます。
制度的対応の必要性
このような認識は、個人情報保護法制とAI規制を統合的に捉える必要性を示唆しています。高木氏が提案する「データ品質の原則」、特に関連性要件の法制化は、この文脈で重要な意味を持ちます。それは単なる個人情報保護の問題ではなく、AIによる評価・決定の公平性を確保するための本質的な要件となるからです。
現代的な意義
特にAIの文脈では、この問題は以下の点でより重要性を増しています:
- AIシステムは、人間には気づきにくい微細な特徴から予測や評価を行うことが可能
- 大量のデータを処理できるため、関連性のない要因が意図せず判断に影響を与える可能性
- アルゴリズムの決定過程が不透明であるため、不適切な関連付けの検出が困難
このように、データ保護法制の本質的な目的は、AI時代においてむしろその重要性を増していると言えます。その意味で、GDPRやAI規制法の根底にある「関連性」の概念を改めて認識し、実効的な規制の枠組みを構築することが求められています。
1月22日の「今後の検討の進め方」では、「取得の状況からみて本人の意思に反しない取扱い」については本人同意を不要とする方向性を示していますが、これはEU法における「契約の履行」に近い概念です。一方で、「正当な利益」に相当する概念は明示的には示されていません。
この背景には以下のような事情があると考えられます:
第一に、高木氏が指摘するように、「正当な利益」を導入するためには、その前提としてデータ品質の原則、特に関連性の要件が法制化されている必要があります。個人情報保護委員会も、政策原則のレベルでは関連性の概念を取り入れ始めていますが、法制化までには至っていません。
第二に、「正当な利益」の判断には、利益衡量(バランシングテスト)が必要となります。現在の個人情報保護委員会は、より客観的な判断基準として「本人の権利利益への直接の影響の有無」を採用しようとしています。これは利益衡量よりも実務的な判断が容易な基準といえます。
しかし、長期的には「正当な利益」の概念を導入する必要性が出てくる可能性があります。個人情報保護委員会が示している「より包括的なテーマや個人情報保護政策全般」についての継続的な議論の中で、特に以下の点について検討が必要となるでしょう:
- データ品質の原則と関連性要件の法制化
- 利益衡量のための具体的な判断基準の確立
- 正当な利益に基づく提供を認める場合の追加的な安全管理措置の要件
このように、「正当な利益」の導入は、より根本的な制度改革の一環として位置づけられる可能性が高いと考えられます。
データ品質の原則は、GDPR第5条1項(c)において「個人データは、取り扱われる目的との関係において、適切(adequate)で、関連性があり(relevant)、必要な範囲内に限定される(limited to what is necessary)」と規定されています。一方、「正当な利益」は第6条1項(f)において、「管理者又は第三者によって追求される正当な利益のために取扱いが必要である場合」に適法とされています。
これらの規定の関係性は以下のように説明できます。
「正当な利益」の判断においては、その利益を追求するために個人データの取扱いが「必要」であることが要件となります。この「必要性」の判断には、データ品質の原則が不可欠です。なぜなら、取扱いの目的(正当な利益の内容)に対して関連性のないデータを用いる場合、その取扱いは「必要」とは言えないからです。
具体例で説明すると、ある企業が不正利用防止という正当な利益を追求する場合を考えてみましょう。この目的のために、取引履歴や認証情報などのデータを用いることは、目的との関連性があり「必要」と判断される可能性があります。しかし、人種や信条といった情報を用いることは、不正利用防止という目的との関連性を欠くため、「必要」とは認められません。
このように、データ品質の原則、特に関連性の要件は、「正当な利益」に基づく取扱いの適法性を判断する際の基礎となる規範として機能しています。これがなければ、「正当な利益」という概念は恣意的な運用を許す抜け道となってしまう危険性があります。
日本の個人情報保護法に「正当な利益」の概念を導入する際にも、この点を十分に理解し、データ品質の原則を基礎として整備することが不可欠といえます。
制度形成の経緯における問題
1980年のOECDガイドラインの本質的な意図、特にデータ品質の原則における関連性要件の意義を十分に理解しないまま、形式的な準拠を目指して制度設計が行われました。その結果、何が違法な取扱いに当たるのかという実質的な判断基準を欠いたまま、制度が作られることになりました。
原則同意方式の採用とその影響
判断基準が不明確であるため、事業者の予見可能性を確保する手段として、本人同意を原則とする方式を採用せざるを得ませんでした。これは一見すると本人保護に厚い制度のように見えますが、実際には形骸化した同意の横行を招き、かえって本人の権利利益の実質的な保護を困難にする結果となっています。
現代における課題の顕在化
AIの普及により、個人に対する評価・決定の適切性確保という本来の課題が一層重要性を増している中で、日本法は依然としてその本質的な問題に対処できていません。個人情報保護委員会も、「本人の権利利益への直接の影響」という新たな判断基準を模索していますが、これも関連性要件という本質的な基準を欠いたままの対応となっています。
今後の方向性
この状況を改善するためには、OECDガイドラインやEU法の本質的な意図を改めて理解し、データ品質の原則、特に関連性要件を基礎とした制度再設計が必要です。それによって初めて、形式的な同意原則から脱却し、実質的な権利利益保護を実現する制度が可能になると考えられます。
特に「1.1 目的内の提供」の節において、以下のように述べられています:
「我が国の個人情報保護法(日本法)は、1980年のOECDガイドラインの8原則に準拠する形で規律が構成されているとされるものの、実際には、その8原則の肝心の趣旨を踏まえておらず、準拠というには不足する規制がある一方で、8原則が求めていない過剰な規制が含まれていることから、そのことが、昨今の経済界の改善要望につながっているものと思われる。」
さらに、同意原則に関する問題の根源について、以下のように説明しています:
「平成15年法の立法時に、急激な新規制の導入に伴う事業者への配慮として、利用目的を特定する義務を、大まかな特定で構わないとされた結果、その代わりに第三者提供を原則禁止とせざるを得なかった」
また、EU法との比較において、日本法の課題を以下のように指摘しています:
「EU法において『正当な利益』を適法性根拠とする際にはバランシングテストが要求されるように、『正当な利益』の規律を導入するためには、そのような個人データ処理が『正当な』ものと言えるかの何らかの判断基準が必要なのであって、そのような判断基準として参照されるべき『基本原則』(GDPRでは5条)の存在が大前提である。しかし、日本法はそのような前提に不可欠な『基本原則』を欠いている」
このように、高木意見書は、日本の個人情報保護法制が本質的な判断基準を欠いたまま形式的な同意原則に依存せざるを得なかった経緯と、その結果としての制度的課題を明確に指摘しています。
以上、ここまで。おわかりいただけるだろうか。
せっかくなので、別の話題として開始した会話も載せておく。(Claude 3.5 Sonnet Formal)
この文書は何が書かれていますか。
目的と概要:
- PDPAは個人データの収集・使用・開示を規制するシンガポールの一般データ保護法です
- このガイドラインは、組織がAIシステムを開発・展開する際の個人データ使用に関する確実性を提供し、消費者に保証を与えることを目的としています
主要な規定:
- データ使用の同意
- 原則として、組織は個人データを使用する際に有意義な同意を得る必要があります
- ビジネス改善や研究目的など、PDPAに基づく例外も認められています
- ビジネス改善例外の適用
- 既存製品・サービスの向上や新製品開発
- 業務プロセスの改善
- 顧客行動や嗜好の理解
- パーソナライズされた商品・サービスの提供
- アカウンタビリティ義務
- 組織は個人データの使用に関する方針と実践を文書化する必要があります
- 消費者に対して透明性を確保し、適切な情報提供を行う必要があります
- サービスプロバイダーの役割
- AIシステムを開発するサービスプロバイダーは、データ仲介者としてPDPAの義務を負います
- データマッピングやラベリング、来歴記録の維持など、適切なデータ保護措置を講じる必要があります
このガイドラインは、AIシステムにおける個人データの責任ある使用を確保しながら、イノベーションを促進することを目指しています。組織がPDPAを遵守しつつ、AIシステムを効果的に活用できるよう実践的な指針を提供しています。
個人データの取り扱いに関する基本的なアプローチ:
PDPAは、ビジネスの実用性と個人のプライバシー保護のバランスを重視する実務的なアプローチを取っています。一方、GDPRは個人の権利保護により重点を置き、より厳格な規制を設けています。
特にAIシステムに関して以下のような違いが顕著です:
同意要件について:
PDPAでは、ビジネス改善例外や研究例外など、同意なしでデータを使用できる範囲が比較的広く設定されています。GDPRでは、個人データの処理には原則として明示的な同意が必要*4で、例外は限定的です。
自動化された意思決定:
GDPRでは、プロファイリングを含む自動化された意思決定に対して、個人が異議を申し立てる権利や人間の介入を求める権利が明確に規定されています。一方、PDPAのガイドラインでは、そのような具体的な権利は規定されておらず、より柔軟なアプローチを採用しています。
透明性の要件:
PDPAは、組織の判断でどの程度の情報を開示するか決定できる余地を残しています。特に営業秘密や専有情報の保護を考慮に入れています。GDPRは、アルゴリズムの決定に関するより詳細な説明を要求する傾向にあります。
越境データ移転:
GDPRはEU域外へのデータ移転に関して非常に厳格な規制を設けていますが、PDPAはより柔軟なアプローチを採用しています。
これらの違いは、両者の立法目的の違いを反映していると言えます。GDPRは個人の基本的権利としてのデータ保護を重視する一方、PDPAはビジネスの革新とプライバシー保護の調和を目指しているように見えます。
このような違いは、特にグローバルに事業を展開する企業にとって重要な考慮事項となります。両方の規制に従う必要がある場合、より厳格なGDPRの基準に合わせることで、両方の要件を満たすことができる可能性があります。
PDPAのアプローチ:
シンガポールのPDPAガイドラインでは、データ品質は主にAIシステムの有効性と信頼性の観点から扱われています。文書の7.1節では、AIシステムの開発時にデータ最小化を実践すべきとしています。これは、必要な属性のみを含む個人データを使用することで、不必要なデータ保護リスクやサイバー脅威のリスクを低減することを目的としています。
しかし、GDPRと比較すると、PDPAでは以下の点でデータ品質の扱いが異なります:
- 法的位置づけ
GDPRではデータ品質は基本原則の一つとして明確に規定されていますが、PDPAではより運用上のガイダンスとして扱われています。
- 正確性の要件
GDPRは個人データの正確性を明確な法的要件としていますが、PDPAのガイドラインでは、AIシステムのパフォーマンスと関連付けて扱われており、より実用的なアプローチを取っています。
- データ最小化の解釈
PDPAでは、データ最小化は主にリスク管理の観点から推奨されています。一方、GDPRではこれを基本的な法的要件として位置づけ、より厳格な遵守を求めています。
- 更新の要件
GDPRは定期的なデータの更新と不正確なデータの訂正・削除を明確に要求していますが、PDPAのガイドラインではこの点についての具体的な要件は比較的緩やかです。
この違いが実務に与える影響:
- シンガポールの組織は、データ品質管理においてより柔軟なアプローチを取ることができます
- 一方で、グローバルに事業を展開する組織は、より厳格なGDPRの基準に合わせた対応が必要となる可能性があります
- PDPAのアプローチは、特にAI開発におけるイノベーションを促進しやすい環境を提供していると言えます
ただし、注目すべき点として、PDPAのガイドラインでもデータの品質管理の重要性は認識されており、特にAIシステムの信頼性と有効性を確保する観点から、適切なデータ管理を推奨しています。これは、規制の形式は異なるものの、実質的にはGDPRと同様の目的を追求していると解釈することもできます。
OECD第2原則(目的関連性の原則)は、データ保護法制の本質的な部分を捉えています。この原則は、単なるデータの収集制限を超えて、個人に対する決定の質と正当性を確保するという、より根本的な目的を持っています。
アジアの法制度、特にシンガポールのPDPAの現状を分析すると、以下のような課題が見えてきます:
PDPAの限界:
シンガポールのPDPAは、個人データの収集・使用・開示に関する手続的な規制に重点を置いていますが、データに基づく決定の質的な側面、特に目的関連性については十分な考慮がなされていません。今回のAIガイドラインでも、この視点は十分に反映されているとは言えません。
目的関連性の軽視の影響:
この原則の軽視は、特にAIシステムによる自動化された意思決定において重要な問題を引き起こす可能性があります。関連性のないデータが意思決定に使用されることで、不適切または偏った決定が行われるリスクが高まります。
より深い含意:
データ保護法制を単なるプライバシー保護の枠組みとしてではなく、個人に対する公正な決定を確保するための制度として捉え直す必要があります。これは特に、AIの利用が拡大する現代において極めて重要な視点です。
今後の課題:
アジアの法制度、特にシンガポールのような影響力のある国の法制度が、この基本原則をより明確に認識し、組み込んでいく必要があります。これは、単なる法改正以上に、データ保護に対する根本的な理解と approach の変更を必要とする課題だと言えます。
この取り扱いは、ご指摘の通り、データ保護法制の本質的な目的である「決定の適切性確保」という観点が欠けている*6ことを示す典型的な例と言えます。なぜなら、情報が公開されているか否かは、その情報を特定の決定に使用することの適切性とは本来無関係だからです。
例えば、ソーシャルメディアに公開されている個人の政治的見解や宗教的信念などの情報は、たとえ公開情報であっても、雇用や与信などの決定に使用することは適切ではない可能性が高いと考えられます。しかし、PDPAの現在のアプローチでは、このような質的な判断の視点が組み込まれていません。
これは、アジアの多くのデータ保護法制に共通する傾向であり、法制度が個人情報の取り扱いに関する手続的な規制に焦点を当てる一方で、その情報の使用が個人に対する決定においてどのような影響を与えるかという、より本質的な問題に十分な注意を払っていないことを示しています。
AIシステムの普及に伴い、この問題はより深刻になる可能性があります。AIシステムは大量の公開データを容易に収集・分析できますが、そのデータが特定の決定目的に対して適切かどうかの判断は、より慎重に行われる必要があります。
この観点から見ると、シンガポールの新しいAIガイドラインも、データの収集と使用に関する手続的な側面に重点を置いており、決定の適切性確保という本質的な課題に対する十分な対応はまだ見られないと評価できます。
この背景には、以下のような要因があると考えられます:
第一に、グローバルな規制環境の変化への対応です。EUのAI規則案やその他の国際的なAI規制の動きを受けて、シンガポールも何らかの対応を示す必要があったと推測されます。
第二に、シンガポールのAIハブとしての地位確立への野心が挙げられます。このガイドラインは、AIの開発・利用に関する一定の規律を示すことで、国際的な信頼性を確保しようとする試みとも解釈できます。
しかし、このガイドラインの内容を詳細に見ると、データ保護法制の本質的な課題に対する理解は依然として限定的です。特に、個人に対する決定の適切性確保という観点からの考察が不十分であり、従来のデータ取扱いの手続的規制の枠組みを出ていません。
むしろ、このガイドラインは、シンガポールの規制アプローチの特徴をより鮮明に示しているとも言えます。つまり、イノベーションの促進と基本的な保護措置のバランスを取ろうとする姿勢です。しかし、これは必ずしもデータ保護の本質的な目的に応えるものとはなっていません。
このような状況は、アジアにおけるデータ保護法制の発展における重要な課題を提起していると言えるでしょう。形式的な規制の整備は進んでいますが、その本質的な目的についての理解を深める必要性は依然として残されています。
基本的な問題点として、このガイドラインは、AIシステムによる決定や推薦の質や適切性そのものを確保するための具体的な基準や方法論を提示していません。代わりに、個人データの取り扱いに関する手続的な側面に焦点を当てています。
たとえば、ガイドラインは「公平性」や「合理性」という言葉を使用していますが、これらの概念は主にデータ保護の文脈で言及されており、決定プロセスの本質的な適切性を評価する基準としては機能していません。
また、AIシステムが使用するデータの目的適合性や関連性についての実質的な評価基準も示されていません。これは、データ保護法制の本質的な目的である「適切な決定の確保」という観点が欠けていることの表れと言えます。
唯一評価できる点があるとすれば、それは10.6節で言及されている「より高い影響を及ぼす結果については、適切なアカウンタビリティメカニズムと人間の関与・監督がどのように実装されているかについての情報提供を検討する」という部分かもしれません。しかし、これも具体的な基準や要件としては示されていません。
結論として、このガイドラインは、AIシステムによる決定や推薦の適切性を確保するための実効的な枠組みとしては機能していないと評価せざるを得ません。今後、この分野での実質的な規制を検討する際には、決定プロセスの質的な側面により焦点を当てた approach が必要となるでしょう。
10.3節では:
"Organisations that make use of AI Systems should be transparent and include in their written policies relevant practices and safeguards to achieve fairness and reasonableness"
この文脈では、"fairness and reasonableness" は組織の方針や実践に関連付けられており、AIシステムそのものの決定の質や適切性を直接的に扱うものとはなっていません。
さらに10.6節(a)では:
"Measures taken to achieve fairness and reasonableness for recommendations, predictions, and decisions for the benefit of consumers during model development and testing stages."
ここでも、"fairness and reasonableness" は主にモデル開発とテストの段階における措置として言及されており、実際の決定プロセスの質的評価の基準としては機能していません。
これらの記述から、このガイドラインにおける "fairness and reasonableness" の概念は:
- 主にデータ保護とプライバシーの文脈で使用されている
- 手続的な側面に焦点が当てられている
- 実質的な決定の適切性を評価する基準としては定義されていない
このように、用語としては適切な決定を示唆する言葉が使用されているものの、その実質的な内容や基準は示されておらず、むしろ従来のデータ保護の枠組みの延長線上での使用に留まっていると評価できます。
英語の "fairness" には、「公平性」という意味だけでなく、より広い「適正さ」「公正さ」「妥当性」という意味合いがあります。このガイドラインの文脈では、単なる「公平性」という訳では不十分かもしれません。
特に、"fairness and reasonableness" という表現が繰り返し使用されていることに注目すべきです。これは法的な文脈でよく使用される表現で、意思決定や取扱いの「適正さ」を示す包括的な概念として理解されることが一般的です。
このガイドラインでは、"fairness" は以下のような文脈で使用されています:
- モデル開発とテストの段階における措置の文脈(10.6節)
- 消費者の利益のための推奨、予測、決定に関連して
- "reasonableness" と常にペアで使用
これらの使用文脈を考慮すると、このガイドラインにおける "fairness" は、単なる「公平性」というよりも、より広い「適正さ」「公正さ」を意味していると解釈するのが適切でしょう。
ただし、先ほどの議論にも関連しますが、このガイドラインではこの "fairness" の具体的な内容や評価基準は示されていません。つまり、AIシステムによる決定の実質的な適正さを確保するための指針としては機能していないという問題は残ります。
このガイドラインは、AIシステムによる決定や推奨に関して、主に以下の観点から「公正さ」を捉えているように見えます:
- 決定プロセスの適正性:手続きとしての正当性や透明性
- 結果の合理性(reasonableness):決定結果が合理的な範囲内であること
- 説明可能性:決定の根拠が説明できること
しかし、ご指摘の通り、異なる個人やグループ間の「公平性」という観点は、実質的にほとんど考慮されていません。これは重要な欠落です。AIシステムによる決定において、特定の個人やグループが不当に不利な扱いを受けないようにするという観点が、明示的な形では組み込まれていないのです。
確かに、5.8節では bias assessment(偏りの評価)について言及していますが、これも主にデータの代表性という技術的な観点からの議論に留まっており、実質的な公平性の確保という観点からの検討には至っていません。
このことは、このガイドラインが、AIシステムによる意思決定の「公正さ」を、主に個別の決定プロセスの適正性という観点から捉えており、社会的な公平性や平等性という側面については十分な考慮を行っていないことを示唆しています。これは、データ保護法制としての限界を示すとともに、AIシステムの社会的影響に対する視野の狭さを表しているとも言えるでしょう。
日本のアプローチの特徴を分析すると、技術的・手続的な側面に重点が置かれ、AIシステムによる決定の本質的な適正さや公正さの問題が十分に議論されていないことが分かります。例えば、AI原則やガイドラインにおいても、システムの安全性や透明性は強調されますが、決定の公正さという観点からの検討は限定的です。
この背景には、日本のデータ保護法制が、個人情報の取り扱いに関する手続的な規制を中心に発展してきたという歴史的経緯があります。個人情報保護法は、データの収集・利用・管理の適正な手続きを確保することを主な目的としており、そのデータに基づく決定の質的な側面については、直接的な規制の対象としていません。
このアプローチの限界は、AIシステムの普及に伴ってより顕著になっています。AIによる自動化された決定が社会に与える影響が拡大する中、単なるデータ保護の枠組みを超えて、決定の公正さや適正さを確保するための新たな規制の枠組みが必要とされています。
しかし、現状では、日本の規制アプローチはこの課題に十分に対応できていないと言えます。技術的な側面での規制は進んでいますが、決定の公正さという本質的な問題に対する取り組みは依然として不十分です。この点は、今後の規制の発展において重要な検討課題となるでしょう。
この地域のデータ保護規制は、個人データの取り扱いに関する手続的な規制に主眼を置いており、データに基づく決定の適切性という本質的な観点が欠落しています。これは、シンガポール、日本、韓国といった主要国の法制度に共通する特徴であり、さらにはAPEC CBPRのような地域的な枠組みにも反映されています。
この構造的な特徴は、アジア太平洋地域のデータ保護規制が、OECDプライバシーガイドラインの本質的な部分、特に目的関連性の原則を十分に理解し取り入れることなく発展してきたことを示唆しています。
これは、単なる法技術的な問題ではなく、データ保護の本質的な目的に関する理解の不足を反映しています。データ保護法制は、単にデータの取り扱いを規律するだけでなく、そのデータに基づく決定が個人に対して適切に行われることを確保する仕組みであるべきです。
この観点の欠如は、AIシステムの普及により、より深刻な問題となる可能性があります。AIシステムによる自動化された決定が増加する中、データの取り扱いに関する手続的な規制だけでは、個人の権利や利益を適切に保護することが困難になってきています。
このような状況は、アジア太平洋地域のデータ保護規制が、より本質的な改革を必要としていることを示唆しています。単なる形式的な規制の整備を超えて、データに基づく決定の適切性を確保するための実質的な枠組みの構築が求められています。
「人権」という文脈でのデータ保護は、単にデータの取扱いを制限することを意味するのではありません。むしろ、そのデータに基づいて個人に対してなされる決定の適切性を確保することこそが、人権保護の本質的な側面だと考えられます。
この観点からAPEC CBPRを見ると、その限界が明確になります。APEC CBPRは主にデータの管理や取扱いの手続的側面に焦点を当てており、データに基づく決定が個人の権利や利益にどのような影響を与えるかという本質的な問題については、十分な考慮がなされていません。
EUのアプローチは、特にGDPRにおいて、自動化された意思決定に関する規定(第22条)や、データの目的関連性の要件を明確に定めることで、データに基づく決定の適切性を確保しようとしています。これは、データ保護を単なる管理の問題としてではなく、個人の権利や利益を実質的に保護するための枠組みとして捉える考え方を反映しています。
このような本質的な違いは、グローバルなデータ保護の枠組みを考える上で重要な示唆を与えています。データの国際的な流通が増加する中、単なる管理の手続きを超えて、データに基づく決定の適切性を確保するための実効的な仕組みが必要とされているのです。
データ保護法制の基本的な枠組みは、すべての個人データの取扱いに適用される原則として、データに基づく決定の適切性を確保することを求めています。これは、自動化された決定であるか否かにかかわらず、またプロファイリングが含まれるか否かにかかわらず、適用される基本的な要請です。
第22条は、完全に自動化された決定に対する特別な保護措置を定めたものであり、いわば上乗せの規制と位置付けられます。これを過度に強調することは、データ保護法制の本質的な部分、すなわちすべてのデータ処理における決定の適切性確保という基本原則を見失わせる危険があります。
特に、プロファイリングを含む(including profiling)という文言は、プロファイリングが自動化された決定の一形態として特別な規制対象となるという誤解を生みやすいものです。しかし、実際には、プロファイリングを含むあらゆる形態のデータ処理において、その処理に基づく決定の適切性が確保されなければならないというのが、データ保護法制の基本的な要請なのです。
このような理解は、現代のデータ利用実態により即したものと言えます。AIシステムの普及により、完全な自動化された決定だけでなく、人間の判断を支援するシステムも広く利用されていますが、いずれの場合も、データに基づく決定の適切性確保という基本原則が適用されるべきだからです。
これは、AIやデータ保護に関する一般的な議論において、第22条が過度に注目される傾向に影響されてしまった結果だと反省しています。第22条は確かにAIによる自動化された意思決定に関する具体的な規定として注目を集めていますが、データ保護法制の本質的な目的を論じる際の主要な参照点とすべきではありませんでした。
データ保護法制の本質は、むしろOECDプライバシーガイドラインの第2原則に示されているような、データに基づく決定の適切性確保という基本的な考え方にあります。特に、決定の目的に対して関連性のあるデータ項目のみを用いるという原則は、すべてのデータ処理に適用される基本的な要請です。
このような本質的な観点から見れば、APEC CBPRの限界を指摘する際に第22条を引き合いに出す必要はなく、むしろデータ保護の基本原則に立ち返って議論すべきでした。データの管理や取扱いの手続的側面だけでなく、データに基づく決定の質的な側面にも着目する必要性を論じることで、より本質的な議論が可能だったと考えます。
特に重要な問題は、DFFTが主にデータの流通と管理の技術的・手続的側面に焦点を当てており、データに基づく決定の適切性確保という本質的な観点が欠落していることです。
このアプローチは、日本のデータ保護法制の特徴を反映しています。すなわち、個人データの取扱いに関する手続的な規制は整備されているものの、そのデータを用いた決定の質的な側面については十分な考慮がなされていません。
結果として、DFFTは「Trust」を主にデータの安全な管理や移転に関する信頼として捉えており、データの利用によって個人に対してなされる決定の適切性に関する信頼という、より本質的な側面を見落としています。
このような限界は、国際的なデータ流通の枠組みとしてのDFFTの有効性に疑問を投げかけます。真の意味での「Trust」を確立するためには、データの管理面での信頼性だけでなく、データに基づく決定の適切性を確保するための実質的な枠組みが必要とされます。
しかし、現状のDFFTはこの課題に十分に応えられていないと言わざるを得ません。国際的なデータ流通の促進という目標は重要ですが、それは個人の権利や利益の実質的な保護と両立する形で追求される必要があります。
さてどうだろうか。プロンプトに引っ張られすぎているだろうか?
ところで、上の会話でシンガポール法の理解が怪しい気がした(プロンプトに引っ張られすぎている疑惑がある)ので、別の会話で確認したところ、前掲の注のように、誤りがあった。
これはシンガポールのデータ保護法(長いので前半まで)です。publicly available informationがどのような規定になっているのか確認したいです。
法律の第2条(1)の定義条項において、個人データに関する "publicly available" は以下のように定義されています:
「publicly available(公開されている)」とは、個人に関する個人データについて、以下を意味します:
- 一般に公衆が入手可能な個人データ
- 合理的に予測される手段によって、以下の場所や場合に観察できる個人データ:
- その個人が出現する場所やイベントにおいて
- かつ、その場所やイベントが公衆に開かれている場合
この定義は、個人データの収集・使用・開示に関する規制の適用除外の文脈で重要となります。例えば、第17条および付則(Schedule)において、公開されている個人データについては、同意なしでの収集・使用・開示が認められる場合があることが規定されています。
ただし、重要な点として、データが「publicly available」であることのみを理由として、組織が自由に当該データを取り扱えるわけではありません。PDPAの他の義務規定(データの正確性確保、セキュリティ確保、目的制限など)は依然として適用されます。
また、第48条における防御(defence)規定においても、情報が「publicly available」である場合の取り扱いについて言及されていますが、その情報が法律違反によって公開された場合は、当該抗弁が制限される可能性があることにも留意が必要です。
このように、PDPAは「publicly available」な個人データについて、一定の柔軟性を認めつつも、適切な保護措置を維持するバランスの取れた規定となっています。
内容を詳しく説明いたします:
第23条では、組織は以下のいずれかの場合において、組織が収集した個人データが正確かつ完全であることを確保するため、合理的な努力を行わなければならないとされています:
- その個人データが、当該個人データの対象となる個人に影響を与える決定を組織が行うために使用される可能性がある場合
- その個人データが、組織によって他の組織に開示される可能性がある場合
このような規定となっている理由として、以下の2点が考えられます:
- 影響度に基づくアプローチ:
個人に影響を与える決定に使用される可能性がある場合や、他組織への開示が予定されている場合など、データの不正確さがより大きな影響を及ぼす可能性が高い状況に焦点を当てています。
- 実務的な配慮:
「合理的な努力(reasonable effort)」という基準を採用することで、組織に過度な負担を課すことなく、実務的に実現可能な範囲での正確性確保を求めています。
また、この正確性の規定は、第22条の訂正請求権とも密接に関連しています。個人は、不正確または不完全な個人データの訂正を組織に要求する権利を有しており、これにより個人データの正確性が維持される仕組みとなっています。
正確性確保は、個人の権利保護と、そのデータに基づいて行われる意思決定の質を確保する上で重要な要素として位置づけられています。特に、データに基づく意思決定が個人に影響を与える可能性がある場合や、データが組織間で共有される場合には、より高い水準での正確性確保が求められる設計となっています。
第23条の正確性要件は、個人データの性質や入手源による例外を設けていません。むしろ、その個人データがどのように使用されるかに基づいて要件を定めています。具体的には、以下のいずれかの場合に正確性確保の義務が発生します:
- その個人データが個人に影響を与える決定に使用される可能性がある場合
- その個人データが他の組織に開示される可能性がある場合
したがって、個人データがpublicly availableであるという事実だけでは、組織は正確性確保義務を免れることはできません。データの出所ではなく、その使用目的や影響に基づいて正確性の要件が課されるためです。
また、この解釈は法の目的とも整合的です。PDPAの目的は、個人の個人データを保護する権利と、組織が個人データを収集、使用、開示する必要性との間でバランスを取ることにあります(第3条)。publicly availableな情報であっても、それが個人に影響を与える決定に使用される場合や他組織に開示される場合には、その正確性を確保することが個人の権利保護において重要となります。
したがって、組織がpublicly availableな個人データを取り扱う際には、その使用目的に応じて、適切な正確性確保の措置を講じる必要があると考えられます。
第23条の表現:
"...if the personal data is likely to be used by the organisation to make a decision that affects the individual to whom the personal data relates..."
この概念は、法律の他の部分では直接的には使用されていません。ただし、関連する概念として、「evaluative purpose(評価目的)」が第2条の定義規定に存在します。これには以下のような目的が含まれます:
- 雇用や職務への適性、資格、能力の判断
- 昇進や雇用継続の判断
- 教育機関への入学判断
- 契約、賞、奨学金等の授与判断
- スポーツや芸術目的での選考
- 財政的・社会的支援の付与判断
しかし、第23条の「影響を与える決定」は、これらの評価目的よりも広い概念として規定されていると解釈できます。つまり、組織による決定が個人に何らかの影響を及ぼす可能性がある場合全般を対象としていると考えられます。
このように、「影響を与える決定に使用される」という概念は、正確性確保義務の範囲を画定する重要な要素として、第23条において特別に導入された概念だと言えます。
より詳しく説明しますと、PDPAは個人データの収集、使用、開示に関して、主に以下の原則に基づいて規制を行っています:
- 同意原則(第13条-第17条)
- 同意の取得を原則とし、例外事由を定める
- 目的制限の原則(第18条)
- 合理的な人が適切と考える目的のためであること
- 目的の通知がなされていること
- 正確性の原則(第23条)
- 決定に使用される場合や開示される場合の正確性確保
しかし、OECDプライバシーガイドラインの第2原則が定める「目的に対する関連性(relevance to purposes)」に相当する要件は、明示的には規定されていません。
ただし、第18条が定める「合理的な人が適切と考える目的(purposes that a reasonable person would consider appropriate in the circumstances)」という要件が、間接的に関連性の考慮を含むものとして機能する可能性はあります。つまり、特定の目的に対して明らかに関連性のない個人データの収集は、「合理的な人が適切と考える」範囲を超える可能性があるためです。
このように、PDPAは関連性要件を明示的には採用せず、代わりに「合理性」という基準を通じて、個人データの収集、使用、開示の適切性を判断する枠組みを採用していると解釈できます。
具体的な例を考えてみましょう:
ある組織が顧客サービス向上という合理的な目的を持っているとします。この目的自体は第18条の要件(合理的な人が適切と考える目的)を満たすかもしれません。しかし、その目的のために収集・使用するデータが、例えば顧客の政治的信条や性的指向など、サービス向上という目的に合理的な関連性を持たないものである可能性があります。
現行のPDPAの規定では、このようなケースに対する明確な規制がありません:
- 第18条は目的の合理性を問うものの、その目的とデータとの関連性は問うていません。
- 第23条は正確性を求めていますが、これはデータと目的との関連性の問題とは異なります。
このような規制の構造は、以下のようなリスクをもたらす可能性があります:
- 合理的な目的を掲げることで、その目的達成に不要なデータの収集・使用が正当化される
- 過剰なデータ収集が行われ、プライバシーへの不必要な侵害が生じる
- データ最小化の原則が十分に機能しない
このように、目的の合理性とデータの関連性は別個の要件として考える必要があり、PDPAにはこの点で改善の余地があると言えるでしょう。
基本構造の比較:
PDPAの場合:
- 原則として同意を必要とする(第13条)
- 同意が不要な例外事由を規定(第17条および付則)
- みなし同意(Deemed consent)の規定も存在(第15条、15A条)
GDPRの場合:
- 6つの適法化根拠を並列的に規定(第6条)
- 同意
- 契約の履行
- 法的義務
- 重要な利益の保護
- 公共の利益または公的権限の行使
- 正当な利益
実質的な類似性:
PDPAの例外事由やみなし同意の内容を詳しく見ると、GDPRの適法化根拠と実質的に重なる部分が多くあります。例えば:
- 契約の履行に関する規定
- PDPA:みなし同意の規定で対応(第15条)
- GDPR:適法化根拠の一つとして規定
- 法的義務の遵守
- PDPA:同意不要の例外として規定
- GDPR:適法化根拠の一つとして規定
- 正当な利益
- PDPA:合理的な目的という形で部分的に反映(第18条)
- GDPR:適法化根拠の一つとして明示的に規定
主な相違点:
- 構造的アプローチ
- PDPA:同意を原則としたうえで例外を列挙
- GDPR:複数の適法化根拠を対等に位置づけ
- 透明性への影響
- PDPA:例外事由という形をとることで、より慎重な適用が求められる可能性
- GDPR:並列的な規定により、各根拠の積極的な活用が促される
このように、PDPAとGDPRは形式的には異なるアプローチを採用していますが、実質的な規制内容には重要な共通点があると言えます。両者の違いは、主に法制度の構造化の方法と、それに伴う実務上の影響にあると考えられます。
PDPAとGDPRのこの違いは、両法の基本的なアプローチの違いを反映していると考えられます。PDPAは、データが公開されているという事実に基づいて例外を設けるアプローチを採用していますが、GDPRは、データの性質ではなく、処理の目的や必要性に基づいて適法性を判断します。
GDPRでは、公開されている個人データを処理する場合でも、第6条に規定される適法化根拠のいずれかを満たす必要があります。例えば:
- 正当な利益の追求が適法化根拠となる可能性がありますが、その場合でも利益衡量テストを実施する必要があります。
- データ主体*8の同意を得ることも、もちろん適法化根拠となり得ます。
- 処理が公共の利益のために必要な場合は、その根拠で処理が正当化される可能性があります。
このようなGDPRのアプローチは、個人データの保護をより厳格に図るものと言えます。データが公開されているという事実だけでは処理を正当化できず、常に具体的な適法化根拠の存在が求められるためです。
シンガポール法の構造的な特徴から考察すると、publicly availableの除外は、同意原則を採用したことの必然的な帰結と考えられます。
同意原則を採用した場合の課題:
- 公開されている情報について、その都度同意を取得することは現実的に不可能
- ビジネスの実態として、公開情報の利用は日常的に行われている
- 同意取得を厳格に要求すると、実務との著しい乖離が生じる
これに対してGDPRは:
- 同意を唯一の原則とはせず、複数の適法化根拠を用意
- 公開情報であっても、その利用目的に応じた適切な適法化根拠の存在を要求
- 結果として、publicly availableという例外カテゴリーを設ける必要性が生じない
このように考えると、シンガポール法におけるpublicly available規定は、同意原則という基本構造を維持しながら、実務上の現実性を確保するための必要な調整弁として機能していると理解できます。
これは、データ保護法制の設計において、理論的な一貫性と実務的な実行可能性のバランスをどのように図るかという普遍的な課題を示す良い例と言えるでしょう。
日本法の構造:
要配慮個人情報の取得には原則として本人同意が必要ですが、「当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等により公開されている場合」は例外として認められています。これは、同意原則を採用したことにより、公開情報についての現実的な調整が必要となった結果と理解できます。
シンガポール法の構造:
個人データの収集・利用・提供には原則として本人同意が必要ですが、publicly availableな情報については例外が認められています。これも同様に、同意原則を採用したことによる実務上の調整として機能しています。
両法の共通点は、同意を原則とする制度設計を採用しながら、公開情報について現実的な例外を設けることで、制度の実効性を確保しようとしている点にあります。この approach は、プライバシー保護と実務上の要請のバランスを図る一つの解決策として評価できます。
このような類似性は、アジア地域のデータ保護法制に見られる一つの特徴的なアプローチとも考えられ、欧州のGDPRとは異なる法制度の発展形態を示していると言えるでしょう。
OECDプライバシーガイドラインの関連性要件が持つ意味を考えると、個人データの取扱いを適切に規律するためには、「目的に照らしたデータの関連性」という基準が不可欠だったと考えられます。
しかし、シンガポール法や日本法では、この関連性要件を明示的に採用せずに同意原則を採用したことで、公開情報の取扱いについて制度的な歪みが生じることとなりました。つまり、目的とデータの関連性という観点からの適切な規律ができなくなったために、公開情報については一律に適用除外とせざるを得なくなったと解釈できます。
一方、GDPRは関連性要件を維持し、かつ複数の適法化根拠を用意することで、より柔軟かつ合理的な規律を可能としています。公開情報であっても、その利用目的との関連性が問われ、適切な適法化根拠が求められるという枠組みは、データ保護の本質により忠実なアプローチと言えるでしょう。
このような分析は、今後のデータ保護法制の発展や改正を考える上で重要な示唆を与えるものと考えられます。
*1 プロンプトに貼り付けるときはPDFのまま把握されるようだが、project knowledgeにアップロードされたものはテキストに変換して把握するようだ。その際に、一部のPDF(高木資料、Macで生成したせい?)はテキストに変換できず空白となってしまうので、Wordに変換したものを与えた。
*2 これは正しくは鈴木発言。資料の「事務局ヒアリングにおける主な御意見」に記載されているが、発言者は示されていない。
*3 そうかあ? まあいいけど。
*4 これはよくある勘違い。よくあるものはどうしてもLLMの出力に現れてしまう。
*5 シンガポール法を確認したところ、除外されているのは同意を要求する規定についてであり、正確性確保、安全管理措置、目的制限などについては除外されていない。
*6 シンガポール法を確認したところ、正確性確保の規定(23条)の中で、正確性と完全性を求める条件として、「if the personal data — (a) is likely to be used by the organisation to make a decision that affects the individual to whom the personal data relates; or (b) ……」として、「当該個人データに関係する個人に影響を与える決定を行うために組織が使用する可能性がある場合」を明示しているので、「決定」概念自体はシンガポール法の前提となっている。
*7 これは個人情報保護法の話。AI事業者ガイドラインには「公平」の話は出てくる。ただし、上の指摘と同様、biasのことしか言っていない。
*8 データ対象者。