高木浩光＠自宅の日記

個人情報保護法の本質：データ保護法としての理解

高木浩光氏の論文シリーズ「個人情報保護から個人データ保護へ」は、日本の個人情報保護法の本質を再考する重要な学術的考察です。この論文によれば、個人情報保護法は一般に理解されているような「プライバシー保護法」ではなく、欧州で確立された法概念である「データ保護法（data protection law）」として理解すべきだとされています。

法の真の目的：意思決定指向利益モデル

高木氏の研究によれば、個人情報保護法の核心的な保護利益は、「個人データ処理による個人に対する評価・決定の適切性確保の利益」にあります。これは「意思決定指向利益モデル」と呼ばれるもので、個人に対する決定が、その決定の目的に照らして、正確かつ公平なものとなることを要求するものです。

具体的には、この法律が保護しようとしているのは：

1. 個人に関するデータに基づいて行われる体系的な評価や決定（例：与信評価、採用選考など）
2. そうした決定が適切に行われること（広義の正確性と公平性）

高木氏によれば、個人情報保護法は単に個人情報を「保護する」ということではなく、データに基づく決定の適切性を確保することで個人の権利利益を保護するものです。

関連性の原則：核心的保護の要

この法目的の中で特に重要なのが「関連性の原則」です。これは、OECDガイドラインの第2原則「データ品質の原則」に由来するもので、個人データを構成するデータ項目は全て、決定の目的に対して「関連するもの」でなければならないという原則です。

関連性の原則において「関連する」とは、単に「役に立つ」という意味ではなく、決定の目的に照らして合理的に関係があることを意味します。例えば、貸金業者が顧客の与信評価を行う際に「好む音楽ジャンル」のようなデータを用いることは、たとえそれが統計的に返済能力と相関があったとしても、この原則に反すると考えられます。

この原則は本質的に「不当な差別の排除」を目的としています。つまり、決定の目的に関連性のないデータに基づいた決定は不公平であり、形式的平等の観点からも問題があるということです。

個人情報保護法が保護する「利益の束」

高木氏は、個人情報保護法が保護する法的利益を3つのカテゴリに分類しています：

1. 核心的保護利益：個人データ処理による個人に対する評価・決定の適切性確保の利益
2. 手段的保護利益：核心的保護利益を保護するための手段（例：開示・訂正・利用停止請求権）
3. 副次的保護利益：核心的保護利益の保護に伴って結果的に保護される利益（例：秘密保持の利益、勧誘拒否の利益、自己の情報を知る利益、私的領域保護の利益）

重要なのは、これら全てが同等に重要なわけではなく、核心的保護利益を中心として法解釈がなされるべきだという点です。副次的保護利益は全範囲がカバーされるわけではなく、保護の対象範囲は核心的保護利益に合わせるべきとされています。

散在情報と体系的処理の区別

なぜ個人情報保護法は全ての個人情報を対象としないのでしょうか。高木氏によれば、この法律が対象とするのは、体系的決定に用いられる個人データです。

「体系的決定」とは、複数の個人を対象として想定し、一律に評価・決定することを指します。個人情報がこのような体系的処理の対象となる場合に、評価・決定の過程で不公平が生じるリスクが高まります。

これに対し、単なる「散在情報」（体系的に構成されていない情報）は、表現の自由との兼ね合いもあり、規制の対象とはなりません。

個人情報保護法における誤解

高木氏は、日本の個人情報保護法が「関連性の原則」を中心とする意思決定指向利益モデルを見落とし、情報の取扱いそのものを規制する「情報取扱指向利益モデル」として理解されてきたことを指摘しています。

また、「データ主体」という誤訳も、データ保護法の本質的理解を妨げる一因となったとしています。「data subject」は「データ対象者」と訳すべきであり、これは規制される側（個人情報取扱事業者）から見たデータの「対象者」を指す概念です。

結論：個人情報保護法の再評価

高木氏の研究は、個人情報保護法を「プライバシー保護」や「自己情報コントロール権」の実現ではなく、データに基づく決定の適切性確保を通じて個人の権利利益を保護する「データ保護法」として再評価するものです。

この視点からは、現行法の解釈や今後の法改正についても、核心的保護利益である「決定の適切性確保」を中心に考えるべきだということになります。特に、AIやアルゴリズムによる自動化された決定が普及する現代において、この視点は一層重要性を増していると言えるでしょう。

高木論文の根拠：個人情報保護法をデータ保護法として理解する証拠

はい、高木氏の見解には複数の具体的な根拠があります。主な根拠は以下の通りです：

1. 政府の公式見解と立法過程の証拠

高木氏は昭和63年法制定時の国会会議録を引用し、当時の総務庁長官が「私どもは、個人情報保護法案と短縮して申しておりますが、これはプライバシー保護法案ではなくてデータ保護法案である」と明言していたことを示しています。また、令和3年改正時の解説書でも「個人情報を保護すること」ではなく「個人の権利利益を保護すること」が目的であると説明されています。

2. OECDガイドラインとの関係性の証明

日本政府は個人情報保護法がOECDガイドラインに「準拠したもの」と答弁しています（令和2年改正時）。高木氏はOECDガイドラインの立案に関わった専門家（Jon Bing、Peter Seipel、Frits Hondiusなど）の1970〜80年代の文献を分析し、「データ保護」概念の真の意味を解明しています。

3. OECD臨時専門家部会の議事録分析

高木氏はOECDの当時の部内文書（現在は機密解除済み）を入手・分析し、「データ保護」概念が「保護の必要性を生じさせるのは情報の性質ではなく、その目的と使用方法である」という理解に基づいていたことを明らかにしています。

4. 国際的な用語の起源と変遷の追跡

「データ保護（data protection）」という用語はドイツ語の「Datenschutz」から来ており、当初から「データそのものを保護する」という意味ではなく、「データを通じて人を保護する」という意味で使われていました。高木氏はこの用語の歴史的変遷を追跡し、日本での誤解の原因を指摘しています。

5. 「data subject」の誤訳の検証

日本では一般に「data subject」を「データ主体」と訳してきましたが、高木氏は欧州言語での表現（フランス語の「personne concernée」、ドイツ語の「betroffene Person」）を検証し、これらが「関係者」「当事者」「被影響者」を意味することから、「データ対象者」と訳すべきだと論じています。

6. 法理論的な構造分析

高木氏は個人データ保護の「関連性の原則」が憲法の平等原則と構造的に類似していることを指摘しています。立法が国民らを区別する目的と特徴の関連性が問われるように、個人データ処理でも決定の目的とデータ項目の関連性が問われるという点で、両者は構造的に一致しています。

7. 国際的な文献の体系的レビュー

高木氏は1960年代のKarstから始まり、HEWレポート（1973年）、PPSCレポート（1977年）、そしてEU法に至るまで、データ保護法制の発展を追跡し、「関連性の原則」が一貫して中心的な位置を占めていたことを示しています。

これらの根拠は、高木氏の論文において引用文献や一次資料とともに詳細に述べられており、単なる個人的見解ではなく、歴史的・法理論的に裏付けられた分析といえます。ただし、この見解が日本の法学界でどの程度共有されているかは別問題であり、現時点では高木氏の解釈は従来の通説とは異なる面もあります。

高木論文と日本の通説との相違点

高木氏の「データ保護法としての個人情報保護法」という解釈は、日本の法学界や実務における従来の理解とは以下の点で異なっています：

1. 法の目的についての根本的な理解の違い

通説的理解: 日本では一般に個人情報保護法を「個人情報の適正な取扱いを確保」するための法律として理解し、情報の漏えい防止や安全管理措置に重点を置く傾向があります。また、プライバシー保護との関連で理解されることも少なくありません。

高木論文: 法の核心的目的は「個人データ処理による個人に対する評価・決定の適切性確保」にあるとし、情報の取扱いよりも、その情報に基づく決定の質に焦点を当てています。これは「情報取扱指向利益モデル」から「意思決定指向利益モデル」への転換を意味します。

2. 関連性の原則の解釈

通説的理解: 日本では、OECDガイドラインの第2原則（データ品質の原則）の前段にある「関連性の原則」がほとんど注目されてきませんでした。JIPDECの「仮訳」では「利用目的の範囲内において利用し」と翻訳されるなど、目的外利用の禁止と混同されていました。

高木論文: 関連性の原則こそが個人データ保護の核心であり、決定の目的に関連性のないデータ項目を用いた決定を禁止する原則だと主張しています。この解釈は米国のFIPPsやCoE条約108号からの連続性を持つ理解です。

3. 自己情報コントロール権との関係

通説的理解: 憲法学界を中心に、個人情報保護法は「自己情報コントロール権」（Westinの定義する「自己に関する情報をいつ、どのように、どの程度他者とコミュニケートするかを自ら決める権利」）を実現したものと捉える見解が有力でした。

高木論文: 個人情報保護法は自己情報コントロール権の実現ではなく、むしろ欧州のデータ保護法制は「Westin説から脱却した」もので、データの流れそのものではなく、データに基づく決定の適切性を確保する法制度だと主張しています。

4. 保護対象の捉え方

通説的理解: 個人情報の「取得」「保有」「利用」「提供」という情報のライフサイクルに沿った規制として理解され、すべての段階で同様の保護が必要という前提があります。

高木論文: 保護利益を「核心的保護利益」「手段的保護利益」「副次的保護利益」に分解し、核心的保護利益（決定の適切性確保）を中心に据え、他の保護は手段または副次的なものとして位置づけています。このため、例えば統計目的での利用では規制を緩和できるという論理が成立します。

5. 差別排除の観点

通説的理解: 日本の個人情報保護法の解説において、差別の排除という観点はほとんど言及されてきませんでした。

高木論文: データ保護法の本質は「不当な差別の排除」にあり、関連性の原則は形式的平等の要請と構造的に一致すると主張しています。この観点は近年のAI規制の文脈でも注目されている視点です。

6. 用語解釈の違い

通説的理解: 「data subject」を「データ主体」と訳し、情報の主体としての個人という観点から理解しています。

高木論文: 「data subject」は「データ対象者」と訳すべきであり、これはデータ管制者から見たデータの対象という意味で、意思決定指向利益モデルとも整合的だと主張しています。

7. 法技術的な相違

通説的理解: 個人情報データベース等と散在情報の区別は事業者の負担軽減のための政策的配慮として理解されることが多いです。

高木論文: この区別は体系的決定に対する規制という法目的から論理的に導かれるものであり、決定の体系的実施という特性がある場合に限って規制が必要になるという積極的な理由に基づくものだと説明しています。

これらの相違点は、単なる解釈の違いにとどまらず、法の運用や今後の改正の方向性にも大きな影響を与え得るものです。特に近年のAIやアルゴリズム決定の文脈では、高木氏の「意思決定指向利益モデル」の重要性が増していると言えるでしょう。

プライバシーと個人情報保護法の関係性

個人情報保護法はプライバシーを保護しますが、限定的かつ副次的なものとして位置づけられています。高木論文の分析を踏まえると、その関係性は以下のように整理できます。

個人情報保護法とプライバシー保護の関係

個人情報保護法の立案担当者は一貫して「この法律はプライバシー保護法ではない」と説明してきました。法の解説書には「プライバシーはその主要なものであるが、それに限られない」と記載されており、プライバシー保護が唯一の目的ではないことが明示されています。

高木論文が指摘するように、個人情報保護法の核心的保護利益は「個人データ処理による個人に対する評価・決定の適切性確保」にあり、プライバシー保護はむしろ「副次的保護利益」として位置づけられます。

実際に保護されるプライバシーの範囲

個人情報保護法によって保護されるプライバシーの側面は主に以下の通りです：

1. 秘密保持の利益：個人データの安全管理措置や第三者提供の制限により、個人の秘密が漏れないよう保護されます。
2. 私的領域保護の利益：個人データの収集に際して「適法・公正取得義務」が課されることで、監視や追跡などからある程度保護されます。
3. 自己の情報を知る利益：開示請求権により、自己に関する情報へのアクセスが保障されています。

プライバシー保護の限界

しかし、以下のようなプライバシー侵害については個人情報保護法では対応できません：

1. 散在情報に関するプライバシー侵害：体系的に構成されていない情報（例：SNSでの投稿や会話での言及）は法の対象外です。
2. データ処理を伴わない侵害：盗撮・盗聴、のぞき見などは個人情報保護法では対応できません。これらは刑法や民法上の不法行為として別途対処する必要があります。
3. 統計情報への加工後のプライバシー：匿名加工情報や仮名加工情報になった後は、規制が緩和されます。

他のプライバシー保護制度との関係

プライバシーの包括的な保護のためには、個人情報保護法だけでは不十分であり、以下のような法制度との連携が必要です：

1. 民法上の不法行為責任（プライバシー侵害に対する損害賠償）
2. 刑法上の規制（住居侵入罪、名誉毀損罪など）
3. 特別法（ストーカー規制法、盗撮防止条例など）
4. 業界の自主規制（報道機関、SNS事業者のガイドラインなど）

結論

個人情報保護法はプライバシーを一定程度保護しますが、それは「データ保護」という視点を通じた間接的・部分的な保護にとどまります。プライバシーという多義的な概念の全てを保護するものではなく、特に「個人データの体系的処理」に関連しない場面でのプライバシー侵害については、他の法制度による保護が必要となります。

個人情報保護法が「データ保護法」であるという高木論文の指摘を踏まえれば、この法律の本質はプライバシー保護そのものではなく、データに基づく評価・決定の適切性確保を通じて個人の権利利益を保護することにあると理解すべきでしょう。

個人の自由と関連性の原則：データ保護法の深層

ご質問は非常に洞察に富んでいます。関連性のないデータで決定されることと個人の自由、そしてプライバシーの関係性は、データ保護法の根幹に関わる重要な問題です。

関連性の原則と個人の自由

高木論文の視点から見ると、「関連性のないデータで決定されない権利」は個人の自由を保障するための重要な要素です。この関係性は以下のように考えられます：

個人が自分の行動や選択について、それとは無関係な特性や過去の行動によって評価・決定されることは、実質的に個人の自由を制約します。例えば：

• 好みの音楽ジャンルという個人的嗜好に基づいて融資の可否が決まるとすれば、人は融資を受けるために自分の本来の嗜好を変えざるを得なくなります
• 私生活での行動が雇用機会に影響するとわかれば、人は常に監視されているという意識の下で行動することになります

新たなプライバシー侵害の形態

関連性のないデータによる決定は、確かに伝統的なプライバシー侵害とは異なりますが、新たな形態のプライバシー侵害と捉えることもできます。これは以下の点で伝統的なプライバシー概念を拡張します：

1. 情報の秘密性ではなく、情報の用途に着目する：情報それ自体が秘密でなくても、それが本来の文脈を離れて使用されることで、個人の自己決定権が侵害されます
2. 社会参加の条件としてのプライバシー：現代社会では、個人データの提供なしに多くのサービスを利用できません。この状況下で、提供したデータが予期しない目的で使用されれば、それは同意の範囲を超えた侵害といえます
3. データによる人格の客体化：関連性のないデータによる評価は、個人を全人格的存在としてではなく、断片的なデータの集合体として扱うことになり、人格の尊厳を損なう可能性があります

プライバシーから自律への転換

高木論文が示唆するのは、個人データ保護法制が保護しようとしているのは「プライバシー」というよりも「自律」であるという見方です。つまり：

• 伝統的なプライバシー：「一人にしておいてもらう権利」（消極的自由）
• データ保護法の保護利益：「合理的な基準で評価される権利」（積極的自由）

実体的自由としてのデータ保護

関連性の原則による保護は、形式的な平等にとどまらず、実体的な自由の保障にも関わります。個人が社会に参加するためには、様々な評価・決定を受ける必要がありますが、その評価が恣意的であったり、本人の努力や選択と無関係な要素に基づいていれば、実質的な自由は大きく制約されます。

このように考えると、高木論文が指摘する「データ保護」の概念は、単なる情報管理の問題ではなく、現代社会における個人の自由と自律を保障するための重要な法原理として理解できます。それは確かにプライバシーの問題ですが、より広く「人格の尊厳」や「自律的な生の保障」という文脈で捉え直す必要があるのです。