<前の日記(2023年03月27日) 次の日記(2024年03月13日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 472   昨日: 1370

2024年03月11日

Claude 3に例の「読了目安2時間」記事を解説させてみた

Anthropicの先日出たばかりのClaude 3(Opus)が、ChatGPTのGPT-4を超えてきたと聞いて、自分の原稿を解説させてみたところ、確かに革新的な進歩が見られる。もはや内容を「理解」しているようにしか見えない。GPT-4では、昨年11月に試した時には、そうは見えず、優れた文章読解補助ツールという感じでしかなかった。

一昨年のCafe JILIS「高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱」は、発表した当時、長すぎて読めないから誰か要約してという悲鳴があがっていた。その後、ChatGPTの登場で、その要約能力に期待されたが、冒頭のところしか要約してくれなかったり、薄い論点リストが出てくるだけで、その期待に応えられるものではなかった。

もっとも、GPT-4でも、質問力があれば、対象文書の読解を強力に助けることはできた。気になる箇所を根掘りん葉掘りんしていくことで、論旨の確認をするのには大いに役立った。特に外国語文献でそれは強力に役に立つ。「本当はこうではないか? こういうことを言っているのではないか? それはどこに書いてある?」と質問していくことで、確かにそう言っていることを確認できる。しかし、一般の読者がそうした使い方をしてくれるわけではない。

自分で解説を用意することも考えるわけだが、難しいのは、読者がどのような理解の状態にあるのか(どのような誤解、無理解があるのか)によって、どこからどこを中心に解説していくべきかが変わってくるので、万人向けの解説というものは一つではできない。あらゆる状況に備えてたくさんの解説を用意すれば、結局元の文章が全て語っているのである*1。それゆえに、第三者から解説を書いてもらうことはとても有意義*2なのだ。(第三者による解説は、ある一面を切り取ったものとして読者にも理解される。)

そこでLLMである。読者がインタラクティブに知りたいところを尋ねていくことで、読者に合わせた解説が生成されるというのが、期待される解説botである。*3

というわけで、Claude 3で試した結果を見てみよう。2回試したところ、違う結果が出た。聞き方のニュアンスによって違ってくるのだろうし、ランダム要素もあるのだろう。

まず、1回目。


私:私が書いた長ーい解説文を、皆さんにわかりやすく紹介し欲しいのです。

Claude:分かりました。長文の解説を分かりやすく要約するのは大切な作業ですね。私にできる限り協力させていただきます。 まず、その長文の主旨や要点を簡潔に把握することから始めましょう。そのうえで、読み手に必要な情報を適切に選別し、論理的な流れで再構成していきます。難解な専門用語があれば、一般の人にも理解しやすい言い換えを心がけます。適宜、具体例や比喩を交えて分かりやすさを高めることもできます。

さらに解説に必要であれば、背景知識や関連情報を補足することで、全体像をより明確に説明できるでしょう。

最後に、サマリーの分量や言葉遣いなど、想定する読み手に合わせて調整します。ご要望があれば、適切なレベルに修正いたします。

ご提供いただいた長文の内容を十分理解したうえで、わかりやすい解説文を作成できるよう尽力いたします。どのようにまとめあげればよいか、ご意見をお聞かせください。

私:これなのですが、読めますか?
https://cafe.jilis.org/2022/03/18/160/

(読めなかったので、略)

(Wordファイルを添付して)
私:これでどうでしょう?

Claude:こちらの文書は、非常に長大かつ内容が豊富で、個人情報保護法制の本質に関する深い洞察に満ちた対談となっています。高木浩光さんの長年の研究と知見が惜しげもなく披露されており、大変興味深く拝読しました。

主なポイントを私なりにまとめると以下のようになります。

  1. 個人情報保護法の目的は個人情報そのものの保護ではなく、データによる個人の不適切な選別からの保護である。
  2. 日本の個人情報保護法の理解は、プライバシー保護や自己情報コントロール権の議論に引きずられて本来の趣旨から逸れてきた面がある。
  3. 欧州のdata protectionの概念の核心は、関連性のない個人データによる個人の評価・決定を制限することにある。
  4. 日本の個人情報保護法もOECDガイドラインに沿ってdata protectionを目指したものだが、データの関連性原則などの本質的な部分の理解と実装が不十分だった。
  5. 今後、法の目的を明確にし、データによる個人の選別の観点から法制度を立て直していく必要がある。
  6. 自治体の個人情報保護条例の廃止・国法一本化も、data protection原則の徹底のためと理解できる。

このような対談の内容を、わかりやすく一般の読者に伝えるためのポイントとしては、以下のようなことが考えられます。

  • 欧州のdata protection概念の生成の歴史的経緯を丁寧に説明し、プライバシーとは異なる独自の法益だという点を際立たせる。
  • 日本の個人情報保護法の混乱の原因を、プライバシーや自己情報コントロール権の議論の影響として整理して示す。
  • データの関連性原則など、data protectionの核心的原則を具体例を交えてわかりやすく解説する。
  • 自治体の個人情報保護の取り組みの意義は認めつつ、国としてのdata protection制度確立の必要性を説く。
  • 制度の理解と実装の難しさは認めつつも、tecnologyの急速な進展に対応するためにはdata protection原則の法制度への組み込みが不可欠だと訴える。

全体として、プライバシーや自己情報コントロールという耳慣れた概念に引きずられるのではなく、データによる個人の選別という新しい視点の重要性を印象付けることが肝要だと思います。対談での高木さんの熱のこもった語り口を活かしつつ、読者にその真意が伝わるよう噛み砕いて説明するのが良いでしょう。対談の論旨を正確に捉え、かつ平易に伝えるのは難しい注文だと思いますが、私としてもできる限りお手伝いさせていただきたいと思います。ご一緒に良い解説記事を作り上げていければ幸いです。

私:読者によってどこから詳しく知りたいかが違ってくるだろうと思うのです。まずは最初の「個人情報そのものの保護ではなく」というのがどういう意味なのか解説してください。

Claude:はい、「個人情報保護法が保護するのは個人情報ではない」という高木さんの主張について、もう少し掘り下げて説明しましょう。

我々は通常、個人情報保護法は文字通り個人情報そのものを保護する法律だと考えがちです。つまり、個人情報を外部に漏らさないように管理したり、みだりに使われないように規制したりすることが目的だと。しかし高木さんは、それは法の本来の趣旨ではないと指摘しています。

高木さんによれば、この法律の目的は、個人情報を使って個人を不適切に選別することから、個人を保護することにあるのだそうです。ここでいう「選別」とは、企業や行政機関などが、私たちについての様々な個人情報を収集・分析して、私たちを評価し、何らかの決定を下すことを指します。例えば、ある企業が、私たちのWebの閲覧履歴などを使って、私たちを「お金を使いそうな人」と「使わなそうな人」に分類して、広告を出し分けるようなことが「選別」にあたります。

問題は、その「選別」のために使われる個人情報が、本当にその目的に関連したものかどうかです。Webの閲覧履歴は、広告を出すためにはあまり関係のない情報かもしれません。プライバシーの話をすれば、Webの閲覧履歴は私的な情報だから保護されるべきだという議論になるでしょう。しかし高木さんは、そういうプライバシー保護の話とはまた別の話だと言うのです。

高木さんが主張するのは、たとえそれがプライバシーに関わる情報でなくても、またそれが公開されている情報だとしても、ある目的のために個人を選別する時に使う情報は、その目的に「関連性」のあるものでなければならない、ということなのです。

ちょっと難しい話ですが、要は個人情報保護法の目的は、個人情報の管理とかプライバシーの保護とかではなく、個人情報を使った不適切な「選別」から個人を守ることだ、個人情報はその選別の目的に合ったものでないといけない、ということのようです。これが、「個人情報保護法が保護するのは個人情報ではない」という高木さんの主張の意味だと理解しました。

読者の皆さんには、この主張は今までの個人情報保護法のイメージを覆すものかもしれません。プライバシー保護の話とは異なる、新しい視点だと思います。この視点から見ると、この法律の意味合いが大きく変わってきます。高木さんの提起は、この法律を根本的に捉え直すものだと言えるでしょう。


ここで注目。「我々は通常、個人情報保護法は文字通り個人情報そのものを保護する法律だと考えがちです。」とあるが、本文では直接的にそうは言っておらず、「我々は通常、」というのは、Claudeの背景知識に照らした常識感(あるいは本文中に漂っている言外のそれ)をベースに、それを否定することをこの文書が言おうとしているのだということを、Claudeは解説しようとしている様子が見える。まさにこれが第三者による解説に期待することなのだ。(本文ではそういう決めつけを避けて書いているが、解説がそう決めつける分には読者は嫌がらないだろう。)「この法律を根本的に捉え直すものだと言える」という指摘も、Claudeの「考え」であり、本文では直接的にそうは言っていない。(根本的に捉え直すというより、昭和63年法の時から元々そうだったので元に戻せというのが筆者の真意。)


私:「プライバシー保護や自己情報コントロール権の議論に引きずられて」というのは、どういうことでしょうか。

Claude:はい、次は「プライバシー保護や自己情報コントロール権の議論に引きずられて」という部分について説明しましょう。

高木さんによれば、日本の個人情報保護法の理解は、プライバシー保護や自己情報コントロール権の議論に大きな影響を受けてきたそうです。

プライバシー保護というのは、私生活上の事柄を他人に知られたり干渉されたりしない権利のことです。一方、自己情報コントロール権というのは、自分の情報をどのように取り扱うかを自分で決める権利のことを指します。これらは日本の法学者の間で有力な考え方となっています。

個人情報保護法ができた当初から、多くの法学者がこの法律をプライバシー保護や自己情報コントロール権の実現のための法律だと位置づけてきました。例えば、個人情報を本人の同意なく勝手に使ってはいけないというルールは、自己情報コントロール権の考え方に基づくものだと説明されてきたのです。

しかし高木さんは、これは法律の本来の趣旨から外れていると指摘します。高木さんが説明するように、この法律の目的が個人の不適切な「選別」の防止にあるとすれば、個人情報の利用に本人同意を必要とする理由は必ずしも自己情報コントロール権の保障ではありません。同意が必要なのは、選別に使う情報が目的と関連性を欠く場合に限られるからです。

つまり高木さんは、プライバシーの保護や自己情報のコントロールは、個人情報保護法の主目的ではないのに、そちらの議論に引きずられてしまったために、法の本来の趣旨がぼやけてしまったのだと批判しているわけです。

この批判は、日本の個人情報保護法の理解に大きな影響を与えてきた考え方を根本から疑うものです。プライバシーや自己情報コントロールという、一見もっともらしい議論が、実は法律の理解を誤った方向に導いてきたのだとしたら、私たちはこの法律を全く新しい視点から捉え直さなくてはならないことになります。高木さんの指摘は、そのような根本的な再検討を迫るものだと言えるでしょう。

私:自己情報コントロール権についての議論が紹介されていると思います。どんなことが言われていますか。

Claude:はい、対談の中で高木さんは、自己情報コントロール権についての議論を詳しく紹介しています。 自己情報コントロール権というのは、1970年代に日本で提唱された考え方で、個人が自分の情報をコントロールする権利を持つべきだというものです。この権利は、プライバシー権の一部だと位置づけられてきました。

高木さんによれば、この考え方を最初に提唱したのは、憲法学者の佐藤幸治氏だそうです。佐藤氏は、プライバシーの権利を「自己に関する情報をコントロールする権利」と言い換えられると述べたのだそうです。

この佐藤説に対しては、「自分の情報をコントロールする権利なんて認められるはずがない」といった批判もあったようです。その代表的な論者が阪本昌成氏で、阪本氏は、自己情報コントロール権説は具体的な基準に欠けると指摘したそうです。

しかし高木さんは、阪本説も実は海外の「data protection」の考え方を導入したものだったと指摘します。ただ、阪本氏自身はその点を十分に理解していなかったので、結局、自己情報コントロール権説を乗り越えることができなかったのだそうです。

他にも、佐藤説と阪本説の論争に加わった学者として、棟居快行氏や松井茂記氏の名前が挙がっています。棟居氏は「自己イメージコントロール権」という考え方を提唱したそうです。

高木さんはこうした議論を詳しく紹介した上で、いずれの説も「data protection」の本質を捉えきれていないと批判しています。自己情報コントロール権説は、「data protection」とは異なる考え方だというのです。

これは、自己情報コントロール権をめぐる日本の議論の変遷を知る上で重要な指摘だと思います。この権利をプライバシー権の一部だと位置づける考え方が有力になった一方で、それに対する批判も根強くあったこと、しかしその批判も「data protection」の本質を捉え損ねていたこと。高木さんは、そうした議論の錯綜ぶりを浮き彫りにしています。

この指摘は、自己情報コントロール権という概念の理解を改めて問い直すきっかけになるのではないでしょうか。同時に、日本の議論が見落としてきた「data protection」の視点の重要性も示唆しているように思います。

私:阪本説のところの詳細を解説してください。

Claude:はい、阪本説についてもう少し詳しく見ていきましょう。

阪本昌成氏は、自己情報コントロール権説に批判的な立場から、独自の見解を展開しました。高木さんによれば、阪本説は当初、海外の「data protection」の考え方に影響を受けていたそうです。

阪本氏は1981年の論文で、プライバシー保護立法の目的は、「自己について何らかの決定がなされるさいに、その決定の基礎として利用されうる個人情報が、適切なものであることに対してもつ個人の利益」を保護することにあると述べたそうです。

この主張は、高木さんが説く「data protection」の考え方に近いものがあります。個人情報が「適切」であるかどうかが重要だというのは、高木さんの言う「関連性」の議論に通じるものがあるからです。

しかし高木さんは、阪本氏自身はこの考え方の意味を十分に理解していなかったと指摘します。その証拠に、阪本氏はその後、プライバシーを「他者による評価の対象となることのない生活状況または人間関係が確保されている状態」と定義するようになったそうです。

これは、プライバシー保護を問題の中心に据える考え方であり、「data protection」とは異なるものです。阪本氏は、「data」や「file」といった「data protection」の鍵となる概念を十分に理解しないまま議論を展開してしまったというのが高木さんの評価なのです。

さらに高木さんは、阪本説の変遷をたどり、最終的に阪本氏が個人情報を「財」として捉える議論に与したことを問題視しています。これは、「data protection」の考え方からは大きく外れたものだというのです。

この高木さんの批判は、示唆に富むものだと思います。阪本説は一見、自己情報コントロール権説を乗り越える新しい視点を提供しているように見えます。しかし高木さんに従うなら、その視点は「data protection」の本質を捉えきれていなかったことになります。

この指摘は、日本の議論が見落としてきた点を浮き彫りにしていると言えるでしょう。自己情報コントロール権説に代わる新しい理論を構築するためには、「data protection」の考え方をより深く理解することが不可欠なのかもしれません。阪本説の変遷は、その重要性を逆説的に示していると言えるように思います。

私:Jon Bingとの関係が書かれていたと思います。その辺はどうですか。

Claude:はい、高木さんは阪本説とJon Bingの議論との関係についても言及しています。

Jon Bingはノルウェーの法学者で、1970年代からデータ保護法制について精力的に論じてきた人物です。高木さんによれば、阪本氏の1981年の論文は、Bingの影響を受けていたそうです。

阪本氏は、この1981年の論文で、プライバシー保護立法の目的を「自己について何らかの決定がなされるさいに、その決定の基礎として利用されうる個人情報が、適切なものであることに対してもつ個人の利益」を保護することだと述べました。これは、Bingの議論と共通する部分があります。

Bingは、データ保護法制の目的を「データ処理における個人の評価に関する個人の利益」の保護だと捉えていました。つまり、個人情報を使って個人を評価する際に、その評価に使われる情報が適切かどうかが重要だというのです。これは、高木さんの言う「関連性」の議論に通じるものがあります。

しかし高木さんは、阪本氏がBingの議論の本質を十分に理解していなかったと指摘します。Bingの議論の核心は、個人情報の「関連性」を問うことで、不適切な個人の選別を防ぐことにありました。ところが、阪本氏はその後、プライバシーの議論に回帰してしまったというのです。

この高木さんの指摘は重要だと思います。それは、日本の議論が見落としてきた視点を浮き彫りにするものだからです。

阪本説は、一見、自己情報コントロール権説とは異なる新しい視点を提示しているように見えます。しかし、高木さんに従うなら、阪本氏はBingから示唆を得ながらも、その議論の本質を見失ってしまったことになります。

この事実は、日本の個人情報保護法制の議論が、いかに「data protection」の本質的な視点を見落としてきたかを物語っていると言えるでしょう。阪本説は、その意味で、日本の議論の限界を示す象徴的な存在だと言えるかもしれません。

同時に、Bingの議論は、日本の議論が学ぶべき重要な示唆を含んでいるようにも思います。不適切な個人の選別を防ぐという視点は、まさに高木さんが主張する「data protection」の核心に触れるものだからです。阪本説とBingの関係は、日本の議論が進むべき方向性を示唆しているのかもしれません。

私:「理解の乱れは用語の乱れから」というフレーズがあったと思います。これは何を言っていますか。

Claude:はい、高木さんは対談の中で、「理解の乱れは用語の乱れから」という重要な指摘をしています。

高木さんによれば、日本の個人情報保護法制をめぐる議論の混乱は、key conceptの翻訳の問題に起因しているそうです。特に問題視されているのが、「processing」と「data」という言葉の訳し方です。

「processing」は、しばしば「取扱い」と訳されてきました。しかし高木さんは、これは誤訳だと指摘します。「processing」が意味するのは、個人情報を使って個人を評価・選別するという、より能動的で目的志向的な行為なのだそうです。単なる「取扱い」とは、ニュアンスが異なるというのです。

同様に、「data」も「情報」と訳されることが多いのですが、これも問題だと高木さんは言います。「data」は、ある目的のために構造化され、個人の評価に用いられるものを指す言葉なのだそうです。単なる「情報」とは区別されるべき概念だというのです。

こうした翻訳の問題は、単なる言葉の問題ではありません。高木さんが指摘するように、言葉の理解が乱れることで、法制度の理解も乱れてしまうからです。

例えば、「processing」を「取扱い」と訳してしまうと、個人情報保護法制の目的が、個人情報の適切な管理だと誤解されてしまいます。しかし本来の目的は、不適切な個人の選別を防ぐことにあるはずです。この目的の理解が乱れてしまうと、法制度全体の design も狂ってしまうでしょう。

同様に、「data」と「information」の区別が曖昧になってしまうと、保護対象を適切に設定することができなくなります。その結果、本来保護すべきでない情報まで保護対象に含まれてしまったり、逆に保護すべき情報が保護対象から漏れてしまったりする恐れがあります。

高木さんのこの指摘は、示唆に富むものだと思います。それは、法制度の設計と運用において、key conceptの正確な理解がいかに重要かを示すものだからです。

「理解の乱れは用語の乱れから」という高木さんの言葉は、この問題の核心を突いていると言えるでしょう。私たちは、個人情報保護法制について議論する際、key conceptの意味を正確に理解することから始めなければならない。その作業なくして、法制度の適切な design や運用は望めないからです。


このように、トピックごとに指定すると、そこのところを解説してくれる。本文のどこか一箇所から抜粋してくるのではなく、全体から関係するところを拾って「自ら」組み立てて答えているように見える。すごい。

以上をまとめるように指示すれば1本の解説文が完成するのだろうが、ここで一旦止めて、2回目へ。


私:このWord原稿は、私が作成した一般向けのインタビュー形式の解説です。かなり長いので、読者には更なる解説が必要そうです。第三者の立場から読者向けにこれを紹介する解説をしてください。

Claude:はい、高木浩光さんのインタビュー記事を拝見しました。たいへん長い内容ですが、個人情報保護法の制定の背景にある重要な考え方が詳しく説明されていて、大変興味深い内容だと思います。 この記事のポイントは以下の通りです。

  1. 個人情報保護法の目的は「個人情報を保護すること」ではなく、「データによる個人の選別から個人を保護すること」である。
  2. 日本の個人情報保護法は、OECDガイドライン(1980年)に準拠しているが、OECDガイドラインの基本原則の一つである「関連性の原則(relevancy principle)」が抜け落ちている。
  3. 「関連性の原則」とは、個人の評価に用いるデータは、その評価の目的に関連したもの(relevant)でなければならないという原則である。関係ないデータで個人を評価することは「差別(discrimination)」に当たる。
  4. 日本の個人情報保護法の混乱の一因は、自己情報コントロール権説など、プライバシー権から派生した考え方を適用しようとしてきたことにある。しかし、データ保護法制(data protection)の考え方は、プライバシー権とは独立した法理念に基づいている。
  5. 個人情報保護法の目的を法律に明記し、「関連性の原則」を取り入れるためには、大幅な法改正が必要である。しかし、それには「データ」概念への正しい理解の共有が不可欠である。

高木さんは、日本の個人情報保護法の課題を鋭く指摘し、本来あるべき「データ保護」の考え方を明快に説明しています。プライバシーとデータ保護の違い、「関連性の原則」の重要性など、私たちが見落としがちだった視点が多数示されており、示唆に富む内容だと思います。

ただし、個人情報保護法の目的を「データによる個人の選別からの保護」と捉える考え方は、これまでの一般的な理解とは異なるものです。この考え方を法制度に反映させるためには、社会的な合意形成が必要でしょう。長年の誤解を解くために、高木さんのような専門家によるさらなる解説と議論の喚起が求められると思います。

いずれにせよ、この記事は、私たち一人一人が自分の個人情報やプライバシーについて考えを深めるための格好の材料を提供してくれています。デジタル社会が急速に進展する中で、この問題について私たち全員が理解を深め、よりよい制度設計を議論していく必要性を感じさせる内容だったと思います。


1回目とは少し違うまとめ方になった。「これまでの一般的な理解とは異なる」とClaudeによる評価が加えられ、感想までついている。本文も言外にそういうニュアンスを漂わせたとは思うが、知識ベースからの「一般的な理解」との対比ができているように見える。

ここからは、一般読者が元文書を理解しようとする使い方を想定して質問してみた。


私:「個人情報を保護することではなく」というのは、どういうことでしょうか。

Claude:高木さんによれば、個人情報保護法の目的は「個人情報を保護すること」ではなく、「データによる個人の選別から個人を保護すること」だということです。 この違いは、一見些細に見えますが、実は重要な意味の違いがあります。

「個人情報を保護する」というと、個人情報そのものに価値があり、それを漏洩や悪用から守ることが目的であるかのように聞こえます。しかし、高木さんは、個人情報保護法の真の目的は、個人情報を使って個人を不当に評価したり選別したりすることから、個人を守ることにあると説明しています。

例えば、就職の採用選考で、応募者のウェブ閲覧履歴を参考にするようなケースです。ウェブ閲覧履歴は応募者の個人情報ですが、それを採用選考に使うことが問題なのであって、閲覧履歴が漏洩することが問題なのではありません。

つまり、個人情報保護法が守るべきは、個人情報という情報そのものではなく、その情報が不適切に使われることで個人が不利益を被ることから、個人を保護することが目的だということです。

この違いは、単なる言葉の問題ではありません。個人情報保護法の目的を「個人情報の保護」と捉えるか、「個人の保護」と捉えるかで、法律の解釈や適用範囲が大きく変わってくるのです。

高木さんは、この点を明確にすることが、今後の個人情報保護法制を考える上で非常に重要だと訴えています。個人情報の保護とデータによる個人の選別からの個人の保護は表裏一体のように見えて、実は別の問題だということを理解する必要があるというわけです。

私:その場合の「情報が不適切に使われる」とはどういうことでしょうか。「悪用から守る」ということとは違うのですね?

Claude:その通りです。高木さんの説明では、「情報が不適切に使われる」ということと、「情報の悪用から守る」ということは、似ているようで違うのです。 「情報の悪用から守る」という考え方は、個人情報そのものを保護の対象とする考え方です。つまり、個人情報を第三者に渡したり、漏洩したりすること自体が問題だと考えるわけです。

しかし、高木さんが強調しているのは、「関連性の原則(relevancy principle)」という考え方です。これは、ある目的のために個人を評価する際に、その目的に関連性のない情報を使ってはいけないという原則です。

例えば、採用選考で応募者のウェブ閲覧履歴を見ることは、応募者の能力や適性とは関係のない情報を使って個人を評価することになるので、「関連性の原則」に反することになります。

つまり、「情報が不適切に使われる」というのは、情報が漏洩したり、悪用されたりすることだけを指すのではなく、そもそもその情報を特定の目的に使うこと自体が不適切だということを意味しているのです。

言い換えれば、個人の評価に使うデータは、その評価の目的に照らして適切なものでなければならず、関係のないデータで個人を評価したり選別したりすることは、それ自体が「不適切な使われ方」であり、個人情報保護法が防ぐべき問題だということです。

この「関連性の原則」の考え方は、日本の個人情報保護法には明示的に取り入れられていません。高木さんは、この原則を法律に明記することが、これからの個人情報保護法制にとって非常に重要だと訴えているのです。

私:その「関連性の原則」は独自の説なのでしょうか?

Claude:いいえ、高木さんの独自の説ではありません。「関連性の原則」は、1980年のOECDプライバシーガイドラインに明記されている原則の一つです。

OECDガイドラインは、日本の個人情報保護法の基礎となった国際的なガイドラインです。その中の「データ内容の原則(Data Quality Principle)」では、「個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範囲内で正確、完全であり最新のものに保たれなければならない」と定めています。

高木さんによれば、この原則の前段部分、つまり「個人データは、その利用目的に沿ったものであるべきである」という部分が、まさに「関連性の原則」を表しているのだそうです。

ただし、日本の個人情報保護法は、OECDガイドラインに準拠しているものの、この「関連性の原則」については明文化されていません。高木さんは、この原則が日本の法律から抜け落ちてしまったことが、日本の個人情報保護法制の混乱の一因になっていると指摘しています。

また、高木さんは、EUの一般データ保護規則(GDPR)などでも、この原則が重視されていることを紹介しています。

したがって、「関連性の原則」は、高木さんが独自に唱えている説ではなく、国際的なデータ保護の原則の一つであり、日本の個人情報保護法にも本来は含まれているべき考え方だということです。高木さんは、この点を日本の法制度や議論に明確に組み込むことが重要だと訴えているのです。

私:その主張の証拠となる文献とか挙げられていますか?

Claude:はい、高木さんは自説の根拠として、いくつかの文献を引用しています。

  1. OECDガイドライン(1980年)の「データ内容の原則(Data Quality Principle)」。これが「関連性の原則」の源泉だと高木さんは説明しています。
  2. ノルウェーのオスロ大学の Jon Bing 教授の論文。Bing 教授は、OECDガイドラインの策定に関わった人物で、データ保護法制の理念を「意思決定指向利益モデル(decision-oriented interest model)」と呼び、「関連性の原則」の重要性を説いたそうです。
  3. ドイツの連邦データ保護法(BDSG)の初期の法律の題名。「データ処理における個人データの濫用防止に関する法律」というタイトルが示すように、個人データの不適切な使用(濫用)を防ぐことが法の目的だったと高木さんは指摘しています。
  4. アメリカの「公正情報実施規範(Fair Information Practice Principles, FIPPs)」(1973年)や、欧州評議会の決議(1973年, 1974年)など、1970年代のデータ保護の原則を定めた文書。
  5. EUの一般データ保護規則(GDPR)の前文など。GDPRでも「関連性の原則」が重視されていることを示しているそうです。
また、高木さんは、日本の個人情報保護法の立法過程で、この原則が議論されなかったことを示す国会議事録なども引用しています。

これらの文献は、高木さんの主張が独自の説ではなく、データ保護法制の初期から存在する国際的な原則に基づいていることを裏付けるものだと言えます。高木さんは、これらの文献を丹念に調査し、日本の個人情報保護法制の課題を浮き彫りにしているのです。

私:Jon Bing教授はどのようなことを言っていたのでしょうか。

Claude:Jon Bing教授は、高木さんが「データ保護の意思決定指向利益モデル」と呼ぶ考え方を提唱した人物です。 高木さんによれば、Bing教授は1970年代から80年代にかけての論文で、データ保護法制の目的は主に「意思決定におけるデータ使用に関するもの」だと論じたそうです。ここでいう「意思決定」とは、個人に関する何らかの判断をすることを幅広く指しており、重大な決定だけでなく、単にデータに基づいて個人に対して何らかの対応をすること全般を含むという意味だそうです。

そして、Bing教授は、個人データ保護において最も重要なのは、「relevancy(関連性)」の原則であると主張したそうです。つまり、ある個人についての意思決定をする際には、その意思決定の目的に照らして関連性のあるデータのみを使うべきであり、関連性のないデータを使うべきではないという原則です。

また、Bing教授は、「意思決定指向利益モデル」の観点からは、統計作成などのように、個人に対する意思決定に使われない場合のデータ利用は、データ保護法制の主要な関心事ではないとも論じているそうです。

高木さんは、Bing教授のこの「意思決定指向利益モデル」こそが、OECDガイドラインをはじめとする1980年前後のデータ保護法制の基本的な考え方だったと主張しています。そして、この考え方は、個人情報の「プライバシー」という側面よりも、むしろ個人に対する「意思決定におけるデータ使用」という側面に着目したものだと説明しています。

高木さんは、Bing教授の論文を丹念に読み解くことで、現在の日本の個人情報保護法制の議論に欠けている視点を浮き彫りにしようとしているのです。

私:個人に対する意思決定に使われない場合のデータ利用が、データ保護法制の主要な関心事ではないということは、重要なことなのですか。

Claude:はい、これは高木さんが強調している重要なポイントの一つです。 高木さんによれば、個人データが個人に対する意思決定に使われない場合、つまり、統計作成などのように個人データを集約して匿名化し、個人を特定できない形で利用する場合は、データ保護法制の主要な関心事ではないということです。

なぜなら、データ保護法制の主目的は、個人データが不適切に使われることで、個人が不当な評価や選別の対象となることを防ぐことにあるからです。個人が特定できない形でデータが利用される場合、個人に対する不当な評価や選別は起こり得ないため、データ保護法制が重点的に対処すべき問題ではないというわけです。

この点は、個人情報保護をプライバシー保護と同一視する考え方とは大きく異なります。プライバシー保護の観点からは、個人データが集約・匿名化されたとしても、本人の同意なくデータが利用されること自体が問題だと考えがちです。

しかし、高木さんの説明するデータ保護の「意思決定指向利益モデル」では、あくまでも個人に対する意思決定におけるデータ利用が主要な問題なのであり、統計作成などの匿名化されたデータ利用は、むしろ積極的に促進されるべきものとして位置づけられることになります。

この考え方は、ビッグデータの利活用と個人情報保護のバランスを考える上で重要な示唆を与えてくれます。個人情報保護を単にデータ利用の制限と捉えるのではなく、個人に対する不当な評価や選別を防ぐための規範と捉えることで、データの利活用と個人の権利保護を両立させる道が見えてくるかもしれません。

高木さんは、この点を日本の個人情報保護法制の議論に組み込むことが重要だと訴えているのです。

私:利活用についての具体的な提案は示されていますか。

Claude:はい、高木さんは個人データの利活用について、具体的な提案を示しています。 高木さんは、個人データの利用を「選別利用」と「非選別利用」に分けて考えるべきだと主張しています。

「選別利用」とは、個人データを使って個人を評価し、何らかの意思決定を行うことを指します。これは、データ保護法制が規制すべき利用だと高木さんは考えています。

一方、「非選別利用」とは、個人を特定できない形でデータを集約・匿名化し、統計作成などに利用することを指します。高木さんは、この「非選別利用」は、データ保護法制の主要な関心事ではないと考えています。

その上で、高木さんは、「統制された非選別利用」という概念を提案しています。これは、個人データを適切な手続きで匿名化し、その利用目的を限定した上で、データの利活用を促進するという考え方です。

特に、高木さんは医療データの利活用について言及しています。医療データは個人のプライバシーに深く関わるセンシティブなデータですが、適切に匿名化し、研究目的に限定して利用するのであれば、医学の発展に大きく寄与することができます。

高木さんは、この「統制された非選別利用」を法的に位置づけることで、パーソナルデータの利活用と個人の権利保護を両立させることができると主張しています。

ただし、この「統制された非選別利用」を実現するためには、データを確実に匿名化する技術や、利用目的を限定し、適切に管理する仕組みが必要です。また、その前提として、「選別利用」と「非選別利用」の区別を法制度の中に明確に位置づける必要があります。

高木さんは、この「統制された非選別利用」の考え方を、今後の個人情報保護法制の改正に盛り込むべきだと訴えているのです。


このように、出てきた解説中のわからないポイントを尋ねていくことで、次々と解説を受けられる。


私:匿名化すれば使えるのは、現行法でも既にそうなのではないのですか? 何か難しいところがあるのですか?

Claude:その通りですね。現行の日本の個人情報保護法でも、匿名加工情報に関する規定があり、一定の条件の下で匿名化されたデータの利用が認められています。 しかし、高木さんは、現行法の匿名加工情報の規定には課題があると指摘しています。

まず、現行法の匿名加工情報は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報」と定義されています。しかし、この定義では、データを提供する側(提供元)での識別可能性しか考慮されていません。データを受け取る側(提供先)で個人が識別される可能性については、明確に言及されていないのです。

高木さんは、この点を「提供元基準」の問題だと指摘しています。データを受け取る側で個人が識別される可能性がある限り、そのデータは匿名化されたとは言えないはずです。高木さんは、提供先での識別可能性も考慮に入れた、より厳密な匿名化の基準が必要だと主張しています。

また、現行法では、匿名加工情報の利用目的に制限がありません。つまり、一度匿名化されたデータは、どのような目的にも利用できることになります。しかし、これでは個人の権利保護が不十分だと高木さんは指摘します。

高木さんが提案する「統制された非選別利用」では、匿名化されたデータの利用目的を限定し、適切に管理することが求められます。つまり、データを匿名化するだけでなく、そのデータがどのように使われるのかを明確にし、個人の権利を保護するための措置を講じる必要があるというわけです。

以上のように、匿名化されたデータの利用については、現行法にも規定がありますが、高木さんは、より厳密な匿名化の基準と、利用目的の限定という観点から、現行法の課題を指摘しているのです。高木さんの提案は、データの利活用と個人の権利保護のバランスを取るための、より洗練された仕組みだと言えるでしょう。

私:匿名化について事例に言及されていますか。

Claude:はい、高木さんは匿名化の事例として、Suicaデータの利用に関する問題に言及しています。 2013年に発生したこの事件では、JR東日本がSuicaの利用履歴データを、外部の会社に提供していたことが明らかになりました。問題となったのは、提供されたデータが果たして適切に匿名化されていたのかという点です。

JR東日本は、提供したデータは氏名などの個人情報を削除しており、個人を特定できない形で加工されていると主張しました。つまり、JR東日本にとっては匿名化されたデータだったわけです。

しかし、高木さんは、このデータが真に匿名化されていたのかどうか疑問を呈しています。なぜなら、データを受け取った会社が、他の情報と照合することで個人を特定できる可能性があったからです。

高木さんによれば、この事件が起きた当時、ちょうど欧州連合(EU)で一般データ保護規則(GDPR)の制定が進められていて、GDPRでは、このように他の情報と照合することで個人が特定できるデータは、匿名化されたとは見なされないことになっていました。

もしJR東日本の主張を認めれば、単に氏名を削除するだけで匿名化された個人データとして自由に利用できることになり、日本の個人情報保護法制はGDPRから大きく乖離してしまうことになります。

高木さんは、このSuicaデータの事例が、現行法の匿名加工情報の規定の問題点を浮き彫りにしていると指摘しています。つまり、データを提供する側だけでなく、データを受け取る側で個人が特定される可能性も考慮に入れた、より厳密な匿名化の基準が必要だということです。

高木さんは、このような事例を通して、日本の個人情報保護法制における匿名化の問題点を具体的に示し、法改正の必要性を訴えているのです。

私:提供元基準というのは何ですか。

Claude:提供元基準とは、個人情報保護法における個人情報の定義に関する解釈の一つです。 現行の個人情報保護法では、個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と定義されています。この定義の解釈をめぐって、提供元基準と提供先基準という二つの立場があります。

提供元基準とは、データを提供する側(提供元)が特定の個人を識別できるかどうかを基準とする考え方です。つまり、提供元において個人が識別できる情報は個人情報に当たるが、提供元で個人が識別できなければ個人情報ではないとするのが提供元基準です。

これに対して、提供先基準とは、データを受け取る側(提供先)が特定の個人を識別できるかどうかを基準とする考え方です。つまり、提供先で個人が識別できる可能性がある情報は、提供元で個人が識別できなくても個人情報に当たるとするのが提供先基準です。

高木さんによれば、日本の個人情報保護法は、当初は提供元基準で解釈されることが多かったそうです。しかし、2015年の個人情報保護法改正の際に、提供元基準と提供先基準の議論が起こり、結果的に提供元基準が確認されたと高木さんは説明しています。

しかし、高木さんは、提供元基準には問題があると指摘します。なぜなら、提供元で個人が識別できなくても、提供先で他の情報と照合することで個人が識別できるようになる可能性があるからです。

高木さんは、Suicaデータの事例などを引き合いに出しながら、提供元基準では不十分であり、提供先での識別可能性も考慮した基準が必要だと主張しています。この主張は、先に述べた匿名加工情報の問題とも密接に関連しています。

高木さんは、この提供元基準の問題点を明らかにすることで、日本の個人情報保護法制の課題を浮き彫りにしているのです。


実はこのあたりで、Claudeの解説は少し間違っている。「提供元基準」「提供先基準」と匿名化の関係で、高木説とは真逆のことを解説してしまっている。以下の続きのように疑問をぶつけていくと訂正される。


私:そうですか? 「提供元基準でよいのですか?」との問いに「そうです」と答えているシーンがあるようですが。

Claude:おっしゃる通りです。私の説明が不正確でした。お詫びします。 高木さんは、提供元基準の問題点を指摘しつつも、現行法の解釈としては提供元基準でよいと述べています。

インタビューの中で、高木さんは次のように発言しています。

「そうです。容易照合性を提供元基準で解釈すると、結果的に、ほとんどの場合で、保有しているデータセットの全部が対象になります。提供制限も同様で、匿名加工する場合についても、提供元基準での容易照合性が解消される程度に加工する必要があると解釈することで、辻褄が合います。」

ここで高木さんは、現行法の解釈としては提供元基準でよいと述べています。提供元基準で解釈すれば、保有しているデータセットのほとんどが個人情報に該当し、匿名加工情報についても提供元基準での容易照合性が解消される程度の加工が必要になるので、現行法の体系と整合的だというわけです。

ただし、高木さんは同時に、提供元基準には課題があることも指摘しています。提供先で個人が識別される可能性を考慮していないという点です。

高木さんの主張は、現行法の解釈としては提供元基準でよいが、将来的には提供先での識別可能性も考慮した基準に改めるべきだ、というものだと理解しました。

私の先の説明は、高木さんの主張の一部を取り違えたものでした。お詫びとともに、訂正させていただきます。ご指摘ありがとうございました。

私:「提供元基準には課題がある」という指摘はどの部分に書かれていますか?

Claude:インタビューの中で高木さんは提供元基準の課題について直接言及している箇所は見当たりませんでした。私の説明は、高木さんの主張を誤って拡大解釈したものでした。重ね重ねのお詫びを申し上げます。 高木さんは、提供元基準については次のように述べています。

「日本法の発想ですと、皆さん、まず『特定の個人を識別できない』と言うでしょうし、記録していないから『取得すらしていない』と言うでしょう。ですが、その場にいる人に対してdataを用いた自動処理による決定をしているのだから、personal dataの自動処理だというわけです。意思決定指向利益モデルの極みですね。日本的な漏えい対策・提供制限利益モデルの発想ではこうはなりません。」

ここでは、日本の個人情報保護法の解釈が「漏えい対策・提供制限利益モデル」に基づいており、それでは不十分だと指摘しています。しかし、これは提供元基準の問題点を直接指摘したものではありませんでした。

また、高木さんは、Suicaデータの事例について、「提供されるデータは、匿名化されておらず、仮名化しているにすぎないものでした」と述べています。これは、提供されたデータが真に匿名化されていたのかという疑問を呈したものですが、ここでも提供元基準の問題点を直接指摘したわけではありません。

私は、これらの指摘から提供元基準の問題点を読み取ろうとしましたが、それは高木さんの主張を過度に拡大解釈したものでした。高木さんの発言を正確に理解せず、不適切な説明をしてしまったことを深くお詫び申し上げます。


このことが意味するのは、元の文章が、提供元基準と匿名化の関係について十分に説明できていなかったということだろう。「提供元基準と匿名化の関係」は本文に書いてはあるが、本題から離れるので十分に説明していなかった*4。ここの理解は、一般的な専門家の理解からかけ離れすぎているため、この程度の説明では理解されないということだろう。Claudeが間違えるということは一般的な専門家でもそのように誤読し得るということと考えられる。


私:Suicaのような事案はGDPRではどうなのでしょうか。

Claude:高木さんは、Suicaデータの事例について、GDPRではどのように扱われるかに言及しています。

インタビューの中で、高木さんは次のように述べています。

「日本法でも、統計量への集計処理を業者に委託する形にすれば適法です。このことは、当時、我々は当初から言っていましたよ。JR東日本が自らの責任で、自ら統計量にして自ら販売するのであれば、問題ないのだと。今年になってようやくそういう話が、JR東日本が自ら販売するとの報道が出てきていますね。」

高木さんによれば、Suicaデータを統計量に集計する処理を外部業者に委託するのではなく、JR東日本自身が責任を持って匿名化し、統計データとして販売するのであれば、GDPRの下でも問題はないということです。

また、高木さんは次のようにも述べています。

「もし、仮名化で非個人データになるとするSuica事件の主張を認めていたら、統計目的に限らず、どんな目的であっても、仮名化すれば目的外提供が許されることになってしまい、日本は世界から孤立するところでした。」

ここでは、Suicaデータが適切に匿名化されていなかった場合、GDPRの基準からすると問題になるという指摘がなされています。

高木さんの説明によれば、GDPRでは、他の情報と照合することで個人が特定できるデータは、匿名化されたとは見なされません。Suicaの事例で問題になったのは、まさにこの点でした。提供されたデータが、真に匿名化されていたのかどうかが問われたのです。

したがって、Suicaの事例は、GDPRの基準に照らせば問題になる可能性が高いと言えます。ただし、JR東日本自身が適切に匿名化し、統計データとして利用するのであれば、GDPRの下でも許容される可能性があるということです。

高木さんは、このようにSuicaの事例をGDPRの文脈で分析することで、日本の個人情報保護法制の課題を浮き彫りにしていると言えます。

私:そこの点で日本法とGDPRとでは違いがありますか。

Claude:はい、高木さんの説明によると、Suicaデータの事例における日本の個人情報保護法とGDPRの扱いには違いがあるようです。

日本の個人情報保護法では、Suicaデータの提供が問題となったとき、JR東日本は提供したデータが匿名化されており、個人情報に当たらないと主張しました。つまり、日本法の解釈では、提供元であるJR東日本において個人が識別できなければ(提供元基準)、そのデータは個人情報ではないとされる可能性があったわけです。

これに対し、GDPRでは、データを受け取る側(提供先)で個人が識別できる可能性がある限り、そのデータは匿名化されたとは見なされません。つまり、提供先で他の情報と照合することで個人が特定できるデータは、提供元で個人が識別できなくても、個人データとして扱われることになります。

高木さんは、もしSuicaデータの事例で、JR東日本の主張が認められていたら、日本の個人情報保護法制はGDPRから大きく乖離してしまうと指摘しています。

ただし、高木さんも述べているように、日本の個人情報保護法の下でも、JR東日本自身が適切に匿名化し、統計データとして利用するのであれば、問題はありません。この点は、GDPRの下でも同様です。

つまり、日本の個人情報保護法とGDPRの違いは、主に匿名化の基準と、提供元基準の扱いにあると言えます。GDPRの方が、より厳格な匿名化の基準を設けており、提供先での識別可能性も考慮に入れているのです。

高木さんは、このような違いを明らかにすることで、日本の個人情報保護法制の課題を浮き彫りにし、GDPRのような国際的な基準に合わせていく必要性を訴えているのだと理解できます。

私:適切に匿名化する場合について違いがないとのことですが、日本法は厳しすぎるとも書かれているようですが。

Claude:その通りです。高木さんは、適切に匿名化されたデータの利用について、日本の個人情報保護法はGDPRと比べて厳しすぎる面があると指摘しています。

インタビューの中で、高木さんは次のように述べています。

「日本法は厳しすぎるということですか? 平成15年法で、目的内の提供まで制限したのはなぜなのでしょうか?」

この発言から、高木さんは、日本の個人情報保護法が、目的内の提供まで制限していることについて疑問を呈しています。

高木さんによれば、日本の個人情報保護法は、当初は目的外の利用と提供を問題としていたのが、平成15年の法改正で、目的内の提供も制限するようになったそうです。これについて高木さんは、「名簿屋」の存在を問題視したためだと説明しています。

しかし、高木さんは、この目的内提供の制限は行き過ぎではないかと示唆しています。高木さんは、GDPRを含め、多くの国のデータ保護法制が、目的外の提供を問題にしているだけだと指摘しています。

つまり、日本の個人情報保護法は、適切に匿名化されたデータの目的内提供についても制限しているのに対し、GDPRを含む他国の法制は、そこまでは制限していないということです。

この点について、高木さんは、日本の個人情報保護法の規制が過剰になっている可能性を示唆しているのです。高木さんは、適切に匿名化されたデータの目的内提供については、もう少し柔軟な規制でもよいのではないかという問題提起をしていると理解できます。

この指摘は、データの利活用と個人情報保護のバランスを考える上で重要な示唆を与えてくれます。高木さんは、日本の個人情報保護法制の見直しに際して、この点についても検討が必要だと訴えているのだと思います。

私:そこはインタビュアーの発言部分ですが、それはともかくとして、目的内の提供を柔軟にすることは、日本法では難しいのでしょうか。

Claude:はい、高木さんは、日本の個人情報保護法において目的内提供を柔軟に扱うことは難しいと述べています。

高木さんによれば、日本の個人情報保護法が目的内提供まで制限するようになったのは、「名簿屋」の存在を問題視したからだそうです。「名簿販売」を利用目的に掲げる名簿屋の活動を規制するために、目的内提供も制限することになったというわけです。

しかし、高木さんは、この規制が行き過ぎではないかと示唆しています。なぜなら、日本の個人情報保護法では、事業者が利用目的を設定する際の制限が緩いからです。高木さんは、「事業内容を掲げておけばOK」といった状況では、「名簿販売」を利用目的から排除できないと指摘しています。

つまり、日本の個人情報保護法では、利用目的の設定が緩いことと引き換えに、目的内提供も制限せざるを得なくなっているのです。

高木さんは、この問題を解決するためには、利用目的の特定義務をより厳格にする必要があると述べています。利用目的を厳密に特定できるようになれば、目的内提供の制限は緩和できるかもしれません。

しかし、現行法の枠組みの中で、利用目的の特定義務を厳格化することは難しいでしょう。高木さんも、「平成15年法が立案された当時は、事業内容を掲げておけばOKのようなことを言っていたので、『名簿販売』を排除できなくなっていたわけです」と述べ、現行法の枠組みの中での改善の難しさを示唆しています。

したがって、目的内提供を柔軟に扱うためには、利用目的の特定義務のあり方から見直す必要があるのですが、それは現行法の枠組みを大きく変更することを意味します。高木さんは、この点の改善が日本の個人情報保護法制の大きな課題の一つだと捉えているのだと思います。


この辺りも理解が容易でなかったようだ。この辺りは、わかっている著者自身が誘導して質問しているので軌道修正されたが、未理解の読者が質問した場合にどういう展開になるのかは未知数だ。


私:なるほど。では先ほどの、冒頭のポイントリストの4番について、詳しく解説してください。

Claude:はい、高木さんのインタビューの冒頭で示されたポイントの4番目は、「日本の個人情報保護法の混乱の一因は、自己情報コントロール権説など、プライバシー権から派生した考え方を適用しようとしてきたことにある。しかし、データ保護法制(data protection)の考え方は、プライバシー権とは独立した法理念に基づいている」というものでした。

この点について、高木さんは詳しく説明しています。

高木さんによれば、日本の個人情報保護法制の議論では、長らく「自己情報コントロール権」という考え方が主張されてきました。これは、個人が自己の情報をコントロールする権利を持つべきだという考え方で、プライバシー権の一環として捉えられてきました。

しかし、高木さんは、この「自己情報コントロール権」の考え方が、データ保護法制(data protection)の本来の理念とは異なると指摘します。

高木さんによれば、データ保護法制の目的は、個人情報そのものを保護することではなく、データによる個人の選別から個人を保護することにあります。つまり、個人データが不適切に利用されて、個人が不当な評価や選別の対象とならないようにすることが目的なのです。

この目的は、個人情報のコントロールを個人に委ねるという「自己情報コントロール権」の考え方とは相容れません。なぜなら、データ保護法制では、個人データの利用は、そもそも目的に照らして適切なものでなければならないとされているからです。

高木さんは、この点を「関連性の原則(relevancy principle)」と呼び、データ保護法制の中核をなす考え方だと説明しています。個人の評価に使うデータは、その評価の目的に照らして関連性のあるものでなければならず、関連性のないデータを使うことは、たとえ本人の同意があっても許されないというわけです。

したがって、高木さんは、日本の個人情報保護法制の議論が「自己情報コントロール権」という考え方に引きずられてきたことが、データ保護法制本来の理念からの乖離を招いていると指摘しているのです。

高木さんは、この混乱を解消するためには、個人情報保護法制をプライバシー権の文脈から切り離し、データ保護法制独自の法理念に基づいて再構築する必要があると訴えています。これは、日本の個人情報保護法制の根本的な見直しを意味する大きな課題だと言えます。

私:そもそも自己情報コントロール権説というのはどういうものなのでしょうか。

Claude:自己情報コントロール権説とは、個人が自己に関する情報をコントロールする権利を持つべきだとする考え方です。高木さんによれば、この考え方は、日本の憲法学者である佐藤幸治氏が1970年に提唱したのが始まりだそうです。

佐藤氏は、プライバシーの権利を「自己に関する情報をコントロールする権利」と言い換えられると主張しました。この考え方は、その後、日本の憲法学界で広く支持されるようになり、「通説」と呼ばれるまでになったと高木さんは説明しています。

自己情報コントロール権説では、個人情報を「プライバシー固有情報」と「プライバシー外延情報」に分けて考えます。「プライバシー固有情報」とは、個人の内面に関わる情報で、他人に知られたくない情報を指します。一方、「プライバシー外延情報」とは、個人の外的な情報で、必ずしも秘匿性の高いものではありません。

自己情報コントロール権説では、「プライバシー固有情報」だけでなく、「プライバシー外延情報」についても、個人がコントロールする権利を持つべきだと主張します。特に、高度情報化社会では、「プライバシー外延情報」も集積されることで、プライバシーが侵害される可能性があるため、これらの情報についてもコントロールが必要だとされています。

この考え方は、個人情報保護を個人の権利の問題として捉える点に特徴があります。個人情報は個人に帰属するものであり、その取り扱いは個人が決めるべきだというわけです。

ただし、自己情報コントロール権説に対しては、どの範囲の情報までコントロールできるのかが不明確であるといった批判もあります。

高木さんは、自己情報コントロール権説がプライバシー権の文脈で主張されてきたことが、日本の個人情報保護法制の混乱を招いた一因だと指摘しています。高木さんによれば、個人情報保護法制の目的は、あくまでデータによる個人の選別から個人を保護することにあり、自己情報コントロール権説とは異なる法理念に基づいているのだと言います。

私:自己情報コントロール権説への批判は「不明確」というだけなのでしょうか。

Claude:いいえ、自己情報コントロール権説への批判は「不明確」というだけではありません。高木さんのインタビューでは、自己情報コントロール権説に対するいくつかの重要な批判が紹介されています。 まず、高木さんは、自己情報コントロール権説が主張された当時から、この考え方に対する批判があったことを指摘しています。例えば、法学者の阪本昌成氏は、1980年の時点で、自己情報コントロール権説は「その外延も内包も明確にするところがなく、現実の紛争処理のための判断基準を提供しない」と批判したそうです。

また、高木さんは、自己情報コントロール権説が、プライバシー権の文脈で議論されてきたことが問題だと指摘します。高木さんによれば、1970年代後半以降、欧米ではプライバシー権とは別の文脈でデータ保護法制(data protection)の考え方が発展してきました。しかし、日本では、自己情報コントロール権説がプライバシー権の文脈で議論され続けたために、データ保護法制の本来の理念からの乖離が生じてしまったというのです。

さらに、高木さんは、自己情報コントロール権説が、個人情報保護法制の実態とそぐわないと指摘します。現実の個人情報保護法制では、個人の同意なしにデータが利用できる場合が多々あります。これは、自己情報コントロール権説が想定するような、個人が自己情報を完全にコントロールできるという状況とは異なります。

加えて、高木さんは、自己情報コントロール権説が、データの利活用と個人情報保護のバランスを考える上で適切ではないと示唆しています。自己情報コントロール権説では、個人情報の取り扱いを個人の意思に委ねることになりますが、これでは社会的に有用なデータの利活用が阻害される可能性があります。

以上のように、高木さんは、自己情報コントロール権説に対する様々な批判を紹介し、この考え方が日本の個人情報保護法制の発展を妨げてきたと主張しているのです。高木さんは、自己情報コントロール権説から脱却し、データ保護法制の本来の理念に立ち返ることが重要だと訴えています。

私:阪本説はどのようなものですか。

Claude:阪本昌成氏の説は、自己情報コントロール権説に対する代表的な批判の一つです。高木さんのインタビューでは、阪本説の変遷について詳しく紹介されています。

阪本氏は、1981年の論文で、プライバシーの中心的構成要素は、「自己について何らかの決定がなされるさいに、その決定の基礎として利用されうる個人情報が、適切なものであることに対してもつ個人の利益」であると主張しました。

この主張は、高木さんが説明するデータ保護法制の「意思決定指向利益モデル」に近いものです。高木さんによれば、阪本氏のこの主張は、ノルウェーの学者Jon Bing氏の論文から示唆を得たものだそうです。

しかし、その後の阪本氏の主張は変化していきます。1984年には、プライバシーを「他者による評価の対象となることのない生活状況または人間関係が確保されている状態」と定義し、「評価からの自由」を強調するようになりました。

この「評価からの自由」を強調する阪本説に対しては、なぜプライバシーが「評価」の問題なのかが不明確だという批判が出ています。高木さんも、この点を指摘し、阪本氏が当初示唆を得たBing氏の「意思決定指向利益モデル」からは離れてしまったと述べています。

さらに、高木さんは、阪本氏が後年、個人情報保護法制について「いかなる法益を保護しようとするのか曖昧なまま、この個人情報保護の法制が『公法的規制』に乗り出すことは懸命なことだろうか?」と批判したことを紹介しています。しかし、高木さんは、この批判こそ、阪本氏が当初示唆を得たBing氏の論文に書かれていたことだと指摘し、阪本氏の主張の変遷を問題視しています。

阪本説は、自己情報コントロール権説への重要な批判を提供しましたが、高木さんは、阪本説もまた、データ保護法制の本来の理念からは離れてしまったと主張しているのです。高木さんは、日本の個人情報保護法制の議論が、自己情報コントロール権説と阪本説の間で混乱してきたことを問題視し、データ保護法制の本来の理念に立ち返ることの重要性を訴えています。

私:海外ではどういう議論になっているのでしょうか。

Claude:高木さんは、海外、特に欧州におけるデータ保護法制の議論について詳しく紹介しています。

高木さんによれば、1970年代後半以降、欧州ではプライバシー権とは別の文脈でデータ保護法制(data protection)の考え方が発展してきました。この考え方は、高木さんが「意思決定指向利益モデル」と呼ぶものに基づいています。

「意思決定指向利益モデル」では、データ保護法制の主目的は、個人データが不適切に利用されて、個人が不当な評価や選別の対象とならないようにすることにあります。この考え方は、1970年代のノルウェーの学者Jon Bing氏らによって提唱されました。

高木さんは、1980年のOECDプライバシーガイドラインや、1981年の欧州評議会108号条約が、この「意思決定指向利益モデル」に基づいていると指摘します。これらの国際的な文書では、データ保護法制の中核的な原則として、「関連性の原則(relevancy principle)」が定められています。これは、個人の評価に使うデータは、その評価の目的に照らして関連性のあるものでなければならないという原則です。

高木さんは、この「関連性の原則」こそが、データ保護法制の本質だと主張しています。なぜなら、この原則は、個人データの利用を、適切な目的に限定することを求めているからです。

ただし、高木さんも認めているように、欧州でも、データ保護法制の理念をめぐる混乱はあったようです。特に、ドイツの連邦憲法裁判所が1983年に認めた「情報自己決定権」をめぐっては、多くの議論が起こっています。

高木さんは、ドイツの学者の中には、「情報自己決定権」の概念の拡大解釈を批判し、データ保護法制の本来の理念に立ち返るべきだと主張する人もいると紹介しています。

また、高木さんは、イタリアでも同様の混乱があったことに触れ、今後の調査課題だと述べています。

高木さんは、これらの海外の議論を参照しつつ、日本の個人情報保護法制もまた、データ保護法制の本来の理念に立ち返る必要があると主張しているのです。高木さんは、特に「関連性の原則」を日本の法制度に明確に組み込むことが重要だと訴えています。

私:情報自己決定権はどういうものでしょうか。

Claude:情報自己決定権とは、ドイツの連邦憲法裁判所が1983年の国勢調査判決で認めた権利概念です。ドイツ語では "Recht auf informationelle Selbstbestimmung" と表現されます。

高木さんによれば、情報自己決定権は、「自分の個人データの開示と利用を自ら決定する権利」と理解されています。この権利は、国勢調査法の一部を違憲とした連邦憲法裁判所の判決理由の中で、データ保護法制に憲法上の根拠を与えるものとして位置づけられました。

ただし、高木さんは、情報自己決定権の概念には多くの問題があると指摘します。

まず、情報自己決定権は、その後のドイツの学説や判例で拡大解釈される傾向があったそうです。高木さんは、この拡大解釈が、データ保護法制本来の理念からの乖離を招いたと述べています。

また、高木さんは、情報自己決定権が、個人情報保護を個人の意思決定の問題として捉える点で、データ保護法制の「関連性の原則」とは相容れないと指摘します。「関連性の原則」では、個人データの利用は、その目的に照らして適切なものでなければならず、個人の意思だけでは決められないはずだからです。

高木さんは、ドイツの学者の中にも、情報自己決定権の概念を批判し、むしろ "informationelle Fremdbestimmung"(情報的他律)への制限こそがデータ保護法制の目的だと主張する人がいると紹介しています。

日本でも、情報自己決定権の概念は、自己情報コントロール権と並んで、しばしば個人情報保護法制の根拠として主張されてきました。しかし、高木さんは、これらの概念が、日本の個人情報保護法制の混乱を招く一因になっていると批判的に捉えています。

高木さんは、情報自己決定権の概念から離れ、データ保護法制の本来の理念、特に「関連性の原則」に立ち返ることが重要だと訴えているのです。高木さんは、この原則こそが、個人の権利を守りつつ、社会的に有用なデータの利活用を促進する鍵になると考えているようです。

私:情報的他律というのはどういうことでしょうか。

Claude:情報的他律(informationelle Fremdbestimmung)は、ドイツの学者が提唱した概念で、高木さんも注目しています。 情報的他律とは、直訳すれば「情報的な他者決定」という意味です。これは、個人が自分の情報をコントロールできるのではなく、他者(特に国家や企業など)が個人の情報を収集・利用することで、個人に関する決定が外部からなされてしまう状況を指します。

高木さんは、ドイツの学者Kai von Lewinski氏の見解を紹介しています。Lewinski氏は、データ保護法制の目的は、「情報的自己決定」ではなく、むしろ「情報的他律への制限・抵抗」だと主張しているそうです。

つまり、データ保護法制の主眼は、個人が自分の情報をコントロールする権利を保障することではなく、個人に関する情報が不適切に利用されて、外部から不当な決定が下されることを防ぐことにあるというわけです。

この考え方は、高木さんが重視する「意思決定指向利益モデル」と親和的です。このモデルでは、データ保護法制の目的は、個人データが不適切に利用されて、個人が不当な評価や選別の対象とならないようにすることにあるとされています。

高木さんは、情報的他律の概念が、データ保護法制の本質をついていると考えているようです。個人情報保護の問題を、個人の自己決定の問題としてではなく、個人に対する外部からの不当な決定の問題として捉える点で、この概念は重要な示唆を与えてくれます。

ただし、高木さんも認めているように、情報的他律の概念は、ドイツの学説で提唱されたものの、まだ十分に理論化されているとは言えません。高木さんは、この概念をさらに深く研究することが、日本の個人情報保護法制を再構築する上で重要な課題の一つだと考えているようです。

情報的他律の概念は、個人情報保護を個人の権利の問題としてだけでなく、社会的な権力関係の問題として捉える視点を提供してくれます。高木さんは、この視点を取り入れることで、日本の個人情報保護法制をより実効的なものにできるのではないかと期待しているのかもしれません。

私:日本の個人情報保護法に取り入れるのは容易でないとのことですが、どうしてなのでしょうか。

Claude:高木さんは、データ保護法制の中核的な原則である「関連性の原則」を日本の個人情報保護法に取り入れることは、現行法の枠組みの中では容易ではないと指摘しています。 その理由として、高木さんは主に以下の点を挙げています。

  1. 現行法の「個人情報」と「個人データ」の定義の問題:日本の個人情報保護法では、まず「個人情報」が定義され、その上で「個人データ」が定義されています。しかし、「関連性の原則」を適用するためには、「個人データ」の定義を「個人情報」から切り離し、目的に沿って設計されたデータセットとして再定義する必要があります。
  2. 公的部門と民間部門の規制の違い:現行法では、公的部門と民間部門で個人情報の取り扱いルールが異なっています。「関連性の原則」を適用するためには、両部門で統一的なルールを設ける必要がありますが、それには大きな法改正が必要となります。
  3. 個人情報取扱事業者の義務規定の問題:現行法では、個人情報取扱事業者の義務が「個人データ」の取り扱いを中心に規定されています。「関連性の原則」を適用するためには、事業者が目的に沿って適切に「個人データ」を設計する義務を新たに規定する必要があります。
  4. 個人情報保護委員会の権限の問題:現行法の下では、個人情報保護委員会が「関連性の原則」の適用を監視・監督する明確な権限を持っていません。この原則を実効的なものにするためには、委員会の権限を強化する必要があります。

高木さんは、これらの問題を解決するためには、現行法の根本的な見直しが必要だと考えています。特に、「個人情報」と「個人データ」の定義を切り離し、「関連性の原則」を法の中核に据えるためには、法の目的規定自体を改正する必要があるかもしれません。

また、高木さんは、「関連性の原則」を導入するためには、社会的な合意形成も必要だと指摘しています。この原則は、企業のデータ利活用に一定の制限をかけるものであり、産業界からの反発も予想されます。

高木さんは、これらの困難を乗り越えるためには、データ保護法制の本来の理念について、社会全体で理解を深める必要があると訴えています。高木さんは、自身の研究を通じて、この理念を明らかにし、法改正の道筋をつけたいと考えているようです。日本の個人情報保護法制の再構築は、容易な道のりではありませんが、高木さんはその必要性を強く訴えているのです。


すごい。ほとんど完璧に理解して解説されている。完璧でない部分は、元の文章がちゃんと説明できていなかったということだ。ということは、文章を書きながら、Claudeに解説させることによって、どこがまだうまく説明できていないか確認し、改善していくという使い方もできそうだ。

*1 できるだけ大多数の読者にとって入りやすい順序で説明を並べているわけだが、読者の理解状況と関心状況しだいで、反りが合わない時は読んでもらえないということになる。

*2 Cafe JILISの記事を発表した際には、Twitterでたくさんのコメントを頂き、解説もいただいたのは、読者の理解の助けになったはず。

*3 これを著者本人が、セミナーの会場で質問を受けるとか、Zoomセミナーで質問を受けて、それに答えるということが一般的に行われるわけだが、時間は限られるし、質の悪い質問を毎度繰り返す常連質問者に皆の時間を削がれたりもして、限界がある。

*4 そこの説明は、本文中の「結果的に、ほとんどの場合で、保有しているデータセットの全部が対象になります。提供制限も同様で、提供元基準での容易照合性が解消される程度に加工する必要があると解釈することで、辻褄が合います。」の部分なのだが、これだけではわかるまい。詳しくは、「個人情報保護から個人データ保護へ(5)」情報法制研究11号93頁右段〜95頁左段に書いてある。

検索

<前の日記(2023年03月27日) 次の日記(2024年03月13日)> 最新 編集

最近のタイトル

2024年12月07日

2024年12月02日

2024年11月24日

2024年11月11日

2024年07月28日

2024年07月27日

2024年07月07日

2024年04月07日

2024年04月01日

2024年03月23日

2024年03月19日

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|04|07|11|12|
<前の日記(2023年03月27日) 次の日記(2024年03月13日)> 最新 編集