第141号コラム:林 紘一郎 理事(情報セキュリティ大学院大学 学長)
題:「個人情報という妖怪と輸入学問の限界」
「個人情報」は、幽霊のようなものである。「これが個人情報だ」と、全容を知っている人はいない。それがどこにあるかも分からない。それが流出することを技術的に止めることは出来ないし、それを法的に担保することはより難しい。因みに私自身をグーグル検索してみれば、「自己情報コントロール権」なるものが、空理空論であることがすぐに分かる。しかし、あたかもそれが可能であるかの如き宣伝がなされ、国民の大多数が踊らされた。これが妖怪でなくて何であろう。
私は、個人情報保護法の制定に携わった人々は、その「妖怪性」を百も承知で、しかしこの程度の「言い訳」を作らないと、国際取引もままならないから目をつぶってやろう、と決心したのだと思っていた。とすれば、そうした「難儀な仕事」を引き受けた方々には、それなりの感謝を捧げなければならない。しかし、どうやら事態は全く異なることが分かってきた。
事の発端は、EUが1995年に「個人データ保護指令」を作り、自分たちのスタンダードを基準にして「十分なレベルの保護」をしていない国には、自国民の個人データを移転させない、と主張し始めたことにある。域内統合を至上命令としてきた、EUメンバー諸国間においては当然であるが、問題はそれが「域外適用」されることを、どう考えるかである。
EUのように、統一法を作りコントローラーを置くといった、国家が前面に出るやり方が、市場原理を旨とするアメリカで受け入れられるはずもない。アメリカは、後述するような種々の議論を経て、1999年safe harbor 条項という対抗策での妥協に成功した。これは、EU指令の水準の保護が出来ていることを自己宣言し、http://www.export.gov/safeharbor/に登録するものである。第三者認証等はないが、登録したのに遵守出来ていないとなると、連邦取引委員会(FTC)が不公正取引として制裁を加える。この代替手段によってアメリカは、EU 指令に対抗できるようになった。
ところが日本では、どうしたら国益を守れるかという議論は起きず、ひたする「グローバル・スタンダード」だと誤認したEUルールを、国内法制化することに努力が払われてきた。これによって企業に多大なコストが発生しようが、ホワイトカラーの生産性が落ちようが、自称個人情報コンサルタントが跋扈しようが、「我関せず」という雰囲気だった。その間アメリカがどう対応してきたかの分析も報道もなかった。
否、むしろマスメディアは、あたかも戦時中の「国家総動員法」もかくやと思われるほどの、思考停止であった。彼らは早手回しに「国民総背番号制」に対抗すべく、「私は番号になりたくない」などの情緒的で何の論拠も無いスローガンを掲げて、プライバシーと個人情報を意図的に混同させたままである。今日に至るも、個人情報狂想曲(幽霊騒動)に対して、いささかの責任も感じていないようである。
これは私には、思いもかけぬ事態だった。個人情報保護法の制定に携わった関係者の中にはアメリカ法の専門家もいたのだから、かの国での議論を十分咀嚼した上で対応を考えたのだろうと推測していたからである。しかし、それが全くの誤解であることを知って愕然とした。
そこで遅ればせながら、90年代後半のアメリカにおける議論をトレースして見て、今更ながらその懐の深さに感銘を受けた。もちろん多様性の国であるから、EU案に賛成の論者もいた。しかし、その論議は『None of Your Business』という挑戦的な書物によって、瞬時に葬り去られてしまった。「EUよ、余計なお世話だ」という意味を込めた、このタイトルの凄まじさには、驚くばかりである。
それ以降の議論は、文字通り百花争鳴で分類するのが難しいが、読者の便宜のために大雑把に分ければ、①知的財産と見る、②営業秘密のアナロジーで考える、③プライバシー保護技術に依存する、④業界ごとの自主規制による、⑤契約法の「信任義務違反」として保護する、⑥不法行為法で対処する、の6つに分類されよう。以下、若干の補足を試みよう。
まず①の「知的財産と見る」方法とは、未公表著作物が著作権で保護されない場合(アメリカでも1989年のベルヌ条約加盟後は保護される建前だが、加盟前は連邦法では保護されなかった)でも、それはpropertyの一種として保護すべきだ、という発想のアナロジーである(パブリシティのアナロジーと考える方が、より適切かもしれない)。実は、プライバシーの権利を最初に提唱したとされるWarrenとBrandeisの論文も、この方式をまず検討し、それでは不十分だとしたのであった。
②は同様のアナロジーを、営業秘密に求めたものである。営業秘密は一般に「知的財産」の一種と見られているから、①と同工異曲と思われるかもしれないが、両者は保護方式がまったく異なる。一般の知的財産は(著作権を別にすれば)、国家が関与する登録制度の下にあり、「情報を(強制的に)公開して守る」仕組みである。これに対して営業秘密は、有用性・非公知性・秘密管理性の3要件を必要とする、「秘密の一種」なのである。個人情報の漏洩が問題なのではなく、それがプライバシーを侵害したときに初めて法律問題になると考えれば、もっともな主張である。
③の「プライバシー保護技術に依存する」は、P3PなどのPET (Privacy Enhancing Technology)に任せよう、という考えである。意外なことに『CODE』という先駆的な書物で、「コンピュータ・コード(あるいはアーキテクチャー)が法に代わって支配する時代になる」ことに警鐘を鳴らした、ローレンス・レッシグが推奨している。しかし多くの反論があるし、技術を技術で解決しようとしても、「いたちごっこ」に終わる可能性が高い。
そこでアメリカは、④の「業界ごとの自主規制による」方式を採用している。これなら、わが国で「主務大臣」の介入が心配されるような事態を回避できる。何事に付けて「横並び意識」が強いわが国では、分野横断的なレベル合わせができないとの心配が生ずるかもしれない。しかし、そもそも刑法の「秘密漏示罪」が身分犯(医師や弁護士など特定の職業に就いている人しか犯罪の主体にならない)であることからも分かるとおり、秘密の保護は業界や職種ごとに異なるのが当然である。
⑤の「契約法の『信任義務違反』として保護する」は、わが国になじみが薄い制度である。わが国でも、株式会社における取締役の注意義務として、「善良な管理者」の注意義務に加えて「忠実義務」があるが、両者は包摂関係にあるとされている。この点について英米法では、後者をfiduciary dutyとして独立に扱うケースが多い。医者や弁護士のみならず、集団で介護に携わる人々と被介護者の関係を考えるとき、このような新しい法律構成を工夫することは、今後ますます重要になるものと思われる。
最後の⑥「不法行為法で対処する」とは、前出の⑤よりもさらに弱く、既存の不法行為に対する一般原則で十分だ、という考え方である。確かに、わが国で個人データの漏洩が裁判になったケースでは、1人当たり最高でも3万円程度の損害賠償が認められたに過ぎない。また想定被害者は、何万あるいは何百万と言われたにもかかわらず、実際に原告となった人は多くても10人強である。この現実を見るとき、個人情報が幽霊であったことを再認識する。ただし冷静であるべき法学者としては、刑事と民事の救済が確立している名誉毀損の場合に比較して、プライバシー侵害に対する救済が十分であるか否か、なお検討の余地があることを付記したい。
さて以上の対策のうち、④を除いた5件については、2つのタイプに分類できる。すなわち①②③は、何らかの形で個人データをpropertyとして扱うことを前提にしているのに対して、⑤と⑥は事前の権利付与ではなく、事後的な救済だけを念頭においたliability ruleに拠っていることである。日本人からすれば、精神的自由権の範疇に入るプライバシーの元になる個人データであれば、それをpropertyとして扱うとは考えにくいかもしれない。
ここで大切な概念は、alienability(あるいはその否定形としての inalienability)である。これは外国人には分かりにくい概念だが、以下のような設問にどう答えるかを考えて見れば、ある程度の感触が得られる。売り渡せる(取引できる)と答えれば、それは property と見ることと同義である。
設問1:あなたは、臓器を売買することを認めますか? 自発的に無償で譲り渡すことは、どうですか?(例えば、あなたの兄弟が腎臓移植を必要としている場合に、提供するなど)
設問2:あなたは、「個人データを取引する」という行為は非難に値すると思いますか? あなたが、あなた自身の個人データを売り渡す場合と、事業者がどこかから得たあなたの情報を、売買する場合に分けて考えてください。
1960年代以降、アメリカにおけるプライバシーの概念は、a) 旧来の「一人にしておいてもらう権利」という伝統的(空間的)なものを越えて、b) 他人に知られたくない事実や、c) 他人に誤った印象を与える名誉毀損的な情報、さらにはd) 氏名や肖像というパブリシティ的情報までを含む、広い概念(情報的プライバシー)だと考えられるようになった。そして更に「胎児を生むか生まないか」という、自己決定に関わるものにも及ぶものと、捉え直されている(自己決定権)。
ここまでは、わが国でも常識化しているかと思われるが、こうした広い概念を含むプライバシーの底流として、国家の干渉を排除して可能な限り自己決定したい、という信念が脈々と流れていることは、意外に見落とされている。自己決定のためには、当該情報をpropertyとして扱うことが最も簡便な方法である。先に述べたレッシグが③を推奨していることは意外に聞こえるかもしれないが、国家権力の介入を嫌う彼からすれば、選択肢の1つであることは当然なのであろう。
1990年は、WarrenとBrandeisの論文が発表されてからちょうど100年目に当ることもあって、複数の法律ジャーナルが再評価の論考を掲載している。これらはすべて、彼らの論文が上記の④を除く5つの論点をカバーしていることに触れている。振り返ってわが国では、同論文の結論部分である「(精神的自由権として)プライバシーの権利が必要だと主張した」点だけが強調されている。輸入法学の弊害を脱し、一日も早く「自分で考える法学」に転換することを期待したい。
【著作権は林氏に属します】