第596号コラム:佐藤 慶浩 副会長(オフィス四々十六 代表)
題:「個人情報保護法改正に向けて」

個人情報保護法の改正にあたっては、個人の権利利益の保護という原点に戻るべきである。

個人情報保護法の現在の運用は、保護の対象が個人の権利利益というよりは、個人情報を保護することに偏重していると思う。個人の権利利益の保護と言ってしまうと、すべての法律に共通なことということになってしまい広範だが、個人情報保護法においては、とりわけ、プライバシーを保護することが原点であろう。 

言い換えると、保護の対象がプライバシーではなく、個人情報になってしまっているのが問題だと思う。

たとえば、日本では、電話番号が個人情報に該当するか否かをどう解釈するかを議論し続けているが、諸外国では電話番号の利用の仕方について議論する。国によって規制内容は異なるが、電話を使って販売勧誘をするテレマーケティングを週末や夜間にすることを制限している。電話番号を保護しているのではなく、その電話番号を使ってテレマーケティングする場合に、そのやり方がプライバシーを侵害するか否かを判断しているのである。シンガポールでは、さらに詳細が定められている。会社の電話番号についても個人情報に該当するとした上で、会社業務と関係ないテレマーケティングを規制している。会社が事業のために仕入れる商品や会社で利用する事務用品を販売するためのテレマーケティングはプライバシー保護の対象としていない。その目的の過度のテレマーケティングは業務妨害になり得るが、プライバシーの侵害としては扱わないということだ。一方で、会社の電話番号に対して、消費者としての購買についてのテレマーケティングをすることは同意の有無に係わらず認めていない。日本では、会社の電話に個人向けの投資信託などのテレマーケティングが行なわれることがあるが、シンガポールでは、それはプライバシー侵害として規制されている。

日本では、電話番号が固定電話なのか携帯電話なのか、その番号は個人の所有なのか、法人の所有なのかなどといった電話番号に条件を設けて、それを個人情報に該当させて規制するのか、該当させずに規制しないのかについて議論をしている。繰り返すが、海外では、電話番号が個人情報であるかを明確にしなくても、かける電話の仕方がプライバシーを侵害するか否かで規制をしているのである。

そのため、日本での議論は、どのような情報が個人情報に該当するかについてであるが、海外では、事業者のどのような行為がプライバシーを侵害するかを議論している。

この電話番号の国内議論が馬鹿らしいと思う人はいると思うが、同じ議論を、IPアドレスやウェブブラウザ―のクッキーでもしていることが、同じく馬鹿らしいということに気づく人は意外と少ない。

このようなことを、保護の対象が、個人情報なのかプライバシーなのか?の違いによるものと冒頭で言い表した。その表現方法は正確ではないかもしれないが、言いたいことはそういうことだ。

しかし、個人情報保護法の第1条は「個人の権利利益を保護することを目的とする。」と定めており、法条文で定めている内容は諸外国と変わらない。個人の権利ではなく個人情報を保護の対象として議論している現状は、法の目的の問題ではなく、法の運用がどこかですり替わってしまったと言える。

このすり替わりは、なぜ起きてしまったのだろうか?

 個人情報保護法では、個人情報の利用目的について、特定し、通知することだけを求めている。これに同意の取得を加えて強化している国や自主規制がある。日本ではJIS Q 15001規格では、同意取得を求めている。しかし、これら一連の義務は、単なる上乗せではないことに注意すべきだ。特定と通知は、事業者が主体となる行為であるが、同意取得には異なる側面がある。「事業者は利用目的について本人から同意を取得した場合に限り利用できる。」という建付けでは、事業者主体でしかない。しかし、「事業者は本人が同意した利用目的に限り利用できる。」とした場合には、本人が主体に切り替わるのである。前者では、事業者が、本人によって同意されたとみなすという運用を積極的に否定していない。後者は、本人として同意していたつもりがなければ、同意していなかったことになり、行為の主体は本人であり、事業者が何をしてどう解釈したかではなく、本人が同意していない利用は認めないということになる。 

同意取得における行為主体の違いについては、欧米においても、これまでは前者に寄っていたと見ることができる。しかし、今年くらいから後者が重要視され始めている。その方向性の中で、「同意の取得をなくす。」という表現が使われるが、このことを、特定と通知だけになると誤解している人がいるがそうではない。同意の取得をなくすという議論でされているのは、「本人が想定できる利用目的の範囲内に限り利用できる。」ことに切り替えることにより、事業者が本人による同意を得たとみなすことを一切認めないということを意味している。

同意を取得する例としては、事業者が利用目的を文章で表示して、そこに「同意する」というボタンを設けて、そのボタンが押されたことによって、同意されたとみなすという方法がある。このボタンを押さないと次の画面に進めない場合には、利用者はボタンを押さざるを得ない。文章を読んでさらに理解したかを確認するのは容易ではないので、このみなしを認めないということは現実的ではない。 

そこで出始めたのが、そもそも事業者が特定した利用目的について同意を取得するという事業者の行為を求めていると、みなし同意を認めざるを得ない。それを見なおして、「本人が想定できる利用目的の範囲内でしか利用してはならない。」ことにすれば、事業者主体から本人主体にできるという議論である。本人の想定範囲内に限るのであれば、想定外の利用についてを「同意する」ボタンを押してしまったことによって同意したとみなされるのを防ぐために、「事業者は、同意の取得を求めてはならない。」という考え方が示され始めている。いささか、極論に寄っている気がするので、実際には、「想定外の利用をしない場合には、同意の取得を求めてはならない。」というところあたりに落ち着くのではないかと思う。それにより、同意取得が求められる状況は、想定外の利用目的がある場合に限られることになる。その点では、みなし同意が結局なくならないことが予想されるが、しかし、同意する内容は想定外の利用目的だけになるので、想定内の目的を長々と書かれて、その隙間にこっそりと想定外のことを書き込まれることはなくなるのであろう。想定される利用目的しかされない場合には、同意の取得はなくなるのであるから、同意の取得を求められた場合には、想定外の利用をされる前提で、その同意内容をちゃんと読んで理解した上で、同意するという本人のリテラシー向上は求められることになる。 

以上のように、海外では、利用目的について事前の同意を求めることが重要視され、さらには、その同意確認のあいまいさから、同意取得の禁止に進もうとしている。その点において日本は、周回遅れになりつつある。 

まずは、利用目的の同意取得に追いつくべきであるが、規制当局が事前同意を事業者に求めることに躊躇すべきではない。その理由は以下のとおりである。

 同意取得については、JIS Q 15001規格で既に求められており、それに基づくプライバシーマーク付与などがあり、それらの取得事業者数は1万6千を超えており、さらに、国内においても、個人情報保護法とは別に、迷惑メール防止法(特定電子メールの送信の適正化等に関する法律)が2002年に施行され、2008年改正からは同意取得が義務付けられている。

参考:電子メールのオプトイン規制開始

つまり、電子メールアドレスは、そもそも現時点で同意取得が義務付けられており、国内で同意取得を求めることの下地はできている。

(余談であるが、個人情報保護委員会は、個人情報保護法とマイナンバー法しか所管していないが、上記のようなプライバシー保護に係る法令等全般を所管できるようにすべきだと思っている。そうでなければ、国際的に見た場合に、Data privacy commissionerの責務を果たしていることにはならないのではないかと思っている。)

 利用目的についての同意取得を義務付ければ、事業者は不同意を得てしまうことを避けるために、利用目的文言の作文を精査するようになる。また、担当者は日常において消費者の立場で利用目的文言を気に留める機会が増え、文言作成のリテラシーの底上げにも役だつ。

これらのことは事業を制約するだけかというとそうではない。個人情報保護法が制定された2004年当時に比べると、企業の事業において顧客情報の有効活用はより重要になってきている。近年のマーケティング活動においては、利用について同意を得た顧客情報と、同意を得ていない顧客情報では、前者の方が有効に活用できるとみなされることの方が多くなっている。

 同意取得を管理するとそのための管理が増え、それは事業者の負担になると思うかもしれないが、それも誤りである。現行法においても利用停止には対応しなければならず、利用停止に対応するためには、不同意の管理が必要となっている。不同意の管理と同意の管理は、表裏一体であるから、実際には不同意の管理ができていれば、同意取得の管理もできる。その初期値を、同意で始めるか、確認した値から始めるかの違いでしかない。

 したがって、規制当局が事前同意を事業者に求めることに躊躇する必要はないということである。

 利用目的の同意取得をなおも求めないのであれば、少なくとも利用目的に重きを置くための対応を何かはすべきだ。

 たとえば、
「個人情報保護法 第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」
の最後に、
「利用目的を通知又は公表するに当たっては、その内容及び方法が欺瞞(ぎまん)的で あってはならない。」

など、利用目的の内容と通知方法に言及する追加をすべきである。欺瞞的行為を禁止するという表現は、米国のFTC法第5条から引用したが、より適当な表現にすればよい。法条文での改正が難しいならば、少なくとも、ガイドラインでの強化をすべきである。

話しを変えて、今回の法改正大綱に出ている事故報告の強化について考察する。報告を強化することについて異論はないが、事故報告の対象について、海外との違いと日本の課題を述べる。

海外では、Data breach reportを義務付けている国や地域がある。これは直訳すれば、データ侵害報告である。これをデータ漏えい報告と訳すのも解釈するのも誤りである。なぜなら、英語において、データ漏えいは、data leakageであり、それをあえて、data breachとしていることに違いがないと思うのは思慮が浅い。法改正大綱における事故報告の対象は、法第20条の安全管理措置違反だけだと聞いている。これでは、data leakageしか対象にすることができない。

海外におけるData breach reportには、たとえば、データ漏えいだけでなく、利用目的外の利用などの事故も報告対象に含まれる。

したがって、データ侵害の範囲であれば、法第20条に限らず、すべての条項の違反についての報告を徴収すべきであり、法第15条の利用目的の特定、第16条の利用目的による制限、第17条の適正取得、第18条の利用目的通知なども含めるべきである。

(これも、余談であるが、その範囲の違反を徴収しなければ、Data privacy commissionerの責務を果たせていないと言える。)

このことをもっても、国内法は条文で利用目的規制をしているにも関わらず、法の運用が、利用目的規制を重視していないことを見て取ることができる。

次に、仮名化情報の新設については、現行の匿名加工情報の位置付けの再確認から始めたい。その再確認にあたって、まずは、個人情報保護法とEU規制との関係から説明する。

EU規制について日本が十分性認定を取得したというのは、誤解を招く表現だ。EUにおける実際の手続きは、adequate decisionというもので、直訳するなら妥当性判断となる。日本がこの判断を受けるまでは、EU当局は当該国の国内法がEU法に対して十分であるかを認定し、それにより妥当であるという判断を決定していた。そのため、十分性認定と呼ばれていた。しかし、日本に対する妥当性判断においては、日本法は不十分であると明記した上で、個人情報保護委員会が定めた「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下、「EU補完ルール」と言う。)を遵守する組織については妥当であると判断したと結論づけたのである。十分性認定という意味では、むしろ、不十分認定がされたと言うべきで、これを十分性認定と表現するのは思考を停止させ誤解を招きやすい。

話しを元に戻す。EU補完ルールの中では、日本法にない補完的なルールが求められているが、その中の一つに匿名加工情報の定義変更がある。

日本法では匿名加工情報の元となる個人情報を残して利用することが認められているが、EU補完ルールでは、加工方法等情報を定義し、それを個人情報から削除することを求めており、これは匿名加工情報による規制緩和を実質的に無効化している。

しかし、EU法は個人情報を匿名として取り扱うことを禁止しているわけではない。ならば、EUのそれと日本のそれは何が異なるのか?を明らかにすべきである。現状は国内法改正の後にGDPRが示されたため、時制としてEU補完ルールが緊急避難的に匿名加工情報を無効化したのは仕方ない。

しかし、今回の法改正では、この差異の解消のための調整をすべきである。政府は、この匿名加工情報が、規制一辺倒と言われた個人情報保護法における、情報活用のための規制緩和策であるとしている。しかし、EU補完ルールでそれを無効化している現状は、国際でビジネスする場面では緩和になっていない。実際にも、EUでのビジネスがあるか取引がある事業者は、匿名加工情報を使うことができない状況になっている。

その調整にあたっては、先述した利用目的規制に触れざるを得ないことが予想される。なぜなら、EUは匿名情報を明確に定めていない。この理由は、電話番号の例を先述したとおり、海外において情報の細かな定義は重要ではなく、その情報の利用方法を規制するからだ。

日本の事業者はこれを個別にEUと調整しているのが現状である。この調整こそ、個人情報保護委員会がEU当局とすべきことではないだろうか。

この問題を棚上げにしたままに、今回新設する仮名化情報を匿名加工情報と同様に、EU補完ルールで実質的に無効にするということをするのであれば、無責任と言われるのではないだろうか。

他国法に合わせて国内立法することは主権の問題であろうが、国内では規制緩和したと宣言していることを、EU補完ルールで無効化し、EUから十分性認定を取得したと宣言することは、言ってみれば、欺瞞的なことにすら思う。

以上を踏まえて、仮名化情報を考えるとその内容以前の問題として、まずは・・・と、書き続けたかったが本稿の字数制限を既に3倍超えたので、あとは読者の考察に委ねたい。

今回の個人情報保護法改正は、いまいちど、個人の権利利益の保護という原点に戻るべきであると考える次第である。

【著作権は、佐藤氏に属します】