第4回情報法制シンポジウム 1(個人情報保護法 改正の行方)「個人情報保護法の構想」
- 2020年改正の概要と課題
- 個人情報保護法の構想
- 個人情報保護法制公民一元化の論点
- パネルディスカッション
これは「個人情報保護法の構想」のノートです。
この記事に問題がある場合 @niwatako へご連絡ください。
個人情報保護法の構想(鈴木 正朝)
個人情報保護法はどこへ向かうべきか。
テーマ
Data Free Flow with Trust
これについてどこに向かうべきかのテーマの中で考えたいと思う。
結論としては大賛成。マネーとデータは国境を超える。
ここで言うとラストとは?
日米欧は同じ個人情報保護法生を見ているのか
日本だけ独自に走っていないか
日本の個人情報保護法の実質的な方目的はなにか
骨格に、適正な利用目的がある、これについて考えたい。
H15年法、27年改正で委員会制にかわり直罰規定がはいり、さまざまな変容が会った。取締規定から裁判規範性のあるものにゆらぎがあることについて考えたい
保護と利用のバランス
平成15年からシーソーや天秤の絵を書いているが、ついぞ機能したことがないのはなぜか
個人情報保護法制はどこへ向かうべきか、憲法13条の具体化?重い?
形式手続き規定から実質、実態的規律へ向かうべきではないか。13条を具体的に言ったキャッチコピー、中核的義務規定をどう埋め込むか
最後に利活用制作がどうあるべきかどこに向かうべきかとの流れでありますが、どうすべきか、これも2店ばかり意見があります。
これは板倉先生とかぶりますから見ていただくだけで結構です。
いま現行法は、15年法を起点としている。これを起点としていいか、次の高木さんの報告を待って、パネル等で考えていきたい。27年、独立行政委員会による特定個人情報委員会、マイナンバーとセットで第三者機関が入ってきた。そこの附則を使って個人情報保護法、なかなか改正できなかったが無理やり改正の方向に盛っていったという経緯があった。
そのなかでも附則に仕掛けがあって3年毎見直し条項がはいった。
匿名加工情報、仮名加工情報という形で理論的に一応の決着を見た。
エクセルで差分を見て適法になるように対応していくのだと思うが、それではビジネスモデルはできないと思う。今もうすでに次の改正の議論が始まっている。
個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法三法の統合
これに関しては高木さんから提言があると思うが、来年また理論面で個人情報保護法がより理論的基礎が明らかになっていく過程であろうと思う。
大きな個人情報保護法の国際的な流れをくみながらどういう方向に持っていきたいかという医師の問題と国際状況がどういう状態かというのを踏まえてビジネスモデルに反映しないといけない。Google Appleはできる。日本企業にはできない。倫理上も彼らが上になったときに消費者がどちらを選択するかは明らか。
口を開けて待っていてはなかなかデータ社会を勝ち抜いていけない。
個人情報保護条例の統合に関してはまだクエスチョン。ここなくしてはデータ社会の法整備はおぼつかない。グローバル化もおぼつかない。抵抗勢力はないわけですから、ここにどれだけ踏み込むか。大学病院があげられているが、ここに踏み込んでいかなくてはいけない。
従来は3年後でした。3年後に1回やって終わり。2年交代の人事では新しいスタッフでやり直す。
殆どできない。着任早々の人ができるような仕事ではない。
やらない理屈を作ることになる。見直したが改正しない。
しかし今回は3年毎、3年9年12年と、今後個人情報保護委員会が全制度について3年毎に見直しの仕事が降ってくる。ごと、というのが極めてインパクトのある条項。
今回の令和二年改正に向かっていく。
これは何を意味するか、改革の時代の幕開けを意味するのだろう。
担当官、審議官が頑張られたということもあるだろうが、その背景には時代背景がある。人々の思惑を超えて、第三者機関が独立行政機関で新設されるということは、不可能と言われていましたから、一般の霞が関・永田町の常識を超えて動いてきた。これは時代背景の力だと思います。大きな時代のうねりの通りに動いている。日本も抗しきれない。これに加えてコロナが入って、より一層問題は深刻になている。
ユビキタスだ、IoTだ、ビッグデータだと同じポンチ絵ばかり作ってきた。
成功してきたのか。忖度すれば大成功でしょう。そんなこと言っているからこんなありさま。これにスーパーシティ、特区ですか、これで本当にコロナ後にデータ社会になっているのか?
データ社会の最低限の整備をするのが国家の仕事だろう、基盤整備が国家の仕事だ、ということです。コロナの対策を見ても心構えのなさが見えてくるが、コロナ以後、データ社会、法的基盤整備を進めていかなくてはいけない。
電子化を推進していく。マイナンバー中途半端ですね。現金給付金でも役に立たないと言われていますが、もらうときだけやれというのもおかしな話で、福祉行政・福祉国家は国民の情報なくしてできないわけですから、また、徴税、納税義務を具体化しみな公平に税を負担するということなくして、実現できないわけです。社会保障費含めて。この辺のシステム対応は大震災やパンデミック対策を通じて平時のシステム対応の必要性がよくよく身にしみていると思うのですが、マイナンバー制度、はんこ撤廃含めて電子化を図っていく。
民間部門は日経新聞が特集組んでいますが、データ社会本当にできるのか、データエコノミーの進展、従来過去20年の政策をなぞっているだけでは進展がない。
いま自宅で業務をするようになってこのシンポジウム自体を含めて、データ社会の到来を実感している。でもなんでZoomなのか。
機能的にも費用的にも、なぜこのチャンスに日本企業が手を上げてこないのか。これぐらい提供してくれと。月額6万とか結構高くて価格競争上我々の選択肢に載ってこない。このあたりをどうしていくのか全く見えていない。
先程から申し上げている時代背景は少子高齢人口減少と、コロナグローバル化の変容とナショナル・セキュリティの時代。これが同データ社会に影響するかも大きく見ていくべき。
マネーの世界ではすでにハーモナイゼーションを構築している。
円もドルもとうの昔から流通していて金融政策のほうが遥かに先輩。
マネーもデータも同義になりつつある。このあたりにどう切り込むべきか、法的整備はグローバル対応抜きには語れないだろう。
国際的なというのは日米欧を意味しているということも重要
EUもとりあえず合意に至っているが様々な課題が残っている。
公民一元化2000個問題
法執行協力体制というのは、ITの先進企業軍との対決姿勢から協調姿勢に変わってきた。経団連がパートナーだと言っている、こういうことなんだと思う。
コンタクトトレーシングアプリの開発を巡ってgoogleやAppleの協力を得なければ実現が不可能だったということからもこのあたりを痛感する。
今後の産業政策も
ベンダーの国からユーザーの国に変わってきているのではないか。
EUでは汎用機の競争に破れIBMの支配に置かれた。我々より半世紀早くそういう時代に突入した。欧州のルール形成は人権保障ベースにユーザーの国としての立法に動いていた。一方で大きな市場を形成して、魅力的な市場として競争力を持っている。方や日本は少子高齢人口減少。
お隣の十数億の国と比べられる環境にあるとより一層市場としては魅力がない。欧州と同じ政策が取れるかと言うとそれも悩ましい。
日本版検索エンジンを作ろうというやる気は会った。
汎用機でIBMに打ち勝ってきたのでもう一度できるという気もあるが、コロナ以降曲がり角に来ている。夢ばかり見ていないで現実を直視してどうやっていくか
Google Appleにソフトウェア提供を受けるのであれば、それをチェックできるスキルぐらいはないのかということが問われます。中国製の様々な装置をチェックする、諸外国からくるソフトウェアをチェックする、こうした技術的スキルぐらいなかったらユーザーの国としても成り立たない。このあたりの人材育成や法的立て付けもテーマになっていくだろう
じかんがないので飛ばします
日米欧に限定されたのがポイント、そしてWith Trust
Trustとはなにか聞いても誰も答えられなかったと聞いている。
でもいい話だから後知恵でも詰めていきましょう
トラストは日本国憲法を通じて行うのが正しいともう。
憲法の具体化法にせよとはそういうこと、
統治機構は司法救済の実績を上げろということです。
トラストと日米欧がつながると、ワンチームということになる、その間のデータフリーフロー。それが意味するのは対中国問題が立ち上がる。ファーウェイ製品を調達するなというのが暗黙のうちに
第二の国務事件になるかもしれない。法律によらず東芝が過剰にバッシングされた。法治主義でありながら
ファーウェイ社の製品を調達したら米国に手痛い仕打ちを受ける、
貿易の自由と輸出統制の緊張感が出ている。
きっちりリーガルに建て付けを作っていかないといけない。
その立法を何故正当化できるのか、その思想も問われる。
能天気にデータが自由に流通するのではなくナショナル・セキュリティと絡んで議論していかなくてはならない論点を含んでいる。
強調するというのは簡単な言葉でありつつ、日米欧は同じ個人情報保護法を見ているのか?
2000個問題、国内だって同じ個人情報保護法制にない。
散財情報含めて起立する公的部門の影響を受けて民間の個人情報保護法も処理情報に徹底できずにゆらぎを抱えている。まず国内の置いて個人情報保護法性を一つにしていくんだというときに、欧米の動きを見てなるべく合わせていくことを考えなくてはいけない。
なぜなら日常が越境データ。スマホなんかは。
それ故に法執行関係を構築しなければ日本人の保護すらおぼつかない状況になっている。
先程の板倉先生の報告にも議論されていたが、
15年法は、
利用目的の範囲内で遵守すべき事項を手続き的に規定した事業者規制法である。
行政法、情報法に分類される。
27年法から徐々に変わってきた。
体系性が崩れていっている。
崩れているより変容の過程にあるから崩れていると見えるかもしれない。
一歩一歩あるべき方向に変わっているという我々の姿勢が問われている。
日米は同じ個人情報を見ているのか?対象情報の話だが、なぜ特定個人の識別情報なのか。
法目的を実現するために対象目的を確定する。
プライバシーの権利のように、Common Lawから導き出したものとは違う。
極めて手続き規律としてより一層人工的、平成15年にできたばかり。
大賞上方変えてもいいじゃないかという話です。
米国ではPII不要やPII再構成説がでている。
日本は個人情報保護法が個人情報に該当するか、特定個人の識別情報か、といった、パズルのような、
コンサルにかかるとそうなってしまう。現行法がありガイドラインがあれば遵守するのは当たり前ではないかと、お前たち専門家で色々言えるかもしれないが、企業がいろいろみているのについていけるわけ無いだろ、あまたある企業がついていけるようにしろというのはごもっともだが、現行法だけ見ると尺の長いビジネスモデルは後半炎上案件になる可能性がある。情報セキュリティもそうだが、仕掛けていくロビイングも重要、どうしたいかという意思も重要。大企業にあっても、企業法務と別部隊を作るべき、求められるスタッフのキャラが違う。企業法務とこれを2つ預けるのは組織論的にきつくはないかという提言をしている。追っていくもののみがデータ社会で生き残ることができると思っている。
法目的に依存するということがここでは言いたい。
指名生年月日その他の記述とあるように、例示列挙型、等、記述に限らない。電磁的方式がカッコ書きであるけどそもそもコンピュータ中心に出来上がった個人情報保護制度ですから電磁的記録のほうが元祖。そもそもそちらを念頭に育んだ制度であれば、電磁的記録から始まっている。デジタルな話ですから、0、1の世界ですから、氏名生年月日その他の記述というのが極めて
氏名到達性説は、一般の人に研修で解説するときにわかりやすく指名到達するものが個人情報ですよと言っているのが、法解釈にフィードバックしてしまったのだろう
個人識別符号が必要だったのかわからないですね
本来の定理に含まれるものをわかりやすく取り出した、わかりやすくしてあげたという27年法改正かもしれません。
データ社会になるにあたって市区町村ごとにマスの大きさが違うような状況。
これで情報化社会ができるとは到底思えない。
明治維新でも物権法定主義だとか、メートル法だとか、取引の基本になるものは法で担保した。
個人情報ファイル、個人情報データベース等、要配慮個人情報と機微情報、匿名加工情報と非識別加工情報どうするんだと、今回仮名加工情報できたけどどれだけの自治体がついてこられるのか。対象情報は個人情報だけではない。
では実質的な法目的は?
プライバシーという人がいるが、違うんじゃないかという意見です。
プライバシー権は人格権がなかったアメリカで精神損益?を保護するために
我々は人格権を持っている。人格権とプライバシー権
ダッチロール
固有領域はあるかもしれないが
本件では黒人というプライバシー権もある
彼の国ではグループのプライバシー権も観念する。これを持ってきて日本の保護情報保護目的はデータプライバシー権であると言っていいのか。というのはかなり問題。
だったらデータプライバシー権の定義を明らかにしろということで、中身は何も述べていないだろうと思います。
情報漏えいばかりやってきた。
そこへリクナビ事件で個人情報保護目的に触れるような事件でようやく目を開かされた。
どう個人情報保護法をもっていくべきかといときにリクナビ事件に立ち返るのはありではないかと思う。
基本設計がどうあるべきか
適正な利用目的の範囲で利用していい
本人同意原則は採用していない。
取得も利用も同意かかっていない。
なぜか、個人情報を大きく鳥瞰していくと血流のように流れているデータは多数ある。戸籍制度とか。本人同意なって取っていない。血液は本人が司令しているわけではない。これが適正な利用目的の範囲で回っている範囲で良しとする血流のような個人情報というのがる。
個人情報は特定個人の識別性しか問うていない。誰のものかを論じるのに、適正なものもあればそうでないものもある。
識別性しか無いので、所有モデルで一般論は語れない。
法目的上もそういうことは目指していない。
日々の実質的判断もじつはできていない
保護と利用のバランシングがなぜ機能しないのかと言うと、秤に乗せる重りの質量が決まっていないからです。常に議論が空疎なのは価値的判断が条文上全く明らかでない。価値中立的に設計したんだもん。なんでも、ゴミから人格的なものまで何でも入る。重さが不確定なものがどうやって利活用とバランシングできるか、原理的にバランスできない、機能しないようになっている。
形式的・手続き的から実質的にしていくには権利が創設されなくてはいけないというのはバランスのための原点になる。
委員会がすごく怒っているが、勧告の内容には反映されていない、まさに中核的義務的規定が欠けていることの反映です。厚生労働省まで怒った、我々も倫理的に怒った、この価値は何なのか掘るのがこれからの課題。これを義務付けるものがなかった。リクナビ事件は勧告を遵守すればあのサービスを継続できる。法律構成を改めれば同じサービスを継続できる。私達が怒ったところは治癒されていない。
条文に規定しなくてはいけない。権利規定の創設、これをやっていかなければ永遠に法律は機能しない。
表現の自由とプライバシーの権利は調整が働いている。同じような立て付けで作ればその程度は作れる。
もう一つ、司法救済につなげるから凡例ができて実務に落ちる。
裁判規範正のある条文が少ない。権利構成が少ないから。
事業者の義務として構成しているというのは要するにそういうこと。本人の権利として構成していない。裁判に訴えて判例になるような情報が極めて少ない。
みなさんが大好きなガイドラインの他に判例がある。10年まとうが依拠するルールがない。僕らがギャーギャー言っているだけでは動かない。
適正な利用義務、この条項が27年改正の肝だと思っています。
解釈論も進めながら日本国憲法から直結した規定に持っていく、
あとはパネルに譲り、高木さんに移ります
