個人情報保護法の原理と体系:利用目的による/実体的な適正化、データ品質、データセキュリティ、本人の権利

後輩弁護士向けに所内セミナーを実施したときの個人的メモその3です(その1:個情法27条5項1号の趣旨/受託者による混合・突合の禁止の根拠 - Mt.Rainierのブログ/その2:GDPRのJoint controlと個情法の共同利用は全くの別物であること/共同利用の限界 - Mt.Rainierのブログ)。このシリーズは一旦これで終わりです。なお、文献は引用していませんが(すみません…)、基本的に園部藤原本と一問一答を見ながら考えています。

 

法目的

  • 個人情報保護法の目的は、個人情報の適正な取扱いを確保することにより、個人の権利利益を保護することである(1条)。言い換えれば、個人情報の利活用は有用さの一方で一定のリスクを伴っており、そのリスクが現実化した場合、まさに個人情報が個人に結びつけられた情報であるがゆえに、個人の権利利益が害される可能性がある。個人情報保護法は、このリスクを最小化し、個人情報利活用のメリットを最大化するためのルールを設定するものである。
  • リスクの内容としては、①個人の秘密が公開されること、②誤った情報・不完全な情報により誤った判断がなされること、③自己の情報を知ることができないことが挙げられる第113回国会 衆議院 内閣委員会 第7号 昭和63年10月13日 | テキスト表示 | 国会会議録検索システム シンプル表示)。概ね、利用目的による適正化やデータ品質は②③に、データセキュリティは①に、実体的な適正化や本人の権利は①〜③に関係する。

 

規制の手法―共同規制

  • 個人情報保護法は、規制の手法として、共同規制を採用している。禁止と命令を規定する従来の業法とは異なり、個人情報保護法においては、根幹である利用目的の設定が(不適正利用にならない限り)事業者に委ねられているし、利用目的との関係での必要性・関連性を判断するのは、第一次的には事業者である。これは、個人情報保護法が対象とする「個人情報の取扱い」の、問題の単位としての大きさに由来する(個人情報保護法の共同規制的アプローチ)。
  • 共同規制を適切に機能させるための不可欠な条件は、当局が適切に法執行を行い、事業者側のインセンティブを維持することである。しかしながら、現在でも、それが十分に行われているとはいえない(特に個人情報保護法の根幹である利用目的による制限に関して)。ガイドラインの改正、Q&A、注意喚起等を通じて、利用目的による制限についても個人情報保護委員会の立場を示した上で、適切な事案が現れれば法執行を行うことが必要ではないかと思われる。

 

基本概念

  • 個人情報保護法の行為規制は、主として、個人情報すなわち個人に関する情報で当該個人を識別可能なものを、体系的に構成して取り扱う行為に適用される。体系的に構成された個人情報が個人データ、体系的に構成されているかどうかを問わないのが個人情報である。
  • 個人情報保護法の規制対象者は、主として個人情報取扱事業者であるが、これは、その意味内容からすると、「個人情報データベース等供用事業者」と呼んだほうが分かりやすい。データベースに入力して取り扱うことが体系的に構成して取り扱うことである。
  • 個人情報を定義する2条1項は複雑であるが、2号は無視してよく、1号の「氏名、生年月日その他の」と第1かっこ書き(「文書、図画若しくは…」)は無視してよい。識別には、個人情報該当性が問題となっている情報それ自体による識別と、他の情報との照合による識別がある(これらは、GDPRでは直接的識別/間接的識別と呼ばれている)。言い換えれば、照合は識別の手段にすぎない。識別の主体は事業者だから、個人情報該当性は事業者の前提知識や他に保有する情報に左右される
  • 事業者の義務のうち、17条〜21条だけは、個人データではなく個人情報を対象としている。立案担当者によれば、このようにされているのは、取得などデータベースに入力する前の行為を規制するためである。そうすると、データベースに入力する予定がない個人情報は規制対象ではないのではないかと思われるが、立案担当者は明言していない(18条~21条は散在情報を対象としていない可能性について)。
  • OECDガイドラインや多くの立法例(例えばGDPR、CCPA、中国、韓国、シンガポール、マレーシア、タイ、ベトナム)においては、個人データ処理の目的と手段を決定する者(Controller)と、その者に代わって処理を行う者(Processor)が区別され、Controllerについては直接の規制がなされ、Processorについては主としてControllerとの契約を通じた規制がなされている。日本法の「個人情報取扱事業者」は両者を含むが(そのような立法例としてカナダがある)、委託が行われた場合の委託先に関する規律・解釈、「保有個人データ」概念が存在することの結果、Controller相当の事業者とProcessor相当の事業者は事実上区別されている。

 

利用目的による適正化

  • 個人情報保護法のキーコンセプトは、利用目的による適正化であり、それとの関係で最も中心的な義務は、利用目的による制限である。無闇な個人データ収集や個人データ処理は、プライバシー侵害リスクを高めるだけでなく、(意図した/しない)差別等のリスクも高める。一方、利用目的の特定・変更の制限は、上記の制限の前提であり、利用目的の通知・公表は、上記の制限の実効性確保手段である。第三者提供規制は、上記の制限の特則である。
  • そうであるとすると、利用目的の特定が全てのスタートラインなのであるが、十分な特定がされている例は少ないと思われる。個人情報保護委員会は、安全管理措置だけでなく、利用目的の特定・利用目的による制限についても行政上の措置を取っていく必要があると思われる。
  • なお、利用目的による制限が実務上あまり重視されていない背景に、その特則としての第三者提供規制があるのではないかと思われる。すなわち、個人データを利用したビジネスにおいては、法人格という単位はあまり意味をなさず、多くの場面で第三者提供がなされている。その第三者提供について、日本法は形式的かつ厳格な規制を敷いているため、個人情報保護委員会が(安全管理以外の事案で)法執行を行う上では、まずは第三者提供規制違反を検討すればよく、目的外利用を検討しなければならない場面は多くない。そのため、利用目的の特定や利用目的との関係での必要性が深く検討されることが(個人情報保護委員会においても、事業者においても)少ないのではないか(なお、GDPRは処理自体に同意等を要求する一方、第三者提供について特別の規制はしていない)。
  • 上記のとおり、 三者提供規制は利用目的による制限の特則である。三者提供は類型的にリスクを高めることがその根拠とされているが、別の言い方をすれば、三者提供は一律に目的外利用とみなされていることになる(目的外利用も原則要同意である)。このような建て付けとなっている理由は、いまいちはっきりしない。なお、このような建て付けはアンバランスとも言われているが、提供先を全く特定しない同意でも一応は有効とされており、実際上は結果的に一応のバランスが取られている(一方、外国第三者提供の同意や保有個人データに関して情報提供義務が拡充されてきていることを考えると、一般の同意に関してuninformed consentが通用していることは、やはりアンバランスなのではないかと思う。GDPR等では、収集段階で同意その他の適法化事由が要求されている)。

 

実体的な適正化

  • 個人情報保護法は、利用目的による適正化を補うものとして、実体的な適正化も行っている。EUではPurpose Limitation(利用目的による制限に相当)に目的の正当性(Legitimacy)が含まれているが(その内容についてOpinion 03/2013 on purpose limitationのIII.1.3)、日本法では利用目的それ自体は(少なくとも文言上は)制限されておらず、権利侵害的な利用目的であっても利用目的特定義務・利用目的による制限はクリアしてしまう。そのため、適正取得義務・不適正利用禁止の問題として処理される。

 

データ品質の確保

  • OECDガイドライン8項はデータ品質の原則として、関連性と正確性・完全性・最新性を要求している(Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date)。利用目的による適正化、実体的な適正化がデータの処理行為の問題であるとすれば、データ品質は処理客体としてのデータの問題である。
  • ところが、日本法はデータ品質に関する規律が不十分であると言われる。それはその通りだと思われるが、実は、必要性と完全性(completeness)は解釈で読み込むことができ、必要性の中に関連性(relevancy)を読み込むこともできるのではないかと思われる。
  • すなわち、必要性については、18条1項の「利用目的の達成に必要な範囲」に読み込むことができ、そこに関連性を含めることもできるのではないかと思われる(関連性があり、かつ必要な限度を超えないことが「必要性」)。
  • また、完全性については、22条の実効性確保手段である34条が、訂正・削除請求だけでなく追加請求も認めているところ、このことは、22条の「正確」は、単に誤りがないだけでなく、利用目的との関係で不足がないこと、言い換えれば完全(complete)であることをも含む概念であると解釈できるのではないかと思われる。

 

データセキュリティ

  • 以上は個人データ処理それ自体から生じる弊害を防止するためのルールである(例えばAIに関してしばしば説かれる統計的差別は専らこちらの弊害である)。一方、データセキュリティは、データ処理に付随して生じる弊害を防止するためのルールだといえる(言い換えれば、データセキュリティはコアではない)。その弊害とは、基本的には(古典的な意味での)プライバシー侵害と、(クレジットカード情報などに見られるような)財産権侵害である。
  • 個人情報保護法上は、安全管理措置、従業員の監督、委託先の監督と、その実効性確保のための漏洩報告・本人通知がこれに当たる。
  • なお、委託先の監督は、データセキュリティの問題に尽きるものではないので(例えば目的外利用はデータセキュリティの問題ではない)、「取扱い」自体についても監督義務規定を置くか、監督義務をデータセキュリティに限定しない形に書き換えるべきなのだと思われる。

 

本人の権利

  • 個人情報保護法上、本人の権利に関係するのは、 開示、訂正等、利用停止等と、それらの前提としての保有個人データに関する事項の公表義務である。
  • 本人の権利は、基本的にはこれまで述べた一連のルールの実効性確保手段である。すなわち、個人データ処理が規制されるのは、それが「本人」にさまざまな権利侵害リスクを生じさせるからであり、「本人」は(認知的限界をはじめ様々な能力的限界があるにせよ;そうだからこそ行政規制という手段が選択されている)保護法益の帰属主体として、個人データ処理の適正性確保に最も強いインセンティブを有する。また、本人からの「ダイレクトアタック」の可能性を確保し、かつそのために必要な情報の開示を強制することは、事業者の適正性確保へのインセンティブを強化する。
  • 開示請求権は、基本的には、個人データ処理が適正になされているかを確認し、訂正等や利用停止等を取る必要があるかを判断するためのものであり、事業者を外部ストレージとして使えるようにするためのものではない。医療や金融など、サービスの専門性に着目して、依頼者に記録を提供させるべき場面も存するが、それは本来的には委任契約等(の解釈)とその業法による統制で対処すべき問題ではないかと思う(金融ではその方向で進んでいる)。