Data Protectionの基本概念(高木連載8に関して)

若干遅ればせながら高木浩光「個人情報保護から個人データ保護へ ⑻:法目的に基づく制度見直しの検討」(紙版はこちら)を読んだので、思ったことを書いていきます。

 

Data subjectについて

  • 論文131ページでは、Hondiusの「データバンクが遵守すべき一定の基準や原則に関して規則が定められる時,データバンクから見た関係者(the persons concerned as seen by the data banks)という逆向きの視点も必要かもしれない。この場合,しばしば「data subject」…という用語が使用される」との記述が引用されている。論文は、この記述(や他の文献)から、Data subjectを(能動的なニュアンスのある)データ主体と訳すのは適切ではなく、むしろ客体としての「データ対象者」と訳すべきであることを主張している。
  • 個人的には、この記述からは、治験におけるTrial subjectを想起した。データ保護法は個人データ処理という、有用ではあるがリスクを伴う活動によって、data subjectsの権利が侵害されるリスクをコントロールするため、データ処理の関係者に義務を課すものである。一方、治験規制法(EUではGCP指令、日本ではGCP省令)は、治験という、有用ではあるがリスクを伴う活動によって、trial subjectsの権利が侵害されるリスクをコントロールするため、治験の関係者に義務を課すものである。いずれの法令もdata/trial subjectsの権利保障が指導原理であり、データ処理/治験にあたっては(informedな)同意が重視されている。そうであるにもかかわらず、GCP省令は、trial subjectsを「被験者」と呼んでおり、受動的立場のニュアンスを含む表現を避けようとはしていない。これは、trial subjectsの権利を保障するにあたって、彼らに同意(≒拒否権)を含む手段的な権利を付与することは有効だが(なぜなら、trial subjectは保障されるべき権利の帰属主体であり、権利侵害予防のための最も強いインセンティブを有することが通常だからである。ただし、そのための能力を有するかは別であり、後述のとおり有しないのが通常である。)、そのことによって、医師が治験を実施するという構造が変わることはないからだと考えられる。同様に、データ保護においても、data subjectの権利を保障するために、彼らに同意を含む手段的な権利を付与することには合理性があるものの、そのことによって、事業者が個人データ処理を実施するという構造が変わることはない。したがって、data subjectを「データ主体」と呼ぶのは適切ではない(し欺瞞的ですらある)。個情法3条が基本理念としてわざわざ「個人の人格尊重」に言及している意味も、このようにdata subjectがあくまで受動的立場にあることを前提にして初めて理解できるのではないか。
  • また、このような構造は、個情委の存在意義にも関わると思われる。個人情報保護法は、事業者に義務を課すことで(「個人情報の取扱い」に関する)個人の権利利益を保護しようとするものであり、そのエンフォースメントチャネルとして、個情委(措置命令)と裁判所(本人の権利行使)を用意している(独禁法における公取委の排除措置命令と差止請求権の関係に似ている)。ここで、本人に十分な能力(特に問題を認識し、調査し、訴訟を提起し、証拠を提出する能力)があるなら、裁判所に委ねればよく、個情委を設立する必要はなかったはずである。しかし、実際には、情報の非対称性(事業者がどういうデータ利用を行っているかは個人には分からない)、経済的コスト(調査や訴訟にはお金がかかる)、認知的コスト(あなたの情報を処理している事業者はあまりに多く、一つ一つモニタリングしていられない)などにより、裁判所に委ねたのでは十分にdata subjectsの権利保護を達成することができない。そこで、立法者は個情委を設立し、司法的エンフォースメントとは別に、行政的エンフォースメントを用意した。つまり、個人が「主体」として(裁判所の手を借りてもなお)リスクをコントロールしきれないからこそ個情委が存在しているのであって、個人を「主体」として位置づけることで問題が解決されるなら、個情委は必要ない。
  • なお、このように考えると、不適正利用禁止規定の導入時の、体制整備義務を課すべきではないかとの内閣法制局の指摘(高木氏の7月19日のパワポの17ページに記載がある)は、ある程度当を得ていると思われる。能動的・体系的に問題にアプローチできるのが個情委の強みであり(裁判所は当事者から与えられた問いに答えるだけであり、かつ、その一貫性は上訴と判例の積み重ねという極めて長期のプロセスでしか確保されない。つまり、司法的エンフォースメントには、本人の能力による限界だけでなく、裁判所の能力ないし適性による限界も存在する)、体制整備義務を課すことはそのようなアプローチに親和的である。ただし、仮に体制整備義務を課すとしても、何を保護するための体制なのかは立法者の側で明示する必要があり、結局法目的を明らかにする作業は避けられない(不適正利用禁止規定の導入時の経緯を見るに、それについては内閣法制局も確たる理解を有していなかったようである)。

 

Controller/Processorについて

  • 論文135ページで、DPD/GDPR以前にPeocessor相当の者がCustodianと呼ばれていたことが紹介されていたが、示唆的に感じる。Custodianという名称からは、単なる業務委託先(contractor)と異なり、Controllerに対してfiduciary dutyを負うことが直ちに想起される。政府は委託に伴うデータ提供について同意が不要とされる理由を、受託者は委託者と一体だからと説明し、そのことゆえに、受託者は受託事務以外のためにデータを利用することが禁止される旨説明しているが、論理が逆転しており、fiduciary dutyを負うcustodianだからこそ一体として扱うことに合理性があることになるのではないか(個情法27条5項1号の趣旨/受託者による混合・突合の禁止の根拠 - Mt.Rainierのブログ)。
  • 日本法がController相当の事業者とProcessor相当の事業者を(原則としては)区別していないのは、保険代理店に保険会社としての規制を課し、携帯ショップに電気通信事業者としての規制を課すようなものである。クラウドサービスを中心にmarket powerを有するProcessorが登場しており、政府がProcessor相当の事業者を(Controllerに監督義務を課すことを通じてではなく)直接監督することには合理性があるが(ビッグモーターの件は、保険代理店が保険業法上保険会社の委託先と位置付けられ、当局が間接的にしか監督していなかったことが一因である。「損害保険業の構造的課題と競争のあり方に関する有識者会議」報告書案と個人情報漏洩事案について - Mt.Rainierのブログ)、役割もリスクも異なるのだから、別立ての規制とすべきである。
  • なお、第三者提供とすべきものが安易に委託とされてしまうのも、(第三者提供規制が合理的な内容になっていないことと並んで)個情法の建付けがこのように分かりにくく、何が違うのかが理解されていないことが一因だと思われ、別立ての規制とすることは、その解消にも役立つと思われる。

 

Processingについて

  • 論文148ページ以下では、ドイツ法の解説、UKの旧法の法文等から、Processingは個人との関係での体系性を含意することが述べられている(data processingは一般に体系的操作なのであるが、その対象に個人データが含まれていれば直ちにpersonal data processing となるのではなく、その体系性が個人に着目したものであって初めてpersonal data processingとなるという趣旨に理解した)。それは本来そのとおりなのだろうと思ったが、CJEUの判例、特にLindqvist事件 para. 26, Google Spain事件  para. 28におけるautomated processingの認定の仕方からすると、EU自身もそれを見失っているように感じる。
    • UK Data Protection Act 1984:”’Processing’, in relation to data, means amending, augmenting, deleting or re-arranging the data or extracting the information constituting the data and, in the case of personal data, means performing any of those operations by reference to the data subject.”
    • Lindqvist事件:"It remains to be determined whether such processing is "wholly or partly by automatic means". In that connection, placing information on an internet page entails, under current technical and computer procedures, the operation of loading that page onto a server and the operations necessary to make that page accessible to people who are connected to the internet. Such operations are performed, at least in part, automatically."
    • Google Spain事件:"Therefore, it must be found that, in exploring the internet automatically, constantly and systematically in search of the information which is published there, the operator of a search engine ‘collects’ such data which it subsequently ‘retrieves’, ‘records’ and ‘organises’ within the framework of its indexing programmes, ‘stores’ on its servers and, as the case may be, ‘discloses’ and ‘makes available’ to its users in the form of lists of search results. As those operations are referred to expressly and unconditionally in Article 2(b) of Directive 95/46, they must be classified as ‘processing’ within the meaning of that provision, regardless of the fact that the operator of the search engine also carries out the same operations in respect of other types of information and does not distinguish between the latter and the personal data."