生体データを規制するとはどういうことか(特に警察に対する監督強化について)

個情委が生体データの規制に関心を示していますが、生体データの規制強化と不可分の関係にある警察に対する監督強化について問題意識を持っているのだろうかと思ったので、それについて書いていきます(後半で問題意識が分かる文献を詳しめに引用することにします)。

 

  • 忘れられがちだが、警察は個人情報保護法の規制対象であり、個情委の監督対象である。令和3年個情法改正は、官民での個人情報の定義の統一が注目されがちだが、個情委が全ての公的機関を監督対象に収めたことにこそ意味がある。
  • 警察は、国民の監視活動に従事しており、それゆえに、最も大規模かつ体系的に生体データ処理を行っている組織の一つである。捜査に関して言えば、(司法関係者はこれまで実力行使に着目してきたが)そもそも捜査とは情報収集活動であり、実力行使はそのための手段にすぎない。特に近代警察の捜査活動は体系的に行われており、予防(≒行政警察活動)が重視される現代では、より大規模に行われるようになっている。世界的な問題となり、多数のデータ保護当局の法的措置の対象となったClearviewも、その主要な顧客は法執行機関であった。
  • 警察の監視活動について、裁判所は、国民の私生活上の自由としての「みだりに●●されない権利」京都府学連事件指紋押捺事件)を通じて、これを統制しようとしてきた(後記1)。しかしながら、裁判所の統制には限界がある。すなわち、刑事訴訟法の規律は「取得時中心主義」である(後記2)。また、裁判所にできるのは、検察や被告人の申立てに応じて、彼らから提出された証拠の範囲内で、令状発付を拒否すること、証拠を排除すること、(国賠訴訟で)違法性を宣言することであり、積極的かつ体系的にリスクを識別・評価し、それをコントロールする能力は持たない(後記3)。このような状況に対処するための有力な方法は、組織法的統制であり、公安委員会による監督の実質化が提案されているが(後記4)、個情委は、公安委員会と並んで、上記のようなコントロールへの適性がある(むしろそのために設立された)。特に公安委員会は非常勤中心でありかつ独自の事務局を持っておらず(警察白書に毎年載る「公安委員の声」欄(令和5年令和4年令和3年)からその雰囲気が推察される)、個情委が果たすべき役割は大きい。
    • 警察による監視活動に関する下級審裁判例としては、山谷監視カメラ事件、Nシステム事件、警視庁公安部によるムスリム監視事件、情報保全隊によるイラク派遣反対活動監視事件がある(後記5)。また、近時の問題では、警察によるDNA型の収集・利用、サイバー安全保障(有識者会議の資料からすると、DDoS攻撃におけるC&Cサーバを特定することが想定されているようである)ための通信の監視がこれに関連する。
    • 指紋押捺事件判決(1995年)は、前半で「指紋は…それ自体では個人の私生活や…個人の内心に関する情報となるものではないが…採取された指紋の利用方法次第では個人の私生活あるいはプライバシーが侵害される危険性がある」と比較的的確に問題を指摘して権利の制約(不正確であるが、便宜的にこのように言う)を認めたが、それ以上に「利用方法」を調査しなかった/できなかったためか、後半で「押なつ義務が三年に一度で、押なつ対象指紋も一指のみであり、加えて、その強制も罰則による間接強制にとどまるものであって、精神的、肉体的に過度の苦痛を伴うものとまではいえ(ない)」ないという、前半とは噛み合っていない理由で正当化を認めてしまった(後掲6)。このことは、裁判所の能力の限界を示している可能性がある。
    • 住基ネット事件判決(2008年)は、組織的コントロールに言及しているが、それはあくまで漏洩リスク(みだりな開示・公表)のコントロール手段としてのそれであり、濫用リスク(監視活動においてより重要な)について判断したものではない。マイナンバー事件判決(2023年)も大枠としては同様である(後掲7)。このことも、裁判所の能力の限界を示している可能性がある。
  • 一方、個人情報保護の主要なエンフォースメントチャネルは、監督機関と本人関与であるが、警察の活動についてはこのうち本人関与が機能しない。そうであればこそ、それを補うため、個情委が優先的に監督活動を行う必要性は高い。
  • 個情委は、生体データの規制強化に関心を示しており、それ自体は適切なことであるが、規制を強化するのであれば、まずは生体データ利用に伴うリスク(誤認、萎縮、差別etc)を具体的に識別すべきである(後掲8)。その上で、監督活動にあたっては、単に個別の事案を取り上げるのではなく(それだけであれば裁判所で十分である)、独立かつ専門の行政機関としての能力を生かし、公安委員会と連携し、調査と資料提出の要求(個情法156条)、基本原則に従った規則制定の勧告(同法157条)、法制上の措置の提案(同法6条)を組み合わせ、実効的なリスクコントロールを実現するための行動すべきである。そうするのでなければ、生体データの規制を強化する意味はない。
    • 法制上の措置の提案には、刑事法制や警察法制の立案に関与することも含まれる。法制審議会刑事法(情報通信技術関係)部会にも、法務省刑事局は当然個情委の担当官を参加させるべきであったし、個情委はそうするよう要求すべきであった(結局法案提出には至っていないので、今からでもそうすべきである)。
  • (書き終わってからの追記)個人情報は識別可能な個人に関する情報とされるのがグローバルスタンダードであり、日本法も同じはずなのであるが、日本の関係官庁は「特定の個人」の趣旨を誤解し(せいぜいcertain personと読むべきところをspecified personと読んでいると思われる)、その結果、識別できても(氏名が必須ではないにせよ)身元が特定できなければ識別性がないと考えているようである(高木浩光「個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討(2)」情報法制研究2号87頁(2017))。しかしながら、顔識別は身元が分からなくても同一性identityが認定できる点にこそ価値とリスクがあるのであり(後掲8の顔認識技術ガイドライン参照)、この解釈を改めなければ、生体データの規制強化はほとんど意味をなさないことになる。すなわち、同ガイドラインは顔認識技術には識別と認証の2つの使い道があるとしているが、前記の解釈の下では前者(大規模かつ体系的な監視などと言われているのは基本的にこちらである)は「個人情報の取扱い」の問題ではないことになってしまう。この機会に「特定の」を削除すべきではないか。

 

(文献)

  1. 斉藤邦史『プライバシーと氏名・肖像の法的保護』(2023)3章。斉藤は、私生活上の自由、自律としてのプライバシー(人格権)、信頼としてのプライバシー(信義則ないし合理的期待の保護)を区別して論じており、個人的には優れた整理だと感じる。また、憲法13条の議論の到達点を示すものとして、曽我部真裕「個人の尊重と生命、自由及び幸福追求に対する権利(1)」法学教室484号(2021)。なお、この論文は連載の一部であり、13条についての他の2回のほか、(21条はもちろん)22条、24条など、示唆に富む。
  2. 山本龍彦『プライバシーの権利を考える』(2017a)4〜6章、11章。
  3. 稲谷龍彦『刑事手続におけるプライバシー保護』(2017)、特に76頁以下。
  4. 田村正博『全訂 警察行政法解説(第3版)』(2022)7章。なお、著者は警察官僚出身者である。
  5. 警備判例研究会編著『警備判例解説集〔第5版〕』(2024)では、公安警察活動に関する判例・裁判例が(当局者の視点から)まとめられている。
  6. 指紋押捺事件の権利の制約を認めるロジックと正当化のロジックが乖離していることについて、山本(2017a)3章。より正確には、判決は、「個人の私生活上の自由の一つとして、何人もみだりに指紋の押なつを強制されない自由を有する」としており、審査対象の被侵害権利を定義する段階で、既にその要保護性を基礎付けるロジックとの乖離が生じている。ここで「強制」(≒有形力行使)に着目する思考は、GPS事件で「個人のプライバシーの侵害を可能とする機器をその所持品に秘かに装着すること」に着目した思考に似ているが、後者について、山本龍彦「GPS捜査違法判決というアポリア?—最大判平成29・3・15」(2017b)、指宿信『GPS捜査とプライバシー保護』(2018)、特にその2章(宮下紘)、3章(斎藤司)、4章(高木浩光)。 
  7. 斉藤邦史「マイナンバー訴訟における「私生活上の自由」」情報法制研究10号(2021)、「マイナンバー制度(番号利用法)と「私生活上の自由」」新・判例解説Watch(2023)、「プライバシー侵害の差止めと憲法・民法・個人情報保護法」情報法制研究15号(2024)。
  8. 生体データ処理のリスクとそのコントロールについて、さしあたり、EDPB(EU)のGuidelines 3/2019 on processing of personal data through video devicesGuidelines 05/2022 on the use of facial recognition technology in the area of law enforcement、ICO(UK)のガイダンスレポートが参照されるべきである。なお、高木浩光「個人情報保護から個人データ保護へ:民間部門と公的部門の規定統合に向けた検討(5)」情報法制研究11号(2022)、「個人情報保護から個人データ保護へ(6):法目的に基づく制度見直しの検討」情報法制研究12号(2022)は、データ処理による個人の決定(選別)から個人を保護することである旨主張している。監視が人々を萎縮させるのは、監視によって得られた情報に基づいて何らかの不利益取扱いがされると予想されるからであり、そこには決定が存在している。