個人情報保護のルールとプリンシプル―曽我部教授意見に関連して

個人情報保護

3年ごと見直しの曽我部教授意見について、当初うまく飲み込めていなかったのですが、その後若干考えたことがあるので、それについて書いていきます。

 

曽我部教授意見

曽我部教授意見の概要は以下のとおりです(議事録をベースにしています。スライドも参照)。

  • 日本の個人情報保護法は、「利用目的を定め、その範囲で利用する」ということが根本的なルールであるが、極端に言えば、利用目的が定められていさえすればよく、目的の正当性は必ずしも求められず、利用目的の範囲内であるかについても、どの程度必要なのかは、必ずしも厳格に問われない。このように、形式的なルール、手続的なルールとしての側面が強い。これに対して、GDPRでは、個人情報を取り扱うに当たっては正当な根拠が必要とされており、かつ、どの範囲の情報をどの程度利用するのかということについても比例原則で判断をすることになっている。この点で、実体的ルールである。このように、個人情報保護法とGDPRは、基本的な建て付けが異なる。
  • もっとも、個情法にも部分的には実体的ルールの側面はある。特に重要なのは、令和2年改正で導入された不適正利用の禁止であり、これは実体的ルールの側面を導入するものである。ただし、実体的ルールの側面がある規定も、フラットな比較衡量を許すものではなく、そこでの比較衡量は、あらかじめ重み付けられたものである。例えば第三者提供において、「特に必要な場合」(注:27条1項3号の「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」)とされているように、フラットに天秤にかけて、公益が優越する場合には提供できるのではなく、提供できないのが原則とされている。この点で、限定的な実体的ルールの導入になっている。
  • 形式的ルールは、明確性や予測可能性において優れているが、利益衡量が条文に固定化・定式化されるため、硬直的になり、その結果、過剰保護・過少保護が生じがちである。現行法は、それを補うため、きめ細かさを追求して、匿名加工情報、仮名加工情報、個人関連情報などと、個人に関する情報の類型を増加させている。これは、利益衡量を定式化、類型化するという配慮であるが、あまりに複雑になっているという批判もある。一方で、経済団体は、ルールの明確化を求めており、この点にジレンマが存在する。
  • 個人情報保護以外にも、不法行為法上のプライバシーというものがあり、これはまさに実体的ルールである。そのため、結局、事業者としては、実体的判断から逃れられない。そうだとすると、個情法自体も実体的ルールの体系に移行するということは、それほど考えられないことではない。第三者提供規律をよりフラットな比例原則に服させることも考えられないかとしているのは、このような発想に基づくものである。なお、現行法においても、第三者提供規律がかなり厳格、つまり、例外がかなり限定的にしか認められていない反面で、同意の範囲を柔軟に解するという形で、一定の柔軟性を確保している。その意味では、同意の解釈と実体的ルールか形式的ルールかという問題は相関するところがある。

 

コメント

ルールベース vs プリンシプルベース

  • 曽我部教授の言う形式的ルールと実体的(実質的?)ルールは、ルールベースの規制とプリンシプルベースの規制と言い換えるのが適切なように思われる。両者は相互に排他的なものではなく、実際の具体的な規制は、両者のグラデーション上のどこかに位置付けられることになる。例えば、利用目的による制限はプリンシプルの側面が強く、第三者提供規制(それは利用目的による制限の特則である)はルールの側面が強い。
  • 具体的な規制がプリンシプルに近づくほど、事業者の事実上の裁量が大きくなり、個情委の法執行は(i)実態調査(市場と当局の情報の非対称性の解消とアドボカシー)と事業者との対話、(ii)課徴金などを用いた事業者のインセンティブ付けに傾くことになると考えられる(パブコメ意見参照)。
    •  この場合、金融庁や公取委がモデルになりうる。金融庁は、「処分庁から育成庁へ」を明言し、規制手法を転換させようとしてきた(特に2017年の金融モニタリング有識者会議報告書、2018年の検査・監督基本方針)。また、公取委は、独禁法という一見して分かりにくい目的を有する法律を、ライセンス制度の裏付けなく執行する手法を開発してきた。特に、近時は、裁量的課徴金減免制度、確約制度のような制度改正や、アドボカシーと中心とする運用を通じて、規制手法を転換してきており(裁量的減免と確約手続は独占禁止法をどのように変質させているか? - Mt.Rainierのブログ。公取委の活動については、例えば令和5年度公正取引委員会年次報告の第4章)、判例形成が遅れる等の批判がありつつも、参考になる。
    • また、実態調査において見解を示す前提として、個人データ処理固有のリスクとは何かを明確化すること(それは法目的を明確化することと表裏一体である)が不可欠になる。
  • 一方、スライドに引用されているGDPRのRecital 4は、個人データ保護に対する権利が比例原則に服することを規定しているが、これは特別なことを述べたわけではないと思われる。個情法も、事業規制法である以上、比例原則に服し、必要かつ合理的な範囲にとどまる必要があり(あえて引用するとすれば不実証広告規制合憲判決)、プリンシプルベースかルールベースかは、立法者の裁量の範囲内での政策問題にすぎない。

 

第三者提供規制+不適正利用禁止 vs 法的根拠

  • パブコメ意見では、①利用目的による制限には、必要性だけでなく、適切性及び関連性が含まれることを明らかにし、利用目的の特定を含む利用目的による制限をより厳密に適用すべきこと、②個人データ処理全般に法的根拠(契約履行・締結、正当利益を含む)を要求し、第三者提供規制を廃止すべきことを書いた(個人情報保護法の3年ごと見直しの中間整理に対するパブコメ意見 - Mt.Rainierのブログ)。また、それらの理由中で、それらは一般条項である不適正利用禁止規定の謙抑的運用につながり、予測可能性にも資することを書いた。

  • 有識者検討会は相当に対立的な出だしとなっているようであるが)そもそも経済団体の主張のコアは、予測可能性の欠如と過剰な第三者提供規制で一貫している。つまり、彼らも「極悪層」を守りたいわけではなく、自分たちがいつ「極悪層」と分類されるか分からないことを恐れているというのが正しい(その立場から見たとき、代替困難な事業者に関する個情委の提案はその懸念を裏付けるものとなろう。なお、このことは、有識者検討会における真の争点はエンフォースメントではなく義務規定であることを示している)。第三者提供規制に代えて法的根拠を導入することは、不適正利用禁止規定の適用場面を減らし、予測可能性を向上させる点で、彼らのニーズに適合する。また、利用可能な法的根拠のオプションについても、単に第三者提供規制の例外として契約履行・締結や正当利益を導入した場合、受領者が当初の利用目的に拘束されない結果、本人に予測困難なリスクが生じる可能性があるが(そのようなリスクの回避こそが第三者提供規制の趣旨であり、代替的コントロールなしにそれを放棄することは適切ではない)、受領者が当初の利用目的と法的根拠に拘束されることとすれば、本人の権利保護を確保しつつ、経済団体の主張を実現することができる(その上で、当初の利用目的・法的根拠からの解放を望む受領者は、従前どおり、改めて同意を取得する等すればよい。これは新たな負担ではない)。個情委がやるべきは、このような交渉により、「遵法層」「中間層」と「極悪層」を分断し、前者の合意(少なくとも積極的な反対の取り下げ)を取り付けることにより、実効的な権利保護を達成することだと思われる。
  • 上記の提案は、ルールベースの規制からプリンシプルベースの規制への傾倒というよりは、むしろ逆にプリンシプルベースの規制からルールベースの規制への若干の回帰を意味する。というのも、漠然とした不適正利用禁止規定の導入により、事業者は既にルールベースの規制による予測可能性を享受することはできなくなっている。法的根拠の導入は、不適正利用の大部分をより「ルール」に近い法的根拠の問題に吸収することで、予測可能性を取り戻そうとするものである(例えば代替困難な事業者の事例は法的根拠としての同意の有効性の問題とすればよい。同意の有効性は法律家にとって馴染み深いフレームワークであり、より予測可能だと思われる)。このことは、事業者にとって予測可能性を向上させるだけでなく、個情委にとっても、解釈上の問題の単位をより小さくし、エンフォースメントコストを下げるという効果がある。

 

その他

  • 以上の点は、Cookie規制にも関連する。パブコメ意見では、法目的、沿革、個情委自身の一貫性の3つの根拠から、個情委による識別性の解釈は誤っており、正しく解釈すればCookieには識別性が認められる旨指摘した。「正しく解釈」することの事実上のハードルとなるのは、やはり経済団体の反対だと思われるが、彼らの真意は、Cookieまで過剰な第三者提供規制の対象にされたくないというものだと思われる(そして第三者提供規制が過剰であるとする限度で一定の合理性がある)。そうであるとすれば、法的根拠を導入し、第三者提供規制を廃止すれば、少なくとも彼らの主張の合理的根拠は失われる。
  • 一方、同意の柔軟な運用については、評価は分かれるかもしれないが、過剰規制(false positive)を回避するために取った解釈により、同意概念が希釈化し(いわば同意のインフレ)、多くの本来的規制対象(true positive)の規制が不十分となる効果があり、適切ではない。
  • 上記に関連して、法的根拠を導入する場合、不適正利用禁止規定を廃止してよいかという問題がある(個情委としては、どのような交渉材料があるかは把握しておくべきである)。ガイドラインは6個の不適正利用を挙げているが、いずれも収集を含めた処理全体が適法な法的根拠を具備できず違法となるか、提供が法的根拠を欠きまたは利用目的に違反して違法となり、廃止しても大きな支障はないと思われる。そもそも個情委は不適正利用禁止規定を利用目的自体が違法な場合に対処し、利用目的による制限を補うためのものと考えてきたようであるが(その意味で中間整理は従来の見解からかなり踏み出している)、一方で、令和2年改正前も公序良俗に反する利用は違法だったともされており、そうであるとすれば、不適正利用禁止規定はあってもなくてもよいようなものだったことになる。