境界型個人データ保護からゼロトラスト個人データ保護へ―個情法の設計思想を転換する

個人情報保護

3年ごと見直しにおいて、エンフォースメントを巡る対立が取り上げられていますが、真の争点は基本的な義務規定、特に第三者提供制限と不適正利用禁止規定なのではないかと思います(最後に書きますが、個人データ概念や同意概念はこれに付随する論点です)。

これについて、個人的には、第三者提供制限と不適正利用禁止規定を廃止し、法的根拠を導入すべきだと思っているのですが、このような改正は、個情法の基本的な設計思想の転換を伴います(その転換の内容を比喩的に書いたのが表題です)。このことについて書いていきます。

 

不十分かつ過剰な第三者提供制限

  • 第三者提供制限は、いわば外部提供を一律に目的外利用とみなすものであり、内部利用であれば予測可能、外部提供されれば予測不能という2003年当時の世界観を背景としている(園部逸夫=藤原靜雄編『個人情報保護法の解説 第三次改版』196頁(ぎょうせい、2022)、藤原静雄『逐条 個人情報保護法』84頁(弘文堂、2003))。しかしながら、現代においては、企業の個人データ利活用が高度化し、内部利用であれば(本人にとって)予測可能とは言えなくなってきている一方、外部提供を一律に(狭い例外の下で)禁止することの弊害も大きくなっている(不十分かつ過剰な第三者提供制限)。

 

不十分かつ予測不能な不適正利用禁止規定

  • 企業の個人データ利活用の高度化に対応するため、2020年、不適正利用禁止規定が作られた。しかしながら、この規定には、2つの問題がある。すなわち、
    • 第1に、個情委はリクナビ事件を受け、プロファイリングを規制するべくこの規定の立案に着手したのであるが、実際に出来上がった規定は公序良俗違反行為の禁止規定とでも言うべきものであった(高木浩光@自宅の日記 - 「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか)。その結果、不適正利用禁止規定は、個人データ処理に固有のリスクに対処できておらず、第三者提供制限の不十分性は、結局解消されていない( 不十分な不適正利用禁止規定)。
    • 第2に、そうであるにもかかわらず、個情委は、中間整理5頁最終段落(代替困難な事業者の箇所)において、公序良俗違反(や個情法上の他の義務規定に違反する行為を助長する行為)とは言い難い行為にまで不適正利用禁止規定適用するかのような見解を示しており、(事業者にとっての)予測可能性が損なわれている(予測不能な不適正利用禁止規定)。
  • これら2つの問題の解決を考えるに当たっては、次の2つのことに留意する必要がある。すなわち、
    • 第1に、個人データの適正利用を義務付けるという個情委の当初案を単純に「復活」させたとしても、問題は解決しない可能性が高い。すなわち、個情委は当初、適正利用義務を立案しようとしていたのであるが、仮に適正な利用を正面から義務付けたとしても、個人データ処理に固有のリスクが明らかにされていない現状では、その違反となる範囲は、結局現行の不適正利用禁止規定のそれと変わらないものとなってしまう可能性が高い。不適正利用禁止規定は確かに内閣法制局に「捻じ曲げられた」のであるが、だからといって個情委の当初案が適切だったわけではない。
    • 第2に、不適正利用禁止規定は、第三者提供制限の不十分性に対しては有効ではありえても(実際にはそうではなかったのであるが)、その過剰性に対しては有効ではありえない。これは立案に失敗した結果というよりは、第三者提供制限とは別に規制を追加するというアプローチに必然的な限界である。

 

境界型個人データ保護からゼロトラスト個人データ保護へ

  • 日本法の最も基本的な義務規定は、利用目的による制限、第三者提供制限、不適正利用禁止規定の3つであるが、GDPRには、後2者に相当するような規定は存在しない;GDPRは、個人データの処理に法的根拠を要求しており、かつ、その法的根拠のリストは、日本法の第三者提供制限の例外事由のリストよりも広い。このことは、一般的には、第三者提供制限の例外事由のような事由をどの段階から要求するか、要求するとしてその事由のリストに何を含めるかの違いとして理解されていると思われる。しかしながら、両者の違いの本質を把握するためには、これらに加えて次の2つの視点を考慮すべきだと思われる。
    • 第1に、日本法とEU法では、基本的な設計思想が異なるということである。すなわち、日本法は、法人格の境界線に着目し、その境界線を越える行為(=第三者提供)をピンポイントでコントロールするモデルを採用している(セキュリティアーキテクチャに倣って「境界型個人データ保護」と呼ぼう)。これと対比すると、EU法は、法人格の境界線を必ずしも信頼せず、境界線の「こちら側」と「向こう側」で一貫したコントロールを及ぼすモデルを採用している(同様に、「ゼロトラスト個人データ保護」と呼ぼう)。
    • 第2に、法的根拠は第三者提供だけでなく不適正利用禁止規定にも相当するということである。言い換えれば、EU法においては、法的根拠のリストは、不適正利用とみなされない状況を類型化したものに他ならず、個情委が目指す「個人の権利利益の保護により資するものとするとともに、事業者による予測可能性を高める観点から、適用される範囲等の具体化・類型化を図る」(中間整理5頁)とは、法的根拠の導入に他ならないのではないか。
      • なお、EU法では個人データ処理は原則違法、日本法では原則適法だという違いが強調されることがあるが、どちらが原則かというのは法律の書き方の問題にすぎず、重要なのは実際にどのような処理が適法とされ、どのような処理が違法とされるかである。
  • 先に述べたとおり、「境界型個人データ保護」のコアである第三者提供制限は、不十分かつ過剰なものとなっており、それを補うべく導入された不適正利用禁止規定は、第三者提供制限の不十分性に対処しようとしたものの失敗してしまい、また、その過剰性に対してはそもそも対処するものではなかった。しかも、不適正利用禁止規定は、予測可能性の欠如という新たな問題を生み出してしまった。これらの問題を解決するには、個情法の設計思想を転換し、「境界型個人データ保護」から「ゼロトラスト個人データ保護」に移行する、つまり、第三者提供制限と不適正利用禁止規定を廃止し、法的根拠によって置き換える他ないのではないか。
  • そうすることで、①個人テータ利活用の効用が実現され②法的根拠に応じて同意の任意性、比例原則(正当利益テスト)といった伝統的なフレームワークに基づいて予測可能かつ実効的な個人の権利保護が可能となり、さらに、③識別性の解釈を正し(個人情報保護法の3年ごと見直しの中間整理に対するパブコメ意見 - Mt.Rainierのブログ(個人データ該当性の箇所)個人情報保護のルールとプリンシプル―曽我部教授意見に関連して - Mt.Rainierのブログ(「その他」の1点目))、同意の解釈を正す(個人情報保護法の3年ごと見直しの中間整理に対するパブコメ意見 - Mt.Rainierのブログ(同意の箇所)個人情報保護のルールとプリンシプル―曽我部教授意見に関連して - Mt.Rainierのブログ(「その他」の2点目))上での実際上のハードルもクリアされるのではないかと思われる。

 

その他

  • 日本は越境移転の文脈でDFFTを主張しているが、これは「ゼロトラスト」に他ならない(zero-trustとはalways verifyという意味であり、verifiedなエンティティ間でのfree data flowを目指すのがDFFTである)。また、次世代医療基盤法も「ゼロトラスト」を部分的に取り入れていると思われる(free flowではないのではと思うかもしれないが、要求されるtrustの水準が高いので認定制度が取られているだけであり、重要なのはtrustedなエンティティ間ではfree flowが実現されていることである)。個情法の「本体」だけが取り残されている。
  • 法的根拠にせよ、controller/processor概念にせよ、EU法は、processing activitiesがまずあり、それをどう統制するか、そのために誰に責任を割り当てるかという発想が強い(例えばcontroller/processorガイドラインはそれらの概念が機能的なものであることを繰り返し強調している;例えば12段落参照)。これに対して、日本法は、まず規制対象事業者がいて、その規制対象事業者における適切な取扱いとは何かという発想が強いと感じる。日本法の発想は、伝統的な業法の発想としては自然なものであるが、スコープが広く変化の大きいプラクティスを扱うレギュレーションを構築する上では限界があり、EU法の設計思想を研究する必要がある。
  • (追記)念のため言及すると、法的根拠は関連性原則(個人的には利用目的による制限に追記するのがよいと思っている)とは両立する。両者は個人の人格尊重を中心とする個人の権利利益保護の主要な手段である。