「第5回 個人情報保護法のいわゆる3年ごと見直しに関する検討会」の課徴金・差止請求制度のパートを聞いたので、思ったことを書いておきます(残念ながら今後の検討のパートは聞けませんでした)。
- 課徴金の立法事実について。中核的な義務規定には立法事実が必要であるが(その意味で第三者提供制限の立法事実が失われているといった議論は成り立ちうる)、それを担保するための手段的な義務規定や、いわゆるエンフォースメントの規定については目的に照らして必要かつ合理的なものを選択すればよく、立法事実に拘泥する必要はない。
- 課徴金の正当化根拠について。不法利得の剥奪が根拠とされているが、これは憲法39条が刑事罰と行政罰の併科を禁止しているとの内閣法制局の解釈(学説はこれを否定している)を前提に、主として独禁法の立案において構築されてきたロジックであり、それが必然的であるわけではない(さしあたり第287回個人情報保護委員会議事録32頁の宍戸発言参照)。そして、独禁法において不当な取引制限(や私的独占。ただし実際上刑事罰は使われていない)は刑事罰の対象とされているが、個情法の事業者の義務規定は(後述の中核的な義務規定を含め)刑事罰の対象とはされていない。また、不当な取引制限や私的独占は競争を制限し超過利潤を得ることを目的とするが、個情法違反行為は必ずしも経済的利益を得るために行われるものではない。そうであるにもかかわらず不法利得の剥奪を根拠としていることが、利得がなくても(あるいは吐き出しても)課徴金が課されるのかという非生産的な議論や、非裁量的課徴金という不適切な提案(これでは事業者による体制整備の状況を考慮して課徴金を課すことは困難となり、課徴金を体制整備へのインセンティブとして機能させることはできなくなるであろう)につながっている。
- 萎縮効果について。萎縮効果は問題ではない。課徴金の対象となる義務規定が適切なのであれば、課徴金対象行為はまさしく萎縮してもらうべき行為である。経済団体の主張の真意は、課徴金の対象となる義務規定が適切なものとなっておらず、義務規定を遵守しているのに不当とされる可能性がことがあるというものだと思われる。そうだとすれば、やるべきことは中核的な義務規定の見直しである。
- 中核的な義務規定とは何か。これは個情法の保護法益を直接に保護しようとする義務規定のことである。個情法の主たる保護法益とは、個人に対する評価・決定の適切性の確保である(後述)。これを直接に保護しようとするのは、利用目的による制限・データ品質(現行法では正確性確保)、第三者提供制限、不適正利用禁止規定であり、これらが中核的な義務規定である。
- 個情法の保護法益とは何か。これについては、前回の記事に書いたので、引用する。「個人情報保護法は、不適正な個人データ処理(個情法上は「個人情報の取扱い」)による個人の権利侵害の防止を目的としているが(個情法1条参照)、その中心は、個人に対する評価・決定の適切性の確保であることが指摘されている(高木浩光「個人情報保護法3年ごと見直し令和6年に対する意見」2頁及び同注5に引用された高木浩光「個人情報保護から個人データ保護へ(6)――法目的に基づく制度見直しの検討」の関係箇所)。プライバシー侵害(センシティブな情報の第三者への開示・漏洩)の防止は、副次的な目的にすぎない。政府も、電算機個情法(昭和63年)の制定時に、同法の目的を、①個人の秘密が公開されないこと、②誤った情報・不完全な情報により誤った判断がなされないこと、③自己の情報を知ることだと説明している(昭和63年10月13日第113回国会衆議院内閣委員会第7号)」。
- なお、個情法を遵守しているだけでは不十分であり、プライバシーへの配慮が必要だという議論がされることがある。しかし個人データ保護とプライバシーは異なり、前者を後者で補うことはできない(マイナンバー判決が漏洩リスクしかテストしていないのはその表れである。EU基本権憲章では私生活・家族生活の尊重に対する権利と個人データ保護に対する権利は別に規定されている)。例えば、関連性のないデータによる不利益取扱いはあくまで個人データ保護の問題であって、プライバシーの問題ではない。個情法を遵守しているだけでは個人データ保護が達成されないのだとすれば(実際、達成されないのだと思われる)、やるべきなのは個情法の中核的な義務規定を適切な内容にすることである。
- 中核的な義務規定をどのように見直せばよいのか。第1に、利用目的による制限・データ品質に関しては、日本法はOECDガイドライン第2原則の関連性・完全性(completeness)を欠いている。これらは主たる保護法益である個人に対する評価・決定の適切性の確保を確保する上で重要な原則であり、これらを法律に明記すべきである。第2に、第三者提供規制・不適正利用禁止については、前者は不十分かつ過剰、後者は不十分かつ予測不能となっている。これに対する対処法は複数ありうるが、処理の法的根拠に置き換えるべきというのが個人的な意見である(この点につき、境界型個人データ保護からゼロトラスト個人データ保護へ―個情法の設計思想を転換する - Mt.Rainierのブログ)。
- 何が悪質かについて。経済団体の担当者から、何が悪質かが分からないという発言があったが(森構成員から分かるべきだ、分からないというなら感性が違うとの発言があったが、この発言はまさしく森構成員にも分からないことを示している)、当然、保護法益の侵害・危殆化の程度によって判断すべきである。しかるにそれができなくなっているのは、保護法益を見失っているからである。上記のとおり、個人に対する評価・決定の適切性の確保こそが個情法の主たる保護法益である。したがって、中核的な義務規定が適切な内容とされた場合、それに違反する行為をもって「悪質」と評価し、課徴金の対象とすればよい(もちろん、手段的な義務規定の違反であっても、それが中核的な義務規定を機能させるために必要なものであるような場合には、それも課徴金の対象とすればよい)。
- 消費者団体訴訟について。過去の事例や検討会における議論を見ても、我が国にはまだ個人情報保護に関する専門性を有する消費者団体がないように思われる。消費者団体に差止請求権を認めることは、個情委の限定されたリソースを補い、裁判所による判例形成を促進するものであるが、保護法益が見失われ、中核的な義務規定が適切なものとなっていない現状では、個情法の保護法益(個人データ処理に関連する権利侵害)とはほとんど関係のない違反に関する紛争ばかりが増えたり、不適切な裁判例ばかりが増えるリスクがある。まずは保護法益を思い出し、中核的な義務規定を見直し、個情委が法執行や実態調査を通じて見解を示し、それらによって個人情報保護の原則がある程度明らかになってから差止請求権を付与すべきである(そのためには、同時に改正して、施行日を遅らせることも選択肢である)。