データ利活用法制の検討方法―今度こそ迷走しないために

政府がEUのData spacesを参考にデータ利活用法制を検討していますが(医療・金融のデータ利活用へ法整備 政府、年内に検討会 - 日本経済新聞デジタル行財政改革会議(第8回)議事次第)、また迷走しそうだな〜と思ったので、それについて書いていきます。

 

データ利活用法制の正当化根拠

  • データスペース的な文脈で「データ利活用」がマジックワード化しつつあるが、この文脈では、少なくとも、①消費者(正確には個人)自らが、自己に関するデータを活用すること、②事業者が個々の消費者に関するデータを活用すること、③事業者が消費者の集合に関するデータを活用することは、区別しなければならない。
  • ①〜③に共通して必要なのは、データ連携を義務付けたり、その交渉過程を規律し、場合によっては仲介機関を設立することである。
  • その上で、何がデータ連携の義務付け等を正当化するのかを検討する必要がある。この検討は、どのような場合にデータ連携等を義務付けるべきであり、どのような場合にそうする必要がないのか、データ連携等を義務付けるとして、どの範囲で義務付けるかの検討と、表裏一体である。
  • ①に関して、個人データ利用の経済的利益は本人に還元されるべきだという議論がなされることがある。しかし、例えば万引き防止のための防犯カメラについて、ライフログとして活用できるようにせよとか、それによって回避できた損害の一部に相当する額を分配せよと主張する人はいないであろう(なお、このことは個情法に課徴金を導入する場合に不法利得の剥奪を根拠とすることの合理性にも関わる)。個人的には、最高裁が銀行口座の取引履歴の開示を命じるに当たって預金契約に基づく事務の委任事務としての性質に依拠したことは、かなり広範に応用可能であり、かつ妥当な結論を導くと考えている。以上を一言で言うと、「私のデータ」は存在しないが、「私の事務」は存在するということである。
    • 平成29年銀行法改正は①に属し、競争法的な理由で正当化されることが多いが、このような正当化も可能である。
  • 一方、②③に関しては、端的に個々の事業者に義務(それは莫大な開発コストを発生させるかもしれないし、競争上の優位性を奪うことになるかもしれない)を課すことを正当化するだけの公益があるかどうかを問題とすればよい。この検討に当たっては、データ使って何がしたいのかを具体的に特定することが不可欠である。

 

個人データ保護法制側で必要なことは何か

  • 以上はデータ連携の義務付け等によって事業者の権利を制約することの正当化に関する議論である。連携を義務付けるデータが個人データである場合(逆に言えば、データ利活用法制は個人データのみを対象とする必然性はない)、それに関連する消費者の権利への影響、つまり個人データ保護(個人情報保護)は別途問題となる。
  • ①(消費者自身による活用)については、個人情報保護は大きな問題とはならない。データ連携(第三者提供)自体については、本人の同意を得ればよいし、連携元・連携先による不適正な個人データ処理については、端的に個情法を適用すればよい(現行個情法は適切な内容になっていないかもしれないが、それはデータ連携の義務付け等に固有の問題ではない)。
  • ③(事業者による消費者の集合に関するデータの活用)についても、個人情報保護は大きな問題とはならない。③はつまるところ統計データの利用の問題であり、個人情報の規制対象ではないからである(つまり、③はそもそも「連携を義務付けられるデータが個人データである場合」ではない)。
  • 個人情報保護が大きな問題となるのは、②(事業者による個々の消費者に関するデータの活用)である。もっとも、解決の糸口は見えている。②のケースは、一律に個人情報保護法の規制対象とされてきたが、近時、同法の保護法益が明確化されるに伴い、同法の規律を合理化(金融規制の文脈でしばしば使われる表現によれば「柔構造化」)することが可能となっている。すなわち、同法の主たる保護法益は、個人に対する評価・決定の適切性の確保であり(高木浩光「個人情報保護法3年ごと見直し令和6年に対する意見」2頁及び同注5に引用された高木浩光「個人情報保護から個人データ保護へ(6)――法目的に基づく制度見直しの検討」の関係箇所)、これに照らすと、個人に対する評価・決定を伴わない利用については、そのような利用が確保されている限り、同法の従来の規律を全面的に適用する必要はない(「統制された非選別利用」)。仮名加工情報や次世代医療基盤法はこのような考えに基づくものであるが、②を促進する上では、この合理化をさらに徹底することが考えられる。
    • なお、ここで重要なのは、上記の合理化は、あくまで保護法益の理解を精緻化し、それに照らすと過剰な規制を見直すという形で行われてきており、中間整理が言うような「個人データの保護と利活用のバランス」という発想に基づくものではない、言い換えれば、個人データ保護に外在的な利益との比較衡量により、個人データ保護を後退させたものではないということである。これは、著作権法30条の4が著作権の内在的制約と解されていること(著作権法30条の4は著作権の内在的制約であることについて - Mt.Rainierのブログ)と同じである。