1.はじめに
情報セキュリティや情報法などの専門家で海外の動向に詳しい 高梨陣平氏(@jingbay)が、6月8日にTwitter上でつぎのように投稿しておられるのを見かけました。
『ドイツで警察が任意の端末にマルウェアを入れることが許可され、ISPやテック業界はそれを手助けを強制される法案が準備中。ドイツはこれでバックドアが不必要になると考えている。これに対し著名なハッカーグループ、Chaos Computer Clubやプライバシについて評判の悪いGoogle、Facebookまで反対とw』
https://twitter.com/jingbay/status/1402037879191265282
・Google, Facebook, Chaos Computer Club join forces to oppose German state spyware|TheRegister
つまり、ドイツでは、警察などが国民のPCなどの端末をマルウェアで監視するするために通信事業者やIT企業などに協力を法的に強制する法案が準備中であり、著名なハッカーグループや、Google、Facebookなどもこの法案に反対しているとのことです。
ドイツでは、アメリカの2001年の同時多発テロを受けて、ある州が法改正を行い、州当局がマルウェアなどによる国民のPC等のオンラインによる監視を可能にする法改正を行ったところ、2008年に連邦憲法裁判所が、いわゆる「コンピュータ基本権」という新しい基本権(人権)を示してこの法改正を違憲とした判決があったはずだと思い、資料を読み直してみました。
このブログ記事では、①ドイツの「コンピュータ基本権」のオンライン監視事件とともに、②最近一部で議論となっている、個人データ保護法制の立法目的に関連して、日米の自己情報コントロール権と欧州の情報自己決定権との同じ点・違う点などについてみてみたいと思います。
2.オンライン監視事件-コンピュータ基本権(2008年2月27日連邦裁判所第一法定判決 連邦憲法裁判所判例集120巻274頁以下 BVerfGE 120.274.Urteil v.27.2.2008)
(1)事案の概要
ドイツでは「自由で民主的な基本秩序または連邦もしくは州(ラント)の存立もしくは安全の保障」を守るために、1950年に連邦憲法擁護法が制定され、連邦憲法擁護庁、16の州(ラント)の憲法擁護庁、軍事諜報局(MAD)、連邦情報庁(BND)などの憲法擁護機関(憲法保障機関)が分担して諜報活動などの業務を行っている(武市周作「憲法保障機関の正統性―連邦憲法擁護庁を中心に」『東洋法学』61巻3号49頁)。(いわゆる「闘う民主主義」。)
2001年9月11日のアメリカの同時多発テロを受け、世界的にテロ対策への取組が強化されるなか、ドイツのノルトライン・ヴェストファーレン州(NRW州)では、2006年12月に州の憲法擁護法が改正された。このNRW州憲法擁護法改正は、「警察トロイの木馬」、「Govware」と呼ばれる州当局のマルウェア(スパイウェア)をインターネット経由で州の住民の家庭や事務所などのPC・コンピュータなどに送り込み、PCの記憶領域に蓄積された情報・データを監視することができる「オンラインによる監視」を可能とするものであった(NRW州憲法擁護法5条2項11号)。
ドイツ・ノルトライン・ヴェストファーレン州憲法擁護法
第5条(権限)
第2項 憲法擁護庁は、情報収集活動を行うための7条の役割に応じて、情報収集活動として以下の措置を実行することができる。
第11号 インターネットへの秘密裡になされる観察及び、とくにコミュニケーション装置への隠密な関わり、またはこうした装置への捜索のようなインターネットへの偵察並びに技術的手段を用いた情報技術システムへの秘密裡になされる侵入。信書、郵便そして電信電話の秘密への関与が、この措置によってなされる場合、この措置は基本法10条が定める法律の諸条件の下でのみ認められる。
このNRW州憲法擁護法改正に対して、NRW州のジャーナリストや弁護士、政治家などが、NRW州憲法擁護法は自分達の基本権10条(通信の秘密)、13条(住居の不可侵)などの基本的人権を侵害するものであるとしてドイツ連邦憲法裁判所に本件訴訟を提起した。
これに対してドイツ連邦憲法裁判所は2008年2月27日に、NRW州憲法擁護法5条2項は、ドイツ基本法に違反しているとの違憲判決を出した。(BVerfGE 120.274.Urteil v.27.2.2008)
(2)判旨
(a)「情報技術システムに秘密裡に関与することを定めた、憲法擁護法5条2項11号の第1文の後半部分は、機密性を保障し情報技術システムの不可侵性を保障する権利という、特別な表現をもって表される一般的人格権に違反する。これを新しい基本権であるとするのは、それが基本法10条(通信の秘密)、13条(住居の不可侵)、さらに情報自己決定権のそれぞれに関連するが、その内容から直接導かれるものではないからである。
コンピュータには、システムに組み込まれたデータ保存機能があり、そのメモリに保存されたデータにまで10条の保障は及ぶものではない。インターネット通信によって、本人が意図しないデータが無意識の内に自己のデータとして蓄積された場合、その内容まで10条では保障しきれないからである。
基本権13条(住居の不可侵)1項は住居の不可侵を規定するが、この不可侵性も、同条2項から7項までの理由があれば国家機関の侵入は認められている。しかし基本法13条1項は、システムへの侵入によって、住居にある情報技術システムのハードディスクないしメモリに蓄積されたデータの取得からの防御を保護しているわけではない。
さらに、一般的人格権から導かれる私的領域の保障や情報自己決定権は、情報技術システムの利用者の特別に十分な保護を意味することにはならない。なぜならば、情報技術システムの利用者が求める保障内容は、その利用者の私的領域にあるデータだけに留まるものではないからである。
そこで、基本法1条1項と関連する2条1項に基づく新たな基本権が、私的な領域を国家による情報技術システムへのアクセスから守るために求められる。それが、「情報技術システムにおける不可侵性と機密性を保障する基本権」である。この基本権を保護することを明確に規定する規範があってはじめて、憲法擁護機関は情報システムに関わりうることになるので、その定め方を以下検証しなければならない。
(b) 当該規定(憲法擁護法5条2項)は、規範の明確性の命題を満たしていない。なにより、同条が基本権10条と関係する法律への指示を十分に行っていないからである。
さらに、当該規定は広義の意味での比例原則を満たしていない。比例原則が求められるのは、必要性の命題を満たすときであるが、基本権への侵害が正当化された目的にあり、さらにこうした目的に見合った手段としてなされ、適合的なものであること(が求められる)。
ところが、改正法の内容は明確でもなく、テロ対策に組織的に対応することが限定化されたわけでもない。
当該規定がさらに狭義の比例原則に一致しないのは、高い程度に及ぶ基本権侵害を引き起こすからであり、それは、複雑な情報技術システムを用いての国家による調査が、該当者の人格をえぐり出すことになるからである。さらに、第三者への通信をも監視することによって、一般市民の自由にも影響がでてくる。
もしも情報技術システムへの秘密裡での関与が許されるとすれば、以下の条件があった場合ということになる。つまり、ある事実がとくに高い重要性を有する法に対して個別に引き起こされる危険を示唆する場合であり、たとえその危険がすでに近い将来に訪れるという十分な蓋然性をもって確定できない場合であってもそうである。さらに、こうした関与の権限を認めることになる法律は、該当者に対して適切な手続規定をもって、その基本法保護を確保しなければならない。ここに示されたとくに重要な法益とは、まず、人の身体・生命・自由であり、さらに、国家の基礎や構造ないし人間の存在の基礎にかかわる公共の財産である。また、具体的な危険を表す3つの指標とは、個別性、危険が被害を引き起こす逼迫性、そして起因者としての個人的関連性である。
立法者は、適切な措置によって、私的な生活の中心に位置するデータに関わるような場合は、侵害が最小に抑えられ、該当者の人格への関わりが最小限に抑えられるようにしなければならない。
(c)以上の観点から判断すると、憲法擁護法5条2項11号に示された手段は、情報技術システムが有する機密性や不可侵性の保障に示された一般的人格権への侵害を構成しており、この規定は無効となる。
3.検討
(1)日米の自己情報コントロール権と欧州の情報自己決定権
プライバシー権と個人情報保護法(個人データ保護法)との関係については、アメリカで「ひとりで放っておいてもらう権利」として生まれた従来からの古典的なプライバシー権を包含する形で、自己情報コントロール権として一体的に説明することが日本においては通説的な見解とされています。
つまり、個人の私的領域に他者を無断で立ち入らせないという自由権的なプライバシー権は、情報化社会の進展に伴い、「自己に関する情報をコントロールする権利」(自己情報コントロール権)としてとらえられ、自由権的側面だけでなく、プライバシーの保護を公権力に対して積極的に要求してゆく側面が重視されるようになってきているとされています。すなわち、個人に関する情報(個人情報)が行政機関などに集中的に管理されるようになった現代社会においては、個人が自己に関する情報を自らコントロールし、自己に関する情報についての閲覧・訂正ないし抹消請求を求めることが必要であると考えられています(芦部信喜・高橋和之補訂『憲法 第7版』123頁)。
日本の憲法13条は「すべて国民は、個人として尊重される。 生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。」と規定していますが、この憲法13条の「 生命、自由及び幸福追求に対する国民の権利」つまり幸福追求権から、プライバシー権と自己情報コントロール権は導き出されるとされています。
一方、ドイツでは1983年の国勢調査判決において連邦憲法裁判所が「情報自己決定権」という新しい基本権(人権)を示し、古典的プライバシー権と情報自己決定権の二本立てで考える構成がヨーロッパでは広く共有されているとされています(小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁。
(日米の自己情報コントロール権と欧州の情報自己決定権・プライバシー権のイメージ。小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁をもとに筆者作成。)
1983年の国勢調査判決においてドイツ連邦憲法裁判所は、情報自己決定権を「自己の個人データの放棄および使用について、原則として自ら決定する権限」と定義し、その制約については、①優越した一般的利益、②規範の明確性の要請を満たした法律上の根拠、③比例原則、④人格権侵害を予防するための組織的・手続的予防措置を要求しました。また、⑤統計目的のデータ取得については、統計目的で取得したデータを法執行目的で利用する場合には、限定的で具体的な利用目的による拘束が不可欠であり、規範の明確性の要請が特に重要であるとしました。
ドイツ憲法裁判所は国勢調査判決において、個人情報・個人データについて「(公権力からの)申告の性質だけに照準を合わせることはできない。決定的であるのは、(個人情報・個人データの)その有用性や利用可能性である。これらは、一方における取得の目的、他方における情報技術に固有の処理可能性および結合可能性に左右される。それにより、それだけを見れば些末な情報が、新たな位置・価値を取得する。その限りで、自動化されたデータ処理という前提のもとでは、「些末な」情報はもはや存在しない。」と述べ、情報自己決定権の必要性を説明しています(小山・前掲)。
日米の自己情報コントロール権とヨーロッパの情報自己決定権との違いは、情報自己決定権に対する公権力などからの制約には、上の①から⑤までの要件・歯止めがある一方で、自己情報コントロール権にはそのような公権力からの制約に関する要件・歯止めが不十分であることにあるとされています。
例えば、警察のNシステムによる自動車のナンバープレート情報や、公道に設置された防犯カメラ・監視カメラによる人の容貌や顔などの情報など、それ自体は外部に公開されている情報の、法的強制を伴わない取得・保存・利用において顕著に表れるとされています。
Nシステムについて2009年の日本の裁判例(東京高裁平成21年1月29日判決)は、「わが国においては警察法2条1項の規定により任意の捜査は許容されており、公道上の何人でも確認し得る車両データを収集・利用することは適法」としています。
一方、ドイツ連邦裁判所は「自動車ナンバープレートの自動記録に関する法律は、法律による授権の特定性および明確性という法治国家の要請を充足しなければならない。」「不特定の広範さゆえに、この法律の規定は憲法上の比例原則の要請も満たしていない」として違憲としています(2008年3月11日ドイツ連邦憲法裁判所第一法廷判決・BVerfGE 120.378[407.427]、小山・前掲)。
このドイツをはじめとするヨーロッパの情報自己決定権は、アメリカの自己情報コントロール権に影響されてドイツ等で生み出されたものとされています(藤原静雄「「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号138頁)。
(2)コンピュータ基本権
情報自己決定権という新しい基本権が生み出されてから約25年後の2008年にドイツ憲法裁判所がいわゆる「コンピュータ基本権」という新しい基本権を示したことは、内外の大きな注目を集めました。
この2008年の本判決は、「情報技術システムの機密性や不可侵性を保障する権利」(コンピュータ基本権)を、基本法1条(人間の尊厳、基本権による国家権力の拘束)1項の「人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である」と関連する2条(人格の自由、人身の自由)1項の「何人も、他人の権利を侵害せず、かつ憲法的秩序または道徳律に違反しない限り、自らの人格の自由な発展を求める権利を有する」に関わる基本権としています(石村修「コンピュータ基本権-オンライン監視事件」『ドイツの憲法判例Ⅳ』50頁)。
本判決が出された直後のドイツの学界は、情報自己決定権ではなく、このコンピュータ基本権を提示しなければならない理由が不明確であること、示された判断基準が従来の判例と異なること、さらに、技術的な発展に対して新たな基本権が提唱されるのは、それが完全に入れ替えが必要となった場合であり、オンラインによる監視は、いまだ従来の国家機関がとってきた手法の延長にあること、等の批判が本判決のコンピュータ基本権に対してはなされたとされています。
一方、本事件において申立人らが主張した基本権10条、13条などからはオンラインの監視を取扱うことは困難であること、また、オンラインの監視は個人のデータ保護を超えて、情報技術システムの保護の必要性や、システムへの介入は監視される本人だけでなく、第三者や一般市民にまでその被害がおよぶことなどの理由から、本判決がコンピュータ基本権を提示したのではないかとの指摘もされています(石村・前掲)。
なお、本判決を受けて、ドイツの連邦法レベルでは、2008年11月に連邦検事庁法が改正され、同法20k条は、情報技術システムへの関与について、本判決が示した要件を明記したとされています。また、NRW州も州憲法擁護法5条2項について、本判決の示した要件を明記する法改正を行ったとされています。
4.まとめ
2018年にはEUでGDPR(EU一般データ保護規則)が施行されました。GDPRは22条がいわゆるプロファイリング拒否権を規定していることが注目されています。そして、本年4月にはEUはAI規制法案を公表しました。日本でも2021年にデジタル関連法の制定や個人情報保護法改正などが行われ、国会などでは、個人情報保護法の立法目的に自己情報コントロール権を明記すべきかどうかが論点の一つとなりました。その一方で、最近は一部の情報法の学者の先生方からは、自己情報コントロール権を批判する主張もなされています。
日本の情報法・個人情報保護法制の学者・研究者などの関係者の方々、企業や官庁などの実務担当者の方々などは、プライバシー権と個人データ保護法制の在り方や、個人データ保護法制の法目的などについて検討するにあたっては、日米の自己情報コントロール権だけでなく、GDPRの根底にある欧州の情報自己決定権・コンピュータ基本権などについて、また日米と欧州の憲法の基本構造の違い(近代憲法とポスト近代憲法の違い)などについても目配りが必要であると思われます。
なお、本ブログ記事を書くにあたっては、憲法学者の石村修・専修大学名誉教授より貴重なご教示をいただきました。石村先生、誠にありがとうございました。
■参考文献
・石村修「コンピュータ基本権-オンライン監視事件」『ドイツの憲法判例Ⅳ』50頁
・小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁
・武市周作「憲法保障機関の正統性―連邦憲法擁護庁を中心に」『東洋法学』61巻3号49頁
・藤原静雄「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号138頁
・芦部信喜・高橋和之補訂『憲法 第7版』123頁
■追記(2022年3月18日)
2022年3月18日に、情報法制研究所の高木浩光先生のつぎのインタビュー記事に接しました。
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|Cafe JILIS
■関連する記事
ドイツの国勢調査事件判決と情報自己決定権についてーBVerfGE 65,1, Urteil v.15.12.1983
コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング