1.はじめに
2024年7月17日に一橋講堂で開催された、MyData Japan 2024の「George's Bar ~個人情報保護法3年ごと見直しに向けて~」を聴講したので、備忘録のメモをまとめたいと思います。(なお、間違いや漏れなどがありましたら私の責任です。)
2.加藤絵美先生(一般社団法人Consumer Rights Japan 理事長)の発表
・もともと個人情報保護法制は消費者庁の管轄であったが、消費者契約法2条3項が「消費者契約」の定義を置いているように、消費者団体の活動は、主に有償契約を念頭において行われており、個人情報保護への取組みは遅れている面があった。
・個人情報保護法の3年ごと見直しについて、経済界から課徴金と団体訴訟について「経済活動を萎縮させる」との批判が出ていることについては疑問に考えている。厳しい法律を守る企業が企業価値を高めて消費者から信頼されて成長できるのであるから、「萎縮」させるとの批判は当たらないと考えている。
・「プロ」の企業に対して消費者は「もっとも典型的な素人」である。
3.森亮二先生(英知法律事務所・弁護士)の発表
・個人情報保護法の3年ごと見直しの中間整理が発表されたので、それについていくつか述べたい。
・生体データの保護については概ね賛同。要配慮個人情報として取得には本人同意を必要とすべきである。
・Cookie、端末IDなどの個人関連情報については、個人データに含まれるものとして、安全管理措置等により保護がなされるべきである。
・団体訴訟について産業界から大きな批判が出ているが、団体訴訟による損害賠償は結果責任ではなく安全管理措置を尽くしていなかったという過失責任なのであるから、産業界が大きく批判することは当たらないと考える。
・また団体訴訟の差止については、違法行為が差止の対象となるだけなのであるから「萎縮」は問題とならない。それとも企業側は違法行為をやりたいと考えているのであろうか。
・課徴金制度については、破産者マップ事件などのように刑事司法がうまく機能していない事例があり、そのような事例へのよい対策となるのではないか。
・日本はプロファイリングへの法規制が少ない「プロファイリング天国」であり、プロファイリングへの法規制がなされるべき。プロファイリングによる要配慮個人情報の推知も、要配慮個人情報の取得として本人同意が必要とされるべき。中間整理ではプロファイリングが「その他」の部分に「引き続き検討」という趣旨で書かれているのは残念。
4.山本龍彦先生(慶応義塾大学教授)の発表
・本年6月3日の個人情報保護委員会の有識者ヒアリングの際の資料をもとに発表したい。
・2016年のケンブリッジ・アナリティカ事件、最近のイスラエルの軍事AI「ラベンダー」など、プロファイリングの問題は個人情報保護の本丸である。
・個人情報保護法20条2項は要配慮個人情報の取得については本人同意を必要としているが、プロファイリングによる要配慮個人情報の「推知」、すなわち要配慮個人情報の迂回的取得は法規制が存在しない。これでは本人同意は面倒だと、事業者はプロファイリングによる推知を利用してしまう。
・世界的には、EUのGDPR21条等はプロファイリングに異議を述べる権利を定め、同22条は完全自動意思決定に服さない権利を規定している。またアメリカのいくつかの州も同様の法規制を置いている。
・このように世界的な法規制の動向をみると、日本もプロファイリングの要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。すなわち、本人同意または本人関与の仕組みを導入すべきである。
・ダークパターンについても、個人の自由な意思決定を阻害しており、法規制を行うべきである。
・Cookie、端末情報などの個人関連情報も、本人の意思決定に働きかけることができるのであるから、本人同意または本人関与の仕組みが必要である。
・生体データについても、本人同意または本人関与の仕組みが必要である。
・なお、3年ごと見直しについては経済界から「経済活動が萎縮する」との強い批判がなされているが、法律を守らないならトラストが築かれず、むしろ消費者の側に萎縮が発生し、それはビジネスに不利に働くのではないだろうか。
・最後に、個人情報保護法3条について。政府の「個人情報の保護に関する基本方針」は「個人の人格を尊重」の部分について憲法13条およびプライバシーに言及している。つまり、個人情報保護法は憲法具体化法である。
5.司会の宍戸常寿先生(東京大学教授)と3先生でディスカッション
宍戸先生)今回の講演会にあたり、①個情法と消費者法、②AI時代の個情法、③企業から見た個情法の規制強化、④3年ごと見直しの在り方・言語、の4つのテーマがあるのではないかと思っている。まず、①について加藤先生からコメントをいただけないだろうか。
加藤先生)個情法はもともと消費者庁の管轄だった。しかし消費者団体は個人情報保護の問題にあまりうまく対応できていない。個人情報保護の問題は、事業者と消費者の非対称性、格差の問題が大きな問題であると考えている。個人情報保護について、消費者のエンパワーメントが必要であるが、しかしパターナリズムに陥ってはまずいと思っている。
宍戸先生)話が少しずれるが、消費者法と個情法の問題と同時に、労働者と個情法の問題も非常に重要であると思っている。最近、日本を代表する企業で個人情報の漏えいが起きているが、従業員の個人情報が漏えい等することも非常に大きな問題である。労働者は企業のなかで個人情報について自由に意思決定できない。そのため、企業がそのかわりに決めてやるというパターナリズムな状況が生まれている。最近、山本健人先生などが「デジタル立憲主義」すなわり、立憲主義を企業にもおよぼそうという考え方を論じておられるが、示唆に富むと考えている。
宍戸先生)つぎに②の「AI時代の個情法」について、山本先生からコメントをいただきたい。
山本先生)最近、私は「個人界」・「集合界」という考え方を唱えているが、生成AIは基本的には集合界に属する問題であると考えている。ただし、EUのAI法5条にあるような、「精神的・身体的な害を生じさせる態様で対象者などの行動を実質的に歪めるため、対象者の意識を超えたサブリミナルな技法を展開する」などの生成AIについては個人界に関する問題であるとして、法規制が必要であると考えている。
宍戸先生)つぎに③の「企業から見た個情法の規制強化」について、森先生からコメントをいただきたい。
森先生)経済界は団体訴訟などに強く反対しているが、かりに規制緩和で個情法を緩和する、あるいは個情法やPPCを廃止したとしても、日本から司法を廃止することは不可能なので、裁判によって差止や損害賠償を命じられることは無くならない。その点を経済界はよく考えるべきなのではないか。
山本先生)こういった場なので比喩的に言うと、企業は遊びたい、勉強したくないとだだをこねている小さな子どものように思える。たしかに親としては短期的に考えれば子どもがうるさくないので遊ばせたほうがいいのかもしれない、しかし長期的に考えればそれでいいのか。同様に、個人情報保護を遵守したくない、もう勉強したくないと言っている経済界に対して、政治家や行政はどう対応すべきなのか。長期的に考えれば、遊ばせる、勉強させないではない方向が必要なのではないか。
※なお、この講演会の最後は観客席からの質問・意見の時間であり、明治大学の横田明美先生や、情報法制研究所の高木浩光先生などから質問・意見が出されましたが割愛します。
■関連するブログ記事
PR