なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:自己情報コントロール権

mynumber_people
1.はじめに
マイナンバー訴訟について、国民のプライバシー権(憲法13条)を侵害するものではないとする仙台高裁令和3年5月27日判決が『判例時報』2516号(2022年6月21日号)26頁に掲載されていました。ざっと読んでみたのですが、行政運営の効率化等の制度の目的は適法であり、法制度および情報システム技術上も相応の安全管理の対策が講じられているのでマイナンバー制度は違法・違憲ではないとの住基ネット訴訟(最高裁平成20年3月6日判決)のいわゆる「構造審査」を踏襲した判決となっているようです。本判決は結論は妥当であると思われますが、いくつか気になった点を見てみたいと思います。

・仙台高裁令和3年5月27日判決(令和2(ネ)272・各個人番号利用差止等請求控訴事件)|裁判所

判示事項の要旨
  控訴人らは,国のマイナンバー制度により憲法13条の保障するプライバシー権が侵害されると主張し,被控訴人国に対し,プライバシー権に基づく妨害排除又は妨害予防請求として個人番号の収集,保存,利用及び提供の差止め並びに削除を求め,国家賠償法1条1項に基づき各11万円(慰謝料10万円及び弁護士費用1万円)の損害賠償と訴状送達の日の翌日から民法所定の年5分の割合による遅延損害金の支払を求めた。

 マイナンバー制度によって,控訴人らが,憲法13条によって保障された「個人に関する情報をみだりに第三者に開示又は公表されない自由」を侵害され,又はその自由が侵害される具体的な危険があるとは認められないから,国がマイナンバー制度により控訴人らの個人番号及び特定個人情報を収集,保存,利用及び提供する行為が違法であるとは認められない。

 よって,プライバシー権に基づく妨害排除又は妨害予防請求として控訴人らの個人番号の収集,保存,利用及び提供の差止め並びに削除を求め,これらの行為による損害の賠償を求める控訴人らの請求は,国による個人番号の収集,保存,利用及び提供の行為が,控訴人らのプライバシー権を侵害する違法な行為であるとは認められないから,すべて理由がない。
(仙台高裁令和3年5月27日判決の判示事項。裁判所サイトより)

2.事案の概要
本件は、仙台市等に在住する8名の個人(Xら)が国のマイナンバー制度によりプライバシー権(憲法13条)が侵害されているとして、プライバシー権に基づく妨害排除又は妨害予防請求権として個人番号の収集・保存・利用及び提供の差止めと個人番号の削除を求めるとともに、国賠法1条1項に基づき慰謝料10万円と弁護士費用の損害賠償を求めるものです。Xらはプライバシー権の侵害とともに、自己情報コントロール権の侵害、またマイナンバー制度による個人情報の容易かつ確実な名寄せ・突合(データマッチング)により本人の関与のないままにその意に反して個人像が作られる危険があること等を主張しました。

3.判旨(仙台高裁令和3年5月27日判決・棄却・上告中)
(1)マイナンバー制度の趣旨目的、しくみ等について
本判決は、マイナンバー制度の趣旨目的について「行政機関…が個人番号…の有する特定の個人を識別する機能を活用し…行政運営の効率化及び行政分野におけるより公正な給付と負担の確立を図」るものであるとしています。

そして本判決は、個人番号および特定個人番号(個人番号を含む個人情報)の提供等ができる範囲は、「国・地方の機関での社会保障分野、国税・地方税の賦課徴収および防災に係る事務での利用」等に限定されているとしています。

(2)情報漏洩等を防止するための法制度上の措置
本判決は、情報漏洩等を防止するための法制度上の措置として、個人番号利用事務等実施者による個人番号の漏洩等を防止するために必要な措置(安全管理措置)の実施義務付け、行政機関等による情報提供の記録・保存の義務付け、情報連携が実施された際の記録を本人が確認するためのマイナポータルの設置、総務省等による秘密の管理のために必要な措置の実施義務付け、罰則の準備などの法制度上の措置が講じられていることを判示しています。

また、情報漏洩等のリスクを防ぐために、マイナンバー制度は個人情報を集中的に管理するのではなく、情報の分散管理などのシステム技術上の措置が講じられているとしています。

(3)マイナンバー制度の運用によるプライバシー侵害の有無
本判決は、「何人も個人に関する情報をみだりに第三者に開示又は公表されない自由」としてのプライバシー権を有するところ、Xらは、「マイナンバー制度の目的はこのようなプライバシー権を制約するための目的として、高度に重要であるとはいえない」と主張しているとしてその検討を行っています。

そしてマイナンバー制度は「社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤を構築するため」のものであるとして、重要性がないとはいえないとして、Xらのプライバシー権に関する主張を退けています。

(4)自己情報コントロール権について
Xらはマイナンバー制度は自己情報コントロール権の侵害であるとの主張も行っていますが、本判決は、「Xらの主張する自己情報コントロール権については、マイナンバー制度の運用によってXらの同意なく個人番号や個人番号に結び付いた特定個人情報を第三者に提供することが、すべて自己情報コントロール権の侵害となり、憲法13条の保障するプライバシー権の侵害にあたるという趣旨の主張であるとすれば、原判決「事実及び理由」第3の1の説示のとおり、そのような意味内容を有する自己情報コントロール権までは、憲法13条の保障するプライバシー権として認められるとは解されない。」と判示しています。

(5)マイナンバー制度によるプライバシー侵害の具体的な危険性について
本判決は、「マイナンバー制度で取り扱われる個人情報のなかには所得や社会保障の受給歴など秘匿性の高い情報も含まれること」や、「様々な個人情報が個人番号をキーに集積・集約されて本人が意図しない形で個人像が構築されるデータマッチングの危険」などがあることを認定しています。

しかし本判決は、「Xらが…プライバシー権に基づく妨害予防又は妨害排除請求として、Xらの個人番号の収集、保存、利用及び提供の差止め並びに削除を求め、これらの行為による損害の賠償を求め…るには、国がマイナンバー制度の運用によってXらの個人番号の収集、保存、利用及び提供をすることが違法であるといえる必要があり、制度の運用に…具体的な危険が生じているといえる必要がある」としています。

その上で本判決は、「マイナンバー制度は正当な行政目的の範囲内で行われるように制度設計がなされている」とし、さらに「法制度上も、システム技術上も、相当の措置が講じられている」としています(=「構造審査」)。

とはいえ本判決は「通知カードや個人番号カードが誤交付された事例」があることや、「平成30年分の公的年金等の受給者の扶養親族等申請書記載の個人番号を含む個人情報…が中国のインターネット上に流出し、自由に閲覧できる状態になっていた事故事例も発生している」と認定しています。

しかし本判決は、これらの事故事例は「人為的な誤りや不正行為に起因するものであり、番号利用法の法制度上又はシステム技術上の不備そのものに起因するものとはいえない」と判示していますが、この点については、法制度上又はシステム技術上の不備と人為的なミス等を分離して考えてよいのか疑問が残ります。

その上で本判決は、「Xらの懸念する個人情報の不正な利用や情報漏洩の危険性が一般的抽象的には認められるとしても、…具体的な危険を生じさせる…ということはできない」として、結局、「国がマイナンバー制度によりXらの個人番号を収集、保存、利用及び提供する行為が違法であるとは認められず、マイナンバー制度やこれを定めた番号利用法が憲法13条に違反してプライバシーの権利を侵害するものとは認められない」としてXらの請求を棄却しています(上告中)。

4.検討
(1)自己情報コントロール権について
1970年代以降のコンピュータの発達を受けて、憲法学の学説においては、プライバシー権を「一人でほっておいてもらう権利」(古典的プライバシー権)としてだけでなく、「個人の私生活上の事項を秘匿する権利を超えて、より積極的に公権力による個人情報の管理システムに対して、個人に開示請求、修正・削除請求、利用停止請求といった権利行使が認められるべきである」とする見解(自己情報コントロール権)が有力に展開されています。しかしこの権利は包括的である一方で、漠然性が高く法的な要件化が困難であるとの批判もなされています(渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法1基本権』121頁)。

ところで本判決は上の3.(4)の部分によると「原判決「事実及び理由」第3の1の説示のとおり」と述べているので、原判決(仙台地裁令和2年6月30日判決)の該当部分をみると、憲法12条、13条の条文がコピペされ、「憲法が国民に保障した権利が「公共の福祉」により制約されることを認めているから、個人に関する情報に係る国民の権利についても「公共の福祉」によって制約されることを認めていると解される」として自己情報コントロール権を否定しています。

しかしこれはやや乱暴な判示のように思われます。つまり、憲法12条、13条の「公共の福祉」による基本的人権とは、原則として「国民・個人の基本的人権は絶対無制限なものではなく、他の個人の基本的人権と衝突する限度において制約される」というものです(内在的制約説)。

ところが仙台地裁の原判決は、この憲法12条、13条を「国家が法律で制約さえすれば国民の基本的人権は制限できる」という意味で「公共の福祉」という用語を使用しているように見えますが、これはまるで明治憲法の「法律の留保」と同様の理解のようであり、現行憲法の理解として疑問が残ります。現行憲法は明治憲法と異なり天皇主権(政府主権)ではなく国民主権(現行憲法1条)であり、また国民の個人の尊重と基本的人権の確立という目的のために行政などの統治機構は手段として存在する構造をとっています(11条、97条)。

そのため、政府・国会が企画・立案して制定した「社会保障・税制度の効率性・透明性を高め、国民にとって利便性の高い公平・公正な社会を実現するための社会基盤を構築するため」のマイナンバー制度を国民はありがたく推し戴くべきであり、そのためには当然に国民の基本的人権は制限されるという考え方は明治憲法に先祖返りするようなもので疑問が残ります。

この原判決の考え方を是認した仙台高裁の本判決を含め、裁判所は自己情報コントロール権についてより精密な判断を行うべきではないかと思われます。本判決はせっかく国民本人に勝手に公権力が個人番号をキーにして個人情報を名寄せ・突合して個人像を作成してしまうデータマッチング、あるいはプロファイリングの危険性については認めたのですから、「自己の情報の開示・非開示、そして開示する場合はその内容について相手に応じて自分が決定できる」という自己情報コントロール権についてより精密な検討を行ってほしいと思います。

(2)個人情報漏洩事故は人為的なミスに過ぎないのか?
また、本判決は上の3.(5)でみたように、全国で発生している通知カードや個人番号カードの誤交付や漏洩などは「人為的なミス」に過ぎないとして、マイナンバー制度は「法制度やシステム技術」に準備された各種の措置には落ち度はないので制度として問題ないと強調しています。

しかし、マイナンバー法は委託・再委託の規律(法10条、11条)や個人番号利用事務等実施者に安全管理措置を義務付け(法12条)、総務大臣などに秘密の管理のために必要な措置の実施を義務付け(法24条)などの法的規定を置いており、それを受けてシステム上の措置として、情報提供ネットワークシステムにおけるアクセス制御や地方自治体におけるシステムのインターネットからの分離などが義務付けられているのです。

にもかかわらず全国の自治体等で通知カードや個人番号カードの誤交付や漏洩などの漏洩事故が多発し、平成30年には日本年金機構の約500万件もの大量の個人番号を含む個人情報が中国に漏洩してしまったという事件が発生していることは、人為的なミスでは済まされず、マイナンバー法の法制度やシステム技術そのものに重大な問題があると考えるべきなのではないでしょうか。

すなわち本判決が前提としている住基ネット訴訟で最高裁が示した「構造審査」は、その前提が崩れているのではないでしょうか。

最近の2022年6月にも兵庫県尼崎市で、個人番号は含まれていませんでしたが、全市民約46万件の個人情報がUSBメモリにより持ち出され漏洩した事件が起きたばかりです(ただし当該USBメモリは回収された)。にもかかわらず裁判所がマイナンバー法は法制度と情報システムがしっかりしているのだから、マイナンバー制度には問題はないと判示することは空論なのではないかとの疑問が残ります。本裁判は上告中であり、最高裁の判断が待たれます。

■参考文献
・『判例時報』2516号26頁
・渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法1基本権』121頁
・黒澤修一郎「プライバシー権」『憲法学の現在地』(山本龍彦・横大道聡編)139頁
・山本龍彦「住基ネットの合憲性」『憲法判例百選1 第7版』42頁
・仙台高裁令和3年5月27日判決(令和2(ネ)272・各個人番号利用差止等請求控訴事件)|裁判所

■関連する記事
・尼崎市が全市民46万人分の個人情報の入ったUSBメモリを紛失したことを個人情報保護法制的に考えた(追記あり)
・日本年金機構の500万人分の個人情報が中国業者に-独法個人情報保護法から考える
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)



[広告]










このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
このブログ記事の概要
アメリカ・日本のプライバシーに関する自己情報コントロール権に対応する欧州の「情報自己決定権」は、アメリカで生まれた自己情報コントロール権をもとにドイツの1983年の国勢調査判決で「新しい基本権」(新しい人権)として生まれました(国勢調査法違憲判決・1983年12月15日連邦憲法裁判所第1法定判決・BVerfGE 65,1, Urteil v.15.12.1983)。

このブログ記事では、国勢調査事件判決と欧州の情報自己決定権、日本の自己情報コントロール権の発展と、これらの権利への高木浩光先生の批判などについて簡単に説明したいと思います。

1.ドイツ国勢調査事件の事案の概要
ドイツの1982年の国勢調査法に基づき、1983年4月に実施が予定されていた人口、職業、住宅、事業所の国勢調査について、原告は、国勢調査法は西ドイツ基本法1条1項(人間の尊厳)に関連づけられた2条1項(人格の自由な発展の権利)などの基本権(人権)を侵害しているとして、連邦憲法裁判所に対して憲法異議の申し立てを行った。

主な争点となった、国勢調査法9条は、国勢調査の調査事項の利用について規定していたが、同法9条1項は届出記録簿(=日本の住民票に相当する)との照合を認め、同法同条2項は連邦およびラント(州)の所管の最上級行政庁への提供を可能とし、同法同条3項は一定の行政執行上の利用目的のために市町村等の利用を認める規定となっていた。

これに対して連邦憲法裁判所は、1983年12月15日に本判決を出した。

2.判旨
(1)一般的人格権について
(a)まず、審査の基準となるのは、基本法1条1項に関係づけられた2条1項によって保護された一般的人格権である。基本法的秩序の中核となるのは、自由な社会の要としての自由な自己決定において作用する個人の価値と尊厳である。これまでの判例によって具体化されてきた人格権の内容は、完結的ではない。それは、これまでの判決が示しているように、自己決定の思想から引き出される、個人的生活実態をいつ、どこまで公開するかを、基本的に自身で決定する個人の権能を含むのである。

 個人の自己決定は、現代の情報処理技術の諸条件の下でも、個人にこれから行うか中止しようとしている行動について、実際にその決定に従って行動する可能性を含めて、決定の自由が与えられていることが前提となる。自己に関するどのような情報が自分を取り巻く一定範囲の社会的環境において知られているのかについて十分な確実性をもって見通すことができない者や、コミュニケーションの相手方となりうる者がどのような知識を持っているかをある程度評価査定することができない者は、自分自身の自己決定を基にして計画を立て、判断を下す自己の自由を著しく阻まれることもある。逸脱した行動が、常に記録され、情報として永続的に蓄積され、利用され、伝達されることに不安を抱く者は、そのような行動によって目立つことを控えようとするであろう。このことは、個人のそれぞれの発展の機会を妨げるだけでなく、公共の福祉をも害する。なぜなら、自己決定は、市民の行動及び協業能力に基づく自由で民主的な国家共同体の基本的な機能条件であるからである。

(b)この情報自己決定権は、無制限に保障されているのではない。個人は、共同体の中で発展し、コミュニケーションに依存している人格である。情報は、個人に関係していても、社会的事実の描写であり、当該個人だけのものではない。基本法は、個人の共同関係性及び共同体被拘束性という意味において個人対共同体の緊張関係について決定してきたのであるから、個人は、その情報自己決定権について、原則として優越する公益による制限を受忍しなければならない。  この制限は、基本法2条1項に従い、その制限の要件と範囲が明らかで市民が認識することができ、それにより規範の明確性という法治国家の要請に応える(憲法に適合した)法律の根拠を必要とする。その規制に際して、立法者は、さらに比例原則を遵守しなければならない。このような憲法上の原則は、基本権が国家に対する市民の一般的自由権の表現として、公益を保護するための不可欠な限度においてのみ、その都度公権力によって制限できるという、基本権自体の本質から引き出されるものである。

 自動的データ処理の利用による既述の危険に鑑み、立法者は、人格権の侵害の危険に対抗できる組織的及び手続的な予防措置を講じなければならない。データが人格権法上有する意味を確認するためには、その利用可能性に関する知識を必要とする。申告が何の目的のために要求され、どんな結合及び利用の可能性があるのかが明らかになって初めて、許容しうる情報自己決定権の制限の問題に答えることができる。その際、個別化され、匿名化されていない形式で調査され、処理される個人に関連するデータと、統計目的用に確定されたそれとの間の区別が必要である。 

(c)個別化され、匿名化されていない個人に関連するデータの申告を強制するには、立法者が、領域を特定し、かつ、正確にその利用目的を規定すること、この目的のために申告項目が適切かつ必要であることが前提となる。匿名化されないデータを、不特定の又は特定することができない目的のために取集し、蓄積することは、このことと相いれないであろう。データの利用は、法律で規定された目的に制限される。自動データ処理の危険に関しては、伝達禁止及び利用禁止により、目的転用に対する保護が必要である。手続的予防措置としては、説明義務、情報提供義務及び消去義務が必要である。

(d)統計目的のためのデータの調査と処理は、憲法判断にとって軽視することができない特殊性を有する。データが様々な、予め規定することができない任務のために利用されることは、統計の本質に属する。統計の性質上、様々な利用及び結合の可能性を予め特定することができない以上、情報システムの内部において、情報の調査及び処理に、これを保障するだけの制限を設けなければならない。個人に関する申告の自動的な調査及び処理については、個人が、単なる情報客体として扱われないようにするための明確に定義された処理要件が定められなければならない。データ処理の多機能性に鑑み、あらゆる申告が求められてはならず、公的任務を充足する補助としてのみなされなければならない。立法者は、申請義務を定めるに際しても、それが該当者に社会的なレッテル(例えば、麻薬常習者、前科者、精神病者、はみだし人間)を貼ることにならないか、調査の目的が、匿名の調査によって達成することができないかどうかを吟味しなければならない。(後略)

(2)1983年国勢調査法9条の違憲性
(a)1983年国勢調査法9条1項は「2条1号及び2号に基づく国勢調査の申告は、届出記録簿と照合し、その訂正に利用することができる。この申告から得られる知識は、個々の申告義務者への対抗措置のために利用してはならない」とし、市町村にそのような利用権限を認めているが、この規定は、基本法1条1項に関連付けられた2条1項で保障される情報自己決定権を侵害する。なぜなら、1983年国勢調査から選び出される個人データは、統計目的だけでなく、具体的な目的拘束を受けない行政執行のためにも利用することができるし、さらに届出記録と照合する官庁は、届出法大綱法などによってその任務上、そうしたデータを他の官庁に伝達することができるから、どの官庁がどんな目的のためにデータを利用するかを予測することができないからである。(後略)

(b)国勢調査法9条2項も、基本法1条1項に関係づけられた2条1項に違反している。この規定は、個人に関係する個別的申告を連邦及び州の統計局から専門的権限を有する最上級の連邦及び州官庁並びにそれらに指定された機関に、これらの機関がその権限に属する任務を合法的に遂行するために必要である限り、伝達することを認めている。この規定は、連邦統計法11条5項(匿名化された個別事項の伝達を許容している)・6項を逸脱している。なぜなら、この規定によると、データは、単に氏名と9条2項2文による宗教団体への所属・非所属を削除すれば伝達することができるから、当該者を容易に識別することができるからである。伝達は単に統計目的のためにだけなのか、それとも行政執行のためにも許されるのかを、規定から認識することができない。この規定から、行政目的のための伝達が予定されているのか、匿名化されていないデータが提供される場合に必要なように、どのような具体的に明確に定義された目的が問題となるのかを、明確に認識することができない以上、それは市民の情報自己決定権を侵害している。

(c)国勢調査法9条3項は、基本法1条1項に関係づけられた2条1項に違反している。9条3項1文によれば、市町村の助けを借りて調査された個人関係項目は、名前を付すことなく、地方自治体の領域において特定の行政目的のために利用することができる。すなわち所得の額と宗教法人への所属・非所属を除く、国勢調査法2条ないし4条によって把握された個人に関係する個々の申告は、広域地方計画、測量業務、市町村の計画及び環境保護の目的のために、伝達することができる。しかしデータがどのような具体的目的のために伝達されるのか、特に統計目的のためだけなのか、行政執行目的も含まれるのか、その場合どのような具体的に明確に定義された目的が問題となるのかを、十分に認識することができない。規定された目的の不明瞭性についていえば、連邦及び州の統計庁も、それぞれの目的を達するための市町村又は市町村連合への伝達が、匿名化された項目でも十分でないのかどうかも確定することができない。(後略)

3.検討
(1)情報自己決定権
当時の西ドイツ基本法(現在のドイツ基本法)の2条1項(人格の自由な発展の権利)は、「何人も、…自らの人格の自由な発展を求める権利を有する。」と日本の憲法13条後段の幸福追求権のような規定を置いています。この基本権2条1項により、国民は他人の権利を侵害せず、憲法的秩序(=基本権(=基本的人権)など、憲法に適合した法秩序)または道徳律に違反しない限り、国民は一般的行動の自由を保障されるという「一般的行動の自由」が認められてきました。

ドイツ基本法
第1条 [人間の尊厳、基本権による国家権力の拘束]
(1) 人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である。

第2条 [人格の自由]
(1) 何人も、他人の権利を侵害せず、かつ憲法的秩序または道徳律に違反しない限り、自らの人格の自由な発展を求める権利を有する。

日本国憲法
第13条 すべて国民は、個人として尊重される。生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。

また、基本法1条1項(人間の尊厳)は「人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である。」と日本の憲法13条前段の「すべて国民は個人として尊重される」に似た規定を置いています。そしてドイツ連邦憲法裁判所は、基本権1条1項の価値内容(人間の尊厳)を2条1項(人格の自由な発展の権利)で補充することにより、一般の行動の自由とは区別された、より限定された人格領域を「一般的人格権」として保障しているとしました。

一般的人格権の具体的な保障対象は、私的・秘密・内密領域、個人の名誉、個人の人格的表現、自己の肖像・発言に関する権利などであるとされています。個人はその私的な問題を自分で決定することができますが、これが一般的人格権に由来する「自己決定権」です。国勢調査事件判決は、この自己決定権と一般的人格権から、個人に自己の個人情報に対する自己決定権を「情報自己決定権」として認めたものです。

この情報自己決定権において重要なのは、個人情報の有用性と利用可能性であり、これらが永続性を有し、同質的に組み立てられた情報の集積として処理される点です。本判決はこの点を「些末な情報はもはや存在しない」と表現しています。そのため、個人情報保護の目的は、これまでなかった方法で個人の行動が監視・観察され、影響を与えられる方法が拡大されたことによる心理的圧迫を阻止することであるとされています。

(2)情報自己決定権の内容やその制約
この国勢調査判決においてドイツ連邦憲法裁判所は、情報自己決定権を「自己の個人データの放棄および使用について、原則として自ら決定する権限」と定義し、その制約については、①優越した一般的利益、②規範の明確性の要請を満たした法律上の根拠、③比例原則、④人格権侵害を予防するための組織的・手続的予防措置を要求しました。また、⑤統計目的のデータ取得については、統計目的で取得したデータを法執行目的で利用する場合には、限定的で具体的な利用目的による拘束が不可欠であり、規範の明確性の要請が特に重要であるとしました。

ドイツ憲法裁判所は国勢調査判決において、個人情報・個人データについて「(公権力からの)申告の性質だけに照準を合わせることはできない。決定的であるのは、(個人情報・個人データの)その有用性や利用可能性である。これらは、一方における取得の目的、他方における情報技術に固有の処理可能性および結合可能性に左右される。それにより、それだけを見れば些末な情報が、新たな位置・価値を取得する。その限りで、自動化されたデータ処理という前提のもとでは、「些末な」情報はもはや存在しない。」と述べ、情報自己決定権の必要性を説明しています(小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁)。

日米の自己情報コントロール権とヨーロッパの情報自己決定権との違いは、情報自己決定権に対する公権力などからの制約には、上の①から⑤までの要件・歯止めがある一方で、自己情報コントロール権にはそのような公権力からの制約に関する要件・歯止めが不十分であることにあるとされています。

例えば、警察のNシステムによる自動車のナンバープレート情報や、公道に設置された防犯カメラ・監視カメラによる人の容貌や顔などの情報など、それ自体は外部に公開されている情報の、法的強制を伴わない取得・保存・利用において顕著に表れるとされています。

Nシステムについて2009年の日本の裁判例(東京高裁平成21年1月29日判決)は、「わが国においては警察法2条1項の規定により任意の捜査は許容されており、公道上の何人でも確認し得る車両データを収集・利用することは適法」としています。

一方、ドイツ連邦裁判所は「自動車ナンバープレートの自動記録に関する法律は、法律による授権の特定性および明確性という法治国家の要請を充足しなければならない。」「不特定の広範さゆえに、この法律の規定は憲法上の比例原則の要請も満たしていない」として違憲としています(2008年3月11日ドイツ連邦憲法裁判所第一法廷判決・BVerfGE 120.378[407.427]、小山・前掲)。

このドイツをはじめとするヨーロッパの情報自己決定権は、アメリカの自己情報コントロール権に影響されてドイツ等で生み出されたものとされています(藤原静雄「「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号728頁)。

(3)欧州基本権憲章・GDPRなど
欧州の基本権憲章(いわゆるEU憲法)は、欧州各国の2007年のリスボン条約批准で成立し、2009年より発効し法的拘束力を持つものとなっています。この欧州基本権憲章は7条で古典的プライバシー権や通信の秘密などについて規定し、8条は個人情報保護に関する規定を置いています。この8条の個人情報保護の土台となるのが上でみた情報自己決定権であり、欧州は個人情報保護の問題について、古典的プライバシー権と情報自己決定権を組み合わせて問題を処理しているとされています。そして情報自己決定権、欧州基本権憲章7条・8条を土台としてGDPR(EU一般データ保護規則)などが制定されています。

(4)日本の自己情報コントロール権の状況
日本においては、プライバシー権と個人情報保護法(個人データ保護法)については、アメリカで「ひとりで放っておいてもらう権利」として生まれた従来からの古典的なプライバシー権を包含する形で自己情報コントロール権が生まれ、佐藤幸治教授などにより日本に輸入され、日本においては自己情報コントロール権が通説的な見解とされています。

つまり、個人の私的領域に他者を無断で立ち入らせないという自由権的なプライバシー権は、情報化社会の進展に伴い、「自己に関する情報をコントロールする権利」(自己情報コントロール権)としてとらえられ、自由権的側面だけでなく、プライバシーの保護を公権力に対して積極的に要求してゆく側面が重視されるようになってきているとされています。すなわち、個人に関する情報(個人情報)が行政機関などに集中的に管理されるようになった現代社会においては、個人が自己に関する情報を自らコントロールし、自己に関する情報についての閲覧・訂正ないし抹消請求を求めることが必要であると考えられています(芦部信喜・高橋和之補訂『憲法 第7版』123頁)。そしてこの考え方は、棟居快行教授の「自己イメージコントロール権」や、山本龍彦教授の「構造審査とコミュニケーションの相手方や媒体などにより自己の情報を出し入れする自己情報コントロール権」などに発展しています。

このような日本の自己情報コントロール権に状況について、宍戸常寿教授らの『憲法1基本権』121頁は、自己情報コントロール権は「漠然としている」などの問題点を指摘しつつも、個人情報の開示・訂正等の請求権は基本権(人権)であるとしています。

一方、情報セキュリティやITの専門家である情報法制研究所の高木浩光氏(工学博士)は、個人情報保護法の立法目的は「データによる人の選別」を防ぐことであるとして、日米の自己情報コントロール権や欧州の情報自己決定権を批判しています。
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|JILIS

このブログ記事が面白かったら、ブックマークやシェアをお願いします!

■関連する記事
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

■参考文献
・平松毅「自己情報決定権と国勢調査-国勢調査法一部違憲判決」『ドイツの憲法判例(第2版)』60頁
・小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁
・藤原静雄「西ドイツ国勢調査判決における「情報の自己決定権」」『一橋論叢第』94巻第5号728頁
・渡辺康行・宍戸常寿・松本和彦・工藤達郎『憲法1基本権』121頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・曽我部真裕「自己情報コントロールは基本権か?」『憲法研究』2018年11月号71頁
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|JILIS

















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.はじめに
情報セキュリティや情報法などの専門家で海外の動向に詳しい 高梨陣平氏(@jingbay)が、6月8日にTwitter上でつぎのように投稿しておられるのを見かけました。

『ドイツで警察が任意の端末にマルウェアを入れることが許可され、ISPやテック業界はそれを手助けを強制される法案が準備中。ドイツはこれでバックドアが不必要になると考えている。これに対し著名なハッカーグループ、Chaos Computer Clubやプライバシについて評判の悪いGoogle、Facebookまで反対とw』
ドイツ警察マルウェア
https://twitter.com/jingbay/status/1402037879191265282
・Google, Facebook, Chaos Computer Club join forces to oppose German state spyware|TheRegister

つまり、ドイツでは、警察などが国民のPCなどの端末をマルウェアで監視するするために通信事業者やIT企業などに協力を法的に強制する法案が準備中であり、著名なハッカーグループや、Google、Facebookなどもこの法案に反対しているとのことです。

ドイツ
では、アメリカの2001年の同時多発テロを受けて、ある州が法改正を行い、州当局がマルウェアなどによる国民のPC等のオンラインによる監視を可能にする法改正を行ったところ、2008年に連邦憲法裁判所が、いわゆる「コンピュータ基本権」という新しい基本権(人権)を示してこの法改正を違憲とした判決があったはずだと思い、資料を読み直してみました。

このブログ記事では、ドイツ「コンピュータ基本権」オンライン監視事件とともに、②最近一部で議論となっている、個人データ保護法制の立法目的に関連して、日米の自己情報コントロール権と欧州の情報自己決定権との同じ点・違う点などについてみてみたいと思います。

2.オンライン監視事件-コンピュータ基本権(2008年2月27日連邦裁判所第一法定判決 連邦憲法裁判所判例集120巻274頁以下 BVerfGE 120.274.Urteil v.27.2.2008)
(1)事案の概要
ドイツでは「自由で民主的な基本秩序または連邦もしくは州(ラント)の存立もしくは安全の保障」を守るために、1950年に連邦憲法擁護法が制定され、連邦憲法擁護庁、16の州(ラント)の憲法擁護庁軍事諜報局(MAD)連邦情報庁(BND)などの憲法擁護機関(憲法保障機関)が分担して諜報活動などの業務を行っている(武市周作「憲法保障機関の正統性―連邦憲法擁護庁を中心に」『東洋法学』61巻3号49頁)。(いわゆる「闘う民主主義」。)

2001年9月11日のアメリカの同時多発テロを受け、世界的にテロ対策への取組が強化されるなか、ドイツノルトライン・ヴェストファーレン州(NRW州)では、2006年12月に州の憲法擁護法が改正された。このNRW州憲法擁護法改正は、「警察トロイの木馬」「Govware」と呼ばれる州当局のマルウェア(スパイウェア)をインターネット経由で州の住民の家庭や事務所などのPC・コンピュータなどに送り込み、PCの記憶領域に蓄積された情報・データを監視することができる「オンラインによる監視」を可能とするものであった(NRW州憲法擁護法5条2項11号)。

ドイツ・ノルトライン・ヴェストファーレン州憲法擁護法
第5条(権限)
第2項 憲法擁護庁は、情報収集活動を行うための7条の役割に応じて、情報収集活動として以下の措置を実行することができる。
 第11号 インターネットへの秘密裡になされる観察及び、とくにコミュニケーション装置への隠密な関わり、またはこうした装置への捜索のようなインターネットへの偵察並びに技術的手段を用いた情報技術システムへの秘密裡になされる侵入。信書、郵便そして電信電話の秘密への関与が、この措置によってなされる場合、この措置は基本法10条が定める法律の諸条件の下でのみ認められる。

このNRW州憲法擁護法改正に対して、NRW州のジャーナリストや弁護士、政治家などが、NRW州憲法擁護法は自分達の基本権10条(通信の秘密)、13条(住居の不可侵)などの基本的人権を侵害するものであるとしてドイツ連邦憲法裁判所に本件訴訟を提起した。

これに対してドイツ連邦憲法裁判所は2008年2月27日に、NRW州憲法擁護法5条2項は、ドイツ基本法に違反しているとの違憲判決を出した。(BVerfGE 120.274.Urteil v.27.2.2008)

(2)判旨
(a)「情報技術システムに秘密裡に関与することを定めた、憲法擁護法5条2項11号の第1文の後半部分は、機密性を保障し情報技術システムの不可侵性を保障する権利という、特別な表現をもって表される一般的人格権に違反する。これを新しい基本権であるとするのは、それが基本法10条(通信の秘密)、13条(住居の不可侵)、さらに情報自己決定権のそれぞれに関連するが、その内容から直接導かれるものではないからである。

コンピュータには、システムに組み込まれたデータ保存機能があり、そのメモリに保存されたデータにまで10条の保障は及ぶものではない。インターネット通信によって、本人が意図しないデータが無意識の内に自己のデータとして蓄積された場合、その内容まで10条では保障しきれないからである。

基本権13条(住居の不可侵)1項は住居の不可侵を規定するが、この不可侵性も、同条2項から7項までの理由があれば国家機関の侵入は認められている。しかし基本法13条1項は、システムへの侵入によって、住居にある情報技術システムのハードディスクないしメモリに蓄積されたデータの取得からの防御を保護しているわけではない。

さらに、一般的人格権から導かれる私的領域の保障情報自己決定権は、情報技術システムの利用者の特別に十分な保護を意味することにはならない。なぜならば、情報技術システムの利用者が求める保障内容は、その利用者の私的領域にあるデータだけに留まるものではないからである。

そこで、基本法1条1項と関連する2条1項に基づく新たな基本権が、私的な領域を国家による情報技術システムへのアクセスから守るために求められる。それが、「情報技術システムにおける不可侵性と機密性を保障する基本権」である。この基本権を保護することを明確に規定する規範があってはじめて、憲法擁護機関は情報システムに関わりうることになるので、その定め方を以下検証しなければならない。

(b) 当該規定(憲法擁護法5条2項)は、規範の明確性の命題を満たしていない。なにより、同条が基本権10条と関係する法律への指示を十分に行っていないからである。

さらに、当該規定は広義の意味での比例原則を満たしていない。比例原則が求められるのは、必要性の命題を満たすときであるが、基本権への侵害が正当化された目的にあり、さらにこうした目的に見合った手段としてなされ、適合的なものであること(が求められる)。

ところが、改正法の内容は明確でもなく、テロ対策に組織的に対応することが限定化されたわけでもない。

当該規定がさらに狭義の比例原則に一致しないのは、高い程度に及ぶ基本権侵害を引き起こすからであり、それは、複雑な情報技術システムを用いての国家による調査が、該当者の人格をえぐり出すことになるからである。さらに、第三者への通信をも監視することによって、一般市民の自由にも影響がでてくる。

もしも情報技術システムへの秘密裡での関与が許されるとすれば、以下の条件があった場合ということになる。つまり、ある事実がとくに高い重要性を有する法に対して個別に引き起こされる危険を示唆する場合であり、たとえその危険がすでに近い将来に訪れるという十分な蓋然性をもって確定できない場合であってもそうである。さらに、こうした関与の権限を認めることになる法律は、該当者に対して適切な手続規定をもって、その基本法保護を確保しなければならない。ここに示されたとくに重要な法益とは、まず、人の身体・生命・自由であり、さらに、国家の基礎や構造ないし人間の存在の基礎にかかわる公共の財産である。また、具体的な危険を表す3つの指標とは、個別性、危険が被害を引き起こす逼迫性、そして起因者としての個人的関連性である。

立法者は、適切な措置によって、私的な生活の中心に位置するデータに関わるような場合は、侵害が最小に抑えられ、該当者の人格への関わりが最小限に抑えられるようにしなければならない。

(c)以上の観点から判断すると、憲法擁護法5条2項11号に示された手段は、情報技術システムが有する機密性や不可侵性の保障に示された一般的人格権への侵害を構成しており、この規定は無効となる。

3.検討
(1)日米の自己情報コントロール権と欧州の情報自己決定権
プライバシー権と個人情報保護法(個人データ保護法)との関係については、アメリカで「ひとりで放っておいてもらう権利」として生まれた従来からの古典的なプライバシー権を包含する形で、自己情報コントロール権として一体的に説明することが日本においては通説的な見解とされています。

つまり、個人の私的領域に他者を無断で立ち入らせないという自由権的なプライバシー権は、情報化社会の進展に伴い、「自己に関する情報をコントロールする権利」(自己情報コントロール権としてとらえられ、自由権的側面だけでなく、プライバシーの保護を公権力に対して積極的に要求してゆく側面が重視されるようになってきているとされています。すなわち、個人に関する情報(個人情報)が行政機関などに集中的に管理されるようになった現代社会においては、個人が自己に関する情報を自らコントロールし、自己に関する情報についての閲覧・訂正ないし抹消請求を求めることが必要であると考えられています(芦部信喜・高橋和之補訂『憲法 第7版』123頁)。

日本の憲法13条は「すべて国民は、個人として尊重される。 生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。」と規定していますが、この憲法13条の 生命、自由及び幸福追求に対する国民の権利」つまり幸福追求権から、プライバシー権と自己情報コントロール権は導き出されるとされています。

一方、ドイツでは1983年の国勢調査判決において連邦憲法裁判所が「情報自己決定権」という新しい基本権(人権)を示し、古典的プライバシー権と情報自己決定権の二本立てで考える構成がヨーロッパでは広く共有されているとされています(小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁。

日米の自己情報コントロール権と欧州の情報自己決定権のイメージ2
(日米の自己情報コントロール権と欧州の情報自己決定権・プライバシー権のイメージ。小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁をもとに筆者作成。)

1983年の国勢調査判決においてドイツ連邦憲法裁判所は、情報自己決定権「自己の個人データの放棄および使用について、原則として自ら決定する権限」定義し、その制約については、①優越した一般的利益、②規範の明確性の要請を満たした法律上の根拠、③比例原則、④人格権侵害を予防するための組織的・手続的予防措置を要求しました。また、⑤統計目的のデータ取得については、統計目的で取得したデータを法執行目的で利用する場合には、限定的で具体的な利用目的による拘束が不可欠であり、規範の明確性の要請が特に重要であるとしました。

ドイツ憲法裁判所は国勢調査判決において、個人情報・個人データについて「(公権力からの)申告の性質だけに照準を合わせることはできない。決定的であるのは、(個人情報・個人データの)その有用性利用可能性である。これらは、一方における取得の目的、他方における情報技術に固有処理可能性および結合可能性に左右される。それにより、それだけを見れば些末な情報が、新たな位置・価値を取得する。その限りで、自動化されたデータ処理という前提のもとでは、「些末な」情報はもはや存在しない。」と述べ、情報自己決定権の必要性を説明しています(小山・前掲)。

日米の自己情報コントロール権とヨーロッパの情報自己決定権との違いは、情報自己決定権に対する公権力などからの制約には、上の①から⑤までの要件・歯止めがある一方で、自己情報コントロール権にはそのような公権力からの制約に関する要件・歯止めが不十分であることにあるとされています。

例えば、警察のNシステムによる自動車のナンバープレート情報や、公道に設置された防犯カメラ・監視カメラによる人の容貌や顔などの情報など、それ自体は外部に公開されている情報の、法的強制を伴わない取得・保存・利用において顕著に表れるとされています。

Nシステムについて2009年の日本の裁判例(東京高裁平成21年1月29日判決)は、「わが国においては警察法2条1項の規定により任意の捜査は許容されており、公道上の何人でも確認し得る車両データを収集・利用することは適法」としています。

一方、ドイツ連邦裁判所は「自動車ナンバープレートの自動記録に関する法律は、法律による授権の特定性および明確性という法治国家の要請を充足しなければならない。」「不特定の広範さゆえに、この法律の規定は憲法上の比例原則の要請も満たしていない」として違憲としています(2008年3月11日ドイツ連邦憲法裁判所第一法廷判決・BVerfGE 120.378[407.427]、小山・前掲)。

このドイツをはじめとするヨーロッパの情報自己決定権は、アメリカの自己情報コントロール権に影響されてドイツ等で生み出されたものとされています(藤原静雄「「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号138頁)。

(2)コンピュータ基本権
情報自己決定権という新しい基本権が生み出されてから約25年後の2008年にドイツ憲法裁判所がいわゆる「コンピュータ基本権」という新しい基本権を示したことは、内外の大きな注目を集めました。

この2008年の本判決は、「情報技術システムの機密性や不可侵性を保障する権利」(コンピュータ基本権を、基本法1条(人間の尊厳、基本権による国家権力の拘束)1項の「人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である」と関連する2条(人格の自由、人身の自由)1項の「何人も、他人の権利を侵害せず、かつ憲法的秩序または道徳律に違反しない限り、自らの人格の自由な発展を求める権利を有する」に関わる基本権としています(石村修「コンピュータ基本権-オンライン監視事件」『ドイツの憲法判例Ⅳ』50頁)。

本判決が出された直後のドイツの学界は、情報自己決定権ではなく、このコンピュータ基本権を提示しなければならない理由が不明確であること、示された判断基準が従来の判例と異なること、さらに、技術的な発展に対して新たな基本権が提唱されるのは、それが完全に入れ替えが必要となった場合であり、オンラインによる監視は、いまだ従来の国家機関がとってきた手法の延長にあること、等の批判が本判決のコンピュータ基本権に対してはなされたとされています。

一方、本事件において申立人らが主張した基本権10条、13条などからはオンラインの監視を取扱うことは困難であること、また、オンラインの監視は個人のデータ保護を超えて、情報技術システムの保護の必要性や、システムへの介入は監視される本人だけでなく、第三者や一般市民にまでその被害がおよぶことなどの理由から、本判決がコンピュータ基本権を提示したのではないかとの指摘もされています(石村・前掲)。

なお、本判決を受けて、ドイツの連邦法レベルでは、2008年11月に連邦検事庁法が改正され、同法20k条は、情報技術システムへの関与について、本判決が示した要件を明記したとされています。また、NRW州も州憲法擁護法5条2項について、本判決の示した要件を明記する法改正を行ったとされています。

4.まとめ
2018年にはEUGDPR(EU一般データ保護規則)が施行されました。GDPRは22条がいわゆるプロファイリング拒否権を規定していることが注目されています。そして、本年4月にはEUはAI規制法案を公表しました。日本でも2021年にデジタル関連法の制定や個人情報保護法改正などが行われ、国会などでは、個人情報保護法の立法目的に自己情報コントロール権を明記すべきかどうかが論点の一つとなりました。その一方で、最近は一部の情報法の学者の先生方からは、自己情報コントロール権を批判する主張もなされています。

日本の情報法・個人情報保護法制の学者・研究者などの関係者の方々、企業や官庁などの実務担当者の方々などは、プライバシー権と個人データ保護法制の在り方や、個人データ保護法制の法目的などについて検討するにあたっては、日米の自己情報コントロール権だけでなく、GDPRの根底にある欧州の情報自己決定権・コンピュータ基本権などについて、また日米と欧州の憲法の基本構造の違い(近代憲法とポスト近代憲法の違い)などについても目配りが必要であると思われます。

なお、本ブログ記事を書くにあたっては、憲法学者の石村修・専修大学名誉教授より貴重なご教示をいただきました。石村先生、誠にありがとうございました。

■参考文献
・石村修「コンピュータ基本権-オンライン監視事件」『ドイツの憲法判例Ⅳ』50頁
・小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁
・武市周作「憲法保障機関の正統性―連邦憲法擁護庁を中心に」『東洋法学』61巻3号49頁
・藤原静雄「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号138頁
・芦部信喜・高橋和之補訂『憲法 第7版』123頁

■追記(2022年3月18日)
2022年3月18日に、情報法制研究所の高木浩光先生のつぎのインタビュー記事に接しました。
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|Cafe JILIS


■関連する記事
ドイツの国勢調査事件判決と情報自己決定権についてーBVerfGE 65,1, Urteil v.15.12.1983
コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング





























このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ