なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:GDPR

LINEポケットマネーTOP

1.消費者金融の主戦場がスマートフォンに
最近の日経新聞の記事(「消費者金融、スマホ申し込み9割 LINEはペイ借り入れも」)によると、消費者金融の主戦場が店舗からスマートフォンに移行しているそうです。同記事はLINE子会社の消費者金融「LINEクレジット」の「LINEポケットマネー」とその前提となる信用スコアリングの「LINEスコア」について解説しています。

ところで同記事によると、LINEスコアではAI分析により、LINEの利用において「1か月前より友だち(連絡先)が減少した場合には、延滞や貸し倒れの確率(リスク)が2倍になった」等の分析結果を割り出し信用スコアリングを行っていることに、ネット上では「LINEの「友だち」が減ると信用スコアが減ってしまうのか!?」等と驚きや困惑の声が広がっています。

LINEクレジットの与信判断の例
(LINEクレジットの与信判断の例。「消費者金融、スマホ申し込み9割 LINEはペイ借り入れも」日経新聞記事より)

2.プロファイリングと差別の問題
2022年4月に公表された、商事法務の「パーソナルデータ+α研究会」の「プロファイリングに関する最終提言」4頁によると、AI等によるプロファイリングとは「パーソナルデータとアルゴリズムを用いて、特定の個人の趣味嗜好、能力、信用力、知性、振る舞いなどを分析・予測すること」と定義されています。そしてプロファイリングの具体例は「融資の場面におけるAIを用いた個人の信用力の測定」などであるとされています。つまりLINEポケットマネーおよびLINEスコアはAIによるプロファイリングの問題といえます。

そしてプロファイリングにおいては差別のおそれが重要なリスクです。つまり、AIに学習させた個人データのデータセットに、もし人種や性別などの個人の属性に関するバイアス(偏り)が存在していた場合、そのバイアスが含まれた評価結果が生成され、結果として審査等の対象となる個人が不当な差別を受けるおそれがあります。

例えば2018年に米アマゾンがAIを用いた人事採用システムを導入した後、女性の評価が不当に低い欠陥が発覚し当該システムの利用を取りやめた事例は注目を集めました。このように不当な差別が意図せず生じてしまうことに、AIによるプロファイリングの恐ろしさがあります。また、AIを活用した機械的な審査では、対象者のスキルや実績などを十分に評価できず、特定の属性を持つ者に対して不当に厳しい条件が出力されてしまうおそれもあり、人間による判断が介在しないことは危険であると考えられます(久保田真悟「プロファイリングのリスクと実務上の留意点」『銀行法務21』890号(2022年10月号)45頁、47頁)。

この点、LINEポケットマネー・LINEスコアの「1か月前より友だち(連絡先)が減少した場合には、延滞や貸し倒れの確立(リスク)が2倍になった」等のAIの機械学習による評価結果には本当に不当な差別を招くバイアスが含まれていないかには疑問が残ります。(なおLINEポケットマネーのサイトを読むと「10分で融資可能か審査します」等と記載されており、人間の判断が介在していないのではと思われます。)

3.プロファイリングにおける要配慮個人情報の推知と取得の問題
プロファイリングによる個人データの生成行為(あるいは推知)が要配慮個人情報の「取得」に該当するかについては重要な解釈問題として議論されています(宇賀克也『新・個人情報保護法の逐条解説』215頁)。

しかしプライバシー権(憲法13条)との関係上、プロファイリングは要配慮個人情報やセンシティブ情報について、直接これらの情報を取得せずとも高い確率でこれらの情報を推知可能です。つまりプロファイリングによる要配慮個人情報の推知は取得とほぼ異ならないため、実務上は要配慮個人情報やセンシティブ情報の推知を取得とみなして業務対応を行うべきとの指摘がなされています(久保田・前掲46頁)。

この点、要配慮個人情報の取得については「本人の同意」が必要であるところ(個人情報保護法20条2項)、LINEポケットマネー(同クレジット)およびLINEスコアのプライバシーポリシーを読むと、「与信・融資の審査のために要配慮個人情報を取得・利用する」等との明示はなされておらず、本人の同意は十分に取得されていないのではないかとの疑問が残ります。(「本人の同意」については後述。)

(なお、LINE社のプレスリリース「【LINE】「LINE」、スペインの登録ユーザー数がヨーロッパ圏で初めて1,000万人を突破」などによると、LINEのスペインのユーザーは1000万人を超えているそうです。欧州のGDPR(一般データ保護規則)22条1項は、コンピュータやAIによる個人データの自動処理の結果のみをもって法的決定や重要な決定を下されない権利を規定し、同条2項はそのような処理のためには本人の明確な同意が必要であると規定しています。そのため、もしLINEポケットマネーのサービスがスペイン等の欧州のユーザーに提供されていた場合、LINEはGDPR22条2項違反のおそれがあります。)

4.「本人の同意」の方式をLINEは満たしているか?
個人情報保護法は上でみた法20条2項だけでなく、法18条(利用目的の制限)、法27条(第三者提供の制限)、法28条(外国にある第三者への提供の制限)および法31条(個人関連情報の提供の制限)などの場面で本人の同意の取得を事業者に義務付けています。この本人の同意の方法については、「事業の性質および個人情報の取得状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法」によらなければならないと解されています(岡村久道『個人情報保護法 第4版』119頁)。

そして金融業や信用業務に関しては一般の事業よりもデリケートな個人情報を扱うため、それぞれの分野の個人情報保護に関するガイドラインが制定されています。「金融分野における個人情報保護に関するガイドライン」3条は、金融機関に対して、本人の同意を得る場合には、原則として書面(電磁的記録を含む)によるとした上で、事業者が事前に作成した同意書面を用いる場合には、文字の大きさ及び文書の表現を変える等の措置を講じることが望ましいとしています。

また「信用分野における個人情報保護に関するガイドライン」Ⅱ.1.(3)は、与信事業者は本人の同意を得る場合には、原則として書面(電磁的記録を含む)によることとし、文字の大きさ、文章の表現その他の消費者の理解に影響する事項について消費者の理解を容易にするための講じることを義務付けています。債権管理回収業ガイドラインもほぼ同様の規定を置いています(岡村・前掲121頁)。

この点、LINEポケットマネーのユーザーの申込み画面をみると、つぎの画像のように、LINEクレジット(LINEポケットマネー)やLINEスコアの利用規約やプライバシーポリシーへのリンク一覧が貼られ、そのリンク横にチェックを入れる画面があるだけで「次へ」と進むボタンがあるだけとなっています。

LINEポケットマネー同意画面
(LINEポケットマネーの申込みの際の同意画面)

それぞれのプライバシーポリシーを個別に見ても、プロファイリングや要配慮個人情報を取得(または推知)することを明示した条項はありません。(LINEポケットマネーのプライバシーポリシーの「3.機微(センシティブ情報の取扱い)」には、「(7)保険業その他金融分野の事業のため」との条項があるが、「与信」、「融資」または「信用」などの明示はなく、文字の大きさや文章の表現などの工夫もなされていない。)

したがってLINEポケットマネーのサービスは、「文字の大きさ、文章の表現その他の消費者の理解に影響する事項について消費者の理解を容易にするための講じる」等の信用分野個人情報保護ガイドラインⅡ.1.(3)などの規定への違反があるといえます。

また、LINEポケットマネーのプライバシーポリシーを見ると、韓国の関連会社(決済・バンキングシステムのLINE Biz Plus等)に業務委託を行っているとありますが、外国にある第三者(韓国の関連会社)への業務委託があるにもかかわらず、上でみたようにユーザーの本人の同意を明確に得ていないことは、これも個人情報保護法28条や信用分野個人情報保護ガイドラインⅡ.1.(3)などの規定への違反であると思われます。(法28条(外国にある第三者への提供の制限)の「提供」には、「委託」や「共同利用」なども含むため。)

5.まとめ
このように、LINEポケットマネーおよびLINEスコアのサービスは、プロファイリングについて不当な差別のおそれがあり、また特に要配慮個人情報の推知・取得について個人情報保護法20条2項などの違反の可能性があり、さらにユーザーの本人の同意の取得について法28条や信用分野個人情報保護ガイドラインⅡ.1.(3)等の違反の可能性があると思われます。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』215頁
・岡村久道『個人情報保護法 第4版』119頁、121頁
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』59頁
・久保田真悟「プロファイリングのリスクと実務上の留意点」『銀行法務21』890号(2022年10月号)44頁
・ヤフーの信用スコアはなぜ知恵袋スコアになってしまったのか|高木浩光@自宅の日記
・「消費者金融、スマホ申し込み9割 LINEはペイ借り入れも」|日本経済新聞
・「プロファイリングに関する最終提言」|商事法務「パーソナルデータ+α研究会」

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの改正プライバシーポリシーがいろいろとひどいー委託の「混ぜるな危険」の問題・外国にある第三者
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
このブログ記事の概要
アメリカ・日本のプライバシーに関する自己情報コントロール権に対応する欧州の「情報自己決定権」は、アメリカで生まれた自己情報コントロール権をもとにドイツの1983年の国勢調査判決で「新しい基本権」(新しい人権)として生まれました(国勢調査法違憲判決・1983年12月15日連邦憲法裁判所第1法定判決・BVerfGE 65,1, Urteil v.15.12.1983)。

このブログ記事では、国勢調査事件判決と欧州の情報自己決定権、日本の自己情報コントロール権の発展と、これらの権利への高木浩光先生の批判などについて簡単に説明したいと思います。

1.ドイツ国勢調査事件の事案の概要
ドイツの1982年の国勢調査法に基づき、1983年4月に実施が予定されていた人口、職業、住宅、事業所の国勢調査について、原告は、国勢調査法は西ドイツ基本法1条1項(人間の尊厳)に関連づけられた2条1項(人格の自由な発展の権利)などの基本権(人権)を侵害しているとして、連邦憲法裁判所に対して憲法異議の申し立てを行った。

主な争点となった、国勢調査法9条は、国勢調査の調査事項の利用について規定していたが、同法9条1項は届出記録簿(=日本の住民票に相当する)との照合を認め、同法同条2項は連邦およびラント(州)の所管の最上級行政庁への提供を可能とし、同法同条3項は一定の行政執行上の利用目的のために市町村等の利用を認める規定となっていた。

これに対して連邦憲法裁判所は、1983年12月15日に本判決を出した。

2.判旨
(1)一般的人格権について
(a)まず、審査の基準となるのは、基本法1条1項に関係づけられた2条1項によって保護された一般的人格権である。基本法的秩序の中核となるのは、自由な社会の要としての自由な自己決定において作用する個人の価値と尊厳である。これまでの判例によって具体化されてきた人格権の内容は、完結的ではない。それは、これまでの判決が示しているように、自己決定の思想から引き出される、個人的生活実態をいつ、どこまで公開するかを、基本的に自身で決定する個人の権能を含むのである。

 個人の自己決定は、現代の情報処理技術の諸条件の下でも、個人にこれから行うか中止しようとしている行動について、実際にその決定に従って行動する可能性を含めて、決定の自由が与えられていることが前提となる。自己に関するどのような情報が自分を取り巻く一定範囲の社会的環境において知られているのかについて十分な確実性をもって見通すことができない者や、コミュニケーションの相手方となりうる者がどのような知識を持っているかをある程度評価査定することができない者は、自分自身の自己決定を基にして計画を立て、判断を下す自己の自由を著しく阻まれることもある。逸脱した行動が、常に記録され、情報として永続的に蓄積され、利用され、伝達されることに不安を抱く者は、そのような行動によって目立つことを控えようとするであろう。このことは、個人のそれぞれの発展の機会を妨げるだけでなく、公共の福祉をも害する。なぜなら、自己決定は、市民の行動及び協業能力に基づく自由で民主的な国家共同体の基本的な機能条件であるからである。

(b)この情報自己決定権は、無制限に保障されているのではない。個人は、共同体の中で発展し、コミュニケーションに依存している人格である。情報は、個人に関係していても、社会的事実の描写であり、当該個人だけのものではない。基本法は、個人の共同関係性及び共同体被拘束性という意味において個人対共同体の緊張関係について決定してきたのであるから、個人は、その情報自己決定権について、原則として優越する公益による制限を受忍しなければならない。  この制限は、基本法2条1項に従い、その制限の要件と範囲が明らかで市民が認識することができ、それにより規範の明確性という法治国家の要請に応える(憲法に適合した)法律の根拠を必要とする。その規制に際して、立法者は、さらに比例原則を遵守しなければならない。このような憲法上の原則は、基本権が国家に対する市民の一般的自由権の表現として、公益を保護するための不可欠な限度においてのみ、その都度公権力によって制限できるという、基本権自体の本質から引き出されるものである。

 自動的データ処理の利用による既述の危険に鑑み、立法者は、人格権の侵害の危険に対抗できる組織的及び手続的な予防措置を講じなければならない。データが人格権法上有する意味を確認するためには、その利用可能性に関する知識を必要とする。申告が何の目的のために要求され、どんな結合及び利用の可能性があるのかが明らかになって初めて、許容しうる情報自己決定権の制限の問題に答えることができる。その際、個別化され、匿名化されていない形式で調査され、処理される個人に関連するデータと、統計目的用に確定されたそれとの間の区別が必要である。 

(c)個別化され、匿名化されていない個人に関連するデータの申告を強制するには、立法者が、領域を特定し、かつ、正確にその利用目的を規定すること、この目的のために申告項目が適切かつ必要であることが前提となる。匿名化されないデータを、不特定の又は特定することができない目的のために取集し、蓄積することは、このことと相いれないであろう。データの利用は、法律で規定された目的に制限される。自動データ処理の危険に関しては、伝達禁止及び利用禁止により、目的転用に対する保護が必要である。手続的予防措置としては、説明義務、情報提供義務及び消去義務が必要である。

(d)統計目的のためのデータの調査と処理は、憲法判断にとって軽視することができない特殊性を有する。データが様々な、予め規定することができない任務のために利用されることは、統計の本質に属する。統計の性質上、様々な利用及び結合の可能性を予め特定することができない以上、情報システムの内部において、情報の調査及び処理に、これを保障するだけの制限を設けなければならない。個人に関する申告の自動的な調査及び処理については、個人が、単なる情報客体として扱われないようにするための明確に定義された処理要件が定められなければならない。データ処理の多機能性に鑑み、あらゆる申告が求められてはならず、公的任務を充足する補助としてのみなされなければならない。立法者は、申請義務を定めるに際しても、それが該当者に社会的なレッテル(例えば、麻薬常習者、前科者、精神病者、はみだし人間)を貼ることにならないか、調査の目的が、匿名の調査によって達成することができないかどうかを吟味しなければならない。(後略)

(2)1983年国勢調査法9条の違憲性
(a)1983年国勢調査法9条1項は「2条1号及び2号に基づく国勢調査の申告は、届出記録簿と照合し、その訂正に利用することができる。この申告から得られる知識は、個々の申告義務者への対抗措置のために利用してはならない」とし、市町村にそのような利用権限を認めているが、この規定は、基本法1条1項に関連付けられた2条1項で保障される情報自己決定権を侵害する。なぜなら、1983年国勢調査から選び出される個人データは、統計目的だけでなく、具体的な目的拘束を受けない行政執行のためにも利用することができるし、さらに届出記録と照合する官庁は、届出法大綱法などによってその任務上、そうしたデータを他の官庁に伝達することができるから、どの官庁がどんな目的のためにデータを利用するかを予測することができないからである。(後略)

(b)国勢調査法9条2項も、基本法1条1項に関係づけられた2条1項に違反している。この規定は、個人に関係する個別的申告を連邦及び州の統計局から専門的権限を有する最上級の連邦及び州官庁並びにそれらに指定された機関に、これらの機関がその権限に属する任務を合法的に遂行するために必要である限り、伝達することを認めている。この規定は、連邦統計法11条5項(匿名化された個別事項の伝達を許容している)・6項を逸脱している。なぜなら、この規定によると、データは、単に氏名と9条2項2文による宗教団体への所属・非所属を削除すれば伝達することができるから、当該者を容易に識別することができるからである。伝達は単に統計目的のためにだけなのか、それとも行政執行のためにも許されるのかを、規定から認識することができない。この規定から、行政目的のための伝達が予定されているのか、匿名化されていないデータが提供される場合に必要なように、どのような具体的に明確に定義された目的が問題となるのかを、明確に認識することができない以上、それは市民の情報自己決定権を侵害している。

(c)国勢調査法9条3項は、基本法1条1項に関係づけられた2条1項に違反している。9条3項1文によれば、市町村の助けを借りて調査された個人関係項目は、名前を付すことなく、地方自治体の領域において特定の行政目的のために利用することができる。すなわち所得の額と宗教法人への所属・非所属を除く、国勢調査法2条ないし4条によって把握された個人に関係する個々の申告は、広域地方計画、測量業務、市町村の計画及び環境保護の目的のために、伝達することができる。しかしデータがどのような具体的目的のために伝達されるのか、特に統計目的のためだけなのか、行政執行目的も含まれるのか、その場合どのような具体的に明確に定義された目的が問題となるのかを、十分に認識することができない。規定された目的の不明瞭性についていえば、連邦及び州の統計庁も、それぞれの目的を達するための市町村又は市町村連合への伝達が、匿名化された項目でも十分でないのかどうかも確定することができない。(後略)

3.検討
(1)情報自己決定権
当時の西ドイツ基本法(現在のドイツ基本法)の2条1項(人格の自由な発展の権利)は、「何人も、…自らの人格の自由な発展を求める権利を有する。」と日本の憲法13条後段の幸福追求権のような規定を置いています。この基本権2条1項により、国民は他人の権利を侵害せず、憲法的秩序(=基本権(=基本的人権)など、憲法に適合した法秩序)または道徳律に違反しない限り、国民は一般的行動の自由を保障されるという「一般的行動の自由」が認められてきました。

ドイツ基本法
第1条 [人間の尊厳、基本権による国家権力の拘束]
(1) 人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である。

第2条 [人格の自由]
(1) 何人も、他人の権利を侵害せず、かつ憲法的秩序または道徳律に違反しない限り、自らの人格の自由な発展を求める権利を有する。

日本国憲法
第13条 すべて国民は、個人として尊重される。生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。

また、基本法1条1項(人間の尊厳)は「人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である。」と日本の憲法13条前段の「すべて国民は個人として尊重される」に似た規定を置いています。そしてドイツ連邦憲法裁判所は、基本権1条1項の価値内容(人間の尊厳)を2条1項(人格の自由な発展の権利)で補充することにより、一般の行動の自由とは区別された、より限定された人格領域を「一般的人格権」として保障しているとしました。

一般的人格権の具体的な保障対象は、私的・秘密・内密領域、個人の名誉、個人の人格的表現、自己の肖像・発言に関する権利などであるとされています。個人はその私的な問題を自分で決定することができますが、これが一般的人格権に由来する「自己決定権」です。国勢調査事件判決は、この自己決定権と一般的人格権から、個人に自己の個人情報に対する自己決定権を「情報自己決定権」として認めたものです。

この情報自己決定権において重要なのは、個人情報の有用性と利用可能性であり、これらが永続性を有し、同質的に組み立てられた情報の集積として処理される点です。本判決はこの点を「些末な情報はもはや存在しない」と表現しています。そのため、個人情報保護の目的は、これまでなかった方法で個人の行動が監視・観察され、影響を与えられる方法が拡大されたことによる心理的圧迫を阻止することであるとされています。

(2)情報自己決定権の内容やその制約
この国勢調査判決においてドイツ連邦憲法裁判所は、情報自己決定権を「自己の個人データの放棄および使用について、原則として自ら決定する権限」と定義し、その制約については、①優越した一般的利益、②規範の明確性の要請を満たした法律上の根拠、③比例原則、④人格権侵害を予防するための組織的・手続的予防措置を要求しました。また、⑤統計目的のデータ取得については、統計目的で取得したデータを法執行目的で利用する場合には、限定的で具体的な利用目的による拘束が不可欠であり、規範の明確性の要請が特に重要であるとしました。

ドイツ憲法裁判所は国勢調査判決において、個人情報・個人データについて「(公権力からの)申告の性質だけに照準を合わせることはできない。決定的であるのは、(個人情報・個人データの)その有用性や利用可能性である。これらは、一方における取得の目的、他方における情報技術に固有の処理可能性および結合可能性に左右される。それにより、それだけを見れば些末な情報が、新たな位置・価値を取得する。その限りで、自動化されたデータ処理という前提のもとでは、「些末な」情報はもはや存在しない。」と述べ、情報自己決定権の必要性を説明しています(小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁)。

日米の自己情報コントロール権とヨーロッパの情報自己決定権との違いは、情報自己決定権に対する公権力などからの制約には、上の①から⑤までの要件・歯止めがある一方で、自己情報コントロール権にはそのような公権力からの制約に関する要件・歯止めが不十分であることにあるとされています。

例えば、警察のNシステムによる自動車のナンバープレート情報や、公道に設置された防犯カメラ・監視カメラによる人の容貌や顔などの情報など、それ自体は外部に公開されている情報の、法的強制を伴わない取得・保存・利用において顕著に表れるとされています。

Nシステムについて2009年の日本の裁判例(東京高裁平成21年1月29日判決)は、「わが国においては警察法2条1項の規定により任意の捜査は許容されており、公道上の何人でも確認し得る車両データを収集・利用することは適法」としています。

一方、ドイツ連邦裁判所は「自動車ナンバープレートの自動記録に関する法律は、法律による授権の特定性および明確性という法治国家の要請を充足しなければならない。」「不特定の広範さゆえに、この法律の規定は憲法上の比例原則の要請も満たしていない」として違憲としています(2008年3月11日ドイツ連邦憲法裁判所第一法廷判決・BVerfGE 120.378[407.427]、小山・前掲)。

このドイツをはじめとするヨーロッパの情報自己決定権は、アメリカの自己情報コントロール権に影響されてドイツ等で生み出されたものとされています(藤原静雄「「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号728頁)。

(3)欧州基本権憲章・GDPRなど
欧州の基本権憲章(いわゆるEU憲法)は、欧州各国の2007年のリスボン条約批准で成立し、2009年より発効し法的拘束力を持つものとなっています。この欧州基本権憲章は7条で古典的プライバシー権や通信の秘密などについて規定し、8条は個人情報保護に関する規定を置いています。この8条の個人情報保護の土台となるのが上でみた情報自己決定権であり、欧州は個人情報保護の問題について、古典的プライバシー権と情報自己決定権を組み合わせて問題を処理しているとされています。そして情報自己決定権、欧州基本権憲章7条・8条を土台としてGDPR(EU一般データ保護規則)などが制定されています。

(4)日本の自己情報コントロール権の状況
日本においては、プライバシー権と個人情報保護法(個人データ保護法)については、アメリカで「ひとりで放っておいてもらう権利」として生まれた従来からの古典的なプライバシー権を包含する形で自己情報コントロール権が生まれ、佐藤幸治教授などにより日本に輸入され、日本においては自己情報コントロール権が通説的な見解とされています。

つまり、個人の私的領域に他者を無断で立ち入らせないという自由権的なプライバシー権は、情報化社会の進展に伴い、「自己に関する情報をコントロールする権利」(自己情報コントロール権)としてとらえられ、自由権的側面だけでなく、プライバシーの保護を公権力に対して積極的に要求してゆく側面が重視されるようになってきているとされています。すなわち、個人に関する情報(個人情報)が行政機関などに集中的に管理されるようになった現代社会においては、個人が自己に関する情報を自らコントロールし、自己に関する情報についての閲覧・訂正ないし抹消請求を求めることが必要であると考えられています(芦部信喜・高橋和之補訂『憲法 第7版』123頁)。そしてこの考え方は、棟居快行教授の「自己イメージコントロール権」や、山本龍彦教授の「構造審査とコミュニケーションの相手方や媒体などにより自己の情報を出し入れする自己情報コントロール権」などに発展しています。

このような日本の自己情報コントロール権に状況について、宍戸常寿教授らの『憲法1基本権』121頁は、自己情報コントロール権は「漠然としている」などの問題点を指摘しつつも、個人情報の開示・訂正等の請求権は基本権(人権)であるとしています。

一方、情報セキュリティやITの専門家である情報法制研究所の高木浩光氏(工学博士)は、個人情報保護法の立法目的は「データによる人の選別」を防ぐことであるとして、日米の自己情報コントロール権や欧州の情報自己決定権を批判しています。
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|JILIS

このブログ記事が面白かったら、ブックマークやシェアをお願いします!

■関連する記事
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

■参考文献
・平松毅「自己情報決定権と国勢調査-国勢調査法一部違憲判決」『ドイツの憲法判例(第2版)』60頁
・小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁
・藤原静雄「西ドイツ国勢調査判決における「情報の自己決定権」」『一橋論叢第』94巻第5号728頁
・渡辺康行・宍戸常寿・松本和彦・工藤達郎『憲法1基本権』121頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・曽我部真裕「自己情報コントロールは基本権か?」『憲法研究』2018年11月号71頁
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|JILIS

















このエントリーをはてなブックマークに追加 mixiチェック

ヤフーデータは大切に守ります
(Yahoo!Japanより)

このブログ記事の概要
Yahoo!JapanなどのEU域内に事業所等のない日本企業であっても、EU域内の個人へのネット上のサービスなどを提供している場合、GDPRの直接適用を受け、万一違反をした場合には罰則・制裁金を科されるリスクがある。

1.Yahoo!Japanが2022年4月6日よりEUおよびイギリスでサービスを終了
Yuta Kashino様(@yutakashino)のTwitterの投稿などによると、Yahoo!Japan(ヤフージャパン)が2022年4月6日よりEUおよびイギリスでサービスを終了するとのことです。「ビッグテックのCookie利用で,仏政府が今月頭にGDPRを根拠に巨大制裁金を課した」からであろうとYuta Kashino様はしておられます。

ヤフージャパンEU
(Yuta Kashino様(@yutakashino)のTwitterより)
https://twitter.com/yutakashino/status/1488355581148737537

Yahoo!Japanもプレスリリースを出しています。
・重要なお知らせ 2022年4月6日 (水)よりYahoo! JAPANは欧州経済領域(EEA)およびイギリスからご利用いただけなくなります|Yahoo!Japan

2.4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?
このYahoo!Japanの対応に関しては、Twitter上で「4月6日以降に欧州から個人がYahoo!Japanサイトへアクセスして、その上でGDPR違反が問われたら、YJは巨額制裁金を支払うことになるのだろうか?」などの疑問を提起されています。この問題に関しては、GDPRの解説書などを読む限り、そのリスクがあるのではないかと思われます。

3.EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供等を行う場合、GDPRが直接適用される
(1)EUのGDPR(EU一般データ保護規則)3条2項
この点、小向太郎・石井夏生利『概説GDPR』33頁は、

「EU域内に拠点のない企業でも、EU域内の個人に対するサービスの提供などを行う場合、GDPRが直接適用される」
と解説しています。

そして、EUのGDPR(EU一般データ保護規則)3条2項はつぎのように規定しています。

「取扱活動が以下と関連する場合、本規則は、EU域内に拠点のない管理者又は処理者によるEU域内のデータ主体の個人データの取扱いに適用される」

「(a)データ主体の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供。又は」

「(b)データ主体の行動がEU域内で行われるものである限り、その行動の監視」


GDPR3条2項
(GDPR3条2項の日本語訳。個人情報保護委員会サイトより。)
・GDPR仮日本語訳|個人情報保護委員会

つまり、「(a)EU域内のデータ主体(=個人)に対する物品又はサービスの提供」をする場合、または「(b)データ主体の行動がEU域内で行われるものであり、その行動の監視」をする場合のいずれかのときは、EU域内に拠点のない事業者に対してもGDPRが直接適用されることになり、もし万一当該事業者がGDPR違反をした場合には、GDPRに基づく罰則・制裁金などが科されるリスクがあることになります(最大2000万ユーロまたは前会計年度の世界売上の4%のいずれか高い方の金額の制裁金。同83条)。

(2)どのような場合にGDPRが直接適用されるのか?
どのような場合にGDPRが直接適用されるのかについて、小向・石井・前掲35頁以下は、"オンラインサービス提供者の意思が問題となるが、英語でサイトを作成しているだけでなく、ユーロやポンドなどを決済通貨にしてる場合はGDPR3条2項でGDPRが直接適用されるだろう”としています。

また同書は、「.eu」や「.de」などのドメインをサイトに利用してる場合や、『euのお客様へ』などの説明文がある場合、さらにEUの個人の行動ターゲティング広告や位置情報の把握などを実施していたり、cookieなどでeu域内の個人を追跡してる場合などは、GDPR3条2項(b)が適用されるだろうとしています。

この点、冒頭のYuta Kashino様が指摘されているように、Yahoo!JapanはおそらくこのGDPR3条2項(b)が適用され、GDPRの直接適用があるので、GDPRによる罰則・制裁金などのリスクを回避するために4月からEUとイギリスでのサービス提供を終了するのではないかと思われます。

なぜなら、Yahoo!Japanは行動ターゲティング広告などを提供する等のために、Cookieなどにより国内外のユーザーのネット上の行動を追跡・監視しているからです。

この点、Yahoo!Japanの「プライバシーセンター」の「パーソナルデータの取得」のページは、

●Yahoo! JAPANのウェブページへのアクセスに伴って送信された「IPアドレス」を取得する場合
●Yahoo! JAPANのウェブページの閲覧履歴を取得する場合
●Yahoo! JAPANの検索機能を利用する際に入力された検索キーワードを取得する場合
●Yahoo! JAPANのショッピングサービスでの購買履歴を取得する場合
●「Yahoo!防災速報」「Yahoo!天気」「Yahoo! MAP」などをインストールされている端末に対して、所在地に応じた災害情報などをお知らせするために、端末の位置情報を取得する場合
●Yahoo! JAPANの広告主や広告配信先などのウェブページやアプリを利用した場合に、そのパートナーのウェブページやアプリにYahoo! JAPANの「ウェブビーコン」などを設置して「クッキー」や端末情報を参照することで、お客様がご利用の端末を識別するための情報を取得する場合
・パーソナルデータを取得する場合|Yahoo!Japan
ヤフーのプライバシーセンター

などの場合に、Yahoo!JapanはユーザーのIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集するとしています。

つまり、Yahoo!Japanは同社サイトの各種のサービスを利用しているユーザー・顧客のIPアドレス、サイト閲覧履歴、検索キーワード、位置情報、Cookieや端末ID、端末情報などを収集し、それぞれのユーザーのネット上の行動や位置情報などを監視・追跡しているので、GDPR3条2項(b)が適用され、Yahoo!Japanの事業所等が仮にEUになく、EUの域外にしかないとしても、GDPRが直接適用されることになります。そのため、万一Yahoo!JapanがGDPR違反をした場合には、罰則・制裁金などが科されるリスクがあることになります。

4.そもそもGDPRの罰則が日本企業に科されるのか?
ところでネット上をみていると、「そもそもEUのGDPRの罰則が日本企業に科されるはおかしいのではないか?」との意見をみかけます。

この点、たしかに日本の刑法は原則として属地主義であり、日本国内で起きた犯罪を処罰するものです(刑法1条)。しかし、刑法2条から5条までが規定するとおり、日本国民が殺人や強盗など海外で重大な犯罪被害を受けたような場合には、日本の刑法は海外にも適用されます(属人主義)。また、内乱罪や通貨偽造罪など日本の国家的利益を損なう犯罪に対しても日本の刑法が海外に適用されるほか(保護主義)、例えばハイジャックなど世界的な利益に対する犯罪にも日本の刑法が適用されることがあります(世界主義)。

このように、法律は国内だけでなく国外にも適用される場合があります。法律は国をまたいで適応の範囲が重なりあう場合があるのです(小向・石井・前掲38頁、大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁)。

例えば、日本の個人情報保護法75条も、匿名加工情報に関しては国外の事業者にも日本の個人情報保護法が適用されるとの条文を置いています。

個人情報保護法
(適用範囲)
第75条 第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。

5.GDPRの十分性認定とは?
また、「日本はEUからGDPRの十分性認定を受けているので、GDPRの罰則が適用されるのはおかしいのでは?」という疑問もネット上でみかけます。

この点、EUのGDPRは原則として、EU域内の個人データがEU域外に移転することを禁止しています。しかし、①十分性認定(45条)、②拘束的企業準則(BCR(Binding Corporate Rules)46条2項(b)、47条)、③標準データ保護条項(SCC(Standard Contractual Clauses)46条2項(c)(d))、④行動規範(46条2項(e))、⑤認証(46条2項(f))などがある場合には、EU域内の個人データがEU域外に移転することを認めています。

日本は2019年1月にEUからGDPR45条に基づき十分性認定を受けているため、上の拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができることになっています(越境データ移転の問題)。

しかしこれはあくまでも拘束的企業準則や標準データ保護条項などの法的手続きを経ずに企業などがEU域内の個人データがEU域外に移転することができるという越境データ移転の問題であり、日本の企業などがEU域内の個人データに関してGDPR違反をした場合には、上でみたように同3条2項によりGDPRが直接適用され、罰則や制裁金が科されるリスクがあることになります。

6.まとめ
このように、日本はEUからGDPRの十分性認定を受けていますが、しかしEU域内に事業所がある企業や(GDPR3条1項)、EU域内に事業所がない企業でも、例えばECやスマホアプリやゲームの開発などで、EU域内の個人にネットのオンラインサービスなどを提供している事業者などは(同3条2項)、GDPRの適用を受け、万が一GDPR違反をした場合には、罰則や制裁金などが科されるリスクがあることになります。

この点、日本の個人情報保護委員会は、GDPRの日本語訳や各種のガイドラインの日本語訳などをサイトに掲載しています。また、個人情報保護委員会は、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」等も準備しています。そのため、EU域内に事業所のある企業や、EU域内の個人などにネット上のサービスを提供している企業などは、日本の個人情報保護法だけでなく、これらのEUなどの各種の法律やガイドライン、ルール等の法令遵守も必要になると思われます。

・日EU間・日英間のデータ越境移転について|個人情報保護委員会
・GDPR(General Data Protection Regulation:一般データ保護規則)|個人情報保護委員会
・個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール|個人情報保護委員会

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・小向太郎・石井夏生利『概説GDPR』33頁、38頁、41頁、141頁
・大塚裕史・十河太朗・塩谷毅・豊田兼彦『基本刑法Ⅰ総論 第2版』449頁

■関連記事
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・文科省が小中学生の成績等を一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・飲食店の予約システムサービス「オートリザーブ」について独禁法から考えた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?























このエントリーをはてなブックマークに追加 mixiチェック

クラブハウス
スイスの情報セキュリティ研究者のMarc Ruef氏(@mruef)などのTwitterの7月24日の投稿によると、音声SNSのClubhouseの日本を含む38億件電話番号データベースがダークウェブのオークションで売りに出されている可能性があるそうです。(【追記】Clubhouse側や他の研究者たちはこの情報漏洩を否定していることを記事末に追記しました。)

クラブハウス情報販売
(Marc Ruef氏(@mruef)のTwitterより)
https://twitter.com/mruef/status/1418693478574346242

Clubhouseのアプリは、自動的にスマホユーザーのアドレス帳に登録されたすべての電話番号を収集するので、自分自身はClubhouseを利用していなくても、自分の電話番号を知っている人間がClubhouseを利用していれば、電話番号等の個人情報が流出している可能性があるとのことです。

これがもし本当にClubhouseを運営するAlpha Exploration(AE)社の保有する個人情報データベースから何らかの方法で出された電話番号データベースであるのなら、日本の個人情報保護法上、電話番号のみのでも「個人情報データベース等」(法2条4項)のデータの一部に該当し、つまり「個人データ」(法2条6項)に該当し、つまりそれは「個人情報」(法2条1項1号)に該当することになります。

個人データの第三者提供には原則、本人の同意が必要であり(法23条1項)、また第三者提供には個人情報が提供された際のトレーサビリティ(追跡可能性)の確保のために、記録作成義務記録確認義務が課されます(法24条、法25条)。(そのため、こういう個人データが大っぴらに転売されることは難しいように思われます。)

AE社は米企業のようですが、もし日本であれば、2014年のベネッセ個人情報漏洩事件のような個人情報漏洩事故なので、安全管理措置(法20条)の懈怠の問題としてAE社は個人情報保護委員会から行政指導等を受けたり(法41条、42条)、ユーザーなどから損害賠償請求訴訟を提起されるリスクがあります。販売等の目的などで個人データを持ち出した人間・法人は罰則も科されます(法84条)。

もしClubhouseがEU圏のユーザーも利用してるなら、AE社はGDPR(EU一般データ保護規則)最高2000万ユーロまたは前会計年度の全世界年間売上高の4%のいずれか大きい額の制裁金が科されるリスクもあります(GDPR83条)。また同様に、もしClubhouseがEU圏のユーザーも利用してるなら、GDPR33条は事業者等が自社の個人情報の漏洩を知った場合、72時間以内の所轄のデータ保護当局への報告という厳しいタイムアタックを要求しているので、AE社はこの義務を履行しなければなりません。

(なお、2022年4月施行予定の日本の令和2年改正の個人情報保護法22条の2は、個人情報漏洩が発覚した場合、原則として、事業者は速やかに個人情報保護委員会に速報を報告し、30日以内に報告書を提出しなければならないことになるので、日本の事業者も個人情報漏洩があった場合には迅速な対応が要求されることになります。)

聞くところによると、一時期大きな注目を浴びたClubhouseも、最近はめっきり利用者が減少しているそうですが、AE社の保有する個人データの取扱や管理の在り方が、いろいろと気になるところです。

■追記(2021年7月26日2:00)
情報セキュリティの専門家の高梨陣平氏(@jingbay)より、この件に関しては、つぎの記事のように、Clubhouse側や他の研究者たちが電話番号の情報漏洩を否定しているとのご教示をいただきました。高梨様、ありがとうございました。
・Clubhouse denies data breach, experts debunk claims of leaked phone numbers|TechZimo
















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.はじめに
情報セキュリティや情報法などの専門家で海外の動向に詳しい 高梨陣平氏(@jingbay)が、6月8日にTwitter上でつぎのように投稿しておられるのを見かけました。

『ドイツで警察が任意の端末にマルウェアを入れることが許可され、ISPやテック業界はそれを手助けを強制される法案が準備中。ドイツはこれでバックドアが不必要になると考えている。これに対し著名なハッカーグループ、Chaos Computer Clubやプライバシについて評判の悪いGoogle、Facebookまで反対とw』
ドイツ警察マルウェア
https://twitter.com/jingbay/status/1402037879191265282
・Google, Facebook, Chaos Computer Club join forces to oppose German state spyware|TheRegister

つまり、ドイツでは、警察などが国民のPCなどの端末をマルウェアで監視するするために通信事業者やIT企業などに協力を法的に強制する法案が準備中であり、著名なハッカーグループや、Google、Facebookなどもこの法案に反対しているとのことです。

ドイツ
では、アメリカの2001年の同時多発テロを受けて、ある州が法改正を行い、州当局がマルウェアなどによる国民のPC等のオンラインによる監視を可能にする法改正を行ったところ、2008年に連邦憲法裁判所が、いわゆる「コンピュータ基本権」という新しい基本権(人権)を示してこの法改正を違憲とした判決があったはずだと思い、資料を読み直してみました。

このブログ記事では、ドイツ「コンピュータ基本権」オンライン監視事件とともに、②最近一部で議論となっている、個人データ保護法制の立法目的に関連して、日米の自己情報コントロール権と欧州の情報自己決定権との同じ点・違う点などについてみてみたいと思います。

2.オンライン監視事件-コンピュータ基本権(2008年2月27日連邦裁判所第一法定判決 連邦憲法裁判所判例集120巻274頁以下 BVerfGE 120.274.Urteil v.27.2.2008)
(1)事案の概要
ドイツでは「自由で民主的な基本秩序または連邦もしくは州(ラント)の存立もしくは安全の保障」を守るために、1950年に連邦憲法擁護法が制定され、連邦憲法擁護庁、16の州(ラント)の憲法擁護庁軍事諜報局(MAD)連邦情報庁(BND)などの憲法擁護機関(憲法保障機関)が分担して諜報活動などの業務を行っている(武市周作「憲法保障機関の正統性―連邦憲法擁護庁を中心に」『東洋法学』61巻3号49頁)。(いわゆる「闘う民主主義」。)

2001年9月11日のアメリカの同時多発テロを受け、世界的にテロ対策への取組が強化されるなか、ドイツノルトライン・ヴェストファーレン州(NRW州)では、2006年12月に州の憲法擁護法が改正された。このNRW州憲法擁護法改正は、「警察トロイの木馬」「Govware」と呼ばれる州当局のマルウェア(スパイウェア)をインターネット経由で州の住民の家庭や事務所などのPC・コンピュータなどに送り込み、PCの記憶領域に蓄積された情報・データを監視することができる「オンラインによる監視」を可能とするものであった(NRW州憲法擁護法5条2項11号)。

ドイツ・ノルトライン・ヴェストファーレン州憲法擁護法
第5条(権限)
第2項 憲法擁護庁は、情報収集活動を行うための7条の役割に応じて、情報収集活動として以下の措置を実行することができる。
 第11号 インターネットへの秘密裡になされる観察及び、とくにコミュニケーション装置への隠密な関わり、またはこうした装置への捜索のようなインターネットへの偵察並びに技術的手段を用いた情報技術システムへの秘密裡になされる侵入。信書、郵便そして電信電話の秘密への関与が、この措置によってなされる場合、この措置は基本法10条が定める法律の諸条件の下でのみ認められる。

このNRW州憲法擁護法改正に対して、NRW州のジャーナリストや弁護士、政治家などが、NRW州憲法擁護法は自分達の基本権10条(通信の秘密)、13条(住居の不可侵)などの基本的人権を侵害するものであるとしてドイツ連邦憲法裁判所に本件訴訟を提起した。

これに対してドイツ連邦憲法裁判所は2008年2月27日に、NRW州憲法擁護法5条2項は、ドイツ基本法に違反しているとの違憲判決を出した。(BVerfGE 120.274.Urteil v.27.2.2008)

(2)判旨
(a)「情報技術システムに秘密裡に関与することを定めた、憲法擁護法5条2項11号の第1文の後半部分は、機密性を保障し情報技術システムの不可侵性を保障する権利という、特別な表現をもって表される一般的人格権に違反する。これを新しい基本権であるとするのは、それが基本法10条(通信の秘密)、13条(住居の不可侵)、さらに情報自己決定権のそれぞれに関連するが、その内容から直接導かれるものではないからである。

コンピュータには、システムに組み込まれたデータ保存機能があり、そのメモリに保存されたデータにまで10条の保障は及ぶものではない。インターネット通信によって、本人が意図しないデータが無意識の内に自己のデータとして蓄積された場合、その内容まで10条では保障しきれないからである。

基本権13条(住居の不可侵)1項は住居の不可侵を規定するが、この不可侵性も、同条2項から7項までの理由があれば国家機関の侵入は認められている。しかし基本法13条1項は、システムへの侵入によって、住居にある情報技術システムのハードディスクないしメモリに蓄積されたデータの取得からの防御を保護しているわけではない。

さらに、一般的人格権から導かれる私的領域の保障情報自己決定権は、情報技術システムの利用者の特別に十分な保護を意味することにはならない。なぜならば、情報技術システムの利用者が求める保障内容は、その利用者の私的領域にあるデータだけに留まるものではないからである。

そこで、基本法1条1項と関連する2条1項に基づく新たな基本権が、私的な領域を国家による情報技術システムへのアクセスから守るために求められる。それが、「情報技術システムにおける不可侵性と機密性を保障する基本権」である。この基本権を保護することを明確に規定する規範があってはじめて、憲法擁護機関は情報システムに関わりうることになるので、その定め方を以下検証しなければならない。

(b) 当該規定(憲法擁護法5条2項)は、規範の明確性の命題を満たしていない。なにより、同条が基本権10条と関係する法律への指示を十分に行っていないからである。

さらに、当該規定は広義の意味での比例原則を満たしていない。比例原則が求められるのは、必要性の命題を満たすときであるが、基本権への侵害が正当化された目的にあり、さらにこうした目的に見合った手段としてなされ、適合的なものであること(が求められる)。

ところが、改正法の内容は明確でもなく、テロ対策に組織的に対応することが限定化されたわけでもない。

当該規定がさらに狭義の比例原則に一致しないのは、高い程度に及ぶ基本権侵害を引き起こすからであり、それは、複雑な情報技術システムを用いての国家による調査が、該当者の人格をえぐり出すことになるからである。さらに、第三者への通信をも監視することによって、一般市民の自由にも影響がでてくる。

もしも情報技術システムへの秘密裡での関与が許されるとすれば、以下の条件があった場合ということになる。つまり、ある事実がとくに高い重要性を有する法に対して個別に引き起こされる危険を示唆する場合であり、たとえその危険がすでに近い将来に訪れるという十分な蓋然性をもって確定できない場合であってもそうである。さらに、こうした関与の権限を認めることになる法律は、該当者に対して適切な手続規定をもって、その基本法保護を確保しなければならない。ここに示されたとくに重要な法益とは、まず、人の身体・生命・自由であり、さらに、国家の基礎や構造ないし人間の存在の基礎にかかわる公共の財産である。また、具体的な危険を表す3つの指標とは、個別性、危険が被害を引き起こす逼迫性、そして起因者としての個人的関連性である。

立法者は、適切な措置によって、私的な生活の中心に位置するデータに関わるような場合は、侵害が最小に抑えられ、該当者の人格への関わりが最小限に抑えられるようにしなければならない。

(c)以上の観点から判断すると、憲法擁護法5条2項11号に示された手段は、情報技術システムが有する機密性や不可侵性の保障に示された一般的人格権への侵害を構成しており、この規定は無効となる。

3.検討
(1)日米の自己情報コントロール権と欧州の情報自己決定権
プライバシー権と個人情報保護法(個人データ保護法)との関係については、アメリカで「ひとりで放っておいてもらう権利」として生まれた従来からの古典的なプライバシー権を包含する形で、自己情報コントロール権として一体的に説明することが日本においては通説的な見解とされています。

つまり、個人の私的領域に他者を無断で立ち入らせないという自由権的なプライバシー権は、情報化社会の進展に伴い、「自己に関する情報をコントロールする権利」(自己情報コントロール権としてとらえられ、自由権的側面だけでなく、プライバシーの保護を公権力に対して積極的に要求してゆく側面が重視されるようになってきているとされています。すなわち、個人に関する情報(個人情報)が行政機関などに集中的に管理されるようになった現代社会においては、個人が自己に関する情報を自らコントロールし、自己に関する情報についての閲覧・訂正ないし抹消請求を求めることが必要であると考えられています(芦部信喜・高橋和之補訂『憲法 第7版』123頁)。

日本の憲法13条は「すべて国民は、個人として尊重される。 生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。」と規定していますが、この憲法13条の 生命、自由及び幸福追求に対する国民の権利」つまり幸福追求権から、プライバシー権と自己情報コントロール権は導き出されるとされています。

一方、ドイツでは1983年の国勢調査判決において連邦憲法裁判所が「情報自己決定権」という新しい基本権(人権)を示し、古典的プライバシー権と情報自己決定権の二本立てで考える構成がヨーロッパでは広く共有されているとされています(小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁。

日米の自己情報コントロール権と欧州の情報自己決定権のイメージ2
(日米の自己情報コントロール権と欧州の情報自己決定権・プライバシー権のイメージ。小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁をもとに筆者作成。)

1983年の国勢調査判決においてドイツ連邦憲法裁判所は、情報自己決定権「自己の個人データの放棄および使用について、原則として自ら決定する権限」定義し、その制約については、①優越した一般的利益、②規範の明確性の要請を満たした法律上の根拠、③比例原則、④人格権侵害を予防するための組織的・手続的予防措置を要求しました。また、⑤統計目的のデータ取得については、統計目的で取得したデータを法執行目的で利用する場合には、限定的で具体的な利用目的による拘束が不可欠であり、規範の明確性の要請が特に重要であるとしました。

ドイツ憲法裁判所は国勢調査判決において、個人情報・個人データについて「(公権力からの)申告の性質だけに照準を合わせることはできない。決定的であるのは、(個人情報・個人データの)その有用性利用可能性である。これらは、一方における取得の目的、他方における情報技術に固有処理可能性および結合可能性に左右される。それにより、それだけを見れば些末な情報が、新たな位置・価値を取得する。その限りで、自動化されたデータ処理という前提のもとでは、「些末な」情報はもはや存在しない。」と述べ、情報自己決定権の必要性を説明しています(小山・前掲)。

日米の自己情報コントロール権とヨーロッパの情報自己決定権との違いは、情報自己決定権に対する公権力などからの制約には、上の①から⑤までの要件・歯止めがある一方で、自己情報コントロール権にはそのような公権力からの制約に関する要件・歯止めが不十分であることにあるとされています。

例えば、警察のNシステムによる自動車のナンバープレート情報や、公道に設置された防犯カメラ・監視カメラによる人の容貌や顔などの情報など、それ自体は外部に公開されている情報の、法的強制を伴わない取得・保存・利用において顕著に表れるとされています。

Nシステムについて2009年の日本の裁判例(東京高裁平成21年1月29日判決)は、「わが国においては警察法2条1項の規定により任意の捜査は許容されており、公道上の何人でも確認し得る車両データを収集・利用することは適法」としています。

一方、ドイツ連邦裁判所は「自動車ナンバープレートの自動記録に関する法律は、法律による授権の特定性および明確性という法治国家の要請を充足しなければならない。」「不特定の広範さゆえに、この法律の規定は憲法上の比例原則の要請も満たしていない」として違憲としています(2008年3月11日ドイツ連邦憲法裁判所第一法廷判決・BVerfGE 120.378[407.427]、小山・前掲)。

このドイツをはじめとするヨーロッパの情報自己決定権は、アメリカの自己情報コントロール権に影響されてドイツ等で生み出されたものとされています(藤原静雄「「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号138頁)。

(2)コンピュータ基本権
情報自己決定権という新しい基本権が生み出されてから約25年後の2008年にドイツ憲法裁判所がいわゆる「コンピュータ基本権」という新しい基本権を示したことは、内外の大きな注目を集めました。

この2008年の本判決は、「情報技術システムの機密性や不可侵性を保障する権利」(コンピュータ基本権を、基本法1条(人間の尊厳、基本権による国家権力の拘束)1項の「人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である」と関連する2条(人格の自由、人身の自由)1項の「何人も、他人の権利を侵害せず、かつ憲法的秩序または道徳律に違反しない限り、自らの人格の自由な発展を求める権利を有する」に関わる基本権としています(石村修「コンピュータ基本権-オンライン監視事件」『ドイツの憲法判例Ⅳ』50頁)。

本判決が出された直後のドイツの学界は、情報自己決定権ではなく、このコンピュータ基本権を提示しなければならない理由が不明確であること、示された判断基準が従来の判例と異なること、さらに、技術的な発展に対して新たな基本権が提唱されるのは、それが完全に入れ替えが必要となった場合であり、オンラインによる監視は、いまだ従来の国家機関がとってきた手法の延長にあること、等の批判が本判決のコンピュータ基本権に対してはなされたとされています。

一方、本事件において申立人らが主張した基本権10条、13条などからはオンラインの監視を取扱うことは困難であること、また、オンラインの監視は個人のデータ保護を超えて、情報技術システムの保護の必要性や、システムへの介入は監視される本人だけでなく、第三者や一般市民にまでその被害がおよぶことなどの理由から、本判決がコンピュータ基本権を提示したのではないかとの指摘もされています(石村・前掲)。

なお、本判決を受けて、ドイツの連邦法レベルでは、2008年11月に連邦検事庁法が改正され、同法20k条は、情報技術システムへの関与について、本判決が示した要件を明記したとされています。また、NRW州も州憲法擁護法5条2項について、本判決の示した要件を明記する法改正を行ったとされています。

4.まとめ
2018年にはEUGDPR(EU一般データ保護規則)が施行されました。GDPRは22条がいわゆるプロファイリング拒否権を規定していることが注目されています。そして、本年4月にはEUはAI規制法案を公表しました。日本でも2021年にデジタル関連法の制定や個人情報保護法改正などが行われ、国会などでは、個人情報保護法の立法目的に自己情報コントロール権を明記すべきかどうかが論点の一つとなりました。その一方で、最近は一部の情報法の学者の先生方からは、自己情報コントロール権を批判する主張もなされています。

日本の情報法・個人情報保護法制の学者・研究者などの関係者の方々、企業や官庁などの実務担当者の方々などは、プライバシー権と個人データ保護法制の在り方や、個人データ保護法制の法目的などについて検討するにあたっては、日米の自己情報コントロール権だけでなく、GDPRの根底にある欧州の情報自己決定権・コンピュータ基本権などについて、また日米と欧州の憲法の基本構造の違い(近代憲法とポスト近代憲法の違い)などについても目配りが必要であると思われます。

なお、本ブログ記事を書くにあたっては、憲法学者の石村修・専修大学名誉教授より貴重なご教示をいただきました。石村先生、誠にありがとうございました。

■参考文献
・石村修「コンピュータ基本権-オンライン監視事件」『ドイツの憲法判例Ⅳ』50頁
・小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁
・武市周作「憲法保障機関の正統性―連邦憲法擁護庁を中心に」『東洋法学』61巻3号49頁
・藤原静雄「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号138頁
・芦部信喜・高橋和之補訂『憲法 第7版』123頁

■追記(2022年3月18日)
2022年3月18日に、情報法制研究所の高木浩光先生のつぎのインタビュー記事に接しました。
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|Cafe JILIS


■関連する記事
ドイツの国勢調査事件判決と情報自己決定権についてーBVerfGE 65,1, Urteil v.15.12.1983
コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング





























このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ