なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:privacy

doctor_isya_warui
1.はじめに
NHKの5月14日のニュースによると、帯広中央病院、済衆館病院、JA広島総合病院、福井赤十字病院、府中病院(大阪)の5か所の病院の眼科医5名が、米医療機器会社の日本法人「スター・ジャパン」社に対して、患者の白内障手術をスター・ジャパン社のカメラで撮影した画像データを3年間にわたり繰り返し第三者提供し現金(40万円~105万円)を受け取っていたことが発覚したとのことです。

・“手術動画”無断で外部提供か 病院側「再発防止に努めたい」|NHKニュース

本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」は適正に取得されていたのか、②医療機器メーカーに販売するという利用目的での本人の同意は取得されていたのか、あるいは目的外利用に本人の同意はあったのか、③医療機器メーカーに販売するという第三者提供について本人の同意は得られていたのか、④各病院の安全管理措置、⑤医師の守秘義務などが主に問題になると思われます。

2.要配慮個人情報
白内障手術の画像データは、「医師等により心身の状態の改善のための指導又は診療」に該当する「診察情報」(個人情報保護法施行令2条3項)に該当するので、要配慮個人情報に該当します(個人情報保護法2条3項)。そして要配慮個人情報の収集にあたっては原則として「本人の同意」が必要となります(法20条2項)。(岡村久道『個人情報保護法 第4版』237頁、91頁。)

3.「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」における「本人の同意」
この「本人の同意」について、平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務等」の「9.個人データの第三者提供(法第27条)」の「(3)本人の同意が得られていると考えられる場合」は、つぎのような場合は本人の同意は得られているとしています(黙示の同意)。

「(略)このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。(後略)」
病院の本人の同意
(個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」より)

つまり、①患者への医療の提供に必要であり、かつ、②個人情報の利用目的として院内掲示板等により明示されている場合、には、患者本人からの明確な本人同意がなくても黙示の同意が得られており、「本人の同意」は適法に取得されていると本ガイダンスはしています。

この点、例えば今回問題となった帯広協会病院は、同病院サイトでプライバシーポリシーのなかで利用目的を表示しています。

帯広病院1
帯広病院2
(帯広協会病院サイトより)

しかしこの帯広協会病院のプライバシーポリシーの利用目的には、「外部の医療機器メーカーなどの医療機器の研究開発に協力する」であるとか、「外部の医療機器メーカーなどに患者の医療データを販売(第三者提供)する」などの利用目的は記載されていません。(個人情報保護委員会等の本ガイダンスに記載されている利用目的の例をみると、他の4つの病院にも記載はないものと思われます。)

4.小括
(1)そのため、本事件において、5つの病院は本人の同意なしに要配慮個人情報の患者の白内障手術の画像データを取得している点で法20条2項違反であり、また本人の同意なしに患者の個人データを目的外利用し、またスター・ジャパン社に第三者提供しているので、法18条1項違反および法27条1項違反であると思われます。さらに、所属する眼科医がこのような違法な行為をしていたことを見逃していた帯広協会病院など5つの病院は、病院内の個人情報に関する安全管理措置に重大な落ち度があったといえると思われます(法23条、24条)。

(2)加えて、今回違法に提供された白内障手術の画像データの全部または一部をスター・ジャパン社に提供し、現金を受け取っていた5名の医師および病院は、1年以下の懲役又は50万円以下の罰金の個人情報データベース等提供罪に該当する可能性があるのではないでしょうか(法174条)。同時にこの医師らは守秘義務違反として刑事責任を問われる可能性があります(刑法134条)。

5.被害にあった患者の方などについて
本事件では、白内障手術の画像データという個人データが本人の同意なしに目的外利用され、また第三者提供されているので、被害にあった患者の方は、各病院に対して、個人データの利用の停止または消去と、第三者提供の停止請求を行うことができます(法35条1項、3項)。また、被害にあった患者の方々は、各病院および各医師に対してプライバシー権の侵害として不法行為に基づく損害賠償責任を請求することができます(民法709条、715条)。

6.個人情報保護委員会など
本事件は個人情報漏洩事故といえるので、各病院は個人情報保護委員会および厚労省に対して報告をし、被害者に通知するとともに公表することが義務付けられています(法26条)。

一方、個人情報保護委員会および厚労省は、各病院に対して報告を徴求し立入検査を行い(法143条)、指導・助言や勧告・命令などの行政指導・行政処分を出すことができます(法144条、145条)。

7.まとめ
このように本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」が適正に取得されておらず違法であり、②医療機器メーカーに販売するという利用目的での本人の同意は取得されておらず違法な目的外利用であり、③個人データの医療機器メーカーへの第三者提供について本人の同意は得られておらず違法であり、④各病院の安全管理措置は尽くされておらず、⑤医師の守秘義務違反による刑事責任やプライバシー侵害による不法行為に基づく損害賠償請求権が問題となる事案であると思われます。

■追記(5月17日)
NHKのニュースによると、本事件について、厚労省はスター・ジャパン社に聞き取りをするなどの調査を開始したとのことです。また、業界団体の「医療機器業公正取引協議会」も調査を開始したとのことです。今後の展開が気になるところです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第4版』237頁、91頁、400頁、405頁
・平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム













このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
2022年にはいってから、個人情報保護委員会(PPC)で「防犯予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催されています。そこで、PPCサイトで公表されている同検討会の資料を読み、気がついたところを簡単にまとめてみました。

・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(第1回)
・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(第2回)
・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(第3回)

Ⅰ.資料2「顔識別機能付き防犯カメラの利用に関する法的整理と検討課題」について
1.2頁の3.カメラ画像の提供の(3)共同利用について
(1)防犯カメラの個人データが際限なくどんどん広範囲に共同利用されてしまうおそれへの歯止めが必要ではないか。学者の先生方の教科書をみると、共同利用の限界は「書店業界」など「〇〇業界」のなかが限界(外延)であるように読めるが(園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁)、もし防犯カメラの個人データが「日本の小売業全体」で共同利用されてしまったら、それは範囲が広すぎではないか。立法などで歯止めをかけるべきではないか。

(2)また第三者提供の例外である委託、事業承継、共同利用のなかで、共同利用は一番抽象的で事業者にいかようにも利用されてしまうリスクが高い。(例、TポイントのCCCの個人データの管理が当初、共同利用とされていたことなど)この点は、今後の個人情報保護法の改正などで明確化を図るべきではないか。

2.2頁の開示等請求について
(1)いわゆる「防犯カメラの冤罪被害者」の方々がスーパーや警備会社などに開示等請求をしても、一番多い対象は「うちはそういうことはやってない」「そういうデータは保存していない」と対応を断られることである。この場合、個人情報保護法上は開示等請求の民事訴訟を提起するしか対応方法がないが、これは一般市民にはハードルが高すぎる。例えば個人情報保護委員会(PPC)への相談、申告などの手続きを経て、PPCから事業者に対して助言・指導を行わせるなど、PPCが関与して紛争解決をするための手続きがあったほうがよいのではないか。

3.3頁の(1)利用目的の特定について
(1)PPCの個人情報保護法QA1-12は、ただの防犯カメラは個人情報保護法21条4項4号との関係で事業者は「防犯カメラ作動中」との掲示・表示さえすればよしとされているが、顔識別機能付き防犯カメラの場合は「防犯のために顔識別技術を用いた顔識別データの取扱が行われていること」を示す掲示・表示が必要としているが、現状ではほとんどの事業者が後者を遵守していない。遵守させるために、ガイドラインやQAだけでなく立法が必要なのではないか。

4.12頁のカメラ画像の提供の(3)共同利用、個人情報保護法ガイドラインQA7-50について
(1)共同利用する個人データは「真に必要な範囲に限定」、「データベースへの登録条件を整備」とあるが、特にいわゆる「防犯カメラの冤罪被害者」の人々が被る権利利益の侵害、個人の尊重と基本的人権(プライバシー権など)の侵害は重大であるため、この部分を事業者や認定個人情報保護団体のブラックボックスとさせないように、登録条件・基準や保存期間、開示等請求の手続き、問合せ窓口などを事業者に制定させ公開させ遵守を義務付けるための立法が必要なのではないか。ガイドラインやQAなどでは足りないのではないか。個人情報保護法は事業者による個人情報の利用と国民の権利利益の保護や人権保障のバランスをとる法律であることを考えると、PPCは国民の個人の尊重と基本的人権を守るための行政活動や立法活動がより必要なのではないか(個人情報保護法1条、3条)。

5.13頁の開示等請求の施行令5条各号について
(1)一般論としては、事業者側の対犯罪対応、反社対策、警察などの対テロ対応、安全保障対策のためにこのような除外規定があることは理解できるが、しかしいわゆる「防犯カメラの冤罪被害者」のように間違ってデータベースに登録された人々の権利救済のためには、施行令5条にも、本人が異議申し立てをできる場合を明記するような方向で、個人情報保護法を改正すべきではないか。施行令5条が事業者の免罪符になっている現状は問題である。(例えば施行令5条に該当する場合でも、冤罪被害のおそれが高い場合には、PPCや裁判所の関与のもとにインカメラ手続きなどを利用して本人の権利救済を図るなど。)

個人情報保護法施行令5条
(個人情報保護法施行令5条。PPCの資料2より)

6.企業の特定分野を対象とする団体を認定する認定個人情報保護団体の創設について
(1)この法改正により、あまりにも広い範囲で個人データの共同利用がなされてしまった場合、本人の合理的な予測ができず、本人の権利利益の侵害となってしまうのではないか。(例えば業界をまたぐ個人データの共同利用などは認めるべきではないのでは。)認定個人情報保護団体や事業者の利便性とは別に、本人・国民の側の権利利益の保護も図られるべきではないか。

7.17頁の事業者の自主的な取り組みについて
(1)これらの事業者の自主的な取り組みを事業者に実施させるために、自主的な取り組みの制定・公表を事業者や認定個人情報保護団体に義務付け、遵守させるために、枠組み立法が必要なのではないか。

Ⅱ.資料3「顔識別機能付き防犯カメラの利用に関する国内外動向」について
(1)EUのGDPR22条だけでなく、同22条のプロファイリング拒否権やAI規制法案も検討すべきではないか。また、GDPR22条については、日本の2000年の旧労働省の「労働者の個人情報保護のための行動指針」第2第6(6)もプロファイリング拒否権を明記していたことをもっと注目すべきではないか。

(2)ドイツは憲法擁護庁など諜報機関の防犯カメラなどの統制のために「テロ対策データベース法」などを制定して諜報機関の防犯カメラなどの運用を第三者機関などがチェックしているそうなので、日本も同法を検討してはどうか(日弁連『監視社会をどうする』95頁以下に概要あり。)。また、米オレゴン州ポートランドは2020年9月に、民間企業も公共空間での防犯カメラの利用を禁止する法律を制定し、2020年8月にはアメリカの連邦裁判所が警察による防犯カメラの利用に違憲判決を出しているので、個人情報保護委員会は本検討会でこれらの法律や判決を検討すべきではないか。

Ⅲ.第1回議事録について
1.5頁開示請求について
(1)万引き犯などのブラックリストは施行令5条により保有個人データに該当しないとなると、事業者側は一切開示等請求に応じなくてよいことになってしまい、いわゆる防犯カメラの冤罪被害者の人権侵害を救済できない。施行令5条で一律に保有個人データに該当しないのではなく、ブラックリストに載せられた人を救済できるための何らかの手当が必要ではないか。

2.5頁GDPRについて
(1)DGPR9条だけでなく、同22条やAI規制法案も検討すべき。また、例えばドイツの憲法擁護庁など諜報機関に関する対テロ法など、諜報機関の情報管理を第三者がチェックするための法律なども検討すべき。本検討会の射程に収まるかは別として、PPCはプロファイリング拒否権やAI規制法を日本にも導入するために検討をすべきではないか。また、欧米は2000年代に制定した遺伝子差別禁止法なども日本も早く立法化すべきではないか。

Ⅳ.第2回議事録について
1.2頁目の真ん中の〇の部分
(1)「制定当初の個人情報保護法は…個人情報の中に機微性における区別はなかった」は、事実誤認である。制定当初の個人情報保護法に基づいて制定された、金融庁の金融分野における個人情報保護ガイドラインなどは、センシティブ情報に関する規定を置いている。また、2000年の旧労働省の「労働者の個人情報保護の行動指針」もプロファイリング拒否権の条文を置いている。

(2)3頁目の3番目の〇の「立法者意思説でなく法律意思説でいくべき」について 賛成である。立法者の意思も重要であるが、現在の社会情勢や判例・学説の動向を勘案の上、機動的に個人情報保護(個人データ保護)、個人の尊重や基本的人権の確立のための行政活動・立法活動を行うべきである。

2.6頁の顔識別機能付きカメラについて
(1)顔識別機能付きカメラにより個人のプロファイリングがなされてしまうとの問題意識に賛成である。この点をさらに深堀りし、国民の個人の尊重と基本的人権を守る方向で議論をすすめていただきたい。

3.7頁目の「検討すべき事項」について
(1)経産省・総務省の商用カメラに関する「カメラ画像利活用ガイドブック」と個人情報保護法や同ガイドラインの防犯カメラに関する部分との統一化が必要ではないか。カメラを利用し個人の顔識別やプロファイリングなどを行う面では同じ問題なのであるから。また、国民の個人の尊重と基本的人権の保護のために、これらを規制する枠組み立法が必要である。

(2)8頁目の「カメラ画像の第三者提供や共同利用」を広げていく議論に関しては、慎重な議論が必要である。個人情報保護法17条(利用目的の特定)の背後にある、「必要最低限の原則」に180度反する可能性が高いので、慎重な議論が必要である。同様に、デジタル庁等が現在推進している、「学習データ利活用ロードマップ」や「行政の保有する子供の個人データの共有化」「スーパーシティ構想・デジタル田園都市構想」などの政策も、この「必要最低限の原則」に180度反しているので、PPCは個人情報保護法の所管官庁として、しかるべき対応をすべきではないか。

(3)その他、就活生のSNSの「裏アカウント」を採用企業や調査会社などが調査し分析している問題や、ネット系人材紹介会社が本人の承諾なしに勝手にSNSやGithubなどの個人データを収集・分析して人材紹介ビジネスを行っている問題など、労働法(職安法など)と個人情報保護法が交錯する分野についても、PPCは厚労省と共担でしかるべき対応を行うべきではないか。また、最近、警察庁が国民のSNSをAIで捜査するシステムを導入したとのことであるが、これらについてもPPCは個人情報保護法(個人データ保護法)の担当所管としてしかるべき対応をすべきではないか。

(参考)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・遺伝子検査と個人情報・差別・生命保険/米遺伝子情報差別禁止法(GINA)
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)













このエントリーをはてなブックマークに追加 mixiチェック

Googleロゴ

1.はじめに
ネット上のウェブサイト(Googleの口コミ)への投稿記事を第三者が本人に「なりすまし」て行ったものであると認定し、当該ウェブサイトの管理・運営者(Google)への当該投稿記事の削除請求を認めた興味深い裁判例(大阪地裁令和2年9月18日判決)が、『判例時報』2505号(2022年3月1日号)69頁に掲載されていました。

2.事案の概要
被告Y(Google)は、Googleアカウントを有する者であれば誰でも自由に店舗、施設等についての感想や評価等の口コミを投稿できる機能(Googleの口コミ)を提供・運営している。アカウント名はアカウントを有する者(ユーザー)が自由に設定でき、本件サイトではアカウント名が口コミの投稿者として表示される。

原告Xは、本件整骨院に通院している患者であり、河野花子という名前の患者は本件記事が投稿された前後の時期においてXのみである。本件投稿は遅くとも平成30年12月13日になされた。その後、Xは、本件投稿を閲覧した近隣住民から、「本件整骨院の悪口を書き込んでいるのではないか」と言われ本件投稿を知った。Xは自宅を一歩でれば近所の住民から何を言われるかと恐れながら生活する状況に陥り精神的苦痛を受けた。

Xは平成31年2月8日に本件投稿記事についてYに対して発信者情報開示の仮処分命令申立てを行った(別件保全事件)。これに対して東京地裁は令和元年5月7日、発信者情報を仮に開示することを命じる仮処分決定を行った。しかしYは同年同月29日にXに対して「開示を命じられた発信者情報が確認できない」との回答を行った。これに対してXは別件保全事件を取り下げ、本件投稿記事の削除と損害賠償の請求をYに対して求めて提訴したのが本件訴訟である。

3.判旨
本判決は、つぎのように判示して、本件投稿記事の削除請求を認める一方で、損害賠償責任は認めなかった。

(1)争点1(人格権に基づく本件投稿記事の削除請求権が認められるか)
『氏名は、社会的にみれば、個人を他人から識別し特定する権利を有するものであるが、同時に、その個人からみれば、人が個人として尊重される基礎であり、その個人の人格の象徴であって、人格権の一内容を構成するものというべきであるから、人は、その氏名を他人に冒用されない権利を有するところ、かかる権利は、不法行為上、強固なものとして保護されると解される(最高裁判所昭和63年2月16日第三小法廷判決・民集42巻2号27頁参照)。』(略)

『以上によれば、Xは、他人に氏名を冒用されない権利を違法に侵害されたといえるから、利用規約により本件サイトに投稿された記事につき一定の削除権限を有するYに対し、人格権に基づき本件投稿記事の削除を請求できる。』

(2)争点2(Yは不法行為に基づく損害賠償責任を負うか)
『Yが、別件申立てにより、本件投稿記事の存在を認識し、Xが氏名を冒用されない権利を侵害されている可能性を認識しえたとしても、本件投稿記事がXのなりすましによるものであることをYにおいて最終的に判断し得る情報が提供されたとまでは言えないから、その時点でXが他人に氏名を冒用されて本件投稿記事が投稿されたことを認識できたとはいえない。』『Yが…本件投稿記事を削除する条理上の義務を負っていたと認めることはでき(ない)。』

4.検討
氏名を他人に冒用されない権利は人格権(憲法13条)の一つであり、この権利に基づいて侵害行為の排除請求権が認められると本判決が引用している最高裁昭和63年2月16日判決はしています。また最高裁平成18年1月20日判決は、侵害行為の差止請求も認めています。

ところで、人格権としての氏名を他人に冒用されない権利が侵害された場合に、どのような判断基準で削除請求権などを認めるかについては、裁判例は、①氏名を他人に冒用されない権利は強固な権利であるので、氏名を冒用されたことを直ちに認めて、侵害行為の排除等を認める考え方と、②プライバシーに関する事項や名誉棄損に関する事項などと同様に、比較衡量で判断する考え方(最高裁平成29年1月31日判決・判例時報2328号10頁)の二つに分かれるようです。そして本判決は①をとっています。

この点、民法の通説は、人格権を理由とする差止等について、「人格権は生命・身体とともにきわめて重大な保護法益であり、物権の場合と同様に排他性を有する権利である」として、例えば看板の撤去、図書販売の差止めなどの排除などを命じる救済が認められるとしています(潮見佳男『基本講義 債権各論Ⅱ不法行為法 第3版』216頁)。つまり民法の通説は①を採用しているようです。(なおこの差止などの請求権が表現の自由などと衝突する場合には、その調整が必要となりますが、保護法益がプライバシー権などの場合には、現在の判例・多数説はプライバシー権を軽視しすぎであると潮見教授は指摘しています(潮見・前掲)。)

なお、ネット上の「なりすまし」による投稿の問題は、Googleの口コミだけでなく、TwitterやFacebookなどのSNSや、食べログなどの飲食店の情報サイトや人材会社の転職サイトなどでも同様に発生し得る問題であると思われます。これらのSNSなどにおいても、「氏名を冒用」されるような投稿が行われた場合、裁判所に当該投稿の削除等が認められる可能性があるものと思われます。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・『判例時報』2505号(2022年3月1日号)69頁
・潮見佳男『基本講義 債権各論Ⅱ不法行為法 第3版』216頁















このエントリーをはてなブックマークに追加 mixiチェック

ラインのアイコン

1.LINEがプライバシーポリシーを改正
LINE社が3月31日付でLINEのプライバシーポリシーを改正するようです。その内容は、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点となっています。

このなかで①②はどちらも他社データをLINEの保有する個人データに突合・名寄せをして該当するユーザーに広告やメッセージ等を表示する等となっておりますが、これは委託の「混ぜるな危険の問題」に該当し、本年4月施行の個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41、42、43から違法の可能性があると思われます。また、この改正がLINEのプライバシーポリシー本体に記載されていないこと、昨年3月に炎上した「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」となっていることも個人情報保護法上問題であると思われます。

・プライバシーポリシー改定のお知らせ|LINE
・LINEプライバシーポリシー|LINE

2.①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用
LINE社の「LINEプライバシーポリシー変更のご案内」によると、「①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用」は、「ユーザーの皆さまへ提携事業者が「公式アカウントメッセージ送信」や「広告配信」などを行う際、当該提携事業者から取得した情報(ユーザーの皆さまを識別するIDなど)をLINEが保有する情報と組み合わせて実施することがあります。」と説明されています。

ラインプライバシーポリシー変更のご案内2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

そして、この点を詳しく説明した「LINEプライバシーポリシー改正のご案内」は①についてつぎのように説明しています。

情報の流れ
1.A社(提携事業者)が、商品の購入履歴のあるユーザー情報(ユーザーに関する識別子、ハッシュ化されたメールアドレス、電話番号、IPアドレス、OS情報など)を加工してLINEに伝える
   ↓
2.LINEが、A社から受け取ったユーザー情報の中からLINEのユーザー情報だけを抽出する
   ↓
3.抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施する
ライン1
ライン2
(LINE社の「LINEプライバシーポリシー変更のご案内」より)

この「情報の流れ」によると、LINE社の提携事業者A社は、ユーザーを識別するためのハッシュ化されたメールアドレス、電話番号、IPアドレスなどのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし(=混ぜる)、LINEのユーザー情報だけを抽出し、当該抽出されたユーザーに対して、A社の保有するLINE公式アカウントからのメッセージ送信や、広告の配信を実施するとなっています。

3.委託の「混ぜるな危険」の問題
しかしこのプロセス中の、「提携事業者A社は、ユーザーを識別するためのユーザー情報をLINE社に提供し、当該ユーザー情報をLINE社は同社が保有する個人データ(個人情報データベース)と突合・名寄せし、LINEのユーザー情報だけを抽出する」というプロセスは、いわゆる委託の「混ぜるな危険の問題」そのものです。

この点、PPCの「個人情報保護法ガイドライン(通則編)」(2022年4月1日施行版)3-6-3(1)は、委託の「委託先は、委託された業務の範囲内でのみ本人との関係において委託元である個人情報取扱事業者と一体のものと取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない」と規定しています(個人情報保護法ガイドライン(通則編)3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)(1)委託(法第27条第5項第1号関係))。

そして改正前のPPCの個人情報保護法ガイドラインQA5-26-2は、「委託先が委託元から提供された個人データを他社の個人データと区別せずに混ぜて取り扱う場合(いわゆる「混ぜるな危険」の問題)について、委託として許されない」としています(田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

すなわち、委託(改正個人情報保護法27条5項1号・改正前法23条第5項第1号)とは、コンピュータへの個人情報のデータ入力業務などのアウトソーシング(外部委託)のことですが、委託元がすることができる業務を委託先に委託できるにとどまるものであることから、委託においては、委託元の個人データを委託先の保有する個人データと突合・名寄せなどして「混ぜて」、利用・加工などすることは委託を超えるものとして許されないとされているのです。

そして、2022年4月1日施行の改正版のPPCの個人情報保護法ガイドラインQA7-41はこの点を次のように明確化しています。
Q7-41
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41
個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

QA7-41
(個人情報保護法ガイドラインQA7-41より)

したがって、委託先であるLINE社が委託元の提携事業者A社から商品の購入履歴のあるユーザー情報を受け取り、LINE社が自社が保有する個人データと当該A社の他社データを突合・名寄せしてユーザーを抽出し、当該ユーザーに広告やダイレクトメールを送信するなどの行為は、PPCの個人情報保護法ガイドラインQA7ー41の事例1、事例2にあてはまる行為であるため許されません。

この点、PPCの個人情報保護法ガイドラインQA7ー41はこの委託の「混ぜるな危険」の問題をクリアするためには、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要がある」としています。

そのため、LINE社が第三者提供としての本人の同意を取得しないと、今回のLINE社のプライバシーポリシーの改正の①の部分は違法となります。

4.「本人の同意」について
なおこの場合は、法27条5項1号の「委託」に該当しないことになり、原則に戻るため、法27条1項の本人の同意が必要となるため、法27条2項のオプトアウト方式による本人の同意では足りないことになります(岡村久道『個人情報保護法 第3版』263頁)。

また、個人情報保護法ガイドライン(通則編)3-4-1は、本人の同意の「同意」について、「同意取得の際には、事業の規模、性質、個人データの取扱状況等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなくてはならない」と規定しています。

しかし、LINE社のスマホアプリ版のLINEを確認すると、冒頭でみたように、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点が簡単に表示されているだけで、①②が委託の「混ぜるな危険の問題」に関するものであることの明示もなく、プライバシーポリシーの改正への「同意」ボタンしか用意されていません。これではPPCのガイドラインの要求する「本人の同意」に関する十分な説明がなされていないのではないかと大いに疑問です。

5.プライバシーポリシーに記載がない?
さらに気になるのは、LINE社の改正版のプライバシーポリシーをみると、上の①②に関する事項が「パーソナルデータの提供」の部分にまったく記載されていないようなことです。さすがにこれはひどいのではないでしょうか。たしかに「LINEプライバシーポリシー変更のご案内」には最低限の記載は存在し、これやプライバシーポリシーを両方とも一体のものとして読めばいいのかもしれませんが、これで通常の判断能力を持つ一般人のユーザーは合理的にLINEのプライバシーポリシーの改正を理解できるのでしょうか?

パーソナルデータの提供
(LINEプライバシーポリシーより)

LINE社の経営陣や法務部、情報システム部などは、昨年、情報管理の問題が国・自治体を巻き込んで大炎上したにもかかわらず、あまりにも情報管理を軽視しすぎなのではないでしょうか。

6.「②統計情報の作成・提供」について
LINE社のプライバシーポリシーの改正点の2つ目の「②統計情報の作成・提供」は、「LINEプライバシーポリシー変更のご案内」によると、広告主等の提携事業者から情報(ユーザーの皆さまを識別するIDや購買履歴など)を受領し、LINEが保有する情報と組み合わせて統計情報を作成することがあります。提携事業者には統計情報のみを提供し、ユーザーの皆さまを特定可能な情報は提供しません。」と説明されています。

ライン3
ライン4
(「LINEプライバシーポリシー変更のご案内」より)

つまり、「②統計情報の作成・提供」も①と同様に広告主などの提携事業者の他社データをLINE社が自社の個人データと突合・名寄せして、ユーザーの行動傾向や趣味・指向などを分析・作成等するものであるようです。LINE社は分析・作成した成果物は統計情報であるとしていますが、4月1日施行のPPCの個人情報保護法ガイドラインQA7ー38は、成果物が統計情報であったとしても、委託元の利用目的を超えて委託先が当該統計情報を利用等することはできないと規定しており、同時に同QA7ー43も、統計情報を作成するためであったとしても、委託の「混ぜるな危険の問題」を回避することはできないと規定しています。したがって、②の場合についても、第三者提供として本人の同意を取得しない限りは、同取扱いは違法となります。

7.「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」?
さらに、今回のLINE社のプライバシーポリシー改正の三番目の「③越境移転に関する情報の追加」の部分については、プライバシーポリシーの該当部分の「外国のパーソナルデータ保護の制度等の情報はこちら」の部分をクリックして開いても、「ただいま準備中てす」との文言しか表示されませんでした(2022年3月28日現在)。この「外国にある第三者」に係る外国の個人情報保護の制度等の情報については、あらかじめ本人に提供しなければならないと改正個人情報保護法28条2項が明記しているのにです。PPCや総務省からみて、LINE社のこのような仕事ぶりが許容されるのか大いに疑問です。

(なお、プライバシーポリシーも民法の定型約款の一種ですが、民法548条の2第2号の規定から、事業者は契約締結や契約が改正された場合はあらかじめ約款の表示が必要と解されています。PPCサイトにはすでに事業者が参考になる外国の制度等の情報が掲載されていることも考えると、3月下旬ごろからプライバシーポリシー改正の本人同意の取得をはじめているLINE社のプライバシーポリシーの一部が未完成なのは、民法や消費者保護の観点からもやはり大問題です。)

ただいま準備中です
(LINE社のプライバシーポリシーより)

8.まとめ
このように、今回、LINE社がプライバシーポリシーを改正した①②は、委託の「混ぜるな危険」の問題に関するものであり、LINE社は第三者提供の本人の同意を取得しなければ違法となります。この「本人の同意」について、PPCの個人情報保護法ガイドライン(通則編)は、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示す」ことが必要としているにもかかわらず、LINE社の説明はオブラートにくるんだようなものであり、これで通常の一般人のユーザーがプライバシーポリシーの改正内容を十分理解をした上で「本人の同意」をできるのか非常に疑問です。とくに今回の改正内容がプライバシーポリシー本体に盛り込まれていないことは非常に問題なのではないでしょうか。

また、「外国にある第三者」の外国の個人情報保護法制などの制度の情報に関する部分が「準備中」となっているのも、昨年3月にこの部分が大炎上したことに鑑みても非常に問題です。

LINEの日本のユーザー数は約8900万人(2021年11月現在)であり、日本では最大級のSNSであり、またLINE社は2021年3月に朝日新聞の峰村健司氏などのスクープ記事により、個人情報の杜撰な管理が大炎上したのに、LINE社の経営陣や法務部門、情報システム部門、リスク管理部門などの管理部門は、社内の情報管理をあいかわらず非常に軽視しているのではないでしょうか。大いに疑問です。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』245頁、277頁
・岡村久道『個人情報保護法 第3版』246頁、125頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』52頁、54頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・児玉隆晴・伊藤元『改正民法(債権法)の要点解説』108頁

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・個人情報保護法改正対応の日経新聞の日経IDプライバシーポリシーの改正版がいろいろとひどい
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-プロファイリング拒否権・デジタル荘園・「デジタル・ファシズム」
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?





















このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
このブログ記事の概要
アメリカ・日本のプライバシーに関する自己情報コントロール権に対応する欧州の「情報自己決定権」は、アメリカで生まれた自己情報コントロール権をもとにドイツの1983年の国勢調査判決で「新しい基本権」(新しい人権)として生まれました(国勢調査法違憲判決・1983年12月15日連邦憲法裁判所第1法定判決・BVerfGE 65,1, Urteil v.15.12.1983)。

このブログ記事では、国勢調査事件判決と欧州の情報自己決定権、日本の自己情報コントロール権の発展と、これらの権利への高木浩光先生の批判などについて簡単に説明したいと思います。

1.ドイツ国勢調査事件の事案の概要
ドイツの1982年の国勢調査法に基づき、1983年4月に実施が予定されていた人口、職業、住宅、事業所の国勢調査について、原告は、国勢調査法は西ドイツ基本法1条1項(人間の尊厳)に関連づけられた2条1項(人格の自由な発展の権利)などの基本権(人権)を侵害しているとして、連邦憲法裁判所に対して憲法異議の申し立てを行った。

主な争点となった、国勢調査法9条は、国勢調査の調査事項の利用について規定していたが、同法9条1項は届出記録簿(=日本の住民票に相当する)との照合を認め、同法同条2項は連邦およびラント(州)の所管の最上級行政庁への提供を可能とし、同法同条3項は一定の行政執行上の利用目的のために市町村等の利用を認める規定となっていた。

これに対して連邦憲法裁判所は、1983年12月15日に本判決を出した。

2.判旨
(1)一般的人格権について
(a)まず、審査の基準となるのは、基本法1条1項に関係づけられた2条1項によって保護された一般的人格権である。基本法的秩序の中核となるのは、自由な社会の要としての自由な自己決定において作用する個人の価値と尊厳である。これまでの判例によって具体化されてきた人格権の内容は、完結的ではない。それは、これまでの判決が示しているように、自己決定の思想から引き出される、個人的生活実態をいつ、どこまで公開するかを、基本的に自身で決定する個人の権能を含むのである。

 個人の自己決定は、現代の情報処理技術の諸条件の下でも、個人にこれから行うか中止しようとしている行動について、実際にその決定に従って行動する可能性を含めて、決定の自由が与えられていることが前提となる。自己に関するどのような情報が自分を取り巻く一定範囲の社会的環境において知られているのかについて十分な確実性をもって見通すことができない者や、コミュニケーションの相手方となりうる者がどのような知識を持っているかをある程度評価査定することができない者は、自分自身の自己決定を基にして計画を立て、判断を下す自己の自由を著しく阻まれることもある。逸脱した行動が、常に記録され、情報として永続的に蓄積され、利用され、伝達されることに不安を抱く者は、そのような行動によって目立つことを控えようとするであろう。このことは、個人のそれぞれの発展の機会を妨げるだけでなく、公共の福祉をも害する。なぜなら、自己決定は、市民の行動及び協業能力に基づく自由で民主的な国家共同体の基本的な機能条件であるからである。

(b)この情報自己決定権は、無制限に保障されているのではない。個人は、共同体の中で発展し、コミュニケーションに依存している人格である。情報は、個人に関係していても、社会的事実の描写であり、当該個人だけのものではない。基本法は、個人の共同関係性及び共同体被拘束性という意味において個人対共同体の緊張関係について決定してきたのであるから、個人は、その情報自己決定権について、原則として優越する公益による制限を受忍しなければならない。  この制限は、基本法2条1項に従い、その制限の要件と範囲が明らかで市民が認識することができ、それにより規範の明確性という法治国家の要請に応える(憲法に適合した)法律の根拠を必要とする。その規制に際して、立法者は、さらに比例原則を遵守しなければならない。このような憲法上の原則は、基本権が国家に対する市民の一般的自由権の表現として、公益を保護するための不可欠な限度においてのみ、その都度公権力によって制限できるという、基本権自体の本質から引き出されるものである。

 自動的データ処理の利用による既述の危険に鑑み、立法者は、人格権の侵害の危険に対抗できる組織的及び手続的な予防措置を講じなければならない。データが人格権法上有する意味を確認するためには、その利用可能性に関する知識を必要とする。申告が何の目的のために要求され、どんな結合及び利用の可能性があるのかが明らかになって初めて、許容しうる情報自己決定権の制限の問題に答えることができる。その際、個別化され、匿名化されていない形式で調査され、処理される個人に関連するデータと、統計目的用に確定されたそれとの間の区別が必要である。 

(c)個別化され、匿名化されていない個人に関連するデータの申告を強制するには、立法者が、領域を特定し、かつ、正確にその利用目的を規定すること、この目的のために申告項目が適切かつ必要であることが前提となる。匿名化されないデータを、不特定の又は特定することができない目的のために取集し、蓄積することは、このことと相いれないであろう。データの利用は、法律で規定された目的に制限される。自動データ処理の危険に関しては、伝達禁止及び利用禁止により、目的転用に対する保護が必要である。手続的予防措置としては、説明義務、情報提供義務及び消去義務が必要である。

(d)統計目的のためのデータの調査と処理は、憲法判断にとって軽視することができない特殊性を有する。データが様々な、予め規定することができない任務のために利用されることは、統計の本質に属する。統計の性質上、様々な利用及び結合の可能性を予め特定することができない以上、情報システムの内部において、情報の調査及び処理に、これを保障するだけの制限を設けなければならない。個人に関する申告の自動的な調査及び処理については、個人が、単なる情報客体として扱われないようにするための明確に定義された処理要件が定められなければならない。データ処理の多機能性に鑑み、あらゆる申告が求められてはならず、公的任務を充足する補助としてのみなされなければならない。立法者は、申請義務を定めるに際しても、それが該当者に社会的なレッテル(例えば、麻薬常習者、前科者、精神病者、はみだし人間)を貼ることにならないか、調査の目的が、匿名の調査によって達成することができないかどうかを吟味しなければならない。(後略)

(2)1983年国勢調査法9条の違憲性
(a)1983年国勢調査法9条1項は「2条1号及び2号に基づく国勢調査の申告は、届出記録簿と照合し、その訂正に利用することができる。この申告から得られる知識は、個々の申告義務者への対抗措置のために利用してはならない」とし、市町村にそのような利用権限を認めているが、この規定は、基本法1条1項に関連付けられた2条1項で保障される情報自己決定権を侵害する。なぜなら、1983年国勢調査から選び出される個人データは、統計目的だけでなく、具体的な目的拘束を受けない行政執行のためにも利用することができるし、さらに届出記録と照合する官庁は、届出法大綱法などによってその任務上、そうしたデータを他の官庁に伝達することができるから、どの官庁がどんな目的のためにデータを利用するかを予測することができないからである。(後略)

(b)国勢調査法9条2項も、基本法1条1項に関係づけられた2条1項に違反している。この規定は、個人に関係する個別的申告を連邦及び州の統計局から専門的権限を有する最上級の連邦及び州官庁並びにそれらに指定された機関に、これらの機関がその権限に属する任務を合法的に遂行するために必要である限り、伝達することを認めている。この規定は、連邦統計法11条5項(匿名化された個別事項の伝達を許容している)・6項を逸脱している。なぜなら、この規定によると、データは、単に氏名と9条2項2文による宗教団体への所属・非所属を削除すれば伝達することができるから、当該者を容易に識別することができるからである。伝達は単に統計目的のためにだけなのか、それとも行政執行のためにも許されるのかを、規定から認識することができない。この規定から、行政目的のための伝達が予定されているのか、匿名化されていないデータが提供される場合に必要なように、どのような具体的に明確に定義された目的が問題となるのかを、明確に認識することができない以上、それは市民の情報自己決定権を侵害している。

(c)国勢調査法9条3項は、基本法1条1項に関係づけられた2条1項に違反している。9条3項1文によれば、市町村の助けを借りて調査された個人関係項目は、名前を付すことなく、地方自治体の領域において特定の行政目的のために利用することができる。すなわち所得の額と宗教法人への所属・非所属を除く、国勢調査法2条ないし4条によって把握された個人に関係する個々の申告は、広域地方計画、測量業務、市町村の計画及び環境保護の目的のために、伝達することができる。しかしデータがどのような具体的目的のために伝達されるのか、特に統計目的のためだけなのか、行政執行目的も含まれるのか、その場合どのような具体的に明確に定義された目的が問題となるのかを、十分に認識することができない。規定された目的の不明瞭性についていえば、連邦及び州の統計庁も、それぞれの目的を達するための市町村又は市町村連合への伝達が、匿名化された項目でも十分でないのかどうかも確定することができない。(後略)

3.検討
(1)情報自己決定権
当時の西ドイツ基本法(現在のドイツ基本法)の2条1項(人格の自由な発展の権利)は、「何人も、…自らの人格の自由な発展を求める権利を有する。」と日本の憲法13条後段の幸福追求権のような規定を置いています。この基本権2条1項により、国民は他人の権利を侵害せず、憲法的秩序(=基本権(=基本的人権)など、憲法に適合した法秩序)または道徳律に違反しない限り、国民は一般的行動の自由を保障されるという「一般的行動の自由」が認められてきました。

ドイツ基本法
第1条 [人間の尊厳、基本権による国家権力の拘束]
(1) 人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である。

第2条 [人格の自由]
(1) 何人も、他人の権利を侵害せず、かつ憲法的秩序または道徳律に違反しない限り、自らの人格の自由な発展を求める権利を有する。

日本国憲法
第13条 すべて国民は、個人として尊重される。生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。

また、基本法1条1項(人間の尊厳)は「人間の尊厳は不可侵である。これを尊重し、および保護することは、すべての国家権力の義務である。」と日本の憲法13条前段の「すべて国民は個人として尊重される」に似た規定を置いています。そしてドイツ連邦憲法裁判所は、基本権1条1項の価値内容(人間の尊厳)を2条1項(人格の自由な発展の権利)で補充することにより、一般の行動の自由とは区別された、より限定された人格領域を「一般的人格権」として保障しているとしました。

一般的人格権の具体的な保障対象は、私的・秘密・内密領域、個人の名誉、個人の人格的表現、自己の肖像・発言に関する権利などであるとされています。個人はその私的な問題を自分で決定することができますが、これが一般的人格権に由来する「自己決定権」です。国勢調査事件判決は、この自己決定権と一般的人格権から、個人に自己の個人情報に対する自己決定権を「情報自己決定権」として認めたものです。

この情報自己決定権において重要なのは、個人情報の有用性と利用可能性であり、これらが永続性を有し、同質的に組み立てられた情報の集積として処理される点です。本判決はこの点を「些末な情報はもはや存在しない」と表現しています。そのため、個人情報保護の目的は、これまでなかった方法で個人の行動が監視・観察され、影響を与えられる方法が拡大されたことによる心理的圧迫を阻止することであるとされています。

(2)情報自己決定権の内容やその制約
この国勢調査判決においてドイツ連邦憲法裁判所は、情報自己決定権を「自己の個人データの放棄および使用について、原則として自ら決定する権限」と定義し、その制約については、①優越した一般的利益、②規範の明確性の要請を満たした法律上の根拠、③比例原則、④人格権侵害を予防するための組織的・手続的予防措置を要求しました。また、⑤統計目的のデータ取得については、統計目的で取得したデータを法執行目的で利用する場合には、限定的で具体的な利用目的による拘束が不可欠であり、規範の明確性の要請が特に重要であるとしました。

ドイツ憲法裁判所は国勢調査判決において、個人情報・個人データについて「(公権力からの)申告の性質だけに照準を合わせることはできない。決定的であるのは、(個人情報・個人データの)その有用性や利用可能性である。これらは、一方における取得の目的、他方における情報技術に固有の処理可能性および結合可能性に左右される。それにより、それだけを見れば些末な情報が、新たな位置・価値を取得する。その限りで、自動化されたデータ処理という前提のもとでは、「些末な」情報はもはや存在しない。」と述べ、情報自己決定権の必要性を説明しています(小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁)。

日米の自己情報コントロール権とヨーロッパの情報自己決定権との違いは、情報自己決定権に対する公権力などからの制約には、上の①から⑤までの要件・歯止めがある一方で、自己情報コントロール権にはそのような公権力からの制約に関する要件・歯止めが不十分であることにあるとされています。

例えば、警察のNシステムによる自動車のナンバープレート情報や、公道に設置された防犯カメラ・監視カメラによる人の容貌や顔などの情報など、それ自体は外部に公開されている情報の、法的強制を伴わない取得・保存・利用において顕著に表れるとされています。

Nシステムについて2009年の日本の裁判例(東京高裁平成21年1月29日判決)は、「わが国においては警察法2条1項の規定により任意の捜査は許容されており、公道上の何人でも確認し得る車両データを収集・利用することは適法」としています。

一方、ドイツ連邦裁判所は「自動車ナンバープレートの自動記録に関する法律は、法律による授権の特定性および明確性という法治国家の要請を充足しなければならない。」「不特定の広範さゆえに、この法律の規定は憲法上の比例原則の要請も満たしていない」として違憲としています(2008年3月11日ドイツ連邦憲法裁判所第一法廷判決・BVerfGE 120.378[407.427]、小山・前掲)。

このドイツをはじめとするヨーロッパの情報自己決定権は、アメリカの自己情報コントロール権に影響されてドイツ等で生み出されたものとされています(藤原静雄「「西ドイツの国勢調査判決における「情報の自己決定権」」一橋論叢94巻5号728頁)。

(3)欧州基本権憲章・GDPRなど
欧州の基本権憲章(いわゆるEU憲法)は、欧州各国の2007年のリスボン条約批准で成立し、2009年より発効し法的拘束力を持つものとなっています。この欧州基本権憲章は7条で古典的プライバシー権や通信の秘密などについて規定し、8条は個人情報保護に関する規定を置いています。この8条の個人情報保護の土台となるのが上でみた情報自己決定権であり、欧州は個人情報保護の問題について、古典的プライバシー権と情報自己決定権を組み合わせて問題を処理しているとされています。そして情報自己決定権、欧州基本権憲章7条・8条を土台としてGDPR(EU一般データ保護規則)などが制定されています。

(4)日本の自己情報コントロール権の状況
日本においては、プライバシー権と個人情報保護法(個人データ保護法)については、アメリカで「ひとりで放っておいてもらう権利」として生まれた従来からの古典的なプライバシー権を包含する形で自己情報コントロール権が生まれ、佐藤幸治教授などにより日本に輸入され、日本においては自己情報コントロール権が通説的な見解とされています。

つまり、個人の私的領域に他者を無断で立ち入らせないという自由権的なプライバシー権は、情報化社会の進展に伴い、「自己に関する情報をコントロールする権利」(自己情報コントロール権)としてとらえられ、自由権的側面だけでなく、プライバシーの保護を公権力に対して積極的に要求してゆく側面が重視されるようになってきているとされています。すなわち、個人に関する情報(個人情報)が行政機関などに集中的に管理されるようになった現代社会においては、個人が自己に関する情報を自らコントロールし、自己に関する情報についての閲覧・訂正ないし抹消請求を求めることが必要であると考えられています(芦部信喜・高橋和之補訂『憲法 第7版』123頁)。そしてこの考え方は、棟居快行教授の「自己イメージコントロール権」や、山本龍彦教授の「構造審査とコミュニケーションの相手方や媒体などにより自己の情報を出し入れする自己情報コントロール権」などに発展しています。

このような日本の自己情報コントロール権に状況について、宍戸常寿教授らの『憲法1基本権』121頁は、自己情報コントロール権は「漠然としている」などの問題点を指摘しつつも、個人情報の開示・訂正等の請求権は基本権(人権)であるとしています。

一方、情報セキュリティやITの専門家である情報法制研究所の高木浩光氏(工学博士)は、個人情報保護法の立法目的は「データによる人の選別」を防ぐことであるとして、日米の自己情報コントロール権や欧州の情報自己決定権を批判しています。
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|JILIS

このブログ記事が面白かったら、ブックマークやシェアをお願いします!

■関連する記事
・ドイツ・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権について
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

■参考文献
・平松毅「自己情報決定権と国勢調査-国勢調査法一部違憲判決」『ドイツの憲法判例(第2版)』60頁
・小山剛「なぜ「情報自己決定権」か」『日本国憲法の継承と発展』320頁
・藤原静雄「西ドイツ国勢調査判決における「情報の自己決定権」」『一橋論叢第』94巻第5号728頁
・渡辺康行・宍戸常寿・松本和彦・工藤達郎『憲法1基本権』121頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・曽我部真裕「自己情報コントロールは基本権か?」『憲法研究』2018年11月号71頁
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|JILIS

















このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ