毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。
当記事で取り上げるのは以下の配信です。
- 配信日:2022年3月24日
- タイトル:高木浩光氏記事解説1
- 発表者:データサイン 代表取締役社長 太田祐一
個人情報保護法に横たわる課題を紐解く
データサインのメンバーが気になることを話すランチタイムトーク。今回のテーマは、情報法制研究所(JILIS)副理事長を務める高木浩光氏へのインタビューをまとめた同研究所のブログ記事です。タイトルは「高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱」。データサイン 代表取締役社長 太田祐一がその冒頭部分の内容を紹介しました。
令和2年(2020年)に改正された個人情報保護法は今年4月1日に施行されました。令和3年(2021年)改正では公的部門と民間部門における法体系を一本化する公民一元化が行われ、2023年からは全国の地方公共団体に対して個人情報保護法が直接適用される見通しです。
このように整備が進む個人情報保護法ですが、高木氏は内在するさまざまな課題や混乱、本来目指すべき法のあり方とのギャップを指摘します。そして、それらを招く背景やこれまでの議論の展開を近年渉猟してきた海外文献の原典や議事録、論文、寄稿などを手がかりに紐解いていきます。
「日本における個人情報保護法の捉え方として、氏名や生年月日などの個人情報がまずあり、個人情報取扱事業者がそれらを丁重に預かり、そして扱い、漏洩などを防ぐ安全管理措置などを適切に講じる、というものがあります。高木氏はこの捉え方は欧米のData Protection、国際的な文脈におけるデータ保護の考え方とは異なるものと指摘します」(太田)
「データ」は自然発生しない
1977年に西ドイツで制定された連邦データ保護法(データ処理における個人データの濫用防止に関する法律、以下ドイツ法)の目的は、個人データを濫用から保護することによって、保護に値する当事者の利益の侵害を防止することにある旨、高木氏は指摘します。
高木氏はドイツ法における「Datenschutz(≒Data Protection)」の文脈におけるデータ、というのは、コンピューターにおける単なるbit列情報という意味ではなく、人がある利用目的を持ってデータベースのテーブルの属性(各列のデータ項目)を決めて設計したもの、オブジェクト指向モデリングなどにおける「クラス」を意味すると述べます。
そして、1980年に発表されたOECD(経済協力開発機構)ガイドラインが求めているのもまた、「個人データの設計のあり方」だと指摘します。
日本の個人情報保護法は、その1980年のOECDガイドラインの8つの基本原則に準拠しているとされています。なお、EUのGDPR(一般データ保護規則)もこの流れを汲んでいます。OECDガイドラインにおける文脈では、「データ」とは「データコントローラー」が一次利用目的のために自ら設計し、作成するものになります。データコントローラーは管理者というより、むしろ主体的な「作成者」でありデータの「利用者」です。
日本における利用目的特定義務はゆるい?
前述のように、「データ」とは利用の目的があって初めて設計できるものです。そしてさらに、適法な利用目的を伴い、その目的に沿った適切なデータを構成する必要があります。つまり、目的に基づく利用の結果、本人の権利や利益にどれだけ影響するか、目的の適正性が問われます。
ところが今年4月施行の個人情報保護法に当初盛り込まれると見られていた「適正な利用義務」が抜けて、「不適切な利用の禁止」という項目が設けられました。これは犯罪や脱法行為に用いてはいけない、という趣旨の内容です。
「誰が見ても規制すべきことを規制すると追認しているわけです。しかし、リクナビ内定辞退率問題のように、データを適正な利用に用いていないケースに対して直接的に規制をかけることができません。GDPRなどで掲げられる、適正な利用目的を設定してデータを作成しましょう、というdata protection本来の趣旨から外れています。さらに日本では結果的に、民間部門の利用目的は自由とする代わりに、目的内の提供にも関わらず、第三者提供についての本人同意が至るところで求められるような奇妙な運用状況が生じています。こうした状況が“同意疲れ”を招く要因になっていると考えられます」(太田)
高木氏は今回の改正により、「適正な利用とはなにか」という論点が先送りされたことを懸念します。あらためてData Protectionが保護するものは何なのでしょうか。後編レポートは後日公開いたします。