個人情報保護法はこう変わるべき
[2010年04月23日(Fri)]
4月21日(水)、鈴木正朝先生をお迎えしてのミニセミナーは大変盛況でした。最近は相談員の方々向けの内容で開催することが多かったのですが、今回はどちらかといえば事業者向けとして、日本セキュリティマネジメント学会の個人情報の保護研究会の皆さんや、NPO法人個人情報保護有識者会議の皆さんにもおいでいただきました。しかし内容は、事業者さんだけでなく、国民として考えておくべきことであり、むしろ政策サイドに是非聞いていただきたい話だったと思います。以下、内容をごく簡単にご紹介します。
現在、個人情報保護を巡ってOECD, EU, APECなどの国際的な動きがあるが、それらはバラバラに動いている。国内的には、納税者番号制度の検討が始まり、消費者庁では個人情報保護法の改正が検討されている他、各省ガイドライン、JIS Q 15001、Pマーク運営要領などの改正の動きもある。これらもバラバラに動いていて、不整合。企業の中ではプライオリティが低く、トップマネジメントの問題にならないので、担当者が独自に判断して、それぞれの動きに対応しなければならないという状況。
もともと日本(通産省)は、現在の個人情報保護法のような包括法は不要、むしろ分野ごとのきちんとした個別法(+刑法)が必要との立場であったが、住基ネット導入にあたって個人情報保護法制定が条件とされたため、急遽、半年で法律を作ることになった。しかし主務大臣制の下での行政規制法、しかも行政の裁量が広すぎる形で作ってしまったため、現在、疑問点があっても弁護士が答えられず、行政自身でも答えられない(各省・各担当によって回答が異なる)事態が発生し、更に自治体ごとに条例が制定され・・・という状況。この上なく予見可能性が低い。過剰反応云々という問題ではなく、改正が必要。
問題は、基礎となる哲学がないこと。本来は、各国の妥協の産物であるOECDガイドラインではなく、憲法13条に定められ、既に判例の蓄積もある「プライバシーの権利」を中心に据えた法律とすべき。現在の、「個人識別性」の基準は論理的にも実務的にもナンセンスであり、佐藤幸治教授が提唱され通説となっている「固有情報」と「外延情報」に分けた上で、事前同意・明示など行為規制にグラデーションをつけていく形にすべき。EUのセンシティブデータの扱いとも整合性が取れる。こういった哲学を基本に持っていれば、OECDガイドライン見直しにあたって「意見がない」などということはあり得ない。しかるに現状は・・・。
更に今回は特別ゲストとして、産業技術総合研究所の高木浩光主任研究員にもおいでいただき、インターネットには欠かせない「ID」に対するプライバシーの観点からの規制の必要性について、現行の技術をマッピングしていただきました。携帯電話の契約者固有IDの問題は日本独特のものという話は、うーん確かにヤバいかも。不適切な技術に対して技術者が声を上げず、消費者団体の力が弱い・・・結果として、国内産業が国際的に通用しないものになってしまうのかも知れません。
以上、私の理解できる範囲で、かつ私の言葉で表現してしまったので、正確に先生方の意図を再現できていないところもあると思いますが、取り急ぎのレポートとしてご容赦ください。より詳しくお知りになりたい方は、堀部先生と鈴木先生の近著『プライバシー・個人情報保護の新課題』をお読みください。
現在、個人情報保護を巡ってOECD, EU, APECなどの国際的な動きがあるが、それらはバラバラに動いている。国内的には、納税者番号制度の検討が始まり、消費者庁では個人情報保護法の改正が検討されている他、各省ガイドライン、JIS Q 15001、Pマーク運営要領などの改正の動きもある。これらもバラバラに動いていて、不整合。企業の中ではプライオリティが低く、トップマネジメントの問題にならないので、担当者が独自に判断して、それぞれの動きに対応しなければならないという状況。
もともと日本(通産省)は、現在の個人情報保護法のような包括法は不要、むしろ分野ごとのきちんとした個別法(+刑法)が必要との立場であったが、住基ネット導入にあたって個人情報保護法制定が条件とされたため、急遽、半年で法律を作ることになった。しかし主務大臣制の下での行政規制法、しかも行政の裁量が広すぎる形で作ってしまったため、現在、疑問点があっても弁護士が答えられず、行政自身でも答えられない(各省・各担当によって回答が異なる)事態が発生し、更に自治体ごとに条例が制定され・・・という状況。この上なく予見可能性が低い。過剰反応云々という問題ではなく、改正が必要。
問題は、基礎となる哲学がないこと。本来は、各国の妥協の産物であるOECDガイドラインではなく、憲法13条に定められ、既に判例の蓄積もある「プライバシーの権利」を中心に据えた法律とすべき。現在の、「個人識別性」の基準は論理的にも実務的にもナンセンスであり、佐藤幸治教授が提唱され通説となっている「固有情報」と「外延情報」に分けた上で、事前同意・明示など行為規制にグラデーションをつけていく形にすべき。EUのセンシティブデータの扱いとも整合性が取れる。こういった哲学を基本に持っていれば、OECDガイドライン見直しにあたって「意見がない」などということはあり得ない。しかるに現状は・・・。
更に今回は特別ゲストとして、産業技術総合研究所の高木浩光主任研究員にもおいでいただき、インターネットには欠かせない「ID」に対するプライバシーの観点からの規制の必要性について、現行の技術をマッピングしていただきました。携帯電話の契約者固有IDの問題は日本独特のものという話は、うーん確かにヤバいかも。不適切な技術に対して技術者が声を上げず、消費者団体の力が弱い・・・結果として、国内産業が国際的に通用しないものになってしまうのかも知れません。
以上、私の理解できる範囲で、かつ私の言葉で表現してしまったので、正確に先生方の意図を再現できていないところもあると思いますが、取り急ぎのレポートとしてご容赦ください。より詳しくお知りになりたい方は、堀部先生と鈴木先生の近著『プライバシー・個人情報保護の新課題』をお読みください。