高木浩光@自宅の日記 - 現行法の理解(パーソナルデータ保護法制の行方 その2)
http://takagi-hiromitsu.jp/diary/20140423.html
プライバシーの専門家である高木氏による、パーソナルデータ保護法制に関する詳細な解説。
法律的に言えば、「提供元基準」か「提供先基準」かは、それほど重要ではないでしょう。より重要なのは、「個人の権利利益(いわゆる「プライバシー」を含む)」であり、「個人の権利利益」に優先されることがある「公益」なのだと理解しています。
個人情報保護法にしても情報公開法にしても、「個人の権利利益」を保護するべき対象として認識した上で(憲法で定められているので当然ですが)、場合によっては「公益」が優先されますよ、ということを言っています。
個人情報やパーソナルデータについても、「匿名性が高い」といったことは、一つの判断要素にはなりますが、最終的には「個人の権利利益が害されるおそれ」の話になります。これは、訴訟法上の自由心証主義とも関係しています。
基本的には、「個人の権利利益が害されるおそれ」が「ある」「ない」、または「多い(高い)」「少ない(低い)」によって、「公にして良い(悪い)」「第三者に提供して良い(悪い)」等の判断がなされるということです。
おそれ(虞)の意味を、「可能性」や「懸念」とすると、「ある」「ない」とはっきり白黒つけることは難しく、「多い」「少ない」といった「度合い」を考える必要があります。
現行法では、たぶん次のような分類が可能と思います。
1 個人の権利利益が害されるおそれが「とても多い」
2 個人の権利利益が害されるおそれが「多い」
3 個人の権利利益が害されるおそれが「けっこうある」(グレーゾーン)
4 個人の権利利益が害されるおそれが「少ない」
5 個人の権利利益が害されるおそれが「ほとんどない」
民間事業者の場合、4の「少ない」から下がセーフ。より厳しい基準が課せられる行政機関等に対しては、1から4までアウトといった感じでしょうか。
しかし、ここに「公益」が絡んでくると、話が変わってきます。「公益上特に必要があると認めるとき」には、1の「とても多い」であっても、セーフになる場合が出てきます。
問題なのは、技術の進歩や環境の変化によって、これまで4と思われていた情報が3に格上げされたり、新しく生まれてきた情報が実は2や3だということが時間が経つにつれて認識されたりすることです。この意味では、「個人の権利利益を害するおそれ」は増えていると言えるでしょう。
今後は、「どのような措置をすれば、4や5として認められるか」の議論が活発になると思いますが、そうした措置によってデータの有用性や価値が損なわれるのは好ましくありません。
一つのやり方として、1と2については具体的なケース等を例示(限定列挙)して、それ以外はセーフとしてしまうのも良いでしょう。つまり、「グレーゾーンをセーフにする」という方法です。
その上で、具体的な個人の権利利益侵害の発生状況を踏まえて、グレーゾーンに分類されていたものがセーフではまずいだろうと広く認識されてきた時点で、アウトの例示に追加するようにします。この場合、これまでセーフと考え利活用していた事業者に配慮して、一定の経過措置を定めるようにします。
ちょっと趣旨が異なりますが、最近の規制に関する訴訟として、次のようなものがありました。
ダンス訴訟、無罪判決の波紋:日経ビジネスオンライン
http://business.nikkeibp.co.jp/article/opinion/20140507/264107/
『大阪地裁は「性風俗を乱す恐れが実質的に認められる営業」と、風営法による営業規制の根拠を限定しました。そのため、「外形的にダンスをさせている」という事実だけではなく、行なわれているダンスの態様、 演出、 客の密集度、 照明の暗さ、 酒類提供の有無、性風俗秩序の乱れにつながるような状況の有無などから総合的に規制の必要性が判断されるべき、としています。この総合判断の元で、被告人の行なっていた営業は風営法の規制対象とならないという個別判断を行ないました。』とあります。
大切なのは、リスクとリターンのバランスを整えることです。事業者にとって、グレーゾーンに飛び込むことは、(例え法令上はセーフであっても)「プライバシー問題に敏感な利用者・消費者から反発を受けて評判を落とす」といったリスクがあります。その反面、新たなサービスや収益源を発掘できるリターンもあります。このリスクとリターンがアンバランスにならないような配慮が必要ということです。
グーグルにしてもフェイスブックにしても、利用者・消費者からの反発を恐れずに、新たなリターンを求めて、リスクを取っていく姿勢が見られます。そうしたチャレンジする姿勢によって、各国政府(当局や第三者機関等)から勧告や命令等を受ける場合もありますが、その場合でも、一方的に従わず、必要であれば争うこともあります。彼らの挑戦によって生まれる新たなサービスの価値が、個人の権利利益を拡大してくれることもあります。
日本の個人情報保護やパーソナルデータ利活用においても、上記のようなチャレンジ、試行錯誤、アジャイル型とも言えるサービス・事業育成を妨げないことが重要で、そのバランス感覚こそが求められているのだと思います。単に規制を厳しくする、あるいは緩くするといったことは、ある意味、誰にでもできることで、それでは戦略とは呼べません。
個人情報保護やパーソナルデータ利活用は、電子政府の戦略にも大きな影響を及ぼすので、引き続き、今後の議論を見守りたいと思います。
http://takagi-hiromitsu.jp/diary/20140423.html
プライバシーの専門家である高木氏による、パーソナルデータ保護法制に関する詳細な解説。
法律的に言えば、「提供元基準」か「提供先基準」かは、それほど重要ではないでしょう。より重要なのは、「個人の権利利益(いわゆる「プライバシー」を含む)」であり、「個人の権利利益」に優先されることがある「公益」なのだと理解しています。
個人情報保護法にしても情報公開法にしても、「個人の権利利益」を保護するべき対象として認識した上で(憲法で定められているので当然ですが)、場合によっては「公益」が優先されますよ、ということを言っています。
個人情報やパーソナルデータについても、「匿名性が高い」といったことは、一つの判断要素にはなりますが、最終的には「個人の権利利益が害されるおそれ」の話になります。これは、訴訟法上の自由心証主義とも関係しています。
基本的には、「個人の権利利益が害されるおそれ」が「ある」「ない」、または「多い(高い)」「少ない(低い)」によって、「公にして良い(悪い)」「第三者に提供して良い(悪い)」等の判断がなされるということです。
おそれ(虞)の意味を、「可能性」や「懸念」とすると、「ある」「ない」とはっきり白黒つけることは難しく、「多い」「少ない」といった「度合い」を考える必要があります。
現行法では、たぶん次のような分類が可能と思います。
1 個人の権利利益が害されるおそれが「とても多い」
2 個人の権利利益が害されるおそれが「多い」
3 個人の権利利益が害されるおそれが「けっこうある」(グレーゾーン)
4 個人の権利利益が害されるおそれが「少ない」
5 個人の権利利益が害されるおそれが「ほとんどない」
民間事業者の場合、4の「少ない」から下がセーフ。より厳しい基準が課せられる行政機関等に対しては、1から4までアウトといった感じでしょうか。
しかし、ここに「公益」が絡んでくると、話が変わってきます。「公益上特に必要があると認めるとき」には、1の「とても多い」であっても、セーフになる場合が出てきます。
問題なのは、技術の進歩や環境の変化によって、これまで4と思われていた情報が3に格上げされたり、新しく生まれてきた情報が実は2や3だということが時間が経つにつれて認識されたりすることです。この意味では、「個人の権利利益を害するおそれ」は増えていると言えるでしょう。
今後は、「どのような措置をすれば、4や5として認められるか」の議論が活発になると思いますが、そうした措置によってデータの有用性や価値が損なわれるのは好ましくありません。
一つのやり方として、1と2については具体的なケース等を例示(限定列挙)して、それ以外はセーフとしてしまうのも良いでしょう。つまり、「グレーゾーンをセーフにする」という方法です。
その上で、具体的な個人の権利利益侵害の発生状況を踏まえて、グレーゾーンに分類されていたものがセーフではまずいだろうと広く認識されてきた時点で、アウトの例示に追加するようにします。この場合、これまでセーフと考え利活用していた事業者に配慮して、一定の経過措置を定めるようにします。
ちょっと趣旨が異なりますが、最近の規制に関する訴訟として、次のようなものがありました。
ダンス訴訟、無罪判決の波紋:日経ビジネスオンライン
http://business.nikkeibp.co.jp/article/opinion/20140507/264107/
『大阪地裁は「性風俗を乱す恐れが実質的に認められる営業」と、風営法による営業規制の根拠を限定しました。そのため、「外形的にダンスをさせている」という事実だけではなく、行なわれているダンスの態様、 演出、 客の密集度、 照明の暗さ、 酒類提供の有無、性風俗秩序の乱れにつながるような状況の有無などから総合的に規制の必要性が判断されるべき、としています。この総合判断の元で、被告人の行なっていた営業は風営法の規制対象とならないという個別判断を行ないました。』とあります。
大切なのは、リスクとリターンのバランスを整えることです。事業者にとって、グレーゾーンに飛び込むことは、(例え法令上はセーフであっても)「プライバシー問題に敏感な利用者・消費者から反発を受けて評判を落とす」といったリスクがあります。その反面、新たなサービスや収益源を発掘できるリターンもあります。このリスクとリターンがアンバランスにならないような配慮が必要ということです。
グーグルにしてもフェイスブックにしても、利用者・消費者からの反発を恐れずに、新たなリターンを求めて、リスクを取っていく姿勢が見られます。そうしたチャレンジする姿勢によって、各国政府(当局や第三者機関等)から勧告や命令等を受ける場合もありますが、その場合でも、一方的に従わず、必要であれば争うこともあります。彼らの挑戦によって生まれる新たなサービスの価値が、個人の権利利益を拡大してくれることもあります。
日本の個人情報保護やパーソナルデータ利活用においても、上記のようなチャレンジ、試行錯誤、アジャイル型とも言えるサービス・事業育成を妨げないことが重要で、そのバランス感覚こそが求められているのだと思います。単に規制を厳しくする、あるいは緩くするといったことは、ある意味、誰にでもできることで、それでは戦略とは呼べません。
個人情報保護やパーソナルデータ利活用は、電子政府の戦略にも大きな影響を及ぼすので、引き続き、今後の議論を見守りたいと思います。
