情報の「幕藩体制」を破れ GDPR後の日本の処方箋

2018年8月号 LIFE [特別寄稿]
by 鈴木 正朝 (情報法制研究所 (JILIS) 理事長)

  • はてなブックマークに追加

欧州の一般データ保護規則(GDPR)が施行された本年5月、日本では複数の経済誌がGDPR特集を掲載した。遅きに失するGDPR対応ではあるが、このインパクトを受けて日本の今後の個人情報保護法制はどのように推移していくのか。

いわば上位互換のGDPRに準拠したコンプライアンス体制を敷いて、日本の個人情報保護法はその差分を確認し片手間で対応することになりかねない。また、欧州の利用者を高い水準で保護し、日本の利用者をそれに劣後する水準で保護するダブル・スタンダードな対応も登場する。当面、GDPRに振り回される時代が続くだろう。

法目的が曖昧なまま産業界の規制緩和の声に揺れ動き、理論的な歪みを残す日本の個人情報保護法制は、欧州のように個人データ保護を基本権(人権)として捉え、普遍的な法原理の下、理論的基礎が明確な法制度からの圧力によって鍛えられていく面をむしろ評価すべきなのかもしれないが。

「人間疎外」に立ち向かう

例えば、コンピュータによるプロファイリングなど自動処理のもたらす人間疎外という脅威にどう立ち向かうか。GDPRはすでにこれを規律している。日本の個人情報保護法も次の改正でそれを導入すべきかどうか、どういう内容とすべきか、いよいよ本格的な議論を始めなくてはならない。

コンピュータは道具である限り、背後にそれを使う権力者等の人間がいる。そして道具から脱皮し、自律性をもった人工知能(AI)が登場すると人間が自己決定すべきことも人間以外のものが決定し、その決定の過程を人間が検証できないまま受容する世界が待っている。

通信の秘密もプライバシー・個人データ保護も「人間が介在せずにコンピュータシステム内に完結するならば侵害はない」という人がいるが、実は、欧州の個人データ保護法はコンピュータの自動処理による人間疎外こそ最大の脅威とみる。日本は個人情報保護法の真の法目的を見失っている。この段階で躓けばAI規制の本質もまた見誤るだろう。

そもそも世界のプライバシー・個人データ保護のルールは、国防との関係で議論されている。米国では、9・11以降のテロ対策の必要性がプライバシー保護を後退させている。まさにスノーデン事件が世界にそれを示したところである。

米国は、政策の力点を国防の強化に置くか、プライバシー権の保護に置くかで方針が揺れ、世論は戦争やテロへの恐怖と監視社会への恐怖との間で揺れている。

欧州は個人データ保護は人権であるという確固とした思想の下で、一貫してグーグルやフェイスブックなど大手IT企業に強い姿勢で臨み、欧州司法裁判所は、スノーデン事件を踏まえて欧州・米国間で締結していた個人データ保護に関するセーフハーバー協定を無効とする決定を下すなど、米国政府のテロ対策を口実とした個人データ保護の後退と欧州市民への侵害行為に強い抗議の姿勢を示している。

一方、日本の個人情報保護法制は、米国のような国防の問題とも欧州のような人権保障とも隔絶された中で議論されるひ弱な法制度に止まっているが、今後は、覇権国家米国の退潮と中国との対立と融和等の国際政治に翻弄される中で、日本は否応なく国防問題に直面することにならざるを得ない。

平和国家として生きていくためには、戦略的な外交を支える自力の諜報機能の強化と向き合わねばならなくなる。国民のプライバシー・個人情報の保護、通信の秘密、検閲の禁止との緊張関係が高まる時代が迫っているというべきだろう。

こうした重要な時期に、海賊版サイトのブロッキング問題(本誌6月号参照)が起きている。算定根拠曖昧な3千億円という損害額の大きさに踊り、憲法上の通信の秘密が著作権者の財産権保護の問題で揺らぐというまさに日本的なビジネス偏重の醜態を見せている。マイナンバー導入に際しては国民のプライバシー侵害の脅威を正面から捉え、公取委と同等の特定個人情報保護委員会という新たな役所を新設するという思い切ったガバナンス強化に踏み切った。

国防より社会保障の観点

諜報機能の強化もまた同様に通信の秘密の保護、国民のプライバシーの保護が憲法上盤石であるという実績の下にはじめて国民的議論の土壌が成立する。ここが財産権保護で揺らぐようでは、諜報法の議論は時期尚早といわれてもやむを得ない。幸か不幸か、日本の個人情報保護法において国防との関係を議論する日はまだ遠い。

日本の世論の関心事は国防よりもまずは経済、防災、そして社会保障制度の問題であろう。現に社会保障と税の一体改革の中で番号法が制定され、ビッグデータ・ビジネスの振興という経済目的で個人情報保護法の2015年改正が動いた。そして医療制度改革の中で次世代医療基盤法が成立している。次は南海トラフなど防災問題で個人情報保護法制が動く番である。

欧州が主権国家の壁を越えて欧州全体でGDPRという統一ルールに踏み込んだ中、日本は、未だ都道府県と市区町村と広域連合等にわかれて個人情報保護条例が個々に制定されるなど個人情報の取り扱いに関して2千のルールが併存した状態に置かれたままである(個人情報保護法制2千個問題)。

これは地方自治の本旨といった憲法上の制約の問題ではなく、自治体主導で生成され発展してきた個人情報保護制度という過去の経緯への尊重の問題にすぎず、立法的解決が可能な問題である。政治は官民データ活用推進基本法を制定し、その19条で2千個問題の解決を促し、規制改革会議は投資等WGを中心にその解決を答申し閣議決定を得ているが、総務省の腰は重い。

官官連携や公私連携を阻害する法制度に手を入れず、データの足回りの問題を放置したまま、ユビキタス、ビッグデータ、IoT、AIとキーワード一斉置換で作ったような同じポンチ絵を10年1日眺めてきた。GDPR後も日本の個人情報保護法制は、未だ幕藩体制さながらの時代に止まっている遥か後方からのスタートとなる。

著者プロフィール
鈴木 正朝

鈴木 正朝 (すずき・まさとも)

情報法制研究所 (JILIS) 理事長

1962年生まれ。新潟大学教授(情報法)、理化学研究所PI兼務。内閣官房「パーソナルデータに関する検討会」、経済産業省「個人情報保護法ガイドライン作成委員会」委員など。

   

  • はてなブックマークに追加