投稿者 付箋 日時 2001 年 7 月 08 日 21:16:32:
「ジュリスト」2000年12月1日号 No.1190
個人情報保護基本法とプライヴァシーの権利
松井茂記/稿
1 個人情報保護基本法制定の背景
2 プライヴァシーの権利と個人情報保護
3 行政機関とプライヴァシーの権利
4 民間事業者とプライヴァシーの権利
5 マス・メディアをめぐる問題
6 個人情報保護基本法と地方公共団体
7 あるべき個人情報保護法制の姿とは
_ 結びに代えて
はじめに
高度情報通信社会の進展に伴い、個人情報を包括的に保護するための法制度について検討を続けてきた政府の情報通信戦略本部の個人情報保護法制化専門委員会(委員長は園部逸夫前最高裁判所判事)は、2000年10月11日、「個人情報保護基本法制に関する大網」(http://www.kantei.go.jp/jp/it/privacy/houseika/taikouan/1011taikou.html)を決定し、森喜郎首相に提出した。
プライヴァシーの権利を保護するため、個人情報保護を図ることの必要性がかねてから指摘されてきたが、政府はなかなか及び腰の姿勢を変えることはなかった。ところが、住民基本台帳法改正を契機に、国民の間にいっそうの個人情報保護を求める声が強まり、政府はようやく個人情報保護法制の在り方について見直すことを決断した。その結果として、個人情報保護の基本を定める個人情報保護基本法の制定が検討されるようになり、今回の大網の決定に至ったわけである。
プライヴァシーの権利保護のため個人情報保護法制の整備の必要性を訴えてきたものとして(1)、また住民基本台帳法改正に際しても、いっそうの個人情報保護の必要性を指摘したものとして(2)、政府がこのような形で個人情報保護基本法の制定を決断したことは、一歩前進だと高く評価したい。
しかし、この大網に示された個人情報保護基本法の内容には、さまざまな点で見過ごせないような重大な問題点が含まれている。この小稿では、プライヴァシーの権利の視点から、この大網に示された個人情報保護基本法の問題点を指摘し、その再検討を求めたい。
1 個人情報保護基本法制定の背景
そもそも、今回の個人情報保護法制の見直しの直接の契機となったのは、1999年の住民基本台帳法の改正であった。同改正は、すべての住民に住民票コード番号を振り、住所、氏名、性別、生年月日という一定の情報(本人確認情報)を、住民基本台帳を管理する市町村の枠を超えて広域的に利用できることとした。これは、住民の側から見ても、また行政の側から見ても一定の利便を意味するが、その利便のかげで、個人情報が一つの番号を結節点として連結されることによって、個人に関する個人情報がそれぞれの情報の収集目的を超えて網羅的包括的に利用されることになるのではないかという強い懸念が生じた。これは「国民総背番号制」そのものではないか、あるいはそれ自体としては「国民総背番号制」とはいえなくても実質的にそれに道を開くものではないのかというのであった。また、このような情報が民間事業者によっても利用された場合、民間事業者の間でも包括的な個人情報データベースが作成されてしまうのではないかと懸念された。そのため、この改正を契機に、現行の個人情報保護法制の見直しを求める声が強くあげられたのである。
その結果、国会では、住民基本台帳法の改正に伴い、附則の中で政府が個人情報の保護に万全を期すため所要の措置を講ずることが盛り込まれた。そしてこれを受けて、早々に、政府の高度情報通信社会推進本部(その後現在の情報通信技術戦略本部に改組)に個人情報保護検討部会が設置され(座長は中央大学の堀部政男教授)、個人情報保護法制の見直しが始められた。そして検討部会は、関係者からのヒヤリングを終えて、1999年11月に「我が国おける個人情報保護システムの在り方について(中間報告)」(以下、中間報告という)を出した(3)。これは、かねてから座長試案として示されていた個人情報保護の基本を宣言する個人情報保護基本法の制定を提言するものであった。
ところがその後、この検討部会の下部機関と目されていた専門委員会が、この中間報告をもとにしてさらに検討を続けるのではなく、再度別個に関係者のヒヤリングをはじめ、専門委員会は検討部会とは独立して法制化を検討しているような様相を呈してきた。この間の経緯にはややわかりにくいものがあるが(2000年3月14日付毎日新聞参照)、結果的には、この専門委員会が、2000年6月2日に、「個人情報保護基本法制に関する大網案(中間整理)」(4)、を公表し、そしてこの10月11日に、この大網が正式に決定されたわけである。政府は、これに基づき来年度の通常国会にも法案を提出したいと考えていると伝えられている。
2 プライヴァシーの権利と個人情報保護
さて、このような個人情報保護制度が必要な理由は、何よりも個人のプライヴァシーの権利にある。
個人のプライヴァシーの権利とは、もともとマス・メディアによる私生活上の事実の暴露に対抗するために、「一人でほっておかれる権利」として提唱されたものであるが、その後自己情報コントロール権として定義されるようになったものである。それによれば、個人が社会の中で生きて行くためには、社会によって干渉されない秘密の領域が不可欠であり、その意味で個人には自己に関する個人情報(自己情報)を自分でコントロールする権利が認められなければならない。
そこで、この自己情報コントロール権としてのプライヴァシーの権利は、他人に知られたくないと思うことが正当であるような一定の私的な個人情報について、(1)個人情報の収集・取得、(2)個人情報の保有・利用、(3)個人情報の開示・提供のそれぞれのレベルで情報主体によるコントロールの権利保障を求めるとともに、これらの権利を実効的に確保するために、(4)個人情報の開示請求権・訂正請求権を導く。
このようなプライヴァシーの権利が権利として認められるということは、その権利侵害に対して裁判所に訴訟を提起して救済を求めうるということを意味する。だが、プライヴァシーの権利は、その性格上いったん侵害されてしまうと回復することが困難である。それゆえ、プライヴァシーの権利を真に保護するためには、プライヴァシーの権利が侵害されないような保護措置をとることが求められる。また、プライヴァシーの権利の対象である他人に知られたくないと思うことが正当であるような私的な個人情報の範囲は微妙である。それゆえ、プライヴァシーの権利の侵害とまではいえなくても、個人情報について保護措置をとることが法政策的に重要である。そこで、求められることになるのが、個人情報保護制度である。
とりわけ現代社会のように情報化社会となり、コンピュータに大量の個人情報が集積され、大量の情報が瞬時に送信されるような時代においては、このような個人情報
保護の必要性はなおさら強い。アメリカやヨーロッパ諸国で、プライヴァシー保護や個人情報保護の措置が取られているのは、そのためである。日本も、もちろん例外ではない。それゆえ、日本でも早急に個人情報保護の法制を整備することが必要であった。
この点、現状では、国の行政機関に対しては行政機関個人情報保護法(行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律)によって一定の個人情報保護が図られているが、後述するようにこれにはあまりにも多くの欠陥がある。地方公共団体の多くはいわゆる電算条例を持っていて電子計算機処理に係る個人情報の保護が図られているが、個人情報保護条例を制定しマニュアル処理情報を含め包括的な個人情報保護を図っているところはまだ多くはない(1999年4月の時点で、23都道府県、1529の団体がそのような条例を制定している)。さらに民間の事業者については、国の個人情報保護法の適用はなく、電気通信事業者には電気通信事業法による制約があるが、銀行等の金融機関など大量の個人情報を有しているところにも法的な制約はなく、わずかに通産省の指導のもとで事業者の団体を通して自主規制が行われているにとどまっていた(若干の地方公共団体では、個人情報保護条例で民間事業者にも一定の指導等を行っているが、強制力を伴った規制はとられていない)。
その意味では、今回、専門委員会が大網の形で個人情報保護の基本原則を示し、大網の趣旨に沿って個人情報保護基本法の制定等を求めたことの意義は大きいといえよう。
だが、この大網には、いくつかの見過ごせない重大な問題点が含まれているように思われる。
まず第一に、大網では、プライヴァシーということばは意図的に避けられ、「1 目的」の中でも、個人情報保護基本法は「個人の権利利益」を保護することを目的とするとされている。これでは、個人情報保護の目的があいまいなものとなってしまうのではないかと懸念される(5)。この点は、実は、個人情報保護の根本に関わる問題である。というのは、大網は「個人情報」として一括しているが、すでに述べたように、実は個人を識別しうる個人情報のすべてが、プライヴァシーの権利の妥当する個人情報(いわゆるプライヴァシー情報)ではない。プライヴァシーの権利をより実効的に保護するために、すべての個人情報保護が必要である。だが、当然、個人情報を保護する場合には、プライヴァシーの権利の妥当する個人情報と、それに付随する個人情報とでは、保護の必要性の程度も異なるし、とりわけ個人情報保護のため国民の権利自由を制限する場合には、権利の調整の在り方が異なる。
しかもプライヴァシー情報のなかにも性質に差があり、思想・宗教や社会的身分に関する情報など、いわゆる核となる情報(センシティヴ情報ないし固有情報と呼ばれる)と、それ以外のもの(周辺情報と呼ばれる)とでは、必要な保護の程度が異なるものと考えられている。しかも個人の氏名のように、個人を識別する情報でありながら、他方で社会において他者と関係を持つためには必要な情報(いわゆるインデックス情報ないしディレクトリー情報)の場合、プライヴァシー情報としての性格を持つことがあるが、個人情報であるというだけで、すべてその利用を厳しく制限することはできない。その意味では、すべての個人情報について慎重な取り扱いは必要であるが、核となるプライヴァシー情報と周辺的なプライヴァシー情報、さらに個人を特定するために社会的に利用される情報とを同じに扱うことは妥当ではない。
従って、個人情報保護の本来の目的がプライヴァシーの権利の保護にあることを見失うと、個人情報保護の名のもとに、不当に国民の権利自由が制約される危険性がある。残念ながら大網には、この点の配慮が欠けているように思われる。
第二に、大網は、国及び地方公共団体の行政機関による個人情報の取り扱いと民間事業者による個人情報の取り扱いに対し、「2 基本原則」として、共通の基本原則を示そうとしている。だが、プライヴァシーの権利はもともと不法行為法上保護された民法上の権利として提唱されたが、その後これを政府に対しても保障される憲法上の基本的人権としても認める見解が支配的になった(銀行が個人情報を漏洩した場合問題になるのは前者であり、外国人に対する指紋押捺の義務付けや盗聴について問題とされるのは後者である)。プライヴァシーの権利が具体的にどの程度で自己情報コントロール権を要求するのかは、実は憲法上の基本的人権の場合と民法上の権利の場合とで異なる。民法上の権利としてのプライヴァシーの場合、市民相互間には一般に私的自治の原則ないし契約自由の原則が妥当し、他方で個人のプライヴァシーの権利を保護するために市民の行為に制約を課したり、プライヴァシーの権利侵害を理由に損害賠償を命じることは、他の個人の持つ営業の自由(職業選択の自由)や表現の自由などの基本的人権の制約となるため、相互調整が必要となるためである。従って、当然求められる個人情報保護のシステムも異なるはずであるし、行政機関に対してはより厳しい個人情報保護が求められる。ところが、大網はそのような考え方を示していない。
これに対し、個人情報保護の基礎に個人の基本的人権としての自己情報コントロール権をみる視点から、このような区別に批判的な見解も見られる。プライヴァシーを侵害するものが政府でも企業でも、その侵害性・違法性に違いはなく、基本的に同じ制約を加えるべきだというのである(6)。
しかし、憲法上の基本的人権としてのプライヴァシーの権利はあくまで国や地方公共団体などの政府に対して向けられたものであり、明かに憲法上の基本的人権としてのプライヴァシーの権利と民法上の権利としてのプライヴァシーの権利とでは性格が異なっている。前者については、行政機関にはそれを侵害することは許されない。行政機関に個人のプライヴァシーの権利の侵害を防ぐために規制を加えたとしても、行政機関の権限を不当に制約することにはならない。これに対し後者については、憲法的には、私人間におけるプライヴァシーの権利の侵害を禁止すべき義務は政府にはない。そして、すでに述べたように、私人による個人のプライヴァシーを保護するために政府が法律で規制を加えることは、規制の対象とされる国民から一定の自由を制約することになるため調整が必要となる。その結果、国が法律で行政機関による個人のプライヴァシー情報の取扱いに制限を設ける場合と、国が法律で私人による個人のプライヴァシー情報の取扱いに制限を設ける場合とでは、問題の枠組みが異なり、当然必要な調整の在り方が異なる。この違いを無視することは、適切とはいえないであろう(7)。
では、このような視点からは、大網の具体的内容はどのように評価すべきであろうか。行政機関による個人情報の取扱いと、民間事業者による個人情報の取扱いについて、検討してみよう。そして、後者の問題の中で特に重大な問題を提起する、個人情報保護基本法のマス・メディアへの適用の問題について見ることとしよう。
3 行政機関とプライヴ
ァシーの権利
まず、政府による国民個人の個人情報の取扱いから始めよう。
すでに見たように、政府による国民の個人情報の取扱いについては、憲法の保障する基本的人権としてのプライヴァシーの権利が、憲法上の制約を加えている。それゆえ、個人情報保護の法律がなくても、政府が国民のプライヴァシー情報を収集・取得し、保有・利用し、開示・提供することは、基本的にはやむにやまれない利益を達成するために必要不可欠な限度でしか許されないと考えられる。それゆえ行政機関が、国民のプライヴァシー情報をこのような要件を満たすことなく収集・取得し、保有・利用し、開示・提供すれば、それは国民のプライヴァシーの権利の侵害として憲法違反となると考えられる。そのような侵害行為に対しては、国民は損害賠償のみならず差止めを含めて実効的な救済が与えられなければならない。
ただし、プライヴァシーの権利は、その性格上いったん侵害されてしまうと回復することが困難であり、それゆえ、プライヴァシーの権利を真に保護するためには、プライヴァシーの権利が侵害されないような保護措置をとることが求められる。また、プライヴァシーの権利の範囲は微妙であり、それゆえ、プライヴァシーの権利の侵害とまではいえなくても、個人情報について保護措置をとることが法政策的に必要とされる。そこで、求められることになるのが、行政機関に対する個人情報保護制度である。
このような観点から見ると、現在行政機関による個人情報の取扱いについては行政機関個人情報保護法による制約があるが、この行政機関個人情報保護法にはあまりに欠陥が多く、個人情報保護法という名に値しないものといわざるをえない。
第一に、現在の行政機関個人情報保護法は、そもそもプライヴァシーの権利を前提として認めていない。この法律は意図的にプライヴァシーの権利という考え方を否定して制定されたものである(一条の「個人の権利利益」は自己情報コントロール権としてのプライヴァシーの権利を認めたものではないと解説されている)。第二に、行政機関個人情報保護法は、コンピュータ処理の個人情報にしか適用されず、マニュアル処理の個人情報には適用されない(一条及びニ条参照)。その結果、行政機関個人情報保護法の対象は極めて限られている。第三に、行政機関個人情報保護法には個人情報の収集・取得に対する制限がない。第四に、目的外利用など制限があまりにも緩やかである(九条)。しかも、行政機関個人情報保護法は、ファイル結合など個人情報が集積されることに対する保護に欠けている。第五に、せっかく自己情報の開示請求権が保障されているのに、教育や医療など自己情報開示請求権が最も保障されるべき領域は一律に適用除外とされているうえに(一三条一項)、本人開示が認められない場合があまりにも広すぎる(一四条)。第六に、行政機関個人情報保護法は、訂正請求の申出については定めをおいているものの(一七条)、訂正請求権を権利として保障してはいない。
だからこそ、住民基本台帳法改正によりすべての国民に住民票コードが振られることとなり、プライヴァシー侵害の危険性が叫ばれ、いっそうの個人情報保護が求められたのである。実際、個人情報保護という観点からみたとき、現在の国の法制にはあまりに配慮が欠けている点が多すぎる。
たとえば個人情報の収集・取得に関していえば、憲法が通信の秘密を保障し(二一条二項)、さらに住居、書類及び所持品に対する捜索・押収に令状主義の要件を定めてプライヴァシーを保護しているのに(三五条)、捜査機関に対しプライヴァシーの権利が十分保障されているかどうかは疑わしい。犯罪捜査のための通信傍受に関する法律によりいわゆる盗聴が認められることになったが、その要件が十分かどうかには疑問がある(8)。逮捕記録などの開示請求も認められていなければ、訂正請求も削除請求も認められてはいない(9)。マス・メディアなど表現行為に従事する人に対する捜索・押収などは、プライヴァシー保護のため原則として憲法上許されないと考えるべきであるが、現在のところそのような原則的禁止の規定はない(10)。行政機関による個人情報の保有・利用には、国家公務員法の守秘義務の規定が唯一の個人情報保護措置であるが(一〇〇条)、行政機関の職員が個人情報を漏洩しても刑罰を受けることはあまりない。国勢調査の際のプライヴァシー保護の措置にも疑問がある(11)。また、改正された住民基本台帳法に示されるように、さまざまな個人情報が住民基本台帳の中にファイル結合されて集積されており(七条参照)、一定の個人情報(本人確認情報)はオンラインで利用可能となっている。このような個人情報の結合が正当化されうるか、個人情報のオンラインの利用に十分な保護措置がとられているか疑問なしとしない(12)。さらに、介護保険の実施に伴い、個人の生活や健康状態に関する膨大な情報が収集され保有されることになるが、これらの個人情報の保護が十分図られるかどうか深刻な不安を生じさせている。
ところが、奇妙なことに、今回の大網では、行政機関による個人情報の取扱いについてはほとんど触れられていない。わずかに政府の保有する個人情報に関しては、「4 政府の措置及び施策」の中で「その情報の性質、保有目的等を勘案し、適正かつ的確な保護が図られるよう、本基本法制の趣旨にのっとり、別に法制上の措置を講ずるものとすること」とするのみである(13)。その説明の中では、「法律上の所掌事務の遂行のため必要な場合に限り個人情報ファイルを保有することができるものとし、その保有に当たっては、原則として、あらかじめ所定の機関に通知し、保有目的等の基本的事項を公にするものとすること」、「個人情報の正確性確保及び安全保護のため必要な措置を講ずるよう努めるものとすること」、「法律に別の定めがある等一定の場合を除き、個人情報を保有目的以外の目的に利用し、又は外部に提供してはならないものとすること」、そして「開示、訂正等について適切な措置が講ぜられるようにすること」が注記されている。だが、行政機関個人情報保護法については、「本基本法制の目的、基本原則等に沿って、いわゆるマニュアル処理情報の取扱い、適用除外ファイル、開示・訂正手続き等について、適切な見直しを行い、必要な措置を講ずるものとし、行政機関の保有する個人情報の保護について、速やかに一層充実した法整備を図る必要がある」とするのみである。
たしかに、大網が行政機関に加え独立行政法人や特殊法人等についても個人情報の保護が推進されるよう法制上の措置その他の必要な措置を講ずることを政府に義務付けたこと、また「個人情報であって、その性質、利用方法等に照らし、特に厳重な保護を要する等、別途の措置が必要なものについては、法制上の措置その他の必要な措置を講ずるものとすること」としたことは評価できる。しかし、大網が定める基本原則が、行政機関による個人情報の取扱いに求められる制約として適切かどうかはすこぶる疑問である。
まず基本原則は、「利用目的による制限」として、「個人情報は、その利用目的が明確に
されるとともに、当該利用目的の達成に必要な範囲内で取り扱われること」を求める。しかし、行政機関が個人のプライヴァシー情報を扱う際の原則としては、これはあまりに緩やかすぎる。次に大網は、「適正な方法による取得」として、「個人情報は、適法かつ適正な方法によって取得されること」を求める。だが、そもそもプライヴァシー情報については、やむにやまれないような利益がない限り行政機関による個人情報の収集・取得は認められるべきではないし、とりわけセンシティヴなプライヴァシー情報といわれるものについては原則としてその収集・取得は禁止されるべきものである。個人情報の取得の方法が適法で適正なものでなければならないことはいうまでもないが、それ以前の問題として、そもそも個人情報の収集・取得の制限が明示されていない点は、問題である。しかも、行政機関が個人情報を取得する場合は、本人から取得すること、やむをえず他者から取得した場合には原則として本人告知が必要なことが求められるが、ここにはそれらのことは明記されていない。大網は、第三に「内容の正確性の確保」として、「個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること」、第四に「安全保護措置の実施」として、「個人情報は、適切な安全保護措置を講じた上で取り扱われること」を求める。そして大網は、第五に「透明性の確保」として、個人情報の取扱いについて、「個人情報において識別される個人」が「適切に関与し得るなどの必要な透明性が確保されること」を求める。しかし、この原則については、説明の中で情報主体の権利利益を保護するため、「その取扱いに関する責任の所在その他の情報が明らかにされ、本人に開示、訂正等の一定の関与を認める手続が整備される必要」があるとされているが、本人からの開示・訂正請求権を認めるべきだとは明記していない。すでに見たように、現在の国の行政機関個人情報保護法では、本人の開示請求権は医療や教育などの広汎な領域で否定されている上に、訂正請求権は保障されていない。
これでは、行政機関によるプライヴァシー情報の取扱いの原則としては、プライヴァシーの権利を保護する上であまりに不十分だと批判されても仕方あるまい(14)。この基本原則が、憲法一三条によって求められる憲法上の要求を満たしているかどうかすら、すこぶる疑問である。実際、この基本原則に沿って、既存の法令を見直すということは、現行の行政機関個人情報保護法には手を加えなくてもいいといっているようなものである。いったいこれでは何のための個人情報保護法制の見直しだったのであろうかと訝しがらずにはおられない。国の行政機関個人情報保護法は早急に改正されるべきであり(15)、行政機関に対して適用される個人情報保護の基本原則を宣言するのであれば、もっと厳しい原則を宣言すべきである(16)。