投稿者 付箋 日時 2001 年 7 月 08 日 21:21:14:
回答先: 個人情報保護基本法とプライヴァシーの権利(前) 投稿者 付箋 日時 2001 年 7 月 08 日 21:16:32:
(後)
「ジュリスト」2000年12月1日号 No.1190
個人情報保護基本法とプライヴァシーの権利
松井茂記/稿
1 個人情報保護基本法制定の背景
2 プライヴァシーの権利と個人情報保護
3 行政機関とプライヴァシーの権利
4 民間事業者とプライヴァシーの権利
5 マス・メディアをめぐる問題
6 個人情報保護基本法と地方公共団体
7 あるべき個人情報保護法制の姿とは
_ 結びに代えて
----------------------------------------
4 民間事業者とプライヴァシーの権利
では、民間事業者による個人情報の取扱いについてはどうであろうか。
国民の個人情報を民間事業者が収集・取得、保有・利用、開示・提供するとき、国民はそれを憲法上の基本的人権の侵害として問題とすることはできない。しかし、国民は、民間事業者との関係では民法上保護に値する権利としてプライヴァシーの権利を有している。それゆえ、民間事業者による個人情報の扱いが違法である場合には、当然債務不履行ないし不法行為として損害賠償を求め、場合によっては違法な個人情報の利用を防ぐために差止めを求めることができる。ただし、市民相互の関係では、私的自治の原則ないし契約自由の原則が妥当するので、基本的には違法となるのは不合理なプライヴァシー情報の扱いのみである。
それでも、行政機関による個人情報の取扱いの場合と同様、プライヴァシーが侵害されてから事後的に損害賠償を求めるのでは十分な救済とはならないし、プライヴァシー侵害を生じさせないようにするためには個人情報を広く保護することが必要である。従って、民間事業者による個人情報の取扱いについても、法律や条例によってプライヴァシーの権利侵害が生じないように、包括的な個人情報保護を図ることが望ましい。
ところが、これまで政府は民間事業者に対し個人情報保護を義務付けることに消極的で、電気通信事業者には電気通信事業法により通信の秘密保護が義務付けられているが、それ以外では、わずかにいくつかの業種において、通産省の指導のもとで業界団体を通して自主規制が行われてきたにとどまった(「民間部門における電子計算機処理に係る個人情報の保護についてのガイドライン」、「金融機関等における個人データ保護ガイドライン」など)。しかし、個人情報保護の重要性にかんがみると、もはや法的規制の必要は否定できないように思われる。
このような個人のプライヴァシーの権利を保護するための規制は、一面では民間事業者のもつ営業の自由の制約としての性格を持つ。それゆえ、民間事業者は、これらの規制を憲法二二条一項で保障された職業選択の自由に含まれる営業の自由の侵害だとして争うことができる。しかし、これらの規制を表現の自由の侵害だとして争うことのできるマス・メディアの場合と異なり、一般の民間事業者の場合に主張することのできる職業選択の自由は、経済的自由であり、民主政原理に不可欠な権利とはいえないと考えられる。それゆえ、営業の自由の制約は、合理的である限り許されるべきであり、その合理性の判断については裁判所は国会の判断を尊重すべきである(17)。このように考える限り、民間事業者による個人情報の取扱いについては、かなり広汎に規制を加えても合理的である限りは憲法に違反しないものと考えられる。
とすれば、法政策的には、個人情報保護のため、実現可能性のことも考えつつ、最大限の規制を加えるべきであろう。このような観点から見ると、残念ながら大網に示された基本原則は、行政機関による個人情報の取扱いとしてはもちろん、民間事業者による個人情報の取扱いの原則としても、あまりに個人情報保護の姿勢に欠けるように思われる。
この点大網は、特に「3 個人情報取扱事業者(仮称)の義務等」の章をもうけ、その中で、個人情報を取り扱う民間事業者の中の一定のものについて特別の定めをおいている。それによれば、個人情報を取り扱う民間事業者のうち、「個人情報取扱事業者」とされる者については、「利用目的による制限及び適正な取得」、「適正な管理」、「第三者提供の制限」、「公表等」、「開示」、「訂正等」、「利用停止等」の制限が定められるとともに、苦情処理のための必要な態勢の整備と適切かつ迅速な処理に努めることが求められている。
それによれば、まず「利用目的による制限及び適正な取得」としては、個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的を明確にするとともに、当該利用目的の達成に必要な範囲内で個人情報の取得、処理その他の個人情報の取扱いを行わなければならない。個人情報取扱事業者は、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないし、個人情報を取得する場合には、利用目的を原則として本人に通知しなければならないし、当然取得の方法は適法かつ適正な方法によらなければならない。また、個人情報取扱事業者は「適正な管理」として、個人情報データベース等を構成する情報(個人データ)について、利用目的の達成に必要な範囲内において正確かつ最新の内容に保つよう努めなければならず、個人データ保護のために必要な措置を講ずるように努めるとともに個人データの取扱いに従事する者を適切に監督しなければならず、個人データの取扱いを第三者に委託する場合にも、委託先の選定に配慮し、必要な監督を行わなければならない。「第三者提供の制限」としては、個人情報取扱事業者は原則として個人データを第三者に提供することが禁止され、例外が列挙されている。「公表等」としては、個人データに関し、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合等を除き、利用目的、個人情報の保有に責任を有する事業者名、開示等に必要な手続等の公表が求められている。そして「開示」としては、本人から自己の個人データについて開示の求めがあった場合において、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、本人に対し当該個人データを開示しなければならないとし、「訂正等」としては、本人から個人データの内容について、正確かつ最新の事実を反映するよう求めがあった場合、その内容が正当と認められるときは、原則として当該個人データの訂正、追加、削除その他の適切な措置を講じなければならないとする。「利用停止等」では、利用目的の達成に必要な範囲を超えた利用や、違法又は不適正な方法による取得や、規制に反する第三者への提供があったとの理由で利用停止等の求めがあった場合の利用停止等の措置を義務付けている。そして「苦情の処理」では、個人情報取扱事業者には個人情報の取扱いに関する苦情について必要な体制の整備等を行い、適切かつ迅速な処理に努めることが義務付けられており、個人情報取扱事業者は苦情の処
理等を行うために、個人情報取扱事業者を構成員とする団体を設け、申請により主務大臣の認定を受けることができるものとされている。
その上で政府には、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため「個人情報の保護の推進に関する基本方針」の策定が求められ、事業者の自主的な取組みを尊重しつつ、政府が事業者等による自主的な取組みを支援して行くことが期待されている。しかも、主務大臣は、個人情報取扱事業者による個人情報保護の取組みについては、「必要があると認めるときは」、個人情報取扱事業者又は認定を受けた団体に対して、「報告を求め、又は勧告若しくは改善の指示を行うことができるものとする」とされ、さらに、個人情報取扱事業者がこの改善の指示に従わないときは、「一定の場合に、主務大臣は個人情報取扱事業者に対して、改善又は中止の命令を行うことができるものとすること」が求められている。しかも、この主務大臣の改善・中止命令に対する違反には、罰則を設けるものとされている。
しかし、そもそもこの制限は、民間事業者等のうち電子計算機等を用いて検索することができるよう体系化された個人情報の集合物(個人情報データベース等)を事業の用に供している一定の事業者を想定したもので、これには電子計算機を用いる場合に匹敵する検索等の処理が可能であるマニュアル処理情報を含むとされているが、その射程は定かではない。大網の立場では、そもそもいわゆる名簿業者がこれに含まれるかどうか定かではないし、興信所や探偵社などの事業者も対象になるのかどうかはっきりしない。個人情報保護基本法を定めるのであれば、電子計算機で処理される個人情報だけでなく、すべてのマニュアル処理の個人情報も含めて、包括的な個人情報保護のための規制を導入すべきであるように思われる。
次に個人情報取扱事業者に対してでさえ、大網の定める保護措置が十分かどうか疑わしい(18)。個人情報の収集・取得については、センシティヴなプライヴァシー情報の収集・取得などは原則として許されないことは明記されていないし、目的外の利用などもあまりに緩やかすぎるのではないかと思われる。開示・訂正についても、請求権を原則として保障すべきことが明記されていない。
個人情報保護を確保するための措置としては、大網が罰則の可能性まで明記したことは評価できる。この点は、大網案においては、政府には事業者による個人情報の処理等に関する個人からの苦情等を受け付けて、適切に処理することが求められており、その際に必要な調査を行うことができるものとすることが想定されているにとどまり、事業者に対して個人情報の適切な取扱いに関する勧告を行うという仕組みも「考えられる」とされているだけだったことからみるとより強い姿勢が窺われる。ただ、大網が予定しているのが、政府による改善又は中止の命令であり、その担保とされているのが罰則であることには、はたしてそれで十分かどうかという点で疑問の余地がある。個人情報を保護するためには、罰則だけでなく、民事上の制裁を考えるとか、被害を受けた個人が裁判所に訴訟を提起して救済を受けられる道を拡大するなどの方法も考えるべきであるし、場合によっては政府が被害を受けた個人に代わって、被害の防止などを求めて差止訴訟を提起できるようにすることも考えてもよい。
しかも、一定の領域では、個別法によってもっとしっかりした個人情報保護を図る必要性が認められるべきである。たしかに大網は、「個人情報の性質、利用方法等に照らし、本基本法制より厳重な保護が必要な場合等別途の措置が必要なものについては、個別の法制上の措置その他の必要な措置を構ずべき」だとしている。しかし、中間報告では、信用、医療、電気通信分野をあげて、個別の法律による個人情報保護措置の必要性を示唆していたことと比べると、トーンダウンの色は隠しようがない。信用情報(19)、医療情報(20)、電気通信の分野(21)はもちろんのこと、教育なども個別法による個人情報保護と開示・訂正請求権の保障の必要性が強い領域だというべきであるし(22)、またとりわけ個人情報の収集という点でプライヴァシーの権利侵害のおそれのある興信所・探偵など(23)や職場におけるプライヴァシー保護(24)など、さらには最近の遺伝子技術の発達に伴う遺伝子情報の扱いなど(25)、もっとしっかりした個人情報保護法制度がぜひ必要とされるべきであろう。
さらに最近のインターネットの普及と電子商取引の拡大の中で、消費者にはプライヴァシー保護を求める声が急速に強まっている。とりわけクッキーを利用して、ホームページを訪れる消費者のインターネット上の行動の情報を同意なく収集し、それを外部に提供するなどの行為は、深刻な不安感を生じさせている。それゆえ、これらインターネット上のコミュニケーションや電子商取引について、プロバイダーのみならず一般の事業者にも法律で個人情報保護をはかる必要性はきわめて強い(27)。
5 マス・メディアをめぐる問題
ただし、規制の対象となるのが、マス・メディアなどの表現媒体(28)に関する場合は、これとは異なった配慮が必要となる(29)。それは、個人情報を保護するために、マス・メディアに法的規制を加えることは、マス・メディアのもつ基本的人権としての表現の自由を制約することになるからである。そして、表現の自由は民主制原理の不可欠の権利であり、いかにプライヴァシー保護のためとはいえ、その制約にはきわめて慎重な配慮が要求されるからである。
とりわけマス・メディアが報道・表現を行うためには十分な取材が必要であるが、これはしばしば個人情報の収集・取得としての性格を持つ。当然、マス・メディアはそのようにして収集・取得された個人情報を保有・利用し、開示・提供することになる。もちろんマス・メディアといえども公共の利害に関係しないような個人のプライヴァシー情報をかってに収集・取得し、公表してよいわけではない。しかし、公共の利害に関する限り、個人情報であっても収集・取得し、公表することは表現の自由の範囲内である。
マス・メディアに取材が不可欠であるといっても、本人取材は必要であるし、違法な方法による取材が許されないことはいうまでもない。また、収集された個人情報がいいかげんに扱われてよいはずがない。マス・メディアであっても、いったん収集された個人情報は本来は収集の目的を超えて利用されるべきではないし、個人情報については正確性と最新性を確保する措置をとるべきであるし、個人情報が外部に漏れたり提供されないような措置をとることが求められる。また、コミュニケーションに関わる事業者として、マス・メディアであっても、消費者である顧客の個人情報については、他の事業者同様の個人情報保護の措置が求められる。
だが、取材や表現・報道のための個人情報の取扱いはもちろんのこと、消費者である顧客の個人情報について法的規制を加えることは、政府がマス・メディアによる取材や報道・表現に介入する危険性を生じさせる。個人情報の収集・取得制限、保有・利用制限、
開示・提供制限などがそのままマス・メディアによる取材や報道・表現にまで適用された場合、マス・メディアによる取材や報道・表現に著しい支障が生じるおそれがある。また、顧客の個人情報についても、個人情報保護のため、誰がどの新聞を購読し、誰がどのような本を読んでいるかを政府が調査できることになれば、それはマス・メディアだけでなく、顧客の個人情報をも侵害するおそれを生じさせる。
ところが中間報告でも、大網案でも、個人情報保護基本原則をマス・メディアにも適用する立場が取られていた。そのため新聞協会等は、個人情報保護基本法の適用からマス・メディアを除外するよう求めてきた。しかし、新聞協会等からの申出にもかかわらず、大網は、個人情報基本法の適用からマス・メディアを除外することを拒否した。わずかに、説明の中で、大網に定める個人情報保護の基本原則は「公益上必要な活動や正当な事業活動等を制限するものではない」とし、「基本原則実現のための具体的な方法は、取扱者の自主的な取組によるべきものである。この趣旨は、報道分野における取材活動に伴う個人情報の取扱い等に関しても同様である」と述べ、そして個人情報取扱事業者の義務等の諸規定の適用を否定し、基本原則の諸規定に基づき、個人情報が適正に取り扱われるための自主的な取組みを行うよう努力すべきこととしたのみである。
たしかに、大網が、個人情報取扱事業者に対する法的規制の適用をマス・メディアに否定し、自主的な規制に待つことにしたことは大きな前進だといえる。また、マス・メディアであっても事業者として顧客の個人情報保護の措置はとるべきであるから、マス・メディアを全面的に適用除外とすべき理由はないとの主張にも、理由がないわけではない(30)。しかし、すでに見たように、マス・メディアに法的規制を包括的に適用することは、たとえ取材や表現・報道についての適用除外が認められたとしても、あまりに危険が大きすぎる。アメリカでも、マス・メディアに対する個人情報保護の法的規制は課されてはいない。やはり、マス・メディアによるプライヴァシー情報の取扱いに特に問題があるという立法事実がない以上、マス・メディアは、個人情報保護基本法の適用対象からはずすべきであったように思われる(31)(32)。
もちろん、だからといってマス・メディアは個人情報保護のため何もしなくてもよいということではない。各マス・メディアは、自主的にプライヴァシー保護の措置を取るべきであるし、苦情処理のシステムも確立すべきである。まずは、これが責任あるマス・メディアを作る第一歩というべきだろう(33)。
6 個人情報保護基本法と地方公共団体
大網は、地方公共団体に対しても重要な意味を持っている。大網は、一方では地方公共団体に対し、その趣旨にのっとり、その保有する個人情報に関し、個人情報の適正な取扱いを確保するため必要な施策を策定し、これを実施するよう努めることを求めている。明らかにこれによりまだ個人情報保護条例が制定されていないところでは、条例の制定が求められよう。すでに見たように、大網の示す基本原則は行政機関による個人情報保護の準則としてはあまりに緩やかすぎる。本稿の示したように、個人情報をもっとしっかり保護した条例の制定こそが求められるべきであろう。
また大網は、事業者及び住民による個人情報の取扱いについても、地方公共団体にその区域内に所在する事業者及び住民に対しても支援等の施策の実現と個人情報の取扱いに関して生じた苦情が適切かつ迅速に処理されるようにするための苦情処理の斡旋等必要な施策を講ずるよう努力することを求めている。それゆえ、制定されるべき条例では、事業者による個人情報の取扱いについても規定が置かれるべきことになろう。
個人情報保護基本法ができた場合、いくつかの地方公共団体の個人情報保護条例にある事業者に対する規制との関係が問題となる。事業者による個人情報保護の支援や苦情処理の斡旋にとどまらず、条例に違反した事業者に対する指導や勧告を定め、それに従わない場合には氏名の公表などの制裁も規定されているからである。しかし個人情報保護基本法は、そこに示された基本原則にそって、必要な場合にはそこに示された基準を超えて規制を加えることを排除してはいない。それゆえ、地方公共団体がその条例制定権に基づいてその区域内の事業者やその区域内で行われる事業者の活動に対し、個人情報保護基本法以上の法的規制を加えることは、それ自体として何ら妨げられないものと考えられる。
7 あるべき個人情報保護法制の姿とは
このように見ると、どうもそもそも政府と事業者を包括して個人情報保護基本法を制定するという、中間報告依頼踏襲されてきた基本的なアプローチそのものに無理があるかもしれない。同じようにプライヴァシーの権利といわれても、憲法上の基本的人権としてのプライヴァシーの権利と民法上の権利としてのプライヴァシーの権利とは権利の性格が異なり、それゆえ行政機関による個人情報の取扱いと民間事業者による個人情報の取扱いとではその法的性格も、そしてそれに対応する法的規制の枠組みも異なる。それゆえ、統一的な個人情報保護基本法を制定するのではなく、あくまで行政機関による個人情報の取扱いと民間事業者による個人情報の取扱いを区別し、別立ての法律で規律した方がよかったかもしれない(34)。
ただ、憲法上の基本的人権と民法上の権利と違いはあるものの、両者とも個人のプライヴァシーの権利を保護するためのものである以上、プライヴァシーの権利を確保するための個人情報保護の基本原則を統一的に宣言するという構想それ自体を、いちがいに不当だともいえまい。両者の権利の違いと、それに応じた個人情報保護のシステムの違いが十分明確にされていて、それぞれの権利に対応して十分な個人情報保護が図られているなら、このような個人情報保護基本法それ自体にあえて反対すべきではあるまい。
しかし、既に見たように、残念ながら、大網に示された個人情報保護基本法は、そもそもそれが個人のプライヴァシーの権利を保護するためのものであることを明確にせず、あいまいな「個人の権利利益」という表現に取って代わられている上に、個人のもつプライヴァシーの権利が政府による個人情報の取扱いに向けられた憲法上の基本的人権としてのものと民間事業者による個人情報の取扱いに向けられた民法上のプライヴァシーの権利としてのものに区別されること、それぞれに応じて、個人情報保護システムが異なることを明確に示してはいない。
しかも、大網に示された基本原則では、行政機関による個人情報の取扱いを規律する上であまりにも緩やかすぎ、事業者による個人情報の取扱いについても不十分だと思われる。それでいて、この大網は、憲法上保障された表現の自由を行使するマス・メディアをはじめとする表現行為従事者にも、基本原則の枠をかぶせている点で、憲法二一条の保障する表現の自由の観点から見て疑問が残されている。
せっかく個人情報保護基本法を制定しようというのであれば、やはりぜひこれらの
点を改めて、憲法適合的な個人情報保護基本法を制定してほしいものである。
結びに代えて
そもそもいっそうの行政機関による個人情報保護を図り、それに加えて民間事業者による個人情報の扱いに規制を設けるために開始された個人情報保護法制の見直しが、どのようないきさつで結局大網のような形になってしまったのか、筆者には首をかしげるほかない。これが個人情報保護法制見直しの出発時からの既定方針だったのか、それとも情報通信技術(IT)推進の政府方針に合わせ、高度情報社会推進本部が情報通信技術戦略本部へ改組され、個人情報保護が情報通信技術推進の一環として捉えられるようになったことの結果なのか、わからない。ぜひ個人情報保護を求めるプライヴァシーの権利の原点に立ち戻って、再検討を期待したい。