ビッグデータ時代のプライバシー保護 弁護士/花水木法律事務所 小林正啓さん
2014/12/08
国際人権大学院大学(夜間)の実現をめざす大阪府民会議では2002年以来、様々な切り口で人権をテーマにした「プレ講座」を開講している。2014年度のテーマは「未来社会と人権」。第2回講座の様子を報告する。
大量の情報が瞬時に処理され、蓄積され、活用される「ビッグデータ」時代を迎えた。私たちの意識や法律をはるかに超えるスピードで進化する技術を私たちはどう受け止め、何をなすべきなのだろうか。
ビッグデータとは「既存の一般的な技術では管理するのが困難な大量のデータ群」と定義されています(『ビッグデータの衝撃』城田真琴)。ビッグデータを表す要素として、3つの「V」が挙げられます。まずはVolume(量)です。そしてVariety(多様性)。これまでほとんど関連性のなかった多種多様なデータが、大量に分析することでひとつの意味を持ち出します。そして、Velocity(更新速度)です。大量のデータが常にコンピュータに流れ込み、情報を更新していきます。
こうしたビッグデータが話題になる背景には、ハードウェアの進化と情報を分析するソフトウェアの進化、インフラ(ネット環境)の進化があります。ビッグデータがプライバシーに直接的に関わることは予想されていたことですが、それがいよいよ現実的になってきました。
ではプライバシー保護についての流れはどうなっているのでしょうか。1980年、OECD8原則(プライバシー保護と個人データの国際流通についてのガイドライン)がつくられ、これが現代におけるプライバシー保護制度の始まりだといわれています。一方、日本ではプライバシーに関する意識が低く、前科照会事件(1981年)、ノンフィクション『逆転』事件(1994年)、小説『石に泳ぐ魚』事件(1994年)、早稲田大学名簿提出事件(1998年)などの事件を経て、2003年にようやく個人情報保護法がつくられました。
個人情報保護法がつくられて10年が過ぎ、現在、改正の話が進んでいます。実はこの法律は重要な問題をいくつか抱えています。
最も大きな問題は、第三者機関(プライバシーコミッショナー)がないということです。欧州では政府から独立したプライバシーコミッショナーが1980年代から存在し、民間業者はもちろん、政府をも監視してします。しかし日本にはこうした機関がありません。そのため、毎年開催されているプライバシーコミッショナーの国際会議への出席権がありません。
また、「適切な個人情報保護法制をもたない国とはデータの交換をしてはならない」と定められている「EUデータ保護指令の第三国移転条項」に抵触する可能性があります。たとえば日本企業が欧州において欧州企業とデータ交換するということは実際にはおこなわれていますが、ある日突然禁止される可能性もあり、そうなっても文句は言えないということです。
このままではいけないということで、第三者機関をつくることを含めて法改正がおこなわれようとしています。政府高度情報通信ネットワーク社会推薦戦略本部は改正の柱として3つの基本的な枠組を出しました。「本人の合意がなくてもデータの活用を可能とする」「基本的な制度の枠組みとこれを補完する民間の自主的な取組の活用」「第三者機関の体制整備等による実効性ある制度執行の確保」です。
プライバシー保護といいながら最初にきているのが「本人の同意がなくてもデータの活用を可能とする」という部分がポイントです。経済界の関心は「どのようにすれば個人情報を自由に流通させられるか」「他社がもっている情報と自社がもっている情報とを付き合わせて新たなビジネスチャンスを生み出すにはどうすればいいのか」に向いています。そして日本政府も何とかしてその要請に応えようとしているのがわかります。
今回新設される第三者機関については、私自身は非常に悲観的にみています。なぜなら、政府の監督はしないからです。これは欧州における第三者機関との決定的な違いです。
そもそも日本の個人情報保護法は業法すなわち政府が業者を監督するための法律です。適用される業者は監督官庁の指導を受けるわけですが、省庁ごとにガイドラインが存在し、その数は40を超えると言われています。医師は厚労省のガイドラインに従い、商売をしている人は経産省のガイドラインに従うわけですが、その内容は必ずしも同じではない。つまり40以上にも分かれてしまっているわけで、そこに第三者機関を作って統一するのは簡単な話ではありません。
これまで述べてきましたように、個人情報保護法にはさまざまな問題があるわけですが、改正についてはさらに「特定性」と「識別性」ということが大きな論点になっています。特定性とは個人を特定できることであり、識別性とは多数のなかから特定の違いを見分けられることです。たとえばDNA情報や指紋は特定の個人がその情報の持ち主であることはわかりますが、それだけでは持ち主を特定できません。これを「特定性はないけれど識別性はある」という言い方をします。個人情報とは、それによって特定の個人を識別できるものだと定義されていますが、個人情報を守りつつ情報を活用するには特定性と識別性について吟味されなければならないということです。
では顔画像やメールアドレスはどうなのか。パスポート番号はどうなのか。これは研究者や法律家によっても考えが違い、議論は非常に錯綜しています。
現在、日本中にあふれている監視カメラについても触れておきたいと思います。監視カメラについても「京都府学連デモ事件」「あいりん地区テレビカメラ事件」「Nシステム事件」と数々の事件がありました。その判決からみると、街頭監視カメラは肖像権やプライバシー権等を侵害しています。つまり「違法」です。しかし実は日本にはこれらの侵害を正当化する法律・政省令は存在しません。法律がないまま、日本中の公道に監視カメラがあふれてしまっているのです。しかも法律家や人権活動家も含めて誰も違法と訴えないため、事実上「合法」になっているというねじれた状況になっています。
私自身は監視カメラを一概に反対する立場をとりません。けれどもこうした実態についてはきっちりと議論をしていくべきだと考えています。
かつて監視カメラといえば「権力対国民」という見方がされていました。しかし今や監視カメラを多用しているのは民間会社です。そしてカメラの技術はすごい勢いで進化しています。たとえば万引き犯やクレーマーなど店にとって好ましくない客の顔を登録し、来店した時に店員に知らせる「顔認証」という技術が現実のものとなりつつあります。効果があることは否定できませんが、登録されるのが本当に万引き犯なのかはわかりません。また、登録された情報を誰が責任をもって管理するのか、さらに警備会社のシステム内でその情報を交換するのは合法なのか。そうした問題がたちどころにあがってくるわけです。
監視カメラというと脊髄反射のように「一切ダメだ」という人がいますが、いくらダメだと言っても技術の進化を止めることはできません。重要なのは、技術の内容や進化を見据えたうえで、どこまでがオッケーでどこからはダメなのかを自分たちで考え、議論することだと私は考えています。
●国際人権大学院大学(夜間)の実現をめざす大阪府民会議
同会議では2002年から様々な人権課題をテーマに「プレ講座」を開講している。今年度のテーマは「未来社会と人権」。「ケアラー(介護者)学入門」「ビッグデータ時代のプライバシー保護」「パワーアシストが社会を変える」「LGBT 働くことといきること」「出生前診断について考える」をテーマに5回連続で講座がひらかれた。