2018.02.20
レポート
第4回民間における個人情報保護の取組みの重要性と今後の課題
50周年記念連載「NEXT50、次への一歩」を考える
JIPDECが運営する「プライバシーマーク制度」は本年で制度開始から20周年を迎えます。これを記念して、制度創設当時からご支援いただいている中央大学大学院法務研究科教授の藤原靜雄先生を迎え、本制度発足時の背景、制度普及における問題とその対応、そして、今後、本制度に求められている課題や期待するところなどをお聞きします。
(聞き手:JIPDEC常務理事 福井寛隆)
藤原靜雄先生プロフィール:一橋大学大学院法学研究科博士課程単位取得、博士(法学)。現在、中央大学法科大学院教授。専門分野は行政法、情報法。国・地方の多くの情報公開法制、個人情報保護法制の立法過程に参画する他、内閣府情報公開・個人情報保護審査会委員、消費者委員会個人情報保護専門調査会委員、経済産業省消費経済審議会委員などを歴任。主な著書に『情報公開法制』(弘文堂)、『最新 地方自治法講座 4巻(住民訴訟)』(共著)(ぎょうせい)、『逐条個人情報保護法』(弘文堂)、『はじめての行政法(第2版)』(共著)(有斐閣)、『条文解説公文書管理法』(共著)(有斐閣)などがある。
民間における個人情報保護の必要性、法制度の整備とその背景
福井 事業者の個人情報の取り扱いが適切であるかを評価し、審査基準に適合した事業者にマークの使用を認める制度として、「プライバシーマーク制度」が発足して20周年を迎えます。個人情報保護法が制定された2003(平成15)年以前のわが国の個人情報保護に対する意識はどんなものだったのでしょうか。
藤原先生(以下敬称略) 個人情報保護法制定以前の一つの節目は、1980(昭和55)年9月のOECD(経済開発協力機構)理事会勧告です。これは個人データの収集や利用、安全保護などに関する8原則で、わが国も先進国の一員として、同等の法整備をしなければならないと大きな影響を受けることになりました。
当時のわが国では、個人情報保護やプライバシーという概念自体が欧米のようには意識されていませんでしたが、OECD理事会勧告と時を同じくしてIT化社会、高度情報化社会も進展し、個人情報の保護の必要性が叫ばれるようになりました。
OECD理事会勧告は公的部門、民間部門両方を規律の対象としているものですが、わが国による対応は、公的部門における個人情報の保護は行政管理庁が法制化することとなり、民間部門は関係省庁が多いことや、経済活動の自由を阻害してはならないという思いから法規制ではなくガイドラインの策定を目指しました。
福井 昔は学校の名簿や連絡網は、ほぼ関係者であれば誰でも入手可能な状態であり、個人の情報だとか、プライバシーを守るという意識はせず、生活に必要なものであれば使うという感覚でしたね。
藤原 名簿は学校で使っている分には問題がありませんが、経済的価値を持つので名簿業者のところにいくわけです。情報化社会が進むと、個人に関する情報そのものに価値が生まれます。
一方、eコマース(電子商取引)では、利用者がインターネットに自分の情報を打ち込むのを躊躇してしまい、eコマースが発展しないという状況がありました。それはルールがなかったからです。インターネット空間を高速道路に例え、自由かつ安全に走るためにはルールを決めないといけないという議論が少しずつ出始めました。
福井 そもそも、わが国における個人情報保護法の精神というのは、どのようなものだったのでしょうか。法制化にあたって特に検討を重ねた点はありましたか。
藤原 2003(平成15)年に個人情報保護法が成立した直接のきっかけは、住基ネット(住民基本台帳ネットワークシステム)の導入でした。住民基本台帳をネットワークでつなぐのであれば、それが万一民間に漏れたときを想定し、何か手を打っておかなければならないという議論がもちあがったのです。
当時わが国では民間部門を対象として個人情報を保護する法整備がなされていませんでした。
同法を制定するにあたっては憲法、行政法、民法の学者も議論に加わり、まず最初に、具体的な権利や義務などは書かず理念や方向性や指針を示すにとどまる基本法とするか、より具体的な規律を定めたものとするかといった法の枠組みから議論した結果、民間事業者への義務も明記したものとなりました。
個人情報保護法というのはプライバシー権の保護を裏打ちするものです。プライバシーの権利というのは憲法でいうと第13条(個人の尊重)によって保護されているといわれていますが、誰にでも秘密はあるし、仮面をかぶっている部分はある。人には人格権があり、人格と切り離せないプライバシーを保護するために、個人情報を重要とするという哲学があります。
しかし個人情報を出さないとなると、マスメディアの「知る権利」や「表現の自由」と衝突し、経済活動を阻害する場合も出てくる。ジャーナリズムの特権をどう考えるかに端を発し、個人情報保護法は非常に難産になった法律でした。保護と利用のバランスを考えながら、この法律は成り立っています。
プライバシーマーク制度の創設、普及
福井 個人情報保護法の制定より前の1998(平成10)年に「プライバシーマーク制度」が発足するわけですが、その制度が検討された背景、着想、検討時に課題となったことなどについて伺いたいと思います。
藤原 プライバシーの侵害の意味は「なんとなく嫌だ」というような気持ちまで及び得るもので、人によっても感じ方が違います。歴史により、地域により、文化により違います。それを法益として法律に書くのは難しいのです。
アメリカでは人工中絶もプライバシーに含まれ、非常に幅広い概念です。現在のわが国の一般的な考え方では、情報の流通に着目し、プライバシー権について自己情報のコントロール権という捉え方をしています。もっとも、日本では「宴のあと事件」で東京地裁がプライバシーの3要件を明らかにしています。日本におけるプライバシー権は民事の不法行為の中で展開してきた法益で、外国のように個人情報保護法制があって展開してきたものではありません。そこに違いがあります。ただ、個人情報は、特定の個人を識別できるような情報として定義づけることができます。比較的、法律に書き易い。プライバシーと個人情報保護、この二つは重なっていますが少し違います。二つの関係を整理しながら法律を作りましたが、プライバシーを対象とした法制度はなかなか作れませんでした。
しかし、法整備でなくガイドライン策定は行われていました。OECD理事会勧告を受け、通商産業省(当時)は機械情報産業局長の下、指針が取りまとめられ、1988(昭和63)年に通商産業省の委託を受けたJIPDECが百貨店、スーパー、通販事業者を対象とした「民間部門における個人情報保護のためのガイドライン」を策定しました。
さらに、コンピューター社会が急速的に進むなか、1995(平成7)年には「EUデータ保護指令」が採択されます。指令の第25条は、個人データの保護に関する措置がEUデータ保護指令の水準を満たしていない場合は、その国に個人データを移転してはならないと定めていました。EUに子会社を持っていたり、EUに顧客がいる場合、その情報の行き来をどうするのか、という問題が発生します。
こうした世界の動きを受け、日本ではJIPDECガイドラインをより具体的なものとするよう改定し1997(平成9)年、「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」が通商産業省(現・経済産業省)の告示として示されました。
しかしガイドラインで個人情報保護を進めていこうとしても、あまりインパクトがありません。インセンティブをつけるようなものが欲しいということになり、事業者の個人情報の取扱いが適切であるかどうかを評価し、適切である事業者にはその証としてマークを付与する「プライバシーマーク制度」を立ち上げることとなりました。神奈川県のマーク制度なども参考にしています。
福井 「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」に、マネジメントシステム的な要素を取り入れてJIS Q 15001という管理システム規格にしたことについて、背景や考え方を教えていただけますでしょうか。
藤原 ガイドラインからJISに移った理由は、私の知る限りでは次のようなことでなかったかと思います。すなわち、現在の経済産業省で言えば産業基盤標準化関係の方面との調整があってJISについて検討するようになりました。簡単に言えば、通商産業省(当時)の個人情報保護ガイドラインは通商産業省所管の業界を対象とするという限界がありますが、JIS規格にすれば対象も拡がるのではないかと考えたのです。例えば、センシティブな情報を扱う医療関係などは厚生労働省の所管ですが、プライバシーマークの将来を考えれば対象として入ってきて欲しいと思ったわけです。そのためには規格であるJISの方が汎用性が高いと考えたわけです。
福井 本制度を民間に普及するためには、どのような課題がありましたか。
藤原 1998(平成10)年、プライバシーマーク制度が始まった当初は、付与事業者は58社でした。それが急激に伸びたのは、2003(平成15)年に個人情報保護法ができ、世の中で個人情報保護に関する議論が高まるとともに、それを守る基準としてプライバシーマークがあることが広く知られたことによります。
また地方公共団体が、プライバシーマークを取得していることを入札などの条件とするようになりました。大手企業も取引相手に対してプライバシーマークを取得していることを契約や取引の条件にすることが増え、認知度が高まりました。現在は、世界的に見ても成功した認証制度となり、有効な付与事業者が1万5千社を超えています。
福井 個人情報保護法制定後、プライバシーマークを取りたいという事業者が急激に増えたのですが、当時、制度が抱えた課題にはどのようなものがありましたか。
藤原 限られた審査員で、従来の数倍もの案件を処理しなくてはならないという状況の中、審査の質をどう担保するかということが議論となりました。業種や地域に偏在が見られないようにするため、審査できる機関を、全国に万遍なく作ることが課題でした。
福井 現在は地方に6カ所、それ以外は業界団体が審査機関となり、全18カ所の審査機関があり、地域や業種に偏在することなく審査が行われています。当時の先見の明に感謝するところです。
プライバシーマーク制度の課題と今後への期待
福井 2017(平成29)年に施行された改正個人情報保護法について、プライバシーマーク制度として、どのように対応すべきでしょうか。
藤原 今のプライバシーマーク制度というのは、日本工業規格のJIS Q15001を基準にしたマネジメントシステムであり、個人情報保護法を頂点とし、その下にある個別法、政省令、ガイドラインから構成されるわが国の個人情報保護法の体系の外にあるものです。ただし、外にありながら、わが国の個人情報保護法を援護射撃し、支えるという役割を担っています。また、マーク制度は、消費者の目から見ても事業者が適切な個人情報の取扱いをしていることがわかりやすい。プライバシーマーク制度は、今回の個人情報保護法改正前から法律の上乗せ、個人情報保護の拡充という重要な役割を担っていましたが、これは今回の改正後も担い続けていく重要な役割だと思います。
福井 2017(平成29)年と言えば12月には、JIS Q 15001も改正されました。これに伴い、プライバシーマーク制度でも新たな審査基準を公表させていただきましたが、この改正が与える影響についてお伺いしたいと思います。
藤原 これまでのJIS Q 15001はガイドライン的要素、マネジメント的な要素の両面を有していましたが、改正されたJIS Q 15001:2017ではマネジメントの指針であるということが原則化され、わかりやすくなっています。プライバシーマークの現在の運用実態に近づいたといえるので、いい影響を与えるのではないかと考えています。
福井 今後、AI(人工知能)、IoT(モノのインターネット=モノがインターネットに接続され相互に情報をやりとりすること)の急速な普及に伴い、民間におけるプライバシー保護への関心は、どのように変化していくのでしょうか。また、そうした状況において、プライバシーマーク制度が果たす役割に、どのような変化が生じてくると思われますか。
藤原 例えば車の自動運転で考えれば、運転者、歩行者などの情報をセンサーなどで収集、取得できることになります。そうした場合のルールに関しては、世界的にみても、まだ検討の途上です。このような新しい問題が出てきたときに、法律の上乗せ的な役割あるいは補充的な役割を担うものとしてプライバシーマークを役立てることができるのではないかと思います。
プライバシーマークの基本はJIS Qですが、JISの改正は、法律に比べると迅速にできると考えます。その特長を利用して、新しい時代に対応していくことができるのではないでしょうか。
2018(平成30)年5月25日、EUにおいて、新しい個人情報保護法GDPR(一般データ保護規則)が施行されることになり、世界中が注目しています。これを一つの契機として、わが国でもグローバルな視点で個人情報を保護するレベルをあげていく必要が出てくるでしょう。わが国の民間における制度として発展してきたプライバシーマーク制度も、今後はグローバルな動向に目を配り、将来に向けて、日本国内を越えた存在として先々を見据えた変化が必要となって来るのではないでしょうか。
福井 本日は大変貴重かつ興味深いお話を聞かせていただきましてありがとうございました。