カテゴリー「個人情報保護・セキュリティ」の記事

2014年4月23日 (水)

個人情報保護法改正と情報公開法制

個人情報保護法改正に向けて、識別性概念を改正して拡張せよという意見も強い。
 
しかし、次の段階として行政機関個人情報保護法、独立行政法人等個人情報保護法などの改正が控えているだけでなく、さらに、識別性概念は他の多数の法令でも用いられている。したがって、それを拡張してしまうと、他の法令に及ぼす影響が大きいので、その影響を調査、検討しておく必要がある。
 
例えば情報公開法 5条は、憲法21条に基づく国民の「知る権利」を守るための最重要の法律であるが、次のとおり、個人情報を不開示事由としており、個人情報を定義するにあたって識別性の有無を要件としている。
 
すなわち、同法上の個人情報とは「個人に関する情報(事業を営む個人の当該事業に関する情報を除く。)であって、当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することにより,特定の個人を識別することができることとなるものを含む。)」
 
もし識別性概念を拡張して、情報公開法5条も「右にならえ」をすれば、情報公開されべき情報について、上記「拡張」によって不開示になる領域が大幅に増えるおそれがある。つまり、国民の知る権利が妨げられる可能性がある。各自治体は情報公開条例を制定しており、それらについても同様の問題が発生する。
 
情報法学者なら、情報法制全体に配慮して当然である。特に、壊れやすく、傷つきやすい表現の自由、そのコロラリーたる、知る権利には……。
 
ちなみに、情報公開法5条の解釈に関する判例理論は、提供元ではなく提供先を基準に、しかも一般人を基準として識別性の有無を判断しているものが判例の主流である。このように、提供先となりうる一般人を基準に判断する以上、提供元において判断できないというおそれはない。もしできないというなら、最高裁判例を間違いとして責めていることになる。実務的にも、こうした基準で何ら不都合は生じていない。
 
これに対し、識別性判断について提供元基準説という見解があるようだが、それによれば情報公開法制が、さらに酷い状態になってしまうことを、賢明な読者諸氏なら、もうお分かりだろう。
 
なお、個人情報概念を用いている他の代表的な法令は次のとおり。
 
それぞれ定義規定を置く他の法律
 
公文書管理法15条3項、職業安定法4条、労働者派遣事業法7条、港湾労働法14条、クローン技術規制法13条等
 
特に定義規定を置いていない法律
 
医療法6条の5第1項8号、犯罪被害者等基本法15条、地理空間情報活用推進基本法15条、探偵業律8条、競争の導入による公共サービスの改革に関する法律33条の2第2項、厚生年金保険の保険給付及び国民年金の給付に係る時効の特例等に関する法律4条、社会保障協定の実施に伴う厚生年金保険法等の特例等に関する法律102条、地理空間情報活用推進基本法15条等は、特に定義規定を置いていない。
 
個人情報保護3法を引用する法律
 
統計法52条、共通番号法2条3項
 
このように考えると、個人情報保護法の改正に当たっては、先に関連する法令について、影響度をしっかりと調査する必要があるはずだ。
 
とはいえ、現在のところ、事務局案では、識別性概念それ自体は拡張しない予定のようだ。東大の宇賀さんが座長なので大丈夫だとは思うが、表現の自由との適正なバランスを保つために、この線を、しっかりと死守してほしい。
(「準個人情報」については別の機会に述べたい)
 
補足
 
個人情報」等の定義と 「個人情報取扱事業者」等の義務について(事務局案)<詳細編>
スライド2には理解不足がある。
 
「(第三者提供時の容易照合性判断基準)
提供元(情報を取り扱う事業者)を基準に判断する。
(理由)提供先において特定個人を識別できるか否かは、本人同意を得る等義務を負う提供元においては判断ができない。 」
 
という点である。
 
下記のように、
正しくは、下記のスライド59番のように、識別データを加工して非識別データを作って第三者提供する際に、本人の同意を要しないためには、提供元が手元にある「照合表」を完全消去しなければならないとするのが、提供元基準(提供者基準)説である。なぜなら、提供元を基準にする限り、提供元に照合表が残っている限り、それと容易に照合して識別しうることになるからである。
https://staff.aist.go.jp/takagi.hiromitsu/paper/kof2013-takagi.pdf

提供元を基準に一般人を基準として判断するという意味は必ずしも明らかではないが、仮に、一般人たる提供元の立場で判断するという意味なら、一般的な提供元は「照合表」を保有しているのであるから、すべて加工した情報についても原則「識別性あり」という結果になりかねない。やはり欠陥のある見解であることに変わりはない。
 

| | トラックバック (0)

2014年3月24日 (月)

個人情報保護法23条の識別性判断基準と省庁指針

 個人情報保護法23条にいう「個人データ」の識別性判断基準について、提供先ではなく提供元を基準とする考え方が政府見解だと主張している人が居るようだ。本当であろうか。
 
省庁が策定したガイドライン(指針)の大部分は、この点に関する解釈について明確には触れていない。
 
数少ない例外として、厚生労働省の『医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン』(平成22年9月最終改正)がある。
 
「特定の患者・利用者の症例や事例を学会で発表したり、学会誌で報告したりする場合等は、氏名、生年月日、住所等を消去することで匿名化されると考えられる」として発表等を適法としている(7頁)。本文で引用した部分に続き、「症例や事例により十分な匿名化が困難な場合は、本人の同意を得なければならない。」としている。
 
「当該発表等が研究の一環として行われる場合」には同法50条1項に示す取扱いによるものとしている。したがって、上記で引用した取扱いは同法50条1項が適用されない場合についてのものである。
 
なお、「診療録等の診療記録や介護関係記録については、媒体の如何にかかわらず個人データに該当する。」(7頁)
 
同省『福祉関係事業者における個人情報の適正な取扱いのためのガイドライン』(平成16年11月)5頁もほぼ同趣旨を説く。
 
さらに、同省・文部科学省『疫学研究に関する倫理指針』(平成20年12月1日一部改正)は、30頁で、「連結不能匿名化又は連結可能匿名化であって対応表を提供しない場合」には、本人の同意がなくとも「所属機関外の者に提供することができる」とする。
 
これは、厳密には保護法の指針ではないが、当然のことながら保護法を踏まえているものと言えよう。提供先にとって非識別化されていれば、提供元にとって連結可能匿名化のままでも、提供先との関係において非識別化されていれば、同項の適用対象外となり、本人同意を要しないという解釈を示すものである。この場合における連結可能匿名化とは、提供元にとって対照表と照合しようとすれば照合可能であるような状態を指しているからである。
 
厚生労働省や文部科学省が政府見解に逆らっているとは思えない。これは、上記主張が事実ではないことを示している。(追記:存在もしていない政府統一見解に、気付かなかったことがあるのではというのも、非論理的にすぎる)
 
情報は正確でありたいものだ。
 
念のため、これらのガイドラインの原典へのリンクを明らかにしておく。
 
厚生労働省の『医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン』(平成22年9月最終改正)
 
同省『福祉関係事業者における個人情報の適正な取扱いのためのガイドライン』(平成16年11月)
 
同省・文部科学省『疫学研究に関する倫理指針』(平成20年12月1日一部改正)

| | トラックバック (0)

2014年3月18日 (火)

個人情報保護条例と個人識別性概念

個人情報保護条例における個人情報概念について、個人識別性に関する規定内容が千差万別に過ぎるという批判をする人がいる。本当にそれは事実であろうか。
 
各条例は、識別性を要件として定めている点で共通するが、照合による識別性を、(a)明記するものと、(b)明記しないものがある。さらに類型(a)は、行政機関個人情報法2条2項等と同様に、単なる照合で足りるとするもの((a)-1)と、個人情報保護法2条1項と同様に、照合容易性を明記するもの((a)-2)とに分かれている。
 
個人情報保護法において、照合容易性の要件は民間部門の事業者への過重負担とならないよう、義務の対象情報を限定するために設けられたものであること、行政機関個人情報法と区別する合理的理由がないことを考えると、条例における(a)-2の合理性には疑問がある。
 
(b)は「識別されたまたは識別されうる個人に関するすべての情報」と規定するOECDガイドラインに倣ったものであろう。同ガイドラインの解釈においては、「識別されうる」とは照合による識別性を含むものと考えられている。したがって、形式的な文言上の違いはともかくとしても、その実質的意味は(a)-1と同様である。なお、(b)のことを「照合除外型」と呼ぶ人も、一部にいるようだが、それは間違った理解である。(b)も照合による識別を除外していないからである。
 
このように、個人情報保護条例における個人識別性の規定内容は、実質的には2つに大別しうる。したがって、規定内容が千差万別に過ぎるという批判は間違っている。ただ形式上において違いがあるため、見かけの上で千差万別であるように感じられるに過ぎない。
 
ちなみに、定義規定の明確性、行政機関個人情報法との調和等を考慮すると、個人情報保護関係5法成立後の現在においては、(a)-1に統一されることが最も望ましい規定形式といえよう。

| | トラックバック (0)

2013年12月24日 (火)

『パーソナルデータの利活用に関する制度見直し方針』への期待

内閣官房のIT総合戦略本部は、個人情報保護法の改正等に向けた『パーソナルデータの利活用に関する制度見直し方針』(以下「本方針」という。)を2013年12月20日付で決定した。
 
短期間に良い内容にまとめられたことについて、深く敬意を払うものである。
 
プライバシーへの言及がなされている一方、短期間での整理であったためか、個人識別性との関係で、プライバシー判例には触れられていないので付言しておきたい。
 
個人情報保護3法が保護しようとする「権利利益」は、主要なものはプライバシー、その他としては名誉権等であると考えられている。
 
最高裁の確立した判例理論は、いわゆる匿名情報のような非識別情報の公表・提供行為は、プライバシー侵害とならないという立場である。
 
それは、『石に泳ぐ魚』事件の1審の東京地判平成11年6月22日判時1691号91頁、控訴審の東京高判平成13年2月15日判時1741号68頁、それを是認した上告審の最判平成14年9月24日裁時1324号5頁が判示している。
C1
 
また、最判平成15年3月14日民集57巻3号229頁(長良川少年報道事件)も同様の立場を採用している。
 
以上の点について、当然ながら下級審判例 も、おおむね同様の立場である。東京地判平成24年8月6日平24(ワ)6974号等である。
C2
 
こうした確立した判例理論からすれば、一般人たる情報の「受け手」にとって誰の情報か分からない(つまり個人識別性のない)、例えば「某大手企業の某役員が性病に罹患して、昨夕、都内の病院に通院した。」のような種類の情報を公表・提供しても、プライバシー侵害も名誉毀損も成立するか疑問である。当該情報の「受け手」にとって特定個人についての識別性がなく、当該特定個人の人格権、人格的利益が損なわれたとは認められるであろうか。
 
現行の個人情報保護法に関する厚労省関係のガイドラインでも、非識別化した情報の提供が適法とされているように見受けられる。医療・介護ガイドラインや、福祉関係事業者ガイドラインは、「特定の患者・利用者の症例や事例を学会で発表したり、学会誌で報告したりする場合等は、氏名、生年月日、住所等を消去することで匿名化されると考えられるが、症例や事例により十分な匿名化が困難な場合は、本人の同意を得なければならない。」としている。
 
これらの点は先日の「法とコンピュータ学会」で基調講演したところである。上記スライドはその際のものに少し手を入れたものである。
 
リーディングケースとされる前述の最高裁の判例理論では、プライバシー侵害だけでなく名誉毀損についても同様の法理が採用されている。
 
こうした前提の下で、今回の方針でも指摘されているように、近時は新たな情報通信技術の進展によって新たな局面を迎えている。それに対する対応として、国際的調和を図りつつ、産業振興とプライバシーとの調和を図ることが求められている。そのため、範囲を画して非識別化といえるための条件設定を模索している。
 
今回の方針に賛成であるが、今後の具体化に向けた検討作業の過程において、良く理解せずに独自見解を主張する人も登場する可能性があるので、意見を集約するには、さらなる努力と深い知見を要すると思われる。それを乗り越えて、今回の方針を踏まえた適正な改正案が作られ、改正に至ることを期待したい。

| | トラックバック (0)

2013年12月20日 (金)

番号法の成立と今後の課題

情報ネットワーク法学会 第13回研究大会(2013年11月23日)
特別講演
「番号法の成立と今後の課題」
 講師:岡村久道
動画が下記からご覧になれます(YouTube)。

| | コメント (0) | トラックバック (0)

2013年12月12日 (木)

舞台降板事件訴訟と人格権

あるタレントさんが舞台の練習参加を拒んで降板した事件(正確には舞台そのものがボツになった事件)が、舞台製作者側との裁判紛争に発展して、メディアで話題となっている。
 
第三者が出版した自伝をベースに作られた脚本が、当該第三者の意向を無視していることが、降板した理由として主張されているようだ。
 
その期日で裁判長が「原作、原案というより、モデルの人格権に関わる。」という言葉を述べたとして、「人格権」の意味がメディアでさらに憶測を呼んでいる。
 
脚本も原作も拝見していないので、現時点で正確な判断は困難である。そのため、以下、このような類型の事件についての、あくまでも「人格権」に関する一般論にとどまるが、メモとして残しておきたい。
 
原作の創作的表現について本質的特徴を直接感得しうるなら(江差追分事件最高裁判例が提示した基準)、脚本化は、著作者人格権のひとつである同一性保持権侵害に該当しうる。これも一応は立派な人格権である。
 
ちなみに、「原作、原案」という区分は、アイデアは著作権法の保護範囲外という趣旨をいいたいのであろうが、用語として裁判実務では一般的ではない。創作的表現を対象に、上述した感得性の有無によって決せられる。
 
さらには著作権法113条6項の、みなし著作者人格権侵害に該当する可能性もある。こちらは「著作者の名誉又は声望を害する方法によりその著作物を利用する行為」が対象となる。芸術的な裸婦像をストリップ劇場の看板に流用するようなケースが典型例である。
 
その一方、人格権の代表とも言うべきプライバシーについては、前記第三者本人が既に著書として出版しており、その限度では公知性があるから、純然たるプライバシーの問題とはとらえにくい。
 
しかし、脚本をモデル小説になぞらえれば、原著に記載されていない内容を無断で脚本に入れた場合にはプライバシーの問題が、脚本で虚偽を織り交ぜたような場合には名誉毀損が成立する余地がある。
 
でもそれだけではない。客寄せパンダとして著作者名を無断利用するのなら、最高裁がピンクレディー事件で認めたパブリシティ権の問題ともなりうる。これを最高裁は人格権たる肖像権の一種と位置付けている。この辺りの領域は深い判例理論の知識がなければならない。最近の保護法改正論でも、プライバシー重視を主張するというなら、もっと判例理論をきっちり理解していなければならない。
 
いずれにしても、本件では問題となった原作だけでなく、脚本を見なければ正確な判断は難しい。以上が、純然たる一般論にとどまるゆえんである。

| | コメント (0) | トラックバック (0)

2013年10月25日 (金)

プライバシー情報の公表と識別性-「石に泳ぐ魚」事件再考

はじめに
 
ある情報の公表がプライバシー権の侵害を構成するためには、当該情報が特定個人を識別しうるものであるという性格(個人識別性)を有していなければならないか。この点が問題となったものとして、「石に泳ぐ魚」事件がある。
 
本件は、モデル小説「石に泳ぐ魚」(本件小説)について、名誉毀損とプライバシー権侵害を理由に損害賠償等を請求した事案であった。本件小説はXについて実名ではなく仮名(本稿では「PQ」と別仮名で以下表記する。)を使ったため、Xという特定個人を識別(同定)できるか否かが争点の一つとなった。
 
1審判決
 
1審判決(東京地判平成11年6月22日判時1691号91頁)は、「本件小説の不特定多数の読者が『PQ』とXとを同定し得る……から、本件小説中に、『PQ』について、Xがみだりに公開されることを欲せず、それが公開された場合にXが精神的苦痛を受ける性質の未だ広く公開されていない私生活上の事実が記述されている場合には、本件小説の公表はXのプライバシーを侵害する」とした。
 
控訴審判決
 
控訴審判決(東京高判平成13年2月15日判時1741号68頁)も、「Xの属性からすると、芸大の多くの学生やXが日常的に接する人々のみならず、Xの幼いころからの知人らにとっても、本件小説中の『PQ』をXと同定することは容易なことである。したがって、本件小説中の『PQ』とXとの同定可能性が肯定される。」とした上、「『PQ』とXとを同定することができるから、本件小説中の『PQ』に係る記述中に、Xがみだりに公開されることを欲せず、それが公開されるとXに精神的苦痛を与える性質の私生活上の事実が記述されている場合には、本件小説の発表はXのプライバシーを侵害する」とした。
 
本件で、Yらは、「特定の表現がどの範囲の者に対して公表されることを要するかという『表現の公然性』の要件としては、発表が不特定多数を前提にした公のものであることのほか、その不特定多数の読者がそこで知り得た情報を理解し得る予備知識を持ち得ていることが必要であるとした上、Xは一介の無名の留学生であって、不特定多数の読者が本件小説中の『PQ』とXとを同定することはできないから、本件小説がXのプライバシー等を侵害することはあり得ない」と主張した。
 
本判決は、次のとおり判示して、この主張を退けた。
 
「表現の対象となったある事実を知らない者には当該表現から誰を指すのか不明であっても、その事実を知る者が多数おり、その者らにとって、当該表現が誰を指すのかが明らかであれば、それで公然性の要件は充足されている。それに、本件のように小説によるプライバシーの侵害が問題となる場合、小説の読者でなくとも、ある者が小説のモデルとされたこと自体が伝播し、その被害が拡大していくことは見やすい道理である。その場合に、モデルが著名人であれば、モデルを知る者が多数いることから被害が拡大する。これに対し、モデルが著名人でない場合でも、モデルとされたこと自体は多数の者に伝播されていることに変わりはない。そのような伝播によって、モデルと目される人物について、好奇の眼をもって見ようとする者が増えており、モデルの特徴を備えた人物がそのような者の前に現われれば、その人物は好奇の眼にさらされるのである。このように、本件において、本件小説の読者となる者の多くが『PQ』とXとを同定できないから、プライバシーを侵害することはないなどということはできないのである。」
 
「したがって、ある者のプライバシーに係る事実が不特定多数の者が知り得る状態に置かれれば、それで公然性の要件は充たされる。前記のとおり、本件小説は、X《…》によって単行本としてその出版が予定されているというのであるから、『PQ』とXとを同定し得る読者の多寡に関わらず、プライバシーの侵害が肯認される。」
 
上告審判決
 
上告審判決(最判平成14年9月24日判時1802号60頁)は原判決を支持している。識別(同定)については特に触れていないが、それは上告審において特段の争点とならなかったからである。
 
結びに代えて
 
本件ではXという特定個人を識別(同定)し得るか否かという点が大きな争点とされていることからすれば、それを識別(同定)できない場合には、プライバシー権侵害は不成立となると考えられていたと思われる。
 
不特定多数を要件とすべきかについては、さらに留保を要する。甲が乙に丙の病歴を告げたことが原因で、乙が丙との婚約を破棄したような場合に、わずか一人に告げたものに過ぎないとしても、甲に丙に対するプライバシー権侵害が成立すると考える余地もあるからである。とはいえ、誰の情報なのかXという特定個人を識別(本件にいう同定)されるものであることを要するとすることと、どの範囲の者に識別(同定)される必要があるのかという点は、分けて考えることができる問題である。本件では、出版の差止めが問題となっており、また、識別しうる者の範囲が損害賠償額にも影響することを指摘しておきたい。
 
個人情報保護法は、個人情報の不適正な取扱いによって特定個人の権利利益が侵害されることを未然防止することを目的としているが、そこにいう権利利益の主要なものはプライバシー権であると考えられている。したがって、同法の解釈にあたっては、プライバシー権に関する解釈と、できる限り統一が図られる必要があろう。さらに、最近ではパーソナルデータについて、プライバシー権との関連を重視して考える傾向がある。その際にも、かかる判例理論は重要な示唆を与えるものと思われる。
 

| | トラックバック (0)

2013年10月23日 (水)

EU個人データ保護規則案が可決された

EU個人データ保護規則案が、可決された。
 
さっそく欧州議会サイトに、次のニュースリリースが掲載されている。
“Civil Liberties MEPs pave the way for stronger data protection in the EU”
 
このニュースリリースには、次のような概要が冒頭に記されている(筆者が取り敢えず短時間で仮訳したものであり、不十分な箇所があればご指摘願いたい)。
 
「現行のEUデータ保護ルールを大幅に見直すことは、人々が自己の個人データをコントロールの下に置くとともに、企業が欧州全域でデータを移動させることを容易にするものであり、月曜日に人権委員会によって選ばれた。マス・サーベイランスのケースに対処するために、欧州議会議員は、EU域外諸国へのデータ移転について、より強化された安全措置を新設した。彼らはまた、明示的な同意の要件、消去する権利、およびルールに違反した企業に対する罰金額の増額を新たに設けた。」
 
このうち前半の点について、このニュースリリースで、データ保護規則法制化に関する報告者のジャン・フィリップ・アルブレヒト氏は、投票後に、次のようにコメントしている。
 
「今夜の投票は、デジタル時代における課題への対応を確実化するという点で、欧州のデータ保護規則にとって画期的なものである。この制定法は、データ保護に関するEU規則に架橋しようとするものであり、現行における(EU域内の)各国内法のパッチワークに置き換わるものである」。
 
ところで、1995年のEUデータ保護指令が現行では有効であるが、これは国内法としての効力を有しておらず、EU加盟国は、それぞれデータ保護指令に基づいて国内法を整備してきた。
 
しかし、EU加盟各国の国内法の間には「ばらつき」があるのも事実である。これが上記にいう「各国内法のパッチワーク」という言葉の意味である。こうした「ばらつき」が、企業が欧州全域でデータを移動させることを困難にしてきたという指摘は多く、解決策が検討されてきた。ちなみに、こうした「ばらつき」問題はEU域内諸国間だけで生じている問題ではない。国際的に生じていることはもとより、合衆国では各州法の内容に「ばらつき」が、我が国では各地方公共団体の個人情報保護条例の間における「ばらつき」が問題とされてきた。法律レベルではないが、省庁ガイドラインの「ばらつき」も問題なしとしない。
 
いずれにしても、こうした「ばらつき」が、EU加盟各国の間におけるデータ移転を困難にしていることは否定できない事実である。EU個人データ保護規則案は、データ保護指令に置き換わるべき性格のものであるが、データ保護指令と異なり、EU個人データ保護規則案は、国内法化することなく、そのまま直接適用される。これによって「ばらつき」が解消される。これが、「上記の企業が欧州全域でデータを移動させることを容易にするもの」という意味である。
 
アルブレヒト氏は、次のように付け加えている。欧州議会には、欧州の各政府と協議を開始するために、現在、明確な権限がある。これを受け容れ、協議を開始するというボールは、現在、各EU加盟国政府の手の内にあり、そのため、我々は市民の関心に応えて、EUのデータ保護ルールの緊急に要するアップデートを届けることが可能であると。
 
ここで注意すべきなのは、指令の規則化は、ルールの統一化という点によって、域内データ移転の容易化をもたらすという意味で、域内の企業にとってもプラスになるということ、その一方で、各個人にとっても、状況の変化に迅速に対応できるという利点を有しているということである。これらの点は、我が国における各地方公共団体の条例間やガイドライン間における「ばらつき」への今後の対応に示唆を与えるものである。

EU域外諸国へのデータ移転については、第三国(EU域外諸国)が企業(例えば検索エンジン、ソーシャルネットワークまたはクラウドプロバイダ)に対して、EUで処理される個人情報の公表を求める場合には、当該企業は、どんなデータであっても、移転する前に、当該国のデータ保護期間に対して承認を求めなければならないものとしている。当該企業はまた、そうした求めがあったことを、当該データのコピーを有する者に対し知らせなければならない。この提案は、「2013年6月にメディアが明らかにした大規模な監視活動への反応」とされている。これはエドワードスノーデンのリーク事件のことを指しているものと思われる。
 
後半のうち、最も興味深いのが、「消去する権利」(right to erasure)である。
 
これは、インターネット企業のようにデータを扱う者に対し、本人が求めたときは、自己の個人データを消去する権利を有するというものである。これを強化するため、本人からデータ消去の求めを受けた企業は、当該データを複製した他の者に対して、当該求めがあったことを通知しなければならないとされている。
 
保護規則案の検討過程では、「忘れてもらう権利」(right to be forgotten)が提案されていたが、この「消去する権利」は、「忘れてもらう権利」をカバーするものとされている。「忘れてもらう権利」に対して、これまで非現実的である等の批判が強かった。今回、「消去する権利」が認められたことは、やはりリーク事件の影響と見るのが自然であろうか。
 
違反に対する制裁の強化については、規則を破った企業は1億ユーロと、世界的な年間売上高の最大5%のうち、いずれか大きい方を上限とする罰金に直面することになる。罰金といっても日本法でいう課徴金のようなものである。「明示的な同意の要件」については、機会があれば別途解説したい。
 
付け加えておくと、今回の「可決」で完全に成立したというわけではない。前述のとおり、これからEU加盟諸国の各政府との協議が待ち受けている。したがって、我々としては、今後の行方を、まだこれからも注視していなければならない。
 
《参考》
 
“Civil Liberties MEPs pave the way for stronger data protection in the EU”

| | コメント (0) | トラックバック (0)

2013年8月20日 (火)

新刊予告「インターネットの法律問題-理論と実務-」

単行本「インターネットの法律問題-理論と実務-」の新刊予告です。
 
C75a6b37456fb9da353e6945ead0113d
執筆陣は、次のとおり。この領域の専門家であれば、この顔ぶれの意味は分かるはずです。おそらく、少なくとも当分は、サイバー法の最高水準の教科書として君臨するでしょう。
 
第2章 情報通信の階層構造、通信自由化と競争政策
第3章 電波・放送法制、通信・放送融合への対応
関 啓一郎先生(東京大学 公共政策大学院 教授)がご執筆。
 
第4章 表現の自由
宍戸 常寿先生(東京大学)がご執筆。
 
第5章 プロバイダの地位と責任
丸橋 透部長(ニフティ)がご執筆。
 
第1章 総 論
第6章 著作権
双方を不肖、私が執筆。
 
第7章 産業財産権
古谷栄男先生、松下正先生、鶴本祥文先生(弁理士)がご執筆。
 
第8章 プライバシーと個人情報保護
新保史生先生(慶應義塾大学)がご執筆。
 
第9章 情報セキュリティ
石井夏生利先生(筑波大学)がご執筆。
 
第10章 情報システムの構築と契約は、
鈴木正朝先生(新潟大学)がご執筆。
 
第11章 パッケージソフトウェアプログラム
伊藤 ゆみ子先生(現シャープ執行役、前マイクロソフト株式会社法務本部長)がご執筆。
 
第12章 電子消費者保護
川村哲二先生(弁護士)がご執筆。
 
第13章 電子決済
杉浦 宣彦先生(中央大学、元金融庁)がご執筆。
 
第14章 国際私法
早川吉尚先生と小川和茂先生がご執筆。
 
第15章 民事訴訟
町村 泰貴先生(北海道大学法学部)がご執筆。
 
第16章 刑事法実体法
園田 寿先生がご執筆。
 
第17章 法情報学
笠原 毅彦先生がご執筆。
 
出版社の案内ページ

| | コメント (0) | トラックバック (0)

2013年8月13日 (火)

合衆国の連邦政府における個人情報保護法制に関するメモ

はじめに
 
本稿では、合衆国における個人情報保護法制と、その最近における動向について、簡単に整理しておきたい。それは、近時において、後述のとおり大きな注目を集めている。
 
一般に、合衆国の法制度は、州と連邦に分けられる。
 
個人情報保護に関する州法は多様であるから、ここでは検討の対象から外し、以下、連邦の法制度に限定して説明する。不法行為としてのプライバシー権については、別途、機会があれば取り上げることにする。
 
連邦における公的部門と民間部門に関する保護の法的枠組み
 
連邦の公的部門を対象とする包括法として、Privacy Act(1974年)が制定されている。
 
これに対し、民間部門を対象とするものについては、個別法が複数存在するだけで、包括法は存在しておらず、原則として自主規制に委ねられている。そのため、セクトラル(個別分野)方式と呼ばれている。
 
我が国の場合、官民双方を対象とする基本法(個人情報保護法の基本法部分)と、官民それぞれを対象とする包括法(個人情報保護法の一般法部分と、行政機関個人情報保護法及び独立行政法人等個人情報保護法)が制定されている(詳細は拙著「個人情報保護法の知識〈第2版〉」参照)。
 
したがって、合衆国の連邦法と、我が国の場合を比べると、個人情報保護法制に関する基本構造が大きく異なっている。
 
なお、EUと合衆国との間のセーフハーバールールについては後述する。
 
連邦の主要な個別法
 
連邦の主要な個別法として、次のものがある。
 
・公正信用報告法(Fair Credit Reporting Act, FCRA)
・金融サービス近代化法(Gramm-Leach-Bliley Act, GLBA)
・ 児童オンラインプライバシー保護法(Children's Online Privacy Protection Act, COPPA)
・スパム対策法(CanSPAM Act)
・Telemarketing and Consumer Fraud and Abuse Prevention Act(DoNotCall)
・ 家庭教育プライバシー法(Family Educational Rights and Privacy Act, FERPA)
・ 金融プライバシー権法(Right to Financial Privacy Act)
・ プライバシー保護法(Privacy Protection Act, ECPA)
・ ビデオプライバシー保護法(Video Privacy Protection Act, VPPA)
・ 電話加入者保護法(Telephone Consumer Protection Act)
・ 医療保険の相互運用性及び説明責任に関する法律
 (Health Insurance Portability and Accountability Act, HIPAA)
・ 電気通信法(Telecommunications Act)
 
自主規制とFTCの役割
 
連邦における自主規制は、主としてプライバシーポリシー等を作って公表する方式である。
 
ポリシーに反する行為は、消費者による批判の対象となるだけでなく、一種の不公正又は欺瞞な行為、慣行に該当して、FTC法5条の対象となる。
 
いわば、企業が消費者に対してポリシーによって示していることと、実際の当該企業の行動が異なっていることが、不公正又は欺瞞的であると評価されるのである。その限度では、我が国の景品表示法と類似した制度を利用していることになる。
 
FTCとは何か
 
FTC(Federal Trade Commission:連邦取引委員会)は、基本的には調査・法執行機関である。
 
FTCは、もともと連邦の独占禁止法(反トラスト法、競争法)を管轄する組織であった。
  
根拠法である連邦取引委員会法(Federal Trade Commission Act:FTC法)は、1890年のシャーマン法(Sherman Act)、1914年のクレイトン法(Clayton Act)とあわせて、反トラスト法の「基本3法」と呼ばれている。
 
シャーマン法とクレイトン法は、司法省反トラスト局(Antitrust division, Department of Justice)が執行機関である。これに対し、FTCは、FTC法とクレイトン法の執行を行う。合衆国の反トラスト法制度の概要については、公正取引委員会「米国(United States)」を参照されたい。
 
しかし、FTCは、それに加えて、消費者保護を管轄するようになり、1970年以降になると、その関係で個人情報保護を管轄するようになった。1970年に施行されたFair Credit Reporting Act(FCRA)の執行機関となったことを端緒としている。
 
本稿執筆時点で、FTCには、5人のコミッショナーの下に、競争局(the Bureau of Competition)、消費者保護局(the Bureau of Consumer Protection)、経済局(the Bureau of Economics)が置かれており、プライバシー・個人情報保護は消費者保護局が担当している。
 
コミッショナーは、連邦議会の上院の承認の下に、大統領が任命する。
 
(FTC 組織図は http://www.ftc.gov/ftc/ftc-org-chart.pdf 参照)
 
FTC法5条違反の「不公正又は欺瞞な行為、慣行」(unfair or deceptive acts or practices)」に対し、FTCは主として排除措置(cease and desist order)と民事制裁金(civil money penalty)を課す。
 
これらに関する同意命令(consent order)に同意しない者に対して、FTCは行政審判を行う。
 
FTCは取引規制規則(Trade Regulation Rules)の制定も行う。その例として、テレマーケティング規制のためのTelemarketing Sales Ruleがある。
 
その他、FTCは、いくつかの個別法について法執行の役割も担当している。公正信用報告法等である。
 
セーフハーバールール
 
EUと合衆国との間のセーフハーバー協定に基づき、商務省が定めるセーフハーバー原則を遵守すれば、その企業は95年のEUデータ保護指令をクリアできるというものである。
 
この指令は、EU域内諸国に対し一定水準の個人情報保護に関する国内法の制定を求める一方で、EU域内から第三国へのデータ移転を原則禁止している。第三国へのデータ移転が認められるためには、当該第三国における個人情報保護水準の十分性が、EUによって認められなければならない。
 
この協定は、セーフハーバー原則を遵守する合衆国の民間企業に対し一定の手続きによって十分性が認定されるとするものである。
 
合衆国の商務省が定めるセーフハーバー原則は、次のとおりである。
 
① 告知:利用目的等の告知
② 選択:オプトイン、オプトアウトの機会の提供
③ 第三者への提供:告知と選択の原則の適用等
④ セキュリティ
⑤ データの完全性
⑥ アクセス;開示、訂正、変更、削除請求
⑦ 執行
 
その仕組みは、企業は、セーフハーバー原則を遵守することを宣言し、プライバシーポリシーを公表する、セーフハーバー原則の遵守の確約書を商務省に提出し、商務省は当該企業名等をウェブサイトに掲載するというものである。
 
セーフハーバーについても、遵守を約束した企業において、そのポリシーに違反する行為が発覚した場合、FTC法5条違反の「不公正又は欺瞞な行為、慣行」として、排除措置・課徴金等の対象となる。
 
しかし、あくまでも宣言するかどうかは企業の任意に委ねられている。ただ、EUデータ保護指令をクリアすることを希望する合衆国の企業にとっては、この方法によることが有利である。
 
連邦における近時の動向
 
ホワイトハウスは、2012年2月に政策大綱「ネットワーク化された世界における消費者データプライバシー」(Consumer Data Privacy in A Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy)を公表した。
 
その中で「消費者プライバシー権利章典」(A Consumer PrivacyBill of Rights)を示している。さらにその中では、公正情報行動原則(FIPPs: Fair Information Practice Principles)を適用するよう提唱されている。
 
FTCも同年3月に報告書「急速に変化する時代における消費者プライバシーの保護」(Protecting Consumer Privacy in an Era of Rapid Change)を発表した。
 
しかし、これら自体が法令というわけではない。いずれも、最終的には連邦議会に対して立法化を呼びかける内容となっている。
 
それとともに、自主規制の枠組みとしての活用が提言されている。その関係では、自主規制として行動規範を採用して遵守を宣言した企業が違反すれば、FTC法5条違反となる。しかし、その採用は現時点では任意のものであり、企業側に採用義務があるわけではない。
 
以上に示されているように、「消費者プライバシー権利章典」や上記FTC報告書が、現時点において法的拘束力を有しているものではないことに、注意すべきである。
 
結びに代えて
 
本稿で説明してきたことをまとめると、次のとおりとなる。
 
すなわち、合衆国の連邦における民間部門を対象とする個人情報保護法制は、個別法が存在する個別分野を除けば、各企業がポリシーを公表することによる自主規制を原則とするものである。
 
ポリシー違反はFTC法5条違反となり、FTCによる法的措置の対象となる。自主規制と、その実効性担保を、ポリシーをキーワードにして調和させようとした、きわめて興味深い法制度である。
 
しかし、連邦の場合も、あくまでも自主規制である以上、各企業はポリシーを策定すべき法的義務を負うものではない点に限界がある。セーフハーバーの仕組みは、合衆国の民間企業に対しポリシー公表に向けて一定のインセンティブを付与するとともに、EU域内からのデータ移転を円滑にするものである。
 
このような枠組みの下においては、対象となる企業が、プライバシーポリシーを公表していなければ、FTC法5条の発動は困難である。それが、民間部門を対象とする包括法を有しないことの特徴となっている。
 
この点が、かねてより合衆国のプライバシー保護団体等から批判されてきた。つまり、個人情報保護に関し自主規制ベースでは限界があるとして、立法化が求められてきたわけであるが、法規制を嫌って、これに抵抗する勢力も根強い。しかし、消費者によるプライバシー侵害訴訟が与える影響も、見過ごせないところである。
 
こうした中で合衆国政府は「消費者プライバシー権利章典」等によって、立法化を連邦議会に対し提唱するに至った。連邦議会が、今後、これに対しどのように対応するか、注目されるところである。
 
補足-日本法とポリシー
 
我が国の個人情報保護法制は、ポリシーについて明示規定を置いていない。「政府の基本方針」にはポリシーについて言及している部分があるが、それには拘束力はなく任意であり、違反に対するペナルティもない。
 
ただ、18条によって個人情報取得の際に利用目的が、24条1項によって保有個人データに関する一定事項が、公表等の対象とされているだけである。公表等を怠った場合には、主務大臣による法的措置の対象となる。
 
しかし、この公表等については、形骸化しているとの声も強く、透明性を図るために十分か、制度的な再検討が求められよう。
 
参 考
 
Federal Trade Commission Act (FTC法)
 
ホワイトハウス・政策大綱「ネットワーク化された世界における消費者データプライバシー」(原文)
 
FTC報告書「急速に変化する時代における消費者プライバシーの保護」(原文)
 
       (以上)

| | コメント (0) | トラックバック (0)

より以前の記事一覧