個人情報保護と情報社会
個人情報保護と情報社会
1.個人情報保護の歴史的位置付け
近代以前の共同体社会では、基本的にプライバシーは存在しないが、それでも部分的に構成員個々にしか分からない個人情報も存在した。しかし、その個人情報がたとえ外部に漏れて公開されたとしても、共同体の狭い限られた範囲でしか伝達せず、しかも共同体内では「お互い様」の関係にあるため、相互規制が強く働いて公開されたことで個人の尊厳が卑しめられるようなことは殆ど生じない。したがって、プライバシー権が問題になる現実的な基盤は存在しなかった。
近代の工業社会では、理念的に自立した個人=主体が成立する一方で、その主体に対置される客体として社会が立ち現れ、その社会の中で諸個人が活動する際に心を許すことのできない外界として社会が対峙することになった。工業社会では、共同体が崩壊したこととそれによって生まれた諸個人がより豊かで高度な社会生活を送るために公共サービスが必要となり、その公共サービスを実施するため、個人情報が各種統治機関等によってそれぞれ収集・集積されて利用されることになった。統治機関によって収集・集積される個人情報としては、氏名、住所、生年月日、続柄または出所を示す戸籍や住民登録、警察における運転免許に係る記録や犯罪記録、納税に係る記録、健康保険や年金などの各種社会保障制度に係る記録などがあり、その他各種組織によって収集・集積される個人情報として、通信会社による通信端末の契約情報と通信記録、各種会社や団体などの帰属組織による経歴・収入記録、病院などによる病歴及び健康情報など多彩である。ただ、個人情報を収集・集積した統治機関等は、それぞれ独立して個別に情報を保持しているだけで、情報管理も容易で情報流出の可能性も低いため、個人情報が他の目的に流用されたり、複数の個人情報が統合されて個人の人格権が侵害される恐れも小さかった。そのため、この種の個人情報の保護の必要性が強く意識されることはなかった。
その一方で、工業社会においては、大量の物財流通に対応して、情報も物財(出版物)の形態で社会に広く流通可能となり、その結果最早「お互い様」の感性が通用せず、他人の恥部に対する好奇心が遠慮なくあからさまに発揮されてしまうような広域で個人情報が流通する可能性が生じ、プライバシーに関わる個人情報が「イエロー・ジャーナル」という形で流通する事態が発生し、社会における個人の尊厳を守るために、プライバシーを保護する必要が生じた。そこで、プライバシー権という考え方が持ち出され、そのプライバシー権は人間が本来的に持っている根源的な権利としての自然権であるとする見解が現われるとともに、自然権として認めない場合にも実質的にその権利を認めるようになった。それに伴ってこの新たに自然権とされることのあるプライバシー権と、元々自然権とされている個人の自由権に結びついている言論・出版などの表現の自由と干渉し、また公的利益とも干渉することがあり、それらを比較考量して調整する必要があった。しかし、それらの何れも自然権として把握する限り相互の関係を認識できないため、理論的に調整することはできず、個々の事案ごとに裁判で世情に則って常識的な判断をするという状況が繰り返されている。
現代は、工業社会から情報社会に向けて社会が展開する過程にあり、その中ではデータベースのデータ格納量、コンピュータのデータ処理能力、及びインターネットのデータ通信速度が飛躍的に向上してデジタル情報空間が形成されるに至っている。その結果、私的で不可侵のプライバシー情報に属さない個人情報であっても、外部に流出して他の目的で利用されたり、複数の個人情報が統合されたり、プライバシー情報とアンカリングされたりすることによって、個人の人格が丸裸にされる可能性が生じ、プライバシーが侵害されるだけでなく、人格的な支配が及ばされる危険性が極めて高くなっている。そのため、現代では個人情報を適切に保護することが絶対に必要となっている。そこで、個人情報をその個人の人格に帰属するものとし、個人の人格権に基づいて個人情報に対するコントロール権を認める考え方が広まっている。
その一方で、テロや凶悪犯罪を予防し、犯人の検挙率を高めるため、現実的に防犯カメラを設置する必要性を認めざるを得なくなっているように、個人情報の保護(秘匿)と社会の安全確保とが背反的な関係になる場合があり、安全を確保するために必要な個人情報の収集・利用・公開は許容せざるを得なくなっている。
そこで、改めて個人情報とは何かということを再認識し、それに基づいて個人情報保護の在り様を検討することが必要となっている。
2.社会的主体権・人格権・個人情報保護
諸個人は社会に対して諸関係を取り結ぶことによって自ら存在し生活し活動しており、かつこれら諸個人の活動によって社会が成立している。個人情報とは、個人が社会と関係することによって身につけ保持した情報であり、個人と社会との関係そのものである。したがって、諸個人が社会と関係を取り結び、社会生活を快適にかつ効率的に送るために、必要な個人情報を社会に向けて提示し、必要に応じて公開するのは当然のことである。個人が社会との関係の中で獲得・保持した情報を社会に提示・公開して社会の評価を受けることにこそ諸個人の生存意義があり、その意味でも人間は社会的存在である。
それと同時に、諸個人が社会に対して主体的に活動を行う活動主体(近代における客体に対置される主体ではない)となるためには、個体として自己に固有の領域を持って自存することが必要である。したがって、諸個人が社会に対して自立的に活動するため自己に固有の領域をもって自存する権利としての社会的主体権(social subject rights)が諸個人の基本的な権利として認められる必要がある。また、この社会的主体権に含まれる一つの権利として、自己の尊厳を保持して社会において適正に評価されるために必要不可欠な権利としての人格権があり、この人格権の中で情報社会に向かう社会において重要となるのが個人情報保護にかかる権利である。
人格権は、所謂人間が本源的に持っている自然権としての基本的人権であるということにその法的根拠があるのではなく、上記のような諸個人と社会の関係において諸個人が活動主体として自存するために必要不可欠な権利である社会的主体権であるということにその法的根拠があり、この社会的主体権の内の人格権は、社会との間の関係によって個人の内部に形成された心理的・精神的・情報的構成体とその産出に係る権利である。ゴードン・オールポートによる「人間に特徴的な行動と考えとを決定する精神身体的体系の力動的組織」であり、「性格、気質、興味、態度、価値観などを含む、個人の統合体である」という人格の定義が近いといえる。一方、「人格権とは一個人たる直接の結果として存立する権利・・・例えば生命、身体、若しくは名誉を保全し、又は氏姓を称する権利のごとき是なり」(富井政章『民法原論第一巻』1903年)というように、生命、身体、健康、自由などを含む広義の定義はとらない方が適切である。すなわち、人格権は、自己の精神的な在り様や個人情報などに関して社会に対して持つ内因性の権利であり、生命や身体や健康を保持する権利などの人間の肉体(ボディ)に係る権利や、市民的自由権や財産にかかる所有権や公害による生活障害を差し止める環境権などの社会構造の在り様などに関して社会に要求する外因性の権利は、人格権の範疇には含まない他の社会的主体権として各々別の法理で対処するようにし、人格権の外延を拡げすぎて権利の本質が茫漠として拡散しないようにするのが妥当である。
人格権を構成する具体的な権利としては、現在のところ一般に、名誉権、プライバシー権、氏名権、肖像権、パブリシティ権などに加えて個人情報の自己コントロール権があり、さらには自己決定権などが挙げられている。また、人格権が持つ効力は、権利の侵害を防止し、侵害されたときにはそれを差し止め、侵害によって発生した損害を賠償させることにある。
人格権のひとつの名誉権は、自己が社会の中で不当に蔑まされた評価を受けず、その原因となる不当な評判の流布を防止して正当な評価を受ける権利である。プライバシー権は、名誉権を担保する手段のひとつとして、他人に知られたくない事柄(生活・家族生活・住居・通信)に係る個人情報を不可侵な私的領域の情報として社会から隔離して秘匿しておくことで自己の尊厳を保持する権利である。氏名権や肖像権は、自己の氏名や肖像が自己の与り知らない所で自己に不利益をもたらすような形で流布されるのを防止する権利である。
パブリシティ権は、著名人においては社会的に確立したその氏名を含むキャラクターや肖像が顧客吸引力を中核とする経済的な価値(パブリシティ価値)を持つようになったことによって、そのパブリシティ価値を自ら守り、排他的に利用・支配する権利として、氏名権や肖像権に関する本来の人格権から拡張された権利として認められるに至ったものである。日本でもおニャン子クラブに関する控訴審判決でパブリシティ権に基づく差止請求が認められている。
さらに、社会が情報社会に向けて進展するのに伴って諸個人の人格は、諸個人が現存する物質的社会的世界(リアル世界)だけでなく、デジタル情報空間(バーチャル世界)においても現実的に存在し、諸個人の人格は現実的にリアル世界とバーチャル世界の両方に跨って存在するようになっている。例えば、ある人物の人格は、自然人としての人間の頭脳に構築されているその人の価値観や世界観や思考方法、及び現実の社会における人間関係によって形成されている人物像だけでなく、デジタル情報空間に蓄積されたデータによって構成される人物像を含めてそれらの複合体として存在しており、何れによって受け取る人格が真実であるとか、重要であるとかということではない。この現実がさらに進展すると、デジタル情報空間に構成されている仮想空間(バーチャル世界)に登場している「キャラクター」に対しても、人格権を拡張した「擬似人格権」を持たせ、そのパブリシティ権を認めることも可能である。かくして、「キャラクター」の経済的価値を著作権で保護するために著作権の保護期間を無理にかつ不適切に延長するのでなく、「キャラクター」に「擬似人格権」を認めて保護を図った方が実体に沿ったより適切な保護が可能になる。
個人情報の自己コントロール権は、自己の個人情報が与り知らない所で収集・利用されたり、外部に流出されたりするのを防止し、自己の個人情報をより広く自らのコントロール下に置くことを可能にする権利であり、現代では諸個人が自らの人格を自らに帰属したものとするためにはこのような権利を確保する必要がある。
自己決定権は、自己の在り様や生き様に関して、所謂一般常識や社会通念と云われるものにたとえ反するとしても自己の信念によって決定する権利であり、認められるケースが出てきている。
以上のように人格権として名誉権、氏名権、肖像権、プライバシー権、パブリシティ権、キャラクター権、自己情報コントロール権、自己決定権などが挙げられるが、問題の生起に対応して追加的に逐次リストアップされて権利として規定された結果でしかないため、ばらばら感が否めない。しかし、以上検討したように人格権は名誉権以下の何れにおいても、諸個人の価値観等をも含めた広義の個人情報が中核的内実としてあり、その個人情報の種類や特性に対応した権利として規定されたものであることは明らかである。そして、情報社会に向けて種々の個人情報がより広くかつより強く人格権を規定するようになってくるのに鑑みて、個人情報をその特性に応じて適正に保護することが求められている。
3.個人情報保護の在り様
個人情報保護というのは、その個人に帰属する情報という意味での個人情報が本人の与り知らないところで収集・利用・流布されることに対する保護であり、したがって個人情報保護の在り様を検討するためには、個人情報を公開-秘匿の観点から分析する必要がある。この場合個人情報は、
①自発公開情報、②同意公開情報、③強制公開情報、④秘匿情報
の4種類に区分される。
①の自発公開情報は、個人が自らの意思で社会に向けて特段の制約を付けることなく積極的に広く流通させるように公開する個人情報であり、諸個人自身に係る個人情報だけでなく、自ら創作し自らの名を冠して公表する情報も広くこれに含めることができる。したがって、この自発公開情報は本来的に自由に流通するものであって、基本的に個人情報保護の対象にする必要はないものであるが、それでも公開した個人情報の不当・不適切で悪質な利用に対して保護する方途が必要である。著作人格権などは典型的にこれに属する。
②の同意公開情報は、個人が属する社会の各種組織や機関の円滑な運営に自ら参加し若しくは寄与し又はそのサービスを受けるためにその必要性に応じて同意の上で収集され、適切な節度をもって公開・利用される個人情報である。この場合は社会の種々の組織の運営にとって必要な個人情報の公開・利用をその必要性に応じた適切な節度を持ったものにするのをどのようにして担保するのかが重要である。
③の強制公開情報は、個人が社会の公的組織の構成員である限り個人の意志に関わりなく、社会の成立及び運営にとって不可欠であるために収集若しくは公開又は収集・公開される個人情報である。この場合は、どのような個人情報をこれに該当するものとするのかということを明確にして社会的な同意を得る必要があるとともに、公開された個人情報の不適正な利用に対して保護する方途が必要である。
④の秘匿情報は、個人の尊厳のために収集・公開が禁止ないし強く抑制される個人情報であり、私生活などの私的領域に係る情報や人種、民族、政治的見解、宗教、思想、信条などのセンシティブな個人情報であって本人が秘匿している情報などがこれに当たる。これは個人の尊厳を確保するため、法令に基づく場合や本人の利益を確保するためにどうしても収集・利用が不可欠な場合を除いて、プライバシー権によって強く保護する必要がある。
これらの個人情報についてそれぞれの特性に応じて有効利用を図りながら、不公正な使用・利用を確実に防止できるように保護する必要がある。
①の自発公開情報は、著作人格権又はそれを諸個人の個人情報をも含むように一般化した権利を定めて法的に保護する必要がある。
②の同意公開情報及び③の強制公開情報に関しては個人情報保護法によって保護する必要がある。
④の秘匿情報に関しては、個人情報の収集・流布を禁止し、その違反に対して厳しい刑罰を与えることが可能なプライバシー権を規定して保護する必要があり、そのための規定を個人情報保護法に設けるか、若しくは別途に法定する必要がある。
そして、上記②、③及び①と④の一部を包含する個人情報を保護する個人情報保護法において実現すべき対策の要点は、
(1) 不当な情報収集(収集情報の種類が不当、収集組織が不当、収集方法・手段が不当)の防止
(2) 不当な情報使用(目的外使用、不適切な使用)の防止
(3) 不当な情報加工(情報の不適切な改変・統合)の防止
(4) 不当な情報移転(情報の不適切な移転、管理不全による漏出)の防止
を効果的に実行することである。
その一方で、この保護を名目にして不適切に過度に保護・規制が為されると、公的機関に対する情報公開制度に対して制限要因になったり、危機管理や高齢者・障害者に対する保護が困難になったり、NGO等による公益的なサービスに対して必要な情報が提供できず、適時のサービス提供に困難を来たしたり、学校のPTAによる連絡網が作成できなかったり、公務員の重大で悪質な不正に対する処罰公表時にその悪質な不正を行った個人名が隠されたりするなど、本来行うべき情報公開を阻害する恐れがある。また、政治家や公務員などの公的な人間の不正に関する報道に対して圧力をかけて知る権利を阻害したり、治安上必要な情報収集や監視が阻害されて安全確保に困難を来たす恐れがある。
このような問題の解決に当たって、一般論としては、上記「不当」の判断に際して、社会全体から見ての利害得失を比較考量しつつ、社会的主体権、すなわち諸個人が社会に対して自立的に活動するために不可欠な自己に固有の領域をもって自存する権利を侵害するか否かを判断基準にすることによって適正に解決できる。
4.個人情報保護の歴史
次に、個人情報保護法において、上記のような保護を実現するために諸個人に与えられる権利、情報保有組織に課される義務に関する基本的な規定の歴史をたどる。
伝統的なプライバシー権を越えて個人情報の保護の必要性が明確に提示されたのは、1967年にアラン・F・ウェスティン(米)が『プライバシーと自由』で自己データ流通制御権を提起したことに始まる。
1974年には米で政府機関が保持する情報の取り扱いに当たって公正さを定めた「プライバシー法」が制定された。また、1977年には、プライバシー保護調査委員会報告「情報社会における個人のプライバシー」で、「プライバシー法」の8原則が示された。それは、①公開の原則、②個人アクセスの原則、③個人参加の原則、④収集制限の原則、⑤使用制限の原則、⑥提供制限の原則、⑦情報管理の原則、⑧責任の原則である。
1980年には、OECDプライバシー・ガイドライン-8原則が提示されている。それは、①収集制限の原則(適法・公正な手段と本人同意)、②データ内容の原則(目的に限る)、③目的明確化の原則、④利用制限の原則(例外:データ主体同意、又は法律の規定による場合)、⑤安全保護の原則、⑥公開の原則(発展・運用・政策)、⑦個人参加の原則(有無確認、内容確認、異議申立、消去・修正)、⑧責任の原則(諸原則実施措置の責任)である。
1995年には、欧州議会及び理事会の個人データ保護指令(EU指令)が出され、3年以内に加盟国が基準に適合するように法制化を求めている。それは、(a) データ主体の明確な同意がある、(b) データ主体が当事者となっている契約の履行のために処理が必要、(c) 管理者が法的義務に従うために処理が必要、(d) データ主体の重大な利益を保護するために処理が必要、(e) 公衆の利益のためにまたは公的権限行使のために処理が必要、(f) 管理者、データの開示を受ける第三者、その他の当事者の合法的な利益のために処理が必要というものである。
また、データの種類による収集制限が規定され、特別のカテゴリーのデータ(人種、民族、政治的見解、宗教、思想、信条、労働組合への加盟、もしくは健康や性生活に関する個人データ)の処理を原則禁止している。
また、適用除外として、本人の同意、労働法分野では国内法で権限が与えられている場合、本人同意取得困難だが本人や他の者の重要な権利を保護する場合、非営利団体の合法的活動による場合、本人が公開済みまたは司法上の必要性がある場合、予防的医療に必要な場合、重要な公共の利益のために国内法で規定する場合など、周到に規定している。
2000年には、欧州と米国間で「セイフハーバー原則」方式が取り決められた。それはEU取引米国企業がEU指令基準を満たす保護対策を取っている旨宣言し、商務省に申告し、同省のセイフハーバーリストに登録する。遵守できていないと判明すれば、FTC(連邦取引委員会)が不公正取引として制裁を加えるというものである。「セイフハーバー原則」の内容は、(1) 告知:組織(米企業)は、制限することを可能にする手段を告知、(2) 選択:公開についてオプトアウト手段、秘密情報についてオプトイン手段を提供、(3) データ移転:第三者への移転が認められるのは、告知・選択の原則に従っている場合、及び第三者が同レベルの保護を行っている場合、(4) セキュリティ:滅失、誤用、不正アクセス、漏洩、改革、破損が起こらないように必要で適切な管理を行う、(5) データの完全性:使用目的と整合性があり、信頼、正確、完全であるように妥当な措置をとる、(6) アクセス:個人は組織が保有する情報にアクセスして修正や削除ができるようにしなければならない。但し、負担・費用がリスクと不釣合な場合や他者の権利が侵害される場合はその限りでない、(7) 実施:遵守を担保する独立したクレーム処理体制の確保。問題解決義務を持つというものである。
2005年には、データ保護・プライバシー・コミッショナー国際会議の「モントルー宣言」が出され、その11原則が提示された。それは、①適法かつ公正なデータ収集及び取扱いの原則、②正確性の原則、③目的の明確化・制限の原則、④比例の原則、⑤透明性の原則、⑥個人参加・特に関係者のアクセス権保証の原則、⑦無差別の原則、⑧データセキュリティの原則、⑨責任の原則、⑩独立監視及び法的制裁の原則、⑪個人データの国際流通における十分なレベルの保護の原則である。
5.個人情報保護制度の在り様
以上のように情報社会に向けて個人情報保護が世界的な大きな一つの流れを形成しており、その中で個人情報保護に必要な基本的な規定がほぼ網羅されている。最後にそれを参照して個人情報の適正な利用と保護を徹底するための個人情報保護制度の基本的な規定事項を列挙する。
(1) 情報収集組織や情報保有組織が個人情報を収集するに際しては、法的に収集が強制されている場合を除き、原則本人の同意の上で目的を明確化し、適法・公正な手段によって収集しなければならない。
(2) 情報収集組織や情報保有組織によるプライバシー情報(健康や私生活に関する情報など)やセンシティブ情報(人種、民族、政治的見解、宗教、信条に関する情報など)の収集は、それらの情報を直接取り扱うことを法的に事務とする公的機関ないし法的に認可された機関である場合と本人が自ら提供する場合を除いて、厳に禁止される。
(3) 情報保有組織はどのような個人情報を保有しているか、及び利用形態を、原則いつでも誰でも知りうるように最新状態にして公開しておく義務がある。保有情報の存在自体や情報の内容を秘密にすることができるケースは、限定的かつ厳格に規定する必要がある。
(4) 情報保有組織は個人情報を取り扱うに際して、収集時に明確にした目的外の使用・利用が禁止される。
(5) 情報保有組織は保有している個人情報を第三者に提供することは本人同意が無い限り原則禁止される。ただし、法的義務を果たすために必要な場合、若しくは個人の重大な利益確保のために必要な場合はその限りでない。
(6) 情報保有組織が個人情報を第三者に提供するときには、提供する情報と提供先を、たとえ提供先が警察や公安や税務機関などの公的機関であっても、また情報提供が公益上や法令事務の遂行のために本人同意が不要な場合あっても、少なくとも事後的に情報を提供した事実と情報の内容を本人に通知する義務がある。
(7) 情報保有組織は保有している個人情報を責任をもって管理する義務がある。漏洩によって生じた損害に対して賠償する義務がある。
(8) 個人は情報保有組織に対して保有されている自らの個人情報の存在の有無を知り、その内容にアクセスして確認することができる。
(9) 個人は情報保有組織が保有している自らの個人情報の利用を制限したい場合に、それを実現する手段を有し、また個人情報の修正・削除を要求することができる。
(10)個人情報の収集組織及び情報保有組織に対して、個人からの要請に応じて及び独自に個人情報処理の適法性を監視し、調査を行うために、専門性及び実務的実効性の高い監視・調査機関を政府や地方自治体の行政機構などから独立させて設置する。
(11)監視・調査機関は、個人情報の過度で不適切な保護を回避し、必要な個人情報の有効利用を図れるように、個人情報保護にとって適正な処理であるか否かの判断や適正な処理の相談を個人や情報保有組織から受け付け、その判断や決定を権威のあるものとする。
1.個人情報保護の歴史的位置付け
近代以前の共同体社会では、基本的にプライバシーは存在しないが、それでも部分的に構成員個々にしか分からない個人情報も存在した。しかし、その個人情報がたとえ外部に漏れて公開されたとしても、共同体の狭い限られた範囲でしか伝達せず、しかも共同体内では「お互い様」の関係にあるため、相互規制が強く働いて公開されたことで個人の尊厳が卑しめられるようなことは殆ど生じない。したがって、プライバシー権が問題になる現実的な基盤は存在しなかった。
近代の工業社会では、理念的に自立した個人=主体が成立する一方で、その主体に対置される客体として社会が立ち現れ、その社会の中で諸個人が活動する際に心を許すことのできない外界として社会が対峙することになった。工業社会では、共同体が崩壊したこととそれによって生まれた諸個人がより豊かで高度な社会生活を送るために公共サービスが必要となり、その公共サービスを実施するため、個人情報が各種統治機関等によってそれぞれ収集・集積されて利用されることになった。統治機関によって収集・集積される個人情報としては、氏名、住所、生年月日、続柄または出所を示す戸籍や住民登録、警察における運転免許に係る記録や犯罪記録、納税に係る記録、健康保険や年金などの各種社会保障制度に係る記録などがあり、その他各種組織によって収集・集積される個人情報として、通信会社による通信端末の契約情報と通信記録、各種会社や団体などの帰属組織による経歴・収入記録、病院などによる病歴及び健康情報など多彩である。ただ、個人情報を収集・集積した統治機関等は、それぞれ独立して個別に情報を保持しているだけで、情報管理も容易で情報流出の可能性も低いため、個人情報が他の目的に流用されたり、複数の個人情報が統合されて個人の人格権が侵害される恐れも小さかった。そのため、この種の個人情報の保護の必要性が強く意識されることはなかった。
その一方で、工業社会においては、大量の物財流通に対応して、情報も物財(出版物)の形態で社会に広く流通可能となり、その結果最早「お互い様」の感性が通用せず、他人の恥部に対する好奇心が遠慮なくあからさまに発揮されてしまうような広域で個人情報が流通する可能性が生じ、プライバシーに関わる個人情報が「イエロー・ジャーナル」という形で流通する事態が発生し、社会における個人の尊厳を守るために、プライバシーを保護する必要が生じた。そこで、プライバシー権という考え方が持ち出され、そのプライバシー権は人間が本来的に持っている根源的な権利としての自然権であるとする見解が現われるとともに、自然権として認めない場合にも実質的にその権利を認めるようになった。それに伴ってこの新たに自然権とされることのあるプライバシー権と、元々自然権とされている個人の自由権に結びついている言論・出版などの表現の自由と干渉し、また公的利益とも干渉することがあり、それらを比較考量して調整する必要があった。しかし、それらの何れも自然権として把握する限り相互の関係を認識できないため、理論的に調整することはできず、個々の事案ごとに裁判で世情に則って常識的な判断をするという状況が繰り返されている。
現代は、工業社会から情報社会に向けて社会が展開する過程にあり、その中ではデータベースのデータ格納量、コンピュータのデータ処理能力、及びインターネットのデータ通信速度が飛躍的に向上してデジタル情報空間が形成されるに至っている。その結果、私的で不可侵のプライバシー情報に属さない個人情報であっても、外部に流出して他の目的で利用されたり、複数の個人情報が統合されたり、プライバシー情報とアンカリングされたりすることによって、個人の人格が丸裸にされる可能性が生じ、プライバシーが侵害されるだけでなく、人格的な支配が及ばされる危険性が極めて高くなっている。そのため、現代では個人情報を適切に保護することが絶対に必要となっている。そこで、個人情報をその個人の人格に帰属するものとし、個人の人格権に基づいて個人情報に対するコントロール権を認める考え方が広まっている。
その一方で、テロや凶悪犯罪を予防し、犯人の検挙率を高めるため、現実的に防犯カメラを設置する必要性を認めざるを得なくなっているように、個人情報の保護(秘匿)と社会の安全確保とが背反的な関係になる場合があり、安全を確保するために必要な個人情報の収集・利用・公開は許容せざるを得なくなっている。
そこで、改めて個人情報とは何かということを再認識し、それに基づいて個人情報保護の在り様を検討することが必要となっている。
2.社会的主体権・人格権・個人情報保護
諸個人は社会に対して諸関係を取り結ぶことによって自ら存在し生活し活動しており、かつこれら諸個人の活動によって社会が成立している。個人情報とは、個人が社会と関係することによって身につけ保持した情報であり、個人と社会との関係そのものである。したがって、諸個人が社会と関係を取り結び、社会生活を快適にかつ効率的に送るために、必要な個人情報を社会に向けて提示し、必要に応じて公開するのは当然のことである。個人が社会との関係の中で獲得・保持した情報を社会に提示・公開して社会の評価を受けることにこそ諸個人の生存意義があり、その意味でも人間は社会的存在である。
それと同時に、諸個人が社会に対して主体的に活動を行う活動主体(近代における客体に対置される主体ではない)となるためには、個体として自己に固有の領域を持って自存することが必要である。したがって、諸個人が社会に対して自立的に活動するため自己に固有の領域をもって自存する権利としての社会的主体権(social subject rights)が諸個人の基本的な権利として認められる必要がある。また、この社会的主体権に含まれる一つの権利として、自己の尊厳を保持して社会において適正に評価されるために必要不可欠な権利としての人格権があり、この人格権の中で情報社会に向かう社会において重要となるのが個人情報保護にかかる権利である。
人格権は、所謂人間が本源的に持っている自然権としての基本的人権であるということにその法的根拠があるのではなく、上記のような諸個人と社会の関係において諸個人が活動主体として自存するために必要不可欠な権利である社会的主体権であるということにその法的根拠があり、この社会的主体権の内の人格権は、社会との間の関係によって個人の内部に形成された心理的・精神的・情報的構成体とその産出に係る権利である。ゴードン・オールポートによる「人間に特徴的な行動と考えとを決定する精神身体的体系の力動的組織」であり、「性格、気質、興味、態度、価値観などを含む、個人の統合体である」という人格の定義が近いといえる。一方、「人格権とは一個人たる直接の結果として存立する権利・・・例えば生命、身体、若しくは名誉を保全し、又は氏姓を称する権利のごとき是なり」(富井政章『民法原論第一巻』1903年)というように、生命、身体、健康、自由などを含む広義の定義はとらない方が適切である。すなわち、人格権は、自己の精神的な在り様や個人情報などに関して社会に対して持つ内因性の権利であり、生命や身体や健康を保持する権利などの人間の肉体(ボディ)に係る権利や、市民的自由権や財産にかかる所有権や公害による生活障害を差し止める環境権などの社会構造の在り様などに関して社会に要求する外因性の権利は、人格権の範疇には含まない他の社会的主体権として各々別の法理で対処するようにし、人格権の外延を拡げすぎて権利の本質が茫漠として拡散しないようにするのが妥当である。
人格権を構成する具体的な権利としては、現在のところ一般に、名誉権、プライバシー権、氏名権、肖像権、パブリシティ権などに加えて個人情報の自己コントロール権があり、さらには自己決定権などが挙げられている。また、人格権が持つ効力は、権利の侵害を防止し、侵害されたときにはそれを差し止め、侵害によって発生した損害を賠償させることにある。
人格権のひとつの名誉権は、自己が社会の中で不当に蔑まされた評価を受けず、その原因となる不当な評判の流布を防止して正当な評価を受ける権利である。プライバシー権は、名誉権を担保する手段のひとつとして、他人に知られたくない事柄(生活・家族生活・住居・通信)に係る個人情報を不可侵な私的領域の情報として社会から隔離して秘匿しておくことで自己の尊厳を保持する権利である。氏名権や肖像権は、自己の氏名や肖像が自己の与り知らない所で自己に不利益をもたらすような形で流布されるのを防止する権利である。
パブリシティ権は、著名人においては社会的に確立したその氏名を含むキャラクターや肖像が顧客吸引力を中核とする経済的な価値(パブリシティ価値)を持つようになったことによって、そのパブリシティ価値を自ら守り、排他的に利用・支配する権利として、氏名権や肖像権に関する本来の人格権から拡張された権利として認められるに至ったものである。日本でもおニャン子クラブに関する控訴審判決でパブリシティ権に基づく差止請求が認められている。
さらに、社会が情報社会に向けて進展するのに伴って諸個人の人格は、諸個人が現存する物質的社会的世界(リアル世界)だけでなく、デジタル情報空間(バーチャル世界)においても現実的に存在し、諸個人の人格は現実的にリアル世界とバーチャル世界の両方に跨って存在するようになっている。例えば、ある人物の人格は、自然人としての人間の頭脳に構築されているその人の価値観や世界観や思考方法、及び現実の社会における人間関係によって形成されている人物像だけでなく、デジタル情報空間に蓄積されたデータによって構成される人物像を含めてそれらの複合体として存在しており、何れによって受け取る人格が真実であるとか、重要であるとかということではない。この現実がさらに進展すると、デジタル情報空間に構成されている仮想空間(バーチャル世界)に登場している「キャラクター」に対しても、人格権を拡張した「擬似人格権」を持たせ、そのパブリシティ権を認めることも可能である。かくして、「キャラクター」の経済的価値を著作権で保護するために著作権の保護期間を無理にかつ不適切に延長するのでなく、「キャラクター」に「擬似人格権」を認めて保護を図った方が実体に沿ったより適切な保護が可能になる。
個人情報の自己コントロール権は、自己の個人情報が与り知らない所で収集・利用されたり、外部に流出されたりするのを防止し、自己の個人情報をより広く自らのコントロール下に置くことを可能にする権利であり、現代では諸個人が自らの人格を自らに帰属したものとするためにはこのような権利を確保する必要がある。
自己決定権は、自己の在り様や生き様に関して、所謂一般常識や社会通念と云われるものにたとえ反するとしても自己の信念によって決定する権利であり、認められるケースが出てきている。
以上のように人格権として名誉権、氏名権、肖像権、プライバシー権、パブリシティ権、キャラクター権、自己情報コントロール権、自己決定権などが挙げられるが、問題の生起に対応して追加的に逐次リストアップされて権利として規定された結果でしかないため、ばらばら感が否めない。しかし、以上検討したように人格権は名誉権以下の何れにおいても、諸個人の価値観等をも含めた広義の個人情報が中核的内実としてあり、その個人情報の種類や特性に対応した権利として規定されたものであることは明らかである。そして、情報社会に向けて種々の個人情報がより広くかつより強く人格権を規定するようになってくるのに鑑みて、個人情報をその特性に応じて適正に保護することが求められている。
3.個人情報保護の在り様
個人情報保護というのは、その個人に帰属する情報という意味での個人情報が本人の与り知らないところで収集・利用・流布されることに対する保護であり、したがって個人情報保護の在り様を検討するためには、個人情報を公開-秘匿の観点から分析する必要がある。この場合個人情報は、
①自発公開情報、②同意公開情報、③強制公開情報、④秘匿情報
の4種類に区分される。
①の自発公開情報は、個人が自らの意思で社会に向けて特段の制約を付けることなく積極的に広く流通させるように公開する個人情報であり、諸個人自身に係る個人情報だけでなく、自ら創作し自らの名を冠して公表する情報も広くこれに含めることができる。したがって、この自発公開情報は本来的に自由に流通するものであって、基本的に個人情報保護の対象にする必要はないものであるが、それでも公開した個人情報の不当・不適切で悪質な利用に対して保護する方途が必要である。著作人格権などは典型的にこれに属する。
②の同意公開情報は、個人が属する社会の各種組織や機関の円滑な運営に自ら参加し若しくは寄与し又はそのサービスを受けるためにその必要性に応じて同意の上で収集され、適切な節度をもって公開・利用される個人情報である。この場合は社会の種々の組織の運営にとって必要な個人情報の公開・利用をその必要性に応じた適切な節度を持ったものにするのをどのようにして担保するのかが重要である。
③の強制公開情報は、個人が社会の公的組織の構成員である限り個人の意志に関わりなく、社会の成立及び運営にとって不可欠であるために収集若しくは公開又は収集・公開される個人情報である。この場合は、どのような個人情報をこれに該当するものとするのかということを明確にして社会的な同意を得る必要があるとともに、公開された個人情報の不適正な利用に対して保護する方途が必要である。
④の秘匿情報は、個人の尊厳のために収集・公開が禁止ないし強く抑制される個人情報であり、私生活などの私的領域に係る情報や人種、民族、政治的見解、宗教、思想、信条などのセンシティブな個人情報であって本人が秘匿している情報などがこれに当たる。これは個人の尊厳を確保するため、法令に基づく場合や本人の利益を確保するためにどうしても収集・利用が不可欠な場合を除いて、プライバシー権によって強く保護する必要がある。
これらの個人情報についてそれぞれの特性に応じて有効利用を図りながら、不公正な使用・利用を確実に防止できるように保護する必要がある。
①の自発公開情報は、著作人格権又はそれを諸個人の個人情報をも含むように一般化した権利を定めて法的に保護する必要がある。
②の同意公開情報及び③の強制公開情報に関しては個人情報保護法によって保護する必要がある。
④の秘匿情報に関しては、個人情報の収集・流布を禁止し、その違反に対して厳しい刑罰を与えることが可能なプライバシー権を規定して保護する必要があり、そのための規定を個人情報保護法に設けるか、若しくは別途に法定する必要がある。
そして、上記②、③及び①と④の一部を包含する個人情報を保護する個人情報保護法において実現すべき対策の要点は、
(1) 不当な情報収集(収集情報の種類が不当、収集組織が不当、収集方法・手段が不当)の防止
(2) 不当な情報使用(目的外使用、不適切な使用)の防止
(3) 不当な情報加工(情報の不適切な改変・統合)の防止
(4) 不当な情報移転(情報の不適切な移転、管理不全による漏出)の防止
を効果的に実行することである。
その一方で、この保護を名目にして不適切に過度に保護・規制が為されると、公的機関に対する情報公開制度に対して制限要因になったり、危機管理や高齢者・障害者に対する保護が困難になったり、NGO等による公益的なサービスに対して必要な情報が提供できず、適時のサービス提供に困難を来たしたり、学校のPTAによる連絡網が作成できなかったり、公務員の重大で悪質な不正に対する処罰公表時にその悪質な不正を行った個人名が隠されたりするなど、本来行うべき情報公開を阻害する恐れがある。また、政治家や公務員などの公的な人間の不正に関する報道に対して圧力をかけて知る権利を阻害したり、治安上必要な情報収集や監視が阻害されて安全確保に困難を来たす恐れがある。
このような問題の解決に当たって、一般論としては、上記「不当」の判断に際して、社会全体から見ての利害得失を比較考量しつつ、社会的主体権、すなわち諸個人が社会に対して自立的に活動するために不可欠な自己に固有の領域をもって自存する権利を侵害するか否かを判断基準にすることによって適正に解決できる。
4.個人情報保護の歴史
次に、個人情報保護法において、上記のような保護を実現するために諸個人に与えられる権利、情報保有組織に課される義務に関する基本的な規定の歴史をたどる。
伝統的なプライバシー権を越えて個人情報の保護の必要性が明確に提示されたのは、1967年にアラン・F・ウェスティン(米)が『プライバシーと自由』で自己データ流通制御権を提起したことに始まる。
1974年には米で政府機関が保持する情報の取り扱いに当たって公正さを定めた「プライバシー法」が制定された。また、1977年には、プライバシー保護調査委員会報告「情報社会における個人のプライバシー」で、「プライバシー法」の8原則が示された。それは、①公開の原則、②個人アクセスの原則、③個人参加の原則、④収集制限の原則、⑤使用制限の原則、⑥提供制限の原則、⑦情報管理の原則、⑧責任の原則である。
1980年には、OECDプライバシー・ガイドライン-8原則が提示されている。それは、①収集制限の原則(適法・公正な手段と本人同意)、②データ内容の原則(目的に限る)、③目的明確化の原則、④利用制限の原則(例外:データ主体同意、又は法律の規定による場合)、⑤安全保護の原則、⑥公開の原則(発展・運用・政策)、⑦個人参加の原則(有無確認、内容確認、異議申立、消去・修正)、⑧責任の原則(諸原則実施措置の責任)である。
1995年には、欧州議会及び理事会の個人データ保護指令(EU指令)が出され、3年以内に加盟国が基準に適合するように法制化を求めている。それは、(a) データ主体の明確な同意がある、(b) データ主体が当事者となっている契約の履行のために処理が必要、(c) 管理者が法的義務に従うために処理が必要、(d) データ主体の重大な利益を保護するために処理が必要、(e) 公衆の利益のためにまたは公的権限行使のために処理が必要、(f) 管理者、データの開示を受ける第三者、その他の当事者の合法的な利益のために処理が必要というものである。
また、データの種類による収集制限が規定され、特別のカテゴリーのデータ(人種、民族、政治的見解、宗教、思想、信条、労働組合への加盟、もしくは健康や性生活に関する個人データ)の処理を原則禁止している。
また、適用除外として、本人の同意、労働法分野では国内法で権限が与えられている場合、本人同意取得困難だが本人や他の者の重要な権利を保護する場合、非営利団体の合法的活動による場合、本人が公開済みまたは司法上の必要性がある場合、予防的医療に必要な場合、重要な公共の利益のために国内法で規定する場合など、周到に規定している。
2000年には、欧州と米国間で「セイフハーバー原則」方式が取り決められた。それはEU取引米国企業がEU指令基準を満たす保護対策を取っている旨宣言し、商務省に申告し、同省のセイフハーバーリストに登録する。遵守できていないと判明すれば、FTC(連邦取引委員会)が不公正取引として制裁を加えるというものである。「セイフハーバー原則」の内容は、(1) 告知:組織(米企業)は、制限することを可能にする手段を告知、(2) 選択:公開についてオプトアウト手段、秘密情報についてオプトイン手段を提供、(3) データ移転:第三者への移転が認められるのは、告知・選択の原則に従っている場合、及び第三者が同レベルの保護を行っている場合、(4) セキュリティ:滅失、誤用、不正アクセス、漏洩、改革、破損が起こらないように必要で適切な管理を行う、(5) データの完全性:使用目的と整合性があり、信頼、正確、完全であるように妥当な措置をとる、(6) アクセス:個人は組織が保有する情報にアクセスして修正や削除ができるようにしなければならない。但し、負担・費用がリスクと不釣合な場合や他者の権利が侵害される場合はその限りでない、(7) 実施:遵守を担保する独立したクレーム処理体制の確保。問題解決義務を持つというものである。
2005年には、データ保護・プライバシー・コミッショナー国際会議の「モントルー宣言」が出され、その11原則が提示された。それは、①適法かつ公正なデータ収集及び取扱いの原則、②正確性の原則、③目的の明確化・制限の原則、④比例の原則、⑤透明性の原則、⑥個人参加・特に関係者のアクセス権保証の原則、⑦無差別の原則、⑧データセキュリティの原則、⑨責任の原則、⑩独立監視及び法的制裁の原則、⑪個人データの国際流通における十分なレベルの保護の原則である。
5.個人情報保護制度の在り様
以上のように情報社会に向けて個人情報保護が世界的な大きな一つの流れを形成しており、その中で個人情報保護に必要な基本的な規定がほぼ網羅されている。最後にそれを参照して個人情報の適正な利用と保護を徹底するための個人情報保護制度の基本的な規定事項を列挙する。
(1) 情報収集組織や情報保有組織が個人情報を収集するに際しては、法的に収集が強制されている場合を除き、原則本人の同意の上で目的を明確化し、適法・公正な手段によって収集しなければならない。
(2) 情報収集組織や情報保有組織によるプライバシー情報(健康や私生活に関する情報など)やセンシティブ情報(人種、民族、政治的見解、宗教、信条に関する情報など)の収集は、それらの情報を直接取り扱うことを法的に事務とする公的機関ないし法的に認可された機関である場合と本人が自ら提供する場合を除いて、厳に禁止される。
(3) 情報保有組織はどのような個人情報を保有しているか、及び利用形態を、原則いつでも誰でも知りうるように最新状態にして公開しておく義務がある。保有情報の存在自体や情報の内容を秘密にすることができるケースは、限定的かつ厳格に規定する必要がある。
(4) 情報保有組織は個人情報を取り扱うに際して、収集時に明確にした目的外の使用・利用が禁止される。
(5) 情報保有組織は保有している個人情報を第三者に提供することは本人同意が無い限り原則禁止される。ただし、法的義務を果たすために必要な場合、若しくは個人の重大な利益確保のために必要な場合はその限りでない。
(6) 情報保有組織が個人情報を第三者に提供するときには、提供する情報と提供先を、たとえ提供先が警察や公安や税務機関などの公的機関であっても、また情報提供が公益上や法令事務の遂行のために本人同意が不要な場合あっても、少なくとも事後的に情報を提供した事実と情報の内容を本人に通知する義務がある。
(7) 情報保有組織は保有している個人情報を責任をもって管理する義務がある。漏洩によって生じた損害に対して賠償する義務がある。
(8) 個人は情報保有組織に対して保有されている自らの個人情報の存在の有無を知り、その内容にアクセスして確認することができる。
(9) 個人は情報保有組織が保有している自らの個人情報の利用を制限したい場合に、それを実現する手段を有し、また個人情報の修正・削除を要求することができる。
(10)個人情報の収集組織及び情報保有組織に対して、個人からの要請に応じて及び独自に個人情報処理の適法性を監視し、調査を行うために、専門性及び実務的実効性の高い監視・調査機関を政府や地方自治体の行政機構などから独立させて設置する。
(11)監視・調査機関は、個人情報の過度で不適切な保護を回避し、必要な個人情報の有効利用を図れるように、個人情報保護にとって適正な処理であるか否かの判断や適正な処理の相談を個人や情報保有組織から受け付け、その判断や決定を権威のあるものとする。