これは法務系 Advent Calendar 2018 - Adventarのエントリー記事となります。

@jun_k00さんからバトンを受け取りました。

関西で弁護士業をしている若手弁（@wakateben）と申します。情報法関係、その中でもプライバシー・個人情報保護法制に関心が強く、この分野についての文献やニュースにあたり勉強しています。

この記事では、今年私が読んだプライバシー・個人情報保護法制関係の文献の中で特に参考になったものを独断と偏見で紹介していきます（法律書以外も取り上げています）。

 

 

高口鉄平「パーソナルデータの経済分析」（勁草書房 ）

 

タイトル通り、パーソナルデータの価値について経済学の観点から分析しています。

パーソナルデータを情報財という視点から、①ゼロの社会的限界費用（社会全体としてゼロの費用で無限に利用者を増加させることができる）、②取引の不可逆性（いったん取引が行われたのちにそれを取り消して取引前の状態に戻すことができない）、③多くの種類が組み合わせることによる価値の増大という特徴があると分析しています。

そして、主にアンケートという形で、利用者がパーソナルデータを事業者の活動に利用されることに対していかなる懸念を有しているか、パーソナルデータがどの程度利用者のスイッチングコストになっているか、ビッグデータ市場の成立可能性等について分析検討します。

特に第３章のまとめとして、「プライバシーポリシーに関しては、理解、すなわち、リテラシーのみならず、それをプライバシーポリシーの信頼へ移行させることの重要性が示唆された」「プライバシーポリシーを理解することと信頼することは大きく異なる」「インターネット利用者におけるマジョリティはプライバシーポリシーを理解していることが示されたが、信頼までには至っていないことが示唆された。この状況では、皮肉な解釈を示したように、あきらめや、どうでもいいといった感覚によってパーソナルデータを利用されることの抵抗感が下がっているにすぎない」（９６頁）という指摘は大変参考になりました。単に理解させるだけではなく事業者への信頼に結びつけるためにどうすべきか、改めて考えさせられました。

「パーソナルデータに関わる研究は、多くがプライバシー懸念や法制度に関する研究であり、本章でおこなったような経済的視点からの分析はいまだ少ない。ビッグデータ全体の経済価値についてあきらかにするためには、本章のような分析を経時的、多面的に積み重ねる必要がある」（１３７頁）という指摘の通り、今後もパーソナルデータの経済的な価値を考える上で参考になりそうです。

 

 

三柴丈典「労働者のメンタルヘルス情報と法」（法律文化社） 

 

労働者のメンタルヘルス情報を企業はどのように取り扱うべきか。メンタルヘルス情報は非常にセンシティブな内容であり企業としても慎重な取り扱いが必要となりますが、一方で企業は労働者に対する安全配慮義務を負っており、労働者のメンタルヘルス情報を十分把握しなければ安全配慮義務を尽くすことができないというジレンマがあります。

本書では、労働法・産業保健法を専門とする法学者が、この難問についての解釈論を展開しています。

本書の主張の核心は、企業に「客観的に労働者が安心してそれに同意を与え得る条件整備を行う義務（情報取扱い前提条件整備義務）」を課し、その義務を尽くす場合には労働者のメンタルヘルス情報の柔軟な取扱いを使用者に認める（場合によっては同意のない情報の取扱いも正当化する）というアプローチです。

使用者において、労働者本人と関係者間の信頼関係形成の努力を尽くしているにもかかわらず、形式的に関係法規や法理に抵触する取扱いについては「積極的に正当な自由の存在を認めるほか、就業規則上の根拠規定に基づく包括的同意の効力を認めたり、本人の個別的同意を擬制すべき」という主張には大いに考えさせられました。

メンタルヘルス情報の取扱いについては今後もますます重要になると考えられ、その点を検討するうえで大変参考になる視点を得ることができました。

 

山本龍彦「おそろしいビッグデータ」（朝日新書）

 

 

プライバシー研究の第一人者である山本龍彦先生による、法律専門書ではなく一般向けに書かれた、ビッグデータのリスクと対応法を解説した本です。

本書のテーマは、ビッグデータにおそろしい側面があることを正面から認めた上で、本当に私達一人一人の人生を豊かにする「節度あるビッグデータの利活用を実現すること」とし、その節度の基準として憲法（特にプライバシー権）を活用すべきというものです。

そして、現代のプライバシー権理解では、ビッグデータ社会のリスクに十分できないのではないかと問題提起をします。

例えば、具体的には、現代のプライバシー権でも本人の同意をポイントにしているものの、ビッグデータ社会ではこの同意が形骸化していると指摘し、同意を実質化するアプローチが必要とします。

また、ビッグデータによるプロファイリングが進むと、センシティブ情報ではない個人情報の集積・分析によりセンシティブ情報の正確な推知が可能となってしまい、センシティブ情報について厳格な規制を設けた趣旨が没却されるというリスクが指摘されます。

個人情報保護はプライバシーと密接に関連するものであり、憲法の価値理念と接着しているにもかかわらず、日本では憲法の存在が耐えがたいほど軽く、憲法と個人情報との関係が切断され「個人情報保護のための個人情報保護になってしまっている」（ｐ１６６）という指摘には、深く納得しました。

山本先生は、ビッグデータ社会のリスクへの対応として、プライバシー権ないし自己情報コントロール権を鍛え上げていくことを挙げます。具体的には、プロファイリングに関しても本人のコントロールの対象とする、データベース上に記録された自らの「過去」に対するコントロールの強化、どのネットワークシステムとつながるかを自分で主体的にコントロールする（情報銀行が有効な１つのアプローチ）、形骸化した同意手続を改善しビジュアルを活用する等して実質的な同意を得る仕組みにする等を提案されています。

ビッグデータ利用の影の部分にスポットライトを当て、それがいかに憲法の定める個人の尊重原理を危機に晒しているか、そしてどのように対策すべきかという点を、一貫してプライバシー権の観点から説得力を持って論じられています。改めて、憲法の価値や理念について学ばなければならないと考えさせられる本です。

 

渡邊涼介「企業における個人情報・プライバシー情報の利活用と管理」（青林書院） 

 

総務省で個人情報・プライバシー保護の担当の経験もある渡邊涼介弁護士によるものです。

特筆すべきは、位置情報、カメラ画像、乗降履歴、生体情報、従業員情報等、データの種類・類型ごとの留意点や検討すべきポイントをまとめているところです。個人情報保護法上の問題だけでなく、プライバシーや肖像権等、パーソナルデータ全般にまつわる論点を整理してくれているのもありがたいです。

企業としてより一層多種多様なデータを取り扱うことが増えている現状、データごとの法的な特性を考えて対応することは不可欠であり、非常に参考になる本です。

 

 

宍戸常寿編著「新・判例ガイドブック 情報法」（日本評論社）

 

 宍戸先生が編著者となり、情報法分野に関する重要判例をまとめたものです（各判例についての解説はそれぞれの分野の専門家が執筆）。構成として、情報流通の自由、情報の内容・性質ごとの法的問題、情報流通の主体に着目、情報と経済活動、公権力と情報の関係となっており、取り上げられている法分野も名誉権、プライバシー権、著作権、独占禁止法等、多岐にわたります。

１判例につき１ページで、事実、裁判所の見解、解説を掲載するコンパクトな体裁になっており、さくさく読むことができます。改めて、情報法という分野が及ぶ範囲が極めて広範で影響が大きいものであると実感します。 

 

  

矢野和男「データの見えざる手」（草思社文庫）

 名札型のウェアラブル端末（対面情報、身体的な動き、位置情報をそれぞれ計測できる）を従業員に装着してもらい、そこから得られたデータを分析することで、驚くような結果が出ることが紹介されています。

例えば、コールセンターのオペレーターの受注率は休憩所での会話の活発度が関係しているという結果が示されています。つまり、休憩時間における会話のとき身体運動が活発な日は受注率が高く、活発でない日は受注率が低いというものです（９２頁）。

また、安静状態（動きの穏やかな状態）から活動状態に遷移する確率は、健常者の方がうつ状態の人よりもおよそ２０％高いとされ、ウェアラブルセンサにより遷移確率の計測が可能でありこれによりその人のストレスレベルを確認できるとされています（１３４頁）。

他にも、仕事がうまくいく人（運がいい人）の共通点は、自分の知り合いの知り合いまで含めて何人までたどり着けるかという「到達度」が高かったという結果が示されています（１５４頁）。ここでは、ウェアラブルセンサに組み込まれた赤外線センサにより、誰と面会しているかのデータをソーシャルグラフとして可視化されます。

 ウェアラブル端末を用いることで、「活気がある」「運がいい」といった漠然としたあるいは定性的な項目を可視化して数値化できるという本書の内容は衝撃的です。ウェアラブル端末をうまく活用すれば、職場における生産性向上を実現できる可能性があります。

 他方で、ウェアラブル端末は人の行動を長時間かつ正確に把握し分析するものであり、従業員のプライバシーを侵害するリスクがあります。上記で紹介されているウェアラブルセンサは、誰と会ったか、どのような動きをしていたかといった自分自身も気づいていない情報が膨大なデータとして蓄積され、その人の行動パターンや性格、嗜好といった人格が丸裸にされかねません。上記で紹介されているとおり、安静常態から活動状態への遷移の状態を計測することでにストレスレベルの程度、ひいてはうつ状態であるかといった情報すら正確に得ることができてしまします。

その人自身ですら気づいていない内面や身体の情報といった極めてセンシティブな情報が企業に吸い上げられることになります。また、業務時間中ずっとウェアラブル端末を装着させられ行動の一挙手一投足を把握されることは、従業員にとっては監視されている気持ちになり不安にも思うでしょう。

 

 

ウェアラブル端末の利用は、それまで誰も気づいていない問題点を膨大なデータにより可視化し、企業の生産性を向上する上で強力なツールとなる可能性を秘めていますが、その分副作用やリスクも大きいので、ウェアラブル端末の持つ有用性を活かしつつ、従業員のプライバシーに配慮すると言ったバランスのとった対応が必要であると改めて感じました。

 

カメラ画像の保護と利活用に関するシンポジウム・パネルディスカッション（NBL1134（2018.11．15））

  

カメラ画像にまつわる個人情報保護法やプライバシーをめぐる問題について、様々な立場の有識者がディスカッションしたものを記事化したものです。ディスカッション自体も面白かったのですが、なんといっても質疑応答での高木浩光先生の質問が目玉です。開示・訂正・利用停止という保有個人データの義務に照らし、例えば防犯目的で顔がデータベースで登録されている場合、自分が犯罪者として識別されているか教えてほしいと申し出があった場合、どのように対応すべきかという非常に切れ味鋭い質問がされています。この点に対しては明確な回答はされていませんが、今後もますますカメラ画像が活用される事態が予想される中、改めて保有個人データの取扱いについては企業側としてもよくよく検討しなければならないと感じました。

 

 

星野豊「弁護士会照会と情報保護」（情報ネットワーク・ローレビュー第１６巻（２０１８年３月）収録） 

 

弁護士会照会に対し個人情報を回答しても、個人情報保護法の第三者提供の正当化事由（法令に基づく開示可能事由）にあたるといわれています。

しかし、裁判例等を踏まえると、無条件で免責されるわけではなく、照会に応じて個人情報を開示した照会先が損害賠償責任を負うこともありえます。

本論文は、弁護士照会による回答義務や情報保護に関連した裁判例を分析し、「弁護士会照会を受けた情報管理者は、弁護士会照会に対する報告義務と本人に対する情報保護義務との間で、極めて難しい判断を迫られる状況にある」と指摘します。情報管理者が免責されるための担保が十分ではなく、改善策として、裁判所の関与の元、免責されることを条件として情報開示を命ずる非訟事件制度の創設を提唱されています。

弁護士会照会は実務上、非常に有用な制度であるものの、照会先にとっては自身の本来業務ではなく、しかも照会に応じることで特にメリットもないにもかかわらず、プライバシー侵害で賠償責任のリスクを負う現状は改善しなければならないと感じていたところです。弁護士として、照会先から相談を受ける場合には、損害賠償リスクのことを考えて安易に開示しないようアドバイスせざるを得ない場面も多いと思います。

迅速に、かつ、照会先が安心して開示ができる状況を担保するための非訟手続という提言は有用だと思いました。

 

「諸外国の個人情報保護制度に係る最新の動向に関する調査研究報告書」

個人情報保護委員会のHPで公開されています。https://www.ppc.go.jp/news/surveillance/

 

タイトル通り、海外の個人情報保護の制度や実態が詳細に報告されています。

対象は、アメリカ、中国、インド、シンガポールといった国だけではなく、APECや欧州評議会（CoE）等、非常に幅広く、３８６頁にもなる圧巻の内容です。個人情報保護制度は世界的にも変化が激しく、今後も大きく変わっていくことが予想されますが、これだけ広範かつ詳細にまとめられた報告書として、資料的価値が非常に高いものです。個人的には、インドの最高裁判所において、プライバシー権がインド憲法第２１条に基づく生命及び個人の自由に対する基本的権利に含まれる基本的な権利である旨言い渡されたという点が興味深かったです（３０１頁）。

 

AIネットワーク社会推進会議　報告書2018

 

報道資料　

www.soumu.go.jp

報告書

http://www.soumu.go.jp/main_content/000564147.pdf

 

ＡＩシステムがインターネット等を通じて他のＡＩシステム等と接続し連携する「ＡＩネットワーク化」が今後進展していくことを想定し、ＡＩネットワーク化による便益、そしてリスクや懸念についてまとめた報告書です。

以下のＡＩ利活用原則案を提示しています。

① 適正利用の原則
② 適正学習の原則
③ 連携の原則
④ 安全の原則
⑤ セキュリティの原則
⑥ プライバシーの原則
⑦ 尊厳・自律の原則
⑧ 公平性の原則
⑨ 透明性の原則
⑩ アカウンタビリティの原則

 

人間は、ＡＩネットワークを利活用することにより、高度な問題解決能力としての各々の「智慧」（智）を連結し、「智のネットワーク」（Wisdom Network）を形成していくこと、すなわち「智連社会」が今後のあるべき社会像であると提唱しています。

 

ＡＩが活用される場面やそれがもたらすリスクについて非常に深く検討されており大いに参考になります。

 

高﨑晴夫「パーソナルデータ利用に関する選好分析：プライバシーポリシーの利用者選好へのインパクト」

  

本文

https://catalog.lib.kyushu-u.ac.jp/opac_download_md/1931692/econ0224.pdf

要旨

https://catalog.lib.kyushu-u.ac.jp/opac_download_md/1931692/econ0224_abstract.pdf

 

  九州大学大学院で経済学の博士を取得し、現在はＫＤＤＩ総合研究所フューチャーデザイン1部門研究員として、個人情報保護およびプライバシーに関する制度的および経済的な視点からの分析をしている、高﨑晴夫氏の博士論文です。

データを用いた実証分析をし、プライバシーポリシーが利用者のプライバシー意識にどのように影響を与えるか検証しています。

その結果は以下のとおり衝撃的でした。

・プライバシーポリシーにおける目的外利用禁止規定が利用者の事業者に対する不信感を強め利用者のプライバシー懸念を増加させる

・経産省が提唱していたプライバシーポリシーの分かりやすさ（アイコンやラベル表示等）を追及するアプローチは、その分かりやすさゆえに利用者のプライバシーポリシーに対する認知を高め、サービスに対する具体的な不安を顕在化させ、利用者の利用意向を低める （利用者の分かりやすさを追求するだけでは有効な施策とはなりえない）

 

そして、利用者のプライバシーへの不安を解消するには、利用開始後ではなく利用前に不安を消すことが重要であり、不安解消には事業者自身への信頼を獲得することが重要であると指摘します。

また、不安を解消ないし軽減する方法として、利用者が自身のプライバシー選好に基づいてプライバシーポリシーの生成に自ら関与してデータ開示を自身のポリシーに基づいてコントロールする仕組み「プライバシー・ポリシー・マネージャー」（ＰＰＭ）というアプローチを提唱します。

このＰＰＭが、技術的あるいはコスト的にどこまで実現可能なのかという点が気になりましたが、単に分かりやすいプライパシーポリシーを作成して満足するだけでは、根本的な解決になっておらずむしろ利用者の不安を増大させるという結果は恐ろしいですね。

改めて、プライバシー・バイ・デザインを意識した商品・サービス提供をし、また企業自身、プライバシーを尊重していることを積極的にアピールし、利用者の信頼を獲得することが企業戦略上、ますます重要になってくると感じました。

 

 

 おまけ:未読だけど気になる本

 

 タイトル通りAIがもたらす様々なリスクについて憲法論を展開しています。まだ購入できていませんが、年末年始に読んでみたいです。

 

  

 

 尋常でないペースで書籍や論文を量産される松尾先生の新刊。HRテックの法律問題は私自身、今最も関心が高い分野です。来年1月9日発売とのこと。早く読みたいです。

 

 

ここで挙げたもの以外で参考になる文献をご存知の方がいらっしゃればぜひ教えていただけるとありがたいです。

 

今年はGDPRの施行、フェイスブックの情報流出問題、ベネッセ訴訟の一審判決（請求棄却・控訴）、カリフォルニア州の新プライバシー法成立、ブロッキング問題の激論などなど、情報法問題のトピックが例年にもまして多かった印象です。

来年も引き続きこの分野に関心を持って勉強をしていきたいと思います。

 

 

 次は  @okmrkj_class さんです。よろしくお願いします！