Cafe JILISで情報法制について語らう

(語り手)JILIS理事長/JILIS出版部 編集主幹 鈴木 正朝
(聞き手)JILIS出版部 編集長 小泉 真由子
(撮影)宇壽山 貴久子

Cafe JILISは、一般財団法人法制研究所出版部が運営する、インタビュー、対談記事をメインとしたwebサイトです。今回は、プレオープンを迎えるにあたって、JILISの鈴木理事長にCafe JILISのコンセプトをうかがいました。

JILIS理事長/JILIS出版局 編集主幹 鈴木正朝

小泉:まずはCafe JILISオープンの経緯をお聞かせください。

鈴木:現在のJILISのサイトは、いわゆるコーポレートサイト的な位置づけですから、コンテンツを載せていくには自由度がないですよね。「JILISレポート」も、やや堅めの内容ですので、もう少し柔らかく、皆さんに向けて情報発信をしたいと思いました。

過去に動画配信やウェブの記事で時々ゲリラ的に連載していた「プライバシーフリーク・カフェ」という鼎談を十数回やってきたのですが、なんというかよくわからない狼藉者が集まっての暴言大会のような雰囲気がありましたので、あそこまで野蛮にならない程度に、アカデミックな内容を一般向けにソフトにお伝えする媒体がほしいなぁということを常々考えておりました。

小泉:「皆さん」とおっしゃいましたが、JILISは、研究者ファーストで産学連携的な研究活動メインですし、政策提言がミッションですよね。一方、Cafe JILISの想定読者というのは、研究者のみならず、企業法務の方や一般のプライバシーに興味がある方々、といったように、広くあまねくといった感じと思ってよいですか。

鈴木:はい。JILISが学会と違うところは政策提言するところです。特に情報法制は法整備の途上にある若い分野で法解釈学だけではなく、他の法分野に比べて立法政策のウェイトが大きいという特徴があります。そうなると、やはり社会的コンセンサスというか、関係する人達の広い支持も必要になってくるので、社会全体や様々なステークホルダーに向けて呼び掛けていくことが非常に重要になってきます。そういうわけで、「JILISレポート」や『情報法制レポート』など学術系雑誌だけではなく、Cafe JILISを立ち上げて少し間口を広げて社会との接点を増やしていければいいなと思っています。

2022年は「教育ログ」問題から

小泉:今回はもう年の瀬ですし、プレオープンということで、これからどんなことをCafe JILISで取り上げていくのか、ざっくりとお話ししていただければと思います。

鈴木:はい。2022(令和4)年1月に正式オープンです。Cafe JILIS は、JILISの理事、参与や上席研究員が中心となって、主に情報法制関係のテーマで対談・鼎談やインタビュー形式のコンテンツを順次アップしていきたいなと思っています。理事の高木浩光先生、曽我部真裕先生、参与の新保史生先生に既にお声がけしています。著者を招いての書籍案内やテーマごとにゲストもお招きできればと。理事や参与の先生らが企画していく予定です。

それから、社会に向けて問題提起したいと、火柱高く注意喚起したいといったテーマがあれば、緊急でセミナーを開催して、動画配信もしたいですね。その場合は、本サイトでもテキストで発信したいと思います。直近では2022年1月20日に、「教育ログ」の問題をとりあげようということになっています。

小泉:教育ログ。すでに一部で話題となっていますね。

鈴木:はい。先般、国際大学グローバル・コミュニケーション・センター(GLOCOM)で平井聡一郎先生と「教育データ利活用と個人情報保護」というテーマで対談をさせていただきました。こちらは、GLOCOMの機関誌『智場』124号に掲載されるようです。

デジタル社会ですから、子どものために、次世代人材の育成のために、ITも活用して画一教育から個別化教育へという大きな目的があることははよくわかります。それには大賛成ですが、一方で、監視社会の扉が開いてしまう危険性も孕んでいるので、個人情報保護法やプライバシーの権利の観点からも明確な基準を示して検証して意見を言っていかないとならないなと思っています。利用目的の捉え方が重要なポイントのひとつになります。

小泉:こういう、子どものデータを集約して分析するというような政策を聞くと、どうしても「これは、やだな」という直感というか、漠然とした不安がもたげてくるんですが、その嫌な気持ちがいったい何なのか、自分でもよく分析できないし、言葉でうまく表現できないのですよね。でも嫌という気持ちや直感に間違いはないという確信はあるんですよ。

鈴木:そうですね。こうしたデジタル社会の政策論には法学的に、経済学的に、情報技術的に、まさに情報法制的に分析し、その嫌なことは何かを明らかにして、しっかり反論していかなければならないのですが、全員が専門的に分析することはなかなかできないですし、効果的に発信することも難しいですよね。もどかしく思っている人達も多いと思うのです。そこに、「こういうことではないか」とわかりやすく提示していくことも、研究者など専門家の仕事ではないかと思います。

最近は、Twitter等SNSを通じて昔よりそれなりに政治家の耳にも届くようになりました。ネット炎上にもそりゃ当然だろうと思うような正当な理由があるものもあります。まさに、在野の側には、ネットの力を借りなければ問題提起が届かないというところもあります。

そこは私たちも同じで、当初はプライバシーフリーク・カフェという鼎談形式で、ネットを通じて発信し世に訴えました。今回もこの問題は、JILIS出版主催で久々にプライバシーフリーク・カフェとして問題提起にしたいと思います。JILISの枠での開催ですので、アカデミックな枠を逸脱しない範囲で言いたい放題で臨みたいと思っています。ぜひ、そこで事実関係、問題の所在、法的論点と結論、理由などを聴いていただいて、その嫌な気持ちが何であるか氷解するのか、いやそうではないと思うのか、いろいろ質問や意見も寄せていただくなどしながら、考えてもらえるといいなぁと思います。

小泉:プライバシーフリーク・カフェ(PFC)のリブートですね、楽しみですね。これも文字起こししてCafe JILISに載せるつもりです。

鈴木:はい。PFCレザレクションズです。それに加えて、教育ログについていえば、子どもの成績が落ちるのが、親が離婚したからだ、DVがあるからだとかなってくるとか、そういう親の情報とも連携しかねない構想もあるようですね。子どもの保護をどうするかというのは非常に重要な課題なのですが、いや分野横断的な情報連携となると、いろいろ検討せねばならん論点が出てきますよね。

小泉:少し聞いただけでも、なにかヤバそうな予感がしますね。

鈴木:「子どもが悪いのは親や家庭の環境が悪いからだ」と、こども家庭庁の構想もあるだけに、多くの善意の中でいろいろな政策の魔合体がはじまるとですね。誰も望まないところにあれよあれよと流されて行きかねないヤバさがあります。

小泉:この問題については、漠然と嫌~な感じがするのですが、具体的に何がヤバそうなのか整理してお伝えする必要がありそうです。

鈴木:これの何がヤバいのかといえば、そうやってログを集めてログで何をするのかがあいまいだということですよ。加えて、教育産業含めて官民のプラットフォームとしてデータ交換を許容するプランもすでに見え始めています。

ほら、構想段階から注視しておかないとまずいでしょう。何でも反対ではないんですよ。

小泉:プライバシーフリークは「何でも反対」と思われがちでしたが、決してそうではないんですよね。

鈴木:ええ。個別化教育は大賛成だけれども、やっていいこととやってはいけないことを法的に基準を明確化しながら批判するので、そこはしっかり法的に精査してやっていただきたいということなんですね。

教育ログが子どもたちの人間スコアリングになって、一生それを持ち歩く社会って、みんなが望んでいる健全なデジタル社会なわけないでしょう。

小泉:それはそう。本当にそうですね。

JILIS出版部 編集長 小泉真由子

いまだ理解されぬ、個人データ保護法の本質

小泉:教育ログについては、1月から詳しく取り上げていくとして、やはり、個人情報保護法とか、プライバシーの権利の問題というのは、もう少し基本的なところからきちんと説明してもらわないとわからない部分がありますね。

これまでも、武雄図書館の貸出履歴のTポイントとの交換問題や、記名式Suica履歴データ無断提供事件、2000個問題もリクナビ事件などが世間、というか世間の一部で議論されてきました。なんか事件があると、わーと集まって、事例研究的な鼎談をやってもらっていたんですけども、確かに、それは問題だなということは、なんとなくわかるんですが、全員が法学知識を持っているわけではないから毎回消化不良なところもあるんですね。きちんと問題を補えるための、基礎的なところを整理してわかりやすくお伝えする入門的なコンテンツも読者の皆さんにお届けできるようにしたいですね。

鈴木:そうですね。それは心がけて企画していきたいですね。いや、記名式Suica履歴データ無断提供事件のときも、最初はおや?違うんじゃないか?という程度で、何が論点かしっかり理解できていたわけではなかったんですよ。匿名化して利用するビックデータ時代に対応する試験的試みとして、財界や経済誌は好意的で、一部のIT系の弁護士さんらも適法意見を出しておられました。社会も比較的寛容に受け止めていた。いや無関心だっただけかもしれない。その中で、一部の人たちが勝手に自分のデータを利用しているということに関して、やはり直感的に疑問を呈された。

そこに我々が法的に分析しながら意見を申し述べたところ、NHKのニュースや日経BPやネットメディアでも取り上げられて火に油を注ぐかたちとなり、かなり政財界から怒られた。法律系出版社からも相手にされなかったですね。世の流れに反する極めて筋の悪い少数説と扱われました。明らかに編集方針が適法方向での人選、編集なのですよ。振り返れば世の流れの読み間違いですよね。日本全体が欧米と逆の方向に走り出したわけです。

このときは、情報法の研究者だけではなく、データサイエンス系の先生も含めて専門家が東大の坂井先生の超セキュアシステム研究会に集まって議論しました。そのときに一緒に問題提起された先生の多くは、今、理化学研究所の革新知能統合研究センター(AIP)で人工知能(AI)の研究をされていますね。そのほかにも産総研の高木浩光先生や、NTTの研究者などもおられました。欧米の動向を見たら、Suica事件の数年前にNetflix事件もありFTCが介入していた。それにも似ているなと議論したわけです。

その結果、これは、今日でいう「仮名加工情報」だったということがわかっていった。逆に言うと、日本では「匿名加工情報」も「仮名加工情報」もわからないレベルで、ビックデータビジネスなどと言っていたわけですよ。やっぱり、世の反感を一時的にかっても、しっかり問題提起をしていかないと、デジタル社会に向かう他の先進国にどんどん乗り遅れていきますよね。

「世の反感を一時的にかっても、しっかり問題提起をしていかないと」

個人情報保護法制2000個問題もそうでした。あれは憲法の地方自治の本旨を踏まえた自治事務なんだと、法律で権限を奪うのは違憲なのだという主張もありました。加えて地方分権時代に逆行する意見であると、さらには総務省行政管理局の取り組み以上に自治体がしっかり取り組んできた歴史であると、保護水準高くしっかり運営してきたのだという考えの下、反発というより極めて冷笑的で、論外という感じでした。最近は、かねてから問題であったと整理される先生もいらっしゃいますが、当事者の自治体の大半は、2000個問題というフレーズも問題提起されている事実も知りませんでした。まったく問題視されてこなかった。一部個人情報保護法の研究をしている人たちや自治体との業務をされている人たちの中で、少し取り上げられることがある程度のものでした。

しかし、東日本大震災で個人情報が利用されずに救助が難儀して、一部では助かる命も助けられなかったじゃないですか。それを契機に現行個人情報保護法制の限界を訴えはじめた。個人情報保護法改正の必要性も医療仮名加工情報の特別法の必要性も震災後から訴えてきました。

我々がいくら頑張っても蟷螂の斧のようで、何も進捗しなかったですよ。そうこうするうちにコロナでも同様に個人情報の問題が発生してしまった。確かに地方分権の意義と重要性はわかるけども、案件によっては「分断」という側面もあるということに気づいたということですね。

権力分立の果実は「自由」なんだろうと思います。権力組織を複数に独立して分けて立てることで、相互にチェックアンドバランスの機能が働くよう設計できる。そこに国民、住民の自由が保障される。専制君主の時代や独裁制よりましになるという程度かもしれませんが。その機能が働くのは、衆議院と参議院の2つとか、国会、裁判所、内閣の3つだからじゃないですか。地方分権も中央政府と地方政府という2権で捉えられるところにおいてその分権が効果的に働くわけですよ。しかし、広域災害やパンデミックでは、2000以上の分断という一面が顕著に現れてしまった。あれだけの人の死という重大な結果を見て、理論の検証ができず、教科書的なフレーズを繰り返すようではだめですよ。原則の修正というほどではなく、例外の検証程度のことですよ。まさに教条的な反応を示すだけの人達には衒学的な雰囲気を感じて、かなり萎えましたし失望しました。

私は憲法が専門ではないですから、拙い素人的思考ですけども、法学一般としてそれはないだろうと思いました。憲法の先生と会うたびに素朴に上記の質問を投げかけて歩きました。ご飯食べながらとか、立ち話しながらですけども。その時、曽我部先生と宍戸先生は、明確に過去の経緯の尊重に過ぎず、憲法の地方自治の本旨からの要請ではないと明言されまして、私だけが特に変なことを言っているわけではないとほっとしたことを覚えています。

やはり対象情報の定義は、法定事項であって条例の問題ではないのだと思いました。これは、江戸時代のように、所有権など今日の物権相当のものが、その名称も内容も藩や村々ごとにバラバラに異なったままというのでは、近代化政策が進展せず困難になるのも当然で、明治政府が民法を制定した、そこでは物権法定主義を採用したというのは必要なことでした。

現代のデジタル社会においても、同様だろうと思います。個人データのような対象データは国で統一する。強行規定が整備されて初めて任意の標準化も進む前提が整うわけで、そこは物権や度量衡のように国家レベルで統一する。その上で、国家レベルで欧州米国と協議して個人データ保護法のハーモナイゼーションを推進していく。それによって、GDPRの十分性認定の相互承認の維持も日米欧Data Free Flow with Trust(DFFT)政策も実現すると思うのです。

実際、春日市が個人情報保護条例に取り組まれた頃は、スウェーデン法など海外の「法律」を参考にされていたようですし、堀部政男先生の『自治体情報法』という本を読んでみても、直接先生からお話をうかがっても、当初は研究者も役人らも普通に「立法論」をしていたようですからね。当時もそれが違憲というような話しはなかったと思いますよ。

EUとの十分性認定では、ガバメントアクセスの問題なども指摘され、課題として残っています。最近、警察は犯罪捜査にGPSを使って問題になったり、民間の顧客データベースから継続的に捜査関係事項照会で情報を収集する手法も社会問題になりました。またSNSのAI解析をしていますよね。たぶん被疑者の人的ネットワークを可視化させる手法でしょう。こうした情報収集型捜査のほかに、昨今は五輪のテロ対策を契機にJR東日本に顔識別技術を利用した不審者対策が実装されました。米国では、AIを使っての犯罪発生地予測が行われているようです。こうした防犯目的による各都道府県警察本部の活動は、各都道府県の条例問題になります。犯罪発生エリアの予測から、それが犯罪予備軍とされる人の予測に移行した場合、顔識別技術を使って公共空間における一般市民の選別に用いた場合、それは個人情報保護条例の問題になります。公民一元化せずに自治体ごとの対応に委ねるべき問題でしょうか。一部では保安処分的運用にも流れかねないリスクもあります。あきらかに法律として、個情委も使った事後統制などのしくみも検討していくべき時代になったと思います。

そして少なくとも日米欧三極及び先進各国はルールのハーモナイゼーションの時代に入っています。そのあたりは国際金融政策の歴史と同種の動きになるのではないでしょうか。そもそもそのマネーだって今やデータといってもよいかもしれませんからね。データ保護法制は本来的に国内の地域の区域の特性が反映され難い性質をもっていると思いますよ。

一方、今後、教育ログ問題を議論していこうと思っているのですけども、中央への権限集中の弊害は争点のひとつになるかもしれません。宇賀克也先生も公民一元化のメリットだけではなく「分権的個人情報保護法制」の果たしてきた役割への目配りも忘れるべきではないと警鐘を鳴らされています。私は、ルールは統一しても、データのコントローラーは適切に分立されるべきではないかと考えているところです。ControllerやProcessor概念はEU対応というだけではなく、また、民間部門のビジネスの規律の問題だけではなく、公的部門の統制を考える上でも今後導入を検討すべき概念ではないかと思っています。

地方分権というだけではなく、何をどう分権して国民、人間、個人の自由を保護するか、という実質が問われるべきだろうと思うのです。個人情報保護法令和3年改正の公民一元化批判をする人達は、ルールを統一し、その権限を個人情報保護委員会に集中すれば、分権的な統制が働かないと思われている。さらには、独立行政委員会とはいえ、人事と予算で政府の追認機関になり得るリスクがあるということで批判されているのかもしれません。

全ての批判に同意するわけではないですが、確かに、ルールを起草できる権限を個情委に集中させれば濫用リスクが拡大する部分はあるかもしれません。しかし、そここそ、地方自治の本旨から、自治体のどのような権限をどう留保するか、憲法解釈、憲法理論の出番だろうと思うのです。私は自治体がControllerとして国と対峙し得るものがあるのではないかと思っています。個人情報等の独自の定義をし、独自の義務を形成する権限を自治体に委ねることが、住民や国民の自由の保護に資するとは思えない。それはむしろ分断と混乱の原因を残すことにつながります。今後消滅自治体問題にも取り組む上で、自治体システムの統合も必ずや課題になる。将来に禍根を残す副作用も待っています。

無論、一般論として一定の範囲での上乗せ横出し条例を容認し得るところや、死者の情報を独自の条例制定が可能なあたりはありますし、令和3年改正法では、地方自治を踏まえた明文規定も用意されていますよね。「条例要配慮個人情報」条項ですけども。しかし、本当に深刻な差別や人権侵害につながりかねない個人情報の類型が現にあるなら、すでに個人情報保護条例で手当しているはずですよね。少なくとも条例で手当せねばならないと既に課題になっているはずです。立法事実として具体例がどんどん出てくるはずなんです。本当ならね。なぜに地方自治に関する重要事案に具体例がかくも伴わないのか。そこに疑念をもつべきなんですよ。

抽象的に保護水準低下というだけではなく、例えば同和名簿の例があるならあると、しっかり訴える必要があります。しかし、どうでしょう。かかる名簿は当該自治体で作成され利用されるかたちで被害が完結しているんでしょうか。自治体の外で作られ、ネットで販売されたりすることが一般的ではないのですかね。漫画村のようにもはや国外で悪さするかもしれない。一自治体がどのように規律し法執行するのでしょうか。また深刻な差別や人権問題であればあるほど、それは国として取り組む問題であり、法律事項であるべきだと思います。

そして何より、「条例要配慮個人情報」に該当したとして、どういう法的効果につながるのですか。令和3年改正法の公的部門の義務規定をよくよく確認いただきたい。民間部門の「要配慮個人情報」が例外的に同意取得、オプトアウト手続禁止になるのと違って、印をつけて終わりではないですか。それってどこに地方分権の実質があるのでしょうね。そこまで眺めて評価していくべきです。いったい何を守っているのかと。なにをもって分権なのかと。あと情報セキュリティ対策的には、重要情報に印を付けておくというのは、素朴にいいことなんでしょうかね。災害時等に優先的に持ち出せるとか。セキュリティ対策の強化重点対象にするとかなんですかね。泥棒向けには、これもっていけばどうかと教えて差し上げているようなものですよね。いったい何をやっているんですかね。これは。

意外とみんな腹に落ちていない

小泉:……などなど、挙げ始めたらキリがないので、今日はこれくらいで。1月からはいろいろ発信していきたいと思います。

鈴木:言いたいことは山ほどあります。

小泉:ええ。結局何がマズかったのか、今後、企業が同じ穴に落ちないように、判断基準に落とし込むようなかたちで振り返っては、まわりくどく、わかりやすく説明いただきたいですね。

鈴木:これまでのことだってね、意外とみんな腹に落ちていないんですよ。大概、世間で納得するフレーズがとりあえずあって、今後は「倫理的に対応しないとダメ」とか「プライバシーを保護しないとならない」とか、「プロファイリングはまずいですよね」とか、「同意があればよい」とか、「公益的課題ならやってもいいんだ」とか、そういうわかりやすい言葉でごまかしてきているんです。でも、こういうのはすべて多義的で抽象的な概念なので、新規にビジネスモデルを構築しようというときに、Suica問題やリクナビ問題などと同種の論点を秘めていても気がつかないのですよ。

「保護と利用のバランス」と唱えていたって利活用のための個人データ保護法制の立法も解釈も進みませんよ。これからは私たちも批判だけではなく、匿名、仮名や医療仮名加工情報のように、具体的に何をどう保護しどう利用していけばいいか、原理的なところを明確化させながら提案していきたいと思います。

まずは、令和3年改正を経てもなお、個人情報の定義に2つの考え方が市中に無自覚に存在することについてもお話ししていきたいと思います。政府見解と有力説が乖離して対象範囲が大きくぶれる問題に多くの人が、気がついていないのです。立法化によって実は決着がついている問題だと思うのですが、その点含め順を追って体系的理論的に説明していく1年にしたいと思っています。

顔識別技術の使い方も現行ガイドラインだけ見てちゃダメでしょう。情報銀行もマネタイズがしっかり見えないところに群がってGAFA対決とかでかいこといっているあたり、おかしいでしょう。いったい先進国としてIT関係で次世代産業を育てていけるのか、不安でなりません。明らかにダメってわからないのかと思わずにいられないわけです。保護と利用のバランスと唱えていたって、利活用のための個人データ保護法制の立法も解釈も進みませんよ。

しかし、こんなこと言っていて、法人会員増えるんでしょうかね。

小泉:まあまあ、その話はまたあらためて。

鈴木:でも過去10年の発言をみても概ね全部あたってきていますよね。腹がたつことがあっても、とりあえず話を聞いていただいて、必要な部分だけ参考にしてもらえるとうれしいなと思います。

小泉:そうですね。2022年は、個人会員制度も作って、広く社会に支えていただけるような組織にしたいですね。Cafe JILISは、みんなで自由闊達に、忖度なく議論できるような場になるといいなと考えています。

Cafe JILISは2022年1月から本格的にオープンします。お楽しみに!