講演 「情報化社会における個人情報保護」

by 夏井高人

これは、2002年1月17日に佐倉市役所社会福祉センターで開催された講演会(佐倉市主催)の講演録をもとに、若干の補筆をしたものです。

目 次

1 はじめに

2 個人データ

3 ネットワーク社会における問題状況

4 個人データ保護のための基本原則

5 個人データ保護のための方法

6 今後の展望

1 はじめに

 明治大学法学部の夏井高人です。どうぞよろしくお願いします。コンピュータと法律との関係を研究して15年になります。今日は、「情報化社会における個人情報保護」というテーマでお話をさせていただきます。

 まず、ネットワークは実に汎用的な道具立てでありまして、道路と似ています。道路は道路交通法で規制しなければ、何でも通れるはずです。現在のインターネット空間は、どちらかというと道路に近い存在ですので、何でも通れるわけです。そのために、インターネット上で通していいものと、通してはいけないものを区別すべきだという議論があります。

 また、通ったからといって何も問題が発生しない場合と、通ったために何らかの問題が発生する場合と、2通りあるわけです。誰にも害を加えなければ、問題にはなりません。

 しかし、ネットワークの中では、データが通り抜けたがために、あるいは、通り抜けたデータがどこかのパソコンなりサーバなりに蓄積されたがために、問題が起きてしまうということがあります。

 とりわけ、インターネットは元々、ネットワークとして開発された装置なので、誰もがアクセスできることが原則であるわけです。ごく少数の人だけで使われている限りは本来、問題は起きないはずです。

 しかし、いろいろな人がいろいろな目的でインターネットを使うようになると、本来はオープンであってはいけないようなものを、それと知らずにオープンな環境であるインターネット上で使ってしまうということが起きてしまいます。要するに、本来オープンであってはいけないものが、オープンな環境におかれた途端に「これはおかしい」と議論に晒されてしまうことになるのですが、だからと言って後から来たインターネットのほうだけが悪いとは言えません。これだけ多くの人がインターネットを使うようになってしまうと、何らかの切り分けが必要になります。

 本日お話しする個人情報保護の問題も、前述のように起こってきた様々な問題の中でも、非常に重要な部分に属すると思います。しかも、個人情報の問題は、コンピュータのプロフェッショナルとか、アニメおたくだとか、特定の人たちだけに関係するのではなくて、人間である限り、すべての人に関係する重大な問題になると思います。

 そのような前提に立ち、今日は個人情報保護の問題についてお話しするわけですが、話の全体の構造を先に説明しておきます。

 まず、個人データについてお話します。日本では、個人情報保護法とか個人情報保護条例ということで、「個人情報」という言葉が使われています。しかるに、他方では、「個人データ」という概念もありまして、その2つの関係がどうなっているかということを、基礎知識として理解していただきたいと思います。

 その次に、今、冒頭で申しましたように、ネットワーク環境の中ではどのような問題が起きるのかということを、ネットワーク社会における問題状況として、簡単に説明いたします。

 その上で、個人情報を保護するためにはどうしたらいいかについて個人データ保護のための基本原則として説明いたします。これまで、学者だけでなく世界のいろいろな機関が悩み、また各国の政府が悩み、いろいろなことを考えてきました。この部分では、その過程を経て、世界的に見てどういうルールが妥当かということが一応確定してきているので、その中で主要なものを紹介したいと思います。

 さらに、個人データ保護のための方法を説明します。通常、このような講演会では法律の説明だけになったり、セキュリティー技術だけの説明になったりしがちです。しかし、その中のどれか一つだけで解決する問題ではありませんので、いろいろな解決方法を複合的に使って、その時そのときで一番合理的なものを選択することが必要だと思います。

 ですから、個人情報保護の問題も、条例を1つ作ればそれで済むとか、良いシステムを導入すればそれで終わりという考え方ではいけません。それぞれの一番良い部分を重ね合わせていくという賢い使い方をしなければ、この問題は解決できません。

 それを踏まえたうえで、全体の枠組みをお話しし、そして、最後に今後の展望について話したいと思います。

2 個人データ

(1)個人情報と個人データは違うのか

 個人情報と個人データは違います。

 情報とデータという言葉が両方あることは、ほとんどすべての方が既に認識していると思います。普段いろいろなところで、この2つの言葉を見たり聞いたりしています。日本の場合、データと情報とは、ほとんど同じだというように理解して使われている場合が多いと思います。

 ところが、海外の法律を見ますと、情報(information)という言葉を使った法律は、むしろ少数派です。特に、欧州系の法律や欧州議会で使われる指令では、データ(data)という使い方をしています。

(2)情報とデータ

 では、情報とデータとはどう違うのでしょうか。様々な考え方がありますが、一般に情報論や記号論などを使っている人たちの考えの中で圧倒的に優勢な考え方は、コンピュータによって処理される対象は、データであるという考え方です。

 情報というものは、データが人間によって認識された中身のことを言います。そのように使い分けされていることが比較的多いと認識しています。

 具体的にどう違うのかといいますと、情報というものを現実に使うとなると、人間にとって認識されていなければならなりません。例えば、佐倉市の住民データが単にデータベースに蓄積されているというだけでは、人間にとって読み取り不可能な電子データがそこに存在しているというだけですから、それは、「情報」ではないという考え方です。それだけでは、人間にとって理解されていない状態なのです。

 だからといって、データを粗末にしていいかというと、そうではありません。むしろ、人間にとっては、アクセスの対象となるデータを保護しなければいけないという考え方のほうが正しいはずです。例えば、データそれ自体が暗号化されていて、世の中で一人しかパスワードを知らなかったとします。パスワードを知っていた人が不幸にも交通事故で突然亡くなってしまい、誰も解読できなかった。それでも、そのデータは保護されなければなりません。なぜなら、高度なハッカーには、それを解読できるかもしれないからです[1]

 つまり、世の中の誰一人として解読できないデータであっても、保護されなければいけないわけです。そういう意味で、人間にとって理解できないデータであっても、データはデータとして保護されなければいけないのです。それが、欧州の普通の考え方だということになります。

 さて、わが国で最初に「個人情報の保護」というものの考え方を導入されたのは、中央大学教授(元一橋大学教授)の堀部政男先生です。堀部先生が個人情報とされているものの実際の中身は、個人データそのものです。

 それなのになぜ、日本ではデータではなく情報という言葉を使うのでしょうか。実は理由は簡単です。第一点は、日本では「データ」という概念が良く理解されていなかったからです。また、法制審議会や内閣法制局などで、カタカナ外来用語を法律に入れてはいけないというルールが、つい最近まで貫徹されていたという事情があります。ですから、「個人データ保護法」という法律を作ろうという作業を始めても、「データ」という言葉が入っている限りは、絶対に法律にならなかったのです。そこで、「データ」の代わりに「情報」という言葉を使っていました。しかし、実は、「個人情報」という用語の意味するところは「個人データ」のことだったのです。

 最近、カタカナ外来用語が、法律の条文の中に少しだけ入るようになりました。例えば不正アクセス禁止法では、「アクセス」という言葉がカタカナで書いてあります。では、どうして入ることになったかというと、それに該当する日本語がなく、先例もなかったからです。

 それから、つい最近追加されたのは「インターネット」という言葉です。これは、中国語ですと「国際接続網」になるのですが、日本で「国際接続」というとインターネットという意味にはならずに国際電話のことだと連想されてしまいかねないので、この中国語の表現を借りることもできません。仕方なく、インターネットという言葉を入れたのです。

 これに対して「システム」という言葉は、カタカナ用語として法律の中に入りません。「組織」という言葉があるからです。「情報処理システム」は「情報処理組織」になります。たとえば、電子情報処理組織による税関手続の特例等に関する法律(昭和52年5月31日法律第54号)、電子情報処理組織による登記事務処理の円滑化のための措置等に関する法律(昭和60年5月1日法律第33号)、開示用電子情報処理組織による手続の特例等に関する内閣府令(平成14年5月22日内閣府令第45号)などがその例です。

 データについては、「情報」という「データ」と似たような概念が存在するために、「情報」のほうが法律条文の中に入ってしまいました。

 結論としては、日本の法令では用語の使い方が間違っているとしか言いようがないのですが、現実にあるのは情報という名のついた法律や条令ですので、そういう前提で理解していただきたいということになります。しかし、私は「個人データ」のほうが正しいと思いますので、これからの話では個人データと言いますが、法律や条例の理解では、個人情報と読み替えるとご理解下さい。

(3)個人データとプライバシーデータとの関係

 さて、個人データとプライバシーデータとの関係について説明します。個人データというものは、プライバシーの権利によって保護される、あるいはプライバシーの権利が付着した個人データとそうでないものと3通りあります。

 個人データというものは、個人の属性、あるいは同一性を示すデータであり、秘密なものと、秘密でないものとがあります。既に公開されている個人の属性情報、あるいは同一性を示す情報というものは、既に秘密ではありません。そういうものは、初めからプライバシーであるはずがありません。ですから、そうした公開されたデータだけに関する限り、プライバシー侵害はあり得ないわけです。

 様々な議論がありますが、法律問題を考える1つのポイントは、誰かが何かの権利を侵害されているという言い方をした場合に、その人がそういう権利を持っているかどうかということを、きちんと確かめるということです。

 例えば、「プライバシーを侵害されている」という言い方をされたとします。その人には、何らかのプライバシーはきっとあると思います。プライバシーがゼロである人間は、普通はいないと思います。ただし収監中の囚人には、刑務所内でのプライバシーはないと言われています。100パーセント監視されていなくてはいけないからです。ですから、多分、プライバシーはゼロなのだと思います。しかし、それ以外の人は、何らかのプライバシーを必ず持っています。

 大事なことは、その人が、これがプライバシーだと主張している具体的な中身が、「本当にプライバシーであるかどうか」ということです。例えば、私が講演していることは、皆さんは目の前で見ていることですからプライバシーではありません。今日ここで講演をすることは、私のホームページの予定表の中で書いてしまっていますから、ホームページを見ている人は既に知っています。ですから、これは公開された情報であって、プライバシーデータではありません。

 しかし、私が今日何をしているかという私個人の属性に関するデータであることは間違いありません。だからといって、私のプライバシーになるかというと、そうではありません。例えば朝、妻にどういうご飯を作ってもらって食べてきたかということは、プライバシーデータです。それは当然、皆さんご存じないだろうと思います。

 ですから、およそ、その人にプライバシーがあるかないかという表現の仕方と、今問題になっている事柄が、あなたにとってプライバシーに属するものかどうかということは、全く別問題だということを分けて考えなければいけません。プライバシーの問題を考えるときには、そういうことがゴチャゴチャになっているために、いろいろな議論になってしまうわけです。ないものはない、ないものからは何も権利は生まれませんから、それはゼロの世界です。少しでもプライバシーがあれば権利があることになりますし、少しでもプライバシーがあれば侵害の問題も起きます。でも、何もなければ権利は存在しないことになるし、侵害も起きようがありません。

 このように、個人データというものには、プライバシーとされるものとそうでないものとがあります。欧州議会の報告書を読むと、欧州議会ではプライバシーという言葉はあまり使いたくないという方針をとっているようです。なぜかというと、プライバシーというのは、あまりにもあいまいだからです。たとえば、プライバシーのないデータと、プライバシーがあるデータとを分けて、プライバシーがあるデータだけを保護しようとするとどうなるでしょう。そもそもプライバシーがあるのかどうかの基準があいまいなので、プライバシーが付いたデータとそうでないデータを切り分けるのが非常に難しくなってしまいます。

 そうではなくて、個人データは、プライバシーがあってもなくても一律に保護することにする。そのうえで、秘密のデータはより強く保護するということの方がいいだろうというのが、欧州議会の考え方です。

3 ネットワーク社会における問題状況

(1) 情報化社会の進展とネットワーク社会

 それでは、ネットワーク社会においては、どういう問題状況になるのかということをご説明します。

 どこでも耳にすることだとは思いますが、「情報化社会」が進展して、現在ではネットワーク社会と言われる状況に入ってきています。情報化社会とネットワーク社会というものとは、同じ意味で使われることもあります。しかし現在では、多分イコールではないという理解が正しいと思います。

 歴史的に見ますと、「情報化社会」は、OA化の進んだ社会のことを意味していたと思われます。そして、情報化社会とネットワーク社会の中間で、「高度情報化社会」や「マルチメディア社会」という用語が使われた時代があるはずです。これらの言葉は、今では死語になってしまっているかもしれません。いずれにしましても、高度情報化社会という言葉がはやった時代に、何が「高度」なのかというと、単にOA化が進んでパソコンがあるのではなくて、それらがネットワークによって結合されて、より高度な使い方がされる社会であるというように説明していました。

 ですから、多分、高度情報化社会とネットワーク社会とは、かなり似たようなニュアンス持った概念なのだと思います。しかし、単に情報化社会というと、OA化とあまり変わらないだろうと思います。

 ただ、別の立場をとる人もいます。情報化社会という用語の使い方として、電子化されたデータ、あるいは情報が非常に重要性を持ってくる社会が情報化社会であるという捉え方をする立場の人もいます。このような立場をとる人にとっては、ネットワーク化されている領域が増えれば増えるほど、その中での電子情報あるいは電子データの重要性が高まるし、取り扱われる電子データの量それ自体が莫大に増えてくるので、「より情報化社会になった」という言い方はするでしょう。

 情報化社会という用語も多義的ではありますが、私の考えでは、ネットワーク社会というものは、電子情報あるいは電子データによって、いろいろなやり取りがされる社会で、ネットワークが不可欠な要素になっている社会と捉えたいと思います。

(2)ネットワーク環境での特性

 このような環境の中での特性は何かというと、まず情報がネットで収集、利用または管理されるということです。

 もちろん例外はあります。どんなにネットワークが発展しても、大事なデータの固まりは、例えばCD-ROMなどに暗号化して保存して、トランクに入れて持ち歩きます。途中で盗まれるという恐れは確かにあるのですが、どんな盗聴も可能なので、大事なデータは暗号化して、CD-ROMやICに入れて持ち歩くということが今でも随分なされています。

 私自身は、一番大事なものは暗号化して、モバイルの中のハードディスクに保存しています。ハードディスクにも仕掛けがしてあって、最初にパスワードを入れないと動かないようになっていて、無理に外せばデータが壊れるようになっています。一番大事なデータはネットワークには流さない、物体として私が持っていて、私の手を離れたら使えないようにしています。

 余談はさておきまして、基本的にどういうものが大事であるかを考えると、通常のルーチンワークや通常の社会の中で利用されるデータが、ネットで収集、管理できるということが、ネットワーク環境の重要な特性であると考えます。

 このことは、情報の伝播が迅速、広範になされるということを同時に意味します。ネットワークでつながっていない環境の場合には、1台のコンピュータで処理したデータを別のコンピュータで処理する場合には、そのデータをフロッピーディスクなどの媒体にコピーをして移さなければならないのです。しかし、ネットワーク環境では、そうではありません。ボタン1つで、ネットを通じたデータの交換ができます。実際に、隣同士の人とデータ交換をする場合には、電話線かLANのケーブルを通って、サーバ装置にデータが送られ、場合によっては送信されるデータが一旦外部に出て、また戻ってきて、隣のコンピュータに届きます。ですから、実際に移動したデータの距離は非常に長いかもしれませんが、ボタン1つで瞬時にデータが移動するという世界になります。

 フロッピーの場合ですと、1回に移動できるデータの固まりは、ドライブ装置の数で決まっています。つまり、最初に使ったドライブ装置からフロッピーを抜き出して、次のドライブ装置に入れます。その時に使えるドライブ装置は、1個しかありません。

 ところがネットワーク環境では、1個のマシンから同じデータ、あるいはファイルを送信する場合でも、理論上は世界にあるすべてのコンピュータに対して、同時に複製物を発信することができるはずです。それがネットワーク社会の特性です。

 電子データというものは、紙と違って何万個でも同時に複製できるものですから、ネットワーク環境では同時に発信することができるはずです。迷惑メールに対する新しい規制ができ、そのための省令が平成14年2月1日から施行されるようです。現実社会では、郵便物でダイレクトメールを出そうとすると、アルバイトなどを頼んで印刷物を封筒に入れて、糊で封をし、宛名シールをはって、郵便局に持って行かなければダイレクトメールは出せないでしょう。数も決まってくるし、お金も掛かります。

 しかし、電子メールでダイレクトメールのようなことをやろうとしたら、ボタン1つで何万通でも送れるために、迷惑メールの問題も起きてしまうわけです。つまり、何かきちんとした制度とか仕組みをかませないで、無限定にネットワーク上のデータが使える状態にすると、すごい速さで、しかも1つのファイル、あるいは1つのデータが、理論上すべてのコンピュータに対してコピーされる可能性を常に秘めているのが、ネットワーク環境なのだということです。

 佐倉市役所でも、多分、LANを使って仕事をされているだろうと思います。LANもネットワークの一種ですから、理論上、LANの中では、すべての端末マシンに対して、すべてのデータのコピーを瞬時に送り込むことが可能です。ただ、制度あるいは仕組みでブロックしているので、そうこうことは起きないのです。LANが仮にインターネットと直結していると、世界中のコンピュータに対して、それができます。しかし、LANとインターネットが切り離されていれば、市役所の中にあるLANと接続されているコンピュータの数が、最大限となるはずです。

 このようにして、コピーがどんどん流れるとどうなるかというと、そのコピーの中に個人の秘密データも含まれることは十分ありうることです。そして、流れ出した途端に誰もコントロールできなくなるという重大な問題が発生します。

 この演台の上に、佐倉市からお借りしたノートパソコンがあります。これには多分、登録番号が付いていて、管理台帳に登録されていると思います。きちんと管理されているところでは、多分、CPUなどのシリアル番号なども登録されていて、仮に盗まれても、分解してCPUを見れば盗まれたものだということを証明できるでしょう。そこまで厳格に管理している企業なども、きっとあると思います。物体は1個しかないわけですから、仮に盗まれた場合でも、追跡して取り戻したり破壊したりすることが可能な場合があるわけです。

 中古車の場合、なぜそれが不可能かというと、中古車を特定するものは、外観上は、ナンバープレートしかありません。ナンバープレートを取ってしまうと外見では分からなくなるから、大きな輸送船で海外にどんどん持っていって売られてしまうわけです。しかし、車の中のエンジンにはシリアル番号が入っています。確かにボンネットを開けて調べれば分かるのですが、普通は他人の車のボンネットを開けて見る人はいないし、それをしたら泥棒だと疑われてしまいます。普通はやらないから、分からないわけです。でも、そのシリアル番号を見れば、本当は誰の所有物なのかが分かります。とは言っても、プロの窃盗団は、このシリアル番号もヤスリで削り取ってしまうらしいです。そこで、最近では、車の中に発信機を付けるという方法が考えられています。普通では考えられない場所に移動してしまうと、自動的に警備会社に警告がいくという仕組みです。

 いずれにしても物体の場合は、同じ空間に1個しか存在し得ないものだから、何らかの方法で追跡して取り戻したり、阻止したり、破壊することは可能です。しかし、電子データというのは物体ではありません。物体の上に存在するある電気的な状態に過ぎません。その電気的な状態というものは、状態であるために、同じような状態を作ることができるわけです。

 なぜ、コンピュータで処理したファイルを、フロッピーディスクやハードディスクに記憶できるかというと、コンピュータのメモリーの中の状態と同じ状態をディスクという装置の表面に複製して作っているからです。ですから、厳密に言いますと、コンピュータで作った文書をディスクに保存するという処理は、本当は保存しているのではなくて、ディスク上に複製さえた部分を作っているだけなのです。

 そのほかにも、ファイルを送信するとか、ファイルを移動するという言い方があります。ドラッグすると移動したように見えますが、それは人間に分かりやすく見せかけているだけで、実際には全く移動していません。つまり、電子データというものは状態に過ぎないので、それ自体として動いているということはありません。あるパソコンからあるパソコンにデータを移動するといっても、実際にそれが移動していくのではなくて、移動元であるパソコンには、もとのデータは残ったままです。

 電子メールを発信する場合は、フォルダの中に送信済みメールが残っていますね。送信した途端にデータが動いていくのなら、送信済みデータは残らないはずです。つまり、送信するという命令を与えたデータと同じ電子的な状態を、相手方のコンピュータの中のメールボックスの中に新しく作るだけなのです。

 つまり、コンピュータで行われている操作は、実際には「複製」しか存在しないということなのです。ネットワークで行われていることも同様で、よく「送信」とか「受信」とか言いますけれど、これはかなり擬人的な表現で、実際には複製を作るという出来事しか存在しません。ある情報をネットで送信するということは、受信先のどこかの装置の中に、送信元の情報と同じ情報を作りなさいという命令を出しているわけです。

 受信というのは、物体のように動いてそれを受け取りましたというものではなくて、新しくそこに複製物が作られることを意味します。ネット上に秘密データが漏れると、元のところにはデータはもちろんあるのですが、相手の所に新しくファイルが作られます。そのファイルは相手のコントロール下にあるので、そこから先にいくらでも複製が作られることになります。

 ですから、間違えて誰か一人にうっかり秘密データを漏らしてしまうと、ネットワーク上では、その一人が何万人に対してコピーを配るかが分かりません。1回でもデータが漏れたら、コントロール不能になります。ネットとは、こういう怖さを持つところです。

(3)ネットワーク上での個人情報の商業利用

 また別の点から考えて見ますと、ネットワーク上の個人情報の商業利用ということが、いろいろな問題となっています。一つは差別の問題であり、もう一つは迷惑メールの問題です。

 差別の問題がなぜ起きるかというと、個人情報のネットでの収集、管理、利用が可能だからです。収集、管理しただけでは差別の問題は起きないかもしれませんが、利用の仕方が差別的だと言えるでしょう。

 最も典型的な例としては、生命保険会社での例があります。ネットでいろいろな所から様々な情報を集めることができます。その中には医療機関から流れてくる情報、病歴データ、投薬データなどがあります。カルテのデータや処方せんのデータ、あるいはどのような薬をどのように売ったかという一つ一つのデータ自体は、あまり問題にはならないかもしれません。また、素人がそのデータを見ても何も分からないかもしれません。

 しかし、集められるだけのデータをすべて結合して、カルテにこのような文字列が含まれており、このような処方せんが存在しており、実際にその薬局で薬を買って服用しているようだと分かると、どうなるでしょう。その該当した個人について、「これこれの重大な病気になっている可能性が高い」と自動的に判断することができます。カルテがあっても処方せんがあっても、実際に薬を服用していなければ、その判断は間違いである可能性もあります。しかし、継続的に医師の指示に従って薬を服用しているということが分かれば、その患者は本当にその病気かもしれないという判断になります。少なくとも、医師はそのように診断しているということまでは言えるわけです。

 そのような疾患の中で、治るものであればあまり問題にはなりませんが、遺伝性疾患の場合には問題が起こります。遺伝性疾患というものは、かなりあります。また、これまで遺伝性疾患とは考えられていなかった普通の病気でも、遺伝因子が大きな役割を持っているということが分かってきているものが、かなり多くあります。

 風邪に罹るということ自体も、原因はインフルエンザウィルスだったりするわけですが、ウィルスが体内に入っても発病しない人がいます。また現在では、ガンやエイズもウィルスで引き起こされるということも分かってきていますが、やはり体内にウィルスが入ってきても全く発病しない人がいます。

 それはなぜでしょうか。研究が進んできて、ある特定のウィルスが入ってきても、全く影響のない遺伝子を持っている人と、そのような遺伝子を持っていない人がいるということがだんだん分かってきたからです。ごく普通の病気だと思われているものも、実は遺伝子構造が分かると、「この人はこういう病気になりそうだ」ということが、あらかじめ大体分かってしまいます。たとえば、仮に1万種類の病気があるとして、そのうち50歳までに9900種類までは必ず罹りそうだという遺伝子の組み合わせを持っている人がいると仮定すると、その人は間違いなく50歳までは生きないだろうということが、大体推察できるわけです。

 逆に、この遺伝子の組み合わせであれば、50歳までの間に1万種類のうち200種類の病気にしかならないだろうし、その病気の中には致命的なものは1つも含まれていないということが分かったら、その人は優良顧客ですね。その人には少なくとも病気については、生命保険金を払わなくてもいいでしょう。その人には、どんどん商品を売り込んできます。それに対して、50歳までに1万種類のうち9900種類に必ず罹るという可能性のある遺伝子の組み合わせを持っている人に対しては、絶対に、顧客から排除するように考えるに違いありません。

 現実にアメリカの例ですと、そういうことが問題になって、訴訟もずいぶん起きています。これは差別です。差別なのですが、そこから先が非常に難しいのです。つまり、その人は遺伝子の特性から、ある病気に必ず罹ることが科学的に証明されていて、あと何年か経ったら必ず死ぬということが証明されているのに、保険会社は契約の締結を強制されるのかという、法律論としての問題があります。これが、自分の意志ではなく遺伝子の問題だから、特に難しいのです。明日自殺すると心に決めている人が生命保険契約を締結したら、生命保険会社に対しては詐欺を働くようなものです。翌日自殺した人が悪いやつだと思われるのは、自分の意志でそうしているからです。しかし数日後、あるいは数年後、必ず死ぬということが決まっているという意味では、どちらも同じですので、この問題は大変難しいのです。

 アメリカではデータが既に蓄積しているために、現実にそういう問題が起きています。では、データを集めることを許さない、あるいは生命保険会社がデータを集めることは構わないが、生命保険契約の審査のために使ってはいけないというルールがあるとすれば、どうでしょうか。生命保険会社は、この人の遺伝子を見れば1年後に死ぬことが分かっていても、それを理由に拒絶することはできなくなります。

 この問題を考えるときに大事なことは、ネットワーク環境では、実際にはデータが収集されることを阻止する方法はないということです。私はクレジットカードを使っていますから、クレジット会社のサーバの中には多分、私の個人情報がかなり蓄積されていると思います。どこで何を買ったとか、どこに旅行してどこのレストランで何を食べたかなどの、いろいろな情報が入っているでしょう。

 これからデータを取り始めようとする社会では、こういうものを取ってはいけないという入口規制が可能です。日本の場合は、入口規制でやれる問題がたくさんあると思います。

 しかし、データが既に広範に取られてしまっている社会では、入口規制をどんなに厳重にやっても無駄です。取られてしまっているから、全く意味がありません。将来の新たなデータについては意味があるのですが、現に生きている我々については、ほとんど意味がありません。

 しかしながら、一旦取られてしまった情報が、差別にあたる使い方をされないための方法はあります。出口とか真ん中の処理のところで、こういう使い方をしてはいけないとか、こういう出し方をしてはいけないというような仕組みを、社会的に決めていけば良いわけです。

 これは、いろいろなところで議論されてきたことの一つです。

4 個人データ保護のための基本原則

(1) OECDの8原則

 OECDの8原則[2]は、最も有名な個人データ保護のための原則です。その内容は、次のとおりです。

     収集制限の原則(Collection Limitation Principle)

     データの質の原則(Data Quality Principle)

     目的明確化の原則(Purpose Specification Principle)

     利用制限の原則(Use Limitation Principle)

     安全保護の原則(Security Safeguards Principle)

     公開の原則(Openness Principle)

     個人参加の原則(Individual participation Principle)

     責任の原則(Accountability Principle)」

 その基本的な考え方は、他人の個人データの利用はデータ主体の同意に基づかなければならない、収集された個人データの目的外利用は許されない、誤った個人データは訂正を求めることができる、というものです。

 この原則が考えられた当時は、牧歌的な世界だったと思います。

 佐倉市の個人情報保護条例も、OECDの8原則に基づいて、収集の制限や目的外利用の制限がきちんと書かれた立派な条例だと思います。これはデータが集め始められている社会では大事な原則ですから、条例に則ってやって欲しいと思いますし、やっていくべきだと思います。

 OECDで8原則を議論した頃は、データを集めていたのは世界中でアメリカだけでした。他の国はこれからやろうとする段階だったので、入口のところの議論は一番おもしろかったようです。どうやったら違法な収集をされないようにすることができるのかとか、同意の原則や収集の規則、同意された内容に反する目的外使用の禁止などでコントロールしようとしました。

 しかし、実際に日本でOECDの8原則などが広く知られるようになって、議論が活発になっている現状で考えてみると、日本では既にデータが取られ終わっている状態だと思います。だとすると、もう少し違う角度からの検討も必要ではないかと思います。

 データが取られ終わっている状況を作っている要素は、日本の場合は二つあると思います。一つは、現在でも政府主導でネット・ビジネスの立ち上げを推奨していることです。ネットでビジネスをする以上は、顧客情報をどんどん収集するのは至極当然の考えです。

 もう一つの理由は、不況です。企業の吸収合併によって、各社に散らばっていたデータがどんどん合併されていくわけです。企業が合併されるということは、企業が持っている個人データが合併されていくということを意味します。例えば、銀行が1つ合併すると、金融機関だけでなくいろいろな業種の非常にたくさんのデータベースもすべて統合されることになります。これはかなり大きなことです。

 また、これまで、全く別のジャンルだったデータベースも結合されていきます。例えば、魚屋さんのデータベースと、薬屋さんのデータベースと、八百屋さんのデータベースとが一緒になったらどういうことになるのでしょうか。ある人の生活習慣病が推測できるようなデータベースを作ることができます。病院のデータベースだけだと、生活習慣を確定することはできません。

 しかし、どういうものを食べているかというデータを付けると、この人はどういう症状なのかを、カルテのデータから読み取ることができます。その症状の原因は、こういう偏食をしているからだということを、データから推測することができます。

 そうすると、この人は将来、こういう生活習慣病になるということが推測できるようになります。異業種間の合併がどんどん進んでいくと、そのようなデータベースも自動的にできてしまうでしょう。

 ですから、この不況によって、そのようなデータの収集は一挙に進んだと思っています。現在、銀行はさらにメガバンクのようなものに吸収統合されていくと思います。銀行以外の金融機関も、同様に統合されていくだろうと考えられます。

 そうなると、昔の牧歌的な時代でしたら例えば、銀行が消費者金融のブラックリストを利用してはいけないなどという議論も成立したのですが、現在は違います。ノンバンクというものは、大抵は銀行のダミーが子会社だったりするものなので、銀行同士が合併するとデータ全部が合体してしまうのです。ですから、データの収集がいいとか悪いとかという議論は、すべて意味がなくなってしまうということです。

 不況というものの影響は、ものすごく大きいのです。小泉首相は「痛みを伴う改革」だと言いますが、個人データ保護の観点からすると、既にかなり大きな痛みは発生しているのかなと思います。弱いところはつぶれて、強いところだけが生き残り、大きいところが小さなところを吸収していく。そうすると、それは企業が合併するだけではなく、顧客の持っている情報が巨大なデータベースの中に統合されていくプロセスだということをご理解いただきたいと思います。

 さて、アメリカ並みに巨大なデータベースができてしまうと、OECDの8原則の中で、どういうところがこれから大きな基準になるのでしょうか。先ほども説明しましたが、かつては収集制限の原則とか、目的の明確化、利用の制限など、相手の同意がなければ集めてはいけない、収集した以上は告げられた目的以外には使ってはいけない等のことが基本でした。しかし、企業の吸収合併や自治体の合併によっても、同じ問題が起きると思います。その結果、目的外利用の禁止に反しないで、目的外利用をすることが自動的に発生します。

 さて、仮にAとBの2つの会社があったとします。A社はデータを魚の販売目的にだけ、B社はデータを文房具の販売という目的だけで使うと約束して、収集したとします。ところが2つの会社が合併して1つの企業になると、どうなるでしょう。元々A社は魚、B社は文房具のことしか約束していなかったのに、結合した後の会社は、同一のデータベースの中に両方のデータが同居することになるわけです。データの収集時には何も約束していなくても、法人の属性を引き継いでいるから、自動的にデータを使用できることになってしまいます。そういうことをしていいのか悪いのかという法律は、現在のところありません。また、憲法学者もそういう問題については考えていません。ですから、この問題は何も法的な基準がないままに、事実上進んでしまっているということです。

 このような問題が日本で起きたのは、不況が一番大きな原因だったわけですが、アメリカの場合には吸収合併はもっと盛んですから、とっくの昔に起きていました。アメリカの場合、アメリカの中の企業買収が盛んな地域と限定してもいいですが、何が目的で吸収するかといいますと、良質な労働者がほしいとか、優秀な管理職がほしいとか、そういうことではなくて、基本的には顧客情報をデータベースごと取ってしまうためです。資産の中でも情報というものの資産価値は非常に高くて、そういう形で吸収して大きくなっている企業は、いくらでもあります。

 日本よりも活発に、任意に会社の売り買いが盛んに行われているので、不況であろうとなかろうと関係なしに、会社のオーナーとしては自分の会社の資産を売ってしまえばいいわけです。一旦現金に換えて、もっと良さそうな会社をそのお金で買えばいいわけですから、売り買いはよくなされます。買った会社は、元のデータベースと買われた会社のデータベースを結合して、より大きくなります。そういうことが無限にどんどん繰り返されると、最終的にはいくつかの巨大なデータベースができるということに、当然なっていきます。

 そうすると、多分、利用制限の原則のところを修正するような、新しい考え方が必要になってくると思います。つまり、任意に、あるいは否が応でも、会社はデータの合併をしてはならないという法的ルールとして定めておかなくてはならないわけです。そういうことは、誰も議論していません。確かに、巨大な企業合併による独占禁止法違反の問題は、いつでも議論されてきました。しかし、データの合併については何も議論されていないのです。仮にデータの合併を禁止するような議論が正当だとすると、大変なことになると思います。大きな問題が起きるから、学者も怖がって議論をしないのです。

 なぜかというと、顧客情報は財産だと思って買収するのに、買収した途端に破棄しなければならないとしたら、資産価値はゼロです。そうすると、買収する意味がなくなります。ですから、自由経済社会ではそういう議論はなかなか起きませんが、多分、問題の本質はそこにあるだろうと思います。合併してもデータを使うことができなければ、企業買収の場合と同じような障害になるだろうと思います。

(2) 基本的な考え方

 さらに問題なのは、個人参加の原則です。収集された個人データの目的外利用は許されない、誤った個人データは訂正を求めることができる、となっています。しかし、自分が取引している会社が取引している会社だと分かっている場合は、間違っていたら訂正しなさいと言えるわけです。

 企業というものは物体ではなくて、一つのメカニズムです。企業の建物はどこにあってもいいわけですから、良い建物があればそちらに移っていくし、より良い人材がいれば、これまでいた人を解雇して、いい人材を雇うのは、企業経営者の立場としては当然のことです。企業は、建物や従業員のためだけに存在しているのではなく、利益を求めるために存在しているという側面を否定することはできません。利益なしには、そもそも企業それ自体が存立し得なくなってしまいます。

 これまで、自分が情報を預けた会社はこの会社だと思っていた。それなのに、吸収合併が繰り返される、事業の一部移転や営業の譲渡、あるいは不採算部門を別会社に売る一部譲渡などが行われることによって、情報が別の会社に渡ってしまっている、ということが起こります。この場合、自分が自分の情報を確認したい、あるいは間違えていたら訂正したいと思っても、その相手方の所在がいつの間にか分からなくなってしまうでしょう。

 しかも、営業譲渡があった場合、買い取った会社が閲覧請求権や訂正請求権を債務として引き受けるかどうかという議論は、今のところは商法学者も憲法学者もしていません。この問題は、あいまいにされたままです。どうしてあいまいにされているかというと、閲覧請求権や訂正請求権を引き受けるのだということが明らかになってくると、それはマイナスの資産になるからです。つまり、買収される会社の資産評価において、マイナス要素になりますから、うまくないわけです。ですから、あいまいにしておきたいのではないかと、私は推測しています。

 仮に、情報主体からの請求権を会社が債務として引き受けて引っ張ってくるとしたら、顧客情報というものはあまりおいしい財産ではないかもしれません。

 なぜかというと、情報の開示の請求を受けたり、訂正の請求を受けたりすると、そのやり取りするために要する人件費はかなり大きな固定費になるからです。そういう情報を引き受けたというだけで、相当大きな固定費を負担しなければいけないということが当然出てくるので、ものすごく大きな負の要素になります。

 その辺がこの問題の本質ですけれども、今のところ、あまり議論されていないのは残念です。この残念な状況の中で、実際には情報収集が進んでしまっています。最後に残された手段は多分、裁判しかないと思っております。つまり、収集され、実際には目的外利用されてしまっていて、その結果が現実社会に反映されているのを救済するのは、裁判所しかありません。

 実質的に目的外となるような利用をされた、差別的な取り扱いや不当な取り扱いをされた、あるいは非常にひどいことが起きた、そういう場合にはどうやったら救済されるのでしょうか。そういう不当な取り扱いやひどい取り扱いを、違法な取り扱い、あるいは無効な取り扱いであると裁判所が判断していくしかないと思います。裁判所では、違法、無効の判断をできますから。

 私が裁判官にお願いしたいことは、現在のネットワーク社会はこのような大きな問題を抱えているということを、きちんと勉強していただきたいということです。きちんと勉強した上で、この個人データ保護のための8原則に実質的に反するようなことが、普通の企業活動の中で結果として起きてしまった場合には、そういうことを意図してその企業活動をしたわけでなくとも、無効として扱うのか、違法として扱うのかということを、判断してもらわなくては困るということです。

 現在の裁判所では、ネットの関係の案件と言える裁判例は少ししかありません。実際には、離婚の事件だとか土地の境界争いの事件だとか、代金回収ができなくて困っているという事件などが山ほどあります。そのような状況の中で、残念ながら、裁判官は、ネットワークの問題ばかり勉強しているわけにはいきません。でも、しっかりと勉強してほしい。

 こういう機会に私が言いたいのは、世界中の人に、問題の本質はどこにあるのかということを、理解していただきたいということです。

 もし、本当に深刻な問題だと考えるならば、次に条例を改正するときに、そういう要素を少しでも入れていただければいいでしょう。また、市民向けの企画なども行っていただいて、市民レベルでいろいろなことを考えていただくきっかけとなればいいなと思います。

5 個人データのための方法

(1) 法令による保護

 今までのところが、私が今日の時点で考えているネットワークの中での個人情報保護の一番大きな問題です。このような問題を解決するための方法というのは、いくつかあるわけですけれども、大きく三つのジャンルに分けることができると思います。

 一つは法令による方法で、根本的なルールを適用することです。二つ目は、自主管理による方法です。三つ目は技術的な方法です。後になって裁判でやるのではなく、技術でブロックしていくやり方です。もちろん、それらを組み合わせた中間的な方法もあるので、項目とすれば四つあるように見えますが、実際には要素としては三つです。三つの要素を組み合わせたものが、四つ目にあるということです。

 こういう方法は、法律だけを考えると現在、行政機関における個人情報保護法の問題が議論されています。民間における個人情報保護法案については、その行方が不透明になっています。行政機関における個人情報保護法の見直し問題の議論では、対応が甘すぎると思います。実際、佐倉市の条例と比較してみても、国の個人情報保護法は甘いと思います。自治体の持っている条例の中には、非常に良いものがたくさんあると思いますし、難しい問題についてはむしろ、自治体の条例の方が進んでいるのではないかと思います。

 どういう条例を作るのかというと、作り方にもよるのですが、やはり法的な方法でやるという意味では、民間レベルでの個人データの保護の問題は、法律レベルでも条例レベルでも日本は非常に遅れているというか、野放しではないかと思います。

 近隣の国の状況を見ますと、韓国は昨年の夏に、新しく「情報利用促進法」という法律を作りました[3]。情報利用促進法とは、道路交通法のようなものだと御理解いただきたいと思います。つまり、ネットワークを使うということをどんどん促進しましょう、でもこういうことをやってはいけません、ということを定めたものです。

 この韓国の法律で最初に挙げられているのは、個人情報の保護です。日本で個人情報保護法について議論されていたことが、きっちりと条文に書いてあります。個人情報を違法に使った者は処罰するという、処罰規定もあります。日本での議論が非常に難しいのは、OECDの8原則を条文の形で書いたようなものが多くて、罰則をきちんと説明するのに骨が折れるからです。

 しかし私は、最も単純な決め方というものがあるのではないかと思っています。「個人情報を違法に入手し、使用したものは、懲役10年に処す」というように、1箇所だけ明確な罰則を入れればいいという考えです。違法に入手するとか利用するということがどういうことなのかという基準の設定は、解釈と裁判所の判断に任せたらいいだろうと思います。

 その解釈を補充するものとして、各自治体の条例で「こういう場合は違法になる」という違法行為のリストを定めるというやり方の方が、ずっと分かりやすいのではないかと思っています。

 個人データの保護については、韓国の法律はオムニバス方式で、ネット関係のものは一本に混ざっている法律です。例えば、不正アクセスをした場合は処罰するという条項の固まりとか、コンピュータウイルスをネットワークに入れたら処罰するという条項、これは日本では法律はありませんが、韓国ではもう入っています。それから、迷惑メールをばらまいたら処罰する。これもまだ日本では法律は作られていません[4]。つまり日本は、韓国と比べるとかなり遅れた状況になっています。

 中国については、国家体制が違うので一概には言えません。ただ、参考になる部分はあります。不正アクセスだとか、コンピュータウイルスを使うことについて、数年前に作った刑法の中に処罰規定を入れています。中国はWTOに加盟する関係もあって、現在、法典の整備を進めています。ものすごくたくさんの法律を作っています。膨大な刑法を作っていたりするのですが、その中にそういうものが入っています。

 では、個人データの保護はどうなっているのかというと、国家体制が違うので何とも言えません。そもそも、インターネットはどこが管理しているのかというと、公安部というところが一括管理することになっていて、日本とは違うので参考になりません。

 東南アジアの状況はどうかと言いますと、タイ、シンガポール、マレーシア、ブルネイなどは、韓国と同じように進んだ、参考になる法律を持っています。それに対して国民がインターネットを使ってはいけないということを、法律ではなくて、大統領令のような布告でネットワークを規制している国も、まだたくさんあります。

 法令による保護というものは、すっきりとした分かりやすい形で決めてしまわなければ、うまくないのではないかという感想は持っています。しかし、法令による保護は、最終的には一番強いのです。人間にとって処罰されることは一番怖いことだし、刑務所に入れられることは嫌なことだからです。処罰というのは、最後の方法かもしれませんが、効果的ではあります。しかし、実際には、できるだけ使われない方がいいと思います。

 刑罰法令が増えている国というのは、あまり良くない状態にある国といえます。しかし逆に、刑罰法令というあまり使ってはいけないものまで使うということは、それぐらい個人情報を大事にしているという国家の姿勢を示していることになるだろうと思います。そういうものを使わないということは、大事にしないという国家の姿勢を示していると諸外国から見られても、何も文句を言えないというのが、今の日本の状況だと思います。

(2) 自主管理による保護

 次に、自主管理による保護について話します。これは、それぞれの事業者や団体などで、自主的にルールを定めることです。ガイドラインとか、プライバシーポリシーとかを定めるための基準は、JISでもISOでもありますが、今はJISの基準に適合しているかどうかを審査しています[5]。適合していると判断されると、プライバシーマークを付与するという制度も既にできています。これは、事業者とか団体とか、組織があるところの問題です。組織があるところで、かつ組織以外のお客さんや利用者の情報が集まってくるから、嫌でも自主管理による保護をせざるを得ない。また、そうしてもらわなければ逆に困るわけです。

 残る問題もありまして、これはあまり議論されていない問題です。つまり、これまでいろいろなプライバシーの議論をするときには、住民のデータとか顧客のデータとか、自分以外の人のデータがたくさん集まっているからどうするのですか、という議論をしてきました。

 しかし個人は、自分のところに自分のデータがあるわけです。他に渡していないデータがあり、日々新しいプライバシーデータが発生しているわけです。当たり前のことですが、自分のことは自分で守るしかないのです。ここがすごく大事なところです。

 自立した人間を育てるとか、自立社会を作るというスローガンは掲げられていますが、これは難しいことではなく、当たり前のことを自分できちんとしましょうということです。日本の教育やいろいろな仕組みの中では、この辺がおろそかにされている部分ではないかなと思います。確かに、個人が持っている個人のプライバシーは、個人単位ですから分量としては小さいものです。

 しかし、個人が持っている情報が収集されて、データベースになっていることを考えれば、個人個人が自分の情報の何を出して何を出さないかを自分できちんと決めれば、収集が困難になるという効果もあります。収集される対象の方が、全員きちんと管理していれば、収集したくてもなかなか収集できないということが起きるわけです。

 収集する人が悪いと怒る攻め方もあるし、そのような説明もしてきましたが、そもそも出さないという自己防衛も、非常に大きな手段としてあり得るのではないかと考えています。自己防衛は、自分にしかできないことです。自分でやりなさいということです。

 そうすると、自治体としては何をしたらいいかというと、自分でしなさいということが大原則であるということをはっきりさせる必要があります。その上で、自分でやりなさいと言っても、現実には自分でどうやっていいのか分からないが、教えてもらえればできるというレベルの人もいるでしょう。その次に、教えてもらってもできないというレベルの人もいると思います。それぞれ、いろいろなレベルで、現状ではできないという何種類かの人が、かなりたくさんいるはずです。そういう人たちに、なぜ現状ではできないのかという理由や原因に応じて、きめ細やかに支援するサービスを提供するのが、自治体の仕事ではないかと思います。

 例えば、病気で長く入院していて体が弱っている人に、退院したのだから1キロ走りなさい、体を鍛えなさいと言っても、それは無茶なことです。それと同じような話です。今その人は何ができて、これまで何ができてきて、これから何ができそうかという、その人たちの特性に合わせて必要なアドバイスをする。最小限の自分でやるべきことをやれる状態に持っていく手助けするのは、情報関係では自治体のやるべき仕事だと思います。

 そのようなことがクリアされているという大前提のことですが、サポートがあるという前提で、自己情報をきちんと自分で管理する。そういうふうに自分で管理できていれば、自己責任であると言えるだろうと思います。

 いろいろな本を読んでいて、自分のことは自分でやりなさいと書いてあるものはたくさんあります。書いている著者は強い方で、自分できちんとやってこられたのだと思いますが、むごい書き方だなと感じる時もあります。「あなたは、この本のように強く生きてこられたかもしれないが、自分にはできない」と思うこともあります。人間は、強い人間ばかりではないし、弱い部分を誰でも持っています。人間社会は、お互いの弱い所を補い合えるからこそ社会が成り立っているわけで、これだけ大きな社会になっている場合は、組織的に対処するということが必要です。その組織はどこかというと、やはり住民と直結している自治体になると思います。

(3) 技術的な方法

 次に技術的な方法ですが、暗号や電子書面の利用という問題があります。私自身は仕事の関係もありますし、弁護士の仕事もしていますから、顧問会社との関係でも、秘密を要するものについては、全部、暗号を使って通信しています。いずれにしても、仕組みはいろいろあります。ただ、これもさっきの管理のことと同じで、そういう仕組みは存在していても、現実にそれが使えるかどうかは別問題です。

 今では、車の性能がすごく良くなっていますから、リミッターはありますが、日本車だったら時速200キロくらいは簡単に出ます。だからといって実際に200キロで走れと言われても、その速度を経験したことのない人が突然運転したら、びっくりして事故を起こしてしまうかもしれません。やれるような環境や道具があることと、実際にやれるということは違います。

 ですから、暗号とか電子署名があるといっても、実際に使えるかというと、そう簡単にできるわけではありません。そうすると自治体はやはり、市民講座などで自分のセキュリティーを守る方法などを取り上げ、技術も含めた情報を提供するなどのサービスを考えなければいけないと思います。パソコン上級編のような講座に組み入れてもいいでしょう。他の中間的な様々な方法を考えることもできるでしょう。  

6 今後の展望−21世紀は「和解の世紀」

 今後の展望ですが、個人データの保護と他の利益との衝突というのが一番大きな問題になってくるでしょう。だからこそ私は、去年あたりから21世紀は「和解の世紀」でなければならないと言っています。その理由は、文化的な衝突などもネット上では起き得るものだからです。いろいろな意味で異なるものが一挙に1本の道路の中に入ってくるわけですから、現実社会だったら出会うことがないものが、ネット上では入ってくる可能性があります。そこで、衝突も起こるわけです。

 ブロードバンドになると、もっともっと入ってこられるわけです。そのため、これまで出会うはずのないものに出会って、出合った途端に、これまで自分が正しいと信じていた価値観とは矛盾するものだということに気づいて狼狽する、というような状況がどんどん増えていきます。ブロードバンドになるということは、快適な部分が大きくなるかといえば実はそうではなくて、衝突が増えるということを意味します。ネット上の紛争は増えるでしょう。

 だからこそ、和解の世紀だと言いたいわけです。では、個人データとの関係ではどういう衝突が起きそうかと考えてみますと、やはり商業的利益との衝突ということになるでしょう。私の考えによると、商売というものは、顧客のプライバシーを踏みにじらなければ、そもそも成り立たないのかもしれません。

 昔のように流通がそれほどしっかりしていないときには、行商のおばさんに頼まないと、商品を購入できないということがあったかもしれません。そのために、行商のおばさんは客のプライバシーをたくさん知っています。客は彼女を信頼してプライバシーを預けます。しかし、彼女は信頼を担保にしなければ次から買ってもらえなくなるから、その信頼を裏切るわけにはいきません。そういう信頼関係の中で成り立っているところでは、その人が信頼関係を破ったら商売が成り立たないという制裁があるから、やっていられるのです。

 しかし、現代社会での商業というものは、ものすごく規模が大きくて、ネットの場合は対面ではないから関係ないわけです。そういうところでは、信頼関係を踏みにじってもいいという感じになりそうだし、特に多国籍企業だとそのようになるかもしれません。しかも、まずくなったら会社を売ってしまえば済むわけです。別に自分は顧客と一生付き合う気など全くなくて、売ってお金に換えた方がいいと思う人はたくさんいるわけです。もしかしたら、多くの商売はこうなのではないかと思います。しかし、これを許していいのでしょうか。そもそも商売とは何かという基本的な部分を考え直さないと、自由主義経済それ自体が崩壊する原因を、自由主義経済自身が作ってしまうかもしれないという問題が出てくるかもしれません。

 では、政府行政部門ではどうでしょう。これまであまり意識されているかどうか分かりませんが、実は政府行政部門は個人情報のコレクターだということに留意すべきでしょう。特に、住民基本台帳ネットワークシステム(住基ネット)が全国で結合されるとどうなるかというと、企業が合併してデータベースが大きくなるということと全く同じことが起きてしまうのです。多分、政府行政部門は日本で最大の個人情報のコレクターということになると予想しています。

 しかし、それは必要があってしていることです。必要があってしているということと、結果的に最大のコレクターになってしまうということの矛盾をどう解決するかということを、法律論あるいは制度論として考えていかなければいけません。

 昨年、世界の120くらいの国や州の関連の法律を全部調査しました。その結果、比較法的に検討してみて分かったことは、結構多くの国で公務員に対する処罰を重くしているということです。ネットワークの利用がこれから始まりそうな国では、特にそうです。民間利用がまだちょっと立ち遅れていて、国や自治体が持っているデータベースの方が明らかに大きいという国では、国や自治体が個人情報のコレクターなわけです。

 それらの国でも、これから民間企業が個人情報の利用をどんどん進めていくと、あいまいになってくるかもしれません。しかし、そういう国では公務員が不正にデータを入手して、不正に利用した場合、あるいは権限がないのに住民データにアクセスしたり、その他税金のデータにアクセスしたりということをしたら、非常に重く処罰するというような法律を持っている国が目立つのです。

 日本の場合は、罰則が適用されるのは、国家公務員法や地方公務員法などの守秘義務違反だけです。国家公務員法や地方公務員法の中に、データベースに無制限でアクセスした場合には、特別に重く処罰して、罰金刑でなしに必ず懲役刑になるという法律は、今まで見たことがありません。

 それから、外国の立法例の中には、資格はくだつ法というものがあって、もし違反行為があると、公務員になることを向こう10年間禁止したりしています。ですから、仮に、執行猶予になったとしても、資格はくだつ刑だけが残ってしまうわけです。また、執行猶予で刑務所に入らなくても済んだ場合でも、退職しなければならなくて、もう公務員にはなれないということになります。それくらい厳しくしている国も結構あります。

 こういう場所でこういう話をすると、嫌な感じをお持ちになるかもしれませんが、職員でも悪いことをする人はいます。でもそれは、公務員だから悪いことをするというのではなくて、どんな社会でも必ず、悪い人は何パーセントかいるので、それは避けられないことなのです。一般的に言って、日本の公務員は世界の公務員の中でも非常に質が高いと思います。そのようなプライドを持ってやっている限りは、罰則が適用されることはそもそもあり得ないわけですから、いくら罰則が重くても少しも怖くないでしょう。

 しかし、必ず、その中の何パーセントかには将来、悪い人が出てくるわけです。出てきたら、本当に処罰すればいいわけです。逆に厳しく処罰すれば、役所は住民に謝った上で、この人はこれだけの期間、刑務所から出てこられませんと説明すればいいわけですから、その方がいいのだろうと思っています。

 それからもう一つ、重大な問題が出てきています。犯罪捜査とかテロ対策の問題で、国家機関は国民が通信している情報やデータを、自由に傍受できた方が良いのではないかという議論です。特にアメリカでは傍受賛成論が非常に強くなってしまって、そのような法律も通ってしまいました。

 では、日本ではどうでしょうか。私が去年からリサーチしているサイバー犯罪条約[6]というものが欧州協議会から提案されて、日本もこの条約に署名しました。この条約を履行するためには、日本でもサイバー犯罪条約に基づいた国内法の整備をし、通信傍受ができる場合を少し増やさなければいけません。この問題について、法務省の見解によると、現在の通信傍受令状の運用の仕方を変えればできるという言い方をしていますが、私はちょっと疑問です。ネット犯罪というのは、確かにすごく大きな影響があるわけですが、捕まえなければいけないという要求と、プライバシーの侵害ということを、どう調和するかという大きな問題があります。

 調和させても結局、捜査機関が個人データをどんどん取っていくことは事実です。ますますもって、政府行政部門が個人データの最大のコレクターになっている時代だなと思っています。

 民間部門では、日本でも独占禁止法があって、不当な方法で独占してはいけないし、不当な方法でなくても独占した場合には、いろいろな制限があります。これはすごく日本的な発想なのですが、私は、一人勝ちするのは良くないという考え方を持っています。アングロサクソン風に「勝った方が勝ち」という考え方はもう止めようと、日本が世界に向けて言っていくしかないのではないか。「勝ったのだから勝ってどこが悪いのだ」と言わせない。「そこそこのところで満足しなさい」と言いたい。私は、最近、このように思っています。

 朱子学みたいな話になってしまいますが、そうしないと、結局、無限に勝ち続けるためには無限に個人データを取って、徹底的にコントロールすることしかできなくなってくるのです。そうなると無限に問題が発生し続けるし、いつまでも解決できないので、どんな企業でも圧倒的な優位に立ってはいけないというルールを世界的に決めていかなくてはいけないと思います。

 そうは言っても、現実問題としてはいろいろな調和を求める努力が必要ですし、日々のオペレーションの中でやっていかなければいけない問題です。

 今日の話をいろいろな立場から参考にしていただいて、将来、どういうところが大きな問題になっていきそうかということをイメージしながら、考える参考にしていただけるとありがたいと思います。

 ご清聴ありがとうございました。

 

[脚注]

1 http://www.hotwired.co.jp/news/news/20020607301.html

2 http://www.isc.meiji.ac.jp/~sumwel_h/doc/intnl/index.htm

3 http://www.isc.meiji.ac.jp/~sumwel_h/doc/code/act-2001-Korea.htm

4 本稿のもとになった講演の後にめいわくメールを禁止する法律が制定された。

5 http://privacymark.jp/

6 http://www.isc.meiji.ac.jp/~sumwel_h/doc/intnl/cybercrime-conv-final.htm

Copyright (C) 2002 Takato NATSUI, All rights reserved.

Published on the Web : Aug/05/2002