オピニオン

個人情報保護とアカウンタビリティ

小向 太郎(こむかい たろう)/中央大学国際情報学部教授
専門分野 情報法

アカウンタビリティとは何か

 個人情報保護にはアカウンタビリティが必要だ。こういうと、個人情報の取扱いに責任を持てというお説教のように聞こえるかも知れない。「日本人はアカウンタビリティが分かっていない」とか、「アカウンタビリティは単なる責任ではなくて、説明責任のことだ」といわれることがある。しかし、単に「説明責任」といわれても、ただの責任と何が違うのか分からないのではないだろうか。何か問題があった時に責任者が説明を求められるのは、いわば当たり前だからである。
 「アカウンタビリティ」とは、自分の行動や選択が適正であると根拠をあげて説明しなければならないということであり、この説明がきちんとできなければ無事では済まない立場に立たされるということである。
 個人情報保護にアカウンタビリティを求める制度とは、個人情報の利用目的や取扱方法が適正であるという説明を求め、それができなければ違法な取扱いとして利用停止や制裁の対象とするものである。これでも、まだピンとこないと思う。「要するに個人情報保護法を守っていれば良いのだよね」と思ってしまうからだ。法律を守らなければならないのは、当たり前である。しかし、わが国の個人情報保護法は、個人情報取扱事業者に、利用目的や取扱方法が適正だという説明を求めていない。

個人情報保護制度のアカウンタビリティ

 個人情報保護法では、利用できる目的をできる限り特定し(第15条)、目的を公表等することと(第18条)その目的の範囲で利用すること(第16条)が求められている。事後的に利用目的を変更する場合や、個人データの第三者提供を行う場合には、原則として本人から同意を得なければならない。しかし、個人情報を収集した事業者がその事業者内で利用する場合には、事業者が正当な利用目的であることを説明する必要はない。例えば、本人が望まない情報が収集・利用されても法律上はほとんど問題とされないし、2020年に法改正がされるまでは、不正取得等の一部の法違反の場合を除いて本人が利用の停止を求めることもできなかった。
 厳格で先進的な個人情報保護制度を持つことで知られるEU(欧州連合)と比較してみよう。2016年に採択されたGDPR(一般データ保護規則)では、個人情報を取扱う際のアカウンタビリティが基本原則の一つになっている。そして、正当化根拠が示されていない個人情報の取扱いは違法である。個人情報を取扱うためには、その利用が正当なものであることを事業者が根拠を挙げて明示しなければならない(第6条)。適法とされるためには、(a)本人の同意、(b)契約等の履行のための必要性、(c)法的義務、(d)生命に関する利益、(e)公共の利益・公的権限の遂行、(f)適法な利益、のいずれかの適法化根拠が必要になる。

本人の同意を取ればよいのか?

 上記のような適法化根拠の説明をすると、「要するに本人から同意を取ればよいのね」と反応する人が多い。確かに、本人が同意をしていれば、個人情報を取扱うことが正当化される。
 しかし、GDPRにおける同意は、十分な説明を受けた本人が、自由な意思に基づいて、明確に示したものでなければならない。そして本人は、いつでも同意を撤回できる。例えば、雇用主が従業員に同意を求めると、従業員はこれを拒否することに抵抗を感じることが予想される。そのため、雇用主は、基本的に従業員の同意を根拠とすることはできないと考えられている。
 日本では、本人の同意が比較的緩やかに考えられている。例えば、就職支援サイトによる「いわゆる内定辞退率レイティングを提供するサービス」が問題になった際に、利用企業等への情報提供等について学生の同意を取っていたと説明されたことがある。「採用活動補助のための利用企業等への情報提供」をするという規約に同意していたということのようだ。さすがに個人情報保護委員会も「第三者提供に係る説明が明確であるとは認め難い」と指導している。しかし、GDPRのもとでは、このような同意で利用が正当化されることは、そもそも絶対にありえない。
 本人の同意を得るというのは、一見分かりやすい解決方法である。しかし、個人情報が大量に収集、蓄積、処理され、利用が多様化すると、同意の内容を明確にすることが難しくなる。本人の同意に過度に依存することには問題が多い。

GDPRの「適法な利益」とアカウンタビリティ

 正当化根拠が必要で同意もダメだということになると、個人情報はほとんど利用できないのではないかと心配になるかも知れない。EUでも個人情報の利用が重要であることに変わりはない。そういう意味で重要な正当化根拠として、「(f)適法な利益」がある。他の根拠では正当化できないが、利用の必要性が高い場合に用いられる、いわゆる一般条項である。利用することで得られる「適法な利益」が本人の利益に優越することを条件に、広い範囲で正当化が認められる。
 事業者は、「適法な利益」について本人に知らせることが求められ、「適法な利益」があることについて立証責任を負う。利益の均衡が取れていると考える理由を、本人に知らせるとともに、監督機関が関連の文書を入手できるようにすることが望まれる。本人が異議申立てを行えるようになければならず、本人からの異議がもっともなものであれば、個人情報の利用を停止しなければならない。
 そして「適法な利益」になるかどうかは、さまざまな要素を総合的に勘案して評価される。取扱う個人情報の性質、本人の利益になるかどうか、本人にとって納得できるものかどうか、危険性は高くないのか、安全のための措置が取られているのか、といったことを挙げて、利用が正当であることを主張しなければならない。正当性が争われた場合には、個人情報保護の監督機関が判断を下す。
 こうした踏み込んだ「説明責任」が求められることは、事業者にとって負担ではある。しかし、個人情報の高度利用について、積極的に利害得失をアピールして利用する道をひらく。EUGDPRは、事業者の負担も大きく巨額の制裁金が導入されるなど、相当に厳格な規制である。一部の規制内容については、情報利用の発展を阻害する懸念もある。しかし、安易な本人同意に頼るのではなく、事業者にアカウンタビリティを求めることで適正な利用を実現しようとする姿勢には、学ぶべき点が多い。

AI・ビッグデータ時代の個人情報保護

 スマートフォンに代表される携帯端末の普及は、人々の行動履歴の把握を容易にしている。こうした情報が、ビッグデータ処理やAI技術の発展によって集積処理され、次々と新たな情報が生み出されている。こうした情報の利用は、社会にさまざまなメリットをもたらす可能性がある。その一方で、こうした技術においては、利用者等があまり意識することなく情報を収集されていることも多く、従来とは違ったプライバシーや個人情報に関する懸念も大きくなっている。
 わが国の制度は、個人情報の収集と内部利用については高い自由度を認めてきた。個人情報保護制度の本来の目的は、本人の意思に反する利用を抑制し、弊害や危険の大きな行為類型を制限することで、弊害を予防したり、解消したりすることにある。個人データの第三者提供や利用目的の変更がこうした問題を起こしやすいのは事実である。しかし、大量の情報を集めて個人のプロファイリングを行うことができることを考えれば、内部利用だから問題が少ないともいえなくなっている。
 2015年の個人情報保護法改正では、不当な差別等に結びつきやすい「要配慮個人情報」について収集と利用に本人の同意を求めるようになり、今年(2020年)の法改正で、個人の権利または正当な利益が害されるおそれがある場合にも、利用停止・消去等を請求することができるようになった。これらの改正は、収集と内部利用についても、本人の意思を反映させる制度を導入しようとするものである。しかし、事業者にアカウンタビリティを求める制度の導入は、現在のところ検討されていない。
 個人情報利用の重要性は、今後も拡大していく。できる限り弊害を防ぎながら、有益な利活用を実現していくような環境を、整備する必要がある。そのためには、わが国の個人情報保護制度にも、事業者にアカウンタビリティを求める制度を取り込んでいくべきである。

小向 太郎(こむかい たろう)/中央大学国際情報学部教授
専門分野 情報法

東京都出身。1964年生まれ。1987年早稲田大学政治経済学部卒業。2007年 中央大学大学院法学研究科博士後期課程修了。博士(法学)(中央大学)情報通信総合研究所取締役法制度研究部長、早稲田大学客員准教授、日本大学教授等を経て、2020年より現職。1990年代初めから、情報化の進展によってもたらされる法制度上の問題をテーマとして幅広く研究を行う。

近著に『情報法入門(第5版)デジタル・ネットワークの法律』(NTT出版、2020)、『概説GDPR-世界を揺るがす個人情報保護制度』(共著、NTT出版、2019年)、『基礎から学ぶデジタル・フォレンジック』(共著、日科技連、2019年)などがある。