はじめに

　私立大学研究ブランディング事業「アジア太平洋地域における法秩序多様性の把握と法の支配確立へ向けたコンバージェンスの研究」では、これまで５回に渡って、法文化、国際取引（契約）、紛争解決等といったテーマについて活動を報告してきた。本年度の最終回となる今回は、データプライバシー領域の課題について、若干の研究成果を記しておきたい。

プライバシー保護と個人情報保護の狭間に

　上に「データプライバシー」という表現をしたが、実は、この表現自体が問題を内包している。

　誤解をおそれずに結論の一部を先に述べれば、プライバシー保護と個人情報保護は、実は別のもの（あるいは似て非なるもの）であり、これらを繋ぐコンセプトとして、データプライバシーを発展させることができるかが問われており、それを解明するのがこのプロジェクトの役割の一つなのである。

　そもそも、「プライバシー」を権利あるいは法益として保護すべきという考え方は、１９世紀後半のアメリカ合衆国で生まれたものである。当時のアメリカでは、都市化や工業化が急速に進んでいたが、それに併せて、ゴシップ記事を掲載する大衆向けの新聞が登場したのであった。そこで問題となったのは、これらゴシップ新聞記事に対して、当時の伝統的な法システムが有効な対応策を提示できないということである。つまり、都市化やマスメディアの登場を前提としてこなかった当時の素朴な法制度、典型的には名誉毀損法は、私人の私生活を暴くというビジネスを想定していなかったのある。そこで、こうした社会変動に対する新たな保護法益としてプライバシーを認め、「一人でそっとしておいてもらう権利（right to be let alone）」が認められるべきとの主張が登場し、それが２０世紀初頭にかけて承認されるようになったのである。

　日本では、第二次世界大戦が終わるまで、こうした個人主義的な権利は理解を得られなかったが、１９６４年のいわゆる『宴のあと』事件東京地方裁判所判決が、この考え方を認め、日本におけるプライバシー権発展に途が開かれることとなった。

　ところが、１９７０年代以降になると、社会の複雑化とコンピュータ技術の発展に伴い、個人に関する情報の価値が飛躍的に増大し、そこから、マスメディアによる私生活の暴露とは別のタイプのプライバシー侵害が懸念されるようになった。たとえば、ある個人の過去の行状についての情報が、本人も知らないうちに収集され、コンピュータ・データベースに格納されて、就職活動に際して企業側に密かに利用されるといった事態である。

　こうした新たな侵害のリスクについて、一つの考え方は、従来のプライバシー権の拡張としてこれを保護すべきというものである。「自己情報コントロール権としてのプライバシー権」という考え方は、まさしくその典型的なものである。要するに、従来のプライバシー権侵害も、実は個人情報を収集し、保存し、加工し、利用するというプロセスの中で、とりわけマスメディアによる暴露という利用方法に焦点をあてて議論してきたに過ぎないのであって、そもそも、個人は自己に関する情報をどのように利用するかを決定する権利を有するのであるから、収集段階から、あるいはマスメディア以外の主体による侵害であっても、プライバシー侵害として考えればよいというアプローチである。

　しかしながら、この考え方には、重大な問題がある。そもそも、従来のプライバシー権の議論においては、マスメディアによる表現の自由（及び、その背後にある国民の知る権利）とプライバシー保護の調整が問題となる。そこで、上記『宴のあと』事件判決も、「一般人の感受性を基準として、当事者の立場に 立った場合、公開を欲しないであろうと認められるべき事柄」が公開された場合にプライバシー侵害が成立するという基準を示し、これは、今日に至るまで最高裁判所によっても支持されてきているのである。

　ところが、自己情報コントロール権としてのプライバシー権という考え方は、「個人の価値観の多様性」を議論の前提としている。すなわち、高度情報化社会においては、いつ、誰に対して、どのように自己情報を開示して生きるのか自体が、個人の価値選択の問題であり、それを護るのがプライバシー権であるというのである。とすると、そこに「一般人の感受性」という概念が入り込む余地は、極めて小さいことになる。

　ここにおいて、「一人でそっとしておいてもらう権利としてのプライバシー権」と「自己情報コントロール権としてのプライバシー権」は、後者が前者を包摂するという単純な関係にあるのではなく、むしろ、対立的な側面すら有するという、複雑な状況が生じることになるのである。

　そこで、日本を含む多くの国々では、自己情報コントロール権としてのプライバシー権が憲法上、あるいは原理的に認められるべきかという議論を、いわば一旦棚上げにして、できる限り、実定法上の制度として「個人情報保護」を実現するというアプローチを採用することとなった。こうした方向性を指し示したのが、１９８０年に経済協力開発機構（ＯＥＣＤ）が定めた、いわゆる「プライバシー保護と個人情報の国際流通に関するガイドラインに関する理事会勧告」とその付属文書（ＯＥＣＤ８原則）である。ここでは、「プライバシー保護」という言葉が用いられているが、それは、各国に「プライバシー保護」を促しているのではなく、むしろ逆に、各国が好き勝手に「プライバシー保護」を行うと、個人情報の円滑な国際流通が阻害されるから、これを回避するために、世界的に共通性の高い個人情報保護制度を確立すべきであるという文脈を伴っている。日本も２００３年に個人情報保護法を定めたが、同法の目的が「プライバシー保護」とされていないことは、同法がＯＥＣＤ勧告をモデルとしていることをよく示している。

　このようにして、日本を含む多くの国では、プライバシー保護と個人情報保護は、実は別のものであるという制度が構築されるに至ったのである。

プライバシー保護と個人情報保護の再びの出会い

　このようなプライバシー保護と個人情報保護の分離という考え方を典型的に示しているのが、「個人情報」の定義である。たとえば、２００３年制定時の日本の個人情報保護法は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」（２条１項）としていた。要するに、私生活の平穏の侵害といった被害に結びつくかどうかではなく、個人を特定しうるか否かだけを問題としているのである。こうしたアプローチは、本研究対象国・地域にもほぼ共通している。たとえば、香港のPersonal Data (Privacy) Ordinance (Chapter 486)もこうした個人識別可能性を基準とする定義を用いている。

　ところが、近時になって、単なるコンピュータ化ではなく、インターネットを典型とするコンピュータネットワークの拡大により、個人情報の収集、保存、加工及び利用がプライバシーに与えるインパクトの大きさが、改めて問題視されるようになってきているのである。たとえば、過去の自分の写真や動画がネット上に存在し続け、結果として現在の生活を脅かすといった事態や、統一個人識別番号により、本来は結合されるべきでなない複数の個人情報が名寄せ結合され、社会生活上の不利益に繋がるといった懸念である。

　こうしたことから、いくつかの国や地域では、一旦は切り離したプライバシー保護と個人情報保護の２つの制度を、再び連結する試みをはじめている。

　その典型的なものの一つが、２０１６年に採択され、この２０１８年５月２５日から施行されるEU一般データ保護規則（General Data Protection Regulation; GDPR）である。この規則は、その１７条で、データ主体が自分自身に関する個人データの消去を要求する権利を認めているが、これはヨーロッパで判例法上形成されてきた「忘れられる権利」（right to be forgotten）を部分的とはいえ、制定法化したものである。

　また日本でも、２０１７年５月３０日に全面施行された個人情報保護法の大改正において、「要配慮個人情報」という概念を導入した。これは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」（２条３項）であって、これらについては、その取得に際して原則として本人の同意が必要とされ、第三者への提供に際してオプト・アウト方式の採用が禁じられるなど、通常の個人情報よりも慎重な取り扱いが要求されている。

新たな課題

　このようにして、プライバシー保護と個人情報保護が、再び有機的に結合されるとき、そこで問題となるのが、国や地域ごとのプライバシー意識の違いであり、それを背景とする制度設計の違いである。１９８０年のＯＥＣＤ勧告をベースとして、プライバシー保護制度一般と相対的に分離された結果、個人情報保護制度は、実は、法文化の影響が相対的に小さい「国境を越えた技術的共通性」を内包してきたともいえる。

　しかしながら、今や、その基盤が大きく変容しようとしているのである。たとえば、香港の現行法は”sensitive data”についての特別規定を有していないが、EU法の大きな展開を前に、香港の個人情報保護担当機関であるOffice of the Privacy Commissioner for Personal Dataは、EU法の動向に対する強い関心を表明している。実はEU法には、それと同等以上の保護レベルが担保されない国・地域への個人情報移転を制限する仕組みがある。技術的共通性を担保しやすい「個人情報保護」が、国境を越えて、再び「プライバシー保護」と出会うとき、そこに不可欠なのは、他国の法文化に対する敬意であろう。プライバシーの保護範囲がどこまでであるべきか、まさに、法文化の差違把握を出発点とする対話が求められているのである。

佐藤 信行（さとう・のぶゆき）／中央大学法科大学院教授
専門分野　公法、英米カナダ法、情報法

福島県出身。１９６２年生まれ。
１９９２年中央大学大学院法学研究科博士後期課程中途退学。博士（法学）（中央大学、２０００年）。
釧路公立大学専任講師等を経て、２００６年から現職。２０１６年から本共同研究代表者。
編書（いずれも共編著）には、『はじめて出会うカナダ』（２００９年、有斐閣）、『要約憲法判例２０５』（２００７年、学陽書房・編集工房球）、『Information情報教育の基礎知識』（２００３年、ＮＴＴ出版）等がある。