前週（1）では日本独自の個人情報保護法の課題を国際的な観点から分析いただいた。本稿では、法改正の要点と課題、事業者へのインパクトを伺う。（聞き手:JIPDEC）

個人情報保護法は消費者保護そのものではない

──米国は消費者保護の文脈で規制をしているという話がありましたが、日本では消費者保護の観点からプライバシーの領域にはフォーカスがあたっているのでしょうか？パーソナルデータに関する検討会やこの後の議論によって、消費者保護行政はどう変わって行くのでしょうか。

ひかり総合法律事務所　弁護士
板倉陽一郎氏

板倉　日本の個人情報保護法は、米国の法制度とは異なり、消費者--事業者の関係に限定したものではなく、雇用者--被用者間の関係でも成り立つ法律です。ですから、厳密には消費者保護の文脈で制定された法律とは言い切れません。

現在、個人情報法保護法は消費者庁が所管していますが、もともと内閣府（国民生活局）が所管していたものです。消費者庁は同局を母体としており、消費者庁設立時に、かつて内閣府にあった個人情報保護法上の諮問機関たる審議会も消費者委員会への移行という形で消滅しました。消費者保護とも「関連する」ということで、消費者庁の所管となりましたが、主務大臣制で多くの省庁を跨ぐ法律の性格上、省庁間の調整機能を持つ内閣府に、そのまま所管を残しても良かったともいえます。

個人情報保護と消費者保護はつかず離れずの関係です。米国のFTC法5条は日本でいうとおおむね、景品表示法と独禁法の規定に対応するものですが、「不公正・欺瞞的な行為又は慣行」に対して包括的な執行権があります。FTC法5条の流れを汲んだはずの日本の景品表示法は主に「優良誤認」を取り締まるもので、個人情報保護に用いるのは難しい。米国のように消費者問題とピッタリ合致するものではないのです。

民法（債権法）改正との連動はこれから

──近い関係であるものの、確実にフィットしている訳ではないのですね。これはなかなか難しいです。一方で、民法改正（債権法改正）の動きもありますが、今回のパーソナルデータ関連の法改正とは、何らか関連するのでしょうか。

板倉　債権法改正は非常に大きな話ですが、純粋なプライバシー権侵害は議論の対象になっていません。民法の不法行為法（プライバシー侵害を扱う）は今回の改正対象外です。

ただし、関連するところもあります。約款、利用規約の扱いが変わります。約款は現行法上は民法にも商法にも規定されていないのですが、今回債権法改正に盛り込むという中間とりまとめが出ています。約款は事業者による一方的な変更が可能になっている場合が多くありますが、そのような点についても規律される可能性がありますね。

債権法改正の約款の議論の中で個人情報の取扱いは意識して議論されている状況ではありません。約款規制は消費者契約法の改正の方でも議論がされていますが、こちらについても個人情報を特段取り扱っている様子はありません。

伝統的な約款、銀行や保険、引越などの話が念頭におかれているので、ネット上で野放しになっている利用規約の問題にまでは、届いていない状況なのではないかと思います。

関連するものとしては食材偽装、偽表記の問題がきっかけになり、景品表示法は全く違うルートで課徴金を入れる話が出ています。消費者委員会の中にちょうど専門調査会ができたところです（「景品表示法における不当表示に係る課徴金制度等に関する専門調査会」）。

これは、プライバシー侵害、個人情報保護法違反に対して課徴金、という議論に先行することになります。消費者の権利利益を守るという点では共通しているので、参考に出来るようになっていくのではないでしょうか。

===

──パーソナルデータ法制に話を戻すと、この先の半年で大綱をまとめるというアナウンスが出ていますが、予定通り進むのでしょうか

板倉　順番として美しいのは、民法での約款の扱いが定まり、消費者契約法がまとまり、その上に個人情報保護法制上の民事規定、という展開です。しかしそれぞれ待てない事情もあるので、前後があるのではないでしょうか。

課徴金の話は、これから行うプライバシーコミッショナーの体制整備の論点の中には「分野横断的な統一見解の提示、事前相談、苦情処理、立入検査、行政処分の実施等」が挙げられていますので、行政処分の文脈で、課徴金を入れるかどうかという議論自体はなされるでしょう。

日本の第三者機関のデザイン上の課題

──立入検査など、監査の体制をどうするかは、今回の法改正でやりきれるのでしょうか。

板倉　いわゆるマイナンバー法の第三者機関である、特定個人情報保護委員会を拡張するかたちで、「特定」を取って個人情報保護委員会として執行までやるというかたちになるのだと思っています。

主務大臣制との関係や各省庁との協調体制の構築は課題があります。ひとつは専門性の問題。個人情報もひとつの専門分野になりますが、各事業分野も高度な専門性を有するため、たとえば医療や金融などは監督官庁を頼らずに執行できるか、その人員まで確保できるかは検討の必要があります。

また、景品表示法でも同様の議論がありますが、地方での取り締まりをどうするかという課題も出てきます。出先機関を作るのか、地方自治体にも執行権限を持たせるのか。自治体だということになると今度は地方自治体に知見をもった人材が必要になりますね。限られた人員と予算でどれくらいやるかを検討しなければなりません。

日本でプライバシーコミッショナーが実現すれば、設置国として世界最大の人口規模になります。（米国は競争法をも所管するFTCの執行によるので、ここでは除く。）

プライバシーコミッショナー設置国で一番人口規模が近いのはメキシコと思われますが、プライバシーコミッショナー事務局が抱える人員は500人です（ただし、情報公開に関する機能を併有）。日本は、最近出来た機関である消費者庁は「小さく産んで大きく育てる」といわれ、徐々に定員は増えましたが300人くらいです。コミッショナーに十分な機能を持たせるには少なくとも事務局に200人くらいは必要な気がしますが、現在の特定個人情報保護委員会事務局は20−30人の組織です。

多様な分野のスペシャリストで、かつパーソナルデータ法制について分かっている人をどう連れてくるかという課題は大きいです。

===

今回の改正でプライバシーを守るという軸が入る

──改めて、今回なにが変わると考えればいいでしょうか。

板倉　個人情報保護やデータ保護について、欧州委員会は人権として、米国は消費者行政の枠組みの中で、それぞれ制度構築を行ってきました。欧州では民間でも官民の間でもプライバシーも個人情報保護も、すべて人権です。米国はプライバシー発祥の国ですが、基本的には国に対して市民のプライバシーが守られるのと同時に、取引の自由も重要と考えるスタンスです。

一方日本は、あまり考えてこなかったというのが、正直なところです。ここに、今回の改正でプライバシーを守るという軸を入れることになります。そうすることで、民事訴訟におけるプライバシー侵害裁判の判例、即ち過去の議論の積み重ねが効いてくると言えます。直接適用される訳ではありませんが。

ビジネス機会は増加の可能性

──日本企業が世界のマーケットでパーソナルデータを扱うビジネスを行うために、今回の改正は追い風になるのでしょうか。

板倉　特に欧州では、スノーデン事件によって「米国は人権にもとる」という評価がされてしまった部分があります。その時に欧州で「データは安全な日本に置こう」という話にはならず、「EU域内でやりくりしよう」という風になってしまいました。この機会損失は小さくありません。

しかし、今からでも世界の動きに合わせられる法制度のあるなしは、次のチャンスに向けて大きいと思います。

改正によってデータは扱いやすくなるが、データを扱う新たな責任も生ずる

──改正によって事業者ができることとできないことは変化しますか？

板倉　具体的なケースでないと、具体的な回答は難しいですが、現在問題なくやれていることはそのまま出来ると思います。

個人情報の定義をいじる、つまり、メリハリをつけるのが今回の改正で、(1)従来の個人情報の範囲を見直した上で（2）一定程度個人を特定される可能性を減衰したデータ（いわゆる匿名化データ）と、（3）センシティブデータ、この3つに分けることでメリハリが利き、何でもかんでも厳しい基準で運用しなくてよくなりますので、データは扱いやすくなる部分があります。

しかし逆に、データの使い方が分からない人が下手に使わないということも重要になってきます。安全な匿名化を行うためのスペシャリストの育成が必要です。データ分析は技術者やソフトもそれなりに存在していますが、匿名化の技術者や商品パッケージはまだ少ないと思います。

──いわゆる匿名化データを扱うためには匿名化したことに対する責任が発生するということですね

板倉　どれだけ匿名化されたものについて例外的な取扱いを認めても、データをきちんと扱えない人には扱う資格がないわけです。採用、外注、育成、様々な手法での人材活用を要するでしょうね。

===

事業開発コスト増をどうやって抑えるか

──そうなってくると、より信頼性の高いサービスを提供するためのトラストフレームワークが必要ですね。ここにかかるコストや信頼の担保の仕組みは、どのようにすべきでしょうか？個別企業が負担すると、消費者に転嫁することになってしまいませんか？

板倉　難しい質問です。プライバシーコミッショナーや国の機関が個々の企業にお墨付きを与えるというのは現実的ではないかもしれません。有価証券報告書などでやっているように公表する義務があって、誰もがチェックしやすい体制を作るというのはコストが少なく実現出来そうな気がします。

ただ、ここで有価証券報告書と異なるのは、会計関係書類でいうところの会計士や税理士のような、手伝ってくれる専門家がこの分野は多くないという点です。最初は大変ですが、これが定着すると、なにかあった時に報告書をみんなで見るという習慣が出来るので長期的にはコストが抑えられると思います。

いわゆるマイナンバー法のインフラを使うということも考えられます。共通番号自体を民間が使うというのは非現実的ですが、情報提供ネットワークシステムや認証基盤を使うこと自体は可能性があると思っています。既にある国のインフラの使える部分を活用するということです。

パーソナルデータを扱うような現行サービスでも、いわゆる「炎上」をしてしまったものとそうでないものは、中身の問題だけでなく、説明の善し悪しも大きな差分になったと感じています。しっかり説明をする、透明性を保つという努力をしてきた企業のサービスは、問題視されずに続いているように見えます。

そのサービスがイヤだと思った人は開示情報を見て、自分はサービスを利用しないという選択をしています。情報開示もきちんとやるとなるとコストの掛かるものですが、問題になって「炎上」してしまうことと比べたら小さなコストですね。