さまざまな議論を引き起こしてきた個人情報保護法の改正は、3月10日の閣議決定を経て、順調に行けば第189回通常国会において可決される見込みです。今回の改正での大きな変更のひとつが個人情報保護委員会、いわゆる「第三者機関」の設置です。この第三者機関の設置は、日本の個人情報保護とプライバシーにおけるひとつのターニングポイントだと言われています。なぜ日本にはこれまで第三者機関がなかったのか、そして第三者機関の設置で何が変わるのか、中央大学総合政策学部准教授の宮下紘氏にうかがいました。

単一の執行機関としての第三者機関

──個人情報保護法改正で『第三者機関』が注目されていますが、具体的にどのようなものなのでしょうか。

宮下：『第三者機関』とは、個人情報保護法の監督機関です。いわゆるプライバシーコミッショナー（及びその機関）ですね。

──これまで日本にはなかった機関ですが、何が変わるのでしょうか。

宮下：従来の日本の個人情報保護法は主務大臣制を採っていて、通信会社だと総務省のガイドラインに従って法執行を行うなど、業種別に所管省庁が分かれていました。例えば、漏洩が起こった場合、企業は担当省庁に報告して、場合によっては聴取、助言、勧告、命令さらに罰則の実施などを各省庁が行うことになっていました。改正案では、第三者機関として「個人情報保護委員会」を設置、そこがすべての業種の企業を監督し、ガイドラインを出し、法執行を行うことになります。

──主務大臣制に比べると、かなり大きな変化に見えます。事業者にどのような影響が及ぶのでしょうか。

宮下：事業者にとって注目すべきメリットは、単一の執行機関だけを見ればよいという点です。これまで企業や事業分野によっては、複数の所管省庁の出しているガイドラインを参照しなければなりませんでした。通信事業者だと、漏洩事故が起きた場合も、企業によっては総務省と経済産業省の両方に報告する必要がありました。それが単一の執行機関と単一のルールにだけ従えばよくなります。

ビジネスで個人情報を取り扱う際、解釈の違いによるグレーゾーンが存在し、しかも省庁ごとに基準がバラバラでした。第三者機関ができることで、判断のばらつきがなくなり、グレーゾーンが狭くなります。これは事業者にとってメリットがあることです。

──第三者機関が出来ることによって、個人情報に関して何かあった場合に、報告や相談をする相手が明確になるのですね。自分がどの省庁の担当分野に属しているかが分かりにくい事業者は、かなり助けられそうです。

宮下：そういうことです。もう一点付け加えると、現行の主務大臣制では省庁によって個人情報保護法の執行状況に差があります。金融庁や経済産業省は法執行の頻度が高いですが、医療などセンシティブなデータを扱っている厚生労働省は、過去に一件も報告や聴取、勧告を行ったことがありません。第三者機関の導入によって、こうした事業分やごとの対応の差もなくなります。

──個人情報保護委員会の側は、すべてを受け止める「一次窓口」を担うとなると、かなり大変そうですね。

宮下：現時点（編集部註：3月12日収録）の個人情報保護法の改正案では、主務大臣制を廃止した一方で、第45条に事業所管大臣の請求という項目が新しく出来ています。これは、既存の主務大臣制を少し残したもの、と言ってよいでしょう。

例えば金融庁は、個人情報保護法だけでなく、銀行なら銀行法や銀行法施行規則といった法律があり、それに沿って動いてきた実績や経験があります。そして金融庁から請求があった場合、個人情報保護委員会も動くことになるので、現在の主務大臣制がすべて廃止され、新たに設立される第三者機関に一元化されるわけではなさそうです。

===

従来に比べ強くなる調査権限

──通信事業でいえば、電気通信事業分野では総務省と向き合ってきました。しかし、通信事業者も通信インフラだけではなく、その上のサービスまで主体的に行うことが増えて来ています。そうした中で事業者は総務省だけでなく、経済産業省のガイドラインも参照する必要が出てきています。こうした境界領域に取り組む事業者は、どのように第三者機関と向き合っていけばよいのでしょうか。

宮下：インターネット業界はこれまで総務省と経済産業省の両方が見てきました。今回の改正後も当然、通信事業者ならば個人情報保護だけでなく電気通信事業法の「通信の秘密」を守る必要があります。そうなると個人情報保護委員会だけではなく、継続して総務省とも対峙しなければいけません。

改正が現在の法案通りだとすると、まずは個人情報については個人情報保護委員会が、それ以外の通信の秘密やプロバイダー責任制限法などは総務省がカウンターにならざるを得ない。したがって、事業者は複数の省庁を相手にする必要があり、負担が増える可能性はあります。その点は、今後の課題といえるかもしれませんね。

──通信の秘密やプロバイダー責任法に関わる問題だと、事業者が自主的に判断して総務省に相談したものの、「これは個人情報保護法に関する事案だ」と総務省側が判断した場合は、総務省から個人情報保護委員会に移管されることになるのでしょうか。

宮下：現在の法案を見る限り、そういうことになります。

──今後、事業者が個人情報に関する事故や漏洩、あるいはデータが個人情報に該当するかどうか、といったやりとりが個人情報保護委員会との間に発生することになりますが、従来の規制当局との違いは何ですか。

宮下：新設された40条において、既存の主務大臣制では無かった新たな権限として、資料の提出と立ち入り検査が入りました。これは、既存の個人情報保護法には無かったものです。これによって、事業者との間に緊張感が増すのと考えています。

──これまでの主務大臣制では、何か事件や事故が起きたときには、事業者が監督官庁に出向いていました。今後は、何か問題があった場合、個人情報保護委員会が立ち入り調査をしたり、レポートを提出させる権限を持つわけですね。

宮下：2年以下の懲役または100万円以下の罰金という罰則規定があるため、権限は圧倒的に強くなります。なおかつ、立ち入り検査を拒んだ場合や、虚偽の資料を提出した場合も罰則の対象になります。

──事実上の捜査権限に近いものに見えます。

宮下：事業者としては、単に窓口が変わっただけではなく、相手となる機関の性格が大きく変わったことを意識する必要がありますね。

===

求められる厳密な独立性

──個人情報保護委員会のような第三者機関は、海外ではプライバシーコミッショナーとして以前からあるものですが、日本ではあまりなじみがありません。プライバシーコミッショナーはどのような背景から出てきたものなんでしょうか。

宮下：そもそも個人情報保護のために第三者機関が必要とされる背景は、あまり理解されていません。どこから来たのかというと、EUの憲法に当たる欧州連合基本権憲章（以下、基本権憲章）第8条に「個人情報の保護を独立監視機関で監督せよ」という条文があります。これに従って、すべてのEU加盟国で独立監督機関が出来ました。

──なぜ、基本権憲章にこうした条項があるのでしょうか。

宮下：かつてのヨーロッパは身分制社会の中で、下の階層にいる人たちは個人の尊厳を踏みにじられてきました。また、ナチスドイツでは、国民の情報を国が管理することで、ユダヤ人を迫害しました。当時、IBM製のパンチカードと機械式計算機を用いて、数百万人のユダヤ人への迫害を効率的に実施したという、暗い過去があります。

このように政府が個人情報を一極集中して持ち、人間の尊厳を踏みにじった歴史への反省から、EUでは基本権憲章の中にこうした条文が出来たんです。そのため、政府や公的機関の活動における、個人情報の取り扱いを監視するために独立監視機関が作られました。政府を監視するための機関ですから、政府の内部にあるのではなく、政府から「完全に独立」した機関がそれをチェックしなければいけません。

──「完全な独立」とはどの程度の厳格さが求められるのでしょうか。

宮下：EU指令の第28条で規定されているのですが、これは極めて厳格に解釈されています。たとえば、法的に独立性の要件を満たしているだけではなく、スタッフ、予算、なおかつ指揮監督権限といった全てにおいて政府から独立していなければなりません。これは、2012年に欧州司法裁判所が、オーストリアのプライバシーコミッショナーについて出した判決で示されたものです。政府をチェックする機関だから、政府からの指図や干渉を一切受けない、完全な独立という権限を持っていなければいけないのです。

──米国と比べると、相当な独立性が必要そうですね。

宮下：アメリカも、消費者問題を扱うFederal Trade Commission（FTC）という強力な機関があって、FTC法第5条に基づいて不公正かつ欺瞞的な慣行及び行為に関する法執行の権限に基づきプライバシー違反の事例に対して制裁金を科してきました。また、スノーデン事件のように国家の諜報活動に関する問題に関しては、Privacy and Civil Liberties Oversight Board（PCLOB）という別の独立監視機関があります。このようにアメリカは複数の独立監督機関によってチェックする仕組みです。

個人情報を一カ所に集めていると、プライバシーや人間の尊厳が踏みにじられてきた歴史があるため、欧米ではこうした監督機関ができました。そして、現在は世界100ヶ国以上で個人情報保護法が立法されるまでになりました。そして、その中で独立した監督機関が無い国というのは、少なくとも私が知る限りでは聞いたことがありません。それが世界の常識です。

──その常識に、これまで日本は反していた、ということでしょうか。

宮下：これまでプライバシーコミッショナー国際会議に出席してきた経験からすると、独立監視機関がない個人情報保護法制というのは、私が知る限り日本だけです。だから個人情報保護法制において、日本はかなり異常な事態だったんです。諸外国から遅れること20年を経て、ようやく今回、独立監督機関が出来ることになりました。

──これまで、なぜ日本には独立監督機関がなかったのですか。

宮下：これには2つの原因があります。ひとつは国の個人情報保護法に先立って、地方自治体の個人情報保護条例が先行して整備されたこと。その結果、1700の条例が作られ、その1700の条例ごとに審査会も作られました。この審査会が、独立したチェック機能を持つもののため、国が個人情報保護法を作った際に、改めて独立監督機関を作ることに「待った」がかかりました。

もうひとつの理由は、個人情報保護法案が国会で審議された2001年当時は、小さな政府を標榜する小泉内閣でした。「新しい行政機関」を作るというのは、小泉内閣の「小さな政府」「地方分権」という流れに逆行するものだったため、当時は作られませんでした。

日本だけが独立監督機関を作れなかったことを、私は常々「鎖国」に例えています。日本にプライバシーコミッショナーがいないことによって、海外のプライバシーコミッショナーとコンタクトが取れません。そうすると情報が入ってこない。このため世界における個人情報やプライバシーに関する流れから、日本は取り残されてしまった。諸外国では違法なことが、日本では合法という、とんでもない事態が起きているんです。そして、その認識すらないという状況だったんです。

▼プライバシーに関する国際会議・機関の関係図（作成：宮下紘准教授）

（中編に続く）

（変更履歴）
掲載当初、図版キャプション内の宮下氏のお名前を誤って記載しておりましたので修正いたしました。また、「オーストリアのプライバシーコミッショナーについて出した判決」へのリンク先URLが誤っておりました。ご迷惑をおかけいたしましたことをお詫びいたします（本文修正済み）。（3/24 21:10）