個人情報保護法改正により設置される第三者機関の設置で何が変わるのか、中央大学総合政策学部准教授の宮下紘氏にうかがいました。

ようやくプライバシーコミッショナー会議に正式参加へ

──今回作られる予定の第三者機関は、例えばプライバシーコミッショナー会議に正式に参加するなど、国際的なネットワークへ正式に合流することが可能なのでしょうか。

宮下：日本の個人情報保護委員会も、三条委員会と呼ばれる内閣府設置法第49条に基づいた組織で、法的に政府から独立した監視機関である公正取引委員会あるいは国家公安委員会と同等の法的な権限を持った機関です。

今回の第三者機関は、独立性や自主性を持っており、すべての分野を包括するので、間違いなくコミッショナー会議で認められるでしょう。国際的なプライバシーコミッショナー会議は今年で37年目を迎え、アフリカ諸国、南米諸国も既に参加しています。37年目にして、ようやく日本も入ることが出来そうです。

──地方自治体の個人情報保護条例が先行し、審査会がそれぞれ設置されているという状況は、専門家から常に指摘されています。しかし、そもそも国の現行法と整合していないところもありますし、第三者機関が出来ることによって、地方自治体の個人情報保護審査会や地方自治体の執行体制と齟齬が発生する可能性はないのでしょうか。

宮下：現在、総務省の行政機関情報保護法のパーソナルデータ検討会で、それが議論されています。地方自治体の審査会に権限を残すのか、あるいは国の個人情報保護法委員会に一元化するのか。私自身の考えを述べれば、ある市では合法な個人情報の取り扱いが、別の市に行けば違法になるというのは、おかしな話です。日本全体で統一した個人情報の取り扱いが必要ですから、私自身は個人情報保護委員会に一元化すべきだと思っています。

===

欧州と米国で異なる第三者機関のアクション

──海外の第三者機関は、例えばFacebookの新しいプライバシーポリシーにドイツのプライバシーコミッショナーが警告したり、Googleがすべてのサービスで統一したプライバシーポリシーに対して制裁を科したり、といった活動の様子が報道されています。海外のプライバシーコミッショナーは、こうした事業者に対して、どのようにアクションを開始するのでしょうか。

宮下：ベルギーの例をご紹介しましょう。まずプライバシーコミッショナーがルーヴェン・カトリック大学に委託し、同大学が調査しました。そこでFacebookのプライバシーポリシーはデータ保護規則に違反しているという答申が出されました。それを受けて、コミッショナーが裁定を下すことになります。

──当然ですが、コミッショナーの裁定に、事業者は従わなければいけないのですよね。

宮下：はい、従わなければいけません。でも、それを無視し続けることも出来ますよね。無視した場合は、制裁権により罰則が科されることになります。また、その罰則に対して行政不服申し立てをすることができます。

実は日本の個人情報保護法には、委員会の決定に対しての申し立て制度が、条文では示されていないんですよね。ただし、一般的な行政法の範疇に入ると思いますので、決定に関して不服があれば、行政不服審査を受けることが出来ることになると思います。公正取引委員会でも、独占禁止法の改正で審判制度を廃止しましたが、公正取引委員会が下した決定に関して、当然のことながら裁判所で審理が可能なわけです。同じ三条委員会である個人情報保護委員会の決定についても同様のことを言えると思います。

わかりやすい例だと、交通違反で警察にキップを切られても、文句がある場合は裁判所に訴えることが出来るのと同じことです。

──先ほどのベルギーでは、プライバシーコミッショナーが独自に調査して判断を下しました。他にも、市民や消費者からの申し立てに基づいて審査する場合もあると思いますが、第三者機関が問題提起を行うきっかけには、いろいろなパターンがあり得るのでしょうか。

宮下：はい。EUでは、プライバシーコミッショナーが「これは明らかに個人情報保護法、データ保護法制の観点から見て問題だ」と思えば、市民からの申し立てがなくとも、動いています。Googleのプライバシーポリシーやストリートビューは、コミッショナーが独自に動いた例です。

一方で、市民団体からの申し立てを受けてコミッショナーが動くという形式が典型的なのは、アメリカです。アメリカはEPIC（Electronic Privacy Information Center）というプライバシー保護団体があって、そこがFTCに対して「このFacebookのプライバシーポリシーは、おかしいのではないか」と申し立てます。それを受理すれば、FTCが調査をして、たとえば結果として20年間の監査を決定するという具合です。

コミッショナーが行動に至るアプローチはいくつかあります。日本の個人情報保護法では、個人情報保護委員会がどういった形で動くのかというのは規定されておりませんが、諸外国の例が参考になると思います。

===

個人や消費者保護をどうするかは残された課題

──しかし、日本にはEPICに該当するような組織がありません。プライバシーコミッショナーの背景が、欧州での「市民の権利」を守るためですが、日本では今のところ個々人が頑張るしかないという状況です。

宮下：そうなんですよね。外国の関係者からも「日本にはプライバシー保護団体がないのか」と聞かれることがあります。実際に、消費者団体はあるけれどもプライバシー保護に特化した団体はありません。

例えば、ソニーのプレイステーションネットワークでの漏えい事件や、ベネッセ事件に対して、諸外国であればプライバシー団体が先頭に立って調査を要求したり、訴訟を提起したりというように進みます。ですが、日本では存在しないため、第三者機関が単独で動かなければなりません。なにか組織が出来れば、また変わってくるかと思います。

──そういう機関や組織がないと、社会に対して訴えることに長けた特定個人に依存してしまう恐れはないのでしょうか。それではあまりに個人の恣意性が強すぎるし、そもそも個人にかかる負担が強過ぎるように思えます。

宮下：そうならざるを得ないだろうと思いますよ。ただし、気をつけなければいけないのは、個人情報保護委員会というのは完全な独立した機関です。たとえプライバシー保護、個人情報保護を支援する団体であっても、一切影響を受けないことが、コミッショナーの本来あるべき姿なんです。

昨年のプライバシーコミッショナー会議でピーター・ハンスティンクス氏が「プライバシー保護に敵対する業界からの影響力、干渉力、ロビー活動から、いかなる影響も受けない。同じように自分達の活動を支援してくれるプライバシー保護の市民団体からも影響を受けてはならない」とおっしゃっていました。

今回の法改正の目的にも書かれていますが、第三者機関は保護と利用のバランスを取らなければならないのであって、保護する団体の意見だけを聞いてはならないというのが、本来あるべき姿です。非常に孤高の存在であり続けなければならないんです。

──相当厳格な中立性が求められるんですね。さらに、技術的な視野が広くなければいけないことと、独自に執行力をもって活動することなど、リソースもいくらあっても足りないという状況で、かなり難しい組織設計と舵取りが求められます。

宮下：仰るとおりです。同じ三条委員会を見ると、警察は業務内容がはっきりしています。犯罪が起これば、それに対して対処するので、白黒はっきりした業務の内容です。同じように公正取引委員会も市場を歪める価格設定、談合などがあれば介入できる。

しかし、個人情報というのはある種の哲学です。さらに、業務の内容には、広報、啓発、市民の意識を高めることというものまで入っている。これは白黒付けられる問題はありません。プライバシーは人によって意識も違っているものです。そう考えると、個人情報保護委員会というのは、かなり難しい仕事です。

──日本も諸外国と同じような体制になった今、残された課題は、市民や消費者の側がどのように動くのか、ということかもしれません。そうした市民の組織ができるまでは、個人情報保護委員会が能動的に活動する必要がありますよね。

宮下：そうならざるを得ないだろうと思っていますが、なかなか大変そうですね。

（後編に続く）