個人情報保護法改正が目前に迫る中、「民間主導による自主規制ルール策定・遵守の枠組みの創設」や「マルチステークホルダープロセス」が謳われていますが、その具体的な方法については明確になっていません。一方、これらの理念を素直に解釈すると、プライバシー影響評価（PIA）を事前に実施し、各ステークホルダーの合意を得ることが求められるとも考えられます。改正法、自主規制、PIAの関係について、瀬戸洋一・産業技術大学院大学教授にお話をうかがいました。

法律だけで片付く話ではない

──個人情報保護法の改正に向けた審議が進んでいますが、ほぼ確実とみられているのが、第三者機関の設置です。

瀬戸：第三者機関である個人情報保護委員会の設置は、法改正の重要なポイントですね。これにより個人情報保護法制は、主務大臣制から第三者機関中心への体制へと変わります。そこで議論が必要なのは、どのような第三者機関とするのかということです。

諸外国では、プライバシーコミッショナーはかならずしも法律の専門家ではなく、プライバシーに関する社会的、技術的な専門知識をもち、中立的な立場で対応できる有識者が就任していることが多いです。プライバシーの問題が起きたとき、裁判所が法律の専門家として法律の観点で判断しますが、プライバシーコミッショナーは中立的専門的な観点で仲裁助言するものです。したがって、バランス的に法律の専門家だけではなく、もっと多様な背景の人たちが参画すべきだと考えています。

──法律だけを見るのではなく、技術や海外の動向も見なければならない。何よりヨーロッパにおいては、プライバシーや個人情報は人権問題とされているため、それを理解できる人材である必要があります。

瀬戸：おっしゃるとおりです。法律だけで片付く話ではないと思います。第三者機関は市民の代表であるべきで、社会の多様さや機微を踏まえて、意見を述べたり、判断を下したりする。そして、その判断に対して、多くの人が納得する人材が就任する必要がありますね。

──現状の法案では、第三者機関にあまりにも多くの責任を負わせすぎてはいないでしょうか。たとえば、匿名加工情報の処理方法も個人情報保護委員会が定めることになっています。

瀬戸：ある程度仕方がない面もあります。それは個人情報保護法の中で、個人情報は定義できたとしても、機微情報の定義、つまり個人情報のレイティングは、時代背景や感性などで変るためグレーゾーンになりやすく、法律で定義することは難しい。

それを誰かが判断しなければならないのだとしたら、第三者機関が担うべきでしょう。例えば、宗教や思想などを、理由は何であれ他人に話したい人もいれば、そうでない人もいる。そこにはグラデーションがあり、法律だけでは定義、判断できないところです。

難しい問題を第三者機関に背負わせてしまっているというのは、もともとそういう問題が第三者機関でないと判断することが無理だからです。それを法律で定めようとすると、がんじがらめになってしまいます。

ただ、日本ではこれまで、このような合意形成のプロセスがなかったため、混乱している面はあります。責任を押しつけすぎているのではないか、あるいはどういう判断するのか不透明だとか、本当に適正な判断ができるのかなど、不安視する意見が出てくるのは仕方がありません。

「規律」を持つことが求められる第三者機関

──ということは、いずれ時間が経って第三者機関の中に知見や事例が蓄積されていけば、社会において合意形成が問題なく行われるようになるのでしょうか。

瀬戸：その通りだと思います。ただし、時間とともに知見が得られるというのは、ちょっと違うと思います。たとえば欧州では、ホロコーストをはじめとする激しい人種問題による悲劇がありました。そうした悲劇を繰り返さないためにプライバシーを保護するという意識が欧州の人々にはあり、それがプライバシーコミッショナーの根底にあるのではないかと思います。

一方、米国では異なるところがあります。新しいことは、まずやってみて、何か問題があれば裁判で解決するというやり方です。Googleのストリートビューが良い例で、プライバシーの懸念があったにもかかわらず、とにかく始めてしまい、その結果さまざまな国で訴訟になりました。最低限のプライバシーの配慮はしますが、民主主義の観点から、国民の賛同が得られるかが重要なポイントになっているように思えます。

このように、社会構造がどのように構築されてきたかなどの文化的な背景も大きく、その上に新たなルールというか「規律」が定義されるのだと考えます。

──そうした「規律」になるものを第三者機関が持つことが求められているのでしょうか。

瀬戸：その通りです。プライバシーコミッショナー制度というのは、その国の社会的な背景が反映されるのではないかと思います。その上で、では日本はどうなのか？　私は、国際的に認知されている定義に、その国のもつ社会的バックグラウンドを認識していなければ、プライバシーコミッショナー制度というのは構築できないのではないかと考えます。

そして、適正なプライバシー保護には第三者機関が必要であり、個人情報保護委員会の設立に長年尽力されてきた第一人者である堀部政男先生には、日本のプライバシーコミショナー制度の定義と後続の人材育成などご指導いただけたらと思います。日本のプライバシーコミッショナーはどうあるべきなのか、その確立を堀部先生にはぜひともお願いしたいと考えます。

──あらかじめ哲学のようなものを持っておく必要がありますね。

瀬戸：哲学というか、個人と社会との関係性についての考え方が、きっとあると思います。日本は基本的に単一民族国家ですし、私と公との関係とか、社会的合意形成の方法が他国とは違うと思いますが、個人的には今後の個人情報の扱いは、どちらかというとアメリカ的な価値観に近い方に傾くのではないかと思っています。

例えば、鉄道のパスの匿名情報の扱いや地下鉄駅で監視カメラなどの実証実験が、一部の反対でできていなかったことがあります。ですが、プライバシーや個人情報のリスクがあるとしても、実際にやってどのような課題があるのか、技術的な対策がどのくらい有効なのかを検証することも重要です。そうした実験としての取り組みであれば、大多数の人は賛成してくれますが、少数ながら反対する人も必ずいます。

日本では、リスクが少しでもあると、少数の反対意見に与しがちですが、私は賛成が多いならば、リスクがあっても実施しても良いと思います。そして、このようなケースにおいて、プライバシーコミッショナーはどのような観点に立って判断するのか興味があります。

（中編に続く）

当記事は2015年4月7日に公開いたしましたが編集上の誤りがあったため、内容について再度確認の上、正しい版に差し替えて4月15日にあらためて公開いたしました。