プライバシー保護法制の論点は何か？　鈴木正朝教授ツィートまとめ

鈴木 正朝 @suzukimasatomo

個人データの第三者提供において受領者基準の方がいいと思っている人はよく時系列的に考えてみて欲しい。個人データが相手方に到達してから相手方の事情次第で個人情報該当性が決まってしまうという不確実さを。わからない不確定な段階でどうやって事前同意等の義務を尽くせるの？

鈴木 正朝 @suzukimasatomo

事業者規制法において事業者に不可能を強いるような解釈はとりえない。個人情報取扱事業者である提供事業者に判断の視点を置いて、相手方受領者（個人情報取扱事業者でなくともいいし、個人でもいい）の状況の予見可能性を加味して判断するという解釈が妥当でしょう。現行法の解釈としては。

鈴木 正朝 @suzukimasatomo

受領者基準は単に個人の権利利益に影響がなければそれまで個人情報性を認める必要はないというその１点のみ、規制緩和を目的化した単純な発想に基づいて言ってるだけ。むしろ規制強化になる点があるとまでは頭が回らない。

鈴木 正朝 @suzukimasatomo

また受領者基準は、データが受領者に届いてから、その結果から判断している。ところが個人情報取扱事業者は日々の事業活動の中でリアルタイムで法的判断せざるを得ない。事業者内の持ち札だけで個人情報該当性が判断できなければ、フリーズしてしまう。

鈴木 正朝 @suzukimasatomo

個人データの移転は、常に受領者が判明している場合だけではない。取引があれば予見もできようが、それ以外ではわからないことも少なくない。行ってからわかるでは目隠しで地雷の上を歩くはめになる。提供事業者を基準として予見可能性の範囲で判断するとせざるを得ないのだ。

鈴木 正朝 @suzukimasatomo

提供事業者基準説と受領者説を考え方の違いのように対等に並列的、選択的に捉えていいのか、よくよく具体の現場を考えて検討してみるべきだ。

鈴木 正朝 @suzukimasatomo

なお、不法行為法におけるプライバシー侵害は結果が発生してから、訴訟手続を前提とした中で判断基準を考えている。民事の発想にひきずられがちな面もよく見られるところだが、行政の取締規定には独自の考慮が必要なこともある。義務者である事業者の状況を考えるべきだ。

鈴木 正朝 @suzukimasatomo

事業者の法務担当においてはガイドライン（告示、通達）ばかりがリアリティなのもやむを得ないが、基本は条文解釈だ。ガイドラインが間違っていることもある。ゆえに何度か修正を施したりしているわけだ。共同利用のようにコンセプトが曖昧なまま放置している部分もある。

鈴木 正朝 @suzukimasatomo

事業者のため、産業界のためと淺知恵に走って、結果、自分や自社だけではなく、産業界全体を苦しめる罠。この立法化の時期に、法的公表義務はない。義務なきものを強要するのは自由と正義に反するという形式論に走る結果は、やはり義務化やむなしという空気の醸成だけだ。自主規制領域が細るのだ。

鈴木 正朝 @suzukimasatomo

情報法制は形成過程にある。現在の手堅い条文解釈をしている足下でその条文自体が改正される可能性もある。解釈論は解釈論で固めつつ、立法論を別途検討するのは当然だが、両方セットで考えるのはあたりまえの状況にある。

鈴木 正朝 @suzukimasatomo

法解釈における法創造機能の限界までチャレンジして解釈学に閉じて何とか結果的妥当性を確保しようという伝統的な芸風の人と、法解釈上の破綻を強調して早期の法改正につなげるというラジカルな芸風の人がいるが、だいたい志は同じ。後者が成立するのはリアリティがある立法の時代だからであろう。

鈴木 正朝 @suzukimasatomo

ビッグデータを念頭に置いてイノベーション促進のために法律とガイドラインをどう改正すべきか、これから役所で公式、非公式に有識者を招いて検討がはじまるだろう。あわせて越境データ問題と番号利用法で創設した第三者機関の権限拡大問題（同法附則6条2項参照）も課題になっている。

鈴木 正朝 @suzukimasatomo

国際先端テストなるものの妥当性、FTCの３条件なるものが真にFTCの見解かというところを含めて、しっかり検証していかねば、日本企業が国際市場に乗り出すことはできなくなる。行ってみたら米国にダメだしされたでは話にならない。

鈴木 正朝 @suzukimasatomo

大企業の信用性に依拠してルール形成はできない。ここで許したところは数百万社に平等に適用される。匿名化処理の内容がまったくわからないまま、そのように宣言すればそれでよしとするルールでいいのか。現行法でも報告の徴収をすべき事案だ。EUと米国では全く許されまい。競争力ゼロになる。

鈴木 正朝 @suzukimasatomo

「個人情報の保護に関する基本方針」（平成１６年４月２日 閣議決定、平成２１年９月１日 一部変更）の「６ 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する 基本的な事項 (1) 個人情報取扱事業者に関する事項　① 事業者が行う措置の対外的明確化」に従うべき。

鈴木 正朝 @suzukimasatomo

「① 事業者が行う措置の対外的明確化 事業者が個人情報保護を推進する上での考え方や方針（いわゆる、プライバシーポ リシー、プライバシーステートメント等）を策定・公表することにより、個人情報を 目的外に利用しないことや苦情処理に適切に取り組むこと等を宣言するとともに、・・・

鈴木 正朝 @suzukimasatomo

・・・事 業者が関係法令等を遵守し、利用目的の通知・公表、開示等の個人情報の取扱いに関 する諸手続について、あらかじめ、対外的に分かりやすく説明することが、事業活動に対する社会の信頼を確保するために重要である。」

鈴木 正朝 @suzukimasatomo

単に形式的にプライバシーポリシーを掲げるのではなく、実質的に意味のある内容を伴っている必要があることは当然であろう。今後はFTC法のように消費者に欺瞞的な行為を働いた事業者に対しての調査権と課徴金のようなサンクションを設計するなど日米間で均衡した保護水準にもっていくべき。

鈴木 正朝 @suzukimasatomo

ビッグデータを念頭においたルールであってもその一定の緩和策（連結可能匿名化措置の導入等）は、通常の個人データの移転にも適用されるだろう。透明性、検証性、執行性の担保なく走れば、多くの僭脱事例が横行する事態となる。第三者機関の権限拡大のあり方とともに当然に留意すべき点である。

鈴木 正朝 @suzukimasatomo

越境データ問題の解決と国際競争力の強化のためには、国際性も重要である。米国のFTC等の判断基準のあり方、EUの対応など国際市場の規制のあり方を見据えて、国内法のあり方を検討すべきだろう。規制緩和という甘やかし策で死屍累々では意味がない。国際性という視点からの規制強化もありだ。

鈴木 正朝 @suzukimasatomo

まさかとは思うが、顧客情報を管理している部門と情報を加工している部門が違うから容易照合性なしという仕組みはだめだぞ。それは数年前の経産省ガイドライン改正で否定された考え方。事業者規制であって事業者全体を評価するもの。従業者目線の判断になっている。

鈴木 正朝 @suzukimasatomo

内部の部門を分けて技術的措置を講じたとしてもそれを現行法制上、どうやって主務大臣が立証できるのだ。訴訟を前提とした民事法的思考、または立入調査権を前提とした発想で空理空論で条文の文言操作だけしていないか。大多数の中小企業にどう適用する。社長命一つで照合できるだろう。

鈴木 正朝 @suzukimasatomo

個人情報取扱事業者視点で考える、社内のある従業者視点で容易照合性の判断はしない。全社的に見て社内で分割管理されているにすぎないものは原則容易照合性があるのだ。キーエスクロー制度のように客観的な第三者が管理して契約で担保されていれば別だが。社内だとなんぼでも僭脱できる。