個人情報「過」保護の見直し（3）：違憲の疑い【2】重要なのは本人関与の絶対性より情報セキュリティの確保

青柳武彦（あおやぎたけひこ） 国際大学グローコム客員教授。1934年、群馬県桐生市生まれ。東京大学経済学部卒。伊藤忠商事に入社後、伊藤忠システム開発取締役、日本テレマティーク社長、会長などを歴任。95年より06年まで国際大学グローコム教授（情報社会学、情報法）。著書に『個人情報「過」保護が日本を破壊する（ソフトバンク クリエイティブ）』など多数。

　個人情報保護法は2005年4月に全面施行されたが、以後、名簿類が続々と廃止されたり、地域社会は情報が滞って崩壊寸前になったり、情報開示も後退したりする等、事実問題として国民生活や経済に重大な影響が出ている。原因としては、一般国民側の理解不足もさることながら、法律自体にも多大の問題があるのだ。

　それにもかかわらず、見直し作業を行なってきた国民生活審議会の個人情報保護部会における6月11日の原案は「過剰反応は落ち着いてきており」、法の趣旨について例外規定の活用などの「きめ細かな周知徹底」をはかるべきであるというもので、法改正の必要性については一言も触れないという驚くべきものであった。

　これは言語道断だ。一応、委員会における議論を踏まえて6月29日に高市早苗内閣府特命担当相に提出された部会としての意見書は、「状況を見極め、法改正の必要も含め、さらなる措置を検討していくことが必要」とした。この段階での法改正の提言は見送ったことになるので、9月以降の国民生活審議会で引き続き検討される。

　火急に立法論的対応をすることが必要な問題に対して、解釈論で対応しようとするとこういうことになる。連載第2回の今回からは、3回連続で個人情報保護法の違憲論を展開するので、ぜひとも違憲の要素を解決する方向に向けて実効性のある改正を行なっていただきたい。


　個人情報保護法の全面施行以来、過剰反応などのために国民生活や経済に重大な影響が出ている。それにもかかわらず、国民生活審議会の個人情報保護部会にはそのような認識はない。同部会事務局による6月11日の原案では、「法の趣旨について例外規定の活用などの“きめ細かな周知徹底”をはかることによって過剰反応は収まるだろう」というもので、法改正の方向性や修正案などの具体策の提案はなかった。

　一応、6月29日に高市早苗内閣府特命担当相に提出された部会としての意見書においては委員会における議論を踏まえて、「状況を見極め、法改正の必要も含め、さらなる措置を検討していくことが必要」とし、法改正の問題は9月以降の国民生活審議会で検討されることになるだろう。

　同法には構造的な問題があって、憲法違反の疑いさえもあるのだから、そうした解釈論では到底対応しきれない。違憲の疑いの要素の（1）は、前回に述べた「明白な萎縮現象」だ。（2）は今回述べる、「表現の自由」などの精神的自由を制限する側面のある規制は、必要にして最低限のものでなければならないという点だ。（3）は次回に述べる「明白で切迫した危険」（Clear and Imminent Danger）が存在するのでなければ「表現の自由」を制限する側面を持つ規制は違憲となるという点だ。


　合憲性を考える場合の原則の1つに「二重の基準」の原則がある。これは、個人情報保護法のような「表現の自由」を制限する要素のある法律の合憲性を審査する場合には、経済的その他の一般的自由を制限する法律の場合と同じ基準を当てはめるべきではなく、より厳しい異なる基準をあてはめるべきであるというものだ。

　つまり「表現の自由」のような精神的自由を制限する内容を含む規制は、必要にして最低限のものでなければならないことになる。ということは、より制限的でない他の選択可能な手段（LRA＝Less Restrictive Alternative）が存在しうる場合には、「必要にして最低限」ではないことになるから、当該規制は違憲となるといっていいのではないだろうか。では、現在の個人情報保護法による数々の規制措置は、果たして必要にして最低限のものなのかどうかを検証してみよう。


　本連載第1回で述べたように、個人情報保護法は四半世紀以上も前の1980年にできた、精神的・理想主義的な「プライバシー権保護と個人データの流通についてのガイドラインに関する理事会勧告」（以下、OECDガイドライン）に準拠している。パソコンもネットワークも現在ほどは普及していなかった時代の勧告だ。個人情報保護の手段として、情報主体の支配力および関与の権限を過度に認めているので、運用が極めて難しくなっており、当時の欧州経済界や産業界には極めて評判が悪かった。

　それから15年経つとネットワークの普及で情況は一変する。1994年にはNetscape社のブラウザが出現し、翌1995年にはNSFNET（＊1）が終了してアメリカはインターネット接続の完全商業化を行った。またYahoo!が登場したのもこの頃だ。こうした技術の進歩・発展に伴い、ネットワークを利用した悪質な犯罪も横行しはじめ、情報漏えいのリスクが大きくなってきた。

　そこで今度は欧州委員会（EU＝European Union）が、それまでの批判を取り入れた形で新基準を策定し、1995年に「欧州議会および理事会の個人データ保護指令」（以下、EU指令）として発表した。これによりプライバシー保護の手段としての本人関与の絶対性は多少薄れて、代わりに浮かび上がってきた課題は情報セキュリティの確保である。このEU指令でさえも、当時の経済界や産業界からは酷評を浴びたという。

　このEU指令は、加盟国に対して3年以内にEU指令の基準に適合するように法制化を求める（第32条）とともに、第三国への個人情報の移転は当該第三国が十分なレベルの保護措置を講じている場合に限る（第25条）ものとする、という極めて厳しい条項を含んでいた。この表記のままでは国際間の銀行のコルレス契約（＊2）もできなって経済的にも大きな障害を生むことが明らかなので、米国も日本も大あわてで対応を始めた。

米国は緩やかな基準のセーフハーバー原則で合意

　しかし、米国には2つの事情があってすぐには対応をすることは困難であった。1つは、第1回で述べたように、米国は収集した個人情報を企業がマーケッティング活動などに利用することに対して、国民的合意がある程度まで成立していたことにある。そのため、もっと寛容で緩やかな個人情報保護で足りると考えていたのだ。

　2つ目は、プライバシー保護にあたってはセクトラル方式（業界ごとに異なる規制を加える方式）が行われていたために、米国全体としてEU指令に対応した一元的な体制を担保することが困難だったことである。これら2つの理由のため、交渉は極度に難航したが、2000年3月にいたって、ようやく両者の基本的合意（セーフハーバー原則）が成立し、同年11月に協定が発効するに至った。

---

（＊1）NSFNET
National Science Foundation netの略で、NSF（米国立科学財団）が支援する学術ネットワークのこと。軍事用のARPANETから分割される形で生まれ、インターネットの礎になった。1995年には民間へ委託された。
（＊2）コルレス契約
国をまたいだ決済のために金融機関が海外の金融機関と結ぶ為替業務代行契約のこと