○
清水参考人 日弁連の
清水です。
お手元に、レジュメにしては長い
文書を出しましたが、ここにほとんど、基本的に言いたいことは書きとめました。「デジタル社会
対応型の
個人情報保護法を」というタイトルで出しております。
まず、
個人情報保護のための
規制ですが、その
あり方というのは時代によって変わります。先ほど
堀部先生のお話にもありましたけれども、レジュメにもありますように、
状況はかなり変わってきております。
個人情報の
保護の
必要性というのが、時代に応じて、
状況に応じて、その時々の必要にマッチした形でつくられていかなければいけないというふうに思うわけです。
かつては、国家が何もしなければよい時代もあったわけですが、今は違いますし、これからも違います。国家の介入によって個人の自由が守られるという面があることは確かで、
個人情報保護法は、
民間についても
行政機関にとっても必要です。建前だけでなく、本当に
個人情報を
保護しようとするとき、その時々の実情を反映したものをつくらなければ
意味がありませんし、うそになります。
OECD八
原則は一九八〇年につくられたものです。これは、コンピューターを持っているのは銀行などごく一部、そういった時代です。それからEU指令ですが、これは一九九五年です。企業においてコンピューターが普及しつつあるという時代です。ところで、その後の一九九六年春ですが、SF作家が、社会生活のありとあらゆる
部分がコンピューターチップを通じてネットに接続され、その一部が
政府専用になるだろうと。また、もう一人のSF作家が、商業は
政府と同じように、
規制のある社会での方が動きやすい、その方が財産はしっかり
保護されるし、データ
もとらえやすいし、騒乱のリスクも少ない、未来はこの社会秩序二勢力の連合となるだろうと。ローレンス・レッシグが書いた「CODE」という本の序文にあります。ローレンス・レッシグはアメリカの憲法学者で、昨年の夏からことしの一月にかけて東大の大学院に来ておりまして、私もこの間、二回ほどお話をした方です。コンピューターそれから憲法などについて非常に造詣の深い方です。
今私が申し上げた二人の方というのはSF作家です。ところが、このSF作家が指摘していることは、実は、今現実化しております。
OECD八
原則やEU指令が想定していない
状況です。その後、パソコンは世界規模で爆発的に普及し、大衆化し、ICチップも生活のあらゆる
分野に普及をしています。
OECD八
原則もEU指令も現在と将来をカバーし切れていないということです。
法律を一たんつくる以上は、私は、せいぜい数年は持ちこたえられるようなものでなければいけないと思います。そうした場合に、
OECD八
原則、二十数年前のものを守る、EU指令に従っていさえすればいいということではいけないのであって、それを踏まえて、今、これからを見据えたものをつくらなければいけないのだろうと思います。
コンピューターネットワーク、ICチップが生活のすべてを覆う社会。国家、企業、個人の活動にコンピューターは欠かせません。何の苦痛も伴わずに
個人情報が集積され、結合し、
利用される。しかも半永久的にです。幾ら嫌でも、だれも
もとに戻すことはできません。だれもがこれらの驚異的な利便性を、まだ不透明な
部分を含めて、享受しているわけです。不便を覚悟での意識的な
規制をしないと、利便性の波に飲み込まれます。子供が大量の
個人情報を
利用する主体としてあらわれていることを見落としてはいけません。この間の国会の
議論では、子供が
利用主体、
事業者になり得るということを想定した
議論がなされていなかったように思います。
次に、
本人同意の
意義と限界ですが、
本人同意による
目的外利用というものが
規定されています。
個人情報保護を
本人の意思
決定を中心に考えることは理論的に悪くありませんが、これを制度
運用の主要な
部分とすることには無理があります。
本人の所在がわからない。同意を得る前提としてどこまで説明が必要か、不十分な場合の同意の効力はどうなるか。
本人に理解能力があるとは限らない、同意の有効性の問題が出てきます。
本人が同意、不同意をなかなか決めてくれないときどうするか。同意の撤回を絶対認めないということでいいか。訂正請求、
利用中止請求にも同種の問題があります。
本人の請求がなくても、誤
情報の訂正、誤
情報、不正入手
情報の
利用停止が必要になるかと思います。
本人の関与を制度的に保障しながらも、
本人の意思に頼る仕組みは不十分です。
現在及びこれからの
個人情報保護を考えるとき、四点をやはり考えるべきだというふうに思います。
個人の権利利益を守るということはこの間の
議論で十分行われていますが、同時に、
行政の適正な
運用、つまり、これがその
規制に違反している違反していない、あいまい
部分がたくさんあればあるほど
行政のスムーズな
運用は難しくなります。訴訟もたくさん起こされる可能性もあります。それから、経済の活性化、この
部分についても余り
議論されていませんけれども、
情報が頻繁に行き交う時代、だれもが膨大な
情報を動かすことができる時代というのは、一般の人が予想できないような
規制の仕方をしてしまうと、経済の活性化を著しく落としてしまいます。それから、国家防衛という
観点も
個人情報保護として極めて重要です。
私、住基ネットの方の問題についても日弁連でその対策本部をやっておりますけれども、国家防衛という
観点からも
個人情報の
保護の
必要性を考えていただきたいというふうに思います。
個人情報を
保護する手段ですが、人の行動を
規制する制約条件は以下の四つがあり、
規制はこれらの合計であります。相互が同じ方向で機能することもあれば、逆方向、
一つの
規制がもう
一つの方を殺してしまうということもあります。
法律、社会規範、市場、コードです。
コードというのは、サイバー空間での振る舞いを
規制するもので、そこに説明をしておきましたけれども、例えば、ある
部分ではパスワードを入力しないと
アクセスできない、あるものについてはそれをしなくても構わない。それから、ある
分野では、一部の
分野で操作者のやりとりが操作者の痕跡を残すようにすることもできれば、ほかのところは希望しないとそれができない。暗号を使える
部分、暗号が使えない
分野。そういったものはコード作者がどういうふうにつくるかという問題です。ある振る舞いを可能にしたりしなかったりということで、それは、コードにある価値観を埋め込み、あるいはそれを不可能にするということで
規制という
意味を持ちます。
だれでもが、例えば地方自治体が、ホームページから、住民から自由な
意見を出してほしいというふうに設定した場合に、住所、氏名、年齢等を書き込むように、そうしないと受け付けないという場合と、何も書かなくていいという場合とあります。書きなさいといった場合には、書いた後に、その後自分にどういうリアクションがあるかということを心配して書かないという人が出てきます。しかし、片方で、匿名でいいということになると、無責任なものが非常に出てきて、場合によったらそのホームページを閉鎖しなければいけないというような問題も起こったりします。
法律をつくれば必ず実効的に機能するわけではありません。実際に有効な
規制ということでは、社会規範、市場、アーキテクチャーの方がまさることもあるわけで、コード
規制をすべきところを
法律で禁止しようとしても
実効性は期待できません。
例えば、住民基本台帳ネットワークの住民票番号というのが、全国ネットがセットになっているわけですけれども、個人の正確な検索が簡単にできるという構造そのものが
個人情報保護を著しく難しくしています。地方自治
情報センターが住基ネットの端末を管理している全国の自治体に、有名人の住所を調べないようにと指示を出すことはほとんど無
意味です。こういったことを出していますが、これは無
意味です。ネット上では、技術的にできることは実行する人があらわれる、技術的に簡単であればなおさらというのが常識です。公務員は不正を行わないということになっているというおまじないは、ネット上では通用しません。
次に、
個人情報保護法案、
行政機関個人情報保護法案についてですが、立法の背景としては
OECD八
原則、EU指令があるわけですが、これだと、先ほども言いましたように、現実には
対応しません。また、これらを厳格に
法律化し、かつ厳格に実行している国があるのか。現実社会に
対応しているとは思えません。
堀部さんの
資料の中に、それぞれの国が何年に
個人情報保護法をつくっているかというようなものが五ページ以下にありますけれども、二〇〇〇年以降につくられている国というのは、六ページにありますが、カナダとメキシコ、それから
OECD非加盟国ではアルゼンチン、パラグアイ、ペルー、その国しか挙げられていません。また、これらの国が、果たして現在、現代という社会に
対応したものをつくられ、かつ実行できているのかどうかということについては疑問です。
官民一律の
規制というのは、現実的ではありません。民は、
法律、社会規範、市場、コードによって制約されますが、官には社会規範、市場という制約は働きません。
法律でこうなっておりますということであれば、幾ら社会規範が、あるいは市場がそれを認めないというものであっても、それを実行することは可能なわけです。
民間企業では、例えば銀行であれば、
個人情報保護について管理のしっかりしていないところは、我々取引をしない、よその銀行に取りかえることはできますけれども、
行政については、市民はそういったことはできません。
それから、死者の
個人情報についてちょっと説明させていただきますが、両
法案では、与野党ともにこれを入れておりません。これは恐らく、
開示請求等ができないということが、
本人の
アクセスができないということが大きな理由になっているかと思いますけれども、ここでも正確性の確保や適正な管理の
必要性は変わらないはずですので、基本的には死者の
個人情報も
保護の
対象に入れつつ、その権利の
部分については、それはまた別の
保護の仕方を考えるというふうにすべきではないかというふうに思います。
次に、
個人情報保護法案についてですけれども、
規制の
対象は
個人情報取扱
事業者というふうになっておりますが、ここで
個人情報を何人分持っているか、それを五千人分、一万人分、十万人分というふうにしたとしても、これは未成年者も相当含むような形になってしまいはしないかという気がいたします。
恐らくこれから、ことし、来年、再来年と、
個人情報を蓄積していく人たちというのは物すごくふえていくというふうに思います。特別な業者だけには限らないと思います。そういったときに、今までがこうだったからこの
程度でいいだろうというつくり方はいけないのであって、今つくるのであれば、
日本は世界の最先端の法制をつくるべきで、
民間のものを
規制する場合についても、やはり世界の先端というのを意識しなければいけないんじゃないかというふうに思います。
個人情報取扱
事業者の義務は、十五条以下にありますけれども、子供がこれを守れるかということも考えていただきたいと思います。
それから、地方自治体の
責務、施策については、
民間の方について
規定されていますけれども、地方自治体がそれを担い得るだけの能力があるかどうかということについては、
資料の一を後で見ていただきたいと思いますが、これは経済産業省が調べたものですけれども、地方自治体にはそういう能力はないということであります。能力のないところに
責務を負わせても、
責務を負った形、ふりをしているだけであって、実際、
実効性はありません。
それから、
民間については、
法律以外の方法による
規制ということを考えるべきだというふうに思います。
行政機関個人情報保護法案の方については、コンピューターネットワークのつくり方が非常に問題があるのではないかということを思います。例えば、住基ネットではウィンドウズが使われていますけれども、その理由について地方自治
情報センターの方に聞きましたら、
行政機関というのは、一たんリースでコンピューターなどを入れた場合には五年間は使うものなんだという説明を平然としました。問題が起こった、
状況が変わってきたのでかえようではなくて、五年間使うことになっているから使うんだということであるとすれば、セキュリティーも何もあった話ではありません。
それから、入ってきた
個人情報は
行政機関のものという考え方がまだまだ抜け切れていないのではないかと思います。
この
資料としてきょうお持ちしたのは、つい最近、私も代理人をしておりますけれども、警視庁が、国費捜査費、けん銃捜査費の裏金づくりについて住民の氏名、住所等を借用していたということについて、東京高裁で原告の請求が認められたというものです。後ろについているのは週刊誌のもので、この中の記事を見ると、ああ、かつて民主党の枝野さんも問題にしていたんだな、今は何を考えているんだろうかなというふうに思いますが、ぜひ追及してもらいたいと思います。
それから三番目は、
資料の三は、警視庁が警察官の採用試験で、一枚目の方は平成九年のもの、その次は十四年のなんですが、十四年の方をちょっとめくっていただくと、「第二次試験」のところに「エイズウイルス検査」というのが入っています。これは、警察庁に聞いたところでは、全国の都道府県の警察の中で警視庁だけしかやっていないそうです。それに対して、厚生労働省も警察庁も何も警視庁に言えないのかなと。そういうことになるとしますと、これはセンシティブ
情報に当たるわけですけれども、こういったことについて国が体系的にきちんと責任を持った
対応ができるかどうか、これは疑問です。
次に、
利用目的、
提供方法の統一については、金曜日に犯歴照会制度についての
議論が若干されていたようですけれども、それに関する
資料をきょうお持ちしております。この一番最後のつづりを見ていただきたいんですが、これが実際に行われていた犯歴照会の中身です。こういった詳しいものが市町村の犯歴照会では行われているということです。これで果たしていいのかどうかということをきちんと見直していただきたいと思います。
そういった問題を考えると、日弁連としては、
第三者機関はどうしても必要であろうというふうに思います。
第三者機関の
必要性というのは、決して各
省庁の特殊性を殺すという
意味ではなくて、各
省庁の独自性は認めながらも統一的な基準というものをつくっていかないと、例えば
情報公開でいいますと、外務省の
情報公開度は非常に悪い。同じような
情報を請求しても極めて悪いというのは、訴訟になれば負けることはわかり切っていることなわけですけれども、
情報という
意味では、
個人情報についても各
省庁にばらつきが出てくる可能性があります。それが
国民にとって、あるいは社会的にも信頼を得るものなのかどうかを考えていただきたいです。
それから訴訟管轄について。
日弁連では、ぜひこの訴訟管轄の問題もここできちんと
議論をしていただきたいと思っております。それは、
情報公開の場合には、運動として、高等裁判所がある所在地の人にかわりに請求してもらうということができますけれども、
個人情報の場合はかわりにやってもらうことはできません。
本人から
開示請求することしかできません。それに対しての訂正請求、中止請求も、最も利害を持っているのは
本人です。私の手がけた事件では、生活
保護を受けている人とか障害者とか、さまざま問題を抱えている人、そして資力もない人がほとんどです。そういったことを考えますと、なるべく近いところで裁判ができるということが権利の
実効性という
意味で極めて重要だろうと思います。
以上です。どうもありがとうございました。(拍手)