高木浩光@自宅の日記
目次
はじめに
連絡先:blog@takagi-hiromitsu.jp
■ 国土交通省が散在情報(散在個人情報)は個人情報保護法第4章の対象外と判断か
ミュージシャンのASKAが逮捕前に乗ったタクシーでの車内録画映像が複数のテレビ局に提供されたことについて、関係するタクシー会社グループから状況報告の発表があり、国土交通省がこの事態を﹁誠に遺憾﹂として関係団体へ﹁適切な管理の徹底﹂を求め通知するという展開になった。
●この度のチェッカーキャブ加盟会社の車内映像がテレビ等マスコミ各局にて放送されている事態につきまして, 株式会社チェッカーキャブ, 2016年11月30日
●ドライブレコーダーの映像の適切な管理の徹底について, 国土交通省 報道発表資料, 2016年12月1日
今般、タクシーに装備されたドライブレコーダーにより後部座席の乗客が撮影された映像がテレビ等で放映されるという事案が発生したことから、映像の適切な管理の徹底について関係団体あて通知しました。
●ドライブレコーダーの映像の適切な管理の徹底について, 国土交通省自動車局 安全政策課長 旅客課長, 2016年12月1日
公益社団法人日本バス協会会長殿
一般社団法人全国ハイヤー・タクシー連合会会長殿
一般社団法人全国個人タクシー協会会長殿
︵略︶
今般、タクシーに装備されたドライブレコーダーにより後部座席の乗客が撮影された映像がテレビ等で放映されるという事案が発生した。
いうまでもなく、ドライブレコーダーの映像は、運転者に対する安全運転指導や事故調査・分析を効果的に行うなど事業用自動車の安全確保のために活用されるべきであるにもかかわらず、安全・安心な運送を提供するべ自動車運送事業者が、その趣旨に反し乗客のプライバシーに配慮することなくマスコミに映像を提供するという行為が行われたことは、誠に遺憾である。
このため、ドライブレコーダーの映像に関しては、乗客のプライバシーを十分に配慮した上で、社内規程の作成を含め適切な管理を徹底するよう、貴会傘下会員に対し改めて周知されたい。
さて、この事案、個人情報保護法の観点からはどうだろうか。国土交通省は﹁個人情報﹂の語を一度も使っていないのだが、朝日新聞では以下のように報じられ、個人情報保護法の観点が持ち出されている。
●ASKA容疑者 逮捕前のタクシー内 映像提供 公益性どう判断 ﹁プライバシー侵害﹂批判も, 朝日新聞2016年12月3日朝刊︵東京37面︶
国土交通省は1日、タクシーやバスの業界団体に対し、乗客のプライバシーに配慮してドライブレコーダーの映像の管理を徹底するよう求める通知を出した。﹁乗客のプライバシーに配慮することなく、マスコミに映像を提供するという行為が行われたことは誠に遺憾﹂としている。国交省の担当者は﹁取材の妨害をする意図はなく、判断材料にしてほしい﹂と話した。
︵略︶
︽鈴木秀美・慶応大教授︵メディア法︶の話︾ 映像に個人情報が含まれている場合も、報道目的であれば個人情報保護法の適用除外とされ、報道機関への提供は認められている。今回は芸能人が﹁公人﹂にあたるか、好奇心を満たす以上の意義があるかという点で、判断が難しい事例。自宅を特定されないなどの配慮は必要だが、薬物犯罪について理解を広げるためという観点からいえば、法的には許容されるのではないか。︵略︶
︽西原博史・早稲田大教授︵憲法学︶の話︾ 個人情報保護法は報道機関への適用除外を認めているが、今回の映像は犯罪事実の立証にかかわる情報を含むとも思えず、﹁興味本位﹂を超える公共性はないのではないか。︵略︶
1人目の法学者は、個人情報保護法を正しく理解していない。この法が適用除外としているのは、報道機関が報道目的で取り扱うことについてであり、報道機関でないタクシー会社が、報道機関に報道目的で提供する行為は、適用除外︵現行法66条︶ではなく、︵提供したものが﹁個人データ﹂に該当するならば︶違法である。
ただし、報道機関に対して報道目的で提供する行為について主務大臣は﹁その権限を行使しないものとする﹂との規定がある︵現行法35条︶。この規定があるからといって、提供行為が違法でなくなるわけではなく、違法行為である。
この﹁違法だが権限行使せず﹂という制度に対して、新聞協会などマスコミ団体は、これも適用除外にするべきだと繰り返し主張してきているのに、この朝日新聞の識者コメントはそれを踏まえていないようだ。
ところで、その2日前、以下の報道もあった。国土交通省の担当者が﹁法律に違反するわけではない﹂とコメントしているのだが、これは正しいのだろうか。
●ドライブレコーダーの映像﹁管理徹底を﹂ 国交省が通知, 朝日新聞2016年12月1日
国交省自動車局の担当者は﹁法律に違反するわけではないがモラルとして良くないことなので通知をした﹂と話した。
まず、監視カメラに顔が映り込んでいる場合は、その映像は個人情報に該当するとされている。先日公表されたばかりの、個人情報保護委員会のガイドラインにおいても以下の記述がある。
︻個人情報に該当する事例︼
事例3) 防犯カメラに記録された情報等本人が判別できる映像情報
個人情報の保護に関する法律についてのガイドライン︵通則編︶, 個人情報保護委員会, 2016年11月, p.5
しかし、単に録画されただけの映像は、﹁個人データ﹂︵個人情報データベース等を構成する個人情報︶には該当しない。したがって、個人データの本人同意なき提供を原則的に禁ずる23条の規定には違反しない。
問題は、本人同意なき目的外利用を禁じた16条の規定に違反するかどうかである。
第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
16条ではこのように、客体が﹁個人データ﹂ではなく﹁個人情報﹂という語で指定されている。これをどのように解釈するのかが論点となる。
これについて、私は以前より、個人情報保護法の第4章の規定は、個人データ︵及び個人データとなることが予定されている個人情報︶に係る規律であって、そうでない個人情報︵散在情報と呼ばれる︶は︵公的部門とは違って︶民間部門では規律の対象外とするべきであり、また、元々そういう趣旨だったのではないかとの説を唱えている。
8月23日の日記﹁﹁法とコンピュータ﹂No.34に34頁に及ぶ論考を書いた﹂で紹介した論文﹁IoTに対応した個人データ保護制度のあり方﹂では、このことについて以下のように論じている。
4.4 制定時の立法の過誤
筆者は、このような、散在情報についてまで15条〜18条の義務がかかると解釈されるのは、2003年の個人情報保護法制定時の立法の過誤ではないかと考えている。
︵略︶
4.4.3 なぜ﹁個人データ﹂としなかったのか
︵略︶では、なぜ、15条〜18条を﹁個人データ﹂としなかったのか。このことについて、逐条解説書(18)は、15条と19条の解説部分で次のように説明している。
︵15条︶﹁なお、取り扱う対象を﹃個人情報﹄し﹃個人データ﹄としていないのは、いずれ個人情報データベースに記録され﹃個人データ﹄となるものであっても、取得段階では﹃個人情報﹄の状態であることによる。本条から第18条までの規定は、個人情報の取得段階を含む個人情報の取扱い全般を規律するものであることから、﹃個人データ﹄︵第2条第4項︶ではなく﹃個人情報﹄︵第2条第1項︶を規律の対象としている。﹂︵117頁︶
︵19条︶﹁本法第4章は、基本的に個人情報取扱事業者が事業の用に供する個人情報データベース等を対象としていることから、取得段階の規律は﹃個人情報﹄を対象としているが、その後の段階における個人情報の取扱いを規律する場合は﹃個人データ﹄が対象となる。﹂︵135頁︶
この説明は、解説書全体を通してこれだけしか書かれていないことに注意したい。15条のこの説明は、規制の趣旨を全く理由としておらず、﹁取得段階では﹃個人情報﹄の状態であることによる。﹂という説明は、法制技術上の都合でしかない。19条の説明に至っては、4章全体が基本的に﹁個人情報データベース等﹂を対象とするものだと言いながら、理由もなく﹁取得段階の規律は﹃個人情報﹄を対象としているが、﹂との文を挿入して、その後の段階は個人データが対象だなどと、不自然な説明で終わっている。
この法制技術上の都合とは、別の例で言えば次のことと同じである。行政機関個人情報保護法は﹁保有個人情報﹂が対象情報であるのに、3条の取得段階の規定では﹁個人情報を保有するに当たっては、﹂とか、﹁個人情報を保有してはならない。﹂といったように﹁個人情報﹂の語で規定しているが、その理由は、﹁保有する前の段階では未だ︵保有個人情報ではない︶個人情報の状態であるから。﹂である。こちらの場合は、﹁保有するに当たっては﹂と、保有個人情報となることを前提とした規定であるし、﹁保有してはならない﹂というのは、違反すれば保有個人情報となることを前提とした規定だから、これで問題とならない。
︵略︶
4.4.4 反対解釈がもたらした混乱
他方、識者らによる解説書では、15条〜18条と19条以降とで対象情報が異なる理由を、規制の強弱を付ける政策的意図によるものと位置付けるものがほとんどである。
例えば、宇賀(37)は、15条の解説において、﹁﹃個人データ﹄ではなく、﹃個人情報﹄全体について、利用目的の特定義務が及ぶ。本条1項にいう個人情報の取扱いは、取得段階も含んでおり、この段階においては、個人情報全般を規制する必要があるからである。﹂︵78頁︶としているが、立案担当者らは﹁規制する必要がある﹂とはどこにも記していない。
宇賀(37)は、19条︵データ内容の正確性の確保︶の解説で、﹁個人情報ではなく、個人データに範囲が限定されているのは、容易に検索しえない散在情報としての個人情報にまで正確性の確保を要求することは、個人情報取扱事業者に過度の負担を課すことになるからである。﹂︵96頁︶としている。その指摘自体はその通りに違いないが、そのことが、必ずしも、15条〜18条の義務を散在情報まで対象とする理由となるわけではない。
逐条解説書(18)においても、23条の解説部分に、﹁特に電子的に処理することが容易な個人データが本人の意思にかかわりなく第三者に提供されれば、本人の全く予期しないところで当該個人データが利用されたり、他のデータと結合・加工されるなどして、本人に不測の権利利益侵害を及ぼすおそれが高まることとなる。﹂︵145頁︶という記述があるが、これは、4章全体が﹁個人情報データベース等﹂を対象としている理由の一つを説明しているのであって、15条〜18条と違って23条が﹁個人データ﹂対象であることの理由を説明しているわけではないと読むことができる。それにもかかわらず、こうした記述が反対解釈を生み、15条〜18条についてはそれ以外に対しても義務を課すのが相当とされているのだと解されるようになったのではないか。
岡村(38)は、定義の総説部分で、﹁﹃個人情報﹄を対象に一定の義務を負うという構造を基本に、﹃個人情報﹄のうち﹃個人データ﹄に限定して義務の内容が加重され、﹃個人データ﹄のうち﹃保有個人データ﹄と呼ばれるものである場合には、さらにいっそう義務の内容が加重されるという、いわば﹃積み上げ構造﹄とでも呼ぶべき形式が採用されている。﹂︵61頁︶とし、﹁個人情報﹂と﹁個人データ﹂の義務の違いを積極的に区別しているが、立案担当者らはそのようには説明していない。
鈴木(39)は、図2に示す図を用い、﹁個人情報﹂と﹁個人データ﹂の区分と、義務の条番号とを矢印で結んで、これらの対応関係を積極的に扱った。
しかし、逐条解説書(18)はこのような図を載せていない。似た図として、﹁﹃個人情報﹄・﹃個人データ﹄・﹃保有個人データ﹄の関係﹂と題する図︵64頁︶で、これら定義語の情報の範囲の包含関係をベン図で示してはいるものの、義務との関係を明示していない。その代わりに、﹁対象となる個人情報、事業者の範囲等﹂と題する図︵70頁︶で、図3に示す図を掲載している。この図では、﹁個人情報データベース等﹂の枠が﹁第4章 個人情報取扱事業者の義務﹂の枠に矢印で直結されており、あたかも、16条、17条の義務が﹁個人情報データベース等﹂に対してかかるものであって、それを除いた﹁個人情報﹂にはかからないかのような図になっている。
もっとも、この図は、4章の義務がかかるのは﹁個人情報データベース等﹂を事業の用に供している者のみであることを言わんとしたものでもあるのだろう。それでも、﹁対象となる個人情報、事業者の範囲等﹂と題されているので、上記のようにも読める。この図の構成は、後に消費者庁が発行したパンフレット﹁よくわかる個人情報保護のしくみ﹂にも引き継がれており、そこでは、図2のような図が示されることはない(40)。
識者らの解説と政府の解説とでこのような微妙なずれが生じたとすれば、その原因として、識者らは、立案段階の旧法案の趣旨に引きずられたまま、新法案へ変更した立法者意思の趣旨を明確に知らされなかったことがあるのではないだろうか。
︵略︶
5. 次の改正に向けての提案
︵略︶
また、民間部門で、散在情報を対象から完全に外すことが適切かを検討しなければならない。例えば、防犯カメラに録画される顔を含む映像︵顔識別が行われていないならば﹁個人データ﹂に該当しない。︶に個人情報保護法の規律が何ら及ばなくなる(46)ので、別の規律が必要となろう。
︵略︶
注釈
(37) 宇賀克也﹃個人情報保護法の逐条解説︿第4版﹀﹄有斐閣、2013年︵初版2004年︶
(38) 岡村久道﹃新訂版 個人情報保護法﹄商事法務、2009年︵初版2004年︶
(40) 鈴木正朝﹃個人情報保護法とコンプライアンス・プログラム 個人情報保護法とJIS Q 15001:1999﹄商事法務、2004年
(40) 消費者庁のパンフレットには、冒頭で﹁法の義務の対象となる個人情報は、主として﹁検索することができるように体系的に構成された個人情報︵法律上﹁個人データ﹂︵法第2条︶と呼ばれる情報︶です。﹂とも書かれている。とはいえ、その一方で、Q&Aのページには、﹁カメラで個人を勝手に撮影することは、個人情報保護法違反になりますか。﹂の問いに、個人情報取扱事業者には15条、16条、17条が適用されるとしており、個人情報データベース等を構成する予定すらない撮影に対しても個人情報保護法が適用されるとしている。
(46) 現行法においても、防犯カメラの録画映像は、15条〜18条の義務は適用され得るが、肝心の安全管理措置︵20条︶は適用されないのであり、防犯カメラを規律する法律というにはあまりに中途半端である。
高木浩光, “IoTに対応した個人データ保護制度のあり方”, 法とコンピュータ, No.34, pp.47-81︵2016年7月︶
注釈(40)で述べているように、消費者庁のパンフレットには、Q&Aのところに、監視カメラの録画映像について15条、16条、17条が適用されるとする記述があるが、注釈(46)で述べているように、個人情報保護法を防犯カメラの取り扱いを規律する法律とするには、肝心の安全管理措置義務がないなど、あまりに中途半端すぎる。
経産省ガイドライン︵告示︶では、ガイドライン本体には、前掲の個人情報保護委員会ガイドラインと同様に、﹁個人情報に該当する事例﹂のところに、﹁事例3︶防犯カメラに記録された情報等本人が判別できる映像情報﹂との記述があるだけで、それ以上の説明は何もなかったが、そのQ&A︵告示ではない︶で、2005年という早い時期から次の回答がなされていた。
Q 146 店内等に防犯カメラを設置する場合、どのような点に注意が必要ですか。
A防犯カメラの撮影により得られる容姿の映像により、特定の個人を識別することが可能な場合には、 原則として個人情報の利用目的を本人に通知又は公表しなければなりません。もっとも、﹁取得の状況からみて利用目的が明らかであると認められる場合﹂には、その利用目的を公表等する必要がないとされており︵法第18条第4項第4号︶、一般に、防犯目的のためにビデオカメラを設置し撮影する場合は、﹁取得の状況からみて利用目的が明らか﹂であると認められるものと解されます。しかし、防犯以外の目的で利用する場合には、﹁取得の状況からみて利用目的が明らか﹂とは認められない可能性が高いため、当該利用目的を公表等する必要があります。(2005.7.28)
これは結局、何もしなくてもよいと言っている。本来必要とされていると考えられる防犯カメラに対する何らかの規制が日本法にはない状況において、防犯カメラが広く普及し始めた時期にちょうど成立した個人情報保護法を、その場しのぎにテキトーに当てはめてお茶を濁しただけのように見える。
先日公表された個人情報保護委員会のガイドラインでは、監視カメラの録画映像に15条〜18条が適用されるとの記載はない。しかし、今後出てくるQ&Aに記載される可能性はあるだろう。
個人情報保護委員会には、安全管理措置義務がないのに利用目的関係義務だけ課すというこの半端さ加減に、疑問を持ってもらいたいものである。もっとも、その半端さを解消するために、安全管理措置義務を散在情報にまで広げるというのには大反対である。その理由は、前掲の論文にも書いているように、本来民間部門において保護の対象とするべきでない情報についてまで義務が課されてしまうのは、弊害が大きすぎるからである。
なお、顔識別カメラを用いて、顔ごとに検索できるよう体系的に構成している場合には、﹁個人データ﹂に該当し、個人情報保護法第4章の義務が全部かかるということでよい。顔識別をしない録画するだけの監視カメラについてだけ、どう規律すべきかが、お座なりになっているのである。
以上は私の主張にすぎないが、今回の国土交通省の対応は、どういう整理になっているのだろうか。
まず、今回のASKAの映像が﹁個人情報﹂に当たらないという見解はまずあり得ないだろう。しかし、自動車局の担当者は﹁法律に違反するわけではないがモラルとして良くないことなので通知をした﹂と朝日新聞の取材に答えている。前記のように、報道機関に報道目的で報道機関以外の者︵この場合タクシー会社︶が提供する行為は、個人情報保護法第4章の適用除外対象ではなく、︵提供するものが﹁個人データ﹂に該当する場合は︶違法である。もっとも、提供された映像は﹁個人データ﹂には該当しないので、23条違反ではない。ただ、目的外利用禁止︵16条︶違反という解釈もあり得るところ、これまでそこがはっきりとは整理されてこなかった。
そうすると、今回の国土交通省の対応は、散在情報である映像は個人情報保護法第4章の義務の対象外であると判断した︵個人情報保護法に基づく主務大臣の判断として︶ものではないだろうか。そのように理解しない限り、どこかで国土交通省は法解釈を間違えていることになる。
だとすれば、私の主張を裏付けるものとなって朗報、ということになる。
もっとも、国土交通省は、JR東日本のSuica乗降履歴提供事案について、未だ、個人データの提供であったという見解を公式に示していないような組織であるから、個人情報保護法の考え方に疎く、単に無頓着なだけという可能性もありそうではある。