最近参加した学会とデジ行宍戸意見を踏まえて思ったことを(雑駁ですが)書いていきます。
情報公開・公文書管理法制との分離
平成15年制定時に生じた「歪み」を取り除くという観点からは、以下が検討事項となりうる。
- 規律の対象を「保有個人情報」から民間と同等の処理情報に改めるべきである。これは、①体系的構成(≒個人情報ファイルを構成する個人情報であること)を要求することと、②行政文書への記録を要求しないことの2つを意味する。
- 情報公開法上の行政文書は、一時的に生成・記録される電磁的記録を含まない。行政文書開示という目的からは自然な定義ないし解釈であるが、個人データ保護の観点からは、記録しなければ規制を免れるというのは不合理である(かといって、個人データ保護の必要性がある場面全体にまで公文書管理法4条を及ぼすのはやり過ぎであろう。)。
- 同時に、データベース/ファイル概念を官民で統一し(体系的構成が重要で、保存(storage)は重要ではないので、「データセット」などと呼んだほうがよいかもしれない。)、民間部門でもデータベース/ファイルごとの利用目的の通知・公表を求めたほうがよいかもしれない(というか、本来、処理目的ごとにデータベース/ファイルを観念すべきなのだと思われる。)。
- その上で、いわゆる行政文書の本人開示は、情報公開法に特則を設けるのが筋ではないか。いわゆる「制度の谷間」の本質は、(情報公開法5条1号の)保護法益の帰属主体が当該利益を放棄しているのに、当該利益を理由とする不開示が認められることにあり、そうであるとすれば、本人請求/本人同意の場合には不開示を認めないこととすれば足りるはずである(商標法4条1項8号参照)。
- 行政文書の「探索」の問題は、行政文書と個人情報ファイルの違いを十分考慮することなく本人開示を個人情報保護法制に引き受けさせたことの弊害と言える。行政文書は行政文書としてインデックスされている(はずな)ので、文書特定事項があれば容易に探せるはずであるし、個人情報ファイルを構成する個人情報は個人情報としてインデックスされているので、本人特定事項があれば容易に探せるはずであるが、行政文書に散在的に記載された個人情報は、個人情報としてはインデックスされていないので、「藁の中から針を探す」作業になる。
- なお、公文書管理・情報公開法制は、それはそれとして見直されるべきである。
- 例えば、ヴォーン・インデックス、インカメラ審理、裁判所(司法行政文書、裁判文書)の規律、公文書管理委員会の地位と権限の強化等が検討課題となろう。
- 情報公開法5条1号本文は、前段で個人識別情報(その定義は「容易に」の点を除いて個人情報保護法制における個人情報の定義と類似している。)を定め、後段で個人が識別されないが開示により権利侵害が生じるおそれがある情報を定めているが、個人識別情報の開示は、類型的に権利侵害を生じさせるとは言えず(個人情報保護法制は個人識別情報に類似する「個人情報」の取扱いを規制対象としているが、それは、その体系的処理に起因する権利侵害を防止するために過ぎない。)、単に開示により個人の権利利益を侵害するおそれのある情報とすることも考えられるのではないか。
エンフォースメントの強化
また、エンフォースメント強化の観点からは、以下が検討事項となりうる。
- ファイル保有時の事前通知義務の適用除外を精緻化すべきではないか。事前通知義務は、個情委による監視権限発動の端緒となるものであり、事務の性質上本人通知等が適切ではない場面では、監視権限発動の必要性はより大きい。現行法の適用除外規定は、基本的には昭和63年法制定時に作られたものであるが(高鳥総務庁長官が当時の苦労を答弁している。)、個情委は独立監督機関であるし、委員・事務局職員の守秘義務も国家公務員法のそれと比べて強化されている。
- 行政機関においてこそ、DPOの選任とDPIAの実施・通知を義務付けるべきではないか。前者については、個人情報保護責任者は既に既に設置されているから、大きな混乱なく導入できると思われる(ただし、独立性と利益相反の防止は要求する必要がある。)。後者についても、ファイル保有時の事前通知義務の拡充と考えれば、それほど大きな変化ではないだろう(そのような形で導入した上で、徐々にやり方を洗練させ、よりプロアクティブな監視権限行使に繋げていけばよい。)。
Processing中心の規制体系への移行
より根本的な問題は、activity-basedな規制にどのように切り替えていくかである。宍戸意見が「AIの学習や利用、データの共有や連携等の拡大を見据えて、検討を行うべき」と指摘するとおり、今後、個人データ処理は官民問わずますます越境的(個情法第4章であれば法人格、個情法第5章であれば行政機関の枠を越えるという意味で)になる。そのような実態に対して、entity-basedな側面の強い規制体系は有効でなくなっていく可能性が高い。そこで、一連のprocessing activitiesに着目し、必要な者に責任を割り当てるという、activity-basedな規制体系への転換が必要であるが(See, Seiichi Igaya, Osamu Sudoh, Ignored discrepancies in the fundamental concepts of data protection laws in Japan and the EU)、一方で、EUは、file概念を放棄したことにより、処理情報と散在情報の区別がつかなくなっているように見える。例えば処理概念に体系性を読み込みつつ(UK DPA 1984のように)、セキュリティ義務など(「など」の範囲が問題であるが)は別建てとするのか、データベース/ファイル概念を残しつつ、データベース/ファイルと処理を一対一で観念するのかといったことを考える必要がある。官民の情報連携が今後ますます増えることを考えると(例えば警察と金融機関/通信事業者/オンラインサービス)、この見直しは、4章・5章同時に行う必要がある。
