10月中旬から始まる臨時国会で争点となる個人情報保護法案は、与野党協議が難航し、成立は困難と見られている。昨年の通常国会に法案が提出されてから三度も流産し、足かけ三年かかることが確実になった。この背景には、政府のボタンのかけ違えがある。
1999年に住民基本台帳法が改正されたとき、新聞は「プライバシー保護のための規制が必要だ」と主張し、政府も「国民総背番号」への反発を避けるために法制化を始めた。ところが法案ができてみると「メディア規制だ」として反発を受け、「放送機関、新聞社、通信社その他の報道機関」を義務規定から除外すると、今度は出版社やフリー・ジャーナリストが反発して、収拾がつかなくなってしまったのだ。
しかし個人情報保護法案の対象はデータベースであり、メディア規制ではない。この種の法律でマスメディアが摘発された例は世界にもないのに、メディアが騒ぐ一方、コンピュータ業界が何もいわないのは奇妙である。この法案が成立したら、インターネットのウェブサイト(ホームページ)はほとんど「非合法」になるからだ。
企業のホームページはほとんど規制の対象になる
プライバシーという概念が19世紀末にできたのは、スキャンダル報道から著名人を守るためだったが、最近の問題はこれとは別のコンピュータの個人データの話である。両者が混同されていることが混乱の原因だ。
1970代から、コンピュータ・ネットワークの発達によって信用情報などが本人の知らない間に流通するようになったため、80年にOECD(経済協力開発機構)が個人データ保護のガイドラインを決めた。これは八項目からなるが、もっとも重要なのは「適法かつ公正な目的のために収集され、同意を得た個人データのみに限定する」という収集制限の原則である。
このガイドラインをもとにしてできたEU(欧州連合)指令が1995年に発効し、欧州各国はこれに沿って国内法を制定することになったが、ちょうどこのころからインターネットが急速に普及し始めた。大型機による閉じたネットワークを前提にしたEUの原則は、オープンなインターネットに適用するとすべて違法になってしまう。
たとえばEU指令に忠実なスウェーデンでは、動物愛護団体が毛皮業者のリストをホームページに掲載したり、消費者団体が銀行の取締役をホームページで批判したというだけで行政処分を受け、多国籍企業はスウェーデンからウェブサイトを引き上げている。
他方、米国では表現の自由を優先して欧州のような包括的な規制は行わず、個別分野ごとに規制を行い、判断は司法に委ねる方式がとられてきた。これは判例で法律を時代に合わせて実質的に修正する英米法の知恵だろう。
ところがEU指令では、その原則を守らない国への個人情報の移転も禁止しているため、米国政府はこれに反発し、交渉の結果、米国企業に対して特例を設ける「セーフ・ハーバー」という協定が結ばれた。しかし、この協定に加盟している企業は250社足らずで、大部分の米国企業は(EUの基準では)非合法状態のまま欧州との電子商取引を行っている。
日本では、こうした問題の所在さえ認識されていない。住基ネット(住民基本台帳ネットワークシステム)を「個人情報保護法が成立するまで運用するな」と主張しながら、その個人情報保護法案を廃案にせよと求める野党は、昔ながらの「何でも反対」だ。
これに対して出てきたのが、読売新聞の修正案である。公明党の修正案もこれに近いものになるといわれるが、報道だけを個人情報保護の対象から全面的に除外し、あとの業界はいくら規制されてもよいという記者クラブ的な特権意識丸出しである。
日本の個人情報保護法案も、OECDガイドラインにもとづいているが、欧州ほど包括的な規制ではなく、かといって米国のように個別の司法判断にゆだねるわけでもない。前半で基本的な理念を定めた上で、後半で個別の業界に義務と罰則を課すという二段構えだ。メディアは義務規定から除外されたので、彼らが騒ぐような問題はほとんどないが、インターネットが義務規定の対象になることは避けられない。
法案を作成した内閣府の藤井昭夫審議官も「営利・非営利を問わず、政令に定める人数以上の個人情報を扱うウェブサイトは義務規定の対象になる」と明言している。この人数は五千人になると見られるので、ほとんどの企業のサイトは「あらかじめ本人の同意を得ないで個人情報を取り扱ってはならない」(個人情報保護法第二一条)という規制の対象になる。
何か問題が起きれば、政府がサイトの閉鎖を命じることができるし、検索エンジンに対して「私の個人情報をすべて削除しろ」と訴訟を起こされたら、運営はきわめて困難になろう。特にトラブルの多発する「2ちゃんねる」などの掲示板は、閉鎖を余儀なくされるおそれが強い。
インターネット時代に問われる「表現の自由」
法案は流れそうなので、今からでも遅くない。問題を根本的に考え直すべきだ。私についての情報は私のものではないし、私が所有すべきでもない。情報を本人が私的に検閲する「自己情報コントロール権」というのは、民主主義の社会では認められてはならない。生産のインセンティブが必要ない個人情報には、著作権のような強い権利保護は必要なく、事後的な紛争処理によって問題を解決すべきだ。
問題は個人情報が漏れることではなく、それが悪用(あるいは誤用)されてブラックリストに載ったり、変な勧誘が来たりすることだが、これによる被害はきわめて限定的なもので、包括的な規制をする必要はない。基本的には個人情報の流通は自由にし、その悪用を防ぐという方針に転換すべきだ。
具体的には、まず戸籍、信用情報、病歴などの最小限度の保護対象を「ポジティブ・リスト」で定め、それ以外の情報については、事前規制は行わず、悪用による被害を救済する制度を整備すべきである。そのためには、問題が起こった場合の紛争処理機関が重要である。現在の裁判所ではコストも時間もかかりすぎるし、業界で設けている自主規制機関もほとんど機能していない。個人情報保護法案で創設することになっている「個人情報保護団体」も行政からの中立性が疑わしい。
中立的な非営利組織による個人情報専門のADR(代替的紛争処理機関)を日本でも創設すべきである。この場合、匿名の掲示板などで加害者を特定するためにログ(アクセス記録)を保存する義務を一部の業者に課す必要があるかもしれない。
インターネット時代には、表現の自由は一部のマスメディアの問題ではない。住民票コードの民間利用を禁じる住民基本台帳法も、憲法に違反する疑いが強い。コンピュータ・ネットワークでも、情報を収集し利用する自由は最大限に保障されなければならない。個人情報保護法制を、インターネットの自由という観点から全面的に見直すべきである。
この文章は週刊ダイヤモンド(2002年10月19日特大号)より転載されたものです。
ディスカッションルーム
- 「インターネットを非合法化する個人情報保護法」について 匿名希望 (2002年10月18日)
- 自己情報コントロール権と「個人情報の保護に関する法律案」 鈴木 正朝 (2002年10月18日)
