自己情報コントロール権と「個人情報の保護に関する法律案」
ニフティ(株)法務部 鈴木 正朝
1.はじめに
プライバシーという言葉が日常用語として定着して久しいのですが、わが国では、プライバシーの権利について規定した成文の規定はなく、裁判例からも一義的に明確な法概念を見出すことはできません。 権力によって国民のプライバシーが侵害された場合は、憲法上、個人の尊重の原理(13条前段)又は幸福追求権(13条後段)を根拠に新しい人権としてプライバシーの権利を認める見解が、ほぼ通説となっているようです。しかし、それを一人でほっておいてもらう権利として捉えるか、さらに自己情報コントロール権と捉えるか、自己決定権を含めて考えるか、また、肖像権、氏名権等との関連をどのように整理するかなど、その法概念はやはり確定されていないと評価するほかないようです。 他人(私人)によるプライバシー侵害から被害者(私人)を救済するという市民法の世界においてもそれは同様です。不法行為法を中心に既にプライバシーの侵害に関する多くの裁判例が集積されており、構学上、プライバシー保護法制として論じられることがありますが、そこに統一的な判例準則を見出すことは困難ではないかと思います。
プライバシー侵害を権利(人格権)の侵害として保護すべきか、人格的利益の侵害として保護すべきか、本人の差止請求権を認めるべきか否かという論点との関係で議論があるところです。また、民法上の人格権を基礎に自己のプライバシー情報に関する開示・変更・削除請求権まで踏み込んで認めることが妥当かといった問題もあります。
要するにプライバシー侵害については、裁判制度では、なかなか本人救済が難しいという問題があります。それは第一に差止請求、開示等の請求の困難性の問題、第二に迅速性の問題、第三に損害賠償額が低額すぎるという問題、第四に裁判費用の負担の問題などがあるといわれています。
こうした問題点を補う必要があることからも、個人情報保護法制の整備に期待が高まっているのではないかと考えます。
2.
さて、こうしたプライバシーや個人情報保護の問題においては、常に自己情報コントロール権という言葉がまさに独り歩きして、それを認めない考え方は、通説に反するとばかりに槍玉にあげられたりしますが、特に私人間の問題において、この考え方が本当にいいのかどうか、もう一度よく考えてみる必要がありそうです。
成文の規定がないからといって、安易に民法上の人格権などを基礎に自己情報コントロール権的考えを導入していいものか、私は、情報流通の阻害、他者の自由の抑圧、表現の自由の問題とも関連し副作用が大き過ぎる気がして、正直躊躇する気持ちがあります。
ちなみに最近話題になっている「個人情報の保護に関する法律案」(以下、個人情報保護法案という)では、個人情報取扱事業者(民間部門)においては、自己情報コントロール権的理解をいわば遮断することを企図しているように、「本人の同意」を例外的に扱い、「通知・公表」を原則として、直接契約によって個人情報を取得する場合にさえもあえて利用目的を「明示」すれば足りるとしているところにもそうした考え方が端的に反映されているように見受けられます。
その点では、行政権発動という意味では謙抑的にできていると評価すべきでしょう(消費者団体等からは手ぬるいとの主張がなされるところでもありますが、かといって単純に強化せよということでは、行政庁に、より強大な権限を付与することになりかねないという問題があります)。
私は「個人情報」を個人を識別することができる情報というように非常に広汎な概念を採用している点が個人情報保護法案の問題の核心の1つではないかと思っています。
いわば行政法である個人情報保護法案においては、行政庁への授権範囲が非常に大きくなるという問題を有しているからです。
一方、司法法というか、いわゆる判例法というべきか、プライバシー保護法制においては、やはりこのプライバシーの権利の法概念があまりにも曖昧で、権利なのか、人格的利益に止まるものかも判然としません。
この状況で、物権的な請求権のような自己情報コントロール権を導入していいものかどうか疑問に思っています。
個別事例における本人救済の必要性から、そうした理屈が下級審でたまに認められることがあるのはわかりますが、本当にこの理屈が一番いいのかとなると、なにか疑わしいような気がしています。
自己情報コントロール権というのは、いわば著作権のように統制しようというような発想に近いのではないかと思います。基本的に本人の同意によって、自己のプライバシーに関する情報の開示や変更、利用停止、削除などを他人に法的に強制できる権利ですから。これは非常に強烈です。とうてい明文の規定なくしては、正面から認められるべき類のものではないように思います。
個人情報保護法案では、プライバシー情報より、ある意味でより広汎な「保有個人データ」概念において、個人情報取扱事業者を対象にして、本人からの開示・変更・利用停止等の求めに応じる行政法上の義務を課しています。
自己情報コントロール権を認めた条項として理解される方もおられるようですが、法案を詳細にみていくと逆に自己情報コントロール権的な理解を遮断しているとみるべきではないかと理解すべきだろうと思いました(もちろん、法案成立後、司法判断がどうなるかはわかりませんが)。
仮に、この自己情報コントロール権であるという理解に立つなら、まず、その考え方が私人間にも妥当することを立法的に認めたということを意味します。そうすると、なぜ、個人情報取扱事業者だけに限定されるのかという説明が大変苦しくなりますし、「認定個人情報保護団体」が「個人情報保護指針」などで開示範囲を限定することが難しくなるような気がします。
本人を救済すべき病理現象のみにフォーカスして大企業事例を想定すると、自己情報コントロール権的解釈を行うことでいいのではないかという価値判断にもなり得ますが、八百屋さんや魚屋さんに対しても開示請求等が可能になりますと、本人確認はどうするのか、開示範囲をどう確定するのか、なりすましに開示したり、開示範囲を間違えて第三者の情報を見せてしまうなど、さまざまな問題が発生するのではないかという現実的な弊害を懸念します。大手企業であればコールセンターと法務部の連携した大掛かりな対応が要求されるかもしれません。
さらには、開示を前提としたしくみにデータベースを設計し直したり、データを書き直したり、消去したりと膨大な事務を発生させてしまいます。やはり大手企業の中には数億円の情報化投資予算を組んだところもあります。対応にお金と要員のスキルが必要であるという点では中小企業も大企業も同じことでしょう。
また、個人情報保護法案は、雇用管理情報も対象となりますから、個人情報取扱事業者である使用者は、労働者からの開示等の求めに応じるべき義務があります。はたして無条件に開示することが可能なものでしょうか。
やはり一般法として広い規制が及ぶ場合には、対象となる事業者を絞り込む必要があり、また、開示範囲も無理のない範囲に限定していく必要があるように思います。
私人間において、自己情報コントロール権という憲法的基礎をもって一般法として導入されるとそうした開示範囲の限定といった現実的指針の策定に一定の枠が与えられるのではないでしょうか。そうした場合、現代の生類憐みの令というか、平成の禁酒法というか、理念が先行しすぎた法案になりはしないかと懸念するわけです。少なくともこの個人情報保護法案を前提にする限りにおいては、民間部門に自己情報コントロール権を導入する立場を支持することはできないのです。
また、付言するなら、個人情報保護法案では、保有個人データを消去することについて罰則はありません。場合によっては開示の求めに先立ち消去することも可能です。従って、自己情報コントロール権を基礎とするか否かに関わらず、何らかの開示の求めに応じる行政法上の義務、または請求権を立法化するときは、たとえば、遺伝子情報や医療情報などのような保存義務を課すことが妥当な領域について部分的に個別立法により導入していくべきものではないかと思います。
3.おわりに
こうした問題を、より大きく考えていくと、私法には、物権、債権、無体財産権がありますが、ここに来て現代は「情報」をどうとらえるか、が1つの大きなテーマになっているように思います。
財産権的側面や人格権的側面を有する「情報」をその延長線上で、既存の法理でどこまで取り扱えるものなのか、そもそも「情報」という言葉は法概念として採用するには漠然としすぎているのかもしれませんが、情報ネットワーク社会においては、「情報」を法的にどのように規整していくべきか、解釈論だけではなく立法政策に踏み込んでいろいろ検討していかなければならないように思います。これは「情報法」というこれからの法分野において検討すべき問題なのかもしれません。
その意味で、今回設立された「情報ネットワーク法学会」を通じていろいろ勉強していければいいなと思っています。
参考サイト
ディスカッションルーム
- 「インターネットを非合法化する個人情報保護法」について 匿名希望 (2002年10月18日)
- 自己情報コントロール権と「個人情報の保護に関する法律案」 鈴木 正朝 (2002年10月18日)
