企業法務マンサバイバル

企業法務を中心とした法律に関する本・トピックのご紹介を通して、サバイバルな時代を生きるすべてのビジネスパーソンに貢献するブログ。

プライバシー

【本】『アメリカプライバシー法』— 米国プライバシー保護政策の理想と現実


Google、Apple、Facebook、Amazon...と、米国産まれのウェブサービスを毎日利用しているにもかかわらず、プライバシー法のこととなるとFTC3要件やCOPPAの上っ面ぐらいしか分かっていない、そんな私のような者のために翻訳していただいたような本。





米国プライバシー法については、ダニエル・ソロブのシリーズを読んだ後、ロースクール向けに書かれたテキストを一応は手に取りました。しかし実務からの距離は遠く、漫然と判例を読んでいても頭に入ってこずで、ずっと学習法に困っていました。加えて、EUでGDPRが本決まりになって以降のプライバシーの潮流は、ソロブが予測していたものからは大きく外れ、自分自身の学習の軌道修正の必要性も感じはじめていたところでした。

本書は、FTC(連邦取引委員会)によるプライバシー政策施行のタイムラインに沿って、米国におけるプライバシー法の発展の歴史と現状の課題を整理し概説する本です。したがって、1980年代後半の、FTCがプライバシーを消費者保護の問題として大きく捉えることになってからの歴史を中心としています。これは、日本で出版される米国プライバシー法に関する多くの書籍・論稿が、プライバシー権の起源となったウォーレン&ブランダイス論文以降のプライバシー近代史について語ることをしない(できていない)のとは対照的です。学説の紹介に終わらず、ビジネスへの当てはめによってどのようなハレーションが起きてきたのか、そんな観点を強く意識して書かれています。

IMG_0863

また、最終章にあたる6章では、「プライバシーの国際的取組み」と題し、最近のEUが掲げるプライバシー政策に触れた上で、EU法と米国法との衝突にも触れます。

IMG_0864

なんといっても本書の特徴はズバリ、「歯に衣着せぬ物言い」と言ってよいでしょう。たとえば、最近特に逆風が強まってきたアドテク業界(特にFacebookのようなプラットフォーマーや、DMPなど)が「情報ブローカー」化していることに対しての一言がこちら。

情報ブローカーを規制するための法律は,政治的に制定不可能である.その理由の一端は,非常に多くの大企業が——そして,政治家自身が——,国民に関するデータを蓄積するため,情報ブローカーを利用している,という事実に求められる.(P4)

ついでこちらは、児童オンラインプライバシー保護法、通称COPPAの運用実態についての一言。

個人に関する情報に関して非営利的な内部利用に関してまで,「Eメールとは何か」という形での同意をとることで同意要件を満たすというFTCの許容度は,なかなか厳しいものがある.結果として,サイトはCOPPAの要件をすべて取り込むか,または全く子どもたちがサービスを利用していないというフリをするかのどちらかとなってしまっている.(P97)

ここまで本当のコトを文字にしてしまってよかったんでしょうか(笑)と、読んでいるこちらが後ずさりをしてしまうほど。他の法律書ではオブラートに包まれた、厳格な法令をビジネスにおける実務に当てはめたときに感じる「虚しさ」について、ここまでズバズバと言及してしまう本は、日本の法律書でもなかなかお目にかかることはできません。

翻訳は、今年『EU一般データ保護規則』を出版されたばかりの宮下紘先生、日本の個人情報保護法にも精通する板倉陽一郎先生、成原慧先生らが担当されています。非常に読みやすく翻訳されているだけでなく、訳者解説として(本書では省かれた)原著Part1〜3までの要旨を巻末にまとめてくださるなど、丁寧なお仕事をしていただいたのが分かります。

連邦法ベースの解説であり、最近話題になったカリフォルニア州の新オンラインプライバシー法(CALOPPA)などの州法までをフォローするものではありませんが、米国のプライバシー法の歴史を概観してこれからを予測するのに、大変便利な一冊です。
 

【本】『Q&Aで学ぶGDPRのリスクと対応策』― 十分性認定だけでは十分とは認めてくれない世界の潮流

 
GDPR施行1カ月前にして、ようやく、条文の解説や要約・ポイント解説にとどまらない、実務レベルで役立つ文献が公刊されました。





「GDPR」というキーワードに引っかかる書籍、専門誌記事、ネット記事等は一度は目を通すようにしていましたが、
  • GDPRの条文の組み立てに沿って逐条解説またはその要約をしたもの
  • GDPR施行後の制裁リスクが高いポイントに絞って実務対応をピンポイントで指南するもの
この2つのいずれかだったと思います。昨年ご紹介した『日米欧 個人情報保護・データプロテクションの国際実務』は前者にあたりますし、「ビジネス法務」「ビジネスロー・ジャーナル」などの解説記事はほとんどが後者にあたります。

一方本書は、企業目線での疑問や不安に対するQ&Aという形で情報を整理し、各条文・ガイドラインをまたがった理解・解釈が求められるポイントについて、横断的に目配りを利かせたアドバイスを提供する本となっています。

BF3D5216-6604-4192-8C41-866889BC39DE0FFCEF63-93A4-4A76-88BF-C50AC6209B15


過去何度か、Q&A形式の書籍に対する批判的なコメントをした自覚がありますが、本書については、著者が述べたい・述べることができるAnswerを書くためにしらじらしいQuestionを立てるといったことがなく、本当にGDPRを知らない企業が思いつくであろうQを思いつくであろう順に網羅しています。また、Answerの中でより細かい法律的・実務的解説が必要な場合は、さらに後ろにその細かいQ&Aを立ててリンクを張るなど、前から順に読んでいっても自然と理解が深まっていくような、そんな配慮がなされていることが感じられました。これはこの手のQ&A本でよく採用される共著分担式ではなかなか実現できないことです。加えて、著者中崎先生自身が本書刊行までの期間、多数の企業からの度重なる調査依頼に実際に応えていらっしゃったことも伺わせます。

ところどころでGDPRと日本の個人情報保護法の義務の具体的な差異について比較がされている他、VI章以降では、個人データに関する規制の世界的動向(韓国・インドネシア・ベトナム・ロシア)に触れ、さらには同じEUのルールでもまだ未施行のe-Privacy Regurationについてまで言及している点も圧巻です。日本でも少し遅れて夏ごろに発効される見込みと報じられた十分性認定に甘えることなく、GDPRを積極的に遵守する体制を整えていくことが、結局はこれからの企業のグローバルでの競争力を高めていくことにつながる、ということを強めに述べています。

十分性認定で何が変わるのか、変わらないのか

まず、越境移転規制以外の規律は、十分性認定による影響を受けない。さらに、注意すべきは、越境移転規制の中でも、EU・日本間の十分性認定によりカバーされるのは、EUと日本の相互間の越境移転に限定される点である。たとえば、EUだけでなく、東南アジアにも展開している事業者であれば、EUからの個人データの移転先は日本の支社だけとは限らず、東南アジア各国にも移転している可能性があるが、日本・EUの相互認証によっては、EUから東南アジア各国への移転はカバーされず、依然として越境移転規制の対象となる。(P344-345)


さて、本書の感想とは少し離れて、GDPRの施行が近づくにつれバタバタとしている中ではありますが、少し注意したほうがいいのかなと思っているのが、GDPRをいかに上手に遵守しようとも、EUの原則的スタンスとしては、「EUから個人情報を持ち出すな(移転禁止)」であるという点です。

EU域外に対しても法的執行力を担保しようと、EU域内に代理人を設置するところまで強制し、応じなければ世界の潮流から乗り遅れるというムードまでしらっと醸成しているGDPR。素直にうまいなと感心はしますが、個人からの同意を前提とした情報収集の自由や、国家間の政策・法制度・企業競争力にまで大きく影響を及ぼしているのも事実。今後さらに義務を強化することもあり得ない話ではありません。

個人のプライバシーは尊重しつつ、特に域外適用という点については、他の国が立てたルールに盲目的に従い続けていていいのか、疑問も感じるところです。
 

【本】『プライバシーなんていらない!?』― 利益衡量の前提を履き違えると、プライバシーは容易に安売りされる

米国におけるプライバシー法の第一人者であるダニエル・J・ソロブ教授が2011年に書かれた“Nothing to Hide"が、6年経ってようやく日本語で読めるようになりました。


プライバシーなんていらない!?
ダニエル・J. ソロブ
勁草書房
2017-04-28



2011年当時の私といえばプライバシー研究に燃えていたころで、ソロブの著書も4冊すべて原書で読んでいました。ところが、本書の原書“Nothing to Hide"については、他の3冊とくらべてどうも文体が読みにくく、紹介されている個々の視点や事例は参考にしながらも主題を理解できている自信がなかったため、ブログに紹介記事を書けずじまいだったのを覚えています。原文に忠実に訳してくださっている今回の日本語訳を読んで、案の定、タイトル“Nothing to Hide(やましいことは何もない)"に込められた主題を理解できていなかったことが確認でき、あの時へんな記事をUPしなくてよかったなあ・・・と胸をなでおろしている次第です。

IMG_8505

政府が個人情報を収集・分析するとき、多くの人は「心配しない」と言う。「やましいことは何もない」と彼らは言い放つ。「政府による個人情報の収集・分析を心配すべきなのは誤ったことをしている場合に限られるし、その場合にはそれを秘密にしておく価値はない。」。(P23)
裁判所、立法者その他の者がプライバシーが何を意味するのかを理解することに失敗しているがゆえに、多くの場合、プライバシー問題を対抗利益と適切に衡量することができないでいる。
パーソナルデータの収集・使用により発生する問題を記述するために、多くの論者は、ジョージ・オーウェルの『一九八四年』に依拠したメタファーを用いる。オーウェルは、ビッグ・ブラザーと呼ばれる政府により統治された凄惨な全体主義的社会を描く。ビッグ・ブラザーは、執拗に市民を監視し厳しい規律を要求する。このオーウェルのメタファーは、(禁止や社会的コントロールのような)監視の害悪に焦点を当て、市民に対する政府の監視を記述する傾向にある。しかし、コンピュータのデータベースで収集されるデータの大半は、(略)他人がこの情報を知ったとしても、人々は抑圧されたり、困惑したりしないと常にはいいきれなくとも、多くの場合にはそうであろう。
違うメタファーのほうが、よりよくその問題を捉えている。フランツ・カフカの『審判』である。カフカの小説は、逮捕された男に焦点を当てるが、なぜ捕まったのかの情報は与えられない。彼は必死になって何が彼の逮捕をもたらしたのか、彼にふりかかろうとしているのが何であるかを解明しようと試みる。秘密裁判所の組織が彼に関する事件記録を保有しており、彼を操作していることは分かるが、彼はそれ以上知ることはできない。(略)カフカの作品に描かれたメタファーにより描写される問題は、監視により引き起こされる問題とは異なる種類のものである。それらは、しばしば禁止をもたらさない。それは情報収集ではなく、データの貯蔵、使用、分析といった情報処理の問題である。それは、人々と近代国家の組織との間の力関係に影響する。その問題は、孤立感や無力感を生み出して人々を苛立たせるだけではなく、人々がその生活に関する重大な判断を行う組織との間で有する関係性の種類を変更することにより社会的構造にも影響を与える。
法的・政策的解決は、オーウェルの作品のメタファー(監視)の下のにある問題にあまりにもフォーカスし過ぎており、カフカの作品の問題(情報処理)に適切に対処できてない。実際にはデータベースと監視は異なる問題であるのに、論者たちが、データベースにより引き起こされる問題を監視の問題として把握しようとすることに、難点がある。(P28-29)
やましいことは何もない論のより深刻な問題は、近視眼的に、秘匿の一形態としてプライバシーを見ることにある。(略)プライバシー問題には、オーウェル的なものだけではなく、カフカ的なものも含まれるのである。政府の情報収集の問題【はっしー注:原文ママ。こちら原書P27の応当部分を確認したところ、“Government information-gathering programs”とあり、“problem”(政府の情報収集“の問題”)と“program”(政府の情報収集“プログラム”)を誤訳しているように思われます。】は、人々が隠したい情報が暴かれなかったとしても、問題性を秘めている。『審判』において、問題は行動の抑制ではなく、裁判所の組織がパーソナルデータを使用したり、主人公に対してその手続きを認識し、参加することを否定したりすることにより生み出される、息の詰まるような無力さや脆弱性である。その害悪は官僚主義的なもの――無頓着、誤謬、濫用、失望、透明性及び説明責任の欠如である。(P30)

プライバシーの「監視」の側面だけを捉えてしまうと、テロなどから国家・国民の安全を確保する必要性に鑑みれば政府に対してそれぐらいの個人の不自由は許容すべきだ、などと安易に考えてしまいがち。しかし、監視・収集後に行われる情報処理においてコントロールを失うことの怖さにも思いをはせるべきであると。

プライバシーの利益衡量にあたって重要な前提となるこのポイントを認識した上で初めて、
・憲法修正4条
・傍受法
・保存通信法
・ペンレジスター法
といった憲法・制定法で保障されているかのように見えて実は抜け穴だらけとなっているプライバシー権の具体的な弱点が、グサグサと突き刺さってきます。第19章(P222)には、「政府がテロリストらしき者のプロファイルを作り、それをもとに乗客が空港で特別な審査を受け、飛行機に乗る機会を拒否されたら」という例え話が出てきているのですが、実際に2017年1月にアメリカでこれに近いことが現実に行われたことを考えても、まさにソロブの懸念は的中しており、プライバシーに関する制定法すらない日本においては、まったく他人事とは言えないだろうことが実感できます。

また、翻訳書のお楽しみの一つが、その書籍のエッセンスを要約してもらえる訳者あとがき。訳者のおひとりである大島義則先生は、本書の解説にとどまらず、“Understanding Privacy”(日本語訳『プライバシーの新理論』)の内容をも簡潔にまとめてくださっており、この部分も価値の高いものとなっています。


本書のプライバシー論は、基本的には政府対国民という視点で書かれているものの、これを企業とユーザーに置き換えても、考えさせられる論点は少なくありません。個人情報の取扱いについて、ユーザーからプライバシーポリシーへの同意を得るタイミングは最初の情報取得の場面一度きりでよいのか?情報処理の場面において企業が追加的に同意を取る/承服できないユーザーが取り扱いを拒否できるタイミングをどのように設けるべきか?継続的サービスにおいて、ユーザーが取り扱いを拒否した場合の対応はどうあるべきか(メンバーシップから退出してもらうしかないのか)?そんなことを改めて考えさせられます。
 

【速報】米国ホワイトハウスが「消費者プライバシー権法」案をリリース

 
日本のパーソナルデータ法制の行く末を、また大きく変えそうなものが出てきました。米国ホワイトハウスによる「消費者プライバシー権法(CONSUMER PRIVACY BILL OF RIGHTS ACT)」案です。


CONSUMER PRIVACY BILL OF RIGHTS ACT(ADMINISTRATION DISCUSSION DRAFT)

CPBR


内容をざっくり読んで要約すると以下のような感じ。法案に記載の順に、特に気になる部分を中心に抽出してみました。
速報につきスピードを優先しましたので、間違いあればご指摘いただけるとありがたいです。

・定義の明確化(SEC. 4. Definitions)
「パーソナルデータ」「非識別化データ」「パーソナルデータ取扱事業者」「取得」「コントロール手段」「削除」「コンテクスト」等の言葉の定義を明確化

・透明性の担保(SEC. 101. Transparency)
パーソナルデータの取扱い方針および実践内容について、わかりやすい説明とタイミングで明示・通知をする義務を設定

・消費者の情報コントロール権(SEC. 102. Individual Control)
消費者にパーソナルデータへのアクセス手段を提供し、消費者の請求から45日以内の同意撤回権・削除権を与え、利用目的を変更する際には明示的同意の再取得(オプトイン)を義務とする等、消費者に合理的な範囲での情報コントロール権を持たせる

・コンテクストの尊重(SEC. 103. Respect for Context)
コンテクストに沿わないパーソナルデータの分析利用については、第三者機関としてのFTCによる監査・承認が得られた場合に限り可能とする

・明確な取得と責任のある利用(SEC. 104. Focused Collection and Responsible Use)
利用し終わったパーソナルデータについては、合理的な期間内に削除、廃棄、非識別化

・セキュリティの確保(SEC. 105. Security)
内外のリスク分析を行った上で情報セキュリティを確保し、プライバシーアセスメントを定期的に実施する

・アクセス権と正確性(SEC. 106. Access and Accuracy)
SEC. 102記載の権利の具体的手段の提供

・説明責任(SEC. 107. Accountability)
従業員教育等、体制の構築、パーソナルデータ取扱関係者との契約の締結義務等

・執行力の担保(SEC. 201. Enforcement by the Federal Trade Commission)
州検事総長・FTCによる訴追権、課徴金を設定

・自主規制によるセーフハーバールール(SEC. 301. Safe Harbor Through Enforceable Codes of Conduct)
自主規制としての“Codes of Conduct”を作成しFTC承認等を得ることで、本法の一部適用除外を受けることも可能とする


米国メディアも蜂の巣をつついたような状態ですが、法案を評価する声と懸念の声に分かれているようです。主だったところのリンクを貼っておきます。

Here’s a draft of the consumer privacy “Bill of Rights” act Obama wants to pass(Gigaom)

White House Drops ‘Consumer Privacy Bill Of Rights Act’ Draft(Tech Crunch)

White House Proposes Broad Consumer Data Privacy Bill(The New York Times)

The White House’s draft of a consumer privacy bill is out — and even the FTC is worried(The Washington Post)

Proposed privacy bill protects industry more than it does people(Engadget)


マイクロソフトは早くも、同法案を評価する旨の声明をCPO名義で出していました。

White House proposal elevates privacy, transparency discussion(Microsoft)


私の感想としては、パーソナルデータの定義が明確化されるところや、連邦法が出来ることによってマイナーな州法の乱立が避けられるだろう点は評価したいところです。ただ正直なところ、個人の情報コントロール権がこのような形ではっきり書かれるとは、まったくの予想外でした。
一方で、上記リンクの米国内報道でも指摘があるとおり、自主規制(Codes of Conduct)によるセーフハーバールールが企業にとっての「対抗策」(メディアによっては“抜け穴”と評されている)として残されてもいるようですので、そこについては検証を深めなければと思います。


それにしても、日本のパーソナルデータ法制の立法事務局は、こういう米国の動きをきちんと察知できていたのでしょうか。直近の報道などを見ていると、どうもそのようには思えず、そしてまたこの法案を見て右往左往し議論が振り出しに戻るのかと思うと、頭が痛くなってきます。
 

【本】『インターネットの憲法学 新版』― インターネットを殺すのは、安易なグローバル・スタンダード迎合主義


ネットビジネス・情報ビジネスに携わる法務パーソン必読の書。自分の携わるビジネスが、ここまで幅広く憲法に関わっているのだということを、改めて認識し総点検するために。


インターネットの憲法学 新版
松井 茂記
岩波書店
2014-12-18



松井茂記先生といえば、いわゆる実務書でありながらも当時から先進的な論稿を多く含んでいた共著書『インターネットと法』があります。私も同書には第4版の刊行から5年経った今もお世話になっているのですが、本書はそういった実務書とは趣の異なる学術書の体裁をとります。短期的な解決策やノウハウを求めている方の期待に応えるものではありません。

では、格式張った憲法学の教科書のような内容かというと、そうでもない。プロバイダー責任、フィルタリング、ドメインネーム、ブラウザと市場独占、ポルノやプライバシーと表現の自由といったインターネット創世記から問題となった基本論点を抑えた後は、
・児童ポルノ
・ヘイトスピーチ
・公平な利用(フェアユース)
・政府によるインターネット監視
・国境を超えるインターネット
・ネット選挙
といった、今まさに問題になっているキーワードを次々に取り上げ、良い意味で学問としての憲法学の体系にとらわれずに論じていきます。しかも、その言説はかなり大胆。先生がご専門とするアメリカ・カナダでの議論を踏まえて、両論併記というよりは松井説のみをはっきりと叙述するスタイル。読者としては、首肯しがたい結論もかなり多いでしょう(P365の「何がプライバシーで何が個人情報か」の一節などは、日本の読者も気になる論点であるはずですが、あまりに一刀両断過ぎてドキドキすること間違いなしです)。

s-IMG_4540

こういったスタイルを敢えて採用した理由は、数々の論点が憲法学上の論争にすらなっていない日本憲法学への憂いなのか?議論をしていては間に合わないという焦りなのか?その切迫感は、本書のクライマックスに近づくほど高まり、安易な「グローバル・スタンダード」迎合に対する警鐘へとつながっていきます。P438より。

国際社会でインターネット上の表現の自由やプロバイダーの法的責任について合意が形成されるとは考え難い。また、もし合意が形成されたとしても、それは日本国憲法のもとで表現の自由に対して与えられる憲法上の保護を下回るような基準で合意がなされる可能性が高い。最も自由の保護の低い国の基準がグローバル・スタンダードとなり、インターネット上の表現の自由が著しく萎縮する危険性が高いといえよう。
そうだとすれば、表現の自由の観点からは、各国がそれぞれ自主規制を重視し、域外におけるインターネット上の表現行為に自国の法律を適用することを控えることこそが、インターネット上の表現の自由を確保する上で最も適切な方向性を示すものだということになろう。
たしかに、インターネットが提起する諸問題を解決するには、それぞれの国がかってにその国の法律を適用していたのでは、決して満足のゆく解決は得られないであろう。しかし、表現の自由に対して与えられる憲法上の保護は、国によって大きく異なる。プロバイダーの法的責任についても、国によって考え方に大きな違いがある。このことは、国境を超えたアプローチには、重大な危険が伴うことをも示唆する。国家の揺らぎを理由に、国際的協調を安易に主張することにはもう少し慎重であるべきだろう。

確かに、日本では今、民法(債権法)、著作権法、プライバシー法制、労働法制といった分野でことさらに特定の外国法制を紹介し、「日本だけが世界から遅れている」といった外圧アプローチで法改正の必要性を声高に叫ぶ向きが多いように思います。かくいう私も、「長いもの=世界の潮流にはいったん巻かれておいて、その上でいち早くビジネスで現実対応するのが得策」と考えがちなタイプであることは、否定できません。

遠いブリティッシュ・コロンビア大学から、日本を憂いてらっしゃるのであろう松井教授のこの警告に、自分の頭で考えることを放棄しているのを見透かされたような、恥ずかしい思いがしました。
 

意外なまでに真面目イベントだった「プライバシーフリーク・カフェ」視聴感想メモ

 
「プライバシーフリーク・カフェ」というイベントのニコ生タイムシフト動画を拝聴しました。プライバシーまわりに興味のある法務担当者は、ニコ生の視聴期限が切れるまでに一度と言わず二度ぐらいご覧になる価値があるのではないかと思います。


第1回プライバシーフリーク・カフェ(山本一郎・高木浩光・鈴木正朝)

s-pfc3men


山本氏のファシリテーションにより、以下設定された6つのQに従って進行。

Q1 「プライバシーフリーク」とは?
Q2 個人情報とは? 
Q3 第三者提供とは何か?
Q4 広告ビジネスにおけるプライバシー問題について
Q5 Suica問題
Q6 パナソニックヘルスケア事件


まず冒頭、Q2のパートで20分を掛けて高木先生が丁寧に個人情報保護法の誤読問題を解説するところから始まります。“ウェブの履歴情報及び特性情報”は、氏名・生年月日・連絡先と分離することで「(法の規定する)個人情報以外の情報」となる、と定めるヤフージャパンのプライバシーポリシーの問題点を具体事例に挙げて解説。これを踏まえて山本氏が、「ICT業界全体が、個人情報保護法の定義を誤読(というよりも、ウェブ利用履歴を同法上の個人情報とされては困ると考えて限定的に解釈)している」と指摘していました。この保護法の誤読もしくは限定解釈問題は、知ったかぶりでよく分かってない人が法務の世界にも沢山います。私も「利用規約の作り方」本を執筆している際にどう解説すれば正確に記述できるか腐心したのですが、この点に関してここまで丁寧に解説している講演というのは、今まで無かったかもしれません。

s-pfcQ2


ついで、Q3パートは鈴木先生の独壇場。Tポイントカード等の共通ポイントカードデータで使われている「共同利用」という手法の何が問題かを詳しく解説されていました。保護法の共同利用が、下図でいう“A社のデータをB社に脱法的に引き渡す”ための方便として使われていること、そして、共同利用者全員に共同DBへのフルアクセス権を与えるのが本来の共同利用のはずであるが、それをやってしまうとDBの持ち主が競争力を失うのでやっていないし、むしろ規約でDB開放は行わないことを表明しているのは矛盾であると指摘。この「共同利用の潜脱的利用」論は、鈴木先生が論文や講演等様々なところで語られているところですが、他で聞くよりもわかりやすかったと思います。

s-pfcQ3


Q5のSuica問題についてはすでに語り尽くされた感もあり、お三方とも比較的おとなしめでしたが、昨年から内閣府でも始まったパーソナルデータの議論の中で、データセットのみで事後的かつ可逆的に個人を識別できてしまう「準識別子」という考え方がどう導かれたかについて、語られていました。

s-pfcQ5


広告ビジネスにおけるプライバシー問題については、以下のようなキーワードがこの講演中もでてきて、山本氏もいろいろ言いたげではあったものの、次回当事者を呼んで詳しく、とのこと。というかこれ次回もあるんですね(笑)。
・DSPモデル(アドネットワークの媒体社による串刺し)の問題点
・クッキーによる名寄せ→オプトアウトの形骸化
・スマホは専用アプリを使って動かすとURL=収集当事者がよくわからない問題
・SmartnewsやGunosy等のアプリを介したターゲティング広告
 

まとめの一言は、
「“この情報は個人情報ではない”と無理な解釈で逃げる方向で自由度を高めようとするのではなくて、個人情報だと認めた上できちんと同意・オプトアウトの手続きを守り、真正面から役に立てるビジネス設計をして欲しい」

タイトルを見ただけの印象ではもう少しおちゃらけた特定企業糾弾イベントになるのかと思っていましたが、蓋を開ければ、個人情報・プライバシーという難しい問題を具体的な事例を挙げて分かりやすくかみ砕き、かつ問題点を抽象化して摘示していこうという点、意外なまでに真面目なイベントになっていました。次回テーマとなるであろう広告ビジネスのプライバシー情報の取扱いは、本当に広告ビジネスサイドの担当者も参加するのであれば(交渉中らしいです)、貴重な講演になりそうです。
 

スマートフォン・プライバシー保護法制の動向を理解するための必読リンク集 2014

 
先日公開した「パーソナルデータ・プライバシー保護法制の動向を理解するための必読リンク集 2014」に続きまして、今回は「スマートフォン・プライバシー保護法制の動向を理解するための必読リンク集 2014」を作ってみました。

スマホプライバシーは、パーソナルデータ・プライバシー保護法制の下位概念に位置しますので、もし先日のリンク集をお読みでない方はそちらから先に辿っていただくのがよいと思います。ではでは。


s-1340911_21662636


(a)スマートフォン プライバシー イニシアティブ

http://www.soumu.go.jp/main_content/000171225.pdf

パーソナルデータを取得しやすい端末であるスマートフォンアプリ時代をにらみ、アプリ単位で明示すべき「アプリケーションプライバシーポリシー」の水準を可能な限り明らかにした、総務省発の提言文書です。日本は個人情報保護には遅れている国と言われるものの、国が主導してスマホに特化したプライバシーについての文書を発表したという意味では、アメリカに次ぐ先進性はあったのではないかと。個人情報保護法の評判の悪さがかえって関係者に課題意識・危機感を醸成し、そのおかげでこの成果物が意外にも早く誕生したと言うべきでしょうか。ただし、ヤフージャパンの法務担当役員の方の発言が話題となったように、その考え方が事業者の側にも浸透・納得されているかというと、そこはまだなのかなという気がします。

(b)スマートフォン プライバシー イニシアティブ

http://www.soumu.go.jp/main_content/000236366.pdf

上記「機廚でてから1年足らずで、同じく総務省から発信された文書。これが出た当時の弊ブログの記事でも読みどころをまとめているとおり。特に、アプリケーションプライバシーポリシーが満たすべき必須条件/推奨条件について踏み込んで書いてあるので、チェックしておきましょう。

(c)法律を知らずにビッグデータは扱えない ― 個人情報、プライバシー、通信の秘密それぞれに配慮せよ

http://itpro.nikkeibp.co.jp/article/COLUMN/20130214/456270/?ST=bigdata

スマホプライバシーイニシアティブが生まれることになった経緯について、これまでの個人情報保護法制との対比をしながら、日本の情報法の第一人者である岡村先生がインタビュー形式でわかりやすく語る記事。初心者向けにおすすめ。

(d)モバイルコンテンツ関連事業者のための個人情報保護ガイドライン 第2版

http://www.mcf.or.jp/privacymark/pdf/guideline_for_mobilecontent.pdf

一般社団法人モバイルコンテンツフォーラム(MCF)さんが、スマホプライバシーイニシアティブの求める水準をモバイルコンテンツの実務に当てはめるとこうなる、という考え方を示したもの。同法人はプライバシーマーク指定審査機関でもあるため、Pマーク視点も網羅されているのが特徴です。

(e)ABC 2012 Spring - 高木浩光氏が「スマホアプリの利用者情報送信における同意確認のあり方」について講演

http://news.mynavi.jp/articles/2012/03/28/abc2012_06/

やや古めの講演まとめ記事ですが、スマートフォンからのデータ収集に際して、
・適切な同意の取り方
・端末固有ID利用のリスク
に絞って解説されています。

(f)スマートフォン プライバシー イニシアティブと国際的動向

http://www.jssec.org/dl/1121/06_smartphone%20privacy%20initiative.pdf

総務省の「パーソナルデータの利用・流通に関する研究会」の資料として事務局が調査しまとめた国際動向についての資料をさらにまとめたもののよう。図表が豊富で、自分で社内説明資料を作成する際なんかに役立つんじゃないかと思います。総務省さんが作成したものなので、引用している資料以外は流用してもたぶん怒られないであろう点便利(笑)。

(g)スマホアプリにおけるアプリケーション・プライバシーポリシー掲載の国際比較調査

https://staff.aist.go.jp/takagi.hiromitsu/paper/scis2014-3D1-1-ichinose-dist.pdf

そのタイトルのとおり、アプリケーションプライバシーポリシーが適切な方法・形式・内容になっているいるかについて、Google等プラットフォームに実際に陳列されているアプリをサンプリング調査したレポート。

日本はプライバシーポリシーが適切な場所に掲載されている割合の順位が 49か国中 45 位、より精密に評価した場合で 25 か国中 23位と、最下位クラスに属するレベルであった。また、掲載内容が適切な様式で書かれているかを 7か国で比較したところ、他国に比べて適切に書かれていないことも明らかとなった。

日本のプライバシー保護はまだまだダメ、という批判はよく聞きますが、「何がどうダメなのか」をこの資料のレベルまで定量的に分析・指摘しているものは少なく、その意味で参考になります。
そして、こういった比較のアプローチを見ていると、法律ではなく、GoogleやAppleのようなプラットフォームのレギュレーションによって事実上の国際水準が作られていく、そんな未来が透けて見える気がします。
 

※取りこぼしなどがあれば、2014年中は適宜こちらのエントリに追加していきたいと思います。皆様からもコメント欄等でご指摘・おすすめをいただけますと助かります。
 

パーソナルデータ・プライバシー保護法制の動向を理解するための必読リンク集 2014


昨年9月に発足し、パーソナルデータ・プライバシー保護法制の今後を占う組織として注目を浴びた「パーソナルデータに関する検討会」は、12月にその役割をいったん終え、これを踏まえて政府の制度見直し方針が発表されました。2015年の法改正に向けての動向は、企業法務に携わる方はもちろんのこと、ITビジネスを企画・運営する一般のビジネスパーソンにとっても、重要なテーマとなっています。


s-J00009080
nettv.gov-online.go.jp - 山本大臣閣議後記者会見(平成25年12月24日)より


毎日のように新聞・雑誌等でも取り上げられ、論文や専門書も多数刊行されているところですが、今回は、インターネット上で読むことができる文書・資料・記事の中で、抑えておきたい必読リンク集を作ってみました。

なお、タイトルの冒頭についているカッコ書きのナンバーはご紹介の便宜上振っているもので、それ以上の意味はありません。


(1) パーソナルデータの利活用に関する制度見直し方針

http://www.kantei.go.jp/jp/singi/it2/kettei/pdf/dec131220-1.pdf

高度情報通信ネットワーク社会推進戦略本部長である安倍晋三総理により決議された、日本の国家としての公式な方針がこれです。間違いなく、現時点での最重要文書。まずはこれを抑えましょう。

(2) 第5回パーソナルデータに関する検討会 議事要旨

http://www.kantei.go.jp/jp/singi/it2/pd/dai5/gijiyousi.pdf

上記(1)の制度見直し方針がどのような議論のもとで作られたのか、その過程やニュアンスを掴むには、戦略本部の下部組織である検討会の議事を読み込むのがおすすめです。プライバシー法にあまり詳しくない方にとっては専門的な単語も飛び交っていてとっつきにくいかもしれませんが、逆に現時点でここで語られている内容・論点・キーワードについてキャッチアップしておかないと、今後の議論にもついていけないでしょう。これまでこのテーマをフォローしていなかった方は、この議論を読みこなし理解できるようになることを一つの目標・メルクマールとするとよいかと思います。

(3) 技術検討ワーキンググループ 報告書

http://www.kantei.go.jp/jp/singi/it2/pd/dai5/siryou2-1.pdf

パーソナルデータに関する検討会の下部組織WGがまとめた成果物。(2)でもそのエッセンスが説明されていますが、非常に充実した価値あるレポートですので、一読をお勧めします。
・「万能な“匿名化”手法は存在しない」ことを証明したこと
・「特定」と「識別」の概念を分かりやすく整理したこと
この2つは、同検討会の最大の成果であると同時に、2013年の日本のプライバシー法制議論の最大のトピックと言っても過言ではないと私は思います。

(4) 合理的な匿名化措置は可能なのか 「パーソナルデータに関する検討会」で議論されたこと

http://itpro.nikkeibp.co.jp/article/Watcher/20131213/524722/

パーソナルデータに関する検討会および技術検討WGの報告書のポイントを、日経の大豆生田記者が簡潔にまとめてくださっている良記事です。まだこの議論についていけない・・・という初心者の方にもわかりやすい記事です。

(5) 個人識別性の再考と法改正に向けた提案

http://www.horibemasao.org/horibe9_Takagi.pdf

(2)のパーソナルデータに関する検討会による検討結果を受けての、産業技術総合研究所主席研究員 高木浩光氏による提言。「特定」と「識別」の定義分けにもとづいて、実際、それをどう条文に反映すべきかを、主に「個人識別性」と「容易照合性」の観点から提言しています。この2つは、2014〜2015年にかけてパーソナルデータ・プライバシー保護法制を具体化していく上での重要なキーワードになるはずです。

(6) 国際的な変革期にあるプライバシー・個人情報保護法制の現況

http://www.horibemasao.org/horibe9_Sinpo.pdf

世界の中という視点で日本が抱えているプライバシー保護法制の課題を、新保先生が整理してくださっている資料。よく話題に挙げられるEU・米国との比較だけでなく、APEC プライバシーフレームワークやプライバシーコミッショナー会議における視点も含め、国外移転に関する問題点の整理をしてくださっているところが大変参考になります。

(7) 個人情報の保護レベルを世界水準に合わせよう

http://itpro.nikkeibp.co.jp/article/COLUMN/20130827/500450/?ST=security&P=1

2013年夏に起きたJR東日本のSuica事件を振り返りながら、米国から無理矢理輸入したいびつなプライバシー権概念に立法的に決着をつけ、医療などの産業に遅れを生じさせないようにしなければならない、と熱く語る鈴木正朝先生。(6)の新保先生の資料とあわせてよめば、越境問題をクリアにするということの重要性が理解できると思います。

(8) 平成25年版情報通信白書 ビッグデータ活用とパーソナルデータ

http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h25/pdf/n3100000.pdf

総務省が、(6)(7)のような視点も含めて豊富な図表で現況を整理したもの。特に資料P272以降の日本・米国・英国・フランス・韓国及びシンガポールの利用者を対象としたアンケート調査データは、一般ユーザーがどのような不安と期待を抱えているかを読み取る資料として、参考になります。



※取りこぼしなどがあれば、2014年中は適宜こちらのエントリに追加していきたいと思います。皆様からもコメント欄等でご指摘・おすすめをいただけますと助かります。
※なお、スマートフォンプライバシーの問題については、こちらとは分けて後日別途リンク集をアップする予定です。
 

【本】プライバシーの新理論 ― 数年遅れの“新”理論の紹介が、日本の自己情報コントロール権説の復権に待ったをかけた

 
3年遅れ。原著の発刊から数えると実に5年遅れ。

2010年。日本でもfacebookブームが本格化し、クラウドの企業導入も当たり前になりはじめ、ネットのプライバシーの議論が盛り上がりはじめた年。そのころにはすでにアメリカのプライバシー論をリードしていたのがダニエル・ソロブです。しかし、なぜか日本においてはこの2013年においてもほぼ無名と言って等しい存在。その理由が「書籍が邦訳されていなかったから」だけだとしたら大変残念ですが、そのソロブの著作が、ついに、ようやく、初めて邦訳されました。


プライバシーの新理論―― 概念と法の再考
ダニエル・J・ソローヴ
みすず書房
2013-06-26



弊ブログでも2010年10月に原著“Understanding Privacy"を紹介している記事が残っています。当時の私はこのソロブ論に大いに触発され、この本を引用しながら論文を書き、翌年情報ネットワーク法学会の学会誌に掲載していただくにいたります。それだけのインパクトを受けた本でした。同じ書評の繰り返しは控えたいと思いますが、

ソロブは、プライバシー権そのものを言葉で定義するのではなく、「プライバシーを脅かす行動には何があるか」を分類して捉えることで、時代によって変化するプライバシー観を捉えていくことを提唱しています。詳しくは本書にて。

あの時の書評ではこのようにもったいぶって(笑)あえて紹介しなかった、この本の一番「おいしい」部分を表現した図がこれ。

s-IMG_2519


  • ウォーレン・ブランダイスが最初に提唱したあの有名な「放っておいてもらう権利」も
  • その後特に日本で(佐藤幸治教授により)間違った形で広まった「自己情報コントロール権」も
  • 米国憲法修正4条と判例により定着しているようにみえる“reasonable expectations of privacy doctorinedoctrine(合理的な期待権論)"も
それらのいずれもがプライバシーを法的に説明するには不十分であるとし、この図の4つの大項目その下にぶら下がる14の小項目によってその前提から丁寧な再整理を試みるソロブ。

何が不十分なのか。たとえば、今日本を騒がしているビッグデータの議論を例に挙げてみましょう。自己情報コントロール権をベースに法的な整理を試みる日本では、ビッグデータの活用において、情報収集時に取得する同意の透明性と、収集後の情報訂正・オプトアウトの権利の確保が大切だと言われています。では本当にその2つがあれば、ビッグデータ利活用はなんでもOKになるのでしょうか?必要十分な透明性をもった同意取得とは具体的にはどんなもの?情報収集時には同意をしていたユーザーが理由なく気が変わってオプトアウトを要求するという事態をどう捉える?・・・まじめに考えるほどに、きっと自己情報コントロール権では説明ができない部分が噴出するであろうと思われてなりません。2008年に刊行されたこの本にはビッグデータのキーワードこそありませんが、ソロブは、ビッグデータ的な脅威もきちんと想定した上で、それによって脅かされるプライバシーの問題を「集約」「同定」「二次利用」の問題に分類して捉え、これらについて争われた米国判例をもとに、これまでのプライバシーの捉え方がいかに視野の狭いものであるかについて、細かく分析を試みます。このような点を見ても、論点がすれ違って空中戦になりがちなこれからのプライバシー議論の土俵を合わせる基軸として、ソロブが打ち立てたこの分類は時代がかわっても色褪せない、普遍的なものであることが分かります。

@ikegai先生がtwitterで教えてくださった最新論文においても、ソロブは同意取得偏重に過ぎる自己情報コントロール権を礼賛する傾向に疑問を投げかけています。こちらも必読でしょう。

Privacy Self-Management and the Consent Dilemma(Daniel J. Solove)
In order to advance, privacy law and policy must confront a complex and confounding dilemma with consent. Consent to collection, use, and disclosure of personal data is often not meaningful, and the most apparent solution — paternalistic measures — even more directly denies people the freedom to make consensual choices about their data. In this Article, I propose several ways privacy law can grapple with the consent dilemma and move beyond relying too heavily on privacy self-management.


本書の訳者大谷卓史氏も、この本が日本のプライバシー論に与える影響を十分に承知し、なみなみならぬ情熱と使命感をもって訳されていることが、訳者あとがきのこんな一節から伝わってきます。

適切な訳語・訳文の選択がむずかしい場合や疑問点があった場合には、電子メールで著者に問い合わせを行った。(略)ところで、“right to be let alone"の訳語は、法学分野では「一人にしておいてもらう権利」などの訳が現在でも散見されるものの、本来の意味を考えれば、本書で訳したように「放っておいてもらう権利」となる。著者に訳語の選択について相談したところ、この概念は必ずしも"solitude"の意味は含まないとの説明をいただき、あえて後者の訳を採用した。


最近の日本における個人情報コントロール権説復権の大波に飲まれかかっていた私の心に、まだこんな安易な学説に負けちゃいけないと、火を灯してくれた一冊です。
 

2013.8.21 22:00追記
誤字を指摘いただきましたので訂正。ありがとうございました。 
 

「パーソナルデータ研究会報告書」に出てくるパーソナルデータの区分と取り扱いルールを表に整理してみた

 
5月下旬にもちょっとだけ紹介した総務省のパーソナルデータ研究会の報告書が、パブコメを経て確定版として昨日リリースされました。



一言で言えば、語られている内容には目新しさはあまりないながらも、これまでの国内でのパーソナルデータに関する議論が過不足なくまとめ上げられた上で総務省のお墨付きがついた形となり、(国際的な目線に耐えうるのかはやや懸念を抱くものの、)昨年リリースされたスマートフォンプライバシーイニシアティブとあわせて、この文書が日本のネットビジネスにおける個人情報・パーソナルデータの考え方のスタンダードとなるだろうと思います。

その一番の見どころである3章の3に示された「パーソナルデータの利活用のルールの内容の在り方」が、文書が長くて読みにくかったのと後で参照するのに一覧性がないのがイマイチだったので、一枚の表にまとめてみました。本来は、この文書で示されている「実質的個人識別性」という考え方を理解した上で、あくまでその例示として見て頂く必要があるのですが、厳密さは文書で確認していただくとして、こちらのブログでは分かりやすさ優先で整理させていただきます。

Sheet1

.

類型具体例取り扱い
レベル
取得経緯
OK
取得経緯
NG

.

一般
パーソナルデータ
・氏名
・本人が明確な意図で一般公開した情報
・名刺記載情報
黙示同意で可明示個別同意が必要

.

慎重
パーソナルデータ
・移動体端末に蓄積される以下のようなパーソナルデータ
-電話帳情報
-位置情報
-通信履歴
-アプリ利用履歴、写真、動画
-契約者・端末固有ID
・継続収集した購買・貸出履歴、視聴履歴、位置情報等
プライバシー低明示包括同意で可

.

プライバシー高明示個別同意が必要

.

センシティブデータ・思想、信条、宗教
・人種、民族、門地、身体・精神障害、犯罪歴、病歴、その他社会的差別の原因となる恐れのある情報
・勤労者団体行動情報
・政治的権利行使情報
・健康性生活情報


この整理でまず総務省の思い切りが感じられるのは、事業者が比較的自由に取得できる「一般パーソナルデータ」の範囲を、かなり広めに捉えようとしているところですね。氏名は当然としても、ブログやtwitterなどに本人が公開した情報や名刺から手に入る情報などは、取得の経緯(コンテキスト)が認めれれば明示的個別同意なくとも収集できる情報として整理されました。個人情報保護法の生んだ弊害を、このような解釈で解消しようとしていることがわかります。この解釈ですと、Linkedinに掲載された情報を人材紹介会社が収集して転職支援サービスに用いるのは、何ら問題ないということになりますね。もちろん、嫌がられたら停止=オプトアウトは必要だとも言及してありますが。

一方で「慎重な取扱いが求められるパーソナルデータ」の区分は、未だ玉虫色です。情報の中身によってプライバシー性を帯びたり帯びなかったりすることから、包括同意でいいのか個別同意をとらなければならないのかの取り扱いルールが変わる点は、明言を避けています。また、この表にでてこないビジネス上重要な情報として“金融・財産情報“があるのですが、こちらにいたっては「慎重な取扱いが求められるパーソナルデータ」なのか「センシティブデータ」のどちらに区分されるのかすらも明言を避けています。個人的には「慎重なー」の方に分類してよかったんじゃないかな、と思いますけれども。


日本の総務省として、アメリカ型の採用、すなわち、ビジネスのイノベーションをなるべく阻害しない方向でパーソナルデータの利活用を進めていく決意が示された文書となっており、経済界の賛同は得られるものだと思います。しかし、私個人的には、これはあくまでも日本の今に照らした考え方であって、それがそのまま国際的に通じるものかどうかは懐疑的です。今後プライバシーの風向きは急速にEU型に傾いていくのでは、と思うところが実はあり、まだまだ余談は許さないものと思っています。この辺はまた研究が進んだら書いてみたいと思います。


余談:

5月下旬に募集されたパブリックコメントの内容もあわせてリリースされているのですが、どう考えても高木浩光先生らしき方(笑)が、本文書中のクッキー情報の表現についてのツッコミを入れられていて面白かったです。しかし実際、私が長年抱いていた「クッキーの正しい説明の仕方」についての疑問が解消するものでもあったので、こちらに転載させていただきます。

「クッキー」(cookie)説明が、「ウェブサイトの提供者が、ウェブブラウザを通じて訪問者の PC 等に一時的にデータを書き込んで保存させる仕組みで、利用者に関する情報や最後にサイトを訪れた日時、そのサイトの訪問回数などを記録しておくことができることから、認証など利用者の識別に使われる。」(p.44)と書かれているが、このうち、「保存させる仕組みで、」までの文は正しいが、それ以降の文は不適切である。
確かに、cookie に「訪問回数など」を書き込んで保存させることは可能ではあるが、現実の使われ方はそれとは異なる。現実の使われ方は、ウェブサイトの提供者が乱数を用いて識別番号(番号以外の文字列を含む)を生成し、この番号を訪問者の PC 等に cookie として書き込んで保存させることによって、利用者や端末の識別を行うというのが典型である。利用者や端末の識別が行われる結果として、ウェブサイト側で「訪問回数」を数えることが可能となるのであり、同様に、「利用者に関する情報」を把握することがウェブサイト側で可能になるのである。cookie に「訪問回数」や「利用者に関する情報」を書き込んで保存させることが通常行われているわけではない。
このような誤った cookie の用語説明は、本件報告書案のみならず、今日の日本において広く出回っており、事業者等のプライバシーポリシーの中にも散見される典型的なフレーズとなっている。この誤った説明が、プライバシーポリシーの不適切な書き方を助長していると考えられるため、この誤りは看過できないものである。
具体的には、事業者等のプライバシーポリシーにおいて、cookie の扱いについて記述されることが多いが、その中で、「cookie にお客様の個人情報を記録することはありません」といった類いの記述が散見される。そういった事業者が、実際には、cookie に識別番号を書き込んで利用者や端末を識別することによって、「お客様」のパーソナルデータをサーバ側で記録し把握していることが多い。
そもそも、プライバシーポリシーにおいて cookie に関する説明が求められるのは、cookieを用いてウェブサイト訪問者の識別をどのように行っているか(又は行っていないか)を表明する必要があるからであり、そのような場面において「cookie に個人情報を記録することはありません」と説明するのは、cookie の仕組みを誤解しているのが原因とはいえ、欺瞞的な行為である。
本件報告書案は、まさに、cookie による利用者や端末の識別を介して蓄積されるパーソナルデータの取扱いを話題の一つとしているのであるから、むしろこのような誤解を解消すべく、適切な用語解説が求められるところである。
また、解説文に「認証など利用者の識別に使われる」との記述があるが、「認証など」との説明は不適切である。「認証」は「識別」の例示には当たらない。利用者の「認証」(パスワードを用いた利用者認証等の)の結果を「利用者の識別」に継続させて利用することはあるが、利用者認証を経ないで、初めから乱数による識別番号を与えて利用者や端末を識別する使い方も一般的である。すなわち、「認証」は「識別」と共に用いられることはあるものの、「識別」において「認証」を必ずしも必要としないのであり、両者は独立したものである。そして、cookie は「識別」に用いられるものであるが、「認証」のために用いられるわけではない。
したがって、「認証など利用者の識別に使われる」という説明文は不適切である。
以上の理由から、以下の改善案を提案する。
「ウェブサイトの提供者が、ウェブブラウザを通じて訪問者の PC 等に一時的にデータを書き込んで保存させる仕組みで、典型的には、識別番号を書き込むことで利用者や端末を識別するのに用いられることが多い。クッキーで利用者や端末を識別することによって、ウェブサイトの提供者は、利用者に関する情報をサーバ側で記録して把握できるようになる。」
【独立行政法人産業総合技術研究所セキュアシステム研究部門セキュアサービス研究グループ】

 
2013.9.12 追記
表中、慎重パーソナルデータの具体例に「移動体端末に蓄積される以下のようなパーソナルデータ」を追記しました。
 

【雑誌】BUSINESS LAW JOURNAL 2013年 1月号 ― ひろみちゅせんせ、降臨

 
表紙の装いも新たに、さらに洗練されたBLJ。
デザインをよく見ると、特集の「クロスボーダー契約のリスク」にひっかけて、“CROSS”って書いてあるんですね!

BUSINESS LAW JOURNAL (ビジネスロー・ジャーナル) 2013年 01月号 [雑誌]BUSINESS LAW JOURNAL (ビジネスロー・ジャーナル) 2013年 01月号 [雑誌]
販売元:レクシスネクシス
(2012-11-21)
販売元:Amazon.co.jp


このクロスボーダー特集もさることながら、もう一つの目玉記事「データ活用ビジネスとプライバシー問題」に、BLJ編集部のいつも以上の執念といいますか、約束したことは絶対守るというプロの意地を見せていただきました。

なんと・・・あのひろみちゅせんせこと、産業技術総合研究所主任研究員の高木浩光先生が登場しているのですアッー!

高木浩光先生が登場するに至った経緯のまとめ


経緯をたどれば、遡ること2011年10月。「app.tv事件」と呼ばれる、Androidアプリを使った不正情報アップロードの事件が発生します。いわゆるリワード広告のたぐいなのですが、悪質なことに、そのアプリの使用履歴だけでなく、アプリがインストールされた端末に入っている他のアプリの使用履歴までもが、製作運営会社である株式会社ミログに送信されるスパイウェアになっていた、というものでした。

第一発見者の崎山伸夫氏に続き、高木先生もこれを問題としてとりあげ、twitterとブログで糾弾。結果、株式会社ミログはこの事業を停止し、第三者委員会を設置して問題の精査を行います。しかし、この第三者委員会の報告書についても再度ブログに取り上げ「出鱈目である」と追求の手を緩めない高木氏。twitterを中心としたセキュリティクラスタの批判も日に日に大きくなり、2012年4月2日、ついにミログは会社を清算するにいたったのですが・・・。



誰もがそのミログの名前を忘れはじめていた8月、ビッグデータに関する特集記事を組んだBLJ10月号が発売されます。そこに、ミログの第三者委員会の委員の一人である達野大輔弁護士が、「ミログ第三者委員会報告書から考える プライバシー情報 ビジネス利用の問題」と題する記事を寄稿し、高木先生を中心とするセキュリティクラスタに対する反論を試みたのです(よせばいいのにを通り越して、なんという勇気といいますかむにゃむにゃw)。

s-IMG_0776


これを見た高木先生、当然ながら再び反応します。


私もリアルタイムにこの不気味な顔文字の応酬を見ていたのですが、達野先生も高木先生も懲りないなあと苦笑しながら、まさかBLJも高木先生のために再びプライバシー特集を組むとも思いませんでしたし、高木先生のtwitterのつぶやきも、半分冗談なんだろうなと思っていたわけです。それが、冗談では終わらず、こんなカタチで本当に実現されるとは、驚きました。

s-IMG_0779

1)当該アプリの作成・頒布が不正指令電磁的記録に関する罪(刑法168条の2&3)にあたるか
2)かかる情報収集がプライバシー侵害として不法行為を構成するか
3)当該収集情報が個人情報保護法における「個人情報」に該当するか否か

本稿では、主にこの3つの観点のうちの1)について、第三者委員会報告書の“事実誤認”を指摘しながら、総務省の「第二次提言」を参照して丁寧な当てはめを行いその違法性を再度指摘。その上で、事業者がこのような事態にいたらないために留意すべきことを、同じく高木氏が以前より問題視していた「Tポイントツールバー」のケースにも照らしながら、忠告をする内容となっています。

願わくば2・3についても言及があればなあ、と残念な部分もありましたが、鈴木正朝先生と共著という形での、10ページにわたる力の入った論稿。まさに2012年10月号掲載の達野先生とのガチンコ勝負といった様相で、どちらに軍配が上がったかは読んでみてのお楽しみ。
 

森亮二先生のライフログプライバシー論稿も注目


と、どうしても派手な“直接対決”の方に目を奪われてしまうところではあるのですが、その高木・鈴木両先生の論稿の直前に掲載されている、森亮二先生による「ライフログ活用サービスにおけるプライバシー侵害リスクをどう検討すべきか」も、“そこが知りたい”を誰よりも早く言葉にしてしまうIT法務界の魔術師、森先生ならではのキャッチーな記事となっています。

ライフログを収集するビジネスに携わる多くの企業は
  • 企業内での分析とその結果としての統計情報を広告等に流用するだけなのであって、生ログを公表するわけではない
  • 氏名や住所等の基本属性情報を収集しておらず、したがって個人識別性がない
この2つをおもな論拠としてプライバシー侵害を構成しないと主張しており、私の知人にもそういう人は少なくありません。しかし本稿では、ライフログ収集から生まれるユーザーの「漠然とした不安」を法的に分析すると権利侵害を構成する可能性は十分あるということを、客室乗務員DB事件・Nシステム事件・北朝鮮スパイ報道事件・川崎市職員アンケート事件等の裁判例、さらには情報公開法・条例事案も参照しながら、丁寧に検証されています。

s-IMG_0780


個人情報保護法がプライバシー保護法たり得ず、プライバシーを規定する具体的な法令がない日本。ベンチャー企業を中心に「クロともシロとも言えないグレーなうちに、プライバシー情報を使ってイノベーション()を起してしまえ」と暴走感すら漂うライフログビジネス界隈において、まさにそういったベンチャーの経営者さんこそ読む価値がある記事になっているかと。


というわけで、新年号にふさわしい見所いっぱいのBLJに拍手。
 

【本】ビッグデータ時代のライフログ ― 「わからないもの」は細かく分けて議論しよう

 
法務パーソンは、その立場上、ビッグデータとかライフログというキーワードに、否定的・懐疑的なスタンスを取らざるを得ないのがつらいところです。言葉の定義からして曖昧なものに安易に首を立てに振っちゃいけない仕事ですからね。とはいえ、会社としてはこのテーマに興味津々で、そろそろ議論に巻き込まれそう、とりあえず反対とか言っておけばいいのかな・・・などと内心ビクビクしている方も少なくないのでは。

そんな法務パーソンに多くのヒントを与えてくれる本が出ましたのでご紹介。


ビッグデータ時代のライフログ―ICT社会の“人の記憶”ビッグデータ時代のライフログ―ICT社会の“人の記憶”
著者:曽根原 登
販売元:東洋経済新報社
(2012-06)
販売元:Amazon.co.jp



このタイトルのかるーいノリに反して、中身は法律や各省ガイドラインとの整合・矛盾・これからの課題といったところが丁寧に検証された、真剣な筆致になっています。それもそのはず、法律面に関しては、法曹会から森亮二先生・法学会から石井夏生利先生のお二人が著者として書かれているからなんですね。

その他の方が書かれている部分も、興味深いデータが沢山。比較的身近なクッキーに潜む問題点について指摘している部分を例に挙げて紹介してみましょう。

個人識別性のない情報については、HTTPクッキーを使って収集されることが多い。このHTTPクッキーは、図表4ー16のように、ほぼすべてのウェブサイトで利用されている。また、第三者クッキーを利用しているウェブサイトは、77%に及ぶ。この第三者クッキーを、登録されたドメインから、どの様な目的で利用されているのかを推測し、広告やマーケティングに第三者クッキーを利用しているウェブサイトを割り出した結果が、58%である。
第三者クッキーがライフログの第三者提供に提供しうると捉え、第三者クッキー利用サイトの中から、広告やマーケティングに利用していると推測されたウェブサイト50社を抽出し、個人識別性を有しない情報について、第三者提供を記載しているか否かを調べた結果が図表4ー17である。

s-IMG_9458

第三者クッキーを利用してライフログを第三者提供していることについて、プライバシーポリシー他で利用者に通知していない企業がほとんどだ、ということ。
クッキー情報は個人識別性がない→だから法律上の個人情報には直ちにあたらない(はず)→従ってわれ関せず・・・を決め込んできた法務の方は、ドキッとする数字じゃないでしょうか。


このような具体的な事象を取り上げるこの本を読んで改めて気づかされるのは、「ビッグデータ」「ライフログ」という曖昧な言葉で「産業の発展とプライバシーのバランスを如何にとるべきか?」なんていう議論を進めようというのは無理な話で、その中に包含された個別のイシューを丁寧にブレイクダウンして、各論で議論を進めていく必要があるなあということです。たとえば、この本にでてくるだけでも

・ID認証の必要性とレベル分け(知識認証・端末認証・生体認証etc)
・ID連携とID統合
・国民ID制度(住基ネット・マイナンバー法案etc)
・第三者機関(独立監視機関)
・通信の秘密
・暗号化技術
・クッキー・Java・HTML5技術
・画像情報
・データ匿名化(k匿名化・ノイズ付加手法)
・情報の個人識別性
・忘れてもらう権利・追跡拒否(Do Not Track)
・防災・医療・教育と個人情報
・青少年保護

ざっとこれぐらいのキーワードが出てきます。法務/情報セキュリティ/コンピューティングそれぞれの知識・経験を備えた上で、立て板に水のようにこれらについての論点・問題点を指摘できる人は限られているでしょう。限られてはいるんですが、ここからは逃げるわけにはいかない。じゃあどういう順番で・誰が・どのように片付けていったらいいんだろうか?っていう話なんだと思います。

法務パーソンとしては、まずは自分の会社において「ビッグデータ」「ライフログ」と呼ばれる個人に関する情報収集手段(技術)をどう取り込もうとしているのか、マーケティング部門の動きを見守っていくことが大事でしょう。その一方で、個人としても上記に列挙したようなキーワードにしっかりキャッチアップできる知識(法律以外の知識)を身に着けておくこと。こちらが確かな知識を備えた上で、適切なタイミングで、時に教えを請いながら、商売のためにこれらを必要としている現場と各論ベースで議論を交わすことが必要だと思います。最初から私達のような部門が大所高所からの意見をぶっていては、上で見たように細かいイシューが多いだけに、議論が発散してしまいまとまりようがありません。

私はウェブ業界に居る知人・友人の力もお借りして、この分野をどう整理して議論を進めていくべきかを考えていきたいと思っています。皆様の知見も是非お貸しいただければと。
 

プライバシー&セキュリティナイトに参加してきました

 
もう面倒なので勝手に「プライバシー&セキュリティナイト」と愛称をつけてしまいましたが(笑)、正式名称 “TokyoStartupSchool vol.4 ー「スタートアップが気をつけるべきプライバシーとセキュリティ」” @NOMAD NEW'S BASE by Startup Dating に参加してきました。


利用規約ナイトでも活躍のご存知AZX総合法律事務所 雨宮美希弁護士に、元野村総研他→日本ベリサイン→現FrogApps取締役&株式会社エヴォルツィオ代表の高橋伸和さん、そしてOpenID ファウンデーション・ジャパン事務局長の山中進吾さんと、それぞれ法務/セキュリティ/アイデンティティの“実務”を知り尽くした専門家が登壇。私にとっては超豪華メンバーで、万難を排して参加しなければと思っていたイベントです。

s-IMG_9371


例によって、USTもtweetも制限つきのオフレコトーク満載のイベントだったのですが、雰囲気が伝わればということで私のメモの一部をご披露するとこんな感じ。質問・ディスカッションの時間が足りなかったのがちょっと残念でしたが、19:00〜21:00ちょっと過ぎまでの2時間あまりでこれだけのボリューム。その筋の方には、ヨダレモノのお話だということが伝わるのではないかと。
※ご登壇者・ご参加者各位におかれましては、補足あればぜひ。

【法務】by雨宮先生
  • プライバシーは自己情報コントロール権から自己決定権まで広がる余地のある捉えどころの難しい権利。
  • 個人情報保護法(皆さんが思うよりも狭い保護)と憲法によるプライバシー権(皆さんが思うよりも広い保護)の差があまりにも大きいのが、ベンチャーが道を踏みあやまりがちな理由。
  • ライフログ=蓄積された個人の履歴。大量に蓄積することで個人識別性を持ちうる。識別性がなくてもセンシティブだからたちが悪い。
  • 行動ターゲティング。広告事業は個人情報取扱事業者に当たらないと『第二次提言』では言われたものの、プライバシー権が及ぶことには注意をした方が良い。
  • プライバシー、セキュリティに関して抑えておくべき法律・ガイドライン
     1 個人情報保護法
     2 憲法
     3 電気通信事業法
     4 提言及び自主規制(『総務省第二次提言』&『JIAA行動ターゲティング広告ガイドライン』)
  • 個人情報保護法の保護範囲は狭い。利用停止請求だって、不正入手でなければ応じる義務なし。
  • 安全管理措置をどこまですればいいかは、経産省ガイドラインを熟読すべし。
  • プライバシーポリシー制定はベンチャーと言えどもmust。目的/第三者提供/開示変更請求等への対応/保護方針のアピール。
  • 電子メール広告。同意はプライバシーポリシーへの同意だけでは足りない。独立して同意取得が必要。
  • 利用規約の同意。経産省準則を参考に。※ただし雨宮先生はリンク同意は望ましくないとの見解
  • クッキーポリシー。行動履歴情報の“収集”/“利用”の可否は、それぞれを分けて選択できるようにすることが必要。
  • 実名あげての企業事例(オフレコ)
  • 最後に…ユーザーテストは必須。プライバシーに対する感覚は、サービスを作っている側だけではズレていることが多い。

【セキュリティ】by高橋先生
  • ベンチャーで、セキュリティを無視する人は、RPGで武器だけカネをつぎ込めばどうにかなると思っちゃう人。バランスが大事。
  • 807件・570億分のセキュリティインシデントが起きている。ベンチャーにとっては100万円の事故でもイタイ。セキュリティで良いビジネスが潰れるのはもったいない。
  • 100%のセキュリティは無いが、「コンセンサスゾーン」は目指さなければならない。かけられるお金がなくとも。
  • 大企業は何をしているか?
    −プライバシー委員会
    −CSO任命
    −セキュリティ技術の開発・標準化コミット
  • ベンチャーはどうすべきか?
    −最低限の知識は身に付ける
    −専門家に相談する
    −少しだけ、セキュリティインシデントに関するネット記事を気にしよう
  • 「個人情報保護法だけ守ればイイ」というのは、ベンチャーによくある間違い。いやベンチャーだけではないかも…(オフレコ)。日本は緩い方の国。日本の法律が足を引っ張って産業を潰しているという言説は多くの場合間違い。
  • アメリカのプライバシー権利章典はよく読むべし。「コンテキストプライバシー」
  • プライバシー≒セクハラ
  • 「ベンチャーがセキュリティやプライバシーについて考えるべき50のこと(メソッド)」を作ろう!

【アイデンティティ】by山中先生
  • いきなり某有名人のお話(すべてオフレコ笑)
  • マイナンバー制度の議論を見ていても、名寄せがもたらすプライバシーへの脅威をわかっていない人が多い。
  • UDIDも同じ話。この辺リワード広告界隈で安易な使い方がされる傾向にあるが。(またオフレコw)
  • UDIDはなりすまされるので認証に使うのはナンセンス。
  • ダボス会議“Personal Data is the new oil of the Internet and the new currency of the digital world"。パーソナルデジタルエコノミーの世界に入った。
  • FBの株価のからくりは、時価総額10兆円/ユーザー数10億人=10,000円/人。株価が2/3になったのは、1/3がスパムアカウントだと市場も気づいているから。
  • 車にブレーキがついているのはなぜ?=より速く走るため。ベンチャーが速く走るためには、性能の良いブレーキ=セキュリティも必要。
  • 世の中からパスワードをなくしたい。それが最近のテーマ。
  • 「利用規約」という訳は好きではない。Term of Useじゃなくて本来はTerm of Service。利用規約やプライバシーポリシーにも、おもてなしの心が必要。Googleの利用規約・プライバシーポリシーには、アンチfacebookもあって、おもてなしの片鱗が垣間見える。


「本当は大御所を呼ぼうかと思っていた」とのお話ですが、聞きたかった実務とベンチャーとの現実的ヒモ付けのお話だけでなく、プライバシーとセキュリティの大局的な流れについても3つの側面からまとめて聞くことができ、このメンバーがベストだったと思います。既知の雨宮弁護士に加え、高橋さんや山中さんというこれからの日本のプライバシー実務をリードしていくであろう方々とお会いできたのが、私はとても嬉しかったです。


2012年に入り、3月に利用規約ナイト、そしてこの6月にプライバシー&セキュリティナイトが開催されたわけですが、2010年ごろからそろそろくるなぁと思っていた日本のプライバシーの夜明けが来た感じがします。雨宮先生や猪木先生あたりをハブに、そろそろプライバシー旋風の前のそよ風を敏感に感じていらっしゃる法務/セキュリティ/アイデンティティの各クラスタの皆さんの叡智が集結し、化学反応が起きるんじゃないか、そんな予感漂う夜でした。

私はまだまだ若輩ですが、裏方としてでも、このテーマとコミュニティの成長にご協力できればと思っています。
 

【本】膨張する監視社会 ― 企業が“身分証明書”を確認する行為に何の疑問も持たないあなたは危険かも


「監視社会」とついたタイトルを見ると、どうも監視カメラによるプライバシー侵害のようなことを想像してしまいますが、この本が取り上げているテーマはそうではなく、身元の特定にIDカードやバイオメトリクスを用いることが、いかに権力の強化や差別の助長を招くのかといった社会的影響について。

いつのまにか閣議決定された共通番号制度法案(マイナンバー法案)の是非を考えたい方や、自社サービスにID/パスワード以外の本人特定手段を検討されている方などに、特にお薦めしたい本です。

膨張する監視社会 個人識別システムの進化とリスク膨張する監視社会 個人識別システムの進化とリスク
著者:デイヴィッド・ライアン
販売元:青土社
(2010-09-25)
販売元:Amazon.co.jp



職場に入る時、空港で優先列に加わる時、単にATMからお金を引き出す時でさえ、身元確認が必要となる。正しいIDがなければ、緊急医療さえ受けられない。ウェブサイトにはアクセスを拒否され、国境では引き返させられる。本書で私は、新たなID、とりわけ「国民ID」導入へと向かいつつある現在の傾向によって引き起こされている問題について概観しようと思う。
近代以降においては出生届や住民票といった記録や、身分を示す書類などによって、身元特定は合理化された。今日では、マイクロチップを埋め込み、バイオメトリクス(生体認証)や、その他機械で読む形の身元確認を行えるIDカードが、時には国民全員が持たされる「国民ID」として、提案され、推進されているのだ。これはデータベースとも接続され、組織の側では多くの個人情報にアクセスでき、かくして監視が拡大する。機械が読み込む形のIDなどで身元特定のプロセスが変わるだけでなく、政府の情報へ市民が機械でアクセスできることで、市民権の性質自体もまた変わるだろう。

私も先日NYに行きましたが、入国/出国審査では事前のESTA登録、顔写真・すべての指の指紋の収集に加え、性器も丸見えと悪評高いフルボディスキャナー、そして審査官の手によるしつこい身体検査(かなりすみずみまで念入りに触られました)のフルメニューを受け、不快な思いをしました。最近では、手荷物に入っていたコンピュータの中身に違法な動画が入っていたことで入国を拒否された事例があるとも聞きます。そういった空港の審査で収集される情報のいくつかは、間違いなくパスポートの個人データと紐付ける形で身元特定のためのデータとしてアメリカ政府のデータベースに保存されているはずです。

国境をまたぐ際にはこういった身元特定と監視に従わざるをえないのはしょうがないとしても(いやそれすらも将来的には解決すべき課題かもしれませんが)、ひとたび“国民ID”の付与が行われると、国内においてもこれと同じような“監視下”におかれかねない点について、我々はもっと危機感を持つべきである。そのことを、世界各国の国民ID付与の歴史・実例・検討経緯を紐解きながら理解させてくれます。

たとえば、以下のページでは、イタリアですでに導入されている国民IDとそのカードがどのようなデータベースと接続されているのかを示してくれています。どうも「マイナンバー法案どうあるべき」と法律の建付けや理屈だけで考えているとすっきりしないこの問題も、こういったリアルな事例を目の当たりにして比較しながら考えると、その必要性含め見えてくるものも多いはずです。

IMG_8721


また、そういった対国家権力という視点だけでなく、民間企業人としても注意すべきことがあると、著者は指摘します。

新たなIDシステムの導入は常に議論を伴ってきた。例えば英国、米国、フランス、オーストラリア、日本、韓国など、みなそうである。しかしこうした論争も、ほとんどの場合、変化の核心には届かなかった。その大きな理由は、議論の焦点がカード自体や、警察がその携行を義務付けるのではないかとのおそれに当てられていたからである。市民の自由という観点からは、もちろんこうした事柄も重要ではあるのだが、より注目すべきなのは、新たなIDカードが電子的インフラに、とりわけ国家レベルの記録システムに依存しているという点である。国家IDであるかどうかにかかわらず、あらゆるIDカードシステムの監視権力の源泉はそこにある。人々を異なったカテゴリーに分け、それぞれ違った扱いをするために。

実際アメリカでは、法律上は規制されているにもかかわらず、サービスの提供にあたって社会保障番号の提供を義務化する企業が多数あります(この点については.Nat Zone「米国社会保障番号(SSN)の民間利用制限なしという神話」が大変参考になります)。こういった事例のように、国民IDを付与すると、それに依拠した身元特定により人権侵害(たとえば◯◯人は統計的に金払いが悪いから与信限度を下げる等)が助長されるのだという著者の指摘は、我々企業人として気をつけておかなければならない視点だと思います。

私自身も、企業法務として、個人から収集する情報の正確性確保や債権の確実な回収・貸倒れ防止を目的に、免許証や住民基本台帳カードの現認を含めた厳格な身元特定をサービスインの条件とすべきでないかと真剣に検討した経験があります。日本での感覚ですと、「いまどきどこのビデオレンタル店だって当たり前のように免許証を出させて番号を控えたりしてるんだから、別にいいじゃん」となりがちです。しかし、本当にそれが必要なのかや、そうやって集めた情報が当初の目的を超えて悪用・差別的な利用につながらないかも含め、プライバシーに関わるタッチーな情報収集について、アンテナを高くし事例を集め感覚を研ぎ澄ませて慎重に考える態度が、法務パーソンにはより一層求められるようになるでしょう。
 

【本】デジタル社会のプライバシー ― 米国で注目されるレッシグのプライバシー理論を日本の今に当てはめる

 
“ビッグデータ“や“行動ターゲティング”という言葉がバズワード化し、また政治においても税・社会保障のための共通番号制導入に向けた動きが活発になるなど、なんだかプライバシーまわりのニュース・話題が増えてきたような気がする今日この頃。これらのイマドキなキーワードや話題を一気にフォローするのにもってこいの1冊があります。

デジタル社会のプライバシー―共通番号制・ライフログ・電子マネーデジタル社会のプライバシー―共通番号制・ライフログ・電子マネー
著者:日本弁護士連合会
販売元:航思社
(2012-02)
販売元:Amazon.co.jp



「ITビジネス vs プライバシー」に関わるキーワードをこれだけ広範囲にカバーし、かつその法規制について海外判例(アメリカ・カナダ・ドイツ・オーストリア・韓国が中心)も含めてまとめて読める書籍はそうそうないので、目次をご覧になって興味があるキーワードが複数あるようでしたら、迷わず読むが吉かと。

s-IMG_8684


なお、弁護士会編著、そして人権擁護のシンポジウムの内容がベースになっているということもあって、市民の味方という立場から、共通番号制のあたりなどは行政に対する個人のプライバシー保護の視点からかなり明確に否定的な立場をとっているあたり、「多少のリスクは飲んでも世の中を便利に・効率的にすべき」と考えがちなビジネスサイドの視点からは、読んでて違和感を感じられる方もおられるかもしれません。とはいえ、プライバシーに関してはビジネスサイドに立ちがちな私も、共通番号制に関しては、仕事や人事がまだまだ縦割りな各省庁がわかれて所管し続ける以上、番号をそろえただけで「お役所仕事」のスピードやコストが劇的に改善するとは思えないので、弁護士会の意見には賛成だったりするのですが。


さて話はそれましたが、イマドキのキーワードをしらみ潰せる他に私が思うこの本のもう一つの売りがあります。それはローレンス・レッシグの『CODE2.0』からの引用が多く、レッシグ理論を現実のビジネスに適用するとどう考えられるかについての言及が多い点。それはまるで『CODE2.0』の解説本か、もしくは『CODE3.0 実務応用編』と読んでも過言ではないほど。例えばこんな記述。

まず、レッシグ氏は、高度情報化社会において、プライバシーが危機に陥ることにつながった要因は、技術の向上のおかげで「永続的で安上がりな」監視が可能となったことであると指摘する。
実際、あなたが、何年何月何日の何時何分にどこの道路上にいたかとか、どこからどこに向かう電車や飛行機に乗っていたとかといったデータが集約されれば、これは、誰がどう考えても重要なプライバシー情報である。だから、公共の場においては、プライバシー問題が生じないなどということは明白な誤りである。
とはいえ、かつでは、こうした事実を収集、集約して検索、利用するためには多大なコストが必要だった。このコスト、つまり、先述した4種の規制要因(tac注:法・規範・市場・アーキテクチャのこと)でいえば市場により、公共の場におけるプライバシーはこれまで事実上守られていたのであり、そのおかげで、法は保護を提供する必要がなかったのである。したがって、Suica、ICOCA、クレジットカード、ETC、Nシステム、各種電子マネー、監視ビデオ等によるデータが保存され、それらのデータ利用技術が向上することによって、上記コストが大幅に下がってしまった現在では、法はこれまでのように保護に無関心でいられるわけではないのである。

レッシグの書籍とその理論は、インターネット接続とデジタルコピーの普及による著作権制度の未来に関する彼の言及とも相まってさまざまな分野で注目されていますが、インターネットが存在することが前提となった現代とこれからの法制度のあり方を考える上で外せない人物といっても過言ではないと思います。その彼の理論について、日本に今起こっている身近なプライバシーイシューと重ねながら理解を深めることができるという点でもお薦めできる、一粒で二度美味しい書籍かと思います。
 

【本】パブリック ― ソーシャル・ネットワークのプライバシーを「自己責任」で片付けちゃだめだ

 
今、巷にあふれるインターネットとプライバシーに関する論争を友達同士の会話調に翻訳しなおすと、およそこんなパターンになっていると思います。

A:「Facebookとかtwitterって、気を付けないとプライバシーが脅かされる感じがして怖いよね」
B:「ならやめたらいいじゃん、別にやる義務があるわけじゃないんだし」
A:「だって、イマドキ学生やるにも就職するにもソーシャルネットワークぐらいやってないとさ・・・」
B:「なら、サーチされたりバラ撒かれる覚悟で、自己責任でアップするしかないんじゃない?」


ここ日本では、つい最近まで「プライバシー権とは自己情報をどこまでもコントロールできる権利である」「自分が第三者に開示した情報であっても、望まない相手には伝達されない/知られない権利がある」などというトンデモな風潮が(そしてそれを自己情報コントロール権と名付けて大まじめに唱える学説すら)あったわけですが、さすがにこれだけソーシャル・ネットワークが普及するような世の中になって、そういった論調も聞かれなくなりました(正確に言うと、そういう憲法系学者さんの教科書はまだ沢山存在します)。それに代わって急に台頭してきた感があるのが、上の会話のBさんの発言に見られるような「プライバシーはそもそも開示した自分の責任」説です。2009年にまさに同じようなことをエリック・シュミットが言っていたのも、記憶に新しいところです。

今日ご紹介する本書『パブリック』の著者ジェフ・ジャービスは、"情報主体がプライバシーをどこまでもコントロールできる”という考え方が過去の遺物となった一方で、代わりに台頭しつつある“すべては自己責任”的な考え方は、情報をシェアすることの価値を阻害してしまうという危機感を感じ、そこに一石を投じようと筆を取ったことがわかります。


パブリック―開かれたネットの価値を最大化せよパブリック―開かれたネットの価値を最大化せよ
著者:ジェフ・ジャービス
販売元:NHK出版
(2011-11-23)
販売元:Amazon.co.jp



そのことがよく伝わってくる一節が以下。

こうしたプライバシーの問題は、これまでも、そしてこれからも、人々がお互いにどう接するかという所に戻ってくる。僕らはそれを法律やルールやエチケットやテクノロジーに落とし込もうとする。でも、結局「プライバシー」という言葉にひとつの意味をあてはめるのは不可能ではないかと思うのだ。そのかわり僕は、プライバシーは「倫理」だと信じるようになった。僕はそこに僕なりの定義を見出した。
あなたが何かを打ち明けると、その相手がたとえ一人だったとしても、その情報はその範囲でパブリックなものになる。それがもっとパブリックになるかどうかは、あなたが打ち明けた人次第だ。スティーブが友人のボブに離婚することを打ち明ければ、その知識をどう使うか決めなければいけないのはボブになる。ボブがそれを他人に言ってもいいとスティーブが思っているかどうかを、ボブは確かめる必要がある。ボブは、なぜ自分がそれを他人に伝えるのか―うわさ話でスティーブを傷つけるためか、それともスティーブへの支援を集め、彼を助けるためか―と自分自身に問わなければならない。
反対に、パブリックにすることは、自分の情報を管理する倫理だ。もしサリーが乳癌にかかっているとしたら、彼女はその情報をシェアすることがみんなの役に立つかどうかを判断する必要がある。もしそれをシェアすれば、友人のジェーンが検査を受ける気になるだろうか?サリーの職場や地域で乳癌が急増しているようなら、彼女の新しいデータが問題の原因を突き止める助けにならないだろうか?サリーはシェアする必要はない。だがシェアしないことで、他者が影響をうけるかもしれない。その責任は彼女にある。
だから、プライバシーは誰かの情報を受け取る人の選択をつかさどる倫理だ。パブリックは情報を発信する自分自身の選択をつかさどる倫理と言える。もっと単純に言おう。
プライバシーは「知る」倫理だ。パブリックとは「シェアする」倫理だ。

ジェフ・ジャービス自身が、自己の情報を積極的に開示してメリットを受けてきた経験の持ち主であることから、「もっと積極的に、情報を出す側/受け取る側の双方が責任を果たそうという気概をもって、恐れずに情報をシェアしようぜ」と熱っぽく語るこの本。その姿勢に賛同する一方で、“倫理”というありきたりな言葉で片付けるにはいかにも勿体無い気がしてならないのは、私だけでしょうか。

本書の中で度々引用されるいくつかのプライバシーに関する専門書(ヘレン・ニッセンバウムの『PRIVACY IN CONTEXT(本ブログでは未紹介)』やダニエル・J・ソロブの『Understanding Privacy』など)の理解も、同書に影響を受けて止まない私の目には「著者はどこまで読み込んでこれを書いているのだろうか?」と首を傾げざるを得ない記述も多く見受けられましたし、レッシグの『CODE』を読んだことがある人にとっては「どこまでプライバシー侵害の危険に対してお気楽なんだこの著者は・・・」とびっくりされるぐらいの楽天的な論説が展開されています。彼自身はベンチャージャーナリズムが専門で法学が専門ではないということなので無理もありませんが、硬派なプライバシー法学論を期待すると拍子抜けするかも。

s-IMG_6928


と、生意気にもやや辛口な批評を述べてしまいましたが、ニッセンバウムやソロブといったまだ一冊も邦訳されていないプライバシー研究者の著作を引き合いに出した点は、まだ彼らに馴染みのない日本のプライバシー研究者に少なからず影響を与えるでしょうし、一方通行にプライバシーを脅かすだけの「マス(メディア)」と双方向に意見や異議を述べる機会がある「パブリック」の違いに着目した上で、
僕はプライバシーをパブリックと競わせるつもりはない、なぜなら、何度も言うが、それらは相反するものではないからだ。プライバシーとパブリックは相互に作用するものだ。プライバシーを「パブリックでないこと」とは定義できないのだ
とするアプローチは、私の次なるプライバシー研究の着想としても大変参考になりました。総論で申し上げると、ネット上のプライバシーに興味・関心があるなら読んでおけ、ということになるでしょう(そうじゃなきゃこうしてブログで紹介なんかしませんし笑)。

ソーシャル・ネットワークブームも一段落した感のある今、一度本書を通じてご自分のネット上でのプライバシーのあり方について整理してみてはいかがでしょうか。
 

学会投稿論文「インターネット上に存在する応募者のプライバシー情報を企業の採用選考において取得・利用することについての法的検討」出ました

 
ようやく、陽の目を浴びる日が来ました。

今から1年前に情報ネットワーク法学会に入会させていただき、BLJ2009年7月号の道垣内先生による「社会人も論文を書いてみてはどうか」という記事にも影響されていっちょやってみようかとリサーチを始めて、正月休みと1月の土日をフルに使って書いた投稿論文が、先生方の査読を経て学会誌『情報ネットワーク・ローレビュー 第10巻』に掲載していただくこととなり、商事法務さんから発刊されました。

s-IMG_5771

タイトルは、「インターネット上に存在する応募者のプライバシー情報を企業の採用選考において取得・利用することについての法的検討」です。企業が採用選考にあたり当然に提出させる履歴書や職務経歴書とは別に、ネット上で検索できる情報や本人が書きこむブログやFacebookの記事などをチェックする行為について、プライバシー上・法律上問題ないのか?あるとすればどのような点をクリアすれば合法的に取得・利用できるのか?という疑問について、検討をしてみたものです。

1月の執筆当時のエントリにも書いていますが、投稿論文どころかまとまった論文を書くことに慣れない中手探りで書いた手作りの素人論文ですので、クオリティは推して知るべしで(笑)、掲載されている他の偉い先生方には申し訳ないなあと恐縮するとともに、査読頂いた先生方をはじめ学会の関係者各位には深く御礼申し上げたいと存じます。一方で、企業の永遠のテーマである採用選考とプライバシーの議論に、SNSを中心としたインターネット上での個人情報オープン化の波が実務にどう影響を与えているのかという旬でリアルなネタを持ち込み一定の見解を出せた点は、実務サイドの人間ならではの付加価値を少しは出せたのかなと、自負しております。

個人的には、ネット上のプライバシーの問題は、著作権と同様もしくはそれ以上に混沌とし、企業経営にも大きな影響を及ぼしていくものと予測しています。そんな中で、これを足がかりにこの分野で研究を深めてプレゼンスを発揮していけたらなと思います。

ご興味お持ちいただけましたら、書店にご注文いただくか、商事法務さんのwebサイトからご購入いただければ幸いです。
 

Facebookが変えていく「写真のプライバシー権」

 
これからは、友達が自分を写真に撮ろうとする度に、神経質と思われても「Facebookにアップするんだったら撮らないでね」とはっきり言った方がいいかも知れませんよ、というお話。


カンサスのとある看護学校で、授業中に子宮の検体と一緒に写真を撮った看護学生がFacebookにそれをアップしたところ、スーパーバイザーに見つかって速攻退学処分になったという事件で、看護学生側から裁判が起こされました。

その発端となった問題の写真がこちら(Sarah Beth RN blogより)。
※臓器系の写真に弱い方は、下の方はじっくりご覧にならないほうがいいかも知れませんので注意。

placenta


この裁判において、カンサス州裁判所はこのように述べ、退学とした学校の処分を不当と判断しました。孫引き引用になってますがご容赦を。

Judge Says It’s Reasonable For Any Photo Taken To Go Viral. A Dangerous Precedent?(Forbes)
[P]hotos are taken to be viewed. When Delphia(訳注:看護学校のスーパーバイザー) granted permission to take the photos, it was unreasonable to assume that they would not be viewed. If the photos were objectionable, to say nothing of objectionable to the point warranting expulsion from the nursing program, then it would not have mattered whether the photos were viewed on Facebook or elsewhere. By giving the students permission to take the photos, which Delphia admitted, it was reasonable to anticipate that the photos would be shown to others.

写真とは、その場面を記録して誰かと共有するためのものであって、一度撮ることを認めた以上は、どこに出そうが誰に見せようがFacebookにのせようが、撮るのを認めた側が文句を言える筋合いではない、と言わんばかりの判決。

Facebookでは、以前から未成年の学生の飲酒や乱痴気騒ぎがその友達に写真によってアップされ、さらに名前のタグをふられることで学校等バレてはいけない相手にバレる、というプライバシー問題が発生していましたが、今回のこの判決は、引用しているForbesだけでなくABAjournalの記事など様々な法律系ブログにおいても、「プライバシー上悪しき先例になりやしないか?」と大きな議論を呼んでいます。

1)写真を撮る自由を認めた上で、写真をアップロードする自由をプライバシー権によって制約していく
2)写真をアップロードする自由を認めた上で、写真を撮る自由をプライバシー権によって制約していく
これまでのプライバシー権の考え方では、どちらかといえば1寄りだったと思いますが、本判決は2の立場をとったものと言えるでしょう。

私はこの判決の考え方には基本的に賛成の立場です。しかしそうなると、仲の良い友達であっても「今日の私は写真には撮らないでくれる?」と言わなければならない場面が増えて、それはそれでギクシャクした世の中になりそうな気もします。

いずれにせよ、Facebookエイジに生きる私たちに新しいプライバシーの問題がもたらされているということは、どうやら間違いがないようです。

【本】論文の書き方マニュアル ― 学者もすなる論文といふものを、サラリーマンもしてみむとてするなり

 
年末年始、普段できないまとまった作業をしてみようかということで、学会誌に投稿予定の論文みたいなものを書いています。

私がブログでものを書くのは、私のものの考え方を反面教師に皆さん自身が考え方を整理していただいたり、紹介する情報が皆さんの仕事のお役に少しでも立てばと思ってのことなのですが、所詮ブログなんて自己満足の世界だ、という批判も根強いものがあります。私は必ずしもそうは思いませんけど。

そこで、もう少し自分の職業経験やアイデアを社会の役に立てる道はないかと考えたとき、起業するには持てる資本も人脈もなく、共著でなく単著を出版とかいうのもそんな声がかかる実績もないので、背伸びせずに頭とカラダだけあればできる論文みたいなものを書くことにしてみました。(この「サラリーマンも論文を書いてみたら?」ってアイデア自体は誰かの本で読んだ記憶があるのですが、思い出せません・・・。)


とはいえ、論文なんてほとんど書いたことがない私。そんな私でもこの方法なら書けるんじゃないかと思わせてくれたのが、この本でした。

論文の書き方マニュアル―ステップ式リサーチ戦略のすすめ (有斐閣アルマ)


この本では、論文を書きあげるまでのステップを、大きく3つに分けて考えます。

まずは、「テーマとねらいの決定」。
テーマを自分の手に負えるエリアに絞り込み、世の中に既に出ている関連文献を読み漁って、先行研究がないかどうか、ねらいについて自分なりの新味が出せるかを検討し、大まかな章立てを考えます。

s-IMG_3385


次に、「リサーチ」。
関連分野の基本書・文献・先行研究を精読して自分のテーマに関わるトピックをピックアップし、文房具店で売っている情報カードに引用したい部分や自分のアイデアを書き出していき、これを眺めたり並べ替えたりしながら、大まかな章立てにしたがって節を作って行きます。

s-IMG_3387


最後に「執筆・仕上げ」です。
・書き出し、改行は一字下げる
・カッコ類の開き部分は行末に置かない
・アルファベットは横書きにして1マスに2字書く
などの執筆の基本ルールを守りながら、整理した情報カードを参考に、最初のステップで検討したテーマとねらいと摺り合わせて、下書き→清書をすすめます。

特に、引用文献やアイデアを情報カードにまとめて整理していくという手法論がとってもわかりやすいですし、TwitterでつぶやいたりRTしたことをブログにまとめる感覚にも似ていて、これなら自分でも書けそうという気にさせてくれる、いい本だと思います。


なお、私がまとめたいのは、個人情報保護法の不備が生んだ日本の個人情報保護偏重主義をどう是正していくかについての提言です。

企業が個人情報を利用する場面、中でもすべての企業が行うはずの採用選考の場面における応募者のプライバシーに関わる情報の取扱いを題材に、プライバシー保護ありきの個人の目線だけではなく企業の視点からも課題を捉え、個人情報保護と利用のバランスをとるアイデアを探ってみたいと思っています。個人がSNSに書き込んだことが当たり前のように採用選考担当者にも参照されたりと、企業が情報を集めようと思えば集められてしまうこの情報化社会において、個人として何を覚悟すべきか、という個人側の視点も含まれることになるでしょう。

いままさに、リサーチのステップをすすめているところで、残り二十数時間あまりの正月休み終了までに下書きまでやりきれるか、そして1月下旬の〆切に間に合うのか相当不安ですが、もうここで言っちゃったから書くしか無くなりました(笑)。背伸びせず、書ける範囲で書けるだけのものを書いてみることにします。

【本】Understanding Privacy ― 日本のプライバシーに開国を迫るFacebookという名の黒船


ワシントン大学で教鞭をとるダニエル・J・ソロブ。IT時代のプライバシー論をリードする学者の一人です。

そのソロブの直近の著作がこれ。


Understanding Privacy
Daniel J. Solove
Harvard University Press
2008-05-30



I contend that the value of privacy must be determined on the basis of its importance to society, not in terms of individual rights. Moreover, privacy does not have a universal value that is the same across all contexts.

伝統的なプライバシー論をバッサリと否定。「プライバシーは知られたくないことを他人に知られないための“人権”だ」「だから個人は自分の情報をコントロールする“権利”をもっているんだ」と思っている日本の法律家は、世界ではそのような考え方がはっきりと否定されはじめていることを、まずは知っておく必要があるでしょう。
 
では、プライバシーを支える次の法理論とは何か?アメリカのプライバシー裁判例・法理論で主流となっているのは、“reasonable expectations of privacy doctrine(合理的な期待権論)"と呼ばれる、その環境において一般人が合理的な範囲で期待できる限度において保護されるという考え方。しかしソロブはこれにも致命的な欠陥があると指摘します。

Without a normative component to establish what society should recognize as private, the reasonable-expectations approach provides only a status report on existing privacy norms rather than guides us toward shaping privacy law and policy in the future. Indeed, if the government has a long-standing practice of infringing upon privacy, then a logical conclusion would be that people should reasonably expect that their privacy will be invaded in these ways. Similarly, the government could gradually condition people to accept wiretapping or other privacy incursions, thus altering society's expectations of privacy.

乱暴に解説すれば、「合理的な期待」などというものは、水があたためられてだんだんと熱くなり、気づかないまま沸騰して死んでしまうゆでガエルと同じである、ということでしょうか。
ではどうすべきか。ソロブは、プライバシー権そのものを言葉で定義するのではなく、「プライバシーを脅かす行動には何があるか」を分類して捉えることで、時代によって変化するプライバシー観を捉えていくことを提唱しています。詳しくは本書にて。


私が今この本を推薦するのは、Facebookの波がついに日本にも押し寄せてきたから。使い古された例えですが、これは黒船だと思います。「プライバシーという日本人にとっての永遠のタブー」に開国を迫る黒船です。

s-1853Yokohama_01


実際、昨日のエントリに頂いたコメントでも、「採用選考活動にFacebookが使われるなんて、生活ぶりや能力の裏取りをされているようで気持ちが悪い」という主旨のご意見をご紹介いただきました。また9月27日〜28日のNewYork TimesやWashinton Postでは、アメリカ政府がFacebookでの通信の内容をwire tapping(傍受)すべく検討しているという報道がありましたが、これ対する日本での報道やはてブでの反応を見ていても、そのタブー意識は強いのだなと思います。

U.S. Tries to Make It Easier to Wiretap the Internet(NewYork Times)
Essentially, officials want Congress to require all services that enable communications ? including encrypted e-mail transmitters like BlackBerry, social networking Web sites like Facebook and software that allows direct “peer to peer” messaging like Skype ? to be technically capable of complying if served with a wiretap order. The mandate would include being able to intercept and unscramble encrypted messages.

さあ、私たち日本人は、本格的な実名主義・プライバシー開放を求める黒船Facebookの圧力に、攘夷で望むのか、開国で応えるのか。法務パーソンとして、坂本龍馬の如く時代の潮目を掴むため、そしてすぐそこに迫ってきたプライバシー論争にそなえるためにも、予習をしておくことをおすすめします。
 

採用選考において、「応募者のプライバシー権」と「企業によるセンシティブ情報収集権」はどちらが優先するか

採用選考において、「過去自分が起こしてしまった都合の悪いことは隠して入社したい」という応募者のプライバシー権と、「キャリアが優秀なだけでなく人物にも問題のない人材を採用し、安全な職場を作りたい」という企業のセンシティブ情報収集権とが衝突する場面があります。

特に、応募者が犯罪歴、懲戒歴、既往歴(病歴)等のセンシティブな情報をプライバシー権を楯にして隠している場合に、企業として調査をどこまで行うことができるのか、非常に悩ましいケースもあるでしょう。

iStock_000005359781XSmall


この問題に関し、突然ですがケーススタディを1問出題してみたいと思います。腕に覚えのある採用責任者・担当者/法務の方は、是非チャレンジしてみてください。


ケーススタディ 

あなたはX株式会社の採用責任者です。

あなたの会社の採用選考に、いわゆる前歴(判決までいかない逮捕歴等)のあるAさんが応募してきました。もちろん、自分から「前歴がある」なんてことを言う人はそうそういません。そしてあなたも、一流企業に長く就業した経験もあり人の良さそうなAさんの過去に、そんなことがあるとはまったく知りませんでした。

ところが、「もしかしたらAさん、TwitterとかFacebookとかやってないかな」と興味本位でGoogleで検索してみたところ、ヒットしてしまったのです。とある掲示版に貼りつけられた、7月頃の痴漢事件の実名報道が・・・。

Aさんはすでにトップクラスの評価で2次面接を通過し、明日確認程度の役員面接が予定され、明後日にも正式に内定を出そうとしていた矢先でした。今一度応募書類を見直すと、「7月 会社の業績不振のため将来に不安を感じ退職」と記載されています。偶然でしょうか、報道されている事件の時期とも重なっています。

さあ、あなたは採用担当者として、このあとどのようにこのAさんに対処しますか?

(次ページへ続く)
曖昧にされ続けてきた採用選考での「センシティブ情報」の取扱い

日本でもSNSを使った応募者のバックグラウンドチェックが行われていること、そしてその問題点については、このブログでも何度か取り上げてきました。お読み頂いた方はおわかりになっているかもしれませんが、本来の目的外で利用されるという点で抵抗感はあるにせよ、私はバックグラウンドチェックにSNSを用いることは、SNSに本人が不特定多数に積極的に情報を公開をしているという点からも、違法ではないという見解です(ドイツでは違法になる可能性が出てきているというニュースは気になるところです)。

一方で、このケーススタディで出てくるような、本人が企図しない形でネット上で広まった犯罪歴や病歴といったセンシティブ情報は、応募者という立場の本人にとっては企業にもっとも知られたくないプライバシーにかかわる情報です。このような情報を、採用選考に利用していいのでしょうか?

s-352249_9018


こんな悩ましい質問に対し、行政が出している文書・ガイドラインではどうなっているかというと、職業安定法とそれに基づく告示を根拠に「職務遂行能力の判断に関係のない情報は収集してはならない」の一点ばりで、法的論点にはほとんど踏み込んでいません。

『採用と人権』(東京都産業労働局 雇用就業部)
戸籍謄(抄)本や本籍・家族の職業などを書かせる社用紙・エントリーシートは、絶対に提出させてはいけません。求人票等には採用条件や労働条件等を明示してください。職務遂行上必要な適性と能力に関係のない応募要件は記載しないでください。(P63)
面接において、家庭環境、思想などを聞きだしてはいけません。(P72)
採用選考を目的とした、画一的な健康診断を実施してはいけません。(P79)
採用に関する身元調査は絶対にしないでください。(P81)

(次ページへ続く)
なかなか世には出ない貴重な実務家の検討結果があった

プライバシーの問題となると及び腰になるのか、実務家がこの論点に具体的に踏み込んだ論考もあまり多くありません。そのため、私も実務でこのような事例に出くわすたびに、個別に検討せざるをえない状況にありました。

そんな折、経営法曹研究会の第64回労働法実務研究会にて「経営権による労働者の人権・プライバシー等の制約の限界」と題するセミナーがあったとの情報を濱口先生のブログで知り、早速資料を入手しました。

s-IMG_1046


この会報では、東京の弁護士2名・福岡の弁護士1名の3名による講演・パネルディスカッションの様子を書き起こす形でまとめて下さっています。一般には販売されていない雑誌ですので名前は差し控えますが、その三名の弁護士見解は「配慮は必要だが、経営側としての情報収集権がプライバシー権よりも優位すると考えてもいい場面は、一般に考えられているよりもっと広く捉えてもいいのではないか。」という大胆な論旨でした。

参考までに、概要を以下に抜粋してまとめておきます。

■収集する情報による違法性の検討

1)適格性関連情報:成績、志望動機など
  →採用選考に必要不可欠な情報であり、当然収集は合法。
2)人格関連情報 :思想、人生観など
  →幹部候補生であれば情報収集権が優位し、収集も合法。
   ex三菱樹脂事件
3)周囲周辺情報 :家族関係、精神状態、負債状況など
  →プライバシー権が優位するので収集は違法。ただし「家族」は
   配転命令との関係で、また「精神状態」は安全配慮義務との関
   係で、情報収集権が優位に働く可能性も。

■情報収集の手段についての違法性検討

a)新聞/雑誌の検索
  →公刊物によるものであればまったく問題がない。
b)調査会社への依頼
  →グレーゾーンに近い手段を使っている場合もあり、「なぜこん
   なことがわかったのか」ということが問題になる可能性があ
   る。従い調査会社の成果物の利用については慎重な配慮が必
   要。
c)弁護士照会
  →合法だが、使い方を間違えると、照会をかけた弁護士または答
   えてしまった方が責任を問われる。
   ex最高裁昭和56年4月14日判決京都市前科照会事件
d)自己申告(履歴書への記載・面接での質問)
  →応募者の自由意志に基づいて行わせるものであれば合法。

(次ページへ続く)
企業の情報収集権が応募者のプライバシー権を凌駕しはじめる日

企業の採用選考において、プライバシー権はどこまで尊重されるべきか。犯罪歴や病歴などの採用選考上気にならざるを得ないセンシティブ情報についても、プライバシー権を優先しなければならないのか。

私の意見は、過去このブログでも何度かまとめて述べてきました(下記リンク参照)。その観点から言わせていただくと、情報収集手段として前ページ弁護士見解のb)の調査会社を使って応募者を身辺調査するのは探偵業法上問題があると思っていますし、前ページd)の「自己申告を任意で行う」というのも、任意とはいえ拒否したら落選は目に見えているわけで、事実上強制開示になりますよねぇ・・・などなど、突っ込みたくなる点も多々あります。

法律上、採用面接で聞いてはいけないコト
採用選考において企業が探偵・興信所の調査結果を用いて合否を判断することは違法とならないのか?

しかし、私見ながら、最近ではSNSを中心としたネットワークの力によって個人が起業や雇用の機会を手にしている一方で、企業は経営環境と労働市場の変化に対応しきれず苦難しており「企業は常に労働者よりも強い(だから労働者は守られるべき)」という旧来からの構図は、崩れつつあるように思います。

このようなことを踏まえると、先に紹介した弁護士お三方の見解にもあるような応募者のプライバシー権よりも、企業の情報収集権が優先されるべき場面が増えていくかもしれない、そう思いはじめています。

【本】Harboring Data ― SNSにおけるプライバシー問題の解決は、「合理的な期待」をどう形成するかにかかっている

 
「プライバシーは自分がコントロールできるもの」「自分が知られたくないことは他人から守られる権利がある」という様な行き過ぎたプライバシー偏重の風潮に対し、状況や環境によっては、その期待が制約される場合があるのではないか?特に、自分が他人に情報を差し出した場合は、もはや自分のコントロール下には無いのではないか?ということは、過去このブログでも述べてきました。しかし、FacebookをはじめとするSNSの世界を見ていると、まだこのプライバシーに関するゴタゴタは収まりそうもありません。

そんな中、FacebookやmixiなどのSNSにおけるデータプライバシーの問題について、法律論として具体的に言及している本はないかと探し続け、ようやく辿り着いたのがこの1冊の本。

Harboring Data: Information Security, Law, and the Corporation (Stanford Law Books)


この本の第10章では、宗教・政治的信条といったセンシティブ情報まで登録を促すFacebookと、それを抵抗なくオープンに登録するユーザーとの間で実際に発生した3つのトラブルをケーススタディとして取り上げながら、SNSを提供する企業として負うプライバシー保護の義務と、ユーザーが主張できるプライバシー権の制約について検討しています。
  • オックスフォード大の学生が、デフォルトのプライバシー設定の緩さによって学校サイドに漏れ伝わった行為によって、風紀違反を問われたトラブル
  • “Compare Me”という友人を評価・ランキングするアプリケーションで、誰が誰にどんな投票をしたかという情報が漏れ伝わったトラブル
  • Facebookビーコンを使った行動ターゲティング広告が、Facebook自身が定めた利用規約に違反していると問題になったトラブル

その中でキーワードとなっているのが、“reasonable expectation”すなわち「合理的な期待」という言葉。

私はこの“reasonable expectation”というキーワードに触れてから、プライバシー権とは、それを主張する者に常に一定の権利を認めるものでも、相手のプライバシーを知りえた者に一方的な守秘義務を課すものでもなく、その両当事者の関係によって形作られる「期待権」に過ぎないのではないかと、そしてその期待権の中身・重さは、そのプライバシー情報を共有する場が持つ「空気」「ノリ」のようなものに大きく左右されるのではないかと、考えるようになりました。

(少なくとも、CEOのザッカーバーグ自身が“The Age of Privacy is Over”と考えているようなFacebookで友達と共有するプライバシーというものは、誰もいない場所で面と向かって2人きりで共有するのとは当然にその期待権の中身・重さが違って然るべきでしょう。)

こう捉えると、SNS事業者の側としては、その場が既に持つ・またはこれから目指そうとする「空気」「ノリ」を、ユーザーにいかに正確に理解させるかということが課題になっていくのではないでしょうか。

Facebookに限らず、プライバシーの問題をオプトインを義務化することで解決しようという傾向はさらに強まっていますが、複雑な利用規約を読ませて無理矢理オプトインを取っていっても、「空気」や「ノリ」というようなものは伝わるとは思えず、ユーザーの浅い理解や誤解を生む可能性は避けられません。ここをどう解決していくかに、SNSをはじめとするインターネットサービスの将来的な課題があるように思います。
 

Kindleを通して思想・思考がダダ漏れする恐怖


テクノロジーの進化を最大限に活かした社会全体の利便性の向上のためには、プライバシーが譲るべきところもあると思いますが、これはちょっと気を付けたいかも。

Is Amazon peeking over Kindle users' shoulders?(msnbc)
Kindle users who highlight passages will now have a record of those highlights sent back to Amazon servers, where they will be compiled and sorted to help produce a new feature called "Popular Highlights."
It's possible Kindle users are unaware that they are contributing to the "popular highlights " feature, which launched quietly to some users who downloaded the latest version of Kindle software beginning last month. Popular Highlights is turned on by default.

Kindleで本を読みながらハイライト(マーキング)していると、Amazonのサーバーにフィードバックされて「ポピュラー・ハイライト」として共有されるという機能がこっそりと追加され、デフォルトでオンになっているそうです。
s-kindle2

本というものは、当然ながら買い物の中でも最も個人の思想・思考が現れるところ。神経質なのかもしれませんが、私もやはり政治的・宗教的な本を購入するときは、名前紐付きで購入履歴が残るAmazonを介して買わない方がいいかな、と思ったりすることがあります。

今回の機能追加は、そんな本の“タイトル”のレベルを飛び越えて、“センテンス”“ワード”レベルでその人の思想・思考を覗かれ、商売に使われるということ。まあいつかはこんなこともやるんだろうなとは薄々思っていましたが、気づかないうちにというのは、現段階の私のプライバシー感覚では、まだ強い抵抗を禁じ得ません。

Amazonも、そんなユーザーの反応は分かった上で、(Facebookがあれだけプライバシー公開設定をデフォルトオンにしたことで叩かれているのにもかかわらず、)この「ポピュラー・ハイライト」サービスの実現と推進に向けてデフォルトオンに踏み切ったのでしょう。

そのうち、メモも共有されたりするんでしょうか。あ、メモといえばEvernoteなんかも同じようなこと考えてたりして・・・。
 

「プライバシー情報とは何か」を真正面から定義したアメリカの新プライバシー保護法案が、日本の個人情報保護法よりもはるかに男気溢れるものになってる件

 
今日は、日本では未だはっきりと定義されないままの「プライバシー情報とは何なのか」が、アメリカでは新しい法律によってハッキリと明示されようとしている、というお話です。

New privacy bill makes your location, sexual orientation "sensitive info"(ars technica)
The bill isn't particularly long, and compared to laws in other countries, it's not particularly strict. But it does provide a decent privacy baseline in the US, providing limited protection for "covered information" and much tougher protection for "sensitive information."

プライバシー保護必要性の度合いを2段階に分けて、低い方を“covered information”、高い方を“sensitive information”と名づけ、しかもその具体的情報項目を明示したのが画期的なこの法案。

covered informationのリストがこちらで、
  • The first name or initial and last name
  • A postal address
  • A telephone or fax number
  • An e-mail address
  • Unique biometric data, including a fingerprint or retina scan
  • A Social Security number, tax identification number, passport number, driver's license number, or any other government-issued identification number
  • A financial account number, or credit or debit card number, and any required security code, access code, or password that is necessary to permit access to an individual’s financial account
  • Any unique persistent identifier, such as a customer number, unique pseudonym or user alias, Internet Protocol address, or other unique identifier, where such identifier is used to collect, store, or identify information about a specific individual or a computer

こちらがsensitive informationのリスト。
  • Medical records, including medical history, mental or physical condition, or medical treatment or diagnosis by a health care professional
  • Race or ethnicity
  • Religious beliefs
  • Sexual orientation
  • Financial records and other financial information associated with a financial account, including balances and other financial information
  • Precise geolocation information<
特にsensitive informationを収集する際は、express opt-in consent、つまり明示的なオプトイン型同意を取った上でないとNGという義務がついてます。

いくつかのサイトでこの法案に対する評釈を見ていると、「IP AdressとUnique biometric data(指紋などの生体情報)がcovered informationに入ってるのは緩すぎるんじゃないか?」という批判や、「geolocation information(位置情報)がsesitive informationに入ったのは厳しすぎるんじゃないか?」というあたりに注目が集まっています。

前者については議論の余地は確かにあるなと思いつつ、後者については、かねてからリアルタイムwebの世界で位置情報が公開されることは危険すぎると思っていた(だからTwitterでも現在地だけは決してつぶやかない)私としては、その感覚にとても共感します。

翻って、日本の個人情報保護法はどうかと言えば、
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう
っていう定義だけで、プライバシー度合いの定義や、それによる義務の軽重なんかも全くなし。裁判で判決を貰うまでプライバシー侵害の責任を問えるかどうかも分からない状態ですから、だいぶ遅れをとってしまった感があります。
 
判例を積み重ねてゆっくりと法規範を定立していくのが基本のコモンローの国アメリカが、法律で権利と義務を定める成文法の国ここ日本よりも先にプライバシーとその義務を法律でしっかり規定するというのも皮肉な話ですが、そうせざるを得ないほど、アメリカ社会では既にITが国民生活の基盤となっているということなのでしょう。

さて、日本においてプライバシーに対する問題意識が醸成され、法案ができるのは、これから何年後になるでしょうか。
 

まだプライバシー権が「自己情報の流通を統制して社会の脅威から身を守る権利」だと思ってるの?

 
プライバシーには、古典的プライバシー権と積極的プライバシー権とがある。古典的プライバシー権とは、個人の私生活に関する事柄(私事)やそれが他から隠されており干渉されない状態を要求する権利をいう。また、現代の積極的プライバシー権とは、自己の情報を統制することができる権利をいう。

Wikipediaの「プライバシー」の項にもそんなことが書かれているように、プライバシー権=自己情報コントロール権という考え方が定説化しつつあるこの頃。

でもこれからは、そんなことを言っているときっと時代遅れになるよということを、今日は少し力説してみたいと思います。


データ・ダブル=情報化した分身は一人歩きする

私が、プライバシー権はもはや自己情報コントロール権ではなくなったのではないか、というエントリをシリーズで3連投したのが、2008年の10月。
【本】プライバシー権・肖像権の法律実務?プライバシー権とは“自己情報コントロール権”なのか?(1)
【本】情報化時代のプライバシー研究?プライバシー権とは“自己情報コントロール権”なのか?(2)
【本】個人データ保護?プライバシー権とは“自己情報コントロール権”なのか?(3)

その思いを確信に変えてくれたのが、今年の1月に刊行されたこの『ポスト・プライバシー 』という本です。


もともと個人のアイデンティティとは、それをもつ個人自身のものとされてきた。ところが電子リストは、個人の外部に、別のアイデンティティをつくりだす。いわば個人にとって分身のようなものである。データが生み出す分身(ダブル)であることから、しばしばこれは、データ・ダブルと呼ばれる。
そもそも個人のアイデンティティは、他人と直接かかわり、相互行為する中で形成されるものだった。そして個人は、それに関して完全とはいわないまでも、ある程度は把握出来ていた。個々人は自らのアイデンティティがつくられる現場の多くに立ち会っていたからだ。しかしデータ・ダブルは、当の個人の意識の直接性の外側でつくられていくのである。

自分のカラダが居ない所で「データ・ダブル」が自分の分身として働き、「データ・ダブル」だけを見た人が、勝手に「あの人はこんな人だ」という個人イメージを形成していく。
そこにおいては、自己情報をコントロールする権利など、及ぶべくもない・・・。

この「社会の中で一人歩きする個人イメージ(データ・ダブル)は、自分が情報(データ)を他人に差し出した以上、もはやコントロールできるものではない」という感覚は、人材サービスに携わっている私は、まさに肌で感じているところです。

求職者というひとりの人間が、キャリアコンサルタントという「個人の意識の直接性の外側」にいる存在によって「データ・ダブル」という分身に仕立てられ、キャリアコンサルタントの質・相性・面談で求職者から何が語られるかによって、求職者の分身たる「データ・ダブル」も変化し、その結果、求人企業に推薦した後の採用可否が左右されるという現実を、目の当たりにしているのですから。


ネットに情報を差し出すことは権利の放棄に等しい

さらに、最近のクラウド・コンピューティングにおけるプライバシーに関して、先日、情報ネットワーク法学会研究大会に参加されていた町村弁護士が、twitter上でこんな発言をされていました。

そこに私がこんな質問を被せたところ、
町村先生の答えがこちら。
専門家の間でも、ネット社会で個人情報自己コントロール権を主張することが古い考え方になりつつあることをはっきりと目撃した、印象的な瞬間でした。


分身を自ら生産し、プロモートする継続的な努力を

プライバシーというものが、自分自身ではコントロールできないものになりつつあるというならば、いったい我々は増大する社会の脅威の中でどのように生きるべきなのか。

私は、つい先日のエントリを、こんなもったいぶった言い方で結んでいましたが、
プライバシーの絶対領域なんて幻想だとわかったら、なんだか逆に気が楽になってきた
この“アイデンティティ形成の場の変化にあわせてプライバシーの場も変化させていく”ということが、これからの新しいプライバシーの考え方であるという点については、またの機会に。

この問いに対する私なりの答えはこうです。:

社会の脅威であると同時に、新しいアイデンティティ形成の場でもあるネット・SNSという場において、他人にデータ・ダブルを勝手に作らせるのではなく、自分自身から積極的に・先んじてデータ・ダブルを「生産」し「上書き」し続けていくのが、新しいプライバシーのあり方なのではないか

少なくとも私自身は、そんなことを考えながら、このblogやtwitterと向き合っています。
 

プライバシーの絶対領域なんて幻想だとわかったら、なんだか逆に気が楽になってきた

 
BtoCな事業に携わると、プライバシーの問題に否が応でもかかわることになり、ここ数ヶ月はプライバシー関連の研究ばかりしている私。

個人情報保護法と自己情報コントロール権への違和感については一区切りつけられたと思う一方、みんなが騒ぐプライバシーってじゃあ結局なんなのか、人間は何から何を本能的に守ろうとしているのか、守ることが果たしてできるのかについては、自分の中で言語化できていなかったのですが、

このテーマで何冊か本を読んだ中で、この本との出会いが、私の頭の中のプライバシー像をすっきりさせるきっかけとなりました。

「プライバシー」の哲学



・「プライバシー」という言葉の成り立ち
 (特に「プライベート」との違い)
・プライバシー権の法理
・プライバシーをめぐる政治・宗教的対立
を紐解きながら、プライバシーがインフレ―ションを起こし、敏感になりすぎているのでは?ということを主張する著者。

メディアといえばせいぜい新聞しかなかった時代にプライバシーという概念は生まれ、

ラジオやテレビといった電波により情報が1:nに広がるメディアが生まれたことでプライバシーのあり方が変容し、

インターネットによりプライバシー情報が劣化しないデジタルデータとしてn:nに無差別交換される状態にまで急激に「進歩」してしまった今。

確かに著者が主張するように、私たちは、メディアの進歩とプライバシーとのバランスの取り方に戸惑うばかりで、まだうまく付き合うことができているとは言えない状態。

なぜ戸惑うのか。
それは、私たちがプライバシーというものは守りきれるものなんだという幻想を抱いているから。

人間が自己意識を持つ存在であり、「他者」たちとの間で緊張感を保ちながら生きている以上、緊張度を可能な限り低く設定した「プライバシー空間」はあらゆる個人にとって何らかの形で必要だろう。ただし、それはあくまでも、緊張感が支配する「パブリックな空間」とのメリハリをつけるという意味での必要性であって、あらゆる面で外部との情報を遮断した完全な「プライバシー」というのはあり得ないし、そいう理想化されたものを求めるべきでもないだろう。
さまざまな影響を与え合っている以上、そこには何らかの利害関係があるはずであり、「何をやろうと他人に感知させない権利」という意味での絶対的な「プライバシー権」は、社会を構成する「人間」である限り何人も主張し得ない。
「私」が「プライバシー権」を主張すれば、「私」以外の誰かの行動の自由、特に「表現の自由」や「知る権利」などに制約を掛けることになる。逆に、公的領域における「指定されたプライバシー」を勝手に“放棄”すれば、他人が見たくないものを見せて不快にさせることもある。
結局のところ「プライバシー」というのは、社会の中で密接な繋がりをもちながら生きている人間たちが、お互いに干渉しすぎて疲れないですむようにするゆとりを持つために生み出した技法であって、それ自体に絶対的な価値がある訳ではないという当たり前のことを各人が再認識すべき、というあまり面白くない話にしかならないようである。

こういった地に足についた議論を読むと、一見捉えどころのないプライバシー権もああなんだそんなことかと理解できますし、事業者の立場としては困らされてばかりの個人情報保護法も恐るに足りず、という気分になれるから不思議です。

では、絶対的なプライバシーなどあり得ないとして、公とプライバシーのバランスの取り方について、私たちはどう考え、どう振る舞っていけばいいのか。

著者はそれに直接的に答えてはいないものの、そのことを分かった上でこんなヒントを与えてくれています。

社会の情報化に伴って、「プライバシー」感覚の重心が伝統的な意味での「家」から、情報ネットワークの中でのセキュリティ装置のようなものへと相対的にシフトしていることは間違いない。しかしそのことが、個人ベースでの「プライバシー」保護のニーズが急激に高まっていること、あるいはその逆に、各人が自ら進んで「プライバシー」を放棄して、「ビッグブラザー」の支配下に入りつつあるということのいずれかを単純に意味するわけではない。「私」のアイデンティティ形成の場が変化しているのと連動して「プライバシー」の場も変化しているのである。

この“アイデンティティ形成の場の変化にあわせてプライバシーの場も変化させていく”ということが、これからの新しいプライバシーの考え方であるという点については、またの機会に。

【本】個人データ保護―プライバシー権とは“自己情報コントロール権”なのか?(3)

 
技術革新が進めばプライバシー権が強化され、プライバシー権が強化されればそれを破る技術革新が進んで・・・

この“矛と楯の衝突と強化”が過去どのように繰り広げられて来、そしてこれからどのように繰り返されていくのか。

技術者出身で法律を研究するという稀有な立場である著者の視点から、今を説き、未来を予測する本。



日本におけるプライバシー法理論はいまだ未成熟

個人情報をビジネスで扱っているビジネスパーソンなら、この本の中に自分のビジネスに関係するテーマが絶対にあるはず。

あとがきを読むと、その点についての著者の自信のほどが伺えます。
私は、すくなくとも目次については類書なし、と言い切れる本を書きたかった。なぜ、こんな目次になったのか。それはプライバシー保護について、元技術者である私が、あるいは元企業人である私が、おもしろいと思った事例を列挙したからである。この点、まず、読み物としても楽しんでいただけるはずである。つまり、この本は逐条解説でもなければ、マニュアルでもない。

ということで、目次を見ていただくのがこの本の魅力を推し量っていただく一番確実な手段です。
是非以下リンク先出版社HPで確認していただければと思います。
個人データ保護―みすず書房

1点だけ、法務的観点から、目次では伝わらないこの本の特徴を一つ補足させていただくと、この本で取り上げられているネタは、アメリカでの技術進展と法理論との衝突(特に合衆国憲法修正4条の解釈論)を中心としていること。

日本法の解釈論を期待している方にはご満足いただけないかもしれません。
しかし、なぜこの本がそうなったかといえば、日本においてはまだプライバシー権と技術の衝突について、法理論の方が未成熟で追いついていないからに他ならないのではないか。

私はそう考えます。


「自己情報コントロール権」から「利用対価請求権」へ

日本のプライバシー権に対する法理論が未成熟な点について、この本からもう1点。

私は以前のエントリーで、プライバシー権を「自己情報コントロール権」と考えている日本の最高裁判例に否定的である旨、繰り返し見解を述べてきました。
【本】プライバシー権・肖像権の法律実務―プライバシー権とは“自己情報コントロール権”なのか?(1)
【本】情報化時代のプライバシー研究―プライバシー権とは“自己情報コントロール権”なのか?(2)

この点に関し、この本の著者である名和先生は、現代の技術が相互監視を可能としてきたことを前提に、私の問題提起に対してこのように明確に答えて下さっています。
第一世代のプライバシー保護を支える理念は「独りに置いてもらう権利」であった(1章)。第二世代のそれは「自己情報に関する流通制御権」であった(4章)。しからば第三世代の理念、つまり相互監視の環境下における理念は何か。ここではすでに自己データは相手に捕捉されている。とすれば、せいぜい可能なことは、現状の追認と咎められることを覚悟しなければならないが、その捕捉されたデータの濫用に歯止めをかけることしかない。そのための算段として、個人データの利用にコストをかける、つまり対価を支払わせる、という解があるだろう(14章)。こう考えると、第三世代のプライバシー保護理念は「自己データの利用に対価を求める権利」ということになる。

私が感じていた「自己情報コントロール権」への違和感について、その考え方がおかしいのではなく、技術革新に対して時代遅れなのだと一蹴した上で、プライバシー権は利用対価請求権に変わっていくだろう、と整理されているわけです。

この「利用対価請求権」という整理は、私が以前のエントリーで申し述べてきた違和感を解決しうる整理法であり、納得感のある理論と思います。


プライバシー権にもフェアユース?

この「“コントロール権”から“対価請求権”への移行」という整理って、どこかで同じようなこと考えたな、何かに似てるな・・・としばし黙考。

そして思い出しました。

つい最近のエントリで話題にした、「著作権とは対価報酬請求権なのでは?」という議論とまったく似ているなと。
【本】マルチメディアと著作権―DJ兼ビジネスブロガーな私が「創作者とユーザーが紙一重な時代」の著作権法を考えてみた
著作権を報酬請求権にすることは可能

そうなると、そのうちプライバシー権についても、著作権のようにフェアユースみたいな考え方がでてくるんですかね(笑)。

いや、笑い事じゃないかも・・・。


「企業と人との新しい結びつき」の実現を目指して頑張ります。ご支援いただける方はこちらをクリック!(blogランキング)

【本】情報化時代のプライバシー研究―プライバシー権とは“自己情報コントロール権”なのか?(2)

人材ビジネスに携わる男が、求職者のプライバシー権について考えるシリーズ第2弾。

※第1弾はこちら。
【本】プライバシー権・肖像権の法律実務―プライバシー権とは“自己情報コントロール権”なのか?(1)

伊藤忠商事でNTTとの合弁会社の立ち上げにかかわられ、現在は中央大学学術博士、国際大学グローコムで客員教授を務められている青柳武彦さん。

今回の参考書は、なんと喜寿を超えられているという、まさにビジネスと人生の大先輩による日本のプライバシー権に関する考察と提言。



自己情報コントロール権説批判

プライバシー権は、人材サービス業に携わる私の業務の中で、最も関心の高い研究テーマになってきています。

その関係で、さまざまな文献を読みこんでいるのですが、この本の最大の特徴は、日本におけるプライバシー権の大前提となっている最高裁判決が採用する学説“自己情報コントロール権”説に対して批判的なスタンスを取っている点にあります。

著者が批判の根拠として挙げている5つのポイントのうち、なるほどなと思った点が、以下の不法行為の法理論との矛盾というポイントです。
自己情報コントロール権によれば、個人データが漏洩や盗難によって、本来の保管責任者の手から離れて放置されることは、情報主体者の自己情報コントロール権が侵されるわけだから、プライバシー権侵害となる。つまり、同説では動的なプライバシー権侵害行為がまだ存在していなくても、静的な侵害誘発状態に置かれるということ自体が、すでにプライバシー権侵害であるということになる。
ところが、民法第709条の一般不法行為が成立するための一般的要件は次の四つだ。
(1)加害者に故意、または過失があったこと
(2)違法な権利侵害が現実に発生したこと
(3)損害が現実に発生したこと
(4)権利侵害と損害発生の間に相当因果関係があること
少なくとも住基ネットが対象としているような基本的個人識別情報については、この不法行為理論と相容れない。この種の個人情報は、公知の事実であるからそれ自体にはプライバシー性はなく、秘匿したい事柄とアンカリング(投錨)されてはじめてプライバシー権侵害となる。つまり、個人情報が漏洩して静的な侵害誘発状態に置かれたということは、セキュリティ事故が起きたことを意味するだけだ。プライバシー権侵害行為も損害の発生もまだ起きていないのだから不法行為の要件に合致しない


個人情報漏洩事件への対応スタンスを再考する

世の中では、個人情報漏洩事件が起こるたびに、お詫び金としてなけなしの金員・商品券が配られています。

あれはまさに、自己情報コントロール権を喪失させてしまった(コントロール不能な状態に置いてしまった)ことに対するお詫び行為にほかならないわけですが、あのお詫び金に違和感を感じる方は少なくないはず。

その違和感の原因は、侵害誘発状態におかれているだけなのに精神的賠償のように金銭が支払われているという点、すなわち、自己情報コントロール権を正面から認めてしまっている点にあるのだなと、この本を読んで納得させられました。

侵害誘発状態=自己情報コントロール権が失われただけの状態では(謝罪はすれども)一切損害賠償はしない。その代わり、具体的な被害・損害が発生した段階では真摯に対応する。

これが個人情報漏洩という局面でのプライバシー権に関する私のスタンスです。


次回は、漏洩ではないシチュエーションでの本人のコントロール権と第三者による意図的な開示との衝突について述べてみたいと思います(いつになるかちょっと分かりませんが)。

「企業と人との新しい結びつき」の実現を目指して頑張ります。ご支援いただける方はこちらをクリック!(blogランキング)

【本】プライバシー権・肖像権の法律実務―プライバシー権とは“自己情報コントロール権”なのか?(1)

著者の佃先生は、3年ほど前に知人の紹介で私自身のプライベートの法律相談に直接乗っていただいたご縁のある弁護士(先生、その節はお世話になりました)。

その時はプライバシーとは全く関係ない相談だったので、先生がこのような著書を出されているとはつゆ知らず、ひょんなことからamazonでプライバシー権の文献を探している中で佃先生のお名前を発見し、即効で購入しました

プライバシー権・肖像権の法律実務〈第2版〉プライバシー権・肖像権の法律実務〈第2版〉 [単行本]
著者:佃 克彦
出版: 弘文堂
(2010-11-30)


マニアックな裁判例まで収集

プライバシー権が争われた裁判例について、それぞれどのような学説に立っているのかに加えて、その裁判例・学説に対する著者自身の評価・見解がきちんと整理されています。
プライバシー権だけを真正面に捉えた本が少ないだけに、貴重な文献です。

取り上げられている事例が、前科(犯罪歴)のような「いかにも」なセンシティブ情報にとどまらず、
・私信
・住居情報
・収入(家計)
・書籍・雑誌の購読の事実
・講演会の参加申し込み
・政治的活動
といった、聞いてしまいがちだけれどもよく考えると“濃い”センシティブ情報に対するプライバシー権の考え方・裁判例に言及しているのが特徴です。


人材サービス業を悩ませるプライバシー情報の取り扱い

人材サービス業界においては、転職のご相談の中で、ご本人の職務経歴だけでなく、年収、家族構成、時には障害やご病気まで、ご本人の口からかなりプライバシー度の高い情報を聞いてしまうことがしばしばあります。

こんなとき、どのような態度で顧客と向き合うべきか、応募先企業サイドにそれを伝えるべきか否か、悩むこととなります。

日本の最高裁判決、およびそれを受けたいくつかの下級審裁判例をみると、「プライバシー権とは、自己の情報の流通をコントロールできる権利である」という“自己情報コントロール権”説に立っているといわれています。

この“自己情報コントロール権”説を前提とすると、人材サービス会社が求職者に関するネガティブな情報(たとえば犯罪歴)を知っても、それを企業に伝えるか伝えないかはご本人の判断次第、ということになってしまう余地があります。

しかし、求職者のネガティブな面を隠してご紹介を続け、それを後で企業が知ることになった日には、(求職者のプライバシー権を建前にしたところで)企業は激怒することでしょう。

このような板挟みに遭遇しながら、どのようなスタンスで求職者/企業と向き合っていくかが、人材サービス業の悩みどころなのです。
(現実、いい加減な人材紹介会社では“悩み”もせずに企業にあらゆるプライバシー情報を話したり、都合が悪いと隠したりしているという実態もありますが・・・)

悩んではいるものの、私自身はこの“自己情報コントロール権”説に批判的な立場です。この点については、またエントリを改めて述べたいと思います。

「企業と人との新しい結びつき」の実現を目指して頑張ります。ご支援いただける方はこちらをクリック!(blogランキング)

【本】個人情報保護法の理念と現代的課題―滝のような量の英/米/日プライバシー権判例に打たれて、悟りの境地に達してみる

同じ部署で情報セキュリティを担当している同僚が、情報セキュリティ大学院大学に通っているんですが、こんな大学院ができちゃうぐらい今が旬かもしれない情報セキュリティの世界。

そこの専任講師を務める石井夏生利(かおり)さんによる大変な労作。


個人情報保護法の理念と現代的課題―プライバシー権の歴史と国際的視点個人情報保護法の理念と現代的課題―プライバシー権の歴史と国際的視点 [単行本]
著者:石井 夏生利
出版: 勁草書房
(2008-05-26)


石井さんは私と2つしか年齢が変わらないお若い女性。ユニ・チャーム株式会社法務部でも経験を積まれていたそうです。そのせいか、文章もいわゆる学者肌とは違う親近感を感じます。


英/米/日に渡る圧倒的な判例調査

何がすごいって、とにかく調査している判例の量がすごい。

個人情報、特にプライバシー権の国際水準を探るために、英・米・日の3カ国の判例を原資料にあたって丹念に分析しているのですが、この量がハンパない。

600ページあるこの本の中で、
・イギリスの判例…54ページ
・アメリカの判例…64ページ
・日本の判例…49ページ
・上記3カ国をまとめた考察…27ページ
と、純粋な判例紹介・評釈だけでこれだけのページ数を割いています。しかも1800年代後半の判例まで遡って。石井さんはすべて原資料に当たられているそうですが、この作業だけでも数年かかりそうですね。

この大量の判例にまとめて触れさせてもらったおかげで、プライバシー権の判例と言えば『宴のあと』事件ぐらいしかまともに読んだことがなかった私にも、
  • プライバシー権を正面から認めようとはしなかったイギリス
  • 当初から積極的にプライバシー権を認めようとしたアメリカ
  • イギリスとアメリカで長い年月をかけて整理されたプライバシー権の考え方をそっくりそのままパクった日本
という構図が見えてきて、非常に興味深かったです。


個人情報保護の問題は突き詰めればプライバシー権の問題になる

私が今所属している会社は、ビジネスパーソンの転職を支援するというお仕事。個人情報保護の問題はいくら研究してもしたりないテーマであることを、まさに仕事を通じて実感させられています。

そして特に個人情報保護というテーマの中でも、私の部署は今センシティブ情報をどこまで収集し・伝達すべきなのか(たとえば転職の相談においてコンサルタントが病歴の申告を受けた場合、これを求人企業にどのように伝えるべきか)について検討しています。

私はそんな検討を進める中で、個人情報コントロールの要諦は、行き着くところプライバシー権をきちんと理解できるかどうかにポイントがあるのでは、と思うに至っていました。

石井先生が個人情報保護法を研究対象としつつもこの本のサブタイトルを「プライバシー権の歴史と国際的視点」 と冠されたこと、そしてこの大量のプライバシー権に関する判例を読んで、その確信が深まった次第です。

「企業と人との新しい結びつき」の実現を目指して頑張ります。ご支援いただける方はこちらをクリック!(blogランキング)

記事検索
月別アーカイブ
プロフィール

はっしー (Takuji H...