By 宮部 龍彦 
個人情報保護法成立以前
個人情報についての扱いが厳しくなった一番の原因は、2003年5月23日に国会で成立し、2005年4月1日から施行された「個人情報の保護に関する法律」(個人情報保護法)である。それ以前は、個人情報についての扱いが今よりもはるかに大らかだったのは、よく知られていることである。
個人情報保護法の中身は、制定された時点からほとんど変わらないままだったが、2015年9月に12年ぶりに大きく改正された。そして、2017年5月30日に改正個人情報保護法が全面施行された。そこで、2015年の改正前の個人情報保護法を「旧法」と呼び、改正後のものを「改正法」と呼ぶことにしよう。
今でこそ戸籍や住民票は原則として本人以外は取得できないことになっているが、かつては戸籍は原則公開という考え方であり、正当な理由があれば誰でも他人の住民票や戸籍を取得することができた。例えば、保険やローンなどの手続きをする場合、自分で役所に行かなくても、業者が勝手に役所で戸籍謄本などを取得することが当たり前だった。
さらに、手数料を支払えば市役所などで、縦覧と言って、ある地域一帯の住民基本台帳を閲覧することができ、業者がダイレクトメールの送付等に使うといったこともあった。2014年7月に「個人情報流出事件」が発覚して話題となったベネッセも、実は2005年までは住民基本台帳をもとにダイレクトメールを送っており、その頃までは、子供が小学校に入ると当たり前のようにダイレクトメールが送られてきていた。
引っ越しをして役所に転入届を出すと、ゴミの出し方案内の他に、戸建住宅はもちろんアパートやマンションの全ての部屋の世帯主の個人名まで書かれた地図を渡されることもあった。
雑誌等の読者投稿でも本名を使うことはよくあったし、文通希望の場合は住所を掲載しなければならなかった。同人誌の奥付には、普通に著者の本名と住所、電話番号が書かれていた。そもそも、今ほど情報化社会が進む前の連絡手段は郵便か電話なのだから、相手が不特定多数であれ、誰かとコミュニケーションを取りたければ本名と共に住所か電話番号を知らせなければ話にならなかった。
また、今とは違って大学や高校の合格者発表も氏名を張り出すことで行われ、国家資格試験の合格者名の一覧が新聞に掲載されることもあった。市役所のロビーには市の職員全員の自宅の住所と電話番号が書かれた職員録が置いてあった。学校の教壇に、クラスメート全員の自宅の住所、電話番号、親の職業と職場の連絡先が書かれた名簿が無造作に置かれていても、大した問題にならなかった。
一方、インターネットの世界は少し事情が違った。インターネットは双方向メディアであるゆえに、議論がヒートアップしてしまい、やがて誹謗中傷合戦となり、相手を特定して直接的に嫌がらせをするということがしばしばあった。これはインターネットが普及する以前の、「パソコン通信」の時代から見られた現象であり、訴訟沙汰になったこともあった。
それゆえ、インターネットであまり自分の住所などを出さないほうがよいという考えは当時からあり、本名ではなく「ハンドルネーム」を使う慣習があった。しかし、インターネットの世界も当初は大らかで、プロバイダのウェブサイトに加入者の名前(ただし、多くはハンドルネーム)、ホームページ、メールアドレスの一覧が掲載されることは当たり前だった。
しかし、個人情報保護法が制定された2003年前後から「個人情報」という言葉がある意味流行語のようになった。
それに拍車をかけたのは2004年7月に発覚した「ヤフーBB顧客情報漏えい事件」である。これは、単なる情報漏えいと言うよりは、当時はソフトバンク(ヤフーBBの運営会社)従業員であれば誰でも入手出来た情報を悪意のある社員が外部に持ち出し、それをネタにソフトバンクをゆすった恐喝事件である。これにより、ソフトバンクは「おわび」として情報漏えいの対象となった顧客全員に500円の郵便為替を配布することになった。皮肉なことではあるが、個人情報というものが重要視されなかった時代であれば、そもそもこのような犯罪は成立しなかっただろう。
曖昧で複雑な個人情報保護法
個人情報保護法の中身を知っている人は驚くほど少ない。また個人情報保護という法律の名前が持つ“印象”だけが先走って、内容を誤解している人も多いように思う。まず先に言っておくと、個人情報保護法は個人情報を「保護」などしていない。その実態は個人情報の扱いを「規制」する法律である。そのため「個人情報の取扱いの規制に関する法律」という名前の方がより実態に合っている。
さて、そもそも「個人情報」とは何なのか。改正法では次のように定義されている。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。第18条第2項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
この規定からして、既に非常に厄介なのである。特にクセモノなのが「他の情報と容易に照合することができ…」という部分だ。
例えば、自動車のナンバーはどうだろう。個人情報保護法が施行された当時は、誰でも陸運局(現在の「自動車検査登録事務所」)でナンバーから自動車の所有者を調べることができた。そのため、自動車のナンバーは個人情報だったのである。しかし、後に自動車の所有者情報が原則非公開となり、所有者情報を問い合わせできるのは事故があった場合や自分の土地に他人の自動車が勝手に放置されている場合等に限られるようになったことから、「容易に照合することができ」ないという理屈で、自動車のナンバーは個人情報ではなくなった。
次に、電話番号はどうだろうか。電話帳に掲載されていれば容易に特定の個人と照合できそうだし、実際に電話をかければほとんどの人は「はい○○です」と答えるのでそこからも個人と結びつきそうだ。しかし、固定電話の番号は多くの場合個人ではなく「世帯」結びつくものであるし、会社の代表番号のような場合は明らかに「個人」ではない。携帯電話の番号はほとんどの場合個人と結びついていそうだが、これはほとんどの場合電話帳には掲載されていないし、個人ではなく会社として携帯電話の番号を使っていることもないわけではない。実際のところ、電話番号が個人情報と言えるのか今でも見解は定まっておらず、曖昧なままにされている。
このように「個人情報」と判断され得る情報があまりにも多岐にわたっており、何が「個人情報」なのか時と場合によって変わってしまったり、ある情報が「個人情報」と言えるのかどうか曖昧であったりしているのが実情なのだ。
なお、「個人識別符号」とは、要はマイナンバーのことである。マイナンバーはそれ自体で個人の情報は分からず、その番号に結びつけられた情報を照合することは、自動車のナンバーや電話番号よりもずっと難しいはずなのだが、個人情報とされている。筆者に言わせれば、これは単に政治的な事情によるものに過ぎない。マイナンバーと言えばプライバシー侵害といったイメージが広がりすぎたために、世論をなだめるためである。
改正法では「要配慮個人情報」という概念が加えられたのたが、これについては章を改めて説明することにしよう。
さらに、個人情報保護法は「個人情報データベース等」と「個人情報取扱事業者」という用語を定義している。
4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
この「個人情報取扱事業者」が個人情報保護法による様々な規制の対象になる。法律によれば「個人情報取扱事業者」は「個人情報データベース等」を事業に使用している者だという。
「個人情報データベース等」とは、名簿のように整理された個人情報のことを言うので、例えばダンボールに詰め込まれた郵便物のようなものや、近所の人や知り合いや同僚がどこに住んでいるかといった人間の「脳内」だけに存在するような情報は、どれだけ大量にあったところで法律による規制対象にはならない。
しかし、「事業」とはいったい何を指すのか、法律では明確に定義されていない。常識的に考えれば、個人的な趣味や研究の類は事業とは言えないようにも思えるが、非営利の活動でも「事業」となり得るので、これもまた曖昧である。
仕事以外の、ごくごくプライベートな日常生活が個人情報保護法による規制の対象と考えることは無理があるように思われる。例えば、インターネットの掲示板にプライベートな友人の個人情報を書き込んだことを「個人情報保護法違反だ!」と非難することは本来法律が意図することではなかっただろう。しかし、法律の世界では、私的な自動車の運転による人身事故に「業務上過失傷害罪」が適用されるようになった経緯があるように(現在は「自動車運転過失傷害罪」が法律に明示されたので、この問題はなくなった)、私的なことでも「業務」と見なされてしまう可能性がある。
では、個人情報取扱事業者にはどのような規制がかけられているかと言うと、主なものを挙げると次の通りである。
- 個人情報は偽りや不正の手段で取得してはならないこと。
- 個人情報を利用する場合は利用目的について本人の同意を得ること。
- 個人情報を適切に管理し、本人から開示・訂正・利用停止の求めがあれば対応すること。
ここで注目すべきは、「本人に無断で個人情報を取得してはいけない」とは定められていないことだ。利用する前に利用目的について、何らかの形で本人の同意を得ればよいのである。
さらに、「取得の状況からみて利用目的が明らかであると認められる場合」は利用目的を本人に通知しなくてもよいとされる。それはそうだろう。例えば通販業者が宅配業者に商品の発送を委託する場合は、当然宅配業者は通販業者から配達先の顧客の個人情報を取得するわけだが、宅配業者が「商品を送るのに個人情報を利用していいですか?」と、いちいち配達先の同意を得ることは無駄な上に非効率的である。
実は他にも様々な例外があって、個人情報保護法は意外にゆるい法律である。それらの例外は、法律と、「個人情報の保護に関する法律施行令」(個人情報保護法施行令)という政令に書かれている。それらを知らなければ、無用な規制に服するために多大な労力を割くことになる。
改正法では「匿名加工情報」という概念が加えられた。これは、人の顔写真や指紋など、もともと個人を特定できるような情報だったものをコンピューターで加工し、もとのデータを持っていなければ個人を特定することは不可能にしたものが。これが個人情報に該当するか旧法では曖昧だったため、法律に明示したものだ。しかし、この点についてはあまり多くは説明しない。改正法ではこの「匿名加工情報」が最も注目されるテーマで、ネットで検索すれば様々な解説を見ることができる一方で、筆者からすれば瑣末な問題であって、重要なこととは思えないからだ。何が個人情報かという判断の基準は曖昧で、情報処理技術の進歩や変化に法律が適応できていない状況は何も変わっていない。
官公庁と個人情報
個人情報保護法は民間の事業者を対象とした法律であって、さきほど紹介した条文のただし書きにある通り、国の機関や地方公共団体などの官公庁は除外されている。従って、役所などで個人情報がぞんざいに扱われているのを見た時に「個人情報保護法違反だ!」と言うのは誤りである。国の機関を規制するのは「行政機関の保有する個人情報の保護に関する法律」(行政機関個人情報保護法)という別の法律であり、都道府県・市区町村などの地方公共団体を規制するのは、それぞれの地方公共団体が定めた条例である。
行政機関個人情報保護法は国の機関の内部での個人情報の扱いを定めたもので、規制の考え方は個人情報保護法と似通っている。ただし、国の機関だけあって、民間のものよりも厳格だ。例えば、個人情報の開示・訂正・利用停止について不服の申し立てがあれば、情報公開・個人情報保護審査会で専門家らによって審査されることになる。また、職員が不正に個人情報を収集したり、持ちだした場合には懲役刑を含む罰則がある。
地方公共団体の条例は、自治体ごとにばらばらなのでもっと複雑だ。名前も自治体ごとに微妙に異なることがあるが、多くの場合、「○○市個人情報保護条例」のようなた名前の条例が定められている。
自治体の個人情報保護条例は個人情報保護法以上に様々な問題を含んでいることがある。行政機関個人情報保護法が国の機関だけを対象とし、地方公共団体を対象にしなかったのは、1990年に神奈川県が全国で初めて個人情報保護条例を制定したのを皮切りに、各地の自治体が国に先行して個人情報保護条例を制定していたからだ。個人情報保護条例制定以後に条例を制定した自治体は、「モデル条例」と呼ばれるテンプレートに従って条例を定めたため、どれも大差ないものであるが、それより前から条例を制定していた自治体はそれなりにオリジナリティを発揮している。
さて、個人情報保護法を所管してきた消費者庁によれば、地方公共団体の個人情報保護条例は自治体内部での個人情報の扱いのルールを定めるものであって、住民に対する規制を行うことは想定していないという。なぜなら、民間の事業者を対象とした規制は既に個人情報保護法に定められているのだから、自治体の個人情報保護条例は、個人情報保護法ではなく行政機関個人情報保護法の自治体版になることが想定されているのである。
それにも関わらず、個人情報保護条例で民間の事業者や住民に対して規制を行っている事例がしばしば見られる。しかも、その内容は国の個人情報保護法よりもさらに「出来が悪い」ことが多い。
例えば「東京都個人情報の保護に関する条例」には「事業者は、個人情報の保護の重要性にかんがみ、事業の実施に当たっては、その取扱いに適正を期し、個人の権利利益を侵害することのないよう努めなければならない」(第27条)とあり、さらに都に対する苦情があったときは、必要に応じて都が事業者に対して説明を求めることが出来るとしている。しかし、何をもって「適正」と言えるのかは全く分からない。仮に「国の個人情報保護法に従いましょう」ということであれば、都ではなく国が法律にのとって処理すべきことであって、わざわざ条例で定める必要はないはずだ。これは、明らかに国と東京都の「二重行政」である。
「神奈川県個人情報保護条例」にも、「知事は、事業者が行う個人情報の取扱いに関する苦情相談があったときは、迅速かつ適正に処理するものとする。」「知事は、前項の規定による処理のために必要があると認めるときは、事業者その他の関係者に対して、説明又は資料の提出を要請することができる」という定めがあって、知事に強力な権限がある。
また、「大阪府個人情報保護条例」は「事業者は、個人情報の保護の重要性を認識し、個人情報の取扱いに当たっては、個人の権利利益を侵害することのないよう必要な措置を講ずるとともに、個人情報の保護に関する府の施策に協力する責務を有する」(第47条)と定められており、東京都の場合と同様に府が事業者に対する調査を行うことが出来ることとなっている。実は大阪の場合は、さらに「大阪市個人情報保護条例」で同様のことが定められている。つまり、大阪市の事業者は国、大阪府、大阪市の規制を受けており、こちらは二重どころか「三重行政」だ。
多重行政は、行政の無駄の代表格だ。かつて橋下徹氏が大阪府知事、大阪市長を歴任していた時代に「大阪都構想」を唱えたが、その背景には大阪府と大阪市の二重行政の問題があった。例えば府立中央図書館と市立中央図書館があること、府立体育館と市立体育館があることなどが問題とされた。ただ、このような「ハコモノ」に関しては、これを二重行政と言えるのかどうかは議論が分かれるところである。物理的には別々のものだし、両方を合わせた規模が対象地域の需要と釣り合っていれば、無駄とは言えないだろう。
しかし、個人情報保護に関しては文字通りの多重行政だ。たちが悪いのは単に無駄というだけではなくて、それぞれが矛盾していることだ。例えば大阪市の事業者の場合は、国、大阪府、大阪市の規制に矛盾があった場合は、いったいどこに従えばよいのか分からない。残念ながら「ハコモノ」ほど分かりやすくないためか、こういった無駄・矛盾がなかなか批判されることはない。
これらの自治体の条例について言えるのは、曖昧すぎて、一体どこまで「適正」に取り扱えばよいのか分からないことだ。文字通りに解釈すれば、とにかく個人情報が絡むことであれば何でも自治体が民間人に依る事業に干渉出来てしまうという危険をはらんでいる。ただ、実際は規制が濫用されるよりも、規制内容が曖昧すぎて、実務的には「ザル法化」してしまっているようである。
大阪府によれば、個人情報保護条例により事業者に対する指導まで至った例は一度もないという。神奈川県に至っては、1990年の条例制定以後、事業者に対する調査が行われたことすらない。二重行政の問題があるのではないかと神奈川県の担当者に指摘すると「確かにおっしゃる通りで、いずれ事業者に対する規制は条例からなくすことになるだろう」ということだが、直近の2017年12月28日の改正でも事業者に対する知事の調査権限は残されたままだ。他の自治体でも、同じような状態であると考えられる。
自治体法務についての専門用語で「上乗せ条例」「横出し条例」というものがある。上乗せ条例は、国の規制よりもさらに強い規制を自治体でかけるものである。一方、横出し条例は国の規制とは違った趣旨・内容で別の規制を行うものである。地方自治体の条例は、法律よりも下位にあるため、地方自治体は法律に反する条例を作ることができない。そういった観点で、横出し条例が問題となることは少ないが、上乗せ条例は、国の法律が「最低限の規制を定めた」ものなのか、「この程度の規制に留める」という趣旨なのかが問題となる。「この程度の規制に留める」ということが法律の目的であれば、それを超える規制を行った条例は無効である。
これを個人情報に当てはめるとどうなるか。これは裁判所の判断次第で、今のところ裁判例はない。個人情報保護法第1条には「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ」とあるので、過剰な規制を戒めているようにも読めるが、かと言って地方が規制を上乗せしてはいけないと明文化されているわけではないので、東京都、神奈川県、大阪府のような規制がどこまで有効なのかは、現在のところ誰にも分からないというのが実情である。
