総務省が2013年6月に報告書をまとめた「パーソナルデータの利用・流通に関する研究会」では、プライバシー保護などに配慮した個人情報の利用や活用について、国や企業、消費者、有識者などの多種多様な関係者が参画する「マルチステークホルダープロセス」を掲げている。しかしヤフー執行役員社長室長の別所直哉氏は、従来のような役所のお膳立てではなく、事業者が主体となる必要があると訴える。利用者から同意を取得してデータを匿名化さえすれば問題ないというような安易な風潮にも警鐘を鳴らす。
別所さんは総務省が6月に報告書を公表した「パーソナルデータの利用・流通に関する研究会」の事業者からのメンバーでした。報告書をどう評価していますか。
私どもが一番評価しているのは、多種多様な関係者が参画する「マルチステークホルダープロセス」がきっちり書かれたことです。報告書では、パーソナルデータの利用や活用のルール策定について、このプロセスを積極的に活用することとあります。スタート地点として、あり方を示した意義は大きいでしょう。
事業者に与えられた宿題は非常に重いと思っています。これから一緒にやっていこうという企業があれば、弊社としても一緒に取り組みたいと考えています。
ただし、こうした議論を進めるには大きな課題があります。事業者が、自らきちんと議論をしていくという覚悟を持たないと動かないのです。
「マルチステークホルダープロセス」は、今までの議論にはなかった要素だということですね。報告書では、このプロセスを活用して策定されたルールを守る企業などは、国民や消費者の信頼につながると期待されるとあります。
出発点からいうと、そもそも個人情報保護法はプライバシー保護のために作られた法律ではありません。現状の法体系は世の中一般の期待から考えると、ちょっとずれていると思っています。
なぜそんな風になってしまったかというと、住民基本台帳法のデータを国が持つことになり、住民基本台帳法で定める4つの情報である氏名、住所、性別、生年月日のデータを保護するために作ったからです。その出発点になった氏名、住所、性別は実のところ、生年月日を除くと公開データです。
名前は誰からもアクセスできないと、名前としての機能が果たせない。どこに住んでいるかということも周りの人たちは誰でも知っているし、そういう情報は従来は自由にやりとりされてきました。社会生活上、必要だからです。
そこに個人情報保護という名のもとに、氏名や住所に予想外のタガをはめてしまった。社会で存在するために必要で、流通しなければならない識別情報を俎上(そじょう)にのせたという法律の構造そのものに、かなり課題があると思っています。
もともと、社会で氏名などの記号がどのような役割を果たしてきたのかという整理がされていない。つまり、立法を必要とする社会的事実である立法事実の整理をしないまま、無理やり作った一番大きいひずみが放置されているのです。
多様なプライバシー概念に踏み込めず
となると、今までのガイドラインや法的枠組み自体を変える必要があると。
事業者は、利用者が求めている「プライバシーを保護してほしい」という気持ちに応えつつ、よいサービスを提供したいと思っています。サービスを提供するうえで、どういう説明をすれば理解を得られるのか、便利で安心だと思ってもらえるのか。そこにフォーカスして、現実的なガイドラインを作ることが必要だと思います。
学者の人たちはプライバシーというと、小説のモデルとされた人物からプライバシーを侵すと訴えられて裁判になった「宴のあと」事件などを持ち出してくるのですが、そこで言われているのは「平穏な生活を送りたい」という面のプライバシーだけです。
実はプライバシーの概念はそれだけにとどまらず、非常に多様です。
自分のセンシティブな情報を知られたくないということもあれば、自分の意思決定に他人が介在することもプライバシーの侵害だという風におっしゃる方もいます。それほど多様なプライバシーに対する社会からの期待があるのに、プライバシーという概念を整理しないまま議論がされています。そこは「パーソナルデータの利用・流通に関する研究会」でも踏み込めていません。
それに学者の人たちは、個人情報保護法の範囲はここまでというような線引きをしたがる。ここは法律があるからここまでは法律で守りましょう、それ以外は法律のルールがないのでどうしましょうかと整理をしたがるんです。けれど、そもそも個人情報保護法はプライバシーと関係ないところで作ったものなので、法律での線引きは役に立たないのです。
それは利用者の実感からも離れています。個人情報の取得でここまでは同意が必要で、ここから先は急に同意がいらないと言われても、訳が分からなくなるだけです。
学者の考えと実務にはかなり乖離(かいり)があると。
日本の学者は、欧州のいわゆる大陸法系の法体系を頭に置いているので、プライバシーという概念を一律に決めて、そこから演繹しようと思っています。しかし、法体系そのもので演繹できるような統一したプライバシー概念があるかというと、ないのです。そこに何か寄せようとすると、無理やりなものしかできない。欧州は一生懸命やろうとしていますけれど、うまくいっていない。
一方で批判されている米国は、統一したプライバシーの法律はありませんが、個別のエリアごとに必要に応じてやっています。
米国は欧州と比べて事後処理的であり、何か「パーツとパーツの組み合わせだ」といった批判はあるのですが、でもまあそれなりにちゃんと機能はしています。それに、必ずしも事後処理ばかりではなくて、事前の抑制のための民間のガイドラインがきちんと働いたりしている側面もあります。単純に欧州のほうが体系的できれいで、米国はそうではないから使えないという批判は当たらないと思っています。
基本的には、統一したプライバシー概念がないことを前提に、配慮しなければならない点を全部見ておかないと混乱するでしょう。そのためには、マルチステークホルダーというフレームワークで議論をしていくべきです。それが報告書で初めて触れられた意味は大きいと思います。
