なぜ今データ基本権が必要か 情報とプライバシーの未来<1>

山本龍彦(慶應義塾大学法科大学院教授)&宮田裕章(慶應義塾大学医学部教授)&亀井善太郎(政策シンクタンクPHP総研主席研究員)

政府がデジタル庁創設を掲げ、データの利活用を推し進める日本において、高度なネットワーク社会に見合ったプライバシー権利保護政策は喫緊の課題だ。気鋭の憲法学者・山本龍彦氏と、科学を駆使した社会変革を実践するデータサイエンティスト・宮田裕章氏が目指す、新しいデータ運用の形とは?

DJ9A0203

■「情報のシェア」を軸とするプライバシー権利保護政策の必要性
 
1.「気持ち悪い」という感覚で思考停止すべきでない

亀井 2021年3月に、LINEでやりとりされている個人情報が、何の説明もなく、中国からアクセスできる状態だったとの報道から、日本においてプライバシー保護にまつわる議論が再燃しました。山本先生は『プライバシーの権利を考える』(信山社出版)の中で「こうした高度なネットワーク社会におけるプライバシーの権利問題を扱う時、いくつかの落とし穴がある。その一つが、具体論ではなく『何か気持ちが悪い』といった感覚だ」と書かれています。山本先生は、「情報が閲覧されていて、気持ち悪い」といった感覚が語られるだけだと、現代社会が抱える重要なプライバシー上の課題を棚上げにしてしまう懸念があるとお考えですが、その真意について、お話しいただけますか。
 
山本 そうですね。「気持ち悪い」といった感覚的なボキャブラリーを使いながら議論してしまうと、問題の本質がずれてしまうと僕は思っています。つまり、現代の個々人が抱えている違和感を、権利侵害の問題として捉えるべきだと思っているわけです。私はここのところ、現代のネットワーク社会におけるプライバシー権の本質を、「情報自己決定権」だと表現しています。そもそも自分の情報を誰と共有するのかを「自分で決定する」というところが、個人情報保護において重要だと思っているのです。この権利が侵害されていれば、「気持ちが悪い」で終わるのではなく、具体的な法的議論になる。「気持ち悪い」という感覚は主観的問題なので、そう感じる人がナイーブすぎる、という批判にもなり、議論がぼやかされるわけですね。個人情報保護は、基本権、すなわち基本的人権の問題として正面から取り上げるべきなんです。情報のシェアというのを軸にすべきだという論点は、最近、宮田さんとよく議論していますね。
 
亀井 なるほど。感覚で終わらせず、具体的な問題に関する権利侵害が実際にあるわけだから、それに基づかないと、何が課題かも見えてこないし、ひいては、これからの社会における情報のシェアの具体的なあり方に関する議論も進まないということですね。宮田先生は、著書『データ立国論』(PHP研究所)でも、データは所有財から共有財へとシフトするべきなんだと再三述べられています。
 
宮田 その辺りの私の考え方は、山本さんと一致していて。日本人は個人情報というと、「情報を誰が持つか」的な感覚で捉えがちで、情報はそもそも「シェアするもの」というところに視点が行きにくい。情報を一度握った企業や政府は、いかようにもその情報を使ってもいいし、初めに同意をもらいさえすれば、その情報を切り売りだってしてもいいんだ。そういう負のイメージが先行して、個人情報と聞くと「全部取られる」という感覚に陥る傾向がある。多分それが、山本さんがおっしゃる「気持ち悪い」という感覚につながるんでしょうね。
 
亀井 通常の犯罪だったら、例えば「物を盗られた」といった実害で権利侵害を訴えますよね。プライバシーの問題においては、そうした権利侵害意識が希薄になりがちなんでしょうか。
 
山本 プライバシーの問題は、もともと実害を常に伴うわけじゃない。例えば、盗聴器を家の中に仕掛けられたけれど、それに気づかないまま1週間が過ぎ、盗聴器が見つかって初めて、誰かが知らぬ間に自分の情報にアクセスしていたことがわかったとします。この場合、実害はないかもしれませんが、プライバシー権侵害は成立しえます。自分が「この人とは情報をシェアしたくない」という人から勝手に情報を盗み見されてたわけですから。「情報を誰とシェアするか」を主体的に意思決定するには、当然、誰がどのように情報にアクセスするのか、その情報がさらに誰とシェアされるのかという説明が必須で、透明性が問われます。
 
亀井 そうした文脈でのプライバシー権というのは、1960年代から提案されてきたそうですね。

山本 はい。1960年代ぐらいから、チャールズ・フリードなど、アメリカの法学者が言い始めたものです。情報はまず「誰かと共有するもの」という概念が前提にあり、そのイニシアチブを自分が握っていること、そこにプライバシーの本質があるんじゃないか、という考え方です。それが、「自己情報コントロール権」という形で日本に持ち込まれたわけです。

亀井 そもそも、このプライバシー権自体が、時代とともにうつろうものですよね。情報の透明性は、情報ネットワークが乏しい時代には、なかなか担保できなかった。それが、技術の進歩によって、担保できる時代になったという側面もあります。

宮田 情報はコピーができて、複数の人が同時に使えて、なおかつ、使ってもなくならないことが特徴です。ここが、所有した人だけが大きな権利を持つ石油とは違うところです。石油の場合、排他的所有権でコントロールするしかありません。このあたりの財としての違いを考えたときに、情報というのはいかに共有の範囲を設定できるかがポイントになるというのが分かりますよね。共有を前提とする権利として捉えるべきだと。ただ、かつては、情報がどう使われているかを、いちいちチェックするのが難しかった。ところが今は、情報の透明性を担保するのに、追跡可能性を保証するなどして、権利擁護のアプローチが取れるようになっています。自分が持つ情報について、どのくらいの範囲を、どういう目的で、誰と共有するか。あるいは、誰と共有しないのか。こうした「共有の範囲の自己コントロール」が可能になったことによって、本来あるべきプライバシー権が現実的に運用可能な時期にきている気はしますね。だから私たちは、政府が今後デジタル庁を創設してデータの利活用を推進していくにあたり、先だって「データ基本権」を確立しなければならないと提言してきたわけです。

山本 誰とどういった情報を共有するのか、共有しないのかをジャッジすることは、デジタル社会の前から、私たちが普通に生活する上で、当たり前に行ってきたことでもあるんです。この秘密は妻とは共有するけれど、友人や同僚とは共有しない、同僚とは共有するけれども、警察とは共有しない、といったように。これがデジタルの世界になった途端に、「自分で情報を共有する範囲をジャッジするなんて、なんだか違和感がある。別世界にワープしたような感じだ」という人が出てくる。本当は、かつての生活実践の延長線上にあるものなのですが。

亀井 本来、自然にやってきたわけですが、意識が追い付かないうちは、「準備体操」が必要な段階なんでしょうね。

山本 人間関係のつくり方自体が、デジタルトランスフォーメーションしなければならなくなっている。いままでは、疎遠にしておきたい相手には秘密ごとを単に話さなければよかったわけですが、現在では、情報は常に取られている。ネットワークと接続した状況が自然なのですね。そのためには、「話さない」というだけでは足りず、情報を積極的にコントロールできることが必要になる。いまはそのための新しいアーキテクチャーを作らなければならない段階なのでしょう。最初に同意をとったら、後はその情報がどう使われているのかわからない、なんてことは通用しないわけです。個々人がリアルの世界で行ってきたはずの情報共有に関する自己決定を、デジタルの世界で実現する。そのためのテクノロジーは、すでに生まれています。これからの世界は、データの使われ方に違和感を抱いた時、「気持ち悪い」と感じるだけで終わってはいけない。これは基本的人権の侵害なんだ、という意識をもって、仕組みを整えていく段階にあると思います。

亀井 「気持ち悪い」と感じる段階で思考停止をしちゃいけないと。

山本 はい。気持ち悪いという感覚は、情報の仕分けを自己決定できていない証拠でもありますから。だから今は、情報をまわす仕組みに透明性を担保して、人々が抱く「気持ち悪い」という感覚をどんどん取り除かないといけないフェーズなんだろうと僕は思います。

photo02

2.データの透明性をいかに築くか

亀井 コロナ下で公衆衛生の観点から個人情報に踏み込むコンタクトトレーシング(接触追跡)の取り組みが話題になりました。それに先立ち、国際社会において個人情報の保護を強化していく「EU一般データ保護規則(General Data Protection Regulation)」、いわゆる「GDPR」が事前に発効されていて良かったと言われていますね。コンタクトトレーシングは「GDPRの産物」だと。しかし、一般的な感覚からすると、例えばヨーロッパのホームページを閲覧した時に、Cookieポリシーに同意するか否か、みたいな問い合わせがいちいち出てきて、それを形式的にOKと選択しているだけでは、どうも情報を自己決定しているような感じはしません。この自己決定のプロセスが、今後どういうふうにデザインされていくのか、普通に暮らす人々には見えにくいところがあると感じています。

宮田 データを扱う際に、それをどう使うか、国や企業に「睨みをきかせた」点で GDPRは評価できるます。ただし、GDPRの全てを称賛できるわけではないですね。運用面では、杓子定規な側面もあります。ただ、それを考慮しても、私たちが言うところの「データ基本権」の第一陣としての構成要素として、GDPRを皮切りにデータにアクセスする権利やデータポータビリティー権を保障することが規定されたところに、意義はあったと思います。日本においては、それらの権利の整備もまだまだですから。

亀井 今回のLINEの件もありましたけども、日本において、データの透明性をいかに築いていくかは課題であり、発展途上ですね。具体的にうまくいっている例はあるんでしょうか。
 
DJ9A0129_2

宮田 実現されている世界の一例が、エストニアの情報政策です。エストニアでは、情報の透明性を出すための施策を、徹底した形で実現しています。彼らは情報というものを、市民側が自己コントロールできるという理念のもと、仕組みを作っています。例えば、医者であればいつでも患者の情報は閲覧できるようにしますが、患者情報を治療目的以外に利用するとお縄になりますよ、といったものです。しかも、誰がどの情報にアクセスしたかが履歴やログで残るので、情報を提供した患者(個人)の側も、誰に見られたかを把握できるわけです。もし怪しい履歴が残っていれば、本人が疑義を申し立てることができる。なおかつ、エストニアではそれらの情報を、他国にバックアップしています。

亀井 彼らは過去の歴史から自国の政府が他国に乗っ取られることまで想定していますよね。

宮田 仮にどこかの国に侵略された場合にも、国のアイデンティティーを失わないように、あえて外にデータを置いているわけですね。といっても、自国にデータがあるから安心というわけではないし、外に置いておくことそのものが悪というわけではありません。もちろん、コントロールが及ばない状態で相手国の法律に依存して、あらゆるデータが好き勝手に使われるような状況は危険です。しかし、エストニアのように、バックアップのために他国で保管し、アクセス権をしっかり規定した上で運用するのは、情報セキュリティ上の観点からも有用な視点だと思います。透明性を高めた形で情報のコントロール権を設定し、人々への説明責任を課しながら、情報の権利をバランスさせていく仕組み。そんな、自己決定権を軸にしたデータ運用のシステムを考える時に、エストニアの事例は参考になると思います。

photo04

3.データの「双方向性」も担保すべき

亀井 そうした情報保護の観点で考えてみると、今の日本では、「抜け穴」「抜け道」が数多くあると思います。例えば、私の税務情報だって、役所の税務課の人が見ようと思えばいつでも見れる。誰が何の目的で自分のデータにアクセスしたのかは、アクセスされた本人には確かめようがない。エストニアのような世界からは、だいぶ遠いわけです。

山本 そうですね。ただホップ・ステップを通り越して、いきなりジャンプというのはできません。我々が目指すべき方向性としては、まずは「アクセス権を誰に付与するか」を規定するところから始めるべきでしょうね。僕は先日、宮田さんと議論したときに、透明性を越えた先の概念として、データの「双方向性」という言葉を使ったんですが、これからは、自分のデータを誰が見ているのかを知ろうと思えば知れる、ということが大切になってきます。

亀井 私のデータに誰がアクセスしたのかについて、私が知ることができると。

山本 ええ、そうです。実際にエストニアでは、ブロックチェーンの技術を利用して、誰が自分の情報を見ているのかがわかる仕組みになっています。「データダブル(データ上の分身)」「デジタルツイン(デジタル空間上の双子)」などと言われているように、将来的には、その人にまつわるデータ一式が「本人の分身」、アバターのような形で、その人の人生に影響を与えていきます。それだけ重みのあるデータになるわけですから、それに誰が、いつアクセスしたのかまで透明化しておく必要があるわけです。

宮田 おっしゃる通り、目指すべき方向はそこですよね。「双方向性」って重要な概念なんですよ。しばしば行政や企業が用いる「説明責任」だと、自分の情報を教えてほしいと聞いたときに「教えてやらんでもない」みたいな感じで、情報を提供する側が上から目線になりがちで(笑)。例えば患者が電子カルテの開示を求めても、そもそもデジタル情報として返ってこないで、不都合なところを黒塗りにした紙を渡されて終わり、のようなケースもあります。情報を請求してからのプロセスも極めて時間がかかるし、情報公開としては不完全な部分があります。でも、エストニアは、アーキテクチャーのところから情報の双方向性をコントロールしていて、情報を受け渡すプロセスの中でも歪みが生じないような設計がされているわけなんです。
 
DJ9A0161_2
 
亀井 日本とは彼我の差がありますね。

宮田 昨年末、山本さんと、六本木アカデミーヒルズの「Innovative City Forum」に登壇して個人データの活用について話した時、同じセッションに登壇したつくば市長が「行政は説明責任を果たしていない。行政は今まで、行政であるという立場だけであぐらをかいてきた」と仰っていました。今でこそ、エビデンスベースドポリシーや政策評価が求められつつありますが、行政や政府が透明性を持ってエビデンスベースドポリシーを行うということと、政策のアカウンタビリティーを果たすこととは、その両面を一体で進める必要があると私は思っています。
 
(後編を読む)※2021年5月27日掲載
【写真:まるやゆういち】
 

【関連書籍】

宮田裕章著『データ立国論』 (PHP研究所)

BOOK1_2

<詳細・ご購入はこちらから>
PHP INTERFACE
Amazon

関連記事