｢私のデータ｣が勝手にやりとりされてしまう…企業の暴走を止められない日本のネット社会の危うさ

※写真はイメージです - 写真＝iStock.com／NicoElNino

ウェブサイトの訪問履歴などはどのように管理されるべきか。慶應義塾大学大学院の山本龍彦教授は「EUでは自己情報コントロール権が基本的人権として認められており、アメリカでも同じ動きが進んでいる。しかし、日本では認められておらず、企業同士の勝手なやりとりを止められない。このままでは世界の潮流から取り残されてしまう」という――。

※本稿は鳥海不二夫、山本龍彦『デジタル空間とどう向き合うか　情報的健康をめざして』（日経プレミアシリーズ）の一部を再編集したものです。

■自分の情報をどこまで公開するか自分で決める権利

自己情報コントロール権とは、自分の情報を、誰とどこまで共有（シェア）するかを本人が主体的に決定できる権利のことを言います。

例えば、他人には隠しておきたい秘密も、実際には親しい誰かとはシェアしていることが多いものです。そこでは、秘密をシェアする範囲を自ら主体的に決定しており、この決定が侵害されること―家族とのみシェアしようとしていた秘密事が、いつの間にか会社や警察に知られていた―などが、プライバシーの侵害だと考えられます。

そうなると、プライバシーの権利とは、ひらすら何かを隠すという消極的なものではなく、他者とどこまでの情報をシェアするのかを自ら主体的に選択・決定するという積極的なものとして理解されます。このように、プライバシーの権利（の少なくとも一部）を「自己情報コントロール権」として捉える見方は、1970年代から世界的に広がっていきました。

この権利は、アテンション・エコノミー（ネット上の広告など、人々の「アテンション＝関心」が通貨のように取引されること）の下でユーザーの情報的健康を実現するためにも非常に重要です。

自己のデータに対するイニシアチブ（主導権）を個人がもつ、という「個人起点」の考えを埋め込んだ自己情報コントロール権は、AIネットワークシステムにおいて個人の主体性を回復し、認知過程を防御して個人の自律的な意思決定プロセスないし自己決定を守り、謎めいた存在としての「人間」の尊厳を守ることに大きく寄与するからです。

日本ではこの権利が未だ公式には認められていません。

■個人の「権利」が認められていない日本

確かに、日本国憲法は、35条で「住居の不可侵」を定め、私的な領域の自由を保障しています（領域プライバシー権）。また、最高裁の判例で、私生活をみだりに（不特定多数者に対して）公開・公表されない権利も確立されている。

しかし、最高裁の調査官が解説するように、「いわゆる情報コントロール権又はこれに類する内容の権利ないし人格的利益が認められるか否かについて判示した最高裁判例〔は〕ない」のです（増森珠美）。

こうした自己情報コントロール権に対する冷めたスタンスは、最高裁だけでなく、政治部門にも見られます。国会が制定した個人情報保護法は、確かに個人データに対する本人の開示請求や利用停止請求を認めています。個人情報保護法は「『自己情報コントロール権』という文言を目的規定に明記していない」が、「自己情報に対するコントロールの仕組みを導入している」（宇賀克也）と指摘する見解もみられるところです。

しかし、この法律は、開示請求などを個人の「権利」とは明確に規定しておらず、「個人情報取扱事業者等の義務等」と題する第4章の中に規定されるにとどめています。

後述のように、令和2年の個人情報保護法の改正で、利用停止が認められる範囲は広がりましたが、EUのGDPRの「消去権」に比べて限定的であることは否めません。例えば、GDPRの消去権は、個人が同意を撤回した場合、他に個人データの取り扱いを正当化できる事由が存在しないときにも消去しなければならないと規定していますが（17条）、日本の個人情報保護法に同様の規定はありません。

写真＝iStock.com／cofotoisme

※写真はイメージです - 写真＝iStock.com／cofotoisme

■「個人情報保護法改正」でも権利記載は見送られた

令和3年の個人情報保護法改正を主導した内閣官房情報通信技術（IT）総合戦略室に在籍した冨安泰一郎・中田響編著の『一問一答　令和3年改正個人情報保護法』（商事法務、2021年）に興味深い記述があります。

同書は、「『自己情報コントロール権』を個人情報保護法の目的として明記するかどうかについては、平成15（2003）年に現行の個人情報保護法が制定された際にも議論」があったが、①この権利が明確な概念として確立していないこと、②表現の自由等との調整原理が明らかではないことから明記されなかったと説明した上で、現在、「個人情報保護法の制定から20年近くが経過しましたが、上記①及び②の事情は基本的には変化していないものと考えられます。……今回の改正でも、『自己情報コントロール権』やそれに相当する表現は、明記しないこととされました」と説明されています（下線筆者）。

前述①・②の理由自体についても議論の余地がありますが、「個人情報保護法の制定から20年近くが経過」して、後述のように欧米では重要な法制度の展開がある中で、なお「事情」が「基本的には変化していない」と評価することができるのか、疑問を感じずにはいられません。

■EUでは基本的人権の一つとして規定

すでにドイツでは、1983年の段階で、憲法裁判所が「情報自己決定権」（日本で言う自己情報コントロール権と類似した考え方）を憲法上の基本権として承認しています。

そして、欧州の憲法とされる「EU基本権憲章（The Charter of Fundamental Rights of the European Union）」（2000年採択）には、情報自己決定権という文言自体は規定されていないものの、「個人データの保護」が基本的人権の一つとして規定され、厳格なデータ保護法として知られる「一般データ保護規則」（The General Data Protection Regulation：GDPR、16年採択）を強力に方向づけています。

プラットフォームを含む事業者間での個人データの移転（本人が自己の個人データをもち運べること）を認めるデータポータビリティ権や、先述した消去権などを明記したGDPRが、ドイツの情報自己決定権の考え方を色濃く反映したものであることは多言を要しません。また、GDPRは、レコメンデーションやターゲティングに必要な「プロファイリング」（個人データに基づき、その個人の趣味・嗜好や政治的信条、感情などを自動的に予測・分析すること）についても、一定程度個人のコントローラビリティを認めています。

■Cookie情報の取り扱いにも同意を求める

さらに、GDPRやeプライバシー指令は、プロファイリングに用いられるCookie情報や端末情報の取り扱いについて個人の同意などを求めています（日本では、そもそもこれらのデータは、単体では「個人情報」として扱われません）。

写真＝iStock.com／anyaberkut

※写真はイメージです - 写真＝iStock.com／anyaberkut

前述のように、GDPRには、情報自己決定権という言葉がはっきりと書かれませんでした。けれども、22年1月に欧州委員会が発表した、先述の「デジタル権利および原則に関する宣言」では、「プライバシーと、データに対する個人のコントロール」と題する第5章において、「何人も、オンラインにおいて自らの個人データを保護される権利をもつ。この権利は、当該データがどのように利用され、誰と共有されるかに関するコントロールを含む」（太字筆者）と明確に規定されました。

このデジタル権利宣言が欧州議会および欧州理事会で採択されることにより、EUの各種の個人データ保護法制は、個人データに対する本人のコントローラビリティを目的とするものとして、明確に位置づけられることになるでしょう。

■米国カリフォルニア州でも法律制定

GDPRと共通点が多い米国カリフォルニア州の消費者プライバシー法（The California Consumer Privacy Act：CCPA、2018年制定）も、個人情報に対する消費者のコントローラビリティについて、立法府により以下のように説明されています（From Assembly Bill No.375,Sec.2）。

・「人々は、プライバシーと、自らの情報に対するさらなるコントロールを望んでいる。カリフォルニア州の消費者は、自らの個人情報に対するコントロールを行使できなければならない」

・「自らの個人情報をコントロールする効果的な方法を消費者に提供することで、また、以下に掲げる権利を確実にすることで、カリフォルニア州民のプライバシーの権利を促進することは立法府の意図である。

（1）どのような個人情報が収集されているのかを知る権利
（2）自らの個人情報が販売・提供されるかどうか、誰に販売・提供されるかどうかを知る権利
（3）個人情報の販売を拒否する権利
（4）自らの個人情報にアクセスする権利
（5）プライバシーの諸権利を行使した場合でも、平等なサービスおよび価格を享受する権利」

また、CCPAでも、GDPRなどと同様、クッキー情報を個人情報の定義の中に含めており、本人のコントローラビリティが及ぶことになっています。なお、カリフォルニア州では、2020年12月にプライバシー権法（California Privacy Rights Act：CPRA）が成立し、CCPAの内容がさらに強化されています。

写真＝iStock.com／thisbevos

※写真はイメージです - 写真＝iStock.com／thisbevos

■世界の動向から取り残される日本

このようにみると、EUや米国での経験を通じて、この「20年近く」で自己情報コントロール権（情報自己決定権）の輪郭は相当程度はっきりしてきたと言えるでしょう。また、表現の自由を含む他の権利との調整も、EUの最高裁に当たる欧州司法裁判所（CJEU）の判例などを通じて、一定の議論の蓄積がなされてきたと言えます。

少なくとも、この「20年近く」で、データ保護のありさまは大きく発展してきました。にもかかわらず、日本の立法担当者が、「個人情報保護法の制定から20年近くが経過しましたが、……事情は基本的には変化していない」と述べるのは、世界の動向・変化に目が向いていないと言わざるをえません。

■デジタル庁も自己情報コントロール権の承認に消極的

さらに、デジタル庁においても、自己情報コントロール権の承認に消極的なスタンスが垣間見えます。実は、2020年11月の段階で、政府のデジタル改革関連法案ワーキンググループが公表した「デジタル社会を形成するための基本原則（案）」では、「公平・倫理」という項目の中に「個人が自分の情報を主体的にコントロール」という文言が書かれました。

私は、ついに日本でも自己情報コントロール権が正式に承認されるのかと期待したのですが、この基本原則をベースに制定されたデジタル社会形成基本法（2021年5月制定）では、この文言は使われず、デジタル庁におけるその後の議論の中でも「コントロール」の具体的なあり方について積極的に話し合われた形跡は見られません。

経産省は、2022年1月に、Society 5.0を実現していくための新しいガバナンス（アジャイル＝俊敏なガバナンス）の形式を示した「アジャイル・ガバナンスの概要と現状」報告書（案）を公表しました。その中では、プライバシーを「本人の同意の有無にかかわらず、パーソナルデータの客観的に適正な管理を求める権利」と定義し、同意や自己決定を本質的要素とする自己情報コントロールの考えを黙殺しました（21年7月に公表された「GOVERNANCE INNOVATION Ver.2 : Designing and Implementing Agile Governance」では、プライバシー権の定義として、前述の適正な管理を求める権利と自己情報コントロール権とが併記されていたのに対し、22年1月の報告書（案）では後者が削除され、前者だけが残されたのです。同年4月時点）。

■権利を認めることはむしろイノベーションを促進する

このような政府の考えの背景には、デジタル社会形成の基本方針として自己情報コントロール権を正面から認めることは、デジタル化やイノベーションの妨げになるという思考があるように思います。個人データを摩擦なくスムーズに流通させていくには、個人の同意は邪魔になるという発想です。

しかし、このような発想とは逆に、自らのデータに対する権利性をしっかりと認めることが、情報の利用・管理に対する信頼の形成や安心感の醸成につながり、かえってデジタル化やイノベーションを促進することも十分考えられます（逆に、日本では、自己のデータに対する個人の権利があやふやであることが、情報の利用・管理に対する信頼感の低下を招き、イノベーションの進展を妨げている可能性があります）。

写真＝iStock.com／xavierarnau

※写真はイメージです - 写真＝iStock.com／xavierarnau

私の所属する慶應義塾大学グローバル・リサーチ・インスティテュート（KGRI）がNECの委託を受けて行った2021年の国際的な調査（アメリカ、イギリス、フランス、日本、ドイツの20歳～69歳の男女を対象に行った意識調査）では、日本人は、プライバシーの権利の内容・性質について「わからない」と答える割合が他国の国民に比べて圧倒的に多いにもかかわらず、プライバシー権侵害については他国国民と比較して最も敏感に反応することがわかっています。

要するに、権利概念があやふやであることが、逆にプライバシー権侵害に関する主観的・感覚的な過剰反応を引き起こしている、ということになるわけです。このことは逆に言えば、個人が自己のデータに対してどのような権利をもつかが明確になっているほうが、過剰反応を抑制でき、データ利活用が進む可能性を示しています。

■個人情報規制で困るのは既存の大企業だけ

また、自己情報コントロール権が含む「個人起点」の発想は、データを囲い込む傾向のあるプラットフォームのビジネスモデルにとってはマイナスかもしれませんが、個人がデータポータビリティ権などを行使することによって、データが特定の巨大プラットフォームから解放され、そのデータを手にしたスタートアップなどが活気づく可能性もあります。

鳥海不二夫、山本龍彦『デジタル空間とどう向き合うか　情報的健康をめざして』（日経プレミアシリーズ）

加えて、その「個人起点」の権利観は、「Web3.0」とも呼ばれる分散型技術のイノベーションを強力に牽引するかもしれません。自己情報コントロール権―個人が起点のデータ利活用―はむしろビジネスチャンスになるわけです。こう考えると、自己情報コントロール権の確立を気まずく思うのは、「Web2.0」で大量のデータと利益を得た、既存の大企業だけなのかもしれません。

さらに、自己情報コントロール権の承認に消極的であることが、日本のガラパゴス化を招き、既にこの権利を背景にデータ保護法制を構築しつつある欧米諸国（特にEU）との「Data Free Flow with Trust：DFFT（信頼性のある自由なデータ流通）」を難しくさせる可能性もあります。これは日本企業の国際競争力を削ぐことにもなるでしょう。

それだけではありません。

欧米の動向からわかるように、アテンション・エコノミーの下で認知過程をハッキングされ、プラットフォームの商業的アルゴリズムによって主体的な生き方を奪われないようにするためには、何より、自らのデータに対するイニシアチブを個人が取り戻さなければなりません。自分が知らない間にプロファイリングされて認知過程が丸裸にされたり、知らない間にフィルターバブルに押し込められ、商業的な観点から事業者が食べさせたいコンテンツを無理矢理に食べさせられたりすることがないように、自分の情報に対するコントロールが保障される必要性は高いのです。

----------

山本 龍彦（やまもと・たつひこ）
慶應義塾大学法務研究科教授
1999年、慶應義塾大学法学部卒業。2001年、同大学院法学研究科修士課程修了。2005年、同大学院法学研究科博士課程単位取得退学。2007年博士（法学）（慶應義塾大学）。桐蔭横浜大学法学部専任講師、同准教授を経て現職。2017年、ワシントン大学ロースクール客員教授、司法試験考査委員（2014年・2015年）。

----------

（慶應義塾大学法務研究科教授 山本 龍彦）