プライバシー保護３

From:	古川　泰弘
Subj:	【２１】データベースとプライバシー

プライバシー保護は、相手のプライバシー情報を得るのに必要なコストの不平等をなくす目安を設けてはいかがでしょう。これを業界単位に見積もれば、プライバシー保護につながっていきませんか？

企業が個人情報を得るコストと、個人が企業に求める自分の情報コストの差が大きいことが、プライバシー問題と考えています。企業の担当者、責任者の情報を得ることができず、自分の情報が何処まで知られているのかわからない。そこに不気味さを感じ、さらに幾らかわからないが、売買されている不安が残る。

個人情報を守るには、２つの方法しかないと思っています。一つは、あくまでも個人情報を守る姿勢を貫く。もうひとつは、匿名を含めた、ゴミ情報を増やして、個人情報を膨大にさせ、わからなくさせること。また、企業のプライバシーという視点としては、2000年問題を宣伝しているある企業は、次の2000年問題を解決するためでなく、次のビジネスの営業資料となっているところもあります。これは組織のプライバシー（機密）ですが。ちなみに、私も今、日本で行われているデビットカードはとても危険と感じます。

何がプライバシー情報かという点では、国領さんのいわれた「関係」に係わる情報を自己制御したいというのも、まさにそうだと思います。社会的なプライバシー観の変化とコンピュータやネットワークの利用による技術的な変化の両面から、対象領域が広がっていると思います。また、関係という意味では、情報の扱われる場面や、お互いの関係によっても、同じ種類の個人情報の扱いが、この場合なら利用ＯＫだが、別の場合ならＮＯというように、ケース毎の制御をしたいこともあるように思います。

こうしたことがプライバシー情報の扱い方にも影響してくると思います。こうした情報は収集の対象にすべきではないとか、秘密を守ってもらいたいとか、正確性を保って欲しいとか、利用の透明性を確保して欲しいというのはもちろん、一応は収集や利用を認めている情報でも、ケース・バイ・ケースで扱われ方を本人が制御できるような仕組みが欲しいということもあるでしょうね。

こうしたプライバシー保護の実効を担保する社会的な仕組みとしては、法律による最低基準と自己制御権の保障、業界の自主ルール、テクノロジーの利用による制御の拡大、個人のリテラシー向上、社会全体のプライバシー意識の醸成などが考えられますが、どれかひとつが大事というよりは、バランスをとりながら補い合う必要がありそうに思います。

これについては、さらにいえば、個人情報を出せば利益が得られ、出さなければ利益が得られないだけではなく、取引上優位に立っている人は信用情報などの個人情報を十分に出さなくても有利な取引をしてくれるのに対して、取引上不利な立場の人は取引上さほど必要と思われない個人情報まで提出させられて管理されるという可能性もあります。

また、古典的なプライバシー観にかかわる問題もまだ残っているようです。あるメーリングリストで議論をしていて、「相手が個人情報を犯罪に使われるのは困るけど、そうじゃなければ、私は恥ずかしいことをしているわけではないので、私に関する情報を集められても困らない」と言われたことがあります。

自分に係わる情報を出さないのは、うしろめたいことがあるからだという発想なのでしょうか。親父が娘に来たラブレターに対して、「うしろめたい付き合いをしているんじゃなければ、堂々と中身を見せろ」と言うのと似ています。

このように、ウェブをアクセスするときに、ユーザーが開示情報を自分で持っているというしくみは、便利で、かつプライバシー保護にもなるのではないでしょうか。ただ、このような技術が標準化されると、サイト側はデータの差別化がしにくくなり、ビジネスに影響するかもしれません。しかし、プライバシー保護という問題が解決できるのであれば、必要なことと思います。いずれにせよ、すでにコンセプトが消えてしまったというのが、気になります。このあたりの情報をお持ちの方がいらっしゃいましたら、教えて下さい。

【１９】関口和一
（１）どこまでをプライバシーととらえるのか、（２）どんな場合にプライバシー侵害となるのか

プライバシーを一般的に議論をすると問題が広がり過ぎるので、インターネットショッピングに限定し、
１．消費者とその商取り引き先の当事者（会社）間の個人情報の開示の問題
２．第3者に個人情報が流れる場合の問題
に分けて考えますと、

１．の場合、相手が保険会社だと、既往症、健康状態は開示しても抵抗感はないでしょうし、体形のデータは、洋服屋が知っていてもおかしくはないでしょう。私が使っているクレジット・カードの会社は私の消費傾向を掴んでいるので、このデータがある限り、私のカードを盗んだ人が使おうとしても、チェックが入って、大きな買い物はできないようですね。業種によって異なりますが、上記の場合は何ら差し支えがなさそうです。

２．の場合が問題で、氏名、勤務先程度が限界で、ましてや、家族の名前、健康状態、血液型、ＤＮＡパターン、債務の有無や額などはまず、大多数の人は 流れ出して欲しくない個人情報だと思います。

【１９】関口和一
（３）電子商取引を推進するためには、どこまでプライバシー情報の流通が許されるか、また（４）プライバシー情報を流通させるためにはどういった条件が必要か、

特定の個人が同定できるようなデータは控えるべきだと思います。年齢収入など、例えば20代、30代といったレンジ、収入も500万から700万円／年といったレンジで表現するので十分ではないでしょうか。しかし電子商取引、特になどＥＣのワン・トゥー・ワン・マーケティング特徴を生かすためには、こうした購買情報などは一定範囲で公開しなければ、意味がないように私は思います。問題は、ワン・トゥー・ワン・マーケティングあるべき筈のことが、そうでなくなる危険性をどう避けるかということにつながると思います。

そうすると、まさに（２）（３）（４）の問題となるわけですが、国家の存在がかつてより薄れるサイバー社会では、つまるところ、「自己責任の原則」や「当事者間の契約関係」が重要視されるようになるかと思います。仰せの通りだと思います。

つまりワン・トゥー・ワンのメリットを教授するなら、納得のうえで自己の購買情報を公開し、一方でベンダー側にも自分の情報をどこまで持っているのかを定期的に開示するよう求め、その権利を法律が保障するということです。逆に自己の個人情報を一切公開しない人はＥＣのメリットを十分に享受したいと思わないとみなされる、ということになるかと思います。

【１０】山村幸弘
１ユーザーの行動を追いかける場合は、その行為をしている事をユーザーに明確にして、それをユーザーが拒否できる選択権を確保する。
２第３者の監査法人に、年間２回の監査を受けており、ユーザーの情報等が完全に機密を守られているか監査を受けて、保証をする。

現在問題になっている情報プライバシーも基本的人権であって、基盤は個人の尊厳にあるわけで、自己の情報をコントロールすることの目的は、既にこの会議でも指摘されていますが、「一番気持ちが悪いのは相手が自分の情報をどこまで知っているのかわからないということです」(関口さん【１２】)のように自分の情報がコンピュータとネットワークによってどのように扱われているか分からないことへの不安といった人間として耐え難い思いをなくすことでしょう。日進月歩のこの世界ではこういう人間的な被害はさらに拡大するのだと思います。

現在の議論は一方でＥＣに対する規制と同時に人権保障の範囲のバランスが問題なのですが、プライバシーの権利の性質から考えると欧州型の厳格な保障にいくしかないのではと考えています。一旦無秩序に流出した個人情報はその性質上回復できませんから業種ごとの部分的規制ではたりません。また、業界団体などに所属する企業ではなく、そういうところから離れた企業で濫用される傾向がありますから、自主的規制では保護として機能しないからです。

ただ、そうするととても窮屈になってＥＣは成り立たないという風にも考えられます。しかし、情報プライバシーは一切の個人情報の流通を禁止するのではなく、個人が耐え難い不愉快な思いをしないで済むようにそれを個人のコントロール下におくだけのことです。現在のように個人は情報を出すか否かの自由しかなく、それも完全な自由意思か疑わしいのですが、一旦出してしまうと後でどんなに悔やんでも「あとの祭り」というのではやはりまずいのです。

それでは与信のように個人情報が必要な場合をどうするかですが、適切なコントロールが認められるにもかかわらず、情報を出さない人が、不利益に扱われるのは仕方がないことです。また、自己の情報を操作して相手をだます人も出てくるでしょうが、それは詐欺罪などで対応できるのではないでしょうか。

個人の適切なコントロールが及ばない情報の使用を許容することで経済を活性化することも考えられますが、経済活動と人権のバランスを考えるとそれは行き過ぎでしょう。また、大多数の健全な企業は自主規制であっても法的規制であっても受ける影響は大差ないのですから、法的規制によって個人情報の濫用的利用をする企業を抑制しても良いのではないかと思います。その場合、個人情報を現に使用して営業しているところはどうすれば良いかも考えなくてはならないのでしょうが、それは経過措置的な対応でまかなえないでしょうか。

通商産業省が個人情報のJIS化を発表しました。「別にJISに指定されなくてもかまわない」と言う企業には意味がないのですが、わが国でJISがもっている社会の信用からすれば、罰則などを伴う厳格な法的規制ではないのですが、それに近い効果が可能かもしれません。つまり規制が必要なのではなく、個人情報の濫用的利用によるプライバシーの侵害の防止が必要なのですから、このような方法で良い結果が得られればそれで良いのですね。私はその内容がハッキリしませんが、このJIS化に注目していきたいと思うのですが、それで良い結果が得られないときは、厳格な法的規制も仕方がないのではないでしょうか。

先月末ですが、Federal Trade Commission の Robert Pitofsky 議長がweb上の個人情報の自主規制について企業に対して "If [the results] are disappointing, I think Congress is going to act on that," (from CNET)とまで云っていますから、米国もこれまでのセーフサーバー方式だけではむずかしいという認識を持ち始めているような気がします。

まず、「プライバシー権」の法律的概念・定義についてですが、近時の判例・実務では、民事法上も公法上も、一人で放っておいてもらうという消極的なものではなく、もっと積極的に、「個人に関する情報のコントロール権」と捉えるのが趨勢だと思います。従って、他人の個人情報を勝手に利用したり公開する行為は、原則として、プライバシー侵害になります。

インターネットを介してのプライバシー侵害があった場合に司法的・裁判的にとりうる手段としては、損害賠償請求や差止請求等があります。これらは、現行の民法等を根拠としても、とりうる手段です。裁判実務上問題となるのは、個人情報の冒用等のプライバシー侵害の事実や、その侵害者がだれなのかを、具体的に特定、立証ができるかどうかです。

インターネット上で行われ、あるいは利用して行われるプライバシー侵害を裁判で証明するのは、技術的・システム的には現状では難しい場合が非常に多いのではないでしょうか。従って、いくら法整備をしたところで、侵害者の特定や侵害事実の裁判上での立証に資する技術的手段が存しない限り、ネット上でのプライバシー侵害問題を裁判所等を通して解決するのは極めて困難なように感じております。

裁判所を通じての司法的なプライバシー侵害の解決が上記の通りであることからしますと、刑事罰や行政処分を伴い、かつ、捜査ないし調査能力のある機関がその執行にあたる内容の法律を制定しないと（つまり取締法規にしないと）、法規制として実効性は乏しいと思います。つまり、法的観点からしますと、ネット上のプライバシー侵害については、司法的なものより、行政的な手法の方が適しているように感じます。

しかし、私個人としては、あまり強い取締規定をもうけるのは抵抗を感じるので、個人情報をコントロールしうる技術（どんなものがこれに相当するかはよく分からないのですが）の開発と、自分の情報は自分で管理するとの意識を個々人がもっていくことが重要ではないかと考えております。