セキュリティ動向チェック
Security&Trust ウォッチ（29）

個人情報保護法を論理的に読み解く

尾崎孝良
弁護士
2004/10/27

---

　日本では、法曹界というと超文系人間の集まりだ。米国のようなロースクールシステム（理系・文系の各学部を卒業してから法曹教育コースに進む制度）のあるところでは、lawyerといっても理系と文系が半々いるが、日本の場合は法学部という独特のシステムがあるため理系の弁護士というのはほとんどいない。

　筆者は、そのレアな理系出身の弁護士ということもあり、エンジニアや技術系企業など理系寄りのクライアントを多く持つ。正直なところ、理系の常識が通用しない世界において理系クライアントの要求を満たすのは非常に難しい。この苦労が同僚の法曹（文系人間）にもクライアント（理系人間）にも全く理解されないのが筆者の悩みだ。

■論理的な直感

　筆者のように理系の世界から超文系な世界に来ると、「理系の常識は文系の非常識」といった事態に直面する。その中でも理系では常識とされる論理思考・論理的直感が法曹などの超文系世界では非常識とされることにしばしば驚く。

なお、この稿でいう「理系」というのは主としてコンピュータプログラミングに関与している人たちを念頭に置いている。今日、理系でプログラミングに全くかかわらない人はいないだろうが、文系の学部出身の方でも会社などでプログラム関係に携わると「論理脳」が形成されるようだ。コンピュータは「頑固な論理屋」なので、コンピュータを相手にしていると自然と論理的な直感が養われてくるのだろう（そうでないとおよそデバッグなどできない）。

　そもそも法曹の多くは、論理センス（論理に対する直感力）が理系人間に比べて低い傾向にある。例えば、「A and B」という論理式がある。AもBもともにtrueになったときにのみ式全体がtrueになる。では、この反対をとったらどうなるか。理系人間ならば一瞬で

not（A and B）＝（not A） or（not B）

とするだろう。だが、司法試験に合格するレベルの頭脳の人間でも（従って決して愚かというわけではない）、こういう論理展開が苦手な人が多いのだ。

　法廷でよく問題となるのは、契約文書に「甲及び乙が共に○○したときは〜」と書いてあるのに対して、その反対の法律効果を得たい場合である。理系頭脳のある方なら「甲又や乙の一人でも○○しなければ」反対の効果が得られるはず、とすぐ分かるだろう。しかし、法曹の多くは、「甲・乙ともに○○しない場合」としてしまうのだ。先ほどの式でいうと右辺を（not A）and（not B）にしてしまう。

　このたぐいの話は、これまでも度々講演・セミナーなどで披露してきたのだが、つい先日までエンジニアの方は誰も信じてくれなかった。「また、尾崎先生は針小棒大な……」「それってネタでしょ？」という反応がほとんどだった。

■個人情報保護法を論理的に読み解く

　ところが、とあるセミナーで、この命題が証明（？）され、エンジニアの方々から共感を得ることになった。「個人情報保護法」をテーマにした講義の中で、法曹学界の第一人者の示した論理に違和感を覚えたのである。

　講師は、個人情報取扱事業者の定義を次のように示した（囲み1）。

特定の個人の数の合計が過去6月以内のいずれの日においても5千を超える事業者→個人情報取扱事業者（法2条）

　また同じ講義の中で次のようにも説明している（囲み2）。

除外される者：「特定の個人の数」の合計が過去6月以内のいずれの日においても5千を超えない者（政令）

　除外される者は囲み1のNOT表現である。理系人間なら一見して囲み1か囲み2のいずれかが違っていると直感で感じ取るだろう。講義を行った先生は法曹界の第一人者である。しかしながら、理系的な論理的直感という点ではエンジニアの感覚とは全く異なるのだ。ちなみに囲み2は政令をそのまま引用したものであり、法令上はこちらが正確な表現である。

■論理的に正しくても法的に正しいとはいえない？

　冒頭に述べたとおり、筆者は数少ない理系出身の弁護士ということもあり、クライアントには、純粋理系でないにしてもプログラムなどが得意な「論理脳」をお持ちの方が多い。筆者とクライアントとの会話においては、前述のような論理思考は当然のこととして扱われる。そうするとどうしても、クライアントの感覚では「論理的に正しいのだから法的にも正しいはず」となる。つまり、論理的な常識が法廷でも「当然のこと」として扱われるはずだと考えてしまうのだ。

　しかし、その考え方は決して間違いではないのだが、裁判所など法曹界の巣でそれが容易に受け入れられるのか、というとそう簡単ではないのである。個人情報取扱事業者の例でいえば、「前半の3カ月は取り扱っている個人情報が5000件を超えておらず、後半の3カ月は超えていた場合どうなるのか？」となると、文系人間が直ちに判断できるか大いに疑問である。

　理系頭脳をお持ちの方は即座に「政令のNOT条件を取るだけだろう？ 1日でも5000件以上になったらダメに決まっているじゃないか！」と判断するだろうが、そのような「論理感覚」は法曹界の人材の大多数にはないものと思った方がよい。運が悪ければ、「そのような事態は法が予定していなかったことである」との判決も出かねない（筆者は現実に、ベン図を書いて頑張らなかったら、そのようなアバウトな結論になりかねなかった事案を何度も経験している）。

　なお、論理思考には関係ないが、個人情報保護法の「よくある勘違い」として、上記施行令2条の内容と、法2条5項（その具体的内容は施行令4条で規定）で規定される「6カ月以内に消去すれば同法上の保有個人データに該当しない」との例外規定とを混乱している人がいる。この規定を読んで、個人データをせっせと6カ月以内に消去していたとしても、前述のとおりある時点での個人データが5000件を超えていれば、個人情報取扱事業者となるので注意が必要だ。

　もっとも、規制の多くは「保有個人データ」を対象にするので、データを全部6カ月以内に消去していれば法的規制をほとんど受けないといえる。そういった意味では、不要なデータは小まめに消去した方がよいだろう。

---

Profile

尾崎孝良 昭和35年生まれ。東京大学理学部数学科卒・英国ケンブリッジ大学Diploma of Computer Science 修了という経歴の理系出身の異色弁護士。日本医師会で医事法務に携わっているほか、デジタル著作権や情報セキュリティに造詣が深く、各方面で積極的に発言おり、最近ではIT技術者のための法務研究会などの活動も行っている。また、情報セキュリティ大学院大学で、セキュリティの法律実務について教えている。 著書に「デジタル著作権」（ソフトバンクパブリッシング）がある。

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）