フリークス、コロナ接触確認アプリ適法性を精査する――プライバシーフリーク・カフェ（PFC）リモート大作戦！03 #イベントレポート #完全版：これ、個人データですよね（5/5 ページ）

政府は個人に関するデータを持つべきではない？

鈴木　おかしい話ですよね。例えば、国防で考えてみてくださいよ。外敵が攻めてきた場合、なぜか民兵でやりましょうという話が先に出てきてしまう。いやいや自衛隊がいるじゃないかという話なのに、いやむしろここは自治体で義勇軍を組織しましょうみたいな提案が出てきて小田原評定になってしまう。国家、政府の役割が溶解していると思うのですよ。

　公衆衛生については、厚生労働省設置法に任務と所掌事務がきっちりと明記されているんですよね。あれは、権限があるだけではなくて、責任を持ってやれという宿題でもあるわけですよ。およそ日本国民の生命、身体の保護という問題が発生したときに、近代国家としてどう構えるべきか。

　夜警国家観ですら、これは夜警業務、政府のコア業務じゃないですか。当たり前に国家、政府が出てこなければならないわけですよ。その業務遂行のために必要な情報は収集しなければならないのに、国民の一部からは、すぐ監視国家論が出てきてしまうわけです。確かに、権力乱用への警戒は常にあっていいけど、そこは的確な批判でないと。単に不見識な意見によって政府が立ち止まったり、踏み込みが甘くなったりしてはいけませんよね。

山本　それが「政府は個人に関するデータを持つべきではない」という議論と容易に結び付いてしまうのは論点としてあると思います。

鈴木　ところが今度は、「10万円の給付金」で福祉国家の顔が出てくると、夜警業務も任せられないような信用できない政府に、国民は氏名と口座番号を平気で渡すじゃないですか。位置情報でごねた割にちぐはぐだろうと。

山本　その議論と組み合わせちゃうといろいろとごちゃごちゃしてしまうかもしれませんね。本来は別物のはずなのですが、仕組みを考えると統合して考えなければならなくなってしまう。

鈴木　でも、国家観というか、政府の役割に関しては、国民にもねじれた感覚がありますよね。

山本　ご都合主義的なところは確かにありますよね。

国よ、腹をくくってくれ

鈴木　コントローラー概念を日本の個人情報保護法は持っていないわけですよ。そこはたぶん「個人情報取扱事業者」とほぼ同じことじゃないか、なくても困らないくらいの感覚だと思うんですよね。

板倉　保有個人データの中で概念として出てくるわけです。「誰が保有しているか」と保有している人に対して開示請求するという話です。令和2年改正で保有個人データとなる要件である6カ月制限がなくなりますが、保有個人データという概念は残ります。このように保有という概念は日本法上もあるわけですが、GDPRのように個人情報取扱事業者を保有者と処理者に分けるのはまだ行われていません。

鈴木　日本法の中だと、「誰をコントローラーにするか」は“決め”の問題。「契約自由」「私的自治」の問題として「当事者間で決められる」ところが強く出ちゃうわけですよ。ところが、コントローラー概念というのは、「コントローラーになるべき者がなれ」というニュアンスが含まれているじゃないですか。

　公衆衛生は、国や政府の役割です。今回の接触確認アプリでも「国民の生命身体の保護は政府の責任なんだ」「そのための個人データの管理も政府がコントローラーになるべきだ」と誰もが思うのが当然でしょう。

　だから、米国でもEUでもAppleでもGoogleでも、当たり前のように「国や政府がやるべきだ」としてきたじゃないですか。それが普通の感覚ですよ。ところが日本は「国に持たせるのは危険だから、民でやるべきだ」という話がまず出てきたわけです。また、国も「俺がやる」と真っ先に言えないんですよ。こういう了見にあるなら、そりゃ法律を作ってやらねばならんという話が出てこないわけだよなと。

山本　その辺りは感染症法などでも踏み込んでやっていける余地はたくさんあったと思うんですけども、最後の最後まで、国が出てくるというのは議論としてはなかなか成立しなかったですよね。国が責任を持つべき分野ですが、ではそれを政治的に「進めるぞ」と言っても、法的にそこまで明確に担保されていなかったとなると、二の足を踏まざるを得ません。

鈴木　「条例に委ねず、法律であればいい」というだけの話ではなくて、「そこにどう書いてあるか」が重要です。例えば、感染症法の「情報の公表」に関する16条でも「厚生労働大臣及び都道府県知事は」と書いてあるじゃないですか。「及び」としている。法律事項にしたところで、中央と地方の役割分担がやはり曖昧なままなんですよ。

　ここはもっとケース分けして、一義的に国か地方か決めておかないと。実際、保健所の公表基準も統制できていないですからね。任意の事務連絡じゃ機能しない。法律の根拠条項に基づいて厚労省が訓令しないとダメってことでしょう。

山本　結果的にはそうですね。

鈴木　「国、政府の役割とは何か？」というコンセプトが曖昧で、政府も自治体も国民も曖昧で、全体的に踏み込みが甘くなっていた。自粛も要請止まりだし、位置情報などの個人情報の取得も誰が責任持って公衆衛生のために利用するかという議論ができなかった。

　結果、個人情報に該当しない安全策に目いっぱい倒す方向に進んだ。公衆衛生目的の実現はその分どんどん後退していった。「政府の役割と責任が分からなくなっている」ことと、「コントローラー概念がなく情報管理の責任主体が決まらないこと」とが、並列の状況となっていましたね。

高木　管理というかコントロールなんですよ。何をコントロールしているかというと、データの流通、あるいは利用をコントロールしているという意味です。しばしば聞くのがですね、「自分たちはデータを持たないから、取扱者ではない」とか、「保有していない」とか言う話ですよ。全部委託していて、委託先が収集して分析し結果を出す場合に、「全部委託先がやっていることですから、保有していません」とか言う。

板倉　それは完全に間違いですね。

高木　保有とはそういうことではないですよね。どういう処理をするかを誰が決めているかということですよね。

　プライバシーフリーク・カフェ リモート大作戦！04は、2020年7月31日公開です。

プライバシーフリーク メンバー

鈴木正朝（すずきまさとも）

新潟大学大学院現代社会文化研究科・法学部 教授（情報法）、一般財団法人情報法制研究所理事長、理化学研究所AIP客員主幹研究員

1962年生まれ。修士（法学）、博士（情報学）。一般社団法人次世代基盤政策研究所理事、情報法制学会運営委員・編集委員、法とコンピュータ学会理事のほか、過去に内閣官房パーソナルデータに関する検討会、同政府情報システム刷新会議、経済産業省個人情報保護法ガイドライン作成委員会、厚生労働省社会保障SWG、同ゲノム情報を用いた医療などの実用化推進TF、国土交通省One ID導入に向けた個人データの取扱検討会等の構成員を務める。

個人HP：情報法研究室　Twitter:＠suzukimasatomo

高木浩光（たかぎひろみつ）

国立研究開発法人産業技術総合研究所 サイバーフィジカルセキュリティ研究センター 主任研究員、一般財団法人情報法制研究所理事。1967年生まれ。1994年名古屋工業大学大学院工学研究科博士後期課程修了、博士（工学）。

通商産業省工業技術院電子技術総合研究所を経て、2001年より産業技術総合研究所。2013年7月より内閣官房情報セキュリティセンター（NISC：現 内閣サイバーセキュリティセンター）兼任。コンピュータセキュリティに関する研究に従事する傍ら、関連する法規に研究対象を広げ、近年は、個人情報保護法の制定過程について情報公開制度を活用して分析し、今後の日本のデータ保護法制の在り方を提言している。近著（共著）に『GPS捜査とプライバシー保護』（現代人文社、2018年）など。

山本一郎（やまもといちろう）

一般財団法人情報法制研究所事務局次長、上席研究員

1973年東京生まれ、1996年、慶應義塾大学法学部政治学科卒。2000年、IT技術関連のコンサルティングや知的財産管理、コンテンツの企画、製作を行う「イレギュラーズアンドパートナーズ」を設立。ベンチャービジネスの設立や技術系企業の財務。資金調達など技術動向と金融市場に精通。著書に『ネットビジネスの終わり』『投資情報のカラクリ』など多数。

板倉陽一郎（いたくらよういちろう）

ひかり総合法律事務所弁護士、理化学研究所革新知能統合研究センター社会における人工知能研究グループ客員主管研究員、国立情報学研究所客員教授、一般財団法人情報法制研究所参与

1978年千葉市生まれ。2002年慶應義塾大学総合政策学部卒、2004年京都大学大学院情報学研究科社会情報学専攻修士課程修了、2007年慶應義塾大学法務研究科（法科大学院）修了。2008年弁護士（ひかり総合法律事務所）。2016年4月よりパートナー弁護士。2010年4月より2012年12月まで消費者庁に出向（消費者制度課個人情報保護推進室（現 個人情報保護委員会事務局）政策企画専門官）。2017年4月より理化学研究所客員主管研究員、2018年5月より国立情報学研究所客員教授。主な取扱分野はデータ保護法、IT関連法、知的財産権法など。近共著に本文中でも紹介された『HRテクノロジーで人事が変わる』（労務行政、2018年）の他、『データ戦略と法律』（日経BP、2018年）、『個人情報保護法のしくみ』（商事法務、2017年）など多数。