コロナ接触確認アプリ、行動変容を促せないんじゃないか問題をフリークスが議論する――プライバシーフリーク・カフェ（PFC）リモート大作戦！04 #イベントレポート #完全版：通知が出たら、どうすればいいんですか？（2/5 ページ）

監視国家になるからという与太話

高木　コントローラーというのは、1980年の「OECDプライバシー・ガイドライン」にも使われていた言葉だった。ただ、日本の人たちはその意味を分からなかったのではないですか。

鈴木　私も分かりませんでした。コントローラーって何だろうと。漫然と文字通り「管理者」と表層的に理解してスルーしていました。今読み返すと、OECDプライバシー・ガイドラインの解説では一番重要な概念だと書いているのに。

高木　日本は1984年にできた英国のデータ保護法をまねして、1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」を作ったといういきさつがありました。そのとき、イギリス法にコントローラー概念がなかった。それをまねたせいで、日本法にもコントローラー概念が入らなかったのではないか、というのが最近の私の理解です。1998年の『ジュリスト』誌で東大の先生が指摘しています。

鈴木　樋口範雄先生が「個人情報に関する法的課題―EU指令と通産省ガイドラインとの比較の試み」と題する上下二編の論文を1998年に発表されていますね。今読み返すと本当に素晴らしい論文でした。コントローラー概念の重要性の他にも、「同意の不可欠性に対する信仰」についても指摘されています。

高木　樋口論文が指摘していたのは、EU指令の「コントローラー」は「データを現に持っていなくともコントローラーであり得る」としているのに対して、イギリス法における「データ利用者」の定義は「データを保有（hold）する者」とされているのだけれども、「hold」が定義語になっていて、「データが当該個人のために処理され、データ内容につきコントロールする場合をいう」と定義されているので、表現は異なるが実質的に同じものを指しているのだというのですね。

　「保有」とは現に持っているということではなくて、制御下にあるものが「hold」だということだったんですね。日本法はイギリス法をまねながらそこを見落としたのではないか、というのが最近調べたことです。

鈴木　まあ、民法をやっていれば、有体物における「所有権」と「占有権」のような観念は法律家であればみんな分かるはずですけどね。

板倉　だって株主は「Share Holder」ですよ。株主が会社に来て監視しているわけではないでしょ？　観念的に保有しているわけですよね。

山本　その辺りのコントローラーに関する議論がきちんと国民に説明されていない状態で、今回のトレーシングアプリがこういうものですよと説明されたならば、再整理して「社会的に必要なアプリであり、機能であることは間違いないので、ここからここまでは国が責任を持ってデータを管理します」と明言することじゃないかなと思うんですけれども。

鈴木　まあ、総括すれば国の仕事に決まっているだろうがと。政府が当たり前に法律を作って、国民の生命、身体を守るツールを供給して、位置情報を取らないのか？　政府は、国が取得して、データ管理をやれというだけなんですよ。「それがなぜすっと最初から出てこないのか？」「政府は、国の役割、仕事を分かっているのか？」と思いますよね。

山本　平先生が突っ込まれて言っている内容で、コンセンサスがみんな取れてしまったのかもですね。「まあ、これでいいや」みたいに。

鈴木　国がやることやっているなら、その隙間で、民が公衆衛生目的に資する方向で補助的なツールを出したり、ボランティアしたりするのは、自由でいいんですよ。そこは単に個人情報保護委員会が、個人情報保護法上の監督だけしていればいいわけです。何も禁止するという話ではない。

　それが「民が主体でやるべきで、国は出てくるべきではない、監視国家になるから」といった与太（よた）話が幅を利かせてしまったところが見えました。そんなところは単に言わせておけばいいだけで、政府は淡々とやるべきことをやればよかったんです。

山本　結局、政府の広報姿勢よりも前に、「政府がどういうアプローチで、このアプリを位置付けて、国民にどう説明するか」というところまできちんと落とし込んで、国民に正確に伝えなければいけなかったのです。ここのところは、あまりうまくワークしなかったと思うんですよね。

保健所の処理プロセス

板倉　たぶん「全体の情報の流れをつくらなきゃ」というのがあまりないんだと思うんですよね。感染症法に書いてある情報収集の流れは、基本1ルートしかないはずです。情報が、お医者さんのところから保健所に来て、保健所から患者に電話して、紙に書いて整理して、厚労省でまとめるという、この1ルートしか情報収集がないわけですから。

　韓国はSARS（重症急性呼吸器症候群）のときにひどい目に遭ったから、いろいろな情報が取れる必要があるとしたわけです。当然、公衆衛生当局からも取れるし、警察からもいろいろな情報が取れる。交通履歴やクレジットカード、GPSも取れるといったように、手段をいろいろと増やしたわけです。

　どこまで取れるかは憲法の問題もありますし、議論すればいいですよ。でも公衆衛生当局が集めて、ちゃんと責任を持ってやるところはぶれていない。そこはどこの国に行っても当然。どこまで取れるかの問題はありますが。

山本　台湾などの先進事例があって、それを日本流にまねしようとした部分もあったかもしれないですよね。台湾は、明確に「こういう情報の取り方をします」と最初にバーンと明示した上で情報収集をしますという流れだったのが、日本の場合はおっしゃったように最終的にお医者さんから保健所に落ちていくプロセスの中に全て凝縮されてしまうので、なかなかそこら辺を改善できなかったのかなと思います。結局は必ずしも全部はうまく仕切り切れず、現場である保健所に全ての仕事がボワンと必ず降りてくる仕組みですよね。

高木　先日どこかのセミナーで現場の方が、いろいろと整理されていないと嘆いておいででした。

山本　感染症対策の現場でいうと、今回の個人情報の取り方は隔絶していたように思います。いろんな現場が発生して、相互に共通の言語がない分だけ、混乱を来す部分はあったんじゃないでしょうか。

　厚労省の専門家会議や日本医師会、地方衛生研究所に保健所、小規模診療所など他の感染症対策系の団体で話し合わされている個人情報や機微情報の扱い方は、基本的には一貫して診療データなんですよね。

　「こういう感染症の疑いがあり、こういう人たちのこういう診断が出ているので、それを保健所で取りまとめて厚労省に報告する」というのは、状況を確認するための連絡票であるだけではなく、センシティブな個人データの扱いでもあります。

　だから、電子化したり自動で集計したりするための仕組みを入れようにも、カルテ同然の個人データをマスキングして確実に報告するにはFAXの方が安全だし確実だという話になります。対応を強いられる医療や保健所の現場はみんな大変だと思いますよ。

　日本医師会の立場から言うと「それは医師の専権である。医師がきちんと診断して、その情報はちゃんと取りまとめられるべきである」という話になるのは当然で、これは確実に正論なんです。

　ただ、それと今回のトレーシングアプリで国民の公衆衛生に資するような仕組みを載せていこうとすると、非常に不合理な適切ではない情報収集の仕方、個人情報の取り扱い方となる可能性があるので、ちゃんと整理していかなければならなくなります。