曽我部 真裕・山本 龍彦【誌上対談】自己情報コントロール権をめぐって(情報法制研究 第 7 号(2020. 5))を読んだ

ちょっと古い記事ですが、たまたま今日通りがかったのでメモしておきます。

概要

対談の趣旨

  • プライバシー権の理解として自己情報コントロール権説が通説的な位置を占めているが、実務ではあまり受け入れられていない。
  • 憲法学内部で自己情報コントロール権に対する否定的な見解が現れ始めている。
  • AI技術の発展やプラットフォームの台頭により、自己情報コントロール権を基本権として捉える重要性が増している。

自己情報コントロールの手段的性格と基本権

  • 自己決定や同意は手段的性格が強く、プライバシー固有情報に関する場合を除いて本質的要素ではない。
  • 同意の有効性に疑問があり、個人がプライバシーポリシーを熟読することは現実的ではない。
  • 日本の個人情報保護法では、同意が不要な場合が多く、実定法における自己決定の不徹底が指摘されている。

同意の有効性

  • 現状の決定環境では実質的な同意を得ることが難しく、同意の重要性を改善する必要がある。
  • ユーザーインターフェースのデザインが不十分で、同意疲れが生じる可能性がある。
  • 情報自己決定権は、個別の同意よりもプラットフォームへの大きな自己決定を重視する方向に進むべき。

信頼としてのプライバシー論

  • プラットフォームとユーザー間の情報の非対称性に基づき、プラットフォームには信認義務が課されるべきとの議論がある。
  • プラットフォームの公共的な役割から、従来の信認義務とは異なる義務が必要とされる。
  • ユーザーの権利とプラットフォームの義務の関係を明確にする必要がある。

実定法および判例との関係

  • 実定法が自己決定を軽視していることが、憲法学説から批判されるべきである。
  • 判例の中には情報自己決定権的な発想が見られるが、解釈には多様性がある。
  • 日本国内外で自己情報のコントロールを重視する傾向が見られるが、法制度の整備が求められる。

感想

このあたりの議論の流れを知るにはとても良い記事だと思った。そもそもこの記事にあたったのが、日本において、情報自己コントロール権というものがどのように解釈されているのか、欧州連合基本権憲章第8条でいう「個人データの保護」や、GDPRの前文(7)2でいう「自然人は自身の個人データをコントロールする権利を有するべきである。(Natural persons should have control of their own personal data.)」などとの関係を知ろうと思って検索してだった。

EUの個人データ保護権と日本のプライバシー権の関係

欧州連合基本権憲章の個人データ保護の権利に関しては、その外縁に明確なコンセンサスはないが、Giannopoulou (2022) 3によると「一般的に、自治、情報の自己決定、誠実さ、および尊厳といった規範的な価値と関連付けられている。(it is generally associated with normative values such as autonomy, informational self-determination, integrity, and dignity)」ということらしい。

一方、この対談の中で言われているように「自己情報コントロール権」≒「情報自己決定権」だとすると、「個人データ保護の権利」のほうが広い権利ということになりそうだ。もしこの対談の冒頭で言うように「プライバシー権の理解として自己情報コントロール権説が通説的な位置を占め」ているとすると、「日本におけるプライバシー権」⊂「欧州における個人データ保護権」となるのだが、それで良いのだろうかというのが第1の感想。

もう一つ。GDPRにおけるコントロールは「control of」なので名詞であろう。だとすると、意味合いは操るという意味の動詞のcontrolとちょっと違ってきて、「チェックすること、または抑制するという行動や事実;抑制(The action or fact of holding in check or restraining; restraint. Earliest in without control:)」(出所: OED)となるのではないか。そうすると、自己決定というのともちょっとずれるのかなというのが第2の感想。

このあたりはもう少し追いかけて考えてみなければならないところだろう。

自己情報コントロール権と同意絶対主義との関係

また、自己情報コントロール権を批判するのによく使われる、同意絶対主義との意図的な混同に関しては、

情報自己決定権と同意絶対主義は区別し
た方がよい。情報銀行制度は,ある情報銀行を信
頼し,そこに個々の情報処理に関する同意を委任
する仕組みとも言えますが,そこでは,どの「銀
行」に自己情報の管理を託すかという自己決定や
選択が重視され,その代わり個々の情報処理に関
する本人の積極的同意は重視されない。
(出所) 対談(2020) P.134

とされていて、ここは非常に納得がいった。一方では、日本におけるデータ処理に関わる「同意」とは、「契約履行」に関するものなども含むのだという議論も別の場所4で出ていたりして、まぁ、なかなか難しいというのは相変わらず。

その他

これらの他にも

  • 従来の信認義務とプラットフォームの公的性格を勘案した義務
  • 米国の憲法と日本の憲法の位置づけの違いと、そのデータ保護に関する影響

など、法律の素人のわたしには、いろいろと教えられるところの多い対談だった。この対談から4年がたった現在地はどこにあるのか、もうすこし調べてみたいところである。これを読め、というようなものがあれば、ぜひご教示いただきたい。

脚注

  1. 曽我部 真裕・山本 龍彦(2020)【誌上対談】自己情報コントロール権をめぐって. 情報法制研究 第 7 号(2020. 5)PP.128
  2. ところで、GDPRの邦訳で出回っているものって、何で軒並み前文を落としているんだろう。前文が大切なのに。
  3. Alexandra Giannopoulou, Jef Ausloos, Sylvie Delacroix, Heleen Janssen, Intermediating data rights exercises: the role of legal mandates, International Data Privacy Law, Volume 12, Issue 4, November 2022, Pages 316–331, https://doi.org/10.1093/idpl/ipac017
  4. MyData Japan Conference 2024のクロージングパネルなど

@_Nat Zoneをもっと見る

購読すると最新の投稿がメールで送信されます。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください