個人データ保護とは何？ ⑥

続き：

 

◉ 見失われた個人データ保護の目的

　本来であれば、こうした子細な条文解釈の理屈を確認するまでもなく、リクナビが行なった事実を見れば、旧スキームであろうが新スキームであろうが、個人データの提供に当たるとすべきことは一目瞭然であろう。そもそも、個人情報保護法の立法目的は本来、こうした不当な事業（有効な同意なく行われるような）を未然に防止することで個人の権利利益を保護することにあったはずである。

　日本で最初に、国法として個人情報を保護する法律ができたのは、1980年の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」（昭和63年法）であった。

　これは1980年のOECDプライバシーガイドラインを受けたものであうが、さらに遡ると、1974年の国連事務総長報告者「人権と科学技術の開発――人間の諸権利に影響をおよぼすおそれのあるエレクトロニックスの利用、及び民主的社会における右利用に課せられるべき制限」に辿り着く。

　その第一部「コンピュータによる個人データ・システム」は、コンピュータによる個人データの処理が人権にもたらす影響と保護の手段について検討し、コンピュータ処理に係る個人の権利保護のために採られるべき最低限度の国際基準を提案して、加盟国に適切な立法措置を講ずべきことを勧告したものであった。

　第三章「人権の観点からみた脅威と問題」には、コンピュータを用いて個人データを自動処理することの問題点が様々な観点から列挙されており、その一つに、「コンピュータ化したデータを評価に基づいて行われる意思決定の問題」として、「様々な分野（例えば雇用、職歴、および教育など）で、個人の権利、利益、特権についての決定が、コンピュータ化したデータや評価に基づいておこなわれており、このことが、人権に対する脅威を生ぜしめる」と指摘されている。

　まさに今回のリクナビ事案は、45年前から予見され、警告されていたことといえよう。2003年に成立した民間事業者を対象とした日本の個人情報保護法も、この趣旨を引き継いでいたはずである。

　ところが、この法の趣旨は、国民の間であまりそのようには理解されてこなかった。「なんだかわからないが個人情報はとにかく守れという法律だ」と理解している人は多いだろう。会社で個人情報の取り扱いについて研修を受けても、漏えい対策の話に終始していたり、利用目的についてルールだけ教えられて、何のためにそうするのかという法の目的が説明されることはほぼないと思われる。

　「個人情報」という法定用語が何を指すかへの誤解も後を絶たない。氏名、生年月日、性別、住所の四情報と連絡先情報（電話番号やメールアドレス）のみが個人情報であって、それ以外は個人情報でないという誤解はまだまだ根強い。「リクナビDMPフォロー」の設計者、運営者らも、そのような誤解をしていたのではないか。

　リクナビ事案は、この法の本来の目的を我々に思い出させてくれる貴重な機会を与えている。この法が個人データの第三者提供を制限し、基本的に本人の同意を要するルールとなっているのは、そうしなければ、個人データが野放図に転々流通して、いつの間にかどかかで自分の評価に勝手に使われ、データに基づく不当な選別を受けることになりかねないからである。それを回避し未然に防止するために、個々の事業者間での第三者提供の段階で制限をかけているのである。

　個人情報保護を単に「プライバシーの保護」と捉える向きもあるが、それも一面的に過ぎる。プライバシーの侵害を「人に知られたくない秘密を知られてしまうこと」と捉えると、法の目的は漏洩対策だけということになってしまう。しかし、リクナビ事案で見えてくるのは、個人データがこのように利用されることによって、人々の（就活生らの）ウェブ閲覧の自由が阻害されることだ。ウェブ閲覧履歴が就職に関わる自己の評価に用いられるとわかったら、評価が良くなるようなウェブ閲覧をしなくては不利益を被るという不安に苛まれ、自由な行動もままならなくなってしまう。「保護」はこうした「自由」のためにもあるのであり、そうした意味も含めて「データプライバシーの保護」と呼ぶことがある。前の EU のGDPRでは単に「data protection」という語が用いられている。

　日本の個人情報保護法目的も本来はそのような意味でのデータ保護に主要な力点が置かれていたはずではないか。「データ」と「情報」の語義の違いは何かという議論はあるが、氏名や電話番号といった情報そのものを守るというよりは、データ化された個人ごとの様々な情報に基づいてその個人に何らかの判断が下されることについて警戒し、適正化を図るのが法の目的の中心にあったはずである。

　実は、かってそうした考え方が日本においても存在した痕跡はある。民間を対象とする個人情報保護法がまだなかった1998年、旧労働省の「労働者の個人情報保護に関する研究会」で、「労働者の個人情報保護に関する行動指針」が策定され、2000年2月に発表されたことがあった。その中に、「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない」という規定があった。

　これは、当時のEUのデータ保護指令（GDPRの前身）を真似たものと考えられるが、研究報告書は、この規定の必要性について、「一部の機械的な処理による情報の一人歩きによって、労働者の全人的な評価がなされてしまう危険性を防止するもの」「今後、益々、情報の自動処理化拡大する流れの中で、労働者の尊厳及びプライバシーを守るために必須の条件である」という説明をしていた。

　ところがその3年後、個人情報保護法が成立すると、この行動指針は廃止、「雇用管理分野における個人情報保護に関するガイドライン」（平成16年厚労省告示第259号）に置き換えられた。個人情報保護法の規定に沿って内容が定められたため、行動指針にせっかく盛り込まれていた「自動処理の結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってならない」との文言は消滅してしまった。解説にも「労働者の尊厳」との文言は無い。この時から、我々はこの法の目的を見失っていたのではなかろうか。

　今回のリクナビの炎上報道に対するネット上の反応を見ていると、「個人情報保護法違反は問題だが、事業の内容それ自体は問題ない」といった声を少なからず目にした。そんな彼らに問い質したいのは、「なぜ個人情報保護法違反は問題があると思うのか？」である。守る意味がなくてもルールだから違反は問題だとでも言うのであろうか。

　結局のところ、日本の個人情報保護法は、仏作って魂入れずの16年を過ごしてきたのである。個情委が、リクナビの新スキームの法違反を指摘しながら旧スキームを不問として平気なのも、魂のない仏を拝んでいるからではないのか。