グーグルのプライバシー・ポリシーをめぐる欧州の動き─グローバル化の中でのプライバシー保護法制をどう考えるか(その3) --- 玉井 克哉

アゴラ編集部

最後に、わが国の法と政策への影響も考えておかねばなりません。


わが国には、EUの個人データ保護指令やそれに基づく国内法のような、包括的なプライバシー保護法は存在しません。ただ、似たものとして個人情報保護法があり、対象や適用手法が大きくオーバーラップしています。そして、同法では、個人情報取扱事業者の義務として、利用目的を「できる限り特定」することを定めています(15条1項)。そして、個人情報の利用できる範囲はそこで特定された利用目的によって限定され、その「達成に必要な範囲を超えて、個人情報を取り扱ってはならない」とされます(16条1項)。これらは、EU法における、利用目的に関する事前同意原則と似ています。実際、事業者が他の事業者と共同で個人情報を利用する場合でも、利用する事業者と利用目的を予め特定して本人に通知するのが原則とされます(23条4項3号)。巷間話題になっているTSUTAYAの「Tポイントカード」については、ポイントプログラム参加企業が予め特定しておらず、現にどんどん増えているので、違法ではないか、との疑いを持たれているわけです(鈴木正朝教授の見解。「私は真っ黒だと思っています」。)

EUのデータ保護法と個人情報保護法は別個の法律ですが、似ている部分についてはEUの法原則を参考にするのは当然です。ビジネスの展開に伴って新たなサービスを付加する場合には、これまでのサービスで収集した個人情報を勝手に流用することは許されず、新たな同意を得るべく務めねばならない、というわけです。もっとも、日本の個人情報保護法では、個人情報の第三者提供や共同利用に関して、一定事項を「本人が容易に知り得る状態に置いているとき」は、予め同意を得なくても第三者に提供したり共同利用したりすることができる、ということになっています(23条2項柱書、同4項3号)。さらに、事前に特定した利用目的も、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」であれば、一方的に変更することができることになっています(15条2項)。EUのデータ保護法と比較すると、ザル法と呼ばれても仕方のないような弱い規制です。しかし、そうであるだけに、かえっていっそう、「その程度の規制はきちんと遵守してもらいたい」と要求されることになるでしょう。国内におけるコンプライアンスについても、注意が必要です。

過剰なコンプライアンスがビジネスの障害になることは、避けねばなりません。しかし、法政策の見地からは、いっそう避けねばならないことがあります。それは、コンプライアンスの要求がフェアでなくなることです。とりわけ、内外の事業者に不平等があると、国益を損いかねません。

どういうことかというと、個人情報保護法に基づく上記のようなコンプライアンスが、国内の「お行儀のいい」事業者のみに適用され、外国企業が野放しになるのでは、市場における競争の公平性を著しく阻害する、ということです。たとえば、グーグルは、今回のポリシーの変更が「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」にあるとして、自己の立場を正当化しようとするでしょう。その主張は法解釈としては極めて疑わしいもので、前記のグーグル・バズをめぐる米国FTCとの紛争を見ると、国際的に通用するものとは思われません。現に、日本の経産省と総務省も、3月のポリシー変更に際して、個人情報保護法と「通信の秘密」原則に関する警告を行いました。しかしそれについて、グーグルは完全に無視し、何ら応答しなかったと伝えられています。

このようなことになるのは、個人情報保護法の執行手段が著しく限られており、実効性が乏しくなっているためです。前記のような規定に反する事業者に対する措置として予定されているのは、まず、「主務大臣」による「勧告」です(34条1項)。勧告に対して事業者が従わず、「個人の重大な権利利益の侵害が切迫している」と認めるときにはじめて、「主務大臣」は是正を命令することができます(同2項。緊急の場合は勧告を飛ばして命令をすることができます。同3項)。では、その命令に従わなかったらどうなるか。「六月以下の懲役又は三十万円以下の罰金に処する」というのが、唯一の制裁です(56条)。もちろん法人に懲役刑を科することはできませんから、法人には罰金刑のみが科され、懲役刑を科せられるのは従業者などの個人です(58条1項)。しかし、罰金であれ懲役刑であれ、刑事罰を科するには、行為者を特定した上で、検察官が起訴する必要があります。裁判では「疑わしきは被告人の利益に」の原則が適用され、検察官は、行為者の罪状を「合理的な疑いを容れない」程度に証明せねばなりません。検索関連語をめぐる前記の民事裁判において、グーグル日本法人は、検索ビジネスはすべて米国の本社が行っているので、自社にはまったく責任がない旨を主張しました。同様の主張が行われるとすれば、個人情報の目的外利用は米国の本社が行っているので、行為者も米国に所在している、と主張することになるでしょう。日本の捜査当局がその中から行為者を特定することなど期待できませんし、その罪状を合理的な疑いを容れない程度に立証することなど、まったく不可能です。30万円以下の罰金など、グーグルにとっては、おそらく数秒間の利益にも満たないでしょう。懲役刑を科せられる可能性がないということは、制裁などまったく用意されていないに等しい。要は、個人情報保護法違反には、実効的な制裁手段がないというわけです。同法は、ザルであるだけでなく、尻抜けといわれても仕方ないでしょう。

個人情報保護法に向けたコンプライアンスのために多額の費用をかけている企業は、数多くあります。是正手段について上記のような欠陥があるにもかかわらず、なぜ日本企業は法を遵守するのか。せいぜい30万円の罰金で済むのなら、なぜコンプライアンスに多額の費用をかけるのか。それは、日本企業が日本社会の中で育ち、日本社会の中での社会的評価が最も重要であるからです。ビッグ・データを扱う企業の多くは、NTTやJRなど、大企業です。そうした企業にとっては、社会的評価の維持が、極めて重要な経営課題です。そして、そうでない企業、「お行儀の悪い」企業は、「立派な」「一流の」企業とはいえない。そうした社会的評価を気にする「空気」によって、社会全体のガバナンスが維持されてきたわけです。法律に正式な規定のある「勧告」など受けようものなら、責任者の出世が止まるだけでなく、役員の進退にさえ直結しかねない。そうした雰囲気があるからこそ、役所が「注意喚起」という名の警告文書を出すだけで、実効的な法の支配が達成されてきたといえます。思えば、まことに安上がりの仕組みでした。

情報通信産業は、こうした法務の面でも、わが国の最先端を走っています。そこでは多くの企業が外資系で、日本特有の安上がりな仕組みが、機能しないためです。その中でもとりわけ最先端を走っているが、ほかならぬグーグルです。たとえば、前々から「Gmail」の内容を同社が解析して広告に利用していることが、「通信の秘密」に反しないか、問題にはなっていました。だが、法令の遵守を同社に説いても、従うはずがない。グローバル企業にとっては、「ローカル」な日本のルールに従ってビジネスを展開する気など、さらさらない。そのため、日本の事業者、たとえば「iモード」を運営するNTTドコモや「ヤフーメール」を運営するヤフー・ジャパン(同社は米国ヤフーの設立した現地法人ではなく、日本の会社です)は、日本企業であるがゆえに「通信の秘密」に配慮せざるをえず、メールの内容を解析してきませんでした。もともと通信事業者であるドコモに至っては、メールの内容どころか、宛先や通話時間なども、ビジネスへの利用を控えているといわれています。たまりかねたヤフー・ジャパンが、今年の8月から、メールの解析を行うことを宣言したところ、総務省は、4つの条件を付した上で、それを認める方針に転換しました。メールに関しては一歩前進といえますが、グーグルなど外国の事業者には同種の条件によって制約されていないのであれば、依然としてイコール・フッティングとは言えません。こうしたことは明らかな内外差別で、わが国の情報産業の競争力を殺ぐものです。こうしたアンフェアな規制は、改善する必要があるでしょう。

わが国への影響を要約すると、こういうことです。

  • 今回の通告を皮切りに、厳格な個人データ保護の潮流は、国際的にますます強まると予想される。
  • それはわが国にも及び、現行の個人情報保護法については、さらに厳格なコンプライアンスが要求される。
  • だが同法は尻抜けなので、国内企業のみが不利益を蒙る可能性が高い。法改正によって、それを是正する必要がある。

遠い欧州での出来事がわが国の法政策の今後についても影響を及ぼすというのは、まさに法制度のグローバル化を象徴すると言えましょう。

玉井 克哉
東京大学教授