本稿はだいたい架空のものであり実在の人物・団体・出来事などとは、あまり関係ありません。物語調であることに我慢ならない方は、読み進めないことをお勧めします。
はじめに – あのとき渡せなかった引継ぎ資料
プライバシーポリシーを真摯に書いた経験がある方には共感いただけるのかもしれないが、あるいは規約や契約書の類も同じなのかもしれないが、他愛なくも見える一語の背後にある万感をすべて言語化して説明することは困難であるばかりか不可能だと思っている。
それでもその一語は確信の下に絶対の選択だ。
当時のわたしにとってその象徴が共同利用にまつわる「あの文」の筆運びだったのだが、ついにまとめて文字にして引継ぐことができなかった。文字にする能力が無かったとも言えるし、そのままに承継させることが正しいことなのかわからなかったとも言える。
折に触れて断片的に語ったような気はするが、当時において全部を共有できていた(というより語らないまま勝手に分かっていた)のは2人だけだったのではないかと思う。
引継ぐには、そのわたしの確信が何に拠って立っているかを語らなければならないが、しかし、それはほとんどわたしの良心とかろうじて支えとなった間接的な資料に留まるのみだった。わたしの責任で説明し実行するならばともかく、という躊躇いもあった。幸い、その2人もいた。
体系的に整理されることを待ちたい、そんな期待もあっただろう。
法律上の議論をするつもりではあるが、記憶をたどりつつ昔語りするほか術がなく、迂遠であることにはどうかお許しを賜りたい。語りに救われたから、語りで還そうというのみだ。
「第三者に該当しないものとする」のテクストから掬った「よくわからない何か」と利用目的の関連性という大原則だけを心の支えにして、プライバシーポリシーにこれを埋め、しかし社内資料のどこにもそれと書かぬままに全社を説得し取締役会を通し切るに至った準備、届くものなら読んでほしい。
前史 – どこにも何も書いていない、よくわからない。
風潮と抵抗
ICカード乗車券事業者やポイントカード事業者が行い、行おうとしていたデータ販売・提供に対して、世間は結果として正しい不信感を表明し、しかし即時的な反応としては「利用者の不安」という得体の知れない言葉がおどる結果を招いた。
もう随分と以前の話ではあるが、個人情報保護法が初めて改正され、個人識別符号、要配慮個人情報、匿名加工情報や確認記録義務が新設されようとする前夜、2014年から2015年にかけてのことだった。
果たして「利用者の不安」とは思い込みや杞憂でしかないものなのか、あるいは、個人の尊厳にかかわる衷心の叫びであるのか。
プライバシーの保護を旗印としようとする(いや正しくは、旗印とせよ、と言われたのだったか)ものにとって、この問いには誠実に回答すべき義務があるように思われたのである。
意気と覚悟
ユーザーを軽んじてはならない。第三者提供と隣り合う共同利用も誠実でなければならない。
そうは言うもの、共同利用は読んでも読んでも第三者提供のバイパスにしか見えない。事実、そのようにしか運用されていないかのようであった。大企業のプライバシーポリシーはなべてグループ会社との共同利用を謳っていた。
散発する事案を受けてみんな言ったのである。「共同利用の利用は謙抑的にしなければ潜脱として違法と評価される恐れがあり、気軽に採用してはならない」と。誰も否定しない言葉に縋る以外、前を向ける航路は無いかの如くだった。
わたしも雇われの身である。自社のプライバシーポリシーを眺めながら、このまま共同利用に対する信頼が潰え、制度自体が死を迎えることは回避しないとならないのではないかと思う。
ヒント、というより覚悟を得たのは、今なお活躍される(敬意をもってあえて呼ぶ)プライバシーフリークの手になる書籍の一節だったように記憶している。
鈴木 この第三者提供の制限条項である23条には、実はほかにも例外的なものが用意されています。第三者以外への提供です。第三者提供の例外ではなく、第三者以外のものとは、そもそも第三者に該当しないという類型です。3つあります。
(略)
第三は「共同利用」です。「委託」と「事業承継」は、起草の段階で十分に社会の実体はわかっていたわけです。ところがこの「共同利用」については、よくわかっていなかったと思うのです。社会的な典型例がなかった。…念のためこういう枠もつくっておかないとまずいのではないか?という非常に仮想的な状況でつくったような感じがしました(pp. 42-43)。鈴木 一般法一本ですべての業種をみるのは無理がありますよと。個別の業種ごとに「個人の権利利益」と対立する利益が異なったりする。…だから…どんどん立法的解決にチャレンジしましょうと。共同利用も個人の権利利益を保護しながら使い勝手よく直せばいい(p. 47)。
鈴木、高木、山本著『ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ』(2015年、翔泳社)
想定がないなら、ありうべき想定を語るしかない。考えて書いてユーザーに問おう。
さもなければ「共同利用にすれば万事解決する」との声に抗うこともできないだろう。折しも、確認記録義務もやがて来ることは目に見えていた。なぜ第三者提供の構成を含めるのか、と言われるだろう。
絶望と楽観
細い攻めだ、との直感に目を覆いたくなるが、糸口は見つかった。
「第三者に該当しないものとする」。
準個人情報のゆくえに困惑しつつ、不確定なまま開催されるセミナーに新たなヒントを期待してはうなだれしつつ、夜のオフィスを徘徊しつつプライバシーポリシーを書き始めた。
初稿をあげるだけならば、構成を決めるだけならば、多分この着地だろうと勘に任せて書き切るだけならば、1か月ほどで仕上がった。画竜点睛を欠くものだが、実際、初稿から構成に対する大きな変更はなかったように思う。しかし、改定前後でスタンスが変わっていないか、改定のための社内外コミュニケーションはどうなるべきなのか、改定した後の運用変更とコストはどの程度インパクトがあるのかは未知だった。
10数年、個人情報保護法施行以来のプライバシーポリシーの一字一句と、新旧対照表など作ることすらできそうにない真新しいドラフトを見比べ続けた。すべてのサービスのウェブサイトの端から端までを訪ねた。どのように共同利用しているのかその実際をひとり社内行脚して頭に叩き込んだ。
後ろに控える膨大な工程があることが確認するほどにはっきりわかった。絶望しながらもなお確認を続け、最後まで文言が定まらず修正を重ねたのは、法改正の対象ではなかったはずの共同利用だった。
これが主起草者個人が抱えた密かな荷であり、この戦いは結局、プライバシーポリシー改定プロジェクトとともに降ろすことも叶わなかった。
今ならばわかる。共同利用を思いながらわたしは利用目的の話をしたかったのだと。武器を二挺携え、と言ったが、一挺を二通りに使っていただけだ。
あのとき、2つの繋がりにどこまで明瞭なイメージを持てていたかは定かではない。ただ、どうしても、改定前と改定後のプライバシーポリシーとが連続的で整合的な繋がりを持ったストーリーであるよう準備しなければならないと必死であったことは確かで、結果として合流した。解釈 – 疑心暗鬼でフィクションに立ち向かう。
未踏のテクスト
もちろん、プライバシーポリシーの改定において、共同利用の範囲は大きな論点の1個だった。「せっかく改定するのであれば」、という話になることは想像に難くないだろうし、必然、今の共同利用は何をもって範囲を画しているのかは理解されなければならない。
当時の23条4項(現在の27条5項)は、「個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」「当該個人データの提供を受ける者は、…第三者に該当しないものとする」と規定する。
昔から23条(現27条)1項を指して慣用的に「第三者提供」の言葉を用いるが、この熟語が含意する提供の意味と、条文上の「提供」のそれとが異なっていることは、どうにも気持ち悪いのであるが、こればかりはおそらく controller-processor 概念を明文に導入したとて解消されないのでのみこむしかない。現行法も骨子において変わることはなく、「第三者に該当しないものとする」というのである。
今振り返れば、大いに骨の髄からフィクションだ。
(なお、制定時の条文のほうが素直な記載で読みやすく、現行法は実は趣旨の理解を阻害しているのではないかと感じる。第三者に該当しないというのであるから、現行5項各号で「個人データが提供される場合」などと言葉を足さないほうが良かったろう。条文としては綺麗かもしれないが、どうも過度に無機質的で伝えるべきことに靄がかかっているかのようだ。)
同条1項各号のごとく提供時同意取得の例外を定めるのではなく、第三者ではないという。
1項は第三者だが、4項は第三者ではない。警察は第三者だが、委託先や事業承継先は第三者ではない。
何とも言えない消化不良を覚えた。
一見するほどこの制度は安くないかもしれないと気が付きつつも楽観していた。
探せば何か指針は見つかるだろう、と。
初めて考え始めてから以後、幾度立ち止まり反芻しても、ガイドラインや逐条解説を引いても、共同利用について出てくるのは「一定の契約関係等の下に、取扱主体が複数あっても、個人データが共有される事業者の範囲、利用目的等その責任範囲等についてあらかじめ通知、公表等により明確になっている場合も適用を除外することが適当である」とした大綱(「個人情報保護基本法制に関する大綱(平成12年10月11日)」(個人情報保護委員会ウェブサイトに現に掲載されている。))をなぞる議論のみ。
直截的な記述を探しに探して、しかし何も見つからなかった。
が、先に引いた鈴木先生の語りの助けもあって得心がいった。運命共同体でなければならないと。そうは明示に書いていないのであるが、それは仕方ない。事実バイパスとして使われているのだから。
テクストに正しくかしづこう、正しくある努力をしよう。どうであれば「第三者に該当しないものとする」と言えるだろうか。
複数主体の暴力性「一個人に同時に何人ものが立ちはだかる?」
そもそもの話、共同利用などという制度があること自体、疑問の余地があるのだ。
はじめて個人情報保護法と相対したときから共同利用なるものが在ることに慣れきってしまっている。所与だからわからなくなることがある。
しかし、共同で利用するといって、取引やコミュニケーションの相手方当事者を不透明のままにしてのらりくらりと責任を回避するなどという営みは、まったくプライバシー・データ保護の精神に反するばかりか、「法」にすら背く態度ではなかったろうか。暴力的ですらないだろうか。
「法律が予定していることなのだからいいだろう。」
何度聞いたかわからない。大袈裟だ、ビジネスを阻害する、炎上させる人がいるから注意しないとならない、とかいう内外野の陰口を。
1対1は大原則だ。その信頼、対等、公平をなにより追求すべきところなのだ。
わからないなりに、言葉にしきらないまでも、自信を得つつあった。
今このときばかりでいいから、社内でいちばんユーザーと対話した人間になろう。想像力の限りではあるが、あらゆるライフステージの、あらゆるペルソナをもった、あらゆるサービスのユーザーを思った。
そう思っても何度揺れたかわからない。どこにいるかはわからないがどこかにいるかもしれない「最後に取り残されたたった一人」のためになどなっていないのかもしれない、独り善がりなのだろうか、と。鉱脈を見つけることさえ、書くほどに平坦ではなかった。
再び、何度重ねたかわからない自問自答に沈む。果たして自己利益追求を旨とする事業者という主体において、「第三者に該当しない」異体同心などというものがありうるのだろうか、と。いや、異体同心とまで言わずとも、呉越同舟する状況にはなることがあるか?
巷の解説は、「グループ会社を通じて総合的なサービスを提供する観光・旅行業の活動」(大元は2003年内閣官房個人情報保護担当室の法案逐条解説(以下、法案逐条解説)だろうか)などを挙げ、確かにそれらしく聞こえるようであるが、率直にいえば、実例をみたことがない。「特定の会社が取得した個人情報を、本人への便益提供や企業の事業活動の適正化等のために一定の契約関係の下に特定の他者との間で相互に利用することが行われている」というが、本当だったのだろうか。他の事業をやるから、責任を文節したいから法人格を分けるのではなかったのか?契約上の責任を連帯して負うような想定なのか?
自社をみても、サービスごとに規約はわかれているし、個々に契約行為をさせるのが通常だろう。それ以外があるだろうか。総合的の意味がわからない。関連会社から郵送 DM などを直送するようなケースはあったろうから、テレマーケティングに利用するとかそういうことだろうか。
現下のガイドラインに至るまで変わらず維持されている、グループ会社を通じて云々、その真意のありや無しやは再度たずねてみても罰は当たらないと思うが。もう20年経っている。
告白すると、わからなかった。
わからないまま2005年以来のプライバシーポリシーの現状を是認した。
委託でも事業承継でもなく並び立つ第三者のイメージを持つことはできなかった。イベント共催にしか見えなかった。
ところで、委託も事業承継も、オリジンとなる存在がある。委託元なくして委託先はないし、事業承継元なくして事業承継先は存在しえない。委託先はその内部に迎え入れられ、事業承継先はその存在そのものを引き受ける。
共同利用にはこれがあるのだろうか。共同利用元と共同利用先を観念しうるのか。元と先の語はそもそもが「共同」に馴染まないように聞こえる。
個人情報保護法と言わないままこの条文だけを白紙のうえに出してしまえるのなら、組合をいうように直感させる感じがある、また、そのように読みたい。
だが、そう受け止めるには現実との乖離があまりにも大きかった。いよいよどこにも書いていない。馬鹿馬鹿しいとすら言われるような気がした。それでも組合の描写としてはこれ以上無いほどである。
まず組成の目的があって、組成のための行為があり組合員が特定されて、財産を合有し、対外関係の明確化のために代表者を立てる。23条4項(現27条5項)そのままそのとおりじゃないか。
綺麗に物語に構成するとすれば、「しかしこれでわかったのだ。思考の順番がすべて間違っていたことに。オリジンは利用目的だ。」と書くところだろう。
そんなわけがない。わからないまま現状を是認したのだ。
今の知恵だが多少の脚色、目をこぼしてはくれないものか。
イベント開催も事業遂行も、すべてを「個人情報保護方針」で間に合わせていた時代の話なのだから。
共同利用は、第三者提供に特別の地位を与えるという悪癖が生むべくして生んだ宿痾だが、しかし核心を蝕むこととなっているというのは皮肉だろう。利用目的は、形を変えず心を変える。
この二つ、利用目的の記述だが、同じことを語っているだろうか。
- A 社がいう「(弊社の)サービス提供、改善、広告のため」
- B 社がいう「(弊社の)サービス提供、改善、広告のため」
一字一句変わるところがない。だから例えばこの2社が共同利用を始めようとするとき、何の手続きも要らないといえばどうだろうか。利用目的(の記述)に変更は加わらないのだ。
どう考えてもというより、どこから何を言えばいいかわからないくらいに荒唐無稽。
あまりにもおかしな問いを立てることができたのは、提供と利用目的との関係をどこより精緻に議論していた岡村著『個人情報保護法〔新訂版〕』(2009年、商事法務)のおかげだった。
岡村先生の体系書『個人情報保護法〔新訂版〕』(現在は第4版)は、提供元基準と提供先基準との比較の際によく引き合いに出されていたように記憶するが、当時はびこった提供先基準とは一線を画していたように思われ、その説への賛否はともかく一個の体系を成していたような印象がある。本稿でこれを掘り下げることはできないものの、有権解釈の結果としてなのか、現行の版になるにつけ段々とその扱いが若干ながらも小さくなりつつあることは残念な思いがあり、当時の版を手元に残さなかったことが悔やまれる。見渡してほしい。そんな共同利用ばかりではないだろうか。
2社ではなく、最初から5社くらいあるところに1社加わるようなものをイメージに持つからこの恐怖が希釈されるのだろう。「(弊社の)」と書かなければ相異なるものとして認知されなかったかもしれない。「サービスの改善のため」と書いておけばその部分は統合して共同利用できるのかといえば、そんなはずはない。
利用目的の記述にあってしばしば省略される主語ではあるが、それは暗黙には「特定の誰かのサービス改善」を意味するのであり、はっきりさせてしまえば「弊社のサービス改善」だろう。
文言の一致は、利用目的の一致を意味しない。
そして、共同利用は利用目的の変更を正当化しないはずだ。一見して当たり前かに思える規範意識は、先の荒唐無稽な問いを一緒にしなければ、恥ずかしながらわたしにとって切実なものにならなかった。
当然、利用目的制限に関しては委託や事業承継においても妥当するものではある。何度でも確かめるが、「第三者に該当しない」ことを受けた必然なのだ。現行の条文にも明文があるだろう。
(第三者提供の制限)
第二十七条
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(利用目的による制限)
個人情報の保護に関する法律 (令和3年改正法)
第十八条
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
無いのである。共同利用には当初から現在に至るまでこれが無い。
ここまで来ればわかる。暗中模索でなにか武器が欲しいと、無意識に探していたものは、共同利用における利用目的制限をいう一条だった。具体的には、「共同利用する者を追加等することにより実質的に利用目的が変更されることとなる場合には、本人の同意を得なければならない」という明文。
視界晴れやかに改めてテクストに没入できる。
目に入るのは、「個人情報取扱事業者は、…利用する者の利用目的…を変更しようとする場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない」(23条5項(現27条6項))という直後のミスリーディングな規定。これはこれでわかるのだが。
確かに、共同利用の利用目的の変更は15条2項(現17条2項)によって変更前の利用目的と相当の(改正法で「相当の」が削られることも話題だった)関連性を有すると合理的に認められる範囲でしかできないと書いてある。
当時見ていたのが「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成28年12月28日厚生労働省・経済産業省告示第2号)」(以下、経産省ガイドライン)だったか個人情報保護委員会ガイドライン”案”だったかは曖昧だが、いずれにおいても書いてある。
共同利用についてだけ法律に明文の規定がないことは、鈴木先生のいう「非常に仮想的な状況ででつくったような感じ」の帰結なのか、はたまた「オリジンは利用目的でなければならない」ことの当然の不文なのかはわからない。
会社の追加・事業の追加を契機として、プライバシーポリシーを一切変えずのままで、利用目的が実情として変更されることとなってしまうケースがあり得る(それもほぼ確実に起こると思ったほうがいい。)ことに、もっと自覚的でなければならない。
「不文でも解釈かくあるべし」。
明文は直感的に OK と読めそうでありながら、直感で終えず1個1個を条文やガイドラインに当たってようやく出した結論、共同利用には利用目的からくる大きな制約があるのだということを納得させられるだろうか。
実を言えば、不文というとガイドラインに誠実ではない。後でも見るが、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成28年12月28日厚生労働省・経済産業省告示第2号)」(以下、経産省ガイドライン)は実際のところ、この問題に自覚的であったように見えるのである。
当時、まだまだグループ会社なら大丈夫だろうという風潮もあった。AI やビッグデータ、そんなバズワードがおどっていた。
「他社はできているじゃないか、グループ会社1社を追加しても利用目的を変えるわけではないではないか」に反駁することができるほどにこの理屈は強いだろうか。せいぜい新卒3-4年目の弁護士資格なし社員がこの理屈のみを後ろ盾として戦えるだろうか。
無理だ。絶対に通し切らないとならないのに、ここまで薄くては自信がない。ここをしくじっては後で帳尻を合わすことなどできないことはもう理解できていた。全部が共同利用になってしまっては運用で是正することなどできない、運用などないと言っても良い。
善かれ悪しかれ、先に書いたように、「共同利用はなにもかもを正当化するものではない」の雰囲気コンセンサスはあった。具体的には語らない規範だが、「この辺が落としどころじゃないですかね」と誘導するには便利がいい。
落としどころを利用目的で決めたと言わず、事業の種類やデータの性質を踏まえた類似性に鑑みた結果だと言ってしまえ。苦しい実質論だとおもうが、これならば間接には利用目的を縛ることになっている。実際上目的外利用をやりたくてもやりようがないという構造上の問題もある。ユースケースが無いことも相俟ってなんとかなるだろう。問題は、今この瞬間ではなく、将来増えたり減ったりするときなのだが、今はいい。
共同利用は、容易にしかも暗黙裡に利用目的が変更されることとなる危険を内に秘めている。 それは抽象度の高い利用目的の記述が利用目的の変更を見えなくする危険に通ずるものなのだが、我が国は第三者提供に特別の地位を与えることによりデータ提供の生む不透明な利用を食い止めたかったのではなかったか。
利用目的は一丁目一番地だが、それだけで街はできない。
手探りで進めるうち、徐々に「多分そういうことなのだろうな」と気が付くこととなってしまった問題に最後に触れなければならない。
呉越同舟、利用目的は呉越で手を取り合ったが、それは目指すべき灯台を合意したに過ぎない。舟を同じくするのでなければ、取扱の状況や体制を同じくするのでなければ、「第三者に該当しない」とは言えないだろう。言葉にするとおそらくそういうことだった。
– 「いや、法律が定めるのは利用目的の一体であって、それ以上を求めるものではない。」
それでは「個人データの管理について責任を有する者」、いわゆる管理責任者とは何を言うというのであろう。内部問題として共同利用者間で定めればなんでもよいのか。これもグレーゾーンなのか。
グレーゾーンとは違法ではあるが刑罰の対象ではないことを指したのではなかったか。わたしはグレーを本当に見極めたのだろうか。今のところ確定的決着が無いためによくわからないというだけでグレーを安易に使っていないだろうか。
それくらいに議論は成熟していなかったとおもう。
そして管理責任者についてもやはり断片的にしか手掛かりは見つからない。以下は当時の有権解釈を示すものだが、ほとんど同様の内容が個人情報保護委員会通則編ガイドラインにも受け継がれている。
- 共同で個人情報を利用する者の中で、第一次的に苦情を受け付けその処理に尽力するとともに、個人データの内容等についてこれを是正することができる権限を有する者(法案逐条解説)
- 個人データの管理について責任を有する者は、利用目的の達成に必要な範囲内において、共同利用者間で利用している個人データを正確かつ最新の内容に保つよう努めなければならない(経産省ガイドライン)
- 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者…「責任を有する者」とは、共同して利用するすべての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない(同上。総務省電気通信事業分野ガイドラインに同旨。)
法文に素朴に当たってもこの解釈が出てくるようには見えないのだが、当該個人データを「保有個人データ」とする事業者のことのようにも見える。そうすると、めいめいが「保有個人データ」を保有する設計の共同利用ならば、全員が「責任を有する者」ということで、その中から「第一次的な」者を選択するのだろうか。はたまた全員でも良いのか?一社とは言明していない。
開示に応じることはデータアクセスがあるならば難しくなくとも、訂正等に応じるためには事実の確認ができなければならない。利用停止等もそうだ。
共同利用において、すべての「権限」を有する者がありうるのだろうか。部分的にであっても「権限」を持っているならばその限りで管理責任者なのだろうか。あるいは管理者はすべての権限を預けられなければならないということだろうか。そうだとしても内部問題としてはデータの原始的な取得者に対して事実関係を照会したうえで必要な場合にのみ訂正等するだろう。それを「権限」、いや、「責任」と呼ぶだろうか。
管理責任者性もわからないが、これが参照するかのようである保有個人データの議論もそれほどに煮詰まっているようには思えない。共同利用にかかる個人データのうち部分的に開示等請求に応じることができる(開示はできるが訂正等はできない)ものに関して、その事業者は、「保有個人データ」を有するものと解されるのだろうか。
本当に事業者内部の選択の問題に尽きているのだろうか。そうであればこれを通知等させることは単に手続義務として受け止めるので足りるのだろうか。管理責任者を通知等させることに意味を帯びさせる解釈でなければならないのではないか。
今振り返って言葉にすれば、責任(ガイドラインにいわせれば権限。権限をいうなら権原が正しいのではないか。)を持つか持たないかは、事業者間の契約上の調整問題というよりむしろ、選択の余地なく決まるものではないだろうか、と疑っていた。グループ企業共有型の共同利用が許されるならば、各事業体の事業によって共同利用に供されるデータが生まれるのだから、データを生んだ主たる取引のオーナーでなければ判断できないことがあるだろう。
ドラフトが一応の仕上がりを見せてから数か月、もう取締役会は差し迫っていた。
事ここに至ってはもはや胸に秘めなければならないはずだが、さらに言えば、一方通行とか双方向とか、そのような議論自体失当なのではないだろうかと思い始めている。「共同利用」と約めるからおかしい。利用目的を同じくするのであれば、一方向も双方向もないだろうと。第三者ではないのだから、とさらなる疑問が山のように、管理責任者と保有個人データの議論を起点として湧いて出てくるのである。
そんな議論をしている時間は無いが、果たして弁護士も唸っていた。当日あれば良いのではないドラフトは、今やその存立の基盤から危うく見えている。
法律上の立場や解釈上の決着はともかくとして、これが的を射ているとしたらということを考え、何かを捻りださなくてはならない。数多の他社のプライバシーポリシーを読み続けてなお、意図を読み解けず嘲った一節を思い出した。その効果において何の意味も無いだろうと軽んじた一節を弁護士とともに最後に組み込み、大いにその意思を拝借することによってドラフトは完成に至った。
これを最後の工夫とすることができたのは幸運だったのだろうと心から思う。
それが「あの文」だったということを勝手ながらも改めて、ここに資料として引き継ぎたい。
再構築 – 運用指針を決めよう。
先の項までは「あの文」に至るまでを書いたものだが、ここからは共同利用の設計や運用に関連する(かもしれない)もの、少なくともわたしが参照し、議論した断片を参考までに示したい。
オプトアウトの陰に神髄があった。
共同利用が危機に瀕しているときでもなければしなかった議論だったかもしれない。
23条1項(現27条1項)は、事実としての提供(=移転といってもいい)のすべてについてまず制限を設けることとしているので、以降の例外同士の比較をすることは通常必要なく、個別に例外に当たるかどうかを検討することで足りる。
オプトアウト式第三者提供は、その積極的な規定ぶりによって、むしろ共同利用の限界を示唆するものになっているということだ。この2つを効果の面から比較した論はなかなか無いかもしれないが、意外と共同利用の限界を照らすものであるかもしれないと思っている。一方は第三者であり他方は第三者ではないからだ。
もちろん、この理屈は極めて甘い。共同利用はいわば創設的に第三者をして第三者たらしめず擬制するものだ。共同利用の当事者がオプトアウト式第三者提供の照らす第三者に似通っても、それが共同利用の効果であると言われればそうだろう。
しかし、考えたかったのは、信頼ある共同利用だ。無秩序のバイパスではない何かを欲するなら、対比はしてみたい。
大例外たるオプトアウトによる第三者提供は、ケースの想定をしないその一般性の高さから、我々が議論するところの「第三者提供」とは何かを語っているはずだろう。共同利用が作出することのない第三者とは何かを見るに当たり、これ以上の材料は無かった。
(第三者提供の制限)
第二十三条
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。一 第三者への提供を利用目的とすること。
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
個人情報の保護に関する法律(平成15年法律第57号)
許認可の取得のときに法律が定款記載を要求するかのようなそれ、「第三者への提供を利用目的とすること」のインパクトは、後出しのオプトアウト式第三者提供はしてはならない、つまり、個人情報の取得時に明示し又は通知しもしくは「容易に知り得る状態に置いて」(18条(現21条)1項の特則)いなかった場合においてこれを開始したいときは利用目的の変更プロセスに乗らなければならないということくらいだろうと考えていた。
冗長な物言いだが、第三者への提供は、一個の独立した利用目的を構成する。
これを受けているから、提供先第三者は、提供元との牽連性なく個人情報を”独自に”取得し、したがって利用目的を(本人からの書面取得ではないので)通知・公表することにより、当該利用目的において個人情報を利用することができるとするのだろう。
それでは共同利用はどうだろうか。オプトアウト式第三者提供と同じく、一定の事項を「本人に通知し、又は本人が容易に知り得る状態に置いているとき」例外的な正当性をもたらす制度だ。
| オプトアウト式第三者提供 | 共同利用 | |
| 手続き | 本人に通知し、又は本人が容易に知り得る状態に置いているとき | 本人に通知し、又は本人が容易に知り得る状態に置いているとき |
| 本人の拒否権 | 〇 | × |
| 提供・共同利用の変更 | 提供の手段等を変更する場合、本人通知等を要する。 | 管理責任者の変更がある場合、本人通知等を要する。 |
| 利用目的 | 提供元: 第三者提供 提供先: 独自に法律上の範囲にて通知・公表 | 利用元: ? 利用先: ? |
| 提供・共同利用される個人データの項目 | 個人データの項目を変更する場合、本人通知等を要する。 | 手続きにかかる明文無し。 (ただし、23条5項の反対解釈により同意が必要とされる) |
このバランス、特に本人の関与の程度をみたとき、共同利用が利用目的を緩やかにみていると解釈するのはあまりにも世間をなめている。これは”同一の”利用目的を共同して達成する複数事業者のためのものと理解しなければ23条(現27条)2項と3項に申し訳が立たない。
今だから言える。
このギリギリのバランスで辛うじて成立している(成立していないとおもうが)共同利用、安直には絶対に使えないし、今風にいえば、共同利用するグループ全体のプライバシーガバナンスが徹底運用されていることは絶対の前提である。
技術上理論上一応可能だが実装は不可能に近い、の代表のようにすら見えてくる。
さりとて、共同利用はすでに目の前にあるし、構成変更はなお一層に色々な意味で非現実。ここまで来れば、それでは一事業体が事業を増やしたときにプライバシーポリシーを新設する基準(利用目的が追加されることとなる基準)について気になってもきたところである。
Q 「なぜ共同利用だけが特別なんだ。一社でやるなら1個でいいはずではないか。」
– A 「どちらも同じ。1個でいいこともあればわけるべきこともある。ただ適切な状態を維持するためにかかるコストが桁のレベルで違うだけ。」
共同利用のモデルケースは限られ、これ以外は無いかもしれない。
思い出したいことがある(経産省ガイドライン)。
いやしくも信頼あるを題目にかかげるのであれば、「”同一の”利用目的を共同利用者間で共有する」ことをテーマにするのでなければならない。真摯に読むと、観念的にはそういうこともあるかもしれないですねという講学上の整理でしかないようにも見える。
複数事業者を全体として一とみるのだから、一旦、その複数性は解決したものとして、「”同一の”利用目的」を見たい。永劫不変の同一性は、それはそれでフィクションなのだから、「(相当の)関連性」のなかで変更することができる。なお、OECD のガイドラインにある “such others as are not incompatible with those purposes” を踏まえれば、それは変更ではないという意味に近いと思うが立ち入らない。
個人情報保護委員会がその事実上の前身たる「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」から汲めなかったものが残念ながらいくつかある。
利用目的の特定は、その主たる一例だろうか。汲めなかったとは言うものの、経産省のガイドラインも現行のガイドラインも本文において大きな差分は無い。ただ、具体例として何を持つかにこそ、筆を執った方々の水準の高さが見えることもある。
個人情報取扱事業者は、利用目的をできる限り具体的に特定しなければならない。
利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報取扱事業者において最終的にどのような目的で個人情報を利用するかをできる限り具体的に特定する必要がある(2-1-4.「*電話帳、カーナビゲーションシステム等の取扱いについて」の場合を除く。)。
具体的には、「○○事業※における商品の発送、新商品情報のお知らせ、関連するアフターサービス」等を利用目的とすることが挙げられる。定款や寄附行為等に想定されている事業の内容に照らして、個人情報によって識別される本人からみて、自分の個人情報が利用される範囲が合理的に予想できる程度に特定している場合や業種を明示することで利用目的の範囲が想定される場合には、これで足りるとされることもあり得るが、多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならない。(略)
※○○事業の特定に当たっては、社会通念上、本人からみてその特定に資すると認められる範囲に特定することが望ましい。例えば、日本標準産業分類の中分類から小分類程度の分類が参考になる場合がある。
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (平成28年12月28日厚生労働省・経済産業省告示第2号) pp. 14-16
引用部の最後の一文にこそ、プライバシー・データ保護の精神が眠るとまで言えば大袈裟だろうか。それに比べてその他の部分、つまり現行のガイドラインに引き継がれた箇所は、この法律は消費者保護法制であったかと思わせるものであり、一定の限度で相通ずるところがあることは否定しないが、本筋ではないように感じる。
幾星霜を超えてお礼を申し上げたい。
この一文だけで、と思われるなら、ほかの箇所を参照してみてほしい。本稿で逐次指摘をすることはかなわないが、経産省ガイドラインは以降この一文を暗に引き受け、これを出発点として議論をいくつも展開している。
(ただ、種々の事情によるものか、限界があったろうことも確かであり、日本標準産業分類の中分類や小分類などでもって、十分な特定をすることは残念ながらできそうになかった。同時にそれは当時のわたしにとって、あるいは事業者にとってありがたいことでもあったことを意味する。)
共同利用の利用目的の特定も変更もかくあるべし、ということだろう。いよいよ実際上難しいことが身に沁みてくるのである。
試論としての補遺(23条3項(現27条3項)と5項(現同条6項)の意味)
通常、23条3項(現27条3項)と5項(現同条6項)の2つの項は、あらかじめ通知等した内容(管理責任者等)について当該通知等した内容を変更することができるかを示したものとされる。つまり、管理責任者の氏名等は変更できるが、共同して利用される個人データの項目は変更できないというのである。
一見して正しいようにも思えるが、この議論を前提とすると、オプトアウト式第三者提供は個人データの項目を増やしてよく、共同利用はそれをしてはならないとの結論が得られる。合理的だろうか?
同種の手続きでもって正当化される二つのスキーム(嫌悪をもよおす呼び方だが)において、一方は第三者であることを肯定しているのにデータ項目に歯止めが無く、他方は第三者に該当しないというのにデータ項目はスキーム設定時点に縛られる。
管見の限り定評ある体系書において同旨の論をみることはできなかったが、これらはむしろ、18条(現21条)1項乃至3項に対する特則と理解すべきではないだろうか。もちろん4項を含めてもよい。反対解釈するより素直ではないか。
| 18条 | 1 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。 3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。 |
| 23条 | 3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。 一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合 二 合併その他の事由による事業の承継に伴って個人データが提供される場合 三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。 5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 |
利用目的”のみ”の「公表」では足りないというのである。そう理解しなければ、23条5項(現27条6項)が利用目的の変更に言及する意味に乏しい。可能不可能を規律するものではなく、あくまでも手続規定として追加的な内容を定めた(共同利用において個人データの項目の追加に同意は必要ない)ものとするのが試論であり、ご批判を賜りたい。
「信頼関係等の基盤」(各種書籍より)をいうのであれば、それはまず利用目的に対する信頼性でもって語られなければならないのであって、共同の利用目的のために供される個人データが列挙され制限されることが重要なのではないと思う。そうではなく、本邦においては提供行為にかかる信頼を別個で語るものなのだろうか。
もちろん、この論を立てたとき、内閣官房の法案逐条解説以来の記述との整合が問われるべきことは理解している。
- 「利用される個人データの項目」又は「共同して利用する者の範囲」を変更することは、複数の取扱主体を一体とみなすための前提を覆すものであり、これを変更することは認められず、変更に当たっては本人の同意が必要となる(内閣官房個人情報保護室「個人情報保護法案〈逐条解説〉」(2003年) pp. 71-72)。
- また、上記①及び②(筆者注 共同して利用される個人データの項目および利用する者の利用目的)については原則として変更は認められないが、次の場合、引き続き共同利用を行うことができる。
【引き続き共同利用を行うことができる事例】
事例1)共同利用を行う事業者や個人データの項目の変更につき、あらかじめ本人の同意を得た場合(経産省ガイドライン(2016年) pp.49-50。同旨個人情報保護委員会通則編ガイドライン。 )
この記述が法文のどれを参照し解釈した結果であるのかは実は明記が無い。
無いが、内閣官房の「複数の取扱主体を一体とみなすための前提を覆す」と記すとおりではないかとも思うのである。このような事態はすでに、当初の利用目的を離れていることを意味するものであり、まったく新しい二次的な利用目的として同意を取得することにより新たな正当性を獲得させるのでなければならないことをいっているに過ぎないようにみえる。
経産省や個人情報保護委員会は、内閣官房が条文への明示の参照をせず「複数の取扱主体を一体とみなすための前提を覆す」とわざわざ補った趣旨をどのように考えたのであろうか。内閣官房が23条5項の反対解釈であると理解していたならば、当初からそのように書けたのではないだろうか。
わたしが主張するのもしたがって、同意の要求は23条3項(現27条3項)や5項(現同条6項)からくるものではないということである。「利用される個人データの項目」又は「共同して利用する者の範囲」の変更を要する事態の背後には、利用目的の変更が生じているから同意を要するというものである。
私案は、正当な利用目的のために必要なパーソナルデータがなにかを特定し、関連する限りで合法の手段をもってパーソナルデータを取得し、その限りで処理や利用を行うべきとする大原則とも整合するように信じるものであり、また、オプトアウト式第三者提供と共同利用との間のバランスを回復させることに貢献するものとは思われるのだが如何だろうか。
信頼ある共同利用のモデルと存立条件
ここまで長々と見た通り、わたしの主張は、共同利用は提供の亜種ではないというものだが、現実的な妥協を信頼ある限りでできるとしたら、3つのモデルがありうるものと考える。
各モデルは、それぞれ上からの共有、下からの共有、目的による共有を検討したものだが、その表題は、これを現実に行いうるとしたら典型はどのような形態かを暫定的に仮定したものである。付言すると、そのいずれにおいても共同して利用する場所・環境が特定されていて限定できることは、利用目的内の利用を共同利用者間において継続的に担保するための重要な前提であることは改めるまでもない。
以下のいずれも、原始的なモデルとして商業合理性を無視しても最小範囲の利用目的とするよう留め置き、(商業的な本願であるとしても)二次利用に属すべきものを意図的に省いたものであるので、これ以外認められないという趣旨でないことは申し添えたい。しかしこの3つのモデルに賛同するかはともかく、出発点となるべき共同利用の利用目的を措定できるのでなければ筋が悪いということは言えるかもしれない。
二次利用は正当な利用の源泉にはならないためである。
グループ企業間のID共有型メンバーシップ(上からの共有)
天上界からの共有は、具体的な事業を離れてなお全体として共有できる利用目的に端を発する。大企業によるIDの統一化がその動きの典型として挙げられる。IDの統一は、どちらかといえば事実上、二次利用を主たる目的として議論され始めることが多いのであるが、しかし、そのリスクを理解しこれに対応したうえで行うのであれば妨げられないだろう。
天上界で管理されるアイデンティティは、最新であり正確である。
多くの事業を有する大企業が同一の個人に対する契約関係を契約単位でしか本人情報を持っていないとしたら、具体的な個々の事業において契約関係をスムースに成立させ、変更させ、また、管理することは土台不可能だろう。問い合わせに正しく応対することもできないかもしれない。
したがって、このモデルのおおよその最小構成は、以下の通りとなる。
| 管理責任者 | 天上界たるアイデンティティ管理を行う企業 |
| 共同して利用する者の範囲 | 天上界およびアカウントを利用する大企業グループに属する企業 |
| 利用目的 | アカウントの維持・管理 共同利用者による契約管理 大企業グループ全体の債権債務の管理 不正利用の防止のために必要な対策および対応 |
| 共有される個人データの項目 | アカウント情報、アカウントを利用して締結された契約にかかる債権債務情報、アカウントの利用にともなって取得されるログ等 |
共通ポイントによる限定的情報連携(下からの共有)
グループ企業間のそれに似通うように聞こえるかもしれないが、先の例はグループ統合の手段だった。共通ポイントは、必ずしもポイント事業者のグループ企業によってのみ利用されるものではない。
ポイントという今では当たり前になったマーケティング手法を利用したい。多くは中小事業者かもしれないが小売店のその意思からこそ生ずる利用目的がある。サードパーティーのポイント事業者にポイントを発行させ、または店頭に来た顧客にポイントを利用させるためには、その顧客との取引金額をポイント事業者と連携する必要がある。言ってみれば下からの共有(マーケット上のバーゲニングパワーは逆に聞こえるだろうがデータプロセスは小売店に端を発する)だろうか。
その構成は、主たる取引内容を小売店から共有するものであるから、先の例とはやや構成を異ならせたい(太字にしたが、ポイント事業者と小売店の2社のみの共同利用とすることが最小構成であることに留意されたい。)。似通うものとして、企業グループの従業員情報の一部取り扱いも想定できる。
| 管理責任者 | 決済のために利用した小売店 |
| 共同して利用する者の範囲 | 利用した小売店およびポイント事業者 |
| 利用目的 | 利用した小売店においての決済遂行(支払いに対するポイント充当を含む) ポイント事業者によるポイント発行 ポイント事業者によるポイント事業にかかるマーケティング活動 |
| 共有される個人データの項目 | 決済遂行にかかる情報 |
共催イベント(組合生成型共同利用)
これは既に多くを論じたところであるので、省略するが、これが共同利用の正統だといえる。
| 管理責任者 | 主催者間の調整問題(イベント参加者管理のインフラ提供企業が第一候補) |
| 共同して利用する者の範囲 | イベント主催者 |
| 利用目的 | イベント遂行 |
| 共有される個人データの項目 | イベントの開催および運営に関連して参加者から取得する情報 |
経産省と個人情報保護委員会が提示する事例の比較
ところで主務官庁または監督官庁の手になるガイドラインは、それぞれ1個だけ具体的なケースを共同利用の事例として描写している。
| 経産省 | 【共同利用を行うことがある事例】 事例4)企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合 |
| 個人情報保護委員会 | 【共同利用に該当する事例】 事例3)使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合 |
経産省のそれについては、類似の検討をすでにしたため立ち入らない(”取得時の”利用目的の範囲内で、という味わいの深い語をたずねることができないのは残念なところだが)が、個人情報保護委員会のこの事例は、様々な意味で不適当であると言わざるを得ない。
まず、使用者と労働組合等は、利害を対立させるものであり共同の利用目的を持たない。たしかにユニオンショップ協定のために、使用者は被用者の雇用のステータスの一部(現役か否か、役職の有無など)を労働組合等に提供しなければならない場合もあるだろうが、それは労働組合等の加入資格の確認の問題であり労働組合等の単独の利用目的であるというべきだろう。提供行為の一類型としてしか共同利用を理解してこなかったことの弊害のように思われるのである。
また、解雇にあたって労働組合等の同意が必要といった労使協定のある場合が想起されるものであるが、これを共同利用でデータの側面からは解決するなどということが趣旨であるならば、まったく理解に苦しむ。かかる事案の際、労働組合等は、被用者の盾として機能することが本来なのであって言わば被用者と同視されるべきだろう。法律上の構成は代理ではないだろうが、当該被用者本人も属する組合が本人のためにする行為をデータ法制の観点から正当化するために共同利用を持ち出すのは、主客を転倒させるものであり、とても擁護に値しない。
つまり、どこを切り取っても、使用者と労働組合等の共同利用など生ずる余地が無いと思われる。ここで登場させるべき関係性があるとしたならば、従業員持株会などだったろう。
運用の懊悩
揺れ動く利用目的を関連性で必死の綱渡り。
利用目的外の利用を如何に防ぐか。共同利用においてもこれは当然の大命題ながら特有に至難なのであると強調したい。
まずはプライバシーポリシーで正当化された利用目的の範囲を円形状にイメージしてほしい。
1個の事業を1社が行う場合、その心身は一元的であり、一元的な心身がその範囲にとどめられているかをガバナンスすることはさして難しくない。むしろこのようなモデルを原型として志向し、しかし多様に分岐する実務をとりまとめていくことこそがプライバシーガバナンスだろうと思う。
それでは複数個の事業を1社が行うとしたらどうだろうか。身体は1個であるが精神は事業の数だけある。正しく円形のなかでふるまえているかを担保し続けることが若干難しくなってきていることがわかるとは思うが、それでもまだ身体が1個に留まっていることの内在的な制約がある。1個の身体を円形状の正当な範囲内に押しとどめる努力があるくらいだ。
複数の事業体がそれぞれに複数個の事業を行っている。これがグループ企業間共同利用のモデルだが、果たして何が違うのかといえば、精神を支える身体が複数であることにほかならない。先の例までは、1 (身体) × N (精神) = Nだったものが、Nの二乗になるということであり、いつ何時(N+1)の二乗になるかもわからないということといえる。また、事業のレイヤーを超えて、まさに共同利用されることによりデータのレイヤーで新たな利用目的が生まれることも想像に難くないだろう。
しかし、すでにプライバシーポリシーにおいて利用目的は言語でもって固定的に記述されている。これを仮に原初の利用目的というとき、膨れ上がる実際のデータ処理のすべてが原初の利用目的によって正当化されるなどということは残念ながらほとんどない。
関連性の限りで拡張させる余地によりなんとか救われるのであるが、かといって原初の利用目的を拡張させていった結果、拡張後の利用目的が原初の利用目的と乖離し、関連性が無くなることはあってはならない。
共同利用であるかはともかく、つまり、原初の利用目的がその言語により何を意味するのかを(共同する)組織内で共有し、これに関連付けられるデータ処理をすべて特定し、新規に追加されるデータ処理が原初の利用目的(または関連性により拡張される利用目的)の円形状の図上に描写できるものなのかを検討することが求められている。
共同利用は、現実にこれを適切に実施することが難しい。なんとなれば、会社の数すら途中で増えるのである。イメージの問題でしかないが、固定的な言語に基づく円形状の図上におびただしい数のデータ処理を並べ、書き切ることが土台無理なようにすら思えるのである。中身が増えるのであれば外延を広げるほかない。しかしてそれは、利用目的を特定しないこととなるという意味だ。
日本産業分類のうちのいずれのものが原初の利用目的に含まれるものであったかをリストし、「果たしてこの事業はその産業分類で語るべきものなのか」と苦しみ、いつしか生まれるべくして生まれたクロスユースの結果の新たなサービスをどう見るのかという尽きない悩みにさいなまれ続ける覚悟が求められる。
その限界の果てには大黒柱たる利用目的は霧消し、母屋は倒壊する。「束ねうる事業で取り扱いうるデータの重ね合わせは、正しく扱い正しく解釈する限りにおいて、原初の利用目的と関連する事業目的しか生まない」ことをかすかな信仰としてこれに縋り、正しく扱われていない気がする結果に揺らぎつつ、ひたすらに眼前の二次利用の山と向き合うことになる。
管理責任者という謎の主体の正体についての提案
我々は管理責任者が何なのかわからないままに管理責任者を表示している。
解説はあるが、解説は定義に成功していない。それでも法定記載事項だから仕方ないと引き下がるほかない。詮ずるに不満なのだ。
ヒントになりうるのは、解説によると「保有個人データ」だが、そも共同利用においては共同利用者間のうち誰が「保有個人データ」を保有するのかを議論できていないのである。
7年以上の時を超え、平成27年改正個人情報保護法、GDPR、CCPA、令和2年・3年改正個人情報保護法を経て、管理責任者はアカウンタビリティを負う者を指名させるものではないかと考えるようになった。
アカウンタビリティは、複数人で共有することはできない(すべきではない)と言われることも多い。仮に管理責任者が複数だとしたら、本人は共同利用者たる複数事業者に対してそれぞれに責任を問う事態が生じるが、まさにその事態こそが、その共同利用者間の一体性に鑑みて「第三者に該当しない」こととも矛盾する状況をつくるのである。だから1名でなければならない。
保有個人データは、その定義の仕方に不満な点が無いではないが、端的にそのとおり、権限を有するかどうだろう。これを有するからといって「管理に責任を有する者」であると断ずることは飛躍が過ぎ、そもそも共同利用者間で権限を担うかどうかと個人に対して責任を有するかは別論ではないか。
それではなぜ「管理に責任を有する者」は「開示…等の権限を有し、安全管理等個人データの管理について責任を有する者」を指さなければならなかったか。これは検証したわけではないものの、推測できないものではない。共同利用を行う場合においても、24条(現32条)以降の「保有個人データ」にかかる義務規定を免れるものではないことを言わなければならなかったことがその一因だろう。
わたしの議論をさかのぼれば、共同利用をすることによって24条(現32条)以降を容易に潜脱できることは理解いただけるものと思う。
ただし、法文の設計としては、ここまで見た通り失敗と評価せざるを得ないと感じる。
共同利用先は保有個人データを保有しない。
共同利用「先」という言葉に対する違和感はすでに表明した。
しかし、実際の問題として、グループ企業間の共同利用が幅広く行われている以上、これが適法であると仮定したうえで、最後の検討をしておきたいと思う。
個々に事業をおこなうグループ企業が共同利用によりそのグループ企業全体で共有する個人データの取扱いを前提としてみたい。
このとき、原始的に個人情報を取得するのは、個別の事業遂行体であるグループ企業のうちの1個だが、これが他のグループ企業においても行われ、結果として全体のデータプールに(観念的には)個人データが蓄積され、全体または一部のグループ企業の利用に供されることとなる。
ある個人情報ないしデータを取得した個別の事業遂行体 A は、他のグループ企業に対してデータを共同利用させると、A を共同利用”元”として他のグループ企業を共同利用”先”とイメージすることができる。
プラクティスとしては褒められないが、共同利用先も A と等しく A が取得した全データにアクセスできることとする。A 以外にとって、これは「保有個人データ」だろうか。
A の事業にかかる個人データとして、A が利用目的を示し(B や C がその事業のために示すべき利用目的の記述とは何かを考えるにつけてもやはりこのモデルはどこかおかしいと思う)て取得し保有されるのである。他のグループ企業各社は、確かにそのデータにフルアクセスをできるものであるが、「保有個人データ」にかかる請求に責任をもって回答できるものとは思われない。
先に記述したところでは、開示はできるかもしれないと書いたが、それでは「開示すべきかどうか」の判断はできるのだろうか。「適切に開示した」ことに責任を負えるものだろうか。例えば B を管理責任者として記載したとて、A の事業に一義的には供されるべき個人データについて A 自身が「それは B に照会ください」と回答することが法律上の想定というだろうか。
平成27年改正個人情報保護法以後、これらは裁判上の請求権になったのである。A のこの責任は移譲が許される性質のものであると言ってよいのだろうか。B は、引き受けてくれと言われたこの責任を本当に適切に引き受けることが可能なのだろうか。
とてもそのようには思われない。
したがって、共同利用”先”は、保有個人データを保有しえないと理解するのが穏当ではないかと思う。
結び
共同利用を再び訪ね、その精神を汲み、その限界を照らすことができたとすれば望外だ。
前半においては当時の空気を思い起こし、半ばにおいては信頼を捨てない解釈を諦めきれない戦いを、描き、後半においてはご批判を覚悟しながらも一度仕切りなおすべきでないかとおもって私案をつづった。
本稿に記したような違和感をくすぶらせ続けていたころ、共同利用のありように対するイメージを新たにさせてくれたのは、facebook ページは jointly responsible という判断が出たときだった。ああ、なるほどこういうものも joint controller として認識してよいのか、とようやくその意味を理解できるようになった。
ある種のオーディエンスマッチ広告も、共同利用でやる余地はあるようにも思うところ、現下の実務や共同利用に対するイメージからあまりにも隔たりが大きかったため差し控えた。”facebook joint controller” などと検索いただけると何かしらの参考にはなるかもしれないので、関心をお持ちいただけたなら試してみていただきたい。
Amazon は、はるか前から共同利用の限界を理解していたのかもしれない。あのプライバシー規約の簡素さ(今となっては簡素とまでは言えないが、当時は極めて簡素だったような記憶がある)は、考え抜かれた末の結論だったのかもしれない。内情は知る由もないが、当初のわたしでは及びもつかない議論があったことは確信できる。
幸か不幸か、現在に至るまで共同利用を違法と断じた決定は寡聞にして知らない。
それでも、風前の灯火となる前に総括を済ませておきたかった。
ここまでお読みいただけたことに最大限の感謝を申し上げます。
コメント