【23-01】個人情報は誰のものか?
2023年03月01日
御手洗 大輔:尚美学園大学総合政策学部 准教授
略歴
2001年 早稲田大学法学部卒業
2003年 社団法人食品流通システム協会 調査員
2004年 早稲田大学大学院法学研究科修士課程修了 修士(法学)
2009年 東京大学大学院法学政治学研究科博士課程単位取得退学
2009年 東京大学社会科学研究所 特任研究員
2009年 早稲田大学比較法研究所 助手(中国法)
2012年 千葉商科大学 非常勤講師(中国語)
2013年 早稲田大学エクステンションセンター 非常勤講師(中国論)
2015年 千葉大学 非常勤講師(中国語)
2015年 横浜市立大学 非常勤講師(現代中国論)
2016年 横浜国立大学 非常勤講師(法学、日本国憲法)
2022年より現職
インターネットによる無国際化と個人情報の流通
ネット社会に住む私たちは、スマートフォンやタブレット、パソコン等を通じてインターネットとつながっています。そして当たり前のことですが、このインターネットは基本的にオープンなプラットフォームとして構築されており、このオープン性を回避するためにVPNサービスやイントラネットシステムが存在しています。普段何気なく使用しているのですが、何気なく使用できるほどその利便性は高いと言えます。
さて私たちは、このインターネットを介することによって現実の国境という塀を易々と超え、様々な交換を日々行っています。インターネットを介さない場合、現実の国境すなわち税関や国境警備所等の「窓口」を通過しなければ「合法的に」様々な交換ができません。現実の国境を介する様々な交換については、一日の往来が物理的に有限であり、交換したい何かが視認できることも多いので、「窓口」の検査員は充分に検査することができます。したがって、「窓口」で怪しいと感じられた何かが越境し交換を完了するのに時間を要することもあるでしょう。しかしインターネットの場合は違います。一日の往来は物理的に有限とは言えないほど膨大ですし、瞬時に交換することができるので時間を要することはほぼないでしょう。このように考えると、何気なく使用できないほど利便性は低いと言えます。
前者の場合に私たちは国境を意識するすなわち国際化を実感する一方、後者の場合に私たちが国境を意識するのは通常その使用言語によるくらいです。つまり、インターネットは無国際化という流れを担っているのです。単純化しておくと、人が何かを海外にいる人に送達したいとき、物理的に送達しようとすると他人が視認しやすい国際化のルートにその何かを晒したうえで送達し収受する人がいることになりますが、インターネットを介して送達すれば他人に視認されにくい非国際化のルートにその何かを乗せたうえで送達し収受する人がいるという構図を描けます。そうすると、送達人と収受人には国際化のルートを介するか、それとも無国際化のルートを介するかを選択する自由があることになりますから、他人に視認されたくない何かを送受しそれが物理的でない何かであるならば、非国際化のルートを間違いなく選択するのが合理的な選択と言うものでしょう。
この他人に視認されたくないものには、自らの性的指向だったり銀行口座の情報だったりがあるでしょう。後述しますが、これらを個人情報としておきます。今回のコラムはこの個人情報に関する現代中国の立法動向について考察してみましょう、という話しです。ちなみに主権国家にとって他国に視認されたくないものは(国家)安全保障にかかわる情報です。公共通信施設の情報だったりエネルギー関連、防衛システムだったりという国の安全保障や国民生活にかかわる情報は、その情報が一旦悪用されれば一国の存亡を招くからです。右の頬を叩かれたら左の頬を差し出すように等という戯言は通用しません。そのため何の武器を幾つ購入するのかとか、総理大臣の行動は国会の事前報告なしには許されないから必ずおこなわなければならないとかと問い質す行為は、無国際化のルートを介さずに他国に視認させるわけですから公然のスパイ行為そのものですし、無国際化のルートを介して勝手に送受する人はスパイであると言わざるを得ないわけですね。
個人情報輸出契約弁法の位置づけとその内容
さて、このようなインターネットを介しての個人情報の送受について、中国は先月(2月)22日に国家インターネット情報弁公室が「個人情報輸出契約弁法」を公布しました。同弁法は今年6月1日より施行します。ちなみに安全保障にかかわる情報の送受については昨年9月に国務院が「主要情報インフラストラクチャ安全保護条例」を施行しています。同条例は「インターネット安全法」に基づき制定したもので主権国家にとって他国に視認されたくないものについて法の網を被せたものである一方、今回の弁法は「個人情報保護法」に基づき制定したもので、人(自然人)にとって他人に視認されたくないものについて法の網を被せたものであると位置づけることができます。
個人情報輸出契約弁法の枠組みは、送達する側=個人情報処理者と収受する側=国外受取側が国家インターネット情報弁公室の策定した「個人情報輸出標準契約(以下「標準契約」とする)の締結を前提に個人情報を送受するというプラットフォームを強制することにあります(同2条)。なぜならば標準契約とは別の契約を締結することも同弁法は認めているのですが、その内容が標準契約と衝突することを認めていない(同6条)からです。そして標準契約の締結後10営業日以内に所在地の省レベルのインターネット通信部門に記録することになっています(同7条)ので、標準契約は任意のものでは決してありません。つまり個人情報を無国際化のルートを介して送受したい場合でも標準契約のプラットフォーム上で(政府に)必ず晒されることになります。したがって、インターネットのオープン性が本来もたらす利便性を害するという批判を承知のうえで制定したものと言えます。
上記の枠組みにおける個人情報処理者については、①非主要情報インフラストラクチャ管理者であり、②処理する個人情報が100万人に満たない者、③前年1月1日より国外へ提供した個人情報が10万人に満たない者又は④前年1月1日より国外へ提供した個人情報が1万人に満たない者が該当します(同4条)。そして該当する個人情報処理者は、①個人情報を処理する目的、範囲、方法等の合法性、正当性および必要性、②輸出する個人情報の規模、範囲、種類、敏感の程度、個人情報の有する権利利益にもたらされるリスク、③受取側が負担する義務等のほか、輸出する個人情報の安全を保障できるかどうか、④輸出後の改ざん、破壊、流出、紛失、不法な利用等のリスク、⑤国外の国家ないし地域の法制度等が標準契約の履行に与える影響を含めた個人情報保護に関する影響評価報告書の策定が義務付けられています(同5条)。正直一瞬躊躇を覚えますが、条文上は、中華人民共和国国籍を有する人の個人情報を1人でも国外へ提供する者は個人情報処理者となります。なお、同弁法公布後の記者会見における問答では確認できませんが、別途法令による該非の判断に含みを残していることは申し添えておきたいと思います。
そして、同弁法違反については誰でも省レベル以上のインターネット通信部門に通報できます(同10条)。また、その疑いのある行為については省レベル以上のインターネット通信部門が個人情報処理者に対して呼び出しての取り調べをおこなえることを確認しています(同11条)。いわゆる行政指導の類だろうと思われます。
さて、同弁法をざっと把握すると、肝心のポイントが送達する側と収受する側が締結する標準契約にあることは明らかです。そして国家インターネット情報弁公室が策定した標準契約の要点は次の3点です。まず、個人情報とは匿名化処理後の情報は含まないと明記(同1条5号)する点です。未秘匿の個人情報の送受が対象になります。次に、国外へ送達する個人情報を有する本人自身の「単独同意」が不可欠である(同2条)と明記する点です。14歳未満の人(未成年者)の場合はその父母又は監護人の「単独同意」が不可欠であると重ねて明記しますから、利潤を希求するビジネス上の欲求から勝手に個人情報を送受することがないように意識しているのであろうと推察できます。最後に違約責任については送達する側と収受する側の連帯債務とする点(同8条)です。求償権についても明記済みのため国外にいようとその賠償責任を免れさせないという意思を感じます。
ちなみに、標準契約には付録一が付いており、国外へ送達する個人情報について「目的」「方法」「送達する規模」「個人情報の種類」「敏感な個人情報の種類」「収受する側が第三者へ送達する個人情報」「送達方法」「送達後の保存期間」「収受する側の保存場所」「その他(状況の貼付)」を添付する必要があります。この付録一において気になるのは「敏感な個人情報の種類」でしょう。ちなみにこの「敏感な個人情報の種類」については国家規準GB/T 35273「情報安全技術 個人情報安全規範」を参照せよとのことです(下図、筆者作成)。
| 図:敏感な個人情報の例 | |
| 個人の財産情報 | 銀行口座、識別情報(パスワード)、預金情報(資金額、金銭支払受取記録等を含む)、不動産情報、貸付記録、信用情報、取引・消費記録、出納記録等、並びに仮想通貨、仮想取引、ゲーム類のコード等の仮想財産情報 |
| 個人の健康・生理情報 | 個人の発病治療等により生じる関連の記録、例えば、疾病、医師の指示票、検査報告、手術・麻酔記録、看護記録、投薬記録、薬品食品アレルギー情報、出生情報、既往歴、治療状況、家族の病歴、現病歴、伝染病歴等 |
| 個人の生態認証情報 | DNA、指紋、声紋、手相、耳介、虹彩、顔の識別に係る特徴等 |
| 個人の身分情報 | 身分証、士官証、パスポート、運転免許証、従業者証、社会保険カード、居住証等 |
| その他の情報 | 性的指向、婚姻歴、宗教・信仰、未公開の違法犯罪記録、通信記録・同内容、住所録、友人リスト、グループ一覧、行動の軌跡、ウェブ閲覧記録、宿泊情報、正確な位置情報等 |
なぜ、この時期に制定公布したのか?
今回のコラムでは、以上のように個人情報輸出契約弁法の内容を確認してきましたが、正直なぜ、この時期に制定公布する必要があったのかが判然としません。同弁法公布後の記者会見における問答では「データ経済が目覚ましく発展するにつれ個人情報の輸出需給が急増したことによって個人情報の権利利益を保護する局面が重大な挑戦に直面している」ことを挙げるのみで、その後の質疑応答も条文をなぞる程度の儀礼的なものに終始していたところが印象に残りました。記者会見を開くほどの意味があったのでしょうか。
国際社会からの眼に配慮したという意味を省くと、「なぜ、この時期に?」という疑問を解消できる理由を探しにくいのではないでしょうか。確かにインターネットによる非国際化のルートを野放しにしておくことは個人情報の権利利益を侵害する危険を放置することを意味しますから、標準契約というプラットフォームを提供することにより野放しにしないことになるでしょう。しかし、それだけの理由で制定公布したのだとすると、立法政策の視点から見て効率が悪いと言わざるを得ません。前述したように、このプラットフォームによって把握できる個人情報処理者はその全員になります。その一方で匿名(化)処理後の送受は該当しないという程度のことですから、個人情報保護法の下位法として同弁法でわざわざ制定するよりも匿名処理後の情報は該当しないと追記すれば十分です(そして、個人情報保護法4条は既に明記しています)。また、「敏感な個人情報」についても国家規準を既に用意しているわけですから、同規準の修正・改正を適宜おこなえば事は足ります。
データ経済という名目的なターゲットが隠れ蓑になっているのではないかと推測し考察すると、スパイ行為防止法的な意図を汲み取ることもできるでしょう。が、データ経済の発展に伴う個人情報の輸出需給の急増というターゲットが真であるとしたら、どんなビジネス上の欲求が個人情報の権利利益を脅かしそうなのでしょうか。中国において主にサービス業に従事する日系企業の方々からの声を聞いてみると実際には中国が個人情報保護法を制定する前後に確認しあったような、日本の個人情報保護法や欧州一般データ保護規則(General Data Protection Regulation(GDPR))等に基づいてすでに行われている措置でカバーできる場合も多いだろうとのことでしたから、外資企業を狙い撃ちするようなものではないと受け止められていそうです。それでは、中国国内におけるビジネスとして見るとどうでしょうか。中国国内における個人情報の取り扱いと、そこに海外とのやり取りが加わるビジネスとして考えるとき、私が真っ先に思いつくは古典的には国際養子縁組や国際結婚(のビジネス)であり、現代的には(ウルトラベイビー)出産ビジネスや製薬ビジネス、納税回避ビジネスです。これらの裏のビジネスは人身売買や背徳的行為そのものですが、その一方で莫大な利潤を生み出す可能性を秘めたビジネスであることも多言を要しません。
個人情報輸出契約弁法を制定公布したのは中華人民共和国国籍を有する中国人の個人情報がもたらすだろう将来の富を国家がみすみす放棄することはしない=それは中国国家のものであるという宣言にあったという回答は陰謀論にすぎないでしょうか。(了)
御手洗大輔氏記事バックナンバー
2022年11月09日 知財・法律 個人事業主と失業・就職難