1．同意によらず個人情報を利用すべき場面の顕在化

　個人情報保護法（以下、「個情法」という）は、個人情報の利用目的の特定、目的外利用・第三者提供への規律を中心に、本人同意による枠組みを置いてきた。しかし現在、この本人同意に基づく枠組みゆえ個人情報が利用できず、本来有用なサービスの提供や、社会活動の提供が滞るという事態が顕在化してきている。

　例えば、以下のような例がある。
(1) 防災
　人命が最優先される防災、災害対応の場面でも、自治体等が災害対応や、「平時の災害準備において個人情報等の取扱いに疑義が生じることが無いように個人情報の取扱いを明確化する指針」の整備が必要とされ、本人同意を行わずに個人情報利用できる場面が整理された[1]。とはいえ、現時点で予期されていない用途については、解釈は示されておらず、また詳細かつ技術的な解釈が示されていることから同指針Q&Aにも、多くの追記がなされているところである[2]。

(2) 医療・介護・健康
　国民の生命・身体に関わる医療・介護・健康の分野においても、自然人の治療等のための利用（一次利用）、医学研究その他の当該自然人のみを対象としない目的での利用（二次利用）とも「医療等データの利用は、多くの前向きな取組があるものの、現時点では、一次利用、二次利用とも相当程度限定的であるとの指摘がある」[3]とされている。

(3) 法人・不動産のベースレジストリ整備
　法人登記情報、不動産登記情報の利用に向けたベースレジストリの整備においても、デジタル庁のデジタル臨時行政調査会作業部会において個人情報保護法制との関係で整理ができるか、数回に渡って議論がなされた[4]。

(4) アンチマネーロンダリング・テロ対策
　2022年資金決済法改正において、預金取扱金融機関等の為替取引に関し、取引モニタリング等を共同化して実施する為替取引分析業者の許可制等を定める資金決済法の改正がなされたが、ここでもアンチマネーロンダリング・テロ対策のための取引モニタリングについても、為替取引分析業者は個別の預金取扱金融機関等からの委託の形式で個人情報を受領すると整理され、複数の金融機関の個人情報を組み合わせての分析については、個人の同意を得る必要があるとの法制が整備されている[5]。なお、同改正の議論においては、個人情報の共有を進めることについては、今後の課題であるとされている[6]。

　このように、様々な場面において理由が異なるが、情報主体（本人）からそれぞれ同意を得ることは現実的ではないことが多方面で顕在化してきている。このような事態に鑑みると、本人同意によることに意義がある場面が存在することはあるとしても、同意を求める原則を強く打ち出すことにこだわるのではなく、それに代わる新たな本人保護手法を整備しておくことが望ましいと考えられる。
　本提言では、改めて個情法の目的を確認し、本人同意の意義、個情法の位置づけを振り返りながら、社会課題の解決のために個人情報が適切に利用できる法体系の整備の必要性について議論したい。　

2．個人情報保護法の目的

　個情法は「個人の権利利益」の保護に加えて、個人情報の有用性確保も目的とする。個人情報の有用性確保に関しては、個情法の制定大綱でも、「情報通信技術の活用による大量かつ多様な個人情報の流通、蓄積、利用は、個人ニーズの事業等への的確な反映や迅速なサービス等の提供を実現し、事業活動等の面でも国民生活の面でも欠かせないものとなっている」との記述があり、平成27年個情法改正でさらに明確化されている[7]。さらに言えばGDPRにも、前文（6）、第1条1項、3項、第85条に有用性に関する条項がある。しかし、個情法にいう「個人の権利利益」保護と有用性がどのような関係にあるのかは必ずしも明確ではない。一方では、「個人の権利利益」保護が最重要の目的だという理解があるのに対し[8]、他方では、「有用性に比して本人の権利利益保護を一律に最重要として優越させるべきではなく、両者の最適な調和は個別に吟味させるべき性格の事柄」だという理解もある[9]。後者の理解を採用した場合、事業者がデータの有用性と本人の権利利益を比較衡量してビジネス決定する際、その際の指針として個情法は機能しにくい。
　また、そもそも利益衡量の片方である「権利利益」が何を意味するのかも曖昧かもしれない。個情法には制定当時から、個情法の建付けとして何をしたいのかが書かれていない。「個人の権利利益」の保護が目的となっているものの（個情法第1条）、その意味するところは「プライバシー権」でも、「自己情報コントロール権」でもない。個情法の立案担当者も、「個人の権利利益」とは、「個人情報の取扱いの態様いかんによって侵害されるおそれのある『個人の人格的、財産的な権利利益』（大綱）全般」であって、「プライバシーは〔当該権利利益の〕その主要なものであるが、それに限られない。プライバシーは、その内容、法律上の効果等は明確ではなく、これをそのまま条文に規定することは、一義的で安定した制度を整備する観点から適当でない、と指摘していた[10]。それに対して、個情法が目的外利用・第三者提供に際し、本人同意、開示等の請求等の規定を置いているという点に着目して、自己情報に対するコントロールの仕組みが実質的に導入されているとの評価も可能ではある。しかし、個情法の条文に自己情報コントロール権という文言は含まれていないのもまた事実である[11]。
　個情法がその目的を、プライバシーではなく、より広範な「個人の権利利益」の保護と掲げた点は、個人情報の不適正な取扱いによって損なわれる権利利益の範囲が、財産的利益等も含めて飛躍的に拡大し続けているという今日的状況に適合する、として積極的に評価する見解もある[12]。しかし他方で、このような広範な文言は、そこに何でも落とし込むことができてしまわないか。もしそうだとすれば、この点も個情法がデータ保護の一般法という指針として機能することを妨げている一因といえるかもしれない。

3．個人情報の取扱いにおける同意の意義

　個情法は、「高度情報通信社会において個人情報取扱事業者が個人情報を取り扱う際の必要最小限の規律と自主的な取組を支援するための基盤的制度を整備することにより、個人の権利利益の侵害を事前に防止する仕組み」を設けている[13]。すなわち、個情法は、個人情報の適正な取扱いに関するルールを定めることによって広く権利利益侵害発生を未然に防止し、ルールの実効性は委員会による監督等によって確保しようとしている。そして、個情法が個人情報の適正な取扱いに関するルールとして用意しているのが、「本人の同意」である。
　「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう[14]。個情法では、第18条1項・2項・3項2号（利用目的の制限）、第20条2項（要配慮個人情報の取得）、第27条1項（第三者提供の制限）、第28条1項・2項（外国にある第三者への提供の制限）、第31条1項（個人関連情報の第三者提供の制限等）、第69条2項（利用及び提供の制限）、第71条1項・2項（外国にある第三者への提供の制限）に登場し、そのほか金融GL、信用GL、医療介護GDといった各分野でも形を変えて登場する。
　個人情報の適正な取扱いに関するルールの中核として用意されている「本人の同意」であるが、その意義については再考が必要である。同意は、保護の手段（＝同意がない限り許されない）として理解されることが一般的である。しかし、この意味での同意は、同意をとれば何をしてもよいという意味で、本人ではなくむしろ企業を守っている側面があるようにも思われる。同意は、ある方法で情報が利用されることへの同意、言い換えると、リスクの引受け（権利放棄）の一手段として理解したほうが実態に即しているのではないか。どのように同意をとるかが議論されているのも、同意がその実質はリスクの引受けとしての意味をもっているからである。同意がリスクの引受けの一手段に過ぎないと理解すると、どのようなリスクがあってそれを誰がどうやってコントロールするか（リスクを合理化していくか）、すなわち、一定以上のリスクがあることについては後見的に規律できるのではないか、同意を補う（あるいは代替する）ものとしてプライバシーテック等その他が有効な場面があるのではないかという議論に繋げることが可能となる。「本人の同意」ではなく、リスクの合理的なコントロールこそ、個人情報の適正な取扱いに関するルールの中核とすべきである。
　ある種「同意」を絶対視しない理解は、既に諸法域でもみられるところである。例えば、GDPRはプライバシーを基本権として理解しつつ（GDPR第1条）、かといって同意のみを絶対視しているわけではない[15]。GDPRは、データ主体は十分にリスクを引き受けられる存在ではないとの理解をもっており、比例原則（「基本権たるデータ保護権」と「適切・妥当な利活用」との衡量）の結果を具体化し、利活用に伴うリスクを合理的にコントロールするというアプローチを採用している（GDPR前文（4）参照）。そして、このコントロールが合理的か否かを判断する主体は一時的には議会であり、それが失敗している場合に二次的に司法が関与するという枠組みも設けられている。また、ADPPAも、子供（17歳未満の者）の場合は明示的な同意なしにデータを第三者提供できない旨規定している。

4．個人情報保護法の位置付け

　現行の個情法は一般法という位置付けであるものの、一般的に通用する原則を明示できていない[16]。しかし、リスクの合理的なコントロールこそが、個人情報の適正な取扱いに関するルールの中核だと理解すると、個情法がやるべきことは明確になる。例えば、各事業者に対しリスクの合理化を確保するための方策を準備させ、もし通常から外れた取扱いをする場合には代わりに説明責任を負わせる、といったリスクの合理化を一般的に通用する原則として打ち出すことが考えられる。その上で、個別法やGLでは、情報や技術、産業種別や業態ごとの差異を踏まえ、業態ごとの具体化をはかっていけばよい。一般法として、ある程度何が合理的なリスク管理なのかを掲げて、個別法やGLでは業態ごとに明示的に修正させるという仕組みにより、個情法制全体として一貫した対応が可能となる。

5．小括と今後の議論への期待

　本研究所の有識者構成員での討議においても、同意に代わる汎用的かつ効果的な個人情報の適正利用に向けた規制手法が何かについて、EU及び米国を含む諸外国でも決定的な手法の開発には至っていないとの認識に至っている。リスクベース・アプローチ、出口規制の強化、監督機関の権限強化その他考えうる手法は、現実の海外の法整備でも試されているが、未だ定説はないものと考えられる。
　一方で、冒頭1で述べたように、個人情報の利用が必要であり、なかりせば社会課題が解決できないことが明らかな場面も増えてきていることもまた明確である。本提言においては、日本国における個情法が3年見直しを開始するタイミングを捉えて、まずは抜本的な本人保護制度の見直しに向けた議論の必要性を論じたものである。来年以降も機会を見つけて、このテーマについては本研究所でも討議を行い、個別分野・領域におけるあり方となる場合も含め、あるべき規制手法について、より具体的な方策を検討することも念頭におきつつ、継続して検討していきたい。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

[1] 内閣府防災「防災分野における個⼈情報の取扱いに関する指針」（2023年3月）https://www.bousai.go.jp/taisaku/kojinjyouho/pdf/shishin.pdf
[2] 内閣府「防災分野における個人情報の取扱に関する指針」関連ホームページ（https://www.bousai.go.jp/taisaku/kojinjyouho/shishin.html）参照
[3] 内閣府規制改革推進会議意見書「医療等データの利活用法制等の整備について」（2023年6月1日）（https://www8.cao.go.jp/kisei-kaikaku/kisei/publication/opinion/230601_general16_02.pdf ）3頁参照。
[4] デジタル臨時行政調査会作業部会第17回（2022年12月7日）から第24回（2023年9月20日）（https://www.digital.go.jp/councils/administrative-research-wg）及び同部会の後継会議体であるデジタル関係制度改革検討会（第1回）（2023年11月22日）（https://www.digital.go.jp/councils/digital-system-reform/4502f325-1144-466d-847c-72ec3890645e）を参照されたいが、会議により個人情報保護委員会も参加して討議が行われた。
[5] 2022年改正資金決済法63条の23以下参照。
[6] 金融庁金融審議会資金決済ワーキング・グループ報告（2022年1月11日）（https://www.fsa.go.jp/singi/singi_kinyu/tosin/20220111/houkoku.pdf）11頁及び12頁にて課題が整理されているが、特に注記40においては、「個人情報保護に配慮しつつ、AML/CFT の高度化を図る観点から、銀行等の間で共有することが必要と考えられる個人情報を特定した上で、こうした個人情報を共同機関を利用する銀行等の間で共有するための法的な枠組みについて、引き続き検討することが考えられるのではないかとの指摘があった。」と指摘されている。
[7] 立案担当者によれば、平成27年改正の文言追加は改正前の「個人情報の有用性」という文言の具体例を明示したものにすぎず、改正前の目的を変更するものではない（瓜生和久編著『一問一答平成27年改正個人情報保護法』（商事法務、2015年）９頁）。
[8] 宇賀克也『新・個人情報保護法の逐条解説』（有斐閣、2021年）48頁。
[9] 岡村久道『個人情報保護法〔第４版〕』（商事法務、2022年）60頁。
[10] 園部逸夫編『個人情報保護法の解説』（ぎょうせい、2003年）43-44頁。
旧行個法制定時の旧総務庁の説明は、法律上でプライバシーと明記しなかった理由について、①同法の保護法益はプライバシー全般を法律上の具体的権利として設定しようとする趣旨ではないこと、②プライバシーの中には実社会におけるのぞき見など個人情報の電子計算処理とは無関係なものもあり、それは民法上の不法行為など別の法制度の問題であること、③プライバシーの対象は多様かつ相対的で統一的な定義付けが困難であり抽象的かつ多義的な概念なので、単独の法律での保護は理論上も実際上も不可能であり、法律で一律的に保護を付与しようとしても、きわめて抽象的・一般的な規定とならざるを得ず、結局は個別具体的な権利利益・規制により内容が定まること、④個人情報の取扱いに伴う権利利益保護には抽象的・一般的な権利の設定は不要であること等（総務庁行政管理局『逐条解説個人情報保護法』（第一法規、1991年）42頁）であった。個情法制定時の国会審議では前記③等が政府見解として強調されている。なお、平成27年個情法改正にかかる国会審議では、制定当時よりもプライバシーという言葉が重視されているようには見受けられるものの、旧行個法、個情法制定時の政府見解は基本的に維持されているといってよい（参院内委会議録平成27年５月26日（第９号）山口俊一国務大臣答弁）。
[11] 個情法制定にかかる国会審議時の政府の説明として、①自己情報コントロール権の概念が確立しておらず不明確であること、②諸外国の法文上も自己情報コントロール権という文言を規定している例がないこと、③自己に関連する情報全てをコントロールしうる権利として認めると、誤解・誇張のおそれがあり、表現の自由等との調整原理に抵触しうること、④本人関与の規定を具体的に盛り込んでいるので問題はないこと等が指摘されている（衆院特別委会議録平成15年４月14日（第２号）・同月15日（第３号）細田博丈国務大臣答弁、政府参考人・藤井昭夫内閣官房内閣審議官説明）。
[12] 岡村・前掲注（3）56頁。
[13] 情報通信技術（IT）戦略本部個人情報保護法制化専門委員会「個人情報保護基本法制に関する大綱」（2000年10月11日）20頁。
[14] 個人情報の保護に関する法律についてのガイドライン（通則編）2-16。
[15] GDPRにおいて認められる処理のための法的根拠としては、①データ主体による同意、②契約の履行にとって必要な場合、③法的義務の遂行にとって必要な場合、④データ主体または他の自然人の重要な利益を保護するために必要な場合、⑤公共の利益または公務の行使において実施される人の遂行に必要な場合、⑥管理者または第三者の正当の利益の目的にとって必要な場合（⑴管理者の正当な利益、⑵データ主体への影響、⑶暫定的な衡量、⑷データ主体への過度な影響を防止するための管理者による追加的措置）が挙げられている（GDPR第６条１項）。
[16] 立案当初は、民間部門における個人情報保護の一般法に対して消極的な立場、すなわちアメリカのように個別法において、個人情報保護のための具体的措置の整備を図っていくセクトラル方式が想定されていた（個人情報保護検討部会中間報告には、「民間における個人情報の利用の形態やその程度は分野によって多様であるので、個別法による公的関与や民間における自主規制など、個別分野ごとの利用の特性に応じた保護を図っていく手法の利点を十分に生かしていくことが不可欠」との記述がある）。しかし、その後に制定された個情法は、民間部門の個人情報保護の一般法（令和３年改正により、およそ個人情報保護の一般法）としての性格をもつこととなった（制定大綱には、「本大綱では、個人情報の適正な取扱いの基本となる原則を確立し、個人情報を取り扱う者の自主的な努力を促すとともに、政府の総合的な施策の展開にあたっての枠組みを明確にすることとしている。加えて、主に情報通信技術を活用し個人情報を事業の用に供している一定の事業者に対する必要最小限の規律を設け、第一義的に事業者に対して自ら個人情報の適切な保護を行うことを求めるとともに、個人情報の本人による一定の関与と主務大臣の指示等によるチェックの仕組みを設けることとしている」との記述がある）。このため、個情法では十分に対応しえない場合や、個情法を適用することが適切でない場合に個別法が要請されるようになった。