ポイントカード最大手・カルチュア・コンビニエンス・クラブ(CCC)が、運営する「Tカード」の会員情報を裁判所の令状なしに捜査当局へ提供していた問題。他のポイント事業者も同様に「捜査関係事項照会書」だけで利用者の情報を提供していたことが報道されるなど、問題は拡大した。そうした中、警察の捜査に監視の目が行き届かず、提供された個人情報がどのように扱われているのかわからないといった懸念も指摘されている。
もし、自分の個人情報がCCCのような企業から警察に提供された場合、誰に、どのように苦情申し立てをすることが可能なのだろうか。 実は、EU市民に限っては、個人情報保護委員会を通じて、ワンストップで日本の都道府県警察等へ苦情申し立てができる制度がある。
しかし、日本国民にはこのような申し立ての制度は整備されていない。都道府県警察や、都道府県警察を監視する立場である都道府県公安委員会への苦情申し立て制度はあるものの、一般の市民が個人情報の取扱いに関して、これらの苦情窓口を利用するということに思い至るのは難しいだろう。他方、EU市民は、個人情報保護委員会にさえ苦情申し立てすれば自動的に都道府県警察等への苦情申し立てができる。
なぜ、EU市民と日本国民の間で、このような「差別」が生まれてしまったのだろうか。(弁護士ドットコムニュース編集部・猪谷千香)
●個人情報保護委員会は英語版のみで制度を説明
EUは、国際的に見ても高い水準の個人情報保護に関係する法律を定めている。その上で、グローバルな経済活動などを円滑に行うため、EUと実質的に同等の保護水準を保っているといえる国・地域に対しては、パーソナルデータの域外移転を認める制度を設けている。欧州一般データ保護規則(GDPR)に基づく「十分性認定」と呼ばれるもので、日本は2019年1月に認定を受けた。
しかし、認定は出したものの、欧州データ保護会議(EDPB、EU各国のデータ保護機関の合議体であり、欧州連合の機関の一つ)は、日本に対していくつもの懸念を示してきた。その一つが、警察など公的機関による個人データへのアクセスの適正性だ。捜査押収、通信傍受、捜査関係事項照会などにおける対象者の情報の取扱いについて、令状発行の基準や人権への影響をできるだけ抑制する体制や制度が確認できないとしている。
そこで、日本ではEUから移転した個人データに限って(ただし、根拠は十分性認定に限定されないようである)、個人情報保護委員会が窓口となり、都道府県警察などに対して苦情を申し立て、適正な取扱いを求めることのできる制度がつくられた。ところが、こうした制度があることを説明した個人情報保護委員会の日本語ページは存在せず、英語版で説明されているのみで、EU市民と日本国民との「格差」が生じている。
●「EUでは、データ保護機関が監督し、市民からの苦情申出についても対応」
では、 なぜ、このような「格差」が生じてしまったのだろうか。個人情報保護法に詳しい板倉陽一郎弁護士は次のように説明する。
「そもそも個人情報保護委員会は、公的機関(国の行政機関、独立行政法人等及び地方公共団体等。警察も含まれる)における一般の個人情報の所管を有していませんので、個人情報保護委員会に公的機関に関する苦情の窓口がないのはそれほど不思議なことではありません。
その一方で、EUでは、データ保護機関が公的機関、民間部門を問わず監督を行っており、市民からの苦情申出についても対応していることが一般的です。EUから十分性認定を得るにあたって、日本は、十分性認定文書の『別紙(ANNEX)2』で、欧州から移転を受けた個人データについて、日本の公的機関に収集・利用されるとき、適用される法令に違反していると考えられる場合には、個人情報保護委員会に、自分で、または欧州のデータ保護機関を通じて苦情を申し立てることができるとしました。
これは、刑事法の執行と安全保障の目的で、日本の公的機関が事業者の個人データにアクセスする場合の制度を説明している『別紙2』では唯一、個人情報保護委員会が新しい取り組みを行うことを約束しているものです。
このような約束をした背景までは『別紙2』では記載されていませんが、先ほど説明したように、個人情報保護委員会は公的機関における一般の個人情報について所管を有していないものの、少なくとも苦情処理については公的機関に関しても対応できるということを約束することで、欧州の制度との差異を減じようとしたのではないかと思います」
●EUの十分性認定は2年後に見直し、取り消されないためには?
では、日本の個人が企業に対して、自分の情報が警察などの公的機関に提供されたかどうかを知ったり、適正な取扱いを求めたりする方法はあるのだろうか。
「個人情報保護法25条は第三者提供についての記録の作成を義務付けていますが、警察などへの公的機関への提供が法令に基づく場合は例外にあたり、記録の作成は義務ではありません。
しかし、公的機関への提供に際してあえて何の記録も残さないということは考え難く、提供の記録が保有個人データに該当する場合は開示請求を行うことができます。そうでなくとも、個人情報取扱事業者には一般的な苦情処理の努力義務はあります(個人情報保護法35条)」と板倉弁護士は説明する。
また、EUの十分性認定は、2年後の見直しが予定されている。
認定の交渉で、日本側が「日本企業は顧客データを守る意識が高いため、捜査関係事項照会に応えることは少ない」と説明していたにも関わらず、CCCの件で民間から日常的にデータ提供が行われている実態が明らかになった。十分性認定を取り消されないためには、日本(政府や企業など)は今後どうすべきだろうか。
「EDPBからの意見書にも何度も出てきますが、公益的な目的で、一般的な個人情報保護法の例外を設けるとしても、その公益と比例的な範囲でなされなければなりません。
現状の捜査関係事項照会の運用は裁判所のチェックもなく、事後的に件数等が公表されるわけでもなく、透明性が全くありませんので、公益と比例的であるかどうかの判断ができません。都道府県公安委員会は情報の専門家ではなく、個人データの取扱いを加味した監督ができるとは到底思えません。
冒頭の、EUから移転した個人データに限って個人情報保護委員会への苦情申し立てができるという制度も、結局、個人情報保護委員会が公的部門に対する監視監督権限を有さないという歪な現状から来ています。まずは法改正をして、個人情報保護委員会の監督権限を公的部門に直ちに広げるべきでしょう。
企業としては、捜査関係事項照会への対応は法令に基づく提供ですので、原則としては違法にならないわけですが、個人情報保護法上、法令に基づく提供だとしても、どのような場合でもプライバシー侵害等で民事上違法にならないわけではありません。
個別の事業者としては、形式的に捜査関係事項照会であるからといって機械的に情報を提供するのではなく、対応の基準やフローを構築しておくべきでしょうし、対応件数が多い事業者は、一部の事業者がやっているように、『透明性レポート』という形で、対応件数やその内容を一定の期間毎に公表するという取り組みも有効でしょう。個別の事業者で検討することが難しいということでしたら、業界団体等で検討しても良いかもしれません」