では、本家本元のアメリカが理解している「プライバシー」が一番権威があって、エラくて、世界のスタンダードになるべきかというとまったくそうではない。プライバシーに関しては、英米法の悪いところが出ていて、概念の発展途上において、いろんな雑成分が含まれてしまっている。だって、ある法的利益が過去の判決において「プライバシーだ！」と宣明されたら、判例主義に則ってプライバシーの要素として考えることが可能だからだ。一方、憲法的な概念として成長した後の「プライバシー」を受容した他の国においては、プライバシーを自国の文脈において合理的に位置づけることができる。日本や欧州は大陸法の国だから、どんな概念でも全体の体系のなかにキチンと位置づけることが要求される。その意味で、概念に混乱が少ない。

一番スッキリしているのが欧州のプライバシー。個人の私的生活の自由、およびその自律は人格を中心に考えれば当たり前のことであり、それはプライバシーという新しい概念を用いなくても当然に基本法 (憲法)によって保護されているわけ。だから、わざわざ新しい法や権利を作らなければならないのは、プライバシーの領域の中でも、新しい時代に対応した部分だけ。それが「(個人) データ保護」。データがコンピュータやネットワークを用いて大量に処理されるようになって生じたプライバシーの危機への具体的対処が、データ保護を確実にするための法的対応であるのは実に筋が通っている。

「プライバシー / 個人情報保護」のカテゴリーに入る法は、欧州各国では、一部の例外を除いて「データ保護法」と名づけられている。その内実は、行政機関や企業が保有するオンライン / オフラインの個人に関するデータあるいは書類の取り扱いとその責任について定めるもの。アメリカのプライバシーの古典的姿が、「個人の私的領域への干渉」を排除するものだということ思い起こせば、欧州における「データ保護」をプライバシーの話とゴッチャにできないことはすぐにわかるはずだ。だって、行政機関や企業は確かに個人情報を集めているけど、不法行為に該当するような後ろ暗い方法で、理由なく情報を集めているわけではない。正当な業務の一環として集めた情報だ。それを憲法が保障する基本権に沿うように、いかに適切に取り扱うのかが主たる問題なわけ。だから、「データ保護」の問題は、データの取り扱いにかかるシステム・セキュリティの文脈で理解すべきだ。

すると、ある主体が、基本権への脅威となるようなデータを不用意に収集したり、収集したデータが漏洩した場合、それらが結果として現実に個人のプライバシーを侵害したかどうかは、個人情報保護の観点からみたときに、その主体が負うべき責任に直結する問題ではない。たとえば、行政機関や企業が個人情報を漏洩してしまった場合について考えてみる。このとき、スキなく統括されてしかるべき それら組織が、統括に失敗しているわけだから、重要なデータを取り扱う体制およびシステムの秘匿性 secrecy、統合性 integrity が不全状態に陥っていたわけだ。これ自体が大問題なわけ。だから管理責任者は責任を負い、場合によっては処罰されるだろう。とはいっても、これはシステム・セキュリティ上の問題であるから、その責任範囲はセキュリティの維持に必要な費用、保護すべき情報の重要性について、費用便益計算をおこなって合理的範囲にとどめるべきだと考える。プライバシーと個人情報保護を同一視している人たちは、得てして、

至高神聖なるプライバシーである個人情報が漏洩するとは、なんと畏れ多い！ ありとあらゆる手段を使って絶対鉄壁100%の安全性を保証できなければ、個人情報を取り扱うなど許せーん！

と考えてしまう傾向がある。情報が障壁なく流通して、それを活用することでさまざまな事柄が効率化することが期待される情報時代において、個人情報＝プライバシーの考え方が主流となるなら、個人情報を取り扱うシステムのセキュリティ維持に、禁止的に高額な費用が要求されることになるだろう。あらゆるシステムがそうであるように100%の安全性を保証することは不可能。あるいは、不可能ではないにしても、ものすごい費用がかかる。(それでシステム屋さんとか、セキュリティ・コンサルの人が潤って経済が活性化するという効果が狙われたり ... してないよね。) 自衛隊や外務省の極秘情報を収めたデータベースや、住民基本台帳データベースは、それくらいの気合でセキュリティを維持してもらわないと困るが、たとえば、電話帳の記載事項とたいして違わない民間企業の顧客データベースについて同じ安全度を要求することは、つまり「使うのやめろ」と言っているのに等しい。 もしかするとプライバシー至上主義のみなさんの狙いはそういうことなのかもしれない。

そして、個人情報が漏洩した結果、ある個人について具体的に私的領域への侵害が発生した場合には、純粋にプライバシー侵害の問題として、その侵害の原因となった主体(しばしば複数)の確定、その侵害から発生した被害の補償・救済額の評価、そして それぞれの主体間での責任配分の検討をすればいい。その救済に必要な賠償がいくら高額になってしまっても、それはそれで仕方のないことだ。こうした異常に高額な賠償リスクを負いたくなければ、個人情報を保有する(せざるえない)主体は、プライバシーに踏み込むようなデータをそもそも保有しなければいい。プライバシーに踏み込むようなデータのことを「機微な情報 sensitive information」と呼ぶ。 データを集めたければそれなりの費用を掛けて守れ、費用を掛けたくなければ集めるな。これが合理性というものだろう。

つまり私の考え方は、「個人情報保護は、個人情報を取り扱うシステムのセキュリティ維持を保護法益とするもので、究極的には人格の尊厳を保護法益とするプライバシーとは間接的な関係しかない」というものだ。ある主体(管理者)が管理する、ある人物の個人情報が漏れることは、その人のプライバシーに対して何らかの危険を増大させることだろう。このこと自体について管理者の法的責任を問うのはもっともなことだ。しかし、プライバシーの侵害については、まだ潜在的危険に留まる。つづく具体的なプライバシー侵害は、管理者とは別の人物(侵害者)によってなされると思われる。その場合、プライバシー侵害の主たる責任は侵害者が負うべきだろう。ただし、機微な情報については、その漏洩が直ちにプライバシー侵害に直結しうることに気をつけなくてはならない。

だれか他人に管理してもらう以前に、私の名前、住所、電話番号は、私自身がかなり広く公開している。それらのデータは個人情報だろうが、これらが私の知らないところで誰かから誰かに伝えられたとき、直ちにプライバシーの侵害に当たるとは、私自身は考えられない。たとえそれが、私にとって何らかの不利益をもたらすとしても、その不利益が私の私生活における自由を侵害しない限り、プライバシーが侵害されたとは考えられない。

もし、私が「それは私のプライバシーだ！」と唱えるだけで、誰かが私について語ることを禁止してしまえる世界が実現するなら、それは私検閲の世界だ。レッシグ先生が口を極めて批判している著作権制度の逸脱と同じように、過剰なプライバシーの主張は、言論表現の自由によって維持される民主制度の基盤を危うくすると私は考える。だから、「プライバシー＝自己情報コントロール権」などと気楽に主張するような人たちを批判せざるえない。確かにそのように理解できる部分はあるけど、そのスローガンが一般の人たちのプライバシーに関する理解にもたらす副作用についての配慮が必要だ。60億人の検閲官を生み出し、気が遠くなるような数の訴訟を生み出し、情報システムに莫大な費用を要求するような悪夢につながらないといえるだろうか。

ところが、法律ではちゃーんと「データ保護」という用語を用いている欧州においても、基本的な論調は、「個人情報＝プライバシー」だ＿|￣|○ 。もちろん、ある人物の些細な個人情報を組み合わせて分析することで、その人物の内心を推測するプロファイリングのような技術が現れてしまっている現代において、あらゆる個人情報がプライバシーに結びつくという議論はかなり説得的。新保先生の本でも、プライバシー権の枠内に個人情報保護が位置づけられるように書かれている。そのように考えれば、「個人情報(どんな些細なものであっても) → プライバシー」が成立してしまう。すると、私が考えるように、個人情報保護をシステム・セキュリティに位置づけて経済合理的に取り扱うことができなくなってしまう。超憲法的な人格の尊厳の価値は金銭的・経済的な計算を許さないだろうから。

こうした「個人情報＝プライバシー」の考え方は誰が始めたんだろう？ それは、本家アメリカ。本家が混乱してるんだから、どうしようもない。でも、「本家が混乱してる」と日本人の私が言ってよいのかも、よくわからない。だってプライバシーの概念について権威をもって決定できるのは、やっぱりアメリカの偉い学者なんだろうと思うから。というわけで、この論説は避けようがなく「世界の中心で俺バンザイ！と叫ぶ」になってしまうわけ。

では、アメリカにおける混乱具合を見てみよう。

まず、アメリカではすべての州ではないにしても、プライバシーの権利がコモン・ローに基礎を置いていることがだいたい承認されている。すると、先ほども書いたように、いろんな法的利益の請求の根拠としてプライバシーを持ち出すことができる。もちろん、ヘンテコな請求については良識ある裁判官は断固 NO! を突きつけるわけだが、ときとしてヘンテコな裁判官がいないとも限らない。

さて、コモン・ローに根拠を持つプライバシーは、あくまでも「私的領域・私的安寧の保護」に重点をおく。すると、日本の文脈においてはプライバシーかどうかがちょっと疑問に思えるようなものまでプライバシーに入ってくる。コモン・ローで認められてきたプライバシーの内容としては、(1) 私的に所有されている領域への侵入、(2) 外部からの私的領域への視覚的・聴覚的その他の感覚による探知、(3) 私的な事項あるいはそのように受け取られる事項の公開、(4) まったく別の文脈への肖像や発言の当てはめ、(5) 望ましくない過去の私的な記録の公開、(6) 捜査・押収・自白にかかる被疑者の憲法上の保護、(7) 私的生活領域への望ましくない表現の押し付け、等がある。(1)(2)(3)(5)なんかは、日本の文脈でもプライバシーの問題として素直に受け取ることができるだろう。でもそれ以外については、すこしズレを感じるんじゃないかな。

ちょっとわかりにくい (7) の具体例としては、ダイレクトメールや勧誘電話なんかが代表的な例。日本でも、このあたりを受け売りして「ダイレクトメールや勧誘電話はプライバシー侵害だぁ！」と言う人が多いけど、もし、それらの迷惑行為がプライバシー侵害だと教えてもらわなければ、これらを日本で一般的に理解されている「世間体を中心とするプライバシー概念」と結び付けて、不法な行為であると考える人はあまりいないのではないだろうか。もうひとつ(7)の例として、夕食後の家庭の団欒で、パパとママと子供たちがテレビを見ていたところ、突然、青少年に不適切なセクシー♥ な表現が放送されたとしよう。パパはゲフン、ゲフンと咳払いをして新聞を広げ、ママは「そうそう...」とか言いながらキッチンにケーキを取りに行き、子供たちはうつむいて「タイツ野郎」の人形をもてあそぶ...(いまどきそんな家庭があるかどうかは知らないけど、アメリカ人は家庭の価値をとても重視しているらしいので、きっとモデル家庭として存在するのだろう)。これがプライバシーの侵害だ！ という。かなり感覚が違うのがわかってもらえるだろう。

アメリカは、欧州諸国のように包括的なプライバシー法規をもたない。包括する法としてコモン・ローがあるから。とはいえ、コモン・ローでは解決しにくい個別具体的な問題が生じた場合、制定法を作ることになる。で、アメリカ最初のプライバシー法というのが最初からマズかった。と、私は思う。アメリカ人にしてみれば余計なお世話だろうけど。

まず、1966年に「情報自由法 Freedom of Information Act」が制定された。政府の公文書を原則公開とした画期的な法だ。「公文書公開法 Governmental Records Publication Act」とかにしておけば、名前と実態が一致するんだが、アメリカの議会は、キャッチーな名前を好むので「情報自由法」なんていう名前になった。ところが、公開されるとなにかと困る情報がある。そこで、「プライバシーを守るため、公文書に含まれている個人情報を開示対象から除外するのだ！」という理屈が出てきた。で、その理屈が乱用されて、情報自由法が骨抜きになるのを避けるために、政府が保有する個人情報の取り扱いに関する法が制定された。それが1974年の「プライバシー法 Privacy Act」。「個人記録保護法 Personal Records Protection Act」とかにしてくれれば良かったんだが、やっぱりキャッチーな名前が選ばれた。で、この段階で「個人情報保護」の法律に「プライバシー」とつける伝統ができてしまった。

その後は、いろんな領域で個人情報の保護が問題になるたびに泥縄式に個別の制定法が作られていく。このやり方をセクトラル方式という。対して欧州みたいに包括的にドーンと法律を作るやり方をオムニバス方式という。なんでアメリカでセクトラル方式になったのかというと、基本的にアメリカの産業側ってのは個人情報保護なんてやりたくないわけ。コストが増えるだけだから。だから、「どーしても法律作らないとマズいでしょ」という事態が生じるまで、できるだけ法律を作らせないようにする。で、作らざる得なくなると、できる限り産業側の自由が制約されないように法律を(ロビー活動で)狭く作らせる。「なんとかかんとかプライバシー法」という名前をつけてるけど、実態は例外規定だらけで個人情報使いまくり！ みたいな状況になってしまっているらしい。

このような本家の混乱の結果、本元の「プライバシー」という言葉の中身がなんだかよくわからない状況になってしまっているわけだ。だから、アメリカの文献で「プライバシー」が出てきたとき、何に対する、如何なるプライバシーなのかをよくよく考えなければいけない。だから、アメリカやら欧州やらの「プライバシー法」をひっぱってきて、そのまま日本における「プライバシー」の根拠としてみたりする議論には、一応、眉にツバをつけたほうがいい。

まして、日本における改憲論議に乗じて、憲法上の国民の権利として「プライバシー権」なんて入れてしまうと、とてもメンドウな事態の原因を作ることになると確信する。「プライバシーは日本国民の人権」「自己情報コントロール権は人権」なんて議論が始まって、先に述べたような私検閲が跋扈する口実を作ることになるだろう。これが情報時代における価値ある可能性を潰してしまうという危険を持つばかりではなく、これまでの私たちの社会を構成していた重要な要素まで潰してしまう危険をはらんでいる。人々が、自分の知っている範囲での他人の事柄を自由に語れない社会が、古典的な意味での人と人のつながりや、共同体や、政治や、文化を保全できるだろうか。

もちろん、コンピュータやネットワークが発達した情報社会において、他人の噂話や興味の標的となることの脅威や、個人情報が収集されて生じるコントロールや差別的取扱いの脅威は飛躍的に増大したといえる。だから、以前のように「人の噂も七十五日」なんてのんびり構えていられないだろう。でも、そのときに「プライバシー」というマジック・ワードに安易に頼るのは禁物だ。 情報時代において、私的領域とはどのような領域なのか、どのような方法で保全するのか、個人情報を利用して生じる利益と損失はいかなる状態にあるのか、どのように両者のバランスをとって最大の利益を享受するのか、を細かく考えていく必要がある。その点、日本の法文で「プライバシー」という言葉を用いず、あくまで「個人情報保護」という表現を用いているのは、法を設計した側の深慮がうかがわれる。せっかくの深慮を無にするような、「なんでもプライバシー主義」「プライバシー至上主義」には注意する必要がある、というのが私の主張。

なんか各方面から批判がきそうでコワいんで、謝っときます。

「プライバシーと個人情報の関係についての私の主張は、世の中の潮流に逆行しておりまして大変不遜でございます。所詮はドキュンのタワゴトとご理解くださり、ひらにお許しくださいませ。ごめんなさい。」

告知

二回にわたって「プライバシー」と「個人情報保護」の微妙な違いについて書いてきました。これでまた手持ちのネタが一つ減ってしまった... 次回は、なんにしよう... 最近、哲学者の東浩紀先生と親しくお付き合いさせていただいていて、彼との対話で気が付いたことがあるので、それを書こうかな。

もちろん、私が「気が付いた」という現象の半分以上は東先生のおかげなんで、彼がそのうち発表するだろう『情報自由論』の中身に踏み込んでしまうとは思う。けど、私のそんなにシャープじゃない頭で理解したことを、日常的な言葉でHotWiredで紹介しておくと、きっときっと、『情報自由論』の売上増大に繋がるんだろう！ というイイワケを枕にしながら、書いてしまおうか。最近それしかネタがないし。