データ消去やポータビリティをめぐる「情報は誰のものか」
広義の「情報」に関する法的扱いを議論する際には、データ・情報・知識という3分法が有効です。ここでデータとはシャノン流に「意味を捨象した生データ」のことで、これに解釈を加えるとウィーナー的な「情報」に変り、それが広く共有されると「知識」となり、これら三者を含めて「広義の情報」と呼ぶのが一般的かと思います。
そこで「(広義の)情報は誰のものか」という議論をするには、最も単純な「生データ」の側面から見るのが、第一歩ということになります(これも、レイヤ構造的発想です)。その意味で、データ保護に熱心なEUが個人に「データ消去」や「データ・ポータビリティ」という権利を生み出したことは、重要な手掛かりになるでしょう。
・GDPRにおけるデータ消去の権利
かねてから「個人データ」(わが国のように「個人情報」といった曖昧な言葉は使いません。「情報」だと、人によって解釈が違ってくるからです)の保護に熱心なEUでは、2018年5月からGDPR(General Data Protection Regulation)が施行されました(data protectionであって、information protectionでないことを確認してください)。regulationは、加盟国がそれぞれに国内法を整備するための指針となるdirectiveとは違って、EUの定めがそのまま国内にも効力を及ぼすので、規範力が強まったことになります。
新しいregulationでは、個人データ取得には「目的を明示した同意」が必要になること等は従前と同じですが、データ漏えいに関しては72時間以内に監督官庁に届け出ること、違反企業には最大で全世界の売上高の4%か、2千万ユーロ(約26億円)のいずれかが科されるという、事業者に厳しい内容になっています。しかし事業者規制と同時に、データ消去やポータビリティという「個人の権利」にも、新しい仕組みが導入されました。
「忘れられる権利」とした話題になった「データ消去権」は、GDPRの17条1項に、right to erasureとして以下のように規定されています。
The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies: (以下の要件に関する部分は省略)
ここでdata subject(データ主体)とは、あるデータが指し示すと思われる者(自然人)を、controller(データ管理者)とは、当該データを管理している者を意味します。「忘れられる権利」(right to be forgotten)という語はカッコ書きのサブタイトルとして登場しますが、条文そのものには出てきません。それには激しい論争があったようですが、「忘れよ」と自然人に命ずれば「内心の自由」を侵すことになるし、キャッシュやログに保存されたものまで消去することは技術的にも不可能なので、当然のことかと思います。因みにright to erasureは「削除権」や「抹消権」といった訳もあり得ますが、実際は削除せず、単に検索エンジンで表示されないようにするのが精一杯かと思いますので、ここでは「消去権」としました。
・データ・ポータビリティの権利
一方、データ・ポータビリティに関するGDPRの20条1項は、以下のように定めています。なお第2項によって、技術的に可能であれば、事業者間で直接受け渡しするよう求めることもできます。
The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:(以下の要件に関する部分は省略)
これらの規定を受けて第29条作業部会(European Data Protection Board=EDPB発足前の準備部会)が作成したガイドラインでは、対象となる個人データの範囲は、次のようにコメントされています。
1) personal data concerning the data subjectの規定により、匿名データやデータ主体に関係がないものは対象にならない(ただし、データ主体に紐づけることが可能な仮名化データは対象になる)。
2) data provided by the data subjectの規定により、データ主体が意識しかつ積極的に提供するものが典型例だが、データ主体の行動を観察して得られる行動履歴(検索履歴、音楽の再生回数等)も含まれる。
3) 20条4項の規定により、データ・ポータビリティの権利は、他人の権利や自由に不利な影響を与えてはならない。
これらの規定から、ある特定のサービスに利用されている個人データに関して、データ主体がデータ管理者に対して、当該データの開示を請求できる(ここまでなら、わが国も同じです)だけでなく、丸ごと他の者に移転するよう指示する権利があることになります。携帯電話の場合のローミングはこれを自動的に行なっている訳ですが、利用者の意思でキャリアを変える際、番号を変更することもなく、加入者データやアプリなども移転請求できると考えれば、分かり易いでしょう。
・ガイドラインでも分かりにくいケース
しかし、データの範囲を正確に規定するのは容易ではありません。前述のガイドラインには第3コメントの「他人の権利や自由に不利な影響を与えてはならない」の判断に関して、以下のような例が載っています。
① ウェブ・メールの場合、データ主体の接触先・友人・親戚、更に広い交流関係が生み出されるので、データ主体の要求があれば、データ管理者は発信および受信メールのディレクトリ全体を移転するのが妥当である。
② 同様に、データ主体の銀行口座には自身のデータだけでなく、送金先の個人のデータなども含まれるが、データ主体の要求でこれらの情報を全部移転しても(連絡先やデータ主体の履歴が本人によって利用される限り)、他人の権利や自由に不利な影響を与える可能性は低いので、全部移転しても良い。
③ 他方、データ管理者がデータ主体の連絡先アドレスにある他の個人のデータをマーケティングに使うなどすれば、第三者の権利と自由が尊重されていないことになる。
ここまでは常識的に理解できますが、次の例はどうでしょうか?
④ データ管理者は、データ主体が他のデータ管理者へのデータの移転を希望するような場合に備えて、移転を容易にするための同意メカニズムを用意すべきである。こうした先駆的試みはソーシャル・ネットワーク・サービスなどで生じようが、最終的な決定権はデータ管理者にある。
最後の ④ までくると、EUが「データ流通を促進するため」にこの制度を設けたという説明が、建前としては理解できるものの、結局建前だけに終わってしまうのではないかという懸念が生じます。なぜなら資本主義を標榜する限り、EUといえどもデータ管理者に移転を強制することはできないからです。この点を突き詰めていくと、アメリカのように発想の違う国や、さらには中国など国の成り立ちが違う場合に、どのような問題が生ずるかを検討しなければなりません。しかし、このテーマは大きいので、次回にまとめて議論することにしましょう。
・情報財は占有できない
その代り、ここでは次の点を明確にしておきましょう。EUの「データ消去権」や「ポータビリティ権」は、個人の権利を拡張することによって、「自分の情報は自分でコントロールしたい」という要請に、ある程度応えたものであることは間違いありません。しかし、その実効性、つまり厳密な法学的な意味での「権利」としてどの程度有効であるかは、未知数と言わざるを得ないと思われることです。それはEUの努力不足を意味しません。むしろ「広義の情報」の不確定性に由来することで、未だ人類は情報にふさわしい法制度を見出していないということに尽きると思います。
情報財を経済学の視点から見れば、私的財となる要素と公共財的な要素が混在しており、これを法学の文脈で言い直すと、「情報財は占有できない」ことになるからです。特許として国家の審査を受けている情報財は、「請求項」(クレイム)の範囲で私的財となり得ますが、所有権と同じ強度の排他性は生じません。同じ情報を営業秘密として守っている場合に、有体物に関する所有権に準じて「占有訴権」(民法198条~200条)で守ることはできません。不正競争防止法の助けを借りることはできますが、「秘密として管理している」こと等が求められます。また情報の流通は不可逆的ですので、有体物の窃盗のように取り戻すわけにいきません。
これらの教訓をデータ消去やポータビリティに移し替えれば、これが「自己情報コントロール権」を認めた画期的な規定だという見方は、早計に過ぎるように思えます。ドイツの憲法裁判で認められた「情報自己決定権」や、アメリカ発でわが国でも信奉者が多い「自己情報コントロール権」は、概念自体は検討に価しますが、技術的な裏付けがないと「空論」に終わってしまう恐れがあります。「(広義の)情報を管理する」ことは意外に難しいので、理論より前に、技術的な実装を検討するのが地道な方法でしょう。