林「情報法」(30)

データ削除やポータビリティを世界戦略として見る

 前回紹介したデータ削除やポータビリティといった仕組みを、世界戦略の面から再点検してみましょう。EU域内では、GAFAと総称される米国企業群が寡占を享受していますが、これらの企業がEU国民の利用者情報を自由に利用していることに、EU諸国がプライバシーと産業政策の両面で懸念や苛立ちを感じていることは、ほぼ間違いないでしょう。自己情報の開示や訂正だけではなくポータビリティまで認めるのは、「何としてもアメリカの情報支配から脱したい」という気持ちの表れと考えられます。しかし、そのような図式に中国を加えると、全く違った風景が見えてきます。この3極構造に、わが国はどう対応すべきでしょうか。

・アメリカにおける「第三者法理」

 Facebook、Amazon、Apple、Netflix、GoogleなどGAFAやFAANGと総称されるOTT(Over-The-Top。通信ネットワークなどのインフラを所与として、その上にプラットフォーム的なサービスを展開する)企業群は、第一義的には企業設立の基礎である米国法の下で、グローバルにビジネスを展開しています。

 アメリカ企業は、「市場は自由であるべき」「コンピュータ関連産業は(IBMや旧AT&Tに対する独占問題を除き)一度も政府規制に服したことがなく、それ故に成長できた」と信じて疑いません。そのため「情報の自由な流通」を最大限尊重し、利用者が自ら進んでOTTに提供したデータは、「プライバシーの合理的期待」の枠外にあると考えてきました。これを「第三者法理」(Third Part Doctrine)と言いますが、この概念の発展には、不思議なことに第24回で紹介したKatz判決が寄与しています。

 Katz判決は、憲法補正4条の「不合理な捜査・押収」は「物理的な侵入」が対象だという理解を超えて、「通信の秘密」のような無体のものの場合にはreasonable expectation of privacyが保護対象になるという新しい解釈を打ち出したことで、画期的と評価されています。ところが、その同じ判決が「個人がサービス提供者などの第三者に任意に提供したデータには、プライバシーの合理的期待は及ばない」という制約を付したのです。

「第三者法理」はKatz判決(1967年)より前に、「おとり捜査」で犯人が告白した情報が証拠能力を有するかという議論から派生し、いずれも最高裁の判決であるOn Lee事件(1952年)、Lopez事件(1963年)、Lewis事件(1966年)、Hoffa事件(同年)などで、補正4条の保護は及ばないから、証拠として採用し得るとされてきました。そしてKatz事件から4年後のWhite事件の最高裁判決(1971年)で、改めて「① 自己に関する情報を他人とシェアしようとする者は当該情報にプライバシーを期待しえない、② 同人は当該情報が政府に手交されるリスクを負うべきである」と定式化されました。

 個人の権利、とりわけ「言論の自由」にうるさい米国で、このような法理があるのは不思議に思われるかもしれません。しかし「合意」を重視する契約法の理念(口約束では証拠力が弱いので文書化するのが一般的、給付と反対給付のバランスであるconsiderationが重視される)や、homo economicsを前提にした経済学(誰もが合理的な意思決定ができると想定されているので、契約の拘束力が強い)など、アメリカ的な価値観に貫かれたもの、つまり「純粋資本主義」の発想であると理解すれば、納得がいくでしょう。

 あるいは、著作権に人格権的要素を入れず、専ら経済関係として処理しようとする伝統と、整合的だという理解も成り立ちます。米国は1989年にベルヌ条約に加盟したので、もはや「わが国には著作者人格権はない」と主張することはできませんが、実際は映像作品などに関して著作権ではなく商標法や不正競争防止法等で守られることも多く、これらの諸法はすべて「無体財産権である」と割り切っているようにも見えます。

 こうした考えを個人データに拡大して、第三者法理を当然のこととする米国籍のOTTは、サービス開始時に提供を受けた利用者の属性データはもちろん、日々の取引から発生する膨大なデータもマーケティングに活用し、市場を席巻しています。いち早くデジタル化の利点を理解し、「データ中心の経済」(Data Centric Economy)の時代が来ると読んだ先見性は見事ですが、その陰に「第三者法理」が有効に作用してきたことも、また事実かと思います。

・人権重視のEUのアプローチ

 このように市場原理を中心に形成された米国型に対して、EUは度重なる域内諸国間の抗争、特にナチズムの悲惨な経験を繰り返さないことを主眼に構築された、地域的集団安全保障システムです。ですから、ユダヤ人が大量殺害された過去を持つドイツでは国勢調査が憲法違反とされ、他の加盟国でも人種差別につながりかねないプライバシーの侵害には敏感です。経済システムとしては、米国と同じ資本主義でありながら、「修正資本主義」か「第3の道」を歩んでおり、政府が特定の企業を支援したり介入したりするのは「例外だがあり得る」ことと捉えています。

 日産のゴーン事件(これについては、次回以降取り上げる予定です)で、ルノーの最大の出資者がフランス政府だったことに驚いた方もあったと思いますが、EUの主要国は何らかの形で産業の国有化を経験しています。つまり、現代の常識では「資本主義」と「社会主義」は対立項と捉えるのが普通ですが、第2次大戦後の一時期は、アメリカ以外の資本主義国がほとんど「第3の道」を選ぼうとしていたことも事実なのです。

 このようにEU型は経済の分野では柔軟ですが、その反面でフランス革命以来の伝統を継承し、基本的人権を最大限に尊重しているように見えます。アメリカ型も人権を重視する点でhuman rights に無関心ではありませんが、EUがfundamental rightsとして条約化し、強調する姿勢には同調していません。つまり人権の尊重にも、他の法益との比較衡量が働くと考えています。

 とりわけ米国は、事案が国家安全保障に関する限り、軍事力と経済力を総動員して、国際関係を自国優位に導こうとする意欲と能力が強い国です。サイバーセキュリティの分野でも、オバマ大統領の時代にこの方針が明確化され、2015年秋のオバマ=習近平会談で「国家は民間企業へのサイバー攻撃を実施せず・支援せず」を約束させました。

・中国のサイバー戦略

 こうした西欧の「情報の自由な流通」を第一義とする政策に対して、中国はインターネットによるグローバル経済よりも国家主権が優越するとして、折角のグローバル・ネットワークを国境で分断し「自国内最適化」を目指してきました。具体的には、反スパイ法(2014 年)、国家安全法(2015 年)、反テロリズム法(2015年)、国外 NGO 国内活動管理法(2016 年)、サイバーセキュリティ法(2016 年)、国家情報法(2017年)など、立て続きに関連法を制定し、国家による情報管理を強めてきました。

 これは一面では、国際社会での地位が高まるにつれて、政府の活動に法的根拠を与えようとする動きとして、歓迎すべきことかもしれません。事実、法律の条文に書いてあることだけを見れば、「アメリカもやっていることだけ」という中国側の弁明も成り立ち得ます。アメリカは民主主義国家のチャンピオンを自認しながら、スノーデン事件のような事態が起きたわけですから。

 しかし、国民の投票で選ばれた組織が決定することよりも、共産党の決定が上位にあるという政治体制が、世界で受け入れられる余地はありません。現にインターネットの世界で起きていることは、国内と国際通信を遮断する国家ファイヤウォールを設け、外国製品にはソース・コードの開示を求め、data localization(国民のデータを国外に置かない)を求め、やがてはほぼすべてのハードとソフトを内製することで、セキュリティ・リスクを極小化しようとしており、一種の「インターネット鎖国」です。

 ここで、セキュリティ・リスクを極小化する狙いは、国民の安全と安心を確保することではなく、共産党支配を強化することですから、Orwellの『1984年』が35年遅れで実現しつつあるかのようです。しかもヒトラーやスターリンの時代と違って情報技術は驚くべき進歩を遂げていますから、北京の公道を歩く人々のデータと顔認証システムを結びつけて、個人の「お行儀の良さ」を「格付け」するのではないかと懸念されています。

・わが国の進むべき道

 こうした動きに対して、西欧先進国は一体となって方向転換を促す必要があります。トランプ政権は、他の分野では「オバマ否定」を貫いていますが、さすがに国益に直結するサイバーの分野では前政権の仕組みを踏襲し、その上に貿易交渉まで動員した「対中対決姿勢」を明確にしています。ファーウェイやZTEの製品にバック・ドアが仕組まれているとか、大量の知的財産などの窃取に使われたなどの批判の末、イラン制裁に反する行動があったとしてファーウェイ社副会長兼CFOの孟晩舟氏の逮捕状を用意し、同氏がカナダで逮捕される事態になっています(現時点では、アメリカへの送還は未決)。同時に、同盟国に対して、同社製品を使わないよう協力要請をしています。

 わが国としては、「情報の自由な流通」という西欧が普遍的と考える価値を共有しない国家とは一線を画すしかないので、アメリカの要請に応えるべきでしょう。人権アプローチを採るEU諸国も、この点に関する限り異論はないと思いますが、EUに追随して個人の権利を強調しすぎる(わが国におけるGDPR=General Data Protection Regulation盲信には、この危険があります)と、ナショナル・セキュリティから目をそらす恐れがあることにも注意が必要です。