Bulletin of Data Analysis of Japanese Classification Society
Online ISSN : 2434-3382
Print ISSN : 2186-4195
Article
Laws and Regulations for Academic Research and Policy-Making Based on Social Data
Ryozo YoshinoYasuhiro TanakaNoriaki KoideYusuke InagakiKiyohisa ShibaiTadahiko Maeda
Author information
Keywords: cross-national survey, ethics, public opinion poll, social big data, social survey, general data protection regulation (GDPR), law and regulation
JOURNAL FREE ACCESS FULL-TEXT HTML

2019 Volume 8 Issue 1 Pages 3-24

Details
Download PDF (869K)
Download citation RIS

(compatible with EndNote, Reference Manager, ProCite, RefWorks)

BIB TEX

(compatible with BibDesk, LaTeX)

Text
How to download citation
Contact us
要 旨

公開データ利用促進の任務を担う情報・システム研究機構データサイエンス共同利用基盤施設のプロジェクトの一部として,2018 年3 月13 日「第2 回人間・社会データ構造化シンポジウム」が開催された.特に,社会調査データの公開における個人情報保護等の法的規制と倫理的指針について,同施設の社会データ構造化センターの法律アドバイザーである牧野二郎弁護士により,一般公開の特別講義が行われた.講演に先立ち,同センターの研究者たちとの協議を経て,牧野総合法律事務所により講演資料が用意された.本稿は,筆者らがその資料を改稿し,シンポジウムでの討議や,2018 年5 月よりEU で施行されているGeneral Data Protection Regulation(一般データ保護規則)など関連資料やその後の推移の確認などを含め,官民学の社会調査関係者向けに概説したものである.

現実の法律の執行は,各研究者の解釈や意図とは必ずしも完全には一致しないこともあり得るが,本稿は実証的データに基づく人文社会科学の発展や政策立案を促進するための参考としてまとめた.

Abstract

As a project of ROIS promoting the use of open data, a special lecture was given by the legal adiviser Mr. Jiro Makino at the 2nd open public symposium of Center for Social Data Restructuring of the ROIS on the 13th of March 2018. This lecture focused on legal regulations and ethical guidelines related to personal information protection for promoting the use of social survey data and social big data. Prior to the lecture, lecture materials were prepared by the attorney’s office and the researchers of Center for Social Data Structuring.

In this paper, from a viewpoint of social survey researchers, based on the materials prepared for the lecture, the present authors summarze the points of the legulations and ethical guidlines, including some information of developments after the symposium. This shows mainly the current situations in Japan, but it also touches possible influence on general academic research of the General Data Protection Regulation (GDPR) enforced in Europe from May 2018.

Although actual law enforcement may not be completely consistent with interpretations of researchers, this paper is intended as a reference for us to develop humanities, social science and policy-making based on empirical social dataer the symposium.

1. ソーシャル・ビッグデータ

ソーシャル・ビッグデータとは,SNS上で行き交う情報を収集し産業振興や学術的利用等に供するものをさす場合が多い.従来の統計的標本無作為抽出法による社会調査データとは別に,広範な領域でソーシャル・ビッグデータの活用が期待されている.他方で,社会的にも統計学的にも適正で信頼できる形でソーシャル・ビッグデータを利用するのには,技術的側面のみならず,個人情報保護に関する法的問題等を含め課題も多い.

本稿の主目的は,筆者らが所属するデータサイエンス(DS)共同利用基盤施設・社会データ構造化センターの任務として,社会調査データやソーシャル・ビッグデータの公開利用促進をはかる際に注意すべき法的規制や倫理指針を広く社会で共有するための参考資料を提供することである.

2016年の英国EU離脱国民投票や米国大統領選挙の事前予測調査の失敗は,世論調査の信頼性を損なわせた(Sturgis, 2017).しかし,その後Cambridge Analytica(CAと略)社が人々のFacebook利用情報等を利用して世論操作ともいうべき「選挙活動」を行ったことが浮かび上がってきた(Motherboard, 2017).例えば「共和党支持」で「まだ投票を決めていない人」「他者からの説得に反発しない人」をピンポイントで特定しトランプへの投票を促し,他方,クリントン支持者の多いアフリカ系が投票を控えるような情報を流したという.ロシアとの関係にも疑念がもたれ,CA社に情報やデータを提供したFacebook社にも捜査の手が及び,米国議会での喚問も行われた.

戦前,米大統領選挙でリテラシーダイジェストの大量データよりもGallup社の小規模な統計的標本調査の方が信頼性があることを確認し,民主主義の基盤である「科学的世論調査」が確立された(総務省, 2010).日本では戦後民主主義の基盤として,日本の事情に即して実践的でなおかつ厳密な世論調査の手法が確立された(稲葉・吉野, 2016; 吉野,2011a, 2011b, 2018).しかし, 今,ビッグデータが民主主義を壊そうとしているのか(吉野, 2017b).

確かに,ウェブサイトの閲覧や購買の履歴情報の積み重ねで,その人の政治傾向,宗教,性的嗜好等々が特定され得るビッグデータの時代となっている.1つ1つは機微な情報でなくとも,それらが積み重ねられると本人以上に本人を知る情報となり,従来の心理学的研究方法などを乗り越えて,大量の個人の特性や住所をピンポイントで特定し直接にプロパガンダを働きかけることが,少なくとも「技術的」には可能となっている(Stephens-Davidowitz, 2017).

また,Wi-Fiや携帯電話のGPS情報収集でパーソントリップ(人の移動)の軌跡が量的にも把握でき,平時の人々の交通,観光客の移動,災害時の人々や自動車の移動等の情報について社会的な活用もなされ始めている(政府や地方自治体等の公的ミクロデータ活用については,中村[2017]参照).携帯電話番号からは地域特定ができないので,地方選挙では携帯電話によるサンプリング調査は,予測には使えないとされている.しかし,もしGPS情報などと絡められると,各個人の居住地は勿論,勤務場所,勤務体系,通勤中の寄り道場所すら推定するのが容易となる.万一,調査会社の調査員のGPSが追跡されれば,誰に面接調査したか,またその情報と匿名化された個票レベルのデータを連結させれば,誰が何と回答したか特定も可能であろう.現在のところ,匿名加工された世論調査の個票レベルデータなどを他のデータや情報と連結して個人情報を特定すること(個人識別性の復元)は法律的には禁じられている.ただし,法律が禁止していても,現実に調査関係で問題が1つでも起こり広く報道されれば,調査関係者たちの適法な仕事にすら大きな支障が生じるであろう.

ビックデータの時代にあって,ソーシャル・ビッグデータの利用における個人情報保護に関する法律や倫理については課題が山積している.実証的データに基づく学術の発展や政策立案が重要であることは勿論であるが,そのためにも個人の機微な情報の収集や公開利用において遵守しなければならない国内外の法律,倫理やルールについて確認しておくことは肝要であろう.

しかし,急速なIT技術の進展に現実の法律が追い付かず,また欧州と米国では考え方や運営の仕方がかなり異なり,日本ではこの問題についてまだ曖昧なままの部分も多い.平成初期のバブル崩壊以来の「失われた20年」とその後のデフレ脱却に苦悩する年月が続く中で産業振興への思いばかりが先に進んでしまい,個人情報保護の理念がないがしろにされかねない危惧もぬぐえない.

他方で2018 年5 月25 日より,EU ではGDPR(General Data Protection Regulation 一般データ保護規則)が施行され,国際間での個人情報の移転の制限など,罰則もかなり厳しいルールが適用されるようになった.アメリカでもGDPRを踏襲した「CONSENT法案」が提出され,世界各地で個人データの取り扱い規制が強まってきた.背景には,社会的,政治的な大問題を引き起こしたCA社,利用者の同意を得ないまま個人情報を多数の企業等へ提供して巨額の利益をあげてきたFacebook社やAmazon社などへの対処があると推測されるが,ルール自体は一般の企業等もカヴァーする形態になっている.日本でも,欧州からネットで宿泊予約を受け付けていた中小の旅館やホテルですら厳しい対応が迫られることになり,政府も慌てて,個人データの十分な保護措置を確保しているのか欧州委員会に審査し認定してもらうように緊急に対応を進めているということである(週刊ダイアモンド, 2018).

こういった状況において近い将来の動向を明確に予見することは困難であるが,現時点での関連する日本の法律について確認しておくことは重要である.これを念頭に,社会データ構造化センターでは,法的アドバイザーの役務を引き受けてもらっている牧野総合法律事務所の牧野二郎及び森悟史の両弁護士と筆者らとの間で,再三にわたる詳細な議論と検討が行われた.その結果は,法的規制や倫理指針等の要点が同弁護士事務所により,資料「社会調査の遂行における法的注意点」としてまとめられた.これをもとに,同センター主催の「第2 回人間・社会データ構造化シ ンポジウム」(2018 年3 月13 日,一橋講堂)で牧野弁護士により一般公開の特別講義が行われた.

以下,2 節から7 節までは,前述の資料「社会調査の遂行における法的注意点」をもとに,シンポジウム直前の同センターによるWEB上での一般からの質問募集,シンポジウムでの質疑応答,シンポジウム以降のEUの動向やソーシャル・ビッグデータ関連情報なども勘案して,特に社会調査データ利用者を念頭に筆者らが改稿した概説である.最後に8 節で,簡単であるが,今後のありかたに触れる.

本稿を読むに当たっては,特に,個人が特定され得る「個人情報や個人データ」と個人が特定され得ないように「匿名化されている情報やデータ」との区別を強調しておきたい.この区別は,一方で各人の情報の処理のあり方は各人が決めるという基本的人権を尊重するとともに,他方で「個人情報保護」を誤解し,適正なデータ収集や公開までをも過度に制限し,実証的な学問の発展や政策立案を妨げるような愚を避けるために重要である1

2. 社会調査の遂行における法的注意点—基本的視点

本節では,社会調査の実施において,広く情報を収集し,その情報を解析,統計化処理,公開等の利用を行う際に特に注意すべき点にふれる.特に,個人に関する情報の収集にあっては,日本の個人情報保護法制をはじめ,世界各国の保護水準を考慮する必要があり,同時に情報収集主体に対しては各種の法規制への対応も必須となる.独立行政機関,大学共同利用機関法人に対しては「独立行政法人等の保有する個人情報の保護に関する法律」(以下,「独立行政法人等個人情報保護法」と略)が,私立大学,私的研究組織,研究者個人には「個人情報の保護に関する法律」(以下,「個人情報保護法」と略)がそれぞれ適用されることになるが,情報主体の保護の視点からは個人情報保護法の他,各地方自治体の条例,特別法,海外にあっては海外の法制度により権利保護対策も実施されており,それらの対応も必要となる.また,社会調査により取り扱う情報は情報財としての財産的保護,知的財産権としての保護を受けるものであり,その側面でも注意が必要となる.

2.1. 基本権の保護

我が国の個人情報保護制度のほか,世界各国の個人情報,プライバシー保護制度,データ保護制度は,1980 年に合意されたOECD(経済協力開発機構)「プライバシー保護と個人データの国際流通についてのガイドライン」(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)により定められた以下の8 原則に基づいて制定されている2

①目的明確化の原則(Purpose Specification Principle) 個人データの収集・利用の目的を特定し,明確に示して収集しなければならない.

②利用制限の原則(Use Limitation Principle) 本人に示した利用目的の範囲で利用しなければならず,同意がある場合などを除いて目的外に利用してはならない.

③収集制限の原則(Collection Limitation Principle) 個人データの収集は適法・公正な手段,かつ本人への通知・本人の同意を得て行われなければならない.

④データ内容の原則(Data Quality Principle) 収集された個人データは,正確・完全・最新でなければならない.

⑤安全保護の原則(Security Safeguards Principle) 安全保護対策により紛失・破壊・使用・修正・開示等から保護しなければならない.

⑥公開の原則(Openness Principle) 個人データ収集の実施方針,権利保護手続き,データの存在,利用目的,管理者等の情報を公開,明示すべきである.

⑦個人参加の原則(Individual Participation Principle) 本人に関するデータの所在及び内容を明示し,異議申立等の権利保全手続きを確保しなければならない.

⑧責任の原則(Accountability Principle) 個人データを収集,利用等する管理者は,諸原則実施の責任を負う.

2.2. 日本の法制度

我が国では,プライバシー,個人データ,個人情報といったものの保護制度は2005 年の個人情報保護法の制定によってスタートした.他方で,地方自治体を中心に,条例による個人情報の保護の動きがあり,2005 年までにはすべての地方自治体で個人情報保護条例が制定され,国のレベルでは1988 年に,「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が,2003 年に「行政機関の保有する個人情報の保護に関する法律」,2005 年に「個人情報保護法」が順次制定された.このほか住民基本台帳法においても,登録された住民情報の保護が求められており,統計調査,世論調査,学術研究その他の調査研究について,総務大臣が定める基準に照らして公益性が高いと認められるもの等に限り,住民基本台帳の一部の写しを閲覧させることができる(同法11 条の2)とされるなど,厳しい規制が設けられている.

2.3. 統計法

我が国では公的統計に関して統計法が制定されている.統計法は「公的統計の体系的かつ効率的な整備及びその有用性の確保を図り,もって国民経済の健全な発展及び国民生活の向上に寄与することを目的とする」と規定(第1 条)され,その基幹統計として国勢統計(国勢調査),国民経済計算などが指定されている.統計法の基本理念として,「適切かつ合理的な方法により,かつ,中立性及び信頼性が確保される」必要があるとされ,また「広く国民が容易に入手し,効果的に利用できるものとして提供されなければならない」と規定(第3 条)され,さらに個人等の秘密は保護されなければならないとされている.そうした背景には,「国連の公的統計の基本原則」(1994 年国連統計委員会採択,2014 年総会決議)があり,我が国も共同提案国となっている.この基本原則には,公的統計に対する信頼性を確保するため,統計機関は,「科学の原理と専門家としての倫理を含む厳密に専門的な見地から,統計データの収集,処理,蓄積及び公表の方法及び手続を決定する必要がある.」(原則2)とし,さらに,「データの正しい解釈を促進するため,統計機関は,統計の情報源,方法及び手続に関する情報を科学的基準に従って提示しなければならない.」(原則3)と定め,同時に収集した「個別データ」は「厳重に秘匿されなければならず,統計目的以外に用いてはならない」(原則6)と定められている.こうして統計法の世界では,利用目的の明確化,その目的に沿った利用,データ収集の方法,手続,処理,蓄積及び公表などについて決定し,かつ提示する必要があるとされている.

2.4. 新しい環境における留意点

ビッグデータの活用の時代にあって,個人情報に関連して,行動履歴,購買履歴,通信ログ,アクセス記録など多様な情報が機械的に記録され利用される環境が生まれ,これらの取扱いが問題となっている.本人の同意が取られているのか,利用目的は明示されているかなどの問題が生じることになる.また,自動的に情報を収集し,解析するロボット(クローラ),ソフトウェアロボット,それらを解析・利用するAIなども問題となる.EUの法的規制GDPRでは,我が国の個人情報保護法上の「個人情報」の概念よりもかなり広い範囲の情報を「個人データ」として保護する対象としている.そのため,より徹底したプライバシー保護に資するものとなっている.さらにこの法制では,データ主体のプロファイリングを含む,個人データの自動処理を拒絶する権利を保障する(第22 条)など,自動処理に対する権利保障とその侵害に対する厳しい対応が規定されている.

ただし,5 条利用目的の追加の許容,保管期間の緩和,9 条特別情報の取扱の許容,14 条告知困難な場合の提供情報制限,17 条忘れられる権利についても研究困難となる場合には消去しなくていいとの例外,21 条の異議権の権利制限などがある.しかし,多くの場合,統計目的であれば完全な例外とするというのではなく,統計目的,研究目的が達成できない場合には,そのために必要な権利制限してもよいということである.こうした点も配慮しながら,EU域内の情報収集にはGDPRに十分配慮し,EU域内の大学,研究組織,調査会社等と十分な打合せを行い,万全の対応を取る必要がある.

2.5. 収集情報の切り分け,対応の多様性

社会調査においては,人に関係する情報(個人情報,及びその周縁,不動産(家屋など)情報,道路情報,プライバシー関連情報など)と,人に関わらない情報(天候,気温,気象,自然,動物,交通機関の動静など)が対象となると考えられる.前者では個人情報保護法,民法の不法行為を考慮することになり,後者では営業秘密の侵害など不正競争防止法関係が問題となる可能性もある.

以下のように大きな区分が考えられる.

①生きている人に関わる情報(行動,購買,通信,健康などの情報)=個人情報

②容易に特定の個人を識別できない情報 単体では個人情報にならないが,プライバシーの問題となる場合がある.

③家屋,道路などの情報 単体では個人情報にならないが,一意になる場合には個人を識別できる場合もあり,その場合には個人情報となる可能性がある.

④WEBへ自ら公開した自身の情報(法17 条2 項5 号) 要配慮個人情報であったとしても,同意なくして取得,収集してよい情報となる.

⑤WEBに他人が書き込んだ生きている人に関わる情報 個人情報であり,かつ,本人の同意なき情報収集となる場合がある.

⑥WEB上の営業・業務関連情報 基本的に個人情報とはならない上,公開されていれば秘密管理性がなく営業秘密にもならないと考えられる.ただし,非公開部分への侵入による取得の場合は,営業秘密の不正取得となり,違法となる危険性が高い.

⑦WEB 公開情報であるが,「複製禁止」「転載禁止」などの表記がある場合

⑧WEB 公開情報で利用約款が明示され,閲覧以外の行為を禁止している場合

個人情報に関して(上記①, ③, ⑤)は制度としての規制があるため十分な対処が必要となるが,個人情報とまではいえない場合(②, ⑥)には,個別にプライバシー侵害がないか,違法収集をしていないか,などの検討が必要である.④においては,個人情報としての保護の必要がないとされ特段の配慮は不要だが,ただし④と⑤との識別が簡単ではないため,収集方針や検索方法などで配慮が必要となろう.他方,情報管理の意思表示がなされている場合(⑦, ⑧)には,手動で収集するのであれば,そうした表示,約款等を確認するのが妥当だが,自動収集などの場合にはそうした意思を確認することはほぼ不可能であろう.むしろ,情報開示者は,自動収集に対してはこれを拒絶する符号(クローラによるインデックスを拒否するnoindex,nofllowなどの表示を行うなどの方法)を取る必要がある.そうした表示をしない場合には自動的に収集されることになるが,自動収集を行う側としてはやむをえないケースとして処理する他ないであろう.

こうした一通りの区分をして,調査対象についてどのような視点で,何に注意すべきかを検討したうえで,調査業務を実施すべきであろう.ここでは,個人情報保護法を中心に検討を進めよう.

3. 情報取得主体の位置付け・適用法令

研究組織,団体,大学等が社会調査を遂行し情報収集主体となる場合を念頭に,調査実務における規制内容,留意点などを検討するが,情報主体の立場に応じて,適用される法制度,法律が異なることに注意する.他方,収集主体を問わず,情報主体を保護するものとして各地方自治体の個人情報保護条例があり,合わせて検討する.

3.1. 私立大学・民間の研究機関

まず,個人情報についての法令には,民間事業者に対して広く適用される「個人情報保護法」があり,民間の研究機関や私立大学などにおいて,「個人情報データベース等を事業の用に供している者」は,「個人情報取扱事業者」となる.「事業」とは,「一定の目的をもって反復継続して遂行される同種の行為であって,かつ社会通念上事業と認められるものをいい,営利・非営利の別は問わない」とされ,研究目的であっても,反復継続して遂行されるのであれば,個人情報保護法の「事業の用に供している」に当たる.なお,「法人格のない,権利能力のない社団(任意団体)又は個人であっても,個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当する」とされ,個人情報データベース等を事業の用に供していれば個人情報取扱事業者となる.この場合,個人情報保護法第4 章「個人情報取扱事業者が負うべき義務等」が適用され,各種義務を負うことになる.ただし,「個人情報取扱事業者等のうち次の各号に掲げる者については,その個人情報等を取り扱う目的の全部又は一部がそれぞれ該当各号に規定する目的であるときは,第4 章の規定は,適用しない.」とあり,その第3 号において,「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」が「学術研究の用に供する目的」で個人情報を取り扱うときが挙げられている.すなわち学術研究機関等が学術研究目的で個人情報を取り扱う場合は,個人情報保護法第4 章の個人情報取扱事業者が負うべき義務を負わないことになる.ただし,「個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ,かつ,当該措置の内容を公表するよう努めなければならない」ので,可能な限り,個人情報保護法第4 章の規定に従った対応をすべきである.

3.2. 国立大学法人・国立の研究機関

国立大学法人については,独立行政法人等個人情報保護法の「独立行政法人等」に該当し,また,多くの国立の研究機関は大学共同利用機関法人となっており,「独立行政法人等」に該当する.国立大学法人や国立の研究機関では,独立行政法人等個人情報保護法の適用があり,同法の規定に従った対応をする必要がある.もっとも,個人情報保護法の規定や個人情報保護委員会編「個人情報の保護に関する法律についてのガイドライン(通則編)」などでは,一般的な個人情報の取扱いが定められており,適宜参考にすべきである.

4. 情報の収集段階における問題点

4.1. 国内での個人情報の収集

社会調査を行う場合,多くの場合,対象者の個人情報を収集することになり, ①利用目的の特定, ②利用目的の明示, ③適正取得が必要である.

(1) 利用目的の「特定」とは,収集した個人情報がどのように利用されるかについて,収集を行う 事業者があらかじめ明確に定めておくべきであって,その内容は具体的でなければならない,という意味である.この点,ガイドライン等では,「最終的にどのような事業の用に供され,どのような目的で個人情報を利用されるのかが,本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」とされている.さらに「定款等に規定されている事業の内容に照らして,個人情報によって識別される本人からみて,自分の個人情報が利用される範囲が合理的に予想できる程度に特定されている場合や業種を明示することで利用目的の範囲が想定される場合には,これで足りるとされることもあり得る.だが,多くの場合,業種の明示だけでは利用目的をできる限り具体的に特定したことにはならないと解される」とされ,対象者(本人)にとって,自分の情報が誰に,どのように利用されるのかが想定できるような程度まで具体的であることが要求されている.利用目的の望ましい書き方としては,例えば,以下のようなものが挙げられる.

 「収集した情報については,以下の目的で利用いたします.

  • 社会情勢を把握する等,研究利用のため

  • ○○学の○○分野における○○という研究利用のため

  • ○○の法則に従い加工したうえで統計データを作成するため

  • 個人が識別できないように法令に基づき加工した上で,○○という目的に限定の上,○○という研究機関に対し提供・開示するため

  • ○○の調査・研究の目的に限定した上で,○○の調査・研究を行う研究者又は研究機関に対し提供・開示するため

  • ○○の調査を行い,○○市の○○政策における検討材料として利用すべく,○○市に対し提供・開示するため」

(2) 利用目的の「明示」について,独立行政法人等個人情報保護法では,「独立行政法人等は,本人から直接書面(電磁的記録を含む)に記録された当該本人の個人情報を取得するときは,次に掲げる場合を除き,あらかじめ,本人に対し,その利用目的を明示しなければならない」と規定しており,対象者から直接書面にて対象者の個人情報を取得するときは,あらかじめ利用目的の明示が求められている.また,個人情報保護法でも,本人から直接書面(電磁的記録を含む)に記録された当該本人の情報を取得する場合は,あらかじめ本人に対し利用目的を明示しなければならないと規定している.したがって,書面でのアンケートを実施する際には,アンケート用紙等に利用目的を明示しておくべきである.書面以外の,例えば面接調査で口頭で回答してもらうような場合,個人情報保護法では「あらかじめその利用目的を公表している場合を除き,速やかに,その利用目的を本人に通知し,又は公表しなければならない」と規定し,本人以外から個人情報を取得する場合,書面以外で個人情報を取得するのには通知又は公表が必要となっている.これに対し,独立行政法人等個人情報保護法には,このような規定がない.ただし,独立行政法人等についても個人情報保護法を参考に,利用目的の通知・公表を行うなどの方法を採用するなど,適切な対応が必要であると考えられる.その際,利用目的を口頭で通知することも法令上は認められるが,後日,通知の有無をめぐり争いが生ずる可能性があることから,書面で行う方法が選択されるべきであろう.さらに,利用目的は明示・通知等をすればよいとされているが,争いを回避するためには,書面で対象者から同意の意味の署名(簡単なサイン)を得ておくべきである.また,収集した個人情報を第三者に提供することが想定されるような場合には,第三者に提供することを利用目的に入れ,明示又は通知等をしておくとともに,可能であれば事前に書面等で同意を得ておくべきであろう3

(3) 適正取得については,「偽りその他不正の手段により個人情報を取得してはならない.」とされる.「偽りその他不正の手段」とは,法律に反する違法行為(詐欺行為など)に限らず,不正な手段を広く含む.例えば,判断能力の乏しい未成年者から家庭の収入事情など家族の個人情報を,家族の同意なく取得する場合は,不正の手段により個人情報を取得したとされる.また,センシティブ情報(機微情報)の収集についても注意が必要である.通常,情報の収集には,利用目的を明示又は通知等すればよいとされており,本人の同意は必須条件ではないが,要配慮個人情報(≒センシティブ情報)の収集に際しては,あらかじめ本人の同意を得る必要がある.独立行政法人等個人情報保護法では,要配慮個人情報の取得方法について規定がないが,個人情報保護法に従い,対象者から同意を得ておくべきであろう.したがって,アンケートにおいても,回答したくない場合は回答しなくてよいことを明記するかあるいは口頭で伝え,その上で対象者の同意を得て収集すべきである

4.2. 情報収集・取扱いを委託する際の注意点

社会調査において情報収集・取扱いを民間事業者に委託する場合,委託先の業務遂行について十分な注意が必要である.個人情報保護法では,「個人情報取扱事業者は,個人データの取扱いの全部又は一部を委託する場合は,その取扱いを委託された個人データの安全管理が図られるよう,委託を受けた者に対する必要かつ適切な監督を行わなければならない」と規定している.独立行政法人等個人情報保護法には,個人情報保護法のような委託先監督の規定はないものの,独立行政法人等の安全管理措置義務を規定した上で,個人情報の取扱いの委託を受けた者が受託した業務を行う場合について準用するとしていることから,委託元において委託先監督を行うべきである.委託先監督の内容としては,具体的に, ①適切な委託先の選定, ②委託契約の締結, ③委託先における個人情報取扱状況の把握が必要となる. ①については,委託先において,委託元で行う安全管理措置と同等以上の措置がとられていることを委託元が確認する必要があり,あらかじめ委託元において委託先選定基準を設け,これに適合するかどうかにより委託先を選定すべきである. ②については,委託内容を記載するとともに,委託先の監督方法(例えば,報告書の提出,立入検査等)についても明記した委託契約書を作成し,締結する必要がある.また,再委託を許すのかどうか,再委託を許す際の許可の方法等についても合わせて判断する.さらに,委託先監督とは異なるものの,委託契約やその仕様書において,委託先が調査を行う際に対象者に説明する内容や,調査の際に示す説明資料の記載方法についても明記しておくべきである.前述の通り,委託元が対象者から情報を取得するに際し利用目的の特定及び明示・通知等が必要となり,また,収集した情報を第三者に提供するには,利用目的に入れておくか,対象者の同意が必要である.これらの手続が委託先においても確実に踏まれていなければならないので,これらの手続を確実に委託先が実行するよう,契約書等で担保する必要がある. ③については, ②の契約書等に記載した委託先監督方法を実際に実践することとなる.

なお,民間事業者に調査を委託するケースでは,(1) 委託先から個人情報及びその集計結果を取得する場合,(2) 民間事業者(委託先)が個人情報を取得したのち,統計化などの処理を実施して,調査結果のみを成果物として納品し,委託元としては個人情報を取得せず,調査内容だけを保有し,利用する場合の2 パターンが考えられる.これについては,いずれの場合でも,委託先の監督義務について差はない.すなわち,後者の場合には,委託元は個人情報を直接取得しないものの,委託先が委託元の委託を受けて,委託元のための業務として個人情報を取得するため,委託先の事故は,委託元の委託先監督責任の問題となることから,委託先監督は確実に行う必要がある.

4.3. 海外での情報収集

海外において情報,特に個人情報を収集する際には,当該国における個人情報保護に関する法令を遵守する必要があり,情報収集を調査会社に委託する場合には,かかる法令を遵守させなければならない.特に,EUでは,これまでのデータ保護指令に代わり,2016 年4 月,「一般データ保護規則」(GDPR)が採択され,2018 年5 月25 日に適用が開始されることとなっている.一般データ保護規則では,EUでの個人データ(識別された又は識別され得る自然人に関するあらゆる情報)の取扱いについて規制している.「取扱い」とは「自動的な手段であるか否かにかかわらず,個人データ又は個人データの集合に対して行われるあらゆる作業又は一連の作業」を言い,収集・ 保存・変更・開示なども含まれる.そして,「単独又は他と共同して,個人データの取扱いの目的及び手段を決定する自然人,公的機関,行政機関又はその他の団体」を「管理者」とし,管理者は個人データの処理の適法性と一般データ保護規則違反に対する責任を負うことになる.具体的には,説明責任,遵守事実を実証する対策,データセキュリティに関する義務,データ主体(本人)の権利の尊重(アクセス権,訂正権,削除権,制限権,データポータビリティの権利,異議権など)などの法的要件を満たす必要がある.また,「管理者の代わりに個人データの取扱いを行う自然人,法人,公的機関,行政機関又はその他の団体」は「処理者」とされており,調査会社などは「処理者」となる.一般データ保護規則には,管理者と処理者との契約に盛り込むべき事項として,管理者からの書面による指示のみに基づき個人データを処理すること,処理者に守秘義務を課すこと,処理の安全性に関する技術的及び組織的措置をとること,他の処理者を用いる場合は,事前に管理者の許可を得るとともに,処理者と同じ義務を負わせること,データ主体の権利行使の要求に対応する管理者の義務の履行を支援すること,業務終了後,個人データを削除又は返還することなどが挙げられている.

なお,一般データ保護規則では,EUに拠点を持たない企業・組織などは,一定の要件のもと,EU域内の代理人を選任しなければならない可能性があることにも注意が必要である.また,一般データ保護規則は,個人データを処理し,EUから第三国(例えば,日本)に移転するために満たすべき要件を規定している.一般データ保護規則では,原則として,EU域外への個人データ移転を禁止しており,その移転先の国に「十分性」(当該移転先の国が法整備等に基づき十分に個人データ保護を講じていること)が認められた場合,又は適切な保護措置をとった場合などにおいて,例外的に移転が認められることになっている.日本では2018 年12 月現在,十分性が認定されておらず,適切な保護措置をとる必要がある.具体的には,標準契約条項(欧州委員会が採択した標準契約条項に基づくデータ移転[『SCC』と言う]),拘束的企業準則(整合性メカニズムに基づき監督機関から承認された拘束的企業準則に基づくデータ移転[『BCR』と言う]),行為規範(拘束的かつ強制的なコミットメントが付与され,監督機関により承認された行為規範に基づくデータ移転),認証メカニズム(拘束的かつ強制的なコミットメントが付与され,EU域内の認証機関によって運用されるデータ保護認証メカニズムに基づくデータ移転)を遵行しなくてはならない.また,適切な保護措置がなかったとしても,データ主体からの同意取得,データ主体との契約履行に必要な場合,公共の利益,データ主体の重大な利益保護などがあれば,EEA(欧州経済領域)域外へのデータ移転が許される.したがって,これらのルールを遵守し,手順を踏んだ上で情報を取り扱う必要がある.実際には,対象者の同意を得るか,SCC に準拠したものとして契約を締結することになると思われる.(注.その後,2019 年1 月に「十分性」が認定された.)

4.4. WEBページからの情報収集

(1) 個人情報問題 WEBページから情報収集をする場合でも,収集する情報が個人情報であれば,個人情報保護法,独立行政法人等個人情報保護法の適用がある.しかし,本人同意を必要とする要配慮情報であっても,誰でも閲覧できるWEBページに掲載されている情報の場合には, WEBページの管理者があえて閲覧可能な場所に掲載していることから,この情報は公開情報であり,個人情報を提供すること(閲覧者側からすれば個人情報の取得・収集)に同意していたものと言える.もっとも,収集する情報が個人情報である以上,個人情報保護法や独立行政法人等個人情報保護法に従い,その利用目的を特定しなければならない.また,WEBページからの情報収集の場合,対象者から直接情報を取得するのではないため,対象者への個別の利用目的の明示・通知は考えられないものの,利用目的を公表しておくべきである.

(2) 著作権問題 さらに,社会調査の場合と同様に,適正取得も必要で,WEB ページからの情報収集に関し適正取得について問題となるのが著作権侵害である.各WEBページにも著作権はあり,多くのWEBページでは,「同意なく複製することを禁じます」などの文言が記載されている.したがって,著作権法上,私的な利用は許されているが,業務として利用する場合は,WEBページの著作権侵害が問題となる.

まず,著作権法では,「著作物は,電子計算機による情報解析(多数の著作物その他の大量の情報から,当該情報を構成する言語,音,影像その他の要素に係る情報を抽出し,比較,分類その他の統計的な解析を行うことをいう.以下この条において同じ)を行うことを目的とする場合には,必要と認められる限度において,記録媒体への記録又は翻案(これにより創作した二次的著作物の記録を含む)を行うことができる.ただし,情報解析を行う者の用に供するために作成されたデータベースの著作物については,この限りでない」と規定している.電子計算機による情報解析を目的とする場合,その過程において情報をコンピュータに蓄積したとしても,それは情報を収集し,統計的に処理することが目的であり,著作物における表現の享受が目的ではないため,著作権者の利益を侵害しないと言える.そこで,著作権法では,必要と認められる限度においては,記録媒体への記録(複製)又は翻案(著作物の構成要素を抜き出し統計処理に適するかたちに変える行為.これにより創作した二次的著作物の記録を含む)ができるとされている.なお,ここで許されるのは,記録媒体への記録と翻案だけである.また,「情報解析」とは,「多数の著作物その他の大量の情報から,当該情報を構成する言語,音,影像その他の要素に係る情報を抽出し,比較,分類その他の統計的な解析を行うこと」とされている.つまり,画像解析,音声解析,言語解析,ウェブ解析等の技術を用いた,本人認証,自動翻訳,社会動向調査,情報検索等への活用が想定されているのである.もっとも,ただし書きにおいて,「情報解析を行う者の用に供するために作成されたデータベースの著作物については,この限りでない」とされ,「情報解析を行う者の用に供するために作成されたデータベースの著作物」に関しては,記録媒体への記録・翻案ができないことになっている.ここで「情報解析を行う者の用に供するために作成されたデータベースの著作物」とは,例えば,新聞社の有料データベースなどを指す.

以上より,情報解析を行うために,WEBページをサーバ等にダウンロードし,これを統計処理に適するかたちに変えることは著作権法により許されるが,そのままWEBページを利用(流用)することは著作権侵害となる.具体的には,WEBページの表示から調査に必要な数値のみを収集する場合,一旦,記録媒体(サーバ等)にWEBページを記録した上で,各種解析技術を用いて統計的な解析を行うことは著作権侵害とならず許される.

(3) サイトにおける複製等禁止表示について WEBページには利用約款が設けられており,「同意なく複製することを禁じます」や「無断転載禁止」などの文言が記載されていることがある.これらはWEBページの文書,画像等に著作権があり,WEBページ作成者等の許可なく複製,公衆送信等を許さない趣旨と考えられ,当該WEBページにアクセスした者は,WEBページ作成者等の許可なく複製,公衆送信等を行うことができない.もっとも,これらの利用約款はあくまで著作権がWEBページ作成者などにあり,WEBページの著作権を侵害しないようにしているだけであり,データそのものの権利性を認めるものではないと考えられる(ただし,編集著作物として保護される場合があるので注意が必要である.詳細は後述).したがって,データのみを収集するのであれば,著作権侵害にはならない.

なお,データそのものに経済的価値があることから,データそのものを保護すべきとする考え方もあるだろう.とはいえ,そのような経済的価値があるデータであれば,通常,誰もがアクセスできるWEBページに掲載されているはずがなく,WEBページにアップされているということは,アクセスした者にそのデータの利用を許可していると考えられるため,WEBページの管理者は権利を主張しないものとみなすことができる.

(4) 編集著作物 著作権法は,「編集物(データベースに該当するものを除く.以下同じ)でその素材の選択又は配列によって創作性を有するものは,著作物として保護する.」と規定し,編集著作物も著作物として保護されることを明らかにしている.編集著作物とは,例えば英語単語帳や職業別電話帳のように,その素材(英単語や電話番号)の選択又は配列に編集した者の創作性が認められるものである.本条括弧書きでは「データベースに該当するものを除く」となっているが,著作権法では,「データベースでその情報の選択又は体系的な構成によって創作性を有するものは,著作物として保護する」とあり,データベースも著作物として保護され,データベースの著作権者の承諾なくデータベースを利用した場合には著作権侵害となる.なお,データベースとは,「論文,数値,図形その他の情報の集合物であって,それらの情報を電子計算機を用いて検索することができるように体系的に構成したもの」を指す.

以上より,WEBページに編集著作物やデータベースがそのまま掲載されている場合において,これを編集著作権者等の承諾なく無断で利用(複製)したときは,編集著作権やデータベースの著作権の侵害となる可能性がある.しかし,他方で,編集著作物やデータベースを構成する要素(例えば,データベース等を構成する個別の数字・データ)はそれ自体著作物ではないので,これらを個別に利用することは編集著作権の侵害にもデータベースの著作権の侵害にもならない.ただし,編集著作物を構成する要素そのものにも著作物性が認められるような場合(例えば,文学全集を構成する各文学作品など)には,これを無断で利用することはできないので注意を要する.

5. 情報の保管・処理段階の問題点

5.1. 保 管

個人情報保護法や独立行政法人等個人情報保護法は安全管理措置義務を定めており,個人情報を保有している限り,安全管理措置義務を負い続ける.したがって,不要となった個人情報は速やかに廃棄する必要がある.そこで,情報の取得から廃棄までのルールを策定し,不要となった場合には速やかに廃棄する手続を明確にしておくべきである.個人情報保護法では,「個人情報取扱事業者は,利用目的の達成に必要な範囲内において,個人データを正確かつ最新の内容に保つとともに,利用する必要がなくなったときは,当該個人データを遅滞なく消去するよう努めなければならない」と明記し,データ消去にかかる努力義務を定めている.さらにGDPRでは,法律上の消去義務と規定し,これを怠ると制裁が課されることになっている.

5.2. 処理・加工

(1) 非識別加工情報 調査のため収集された情報については,自ら利用するだけでなく,第三者に提供することも考えられるが,収集した情報をそのまま第三者に開示(提供)する場合,処理・加工についての問題は生じないが,収集する段階で,第三者提供することについて利用目的に入れておくとともに,対象者の同意を得ておくべきである.他方,収集した情報を加工し,加工した情報(非識別加工情報)を第三者に開示する場合は,本人を特定できないように加工・処理することが必要となる.

独立行政法人等個人情報保護法では,当該個人情報に含まれる記述等の一部を削除する(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む.)などの措置を講じて,特定の個人を識別することができない(当該情報に含まれる記述等により,又は当該情報と他の情報を照合することにより,特定の個人を識別することができない)ように個人情報を加工して得られる個人に関する情報であって,当該個人情報を復元することができないようにしたものを「非識別加工情報」としているが,これは個人情報保護法上の「匿名加工情報」とほぼ同じである.したがって,「非識別加工情報」とするには,当該個人情報に含まれる記述等の一部を削除するか,当該一部の記述等を復元できる規則性を有しない方法によって他の記述等に置き換える措置をとり,特定の個人を識別できないようにしておかなくてはならない.

(2) 音声データの特殊性 音声データについては,話している音声そのものから話し手を特定可能であり,また,話している内容と結びついて話し手が特定の個人であると識別されてしまうことがある.特に,話し言葉を収録,収集するために,特定の個人を対象として収集・録音したような場合には,収集者にとって特定の個人を識別できることから,その会話の録音,音声自体が個人情報となる.ただ,話している内容が特別な識別機能を持たず,また音声に特定の個人を識別するほどの情報がない場合や,音声の収集者が特定の個人を指定するなどの方法をとっていない場合であれば,個人情報とならないケースも存在する.結果として,音声データについては,個人情報となるかどうか判断が困難な場合が多いことから,基本的には個人情報として厳格に扱うのが妥当である4

6. 情報の開示段階の問題点

6.1. 開示の方法にかかる問題

収集した個人情報を自ら利用するのではなく第三者に利用させる場合がある.第三者に利用させる方法としては,第三者提供と共同利用が考えられるが,独立行政法人等個人情報保護法には共同利用の規定がない.しかし,共同利用を否定しているわけではないと考えられる.その際には,共同利用について規定している個人情報保護法を参照することになる.また,第三者提供についても個人情報保護法の手続を参考として,適宜,参照するべきであろう.

(1) 第三者提供の場合 第三者提供の場合,第三者提供するという利用目的を特定し,収集の際に明示又は通知等がなされ,対象者の同意を得ることが必要である.第三者提供の場合,一度提供された情報は第三者のものとなり,提供者では管理できなくなるというデメリットがある.他方,共同利用の場合とは異なり,一旦,対象者から第三者提供することの同意を得ておけば,不特定の者に対し第三者提供することができる.そのため,情報を提供する提供先(第三者)が不確定の場合でも,あらかじめ対象者から第三者提供することについて同意を得ておけば,第三者提供することが可能である.もっとも,対象者は,収集された自分の情報が誰に提供・開示されるのかを知らない場合,情報提供を躊躇するかもしれない.これに関しては,有用な情報を可能な限り多数収集し,有効な研究に役立てるためにも,対象者の不安を除去する必要がある.そのためには,可能な限り情報の提供・開示先の範囲を明確化し(例えば,「○○の研究を行っている研究者・研究機関」など),または情報の提供・開示先を具体的に特定すべきであろう.ただし,提供・開示する情報の種類(個人情報か,非識別加工情報か,統計情報か)によって,なすべき措置が異なり,詳細については後述する.

(2) 共同利用の場合 共同利用の場合,利用する者が特定されていることから,第三者提供と比べ情報のコントロールがし易い状況にある.ただし,共同利用する際には,共同利用をする旨,共同利用するデータの項目,共同利用者の範囲,利用する者の利用目的等を対象者に通知するか,対象者が容易に知り得る状態におく必要がある.また,共同利用者の範囲について,「本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある」とされており,あらかじめ利用する者が限定されているような場合でしか利用できず,新たに共同利用者として加入・追加することが許されない.ただし,これも共同利用する情報の種類(個人情報か,非識別加工情報か,統計情報か)によって,なすべき措置が異なり,詳細は後述する.

ア.対象者がすべての利用者宛に情報を提供するが,その内の一部が情報を保管する場合例えば,2 つの研究機関が共同で調査・研究を行うときで,それぞれの研究機関が対象者から情報を収集するものの,一方の機関で情報を保管し,他方の機関は情報を保管せず,利用するだけの場合がある.このケースは,対象者がそれぞれの機関宛てに情報を提供しているため,共同利用には該当せず,単に各機関への個別の情報提供がなされたというだけでしかない.また,その内の一部が情報を保管するということは,情報取扱いの委託となり,情報の保管を委託した者は委託元として安全管理措置義務を負うとともに委託先監督義務も負うことになる.

イ.収集の際に共同利用であると表示して対象者から情報を収集する場合 例えば,2 つの研究機関が共同で研究を行うため,収集した情報を共同利用する旨をあらかじめ対象者に通知した上で情報を収集し,2 つの機関が共同して利用する場合がある.このケースは通常の共同利用のケースであり,共同利用をする旨,共同利用するデータの項目,共同利用者の範囲,利用する者の利用目的等を対象者に通知するか,対象者が容易に知り得る状態にしておく必要がある.また,一部の共同利用者が情報を保管し,他の共同利用者が保管しない場合,実際に情報を保管している者は,現実に物理的安全管理措置,技術的安全管理措置等を講ずる必要があると同時に,すべての共同利用者は,法律上の安全管理措置義務を負う.そのため,万が一,情報を保管していた者から情報漏えい事故が発生した場合,実際に情報を保管していた者のみならず,他の共同利用者も情報漏えいの責任を負わされることがある.

ウ.情報収集後,利用目的が同一であるとして他の者との共同利用を行う場合 例えば,ある研究機関で単独で情報を収集した後,収集した際の利用目的と同じ目的で他の研究機関と共同研究を行うため,他の研究機関と情報の共同利用を行う場合がある.前述の通り,共同利用は,あらかじめ利用する者が制限されており,後から新たな研究主体を共同利用者として加えることが許されない.そのため,このケースにおいて共同利用を使うことは難しく,第三者提供により行うことになる.

6.2. 開示する対象情報の特性

(1) 統計情報の開示 統計情報とは,「複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり,集団の傾向又は性質などを数量的に把握するものである」とされ,個人情報でもなく,また,個人情報への復元も通常は考えられないことから,第三者への開示について特段の問題はない.したがって,統計情報については,一般に公開することは可能であり,さらに第三者に開示する場合も,緩やかな基準で可能である.ただし,統計の対象者が極少数であり,一意に特定されてしまうような情報は,個人情報となる恐れがある.このような場合には,必要に応じてマスキングなどの匿名化加工を施さなくてはならない.

(2) 加工した情報の開示 対象者の同意を得ている場合,情報を加工し,特定の個人を識別できないようにした匿名加工情報(独立行政法人等個人情報保護法では非識別加工情報)を第三者に開することについて特段の問題はない.なお,匿名加工情報(非識別加工情報)は,個人情報に含まれる記述等を削除する等の措置を講ずることにより,特定の個人を識別することができないように加工し,個人情報を復元できないようにしたものである.ただし特定の個人を識別できないとは言っても,ある特定の人の情報であることには違いがない.さらに,匿名加工情報(非識別加工情報)については,他の情報と掛け合わせて分析することで特定の個人を識別し,個人情報を復元させることが理屈上は可能である.そのため個人情報保護法では,匿名加工情報について,本人を識別するために,当該匿名加工情報を他の情報と照合してはならないとし,また,本人を識別するために,当該個人情報から削除された記述等に関する情報を取得し,または,他の情報と照合してはならないとし,照合行為を禁止している.他方,独立行政法人等個人情報保護法では,照合禁止を明確には規定しておらず,違法とは言えないものの,情報提供者本人(対象者)から見た場合,個人情報保護法が適用される民間事業者から情報が提供される第三者であろうが,独立行政法人等個人情報保護法が適用される独立行政法人等から情報が提供される第三者であろうが違いはない.どちらにおいても安易に情報の照合を行い,個人を識別されたくないと考えるのは当然である.したがって,非識別加工情報の第三者への開示の場合は,第三者において,情報の照合を行うなどして特定の個人を識別するような作業を行わないように契約し,合意し,指導し,監督するようにしなければならない.そこで,第三者に対し,契約書等で特定の個人を識別しないよう求め,情報の開示を行う際には,情報の取扱いについての合意をしておくべきであろう.また,匿名加工情報(非識別加工情報)は,前述の統計情報とは異なり,他の情報と照合することにより特定の個人を識別したり,特定の個人を推認させる可能性があったりすることから,情報 を開示する相手方(第三者)については,身元の確認が取れる研究者等一定の者に限定するべきであろう.

(3) 個人情報の開示

ア.第三者提供の同意 個人情報保護法では,本人の同意を得れば,収集した個人情報(法文上は「個人データ」)を第三者に提供できる.第三者提供するには,第三者提供することも利用目的に入れておく必要がある.他方,独立行政法人等個人情報保護法は,「独立行政法人等は,法令に基づく場合を除き,利用目的以外の目的のために保有個人情報を自ら利用し,又は提供してはならない」と規定し,された利用目的以外の目的のための利用及び提供を禁止しているのみである.したがって,独立行政法人等個人情報保護法の適用対象については,利用目的の範囲内であれば,法律上,対象者の同意がなくとも個人情報を第三者に提供することは可能である.もっとも,独立行政法人等個人情報保護法上,利用目的以外の目的のために第三者提供する場合でも本人の同意があるときは,第三者提供できるとされ,さらに,「専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき」は,利用目的以外の目的のために保有個人情報を自ら利用し,又は提供することができると規定している(ただし,マイナンバーを含むものなど,特定個人情報については,目的外利用は認められていない.).

以上より,上記の場合は,独立行政法人等個人情報保護法上,対象者の同意がなくとも個人情報の第三者への提供は可能である.ただし,対象者の同意のない情報の第三者提供は,対象者の不信感を招くおそれがあり,その結果,今後の調査の際に新たな情報提供が受けられなくなるなどのリスクが考えられるので,前述の通り,情報取得の際に,対象者の同意を得ておくべきであろう.なお,独立行政法人等個人情報保護法上においても,第三者提供をするには,第三者提供する旨を利用目的として明記しておく必要がある.

イ.開示先の選定 また,個人情報は,ある特定の個人を識別することができる情報であり,対象者はむやみに第三者に開示されるのを躊躇するものなので,情報の開示・提供先については,一定の要件を満たす者(例えば,身元の確認が取れる研究者等)に限定するべきと考えられる.

6.3. 情報開示先による分類

(1) 個別の研究者 情報開示先の研究者の利用目的を明確にし,利用目的外での利用を厳しく制限しなければならない.特定の研究者宛への情報開示であったとしても,その研究者が所属している研究室には複数の者が出入りすることが想定され,当該研究者以外の者も当該情報を目にする可能性があるので,情報開示先の研究者以外の者による情報の漏えい等の危険性がある.したがって,情報開示の際に,情報開示先である研究者との間で,誰に当該情報を開示できるのか,情報を開示できる人物(範囲)を明確にし,また,開示された情報の取扱い方法等を定めておかなくてはならない.さらに,万が一,合意により開示できる範囲を超えた情報の取扱いが判明した場合には,即座に情報開示の中止及び情報の回収・廃棄ができるよう合意しておくべきである.

(2) 大学 開示された情報の利用目的を明確にし,利用目的外での利用を厳しく制限しなければならない.大学への情報開示は,当該情報を取り扱う人物(範囲)が不明確となりやすいため,個別の研究者に対する情報開示以上に,誰に当該情報を開示できるのか,情報を開示できる人物(範囲)を明確にしておく必要がある.その範囲の変更が必要となった場合には,早急に連絡するよう合意しておくべきである.さらに,情報開示合意の当事者は,あくまで情報の提供・開示先である大学であり,個別の研究者ではない.その際,個別の研究者が開示情報をルーズに取り扱う危険性も否定できないため,開示できる人物(範囲)を明確にすると同時に,当該開示できる人物から誓約書のようなものをとっておくべきである.その上で,開示された情報の取扱い方法等を定め,万が一,合意により開示できる範囲を超えた情報の取扱いが判明した場合には,即座に情報開示の中止及び情報の回収・廃棄ができるよう合意しておくべきである.

(3) 市区町村 市区町村に情報を開示する場合は,さまざまな利用目的が考えられるが,いずれにせよ,市区町村の業務遂行に関連したものと考えられる.市区町村の利用目的が明らかにされているのであれば,情報収集の際に,その利用目的を対象者に明示・通知等しておくことが必要である.もっとも,独立行政法人等が地方自治体に保有個人情報を提供する場合において,地方自治体が,法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し,かつ,当該個人情報を利用することについて相当な理由があるときは,利用目的以外の目的のために保有個人情報を市区町村に提供することができるとされている.したがって,市区町村の業務の遂行に必要な限度で,かつ利用することについて相当な理由があれば,情報取得時の利用目的を超えて個人情報の利用が可能となる.

次に,市区町村には多くの職員がおり,多くの者が当該情報を目にする可能性があるため,情報開示の際に情報の提供・開示先である市区町村との間で,誰に当該情報を開示できるのか,情報を開示できる人物(範囲)を明確に定めておく必要がある.また,開示された情報の取扱い方法等を定め,さらに,万が一,合意により開示できる範囲を超えた情報の取扱いが判明した場合には即座に情報開示の中止及び情報の回収・廃棄ができるよう合意しておくべきである.

(4) 民間事業者 民間事業者は私益で活動する団体であり,学術研究目的以外での利用が想定される.独立行政法人等個人情報保護法では,民間事業者(法律上は「独立行政法人等非識別加工情報取扱事業者」と称す)に対し,同法2 条9 項の要件を付加した非識別加工情報である「独立行政法人等非識別加工情報」を利用させる場合,利用の提案を募集し,提案の審査等を行った上,民間事業者への利用を認めている.非識別加工情報と独立行政法人等非識別加工情報は,後者が前者より要件が厳しくなっているものの,本人を容易に識別できないように加工したものという点で共通している.独立行政法人等非識別加工情報が厳格な手続を経た場合のみ民間事業者に利用させることができるとされ,一般的な民間事業者利用については認めていないことからして,非識別加工情報についても,一般的な民間事業者利用を想定していないものと考えられる.したがって,個人情報の場合はもちろんのこと,非識別加工情報についても,一民間事業者の私益に利用させるのは控えるべきである.

また,民間の研究機関や私立大学等が情報を収集し,これを民間事業者に第三者提供・開示する場合は,個人情報保護法の適用があり,民間の研究機関や私立大学等は,対象者の同意を得れば,収集した個人情報を民間事業者に第三者提供することは可能である.もっとも,民間研究機関や私立大学等は調査研究のために情報収集しているはずであり,調査研究目的を超えて利用することが予定される民間事業者に対する第三者提供については,第三者提供が利用目的とされていたとしても,対象者にとって不意打ちとなる可能性があり,慎重に対処すべきである.つまり,調査協力した対象者があらかじめ想定し難いような情報の利用され方を避けるため,民間事業者に情報を開示するには,民間事業者における情報の利用目的を限定することが必要である.公益・学術研究目的で収集した情報を一民間事業者に利用させることになるので,慎重に対応すべきである.大学,市区町村の利用目的に比肩する程度の利用目的かどうかを検討する必要がある.

さらに,民間事業者にも多くの従業者がおり,多くの者が当該情報を目にしてしまう可能性があるため,情報開示の際に,情報の提供・開示先である民間事業者との間で,誰に当該情報を開示できるのか,情報を開示できる人物(範囲)を明確にし,また,開示された情報の取扱い方法等を定め,さらに,万が一,合意された,開示できる範囲を超えた情報の取扱いが判明した場合には,即座に情報開示の中止及び情報の回収・廃棄ができるよう合意しておくべきである.

7. データ取扱いに対する法的規制

7.1. 収集する情報による規制

情報を収集するに際し,収集する情報の内容により,以下の法的規制があるので注意が必要である.

①個人情報保護法及び独立行政法人等個人情報保護法個人情報の収集・管理・提供等に関する規制.

②行政手続における特定の個人を識別するための番号の利用等に関する法律(いわゆる,「マイナンバー法」) 個人番号(マイナンバー)及び特定個人情報の収集・管理・提供等に関する規制.

③児童買春,児童ポルノに係る行為等の規制及び処罰並びに児童の保護等に関する法律(児童ポルノ禁止法) 児童ポルノの所持,運搬,輸入,輸出等を禁止したもの.

④特定秘密の保護に関する法律特定秘密の取扱いの業務に従事する者がその業務により知得した特定秘密を漏えいすることを禁止するとともに,特定秘密を保有する者の管理を害する行為により特定秘密を取得することを禁止したもの.

⑤著作権法 私的利用等一部の例外を除いて,著作物を複製するなどして著作権,著作者人格権を侵害する行為を禁止したもの.

7.2. 収集する方法による規制

情報を収集するに際し,情報の取得方法により,以下の法的規制があるので注意が必要である.

⑥不正指令電磁的記録取得等罪 正当な理由なく,人の電子計算機における実行の用に供する目的で,電磁的記録その他の記録を取得・保管する行為を禁止したもの.

⑦不正アクセス行為の禁止等に関する法律(不正アクセス禁止法) 不正アクセス行為の用に供する目的で,アクセス制御機能に係る他人の識別符号の取得を禁止したもの.

⑧不正競争防止法 詐欺的行為又は管理侵害行為等により営業秘密を取得する行為を禁止したもの.

7.3. 収集する対象者による規制

未成年者を対象者とした性的な事項に関する質問をし,その情報を取得することは,社会状況を把握する上で重要な意味を有するとも考えられる.前述の「児童買春,児童ポルノに係る行為等の規制及び処罰並びに児童の保護等に関する法律」(以下,「児童ポルノ禁止法」と言う)では,児童買春等とともに児童ポルノの所持等を禁止しているが,児童から性的な内容に関する情報を取得する場合については児童ポルノ禁止法には明示されていない.しかしながら,「児童買春,児童ポルノに係る行為等を規制し,及びこれらの行為等を処罰するとともに,これらの行為等により心身に有害な影響を受けた児童の保護のための措置等を定めることにより,児童の権利を擁護することを目的とする」と規定した法の趣旨からすれば,未成年者の心身に有害な影響を与える可能性のある行動は避けなければならない.また,十分な配慮をもって実施したとしても心なき誤解を受け,非難される危険があることも考慮すべきである.したがって,こうした児童に対するアンケート,ヒアリングが行われる際には,その必要性を慎重に検討し,代替手段の可否を含めて検討し,かつ,有識者,教育関係者,対象者の親権者などの意見を尊重しながら内容を吟味すべきである.また実施に際しては,例えば,親権者等に調査目的を伝えた上で同意を得ておき,そのうえで立ち合いをしてもらうなどの手続を踏むといった慎重な対応を行うべきである.

7.4. 独占禁止法による規制

現在,価値あるデータが第三者から不当に収集されたり,データが不当に囲い込まれたりすることにより,競争が妨げられることが懸念されている.この点につき,公正取引委員会競争政策研究センターの「データと競争政策に関する検討会報告書」によると,「データの収集,集積や利活用は,事業者間の創意工夫により競争を活発にし,イノベーションを生み出す効果を有するものであることを踏まえれば,データの収集,集積及び利活用の過程における競争をより促すべく,競争上の障壁を取り除くことが望ましいと考えられる」とされている.他にも「データの集積・利活用は,前述のとおり,それ自体としては,競争促進的な行為であり,競争政策上は望ましい行為であって,独占禁止法上も問題となることはない.しかしながら,競争者を排除しようとする行為といった不当な行為や合併をはじめとする企業結合によって,データが特定の事業者に集積される一方で,それ以外の事業者にとっては入手が困難となる結果として,当該データが効率化等の上で重要な地位を占める商品の市場における競争が制限されることとなったり,競争の観点から不当な手段を用いてデータが利活用される結果,例えば,商品の市場などデータに関連する市場において競争が制限されることとなったりする場合には,独占禁止法による規制によって,競争を維持し,回復させる必要が生じることになる」としている.その上で,「データの収集,利活用に伴う競争上の懸念の多くは,従来の独占禁止法の枠組みにより対処できることが確認された」と述べられている.

以上から,データの収集,利活用においても,これまでの独占禁止法の考え方が適用される.すなわち,データの収集,集積や利活用は,それ自体,競争を促進するものであり,違法ではない.しかしながら,独占禁止法上,禁止・制限されている行為,すなわち,競争者を排除しようとする行為といった不当な行為や合併をはじめとする企業結合によりデータが特定の事業者に集中するような場合には,法的問題が生じることとなる.したがって,情報開示に関し,合理的理由のない差別的取扱いを行わないことなどに注意する必要がある.

8. 結びに代えて

本稿では,社会調査データやソーシャル・ビッグデータの公開活用の適正な促進のために,個人情報保護に関連する現状の日本の法律と指針を概説した.GDPRについては,日本は個人情報の域外持ち出しに関してEUと交渉中で,日本側企業が守るべき指針をまとめ2018 年秋を目途に日欧の個人データの相互移転の仕組みを設定しようとしているということである(WEB版日経新聞,2018 年8 月2 日)が,進展が遅れている可能性がある.

データ活用に関する諸問題について述べたが,まだ片付けられてはいない問題も多々あろう.また,たとえ科学者のコミュニティでは完全な合意が得られたとしても,裁判所や法律家たちの見解が科学者とは異なり,時には驚かせるものとなる可能性は完全には払拭できない.

米国大統領選挙で「ロシア疑惑」と関連し,CA 社のみならず,各個人の同意なしにデータが利用された可能性があるFacebook 社にも捜査が及んでいることは冒頭で述べた.他方,実はCA は「宣伝」していたほどには効果を上げていなかったとの観測もある.

しかし,翻って考えるに,理想とはほど遠くなっている現在の世論調査方法を「科学的な世論調査」に再建するために,ビッグデータを活用することは可能であろうか.もし,個人が特定されずに,なおかつWEBやスマホ情報の積み重ねで各個人(匿名)の政治行動(投票行動,政党支持,プロパガンダへの反応傾向,通常の世論調査に協力するか,等々)を全数調査に近い形で特定できていれば,低回収率やバイアスが懸念される携帯電話やWEBによるサンプリング調査データを,その全数データで補正可能になるのだろうか.あるいは,全数調査と見なせる世論調査が可能になるのだろうか.

ここまで考えると,我々は戦後から「1 人1 票の民主主義」の理念のもとに全数調査を理想として等確率標本抽出調査による母集団推定を指向してきたのだが,その理念こそ再考すべき時を迎えているのかもしれない.そもそも今日の世界の民主主義諸国家の足下の揺らぎ,極端な格差拡大等々の社会的大問題を目の当たりにして,今求められているのは等確率標本抽出による科学的世論調査というよりも,通常の世論調査ではつかみ難くなっている恵まれない人々の声を捉えることではないか(吉野,2017a).

ビッグデータの時代にあって,人々の生活を守り豊かにする情報技術のあり方が模索されているが,世論調査を含む社会調査の世界でも,それが問われている.

脚 注
1   なお,前述のシンポジウムでは世界の社会調査データ・アーカイヴの先駆であるドイツのZentralarchive(ZA)(現GESIS)元所長Wolfgang Jagodzinski ケルン大学教授(DS施設客員教授)による,GDPRに関する特別講演“The Processing of Personal Data for Scientific Research under the European and German Data Protection Regulation”もあった.これについてはDS公募共同研究プロジェクトのメンバーであった真鍋一史・青山学院大学教授による詳細な解説が,社会調査協会機関誌「社会と調査」に発表予定である.

2   OECDは,ヨーロッパ中心のOEECに,米国,カナダ,日本など35カ国が加盟した国際会議体で中国,ロシアなどは加盟していない(注2のみ,牧野氏による).

3   この点に関して,完全に個人が特定され得る情報についてはこの通りであろうが,匿名化され利用されるものについては,過去の学術的検討の経験からは,過剰な要求は情報提供者である「回答者」にバイアスをかけ,適正な世論調査の目的を果たせない等の懸念もあり,実務上は,十分な考慮を要するところに思える.4.1(3)の文章末の対応が現実的であろう.

4   同じ音声データでも,たとえ現在は個人識別が不能でも,急速な技術の進歩で近い将来には可能となる危惧もあり,各時代のIT技術や他のデータ公開の進展状況等にも留意が必要である.一度問題なく公開したデータもその後の進展で問題となることもあり得る.

謝 辞

本稿2 節–7 節の法律的解説は,社会データ構造化センターの活動の一部として,牧野総合法律事務所の牧野二郎弁護士及び森悟史弁護士に委託した作成資料に基づくが,同氏らの了解のもとで本稿執筆に活用させていただいた.ここに感謝の意を表します.(同資料の著作権は同センター帰属.)

ただし,本稿は,筆者らがその後の進展や関連資料の確認などを含め,改稿したものである.特に,社会調査研究者の通常の用語との誤解を避け,なおかつ一般の方々にも平易に理解できるように表現を修正し,注釈の追記や要約等をした部分も少なくない.万一,厳密な法律の視点から誤謬や誤解を招くような表現があれば,それらは筆者ら,特に第一著者の吉野の責任である.

本稿の完成までに,林文特集号担当編集委員,宿久洋副編集委員長,大津起夫副編集委員長,3 名の匿名査読者の方々より,本質的なコメントや詳細な修正の御指摘をいただきました.深く感謝申しあげます.

References
 
© 2019 Japanese Classification Society
feedback
 Top