(16) コロナの先の世界~データ保護法制の見地から
掲載日:2020年6月19日
ひかり総合法律事務所弁護士
理化学研究所革新知能統合研究センター客員主管研究員
国立情報学研究所客員教授
板倉 陽一郎
COVID-19対応とデータの利活用・保護
2019年12月以降のCOVID-19 (新型コロナウイルス感染症) 対応は、データ保護法制にも広く影響を与えた。折しも、2020年1月からの第201回国会 (常会) には、データ関連法案が多数提出されていたところであった。テックジャイアントを含む市場の競争環境に関する、「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」 (令和2年法律第38号) 、個人情報保護法のいわゆる3年毎見直しにかかる「個人情報の保護に関する法律等の一部を改正する法律」 (令和2年法律第44号) 、外国法人等である電気通信事業者を規律しようとする「電気通信事業法及び日本電信電話株式会社等に関する法律の一部を改正する法律」 (令和2年法律第30号) 、AIスコア・レンディングの規律を含む「割賦販売法の一部を改正する法律」 (未施行) などである。
いずれも、データ社会の進展に対応したもので、国会での充実した審議が期待されたが、COVID-19の対応のため、そもそも審議自体がミニマムとされ、成立はしたものの、参考人の意見聴取等もほぼ省略されており、不完全燃焼であった。他方、国会の外、COVID-19対応の現場、もちろん、最前線は感染症治療の医療現場、治療薬・ワクチン開発の研究開発現場であろうが、その基盤を支えるデータの利活用・保護についての問題もまた、噴出した。問題は、データの利活用・保護についての政策が誤っていたことではなく、政策がなかったことである。
日本におけるCOVID-19対応からの教訓
1 データの利活用についての無策
日本のCOVID-19対応は、ダイアモンド・プリンセス号対応で先んじて開始されたが、2020年2月25日の「新型コロナウイルス感染症対策の基本方針」 (新型コロナウイルス感染症対策本部決定) 、同年3月13日の「新型インフルエンザ等対策特別措置法の一部を改正する法律」 (令和2年法律第4号) により、本格的に枠組みが定まった。我が国の主たる武器は、感染症法に基づく、保健所の積極的疫学調査をベースとしたクラスター対策であり、それは、緊急事態宣言の前後でも、基本的に変わっていない。積極的疫学調査~クラスター対策の流れは、もちろん、患者等のデータが集約されて利活用されるということになるのであるが、恐るべきことに、データの利活用という点においては、無策といえる状態であった。例をあげよう。
以上のいくつかの例をあげるだけでも、データの利活用を巡るバタバタ感が伝わってくるであろう。これは偏に、感染症法等のスキームが、有事の際のデータの利活用・流れを想定してできていなかったからである。平時から、共通のシステム・フォーマットを用いていなければ、患者等のデータをリアルタイムに集計するということは不可能であるし、民間事業者のデータを取得して用いるということであれば、コンタクト・トレーシングアプリでもあやふやであったように、政府自身が覚悟をもって、保有者として、法令上の根拠に基づいて、データを用いることができる体制を整えておかなければならなかった。その際には、当然のことながら、内閣法制局における憲法適合性を含めた審査がなされるし、国会での議論も重要であろう。
しかし、逃げてはいけない。有事の際に適切なデータを得て、適切なアクターが適切に判断するためにどのようなデータをどこから取得して、どのように用いるのか。そのような想定を制度に落とし込んでいなければ、データの利活用については無策であったと評価されても仕方ないのである。
2 データの保護についての無策
日本の個人情報保護制度は、民間事業者・政府行政機関・独立行政法人等で別の法令を根拠としており、さらに、地方公共団体は別々の条例で規律されている (いわゆる個人情報保護法令2000個問題) 。感染症法等、法令に基づいたデータの利活用の施策であれば、個人情報保護制度との衝突は生じない。また、民間事業者が個人に関する情報ではないレベルにまで加工した上で、政府にビッグデータを提供したり、すべて同意ベースでコンタクト・トレーシングアプリを設計したりする場合もまた、個人情報保護制度との衝突は最小限度であろう。
他方、複数の自治体で、COVID-19に対応した施策を行おうとするとき、個人情報保護法令2000個問題が火を吹くこととなる。具体的には、LINE株式会社が各都道府県をサポートして展開している「新型コロナ対策パーソナルサポート」である。これは、LINEのアカウントでアンケートに答えることで、COVID-19への感染等のおそれを早期に察知して、都道府県から適切なサポートを行うためのものであり、データの保有者は都道府県となる。
ところが、都道府県の個人情報保護条例はそれぞれ別であるから、流用するというわけにはいかない。LINEとしては、全都道府県へのサポートを想定していたそうであるが、各都道府県の個人情報保護条例の解釈等を加味したプライバシーポリシーの策定は想像以上の難行であり、数十の展開で「力尽きた」とのことである。
さて、サポートするLINEを疲弊させ、何が守られたのか。地方公共団体で別々となっている個人情報保護条例の些末な文言の違いにどれほどの価値があり、それによって住民の権利利益は守られているのか。個人情報保護条例2000個問題の解消は待ったなしである。既に、民間事業者・政府行政機関・独立行政法人等の法令についての官民一元化の立案作業は開始されており、2021年通常国会に提出されるという。自由民主党政務調査会デジタル社会推進特別委員会による「デジタル・ニッポン2020」 (2020年6月11日) には、COVID-19対応の反省も踏まえ、「2000個問題」がそのまま、6回も登場する。データの保護についての無策も、改められなければならない。
世界におけるCOVID-19対応からの教訓
COVID-19対策に追われたのは、日本だけではない。世界中で、COVID-19対応とデータ保護についての議論がなされた。欧州のデータ保護機関の集合体である欧州データ保護会議 (EDPB) は、異例の頻度で会合を開催し、以下のような文書を次々発出している。
"Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak"
"Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak"
"Statement on the processing of personal data in the context of reopening of borders following the COVID-19 outbreak - 16/06/2020"
"Statement on the data protection impact of the interoperability of contact tracing apps - 16/06/2020"
"Statement on restrictions on data subject rights in connection to the state of emergency in Member States—02/06/2020"
"EDPB Letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic—14/04/2020"
"Mandate on the processing of health data for research purposes in the context of the COVID-19 outbreak—07/04/2020"
"Mandate on geolocation and other tracing tools in the context of the COVID-19 outbreak—07/04/2020"
"Statement on the processing of personal data in the context of the COVID-19 outbreak—19/03/2020"
欧州内での医療現場の協力は必ずしも十分なされているとはいえず、国境を超えたデータの利活用が積極的になされているという情報も、少なくとも報道レベルではみられない。しかしながら、日本の緊急事態宣言とは比較にならないほどの人権制限を伴う都市封鎖 (ロックダウン) が実施されていた欧州で、データ保護自体が基本権であるという考え方のもと、適切なデータ保護のもとでデータ利活用がされるための検討が、極めて短期間になされたことがわかる。
日本は、欧州と、データ保護制度について相互の認証を行っている。上記のように、我が国では、COVID-19と戦うにあたり、データの利活用についても、データの保護についても、無策であったと評価せざるを得ないが、有事にあってもなお、基本権の保護の観点から意見を出し続けているEDPBの文書群は、是非とも参考にされなければならないであろう。
結語
有事にあって、平時に準備していなかったことが、突如できるわけもなく、また、COVID-19対応は、あり得た有事の一つに過ぎない。南海トラフ地震、首都圏直下型地震、普段目をつぶっている安全保障の問題、いずれにおいても、データの利活用及び保護について、事前にどのような制度を設計しておかなければならないのか、待ったなしで検討する必要がある。有事になって、無策のまま、あたふたと対応しても、死者が爆発的に広がらなかった理由はなおも不明であり、これに甘んじてはならない。コロナ後の世界は、コロナを含む次の有事についての現実的かつ、適切な準備を始めることから一歩を踏み出すほかない。
ひかり総合法律事務所弁護士
理化学研究所革新知能統合研究センター客員主管研究員
国立情報学研究所客員教授
板倉 陽一郎
COVID-19対応とデータの利活用・保護
2019年12月以降のCOVID-19 (新型コロナウイルス感染症) 対応は、データ保護法制にも広く影響を与えた。折しも、2020年1月からの第201回国会 (常会) には、データ関連法案が多数提出されていたところであった。テックジャイアントを含む市場の競争環境に関する、「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」 (令和2年法律第38号) 、個人情報保護法のいわゆる3年毎見直しにかかる「個人情報の保護に関する法律等の一部を改正する法律」 (令和2年法律第44号) 、外国法人等である電気通信事業者を規律しようとする「電気通信事業法及び日本電信電話株式会社等に関する法律の一部を改正する法律」 (令和2年法律第30号) 、AIスコア・レンディングの規律を含む「割賦販売法の一部を改正する法律」 (未施行) などである。
いずれも、データ社会の進展に対応したもので、国会での充実した審議が期待されたが、COVID-19の対応のため、そもそも審議自体がミニマムとされ、成立はしたものの、参考人の意見聴取等もほぼ省略されており、不完全燃焼であった。他方、国会の外、COVID-19対応の現場、もちろん、最前線は感染症治療の医療現場、治療薬・ワクチン開発の研究開発現場であろうが、その基盤を支えるデータの利活用・保護についての問題もまた、噴出した。問題は、データの利活用・保護についての政策が誤っていたことではなく、政策がなかったことである。
日本におけるCOVID-19対応からの教訓
1 データの利活用についての無策
日本のCOVID-19対応は、ダイアモンド・プリンセス号対応で先んじて開始されたが、2020年2月25日の「新型コロナウイルス感染症対策の基本方針」 (新型コロナウイルス感染症対策本部決定) 、同年3月13日の「新型インフルエンザ等対策特別措置法の一部を改正する法律」 (令和2年法律第4号) により、本格的に枠組みが定まった。我が国の主たる武器は、感染症法に基づく、保健所の積極的疫学調査をベースとしたクラスター対策であり、それは、緊急事態宣言の前後でも、基本的に変わっていない。積極的疫学調査~クラスター対策の流れは、もちろん、患者等のデータが集約されて利活用されるということになるのであるが、恐るべきことに、データの利活用という点においては、無策といえる状態であった。例をあげよう。
(1) 患者等からの保健所の情報収集は電話、病院から保健所への連絡はFAXであった。共通のシステム・フォーマットで瞬時に集計するという体制からは程遠かったのである。
(2) ビッグデータの利活用について、政府は独自の収集をすることなく、任意で、民間事業者から、しかも、既に民間事業者に加工して貰った上で (!) 提供を受けるという施策を採用した。「新型コロナウイルス感染症のクラスター対策に資する情報提供に関する協定締結の呼びかけについて」 (厚生労働省、2020年3月27日) 及び、「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供について (要請) 」 (内閣官房他、2020年3月31日) が根拠となっている (感染症法が根拠ではない) 。
(3) シンガポール等で先んじて導入されているいわゆるコンタクト・トレーシングアプリについては、2020年4月6日以降、内閣官房に「新型コロナウイルス感染症対策 テックチーム」が設置され、データ保護の専門家を含む「接触確認アプリに関する有識者検討会合」での議論を経た上で、2020年6月19日に提供される予定であるが、データの保有者については、Google及びAppleのAPI提供の条件の一つが、データの保有者が政府 (公衆衛生当局) とならなければならないということであると確定されるまでは、流動的であった。つまり、民間事業者がデータの保有者となるコンタクト・トレーシングアプリもあり得た。
以上のいくつかの例をあげるだけでも、データの利活用を巡るバタバタ感が伝わってくるであろう。これは偏に、感染症法等のスキームが、有事の際のデータの利活用・流れを想定してできていなかったからである。平時から、共通のシステム・フォーマットを用いていなければ、患者等のデータをリアルタイムに集計するということは不可能であるし、民間事業者のデータを取得して用いるということであれば、コンタクト・トレーシングアプリでもあやふやであったように、政府自身が覚悟をもって、保有者として、法令上の根拠に基づいて、データを用いることができる体制を整えておかなければならなかった。その際には、当然のことながら、内閣法制局における憲法適合性を含めた審査がなされるし、国会での議論も重要であろう。
しかし、逃げてはいけない。有事の際に適切なデータを得て、適切なアクターが適切に判断するためにどのようなデータをどこから取得して、どのように用いるのか。そのような想定を制度に落とし込んでいなければ、データの利活用については無策であったと評価されても仕方ないのである。
2 データの保護についての無策
日本の個人情報保護制度は、民間事業者・政府行政機関・独立行政法人等で別の法令を根拠としており、さらに、地方公共団体は別々の条例で規律されている (いわゆる個人情報保護法令2000個問題) 。感染症法等、法令に基づいたデータの利活用の施策であれば、個人情報保護制度との衝突は生じない。また、民間事業者が個人に関する情報ではないレベルにまで加工した上で、政府にビッグデータを提供したり、すべて同意ベースでコンタクト・トレーシングアプリを設計したりする場合もまた、個人情報保護制度との衝突は最小限度であろう。
他方、複数の自治体で、COVID-19に対応した施策を行おうとするとき、個人情報保護法令2000個問題が火を吹くこととなる。具体的には、LINE株式会社が各都道府県をサポートして展開している「新型コロナ対策パーソナルサポート」である。これは、LINEのアカウントでアンケートに答えることで、COVID-19への感染等のおそれを早期に察知して、都道府県から適切なサポートを行うためのものであり、データの保有者は都道府県となる。
ところが、都道府県の個人情報保護条例はそれぞれ別であるから、流用するというわけにはいかない。LINEとしては、全都道府県へのサポートを想定していたそうであるが、各都道府県の個人情報保護条例の解釈等を加味したプライバシーポリシーの策定は想像以上の難行であり、数十の展開で「力尽きた」とのことである。
さて、サポートするLINEを疲弊させ、何が守られたのか。地方公共団体で別々となっている個人情報保護条例の些末な文言の違いにどれほどの価値があり、それによって住民の権利利益は守られているのか。個人情報保護条例2000個問題の解消は待ったなしである。既に、民間事業者・政府行政機関・独立行政法人等の法令についての官民一元化の立案作業は開始されており、2021年通常国会に提出されるという。自由民主党政務調査会デジタル社会推進特別委員会による「デジタル・ニッポン2020」 (2020年6月11日) には、COVID-19対応の反省も踏まえ、「2000個問題」がそのまま、6回も登場する。データの保護についての無策も、改められなければならない。
世界におけるCOVID-19対応からの教訓
COVID-19対策に追われたのは、日本だけではない。世界中で、COVID-19対応とデータ保護についての議論がなされた。欧州のデータ保護機関の集合体である欧州データ保護会議 (EDPB) は、異例の頻度で会合を開催し、以下のような文書を次々発出している。
"Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak"
"Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak"
"Statement on the processing of personal data in the context of reopening of borders following the COVID-19 outbreak - 16/06/2020"
"Statement on the data protection impact of the interoperability of contact tracing apps - 16/06/2020"
"Statement on restrictions on data subject rights in connection to the state of emergency in Member States—02/06/2020"
"EDPB Letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic—14/04/2020"
"Mandate on the processing of health data for research purposes in the context of the COVID-19 outbreak—07/04/2020"
"Mandate on geolocation and other tracing tools in the context of the COVID-19 outbreak—07/04/2020"
"Statement on the processing of personal data in the context of the COVID-19 outbreak—19/03/2020"
欧州内での医療現場の協力は必ずしも十分なされているとはいえず、国境を超えたデータの利活用が積極的になされているという情報も、少なくとも報道レベルではみられない。しかしながら、日本の緊急事態宣言とは比較にならないほどの人権制限を伴う都市封鎖 (ロックダウン) が実施されていた欧州で、データ保護自体が基本権であるという考え方のもと、適切なデータ保護のもとでデータ利活用がされるための検討が、極めて短期間になされたことがわかる。
日本は、欧州と、データ保護制度について相互の認証を行っている。上記のように、我が国では、COVID-19と戦うにあたり、データの利活用についても、データの保護についても、無策であったと評価せざるを得ないが、有事にあってもなお、基本権の保護の観点から意見を出し続けているEDPBの文書群は、是非とも参考にされなければならないであろう。
結語
有事にあって、平時に準備していなかったことが、突如できるわけもなく、また、COVID-19対応は、あり得た有事の一つに過ぎない。南海トラフ地震、首都圏直下型地震、普段目をつぶっている安全保障の問題、いずれにおいても、データの利活用及び保護について、事前にどのような制度を設計しておかなければならないのか、待ったなしで検討する必要がある。有事になって、無策のまま、あたふたと対応しても、死者が爆発的に広がらなかった理由はなおも不明であり、これに甘んじてはならない。コロナ後の世界は、コロナを含む次の有事についての現実的かつ、適切な準備を始めることから一歩を踏み出すほかない。