東洋大学 副学長(学生・スポーツ担当)、東洋大学 法学部法律学科 教授
修士(法学)。専門分野は公文書管理、行政法。成城大学大学院法学研究科博士課程後期単位取得退学後、高岡法科大学、大宮法科大学院大学、桐蔭横浜大学大学院を経て、2015年より現職。2020年より東洋大学副学長(学生・スポーツ担当)。また、2010年2月からは法律事務所フロンティア・ローで客員弁護士を務めている。共著に『こんなときどうする?自治体の公文書管理~実際にあった自治体からの質問36』(第一法規)、『法律家のための行政手続ハンドブック』(ぎょうせい)など。
▶東洋大学入試情報サイト「TOYOWebStyle」で早川先生のWeb体験授業の動画コンテンツをご覧いただけます。
動画で見るWeb体験授業 公文書管理―誰のため、何のため?―
私たちの生活と密接に関わる、個人情報・公文書・肖像権とは
――まずは、早川先生のご専門について教えてください。
情報公開と個人情報保護、公文書管理を専門に研究しています。情報公開とは、国や自治体が行っていることや市民生活に関する情報を請求によって開示する制度を指します。例えば、私たちが普段目にする新聞記事やテレビ番組のニュースの中にも、この情報公開制度を利用して作られたものがあります。一般に広く公開されていない情報についてはマスコミ関係者が開示請求を行い、国や自治体は情報を開示する。そうして得た情報をマスコミ各社が発信し、私たちの元へ情報が届く、という仕組みになっています。私たちは、知らず知らずのうちに情報公開制度の恩恵を受けているんですよ。
また、公文書管理についても、実は私たちの生活にとても身近な学問分野です。公文書とは、広い意味合いでは「国や市役所が、仕事上で作成したもの、または仕事上で国民から取得したもの」を示します。そのため、公務員が作成した書類のみならず、私たちが区役所・市役所に提出した書類や、税務署に提出した確定申告の書類も公文書となります。先ほどお話した公開制度で開示するのは、この公文書なんです。つまり、情報公開を正しく行うためには、そのもととなる公文書が正しく作成・取得され、その管理や保存が適切になされていなければなりません。「公文書管理は、情報公開の前提条件である」という認識のもと、公文書管理や情報公開について、法的な視点から研究しています。
――情報公開も公文書管理も、私たちの生活にとても身近なのですね。公開される情報には個人情報を含むこともあると思いますが、そもそも個人情報は法律上でどのように定義されているのでしょうか。
法律上、個人情報は「特定の個人が識別できる情報」と定められています。例えば、生年月日や氏名、住所などが該当します。さらに、写真についても写り方によっては特定の個人を識別できるため、個人情報になりうるのです。
ここでポイントになるのが、「個人情報」と「プライバシー」は異なるということです。個人情報は「特定の個人を識別できる情報」で、プライバシーは多くの場合「他人から干渉されない権利」「他人に知られたくない情報」を指します。他人に知られたくない情報の中には、特定の個人が識別できる内容が含まれる可能性もあるため、プライバシーのほうが個人情報よりも広い範囲を示すものだと言えるかもしれません。
実際に、日常生活に即した例で考えてみましょう。自分が友人のAさんから「Bさんのメールアドレスを教えて」と言われた場面を想像してみてください。親しい友人Aからの頼みであれば、その場にいない友人Bの連絡先をつい教えてしまうかもしれませんが、この行動は「個人情報の漏洩」と「プライバシーの侵害」どちらにも該当しうるのです。
まず、Bさんのメールアドレスが、ユーザー名と学校や企業のドメイン名によって構成されていれば、特定の個人を識別できるため個人情報にあたります。個人情報を誰に・どうやって開示するかは基本的に本人の意思によるので、勝手にAさんへ伝えてしまうと個人情報の漏洩になりかねません。また、Bさんが「メールアドレスをいろんな人に教えたくない」と考えていた場合、メールアドレスは「他人に知られたくない情報」、つまりプライバシー情報に該当します。そのため、Bさんの許可なく、勝手にAさんへ教えることはプライバシーの侵害になりえます。個人情報とプライバシーはイコールの関係で考えられることが多いですが、決してそうではないというのが重要ですね。
――パーソナルかつ重要な情報が個人情報であると考えていましたが、特定の個人を識別できるものはすべて個人情報になるのですね。写真も個人情報に該当するケースがあるとのことですが、肖像権との関連性があるのでしょうか。
肖像権についても、個人情報やプライバシーの定義と重なる部分があります。実は、肖像権は法律で明確に定められておらず、裁判所による判断、いわゆる「判例」のもとで保護されている権利です。判例とは、個別の事件に対して下された判決ですが、肖像権については次の2つの判例から法的に保護されていると考えられています。
(最大判昭和44年12月24日刑集23巻12号1625頁:京都府学連事件)
憲法一三条は、「すべて国民は、個人として尊重される。生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。」と規定しているのであつて、これは、国民の私生活上の自由が、警察権等の国家権力の行使に対しても保護されるべきことを規定しているものということができる。そして、個人の私生活上の自由の一つとして、何人も、その承諾なしに、みだりにその容ぼう・姿態(以下「容ぼう等」という。)を撮影されない自由を有するものというべきである。(後略)
憲法一三条は、「すべて国民は、個人として尊重される。生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。」と規定しているのであつて、これは、国民の私生活上の自由が、警察権等の国家権力の行使に対しても保護されるべきことを規定しているものということができる。そして、個人の私生活上の自由の一つとして、何人も、その承諾なしに、みだりにその容ぼう・姿態(以下「容ぼう等」という。)を撮影されない自由を有するものというべきである。(後略)
(最―小判平成17年11月10日民集59巻9号2428頁:法廷写真事件)
(前略)
また,人は,自己の容ぼう等を撮影された写真をみだりに公表されない人格的利益も有すると解するのが相当であり,人の容ぼう等の撮影が違法と評価される場合には,その容ぼう等が撮影された写真を公表する行為は,被撮影者の上記人格的利益を侵害するものとして,違法性を有するものというべきである。
(前略)
また,人は,自己の容ぼう等を撮影された写真をみだりに公表されない人格的利益も有すると解するのが相当であり,人の容ぼう等の撮影が違法と評価される場合には,その容ぼう等が撮影された写真を公表する行為は,被撮影者の上記人格的利益を侵害するものとして,違法性を有するものというべきである。
二つの判例をまとめると、肖像権とは、①「自分の姿について勝手に撮影されない自由」②「自分の姿が撮影されたものを勝手に公表されない自由」を認めた権利ということになります。
――近年は、テレワークが普及してきたことでオンライン会議を行う機会も増えていますが、肖像権はもちろんオンラインでも保障されますよね。
その通りです。機材に関わらず、撮影が行われているのであれば保障される権利になります。オンライン会議で自発的にカメラをオンにするのは構いませんが、強制されているのであれば先ほど述べた①「撮影されない自由」を奪われていることになります。また、オンライン会議の主催が自分でなければ、自分の姿を公表する範囲を他者が決めてしまうことにつながります。そうなると、②「自分の姿が撮影されたものを勝手に公表されない自由」も侵害されることになりますね。
――確かに、招待されてオンライン会議に参加したら、自分の想像以上に参加者が多いこともありますし、そうした環境で面識のない人に「●●株式会社の××さんって、こんな顔なんだ」と知られるというのは、抵抗があるかもしれません。
テレワークの場合、カメラをオンにして会議に参加するのが当たり前のように語られることも多いですが、必ずしもカメラをオンにする必要はないと思います。例えば、プレゼンテーションを行う場面では表情が見えたほうが感情や伝えたい内容を届けやすいでしょうから、カメラはオンのほうが良いかもしれません。社内の会議で、参加者が全員顔見知りの場合や、表情が分からなくても情報共有や連絡に弊害がない場合は、カメラオンを強制しなくても良いと思います。カメラをオンにする必要性と、オンにすることで侵害される個人の肖像権とのバランスを考えることが肝心です。
オンライン会議やオンライン授業が普及し、カメラをオンにすることが当たり前になっていますが、主催する立場の人は「相手の権利を侵害していないか?」ということを一度立ち止まって考えると良いでしょう。また、参加者の人は「自分には肖像権があるんだ」という意識を持つことが大切ですね。
大切なのは「他山の石」の意識。個人情報漏洩を防ぐ、3つのポイントを知ろう
――肖像権については、日頃のテレワークやオンライン授業の中でも意識することが重要というお話でしたが、個人情報の保護についてはいかがでしょうか。
テレワークでは、前提として「会社の情報を社外で使用して業務を行う」という行為が発生します。個人情報保護においてもっとも重要なのは、この「情報を社外で使用している」という点をしっかりと認識することです。オフィスで働くときと比較して情報をやりとりする場面は増えますし、やりとりした情報を扱う環境も整っていないことが多いため、テレワークでは情報漏洩の危険性が高まるのです。
――情報漏洩が起こりうる場面について、具体的に教えてください。
一般財団法人日本情報経済社会推進協会「個人情報の取り扱いに関する事故を起こさないために【テレワーク時に注意すべきこと】」より作成
大きくは、人為的なミスによる漏洩と、システムの問題による漏洩に分類できます。人為的なミスは、システムの問題に比べ圧倒的に多く、3つに分けられます。
【情報漏洩の人為的なミス① 紛失】
職場からデータを持ち出す際、書類やUSBを用いていると物理的に紛失する可能性があります。最近も個人情報が入ったUSBを紛失し、その経緯や責任について報じるニュースが連日のように流れましたよね(2022年6月23日に尼崎市が公表したUSBメモリー紛失事案)。個人情報が記されたものを拾った人が、その情報を閲覧してしまえば個人情報の漏洩になります。
【情報漏洩の人為的なミス② のぞき見】
オフィスで仕事をする場合、その空間に部外者がいることはほとんどないと思います。しかし、自宅やカフェ、コワーキングスペースなどを想像してみてください。自分の横や後ろに、仕事とはまったく関係のない人がたくさんいますよね。仕事で扱っている個人情報が、そうした関係のない人たちの目に触れることも漏洩になりえるのです。
【情報漏洩の人為的なミス③ 誤送信】
テレワークでは、オフィスと異なる環境や手順で作業を行うことも多いと思います。そうした「普段と違う」場面では、メールの誤送信が非常に増えるのです。Ccに間違った取引先の人を含んでしまったり、添付するデータを間違ってしまったり……。メールアドレスはもちろん、メールの文面や添付データに個人情報が含まれていれば、個人情報の漏洩になります。
【システムの問題による漏洩】
システムの問題とは、業務環境そのもののことを指します。テレワークでは、自宅やカフェなど、個人情報を扱うことを念頭に置いた頑丈なセキュリティ対策がされていない場所でも仕事をします。すると、個人情報を不正に取得しようという悪意を持った人は、そうしたセキュリティレベルの低い環境を狙って攻撃してきます。いくら自分が個人情報を漏らさないように努力をしていても、業務環境や業務で使うシステムが脆弱であれば、漏洩してしまう危険性があるのです。システムの問題については改善をするのに膨大な費用がかかるため、漏洩が起こる前には対策がされにくい傾向にあります。
――さまざまな場面で、かつ、とても身近な場面で情報漏洩をしてしまう可能性がありそうですね。私たちにできる対策はあるのでしょうか。
私たちにできることは3つあります。
1つ目は、「自分を知る」ことです。自分がどんな性格で、どんなときにミスをしてしまうのかを認識することで、個人情報の漏洩だけでなくミスそのものを防ぐことができるでしょう。組織に所属している人の中には、「職場で定められたルールに従おうとすると、ミスしてしまう」ということもあるかもしれませんが、ルールに従うためには自分を変えるほかありません。例えば、作業の手順を変えてみたり、自分なりにチェックリストを作成してみたりなど、組織のルールを守るための「自分なりのルール」を作るのも良いと思います。
2つ目は、「技術を知る」ことです。自分で技術を開発することは難しいですが、情報漏洩をしないための技術を知ることは、それほど難しいことではありません。「古いバージョンのOSを使っていると、脆弱性が高まる」「文書ファイルには、パスワードをつけることができる」など、基本的な技術で良いのです。こうした技術の基礎をたくさん知っていくことで、自分の中にノウハウが積み重なり、自分でその知識を組み合わせて活用していくことができます。
そして、3つ目は「アンテナを高く張り、情報を取り入れる」ことです。残念ながら、情報漏洩の事件はほぼ毎日のように発生しています。しかし、その事件のそれぞれをよく見ていくと、過去に似た事件が起きていることが多いのです。過去の事件を知っていれば、自分ごととして受け止め、新たな事件を未然に防ぐことができたかもしれません。大切なのは、「対岸の火事ではなく、他山の石」という気持ちを持つこと。ニュースとして耳に挟んでおくのではなく、「自分もいつかやるかもしれない」と思うことが大事です。
また、組織に属している人は、「小さなミスを周囲と共有する」ことも重要だと思います。“ヒヤリハット”として知られるハインリッヒの法則は、重大事故の背後には“ヒヤリ”とする軽微な事故が隠れているというものです。自社で起きた小さなミスは、自社だけでなく周囲にも損害をもたらす可能性があるため、この軽微な事故が発生した段階で気を引き締めなければなりません。協力会社が同じようなミスをして大きな事故を招き、自社に損害が出ることもあるかもしれません。このような「ミスの広がり」を念頭において、周囲と連携することも対策の一つですね。
自分の周りで個人情報の漏洩が起きていないのは、今の状態が万全であるからとは限りません。「自分の仕事の進め方や、業務を行う環境は、揺るがない根拠を持って“個人情報を漏洩しない”と言えるだろうか?」という問いを立てながら、対策を取っていくことが大切でしょう。
個人情報保護を取り巻く環境は今後も変わり続ける
――お話を聞いて、テレワークという新しい生活様式が私たちの生活になじんできたことで、個人情報を取り巻く環境も大きく変わっているのだと感じました。技術の発展や生活の変化によっては、今後も大きく変化する可能性があるということでしょうか。
その通りです。実は、個人情報保護や公文書管理の歴史は比較的浅く、法整備も近年ようやく整ってきました。公文書管理については、多くの情報がデータで管理されるようになっていた2011年に法律が施行されたほどです。しかし、デジタル文書を扱う場面が増えたとはいえ、自治体をはじめとする現場では、紙媒体をモデルにした法律やガイドラインが浸透しています。今後、デジタル管理が主流になっていくことで、データをデジタルで扱うことを重視した法律が制定されることも考えられます。
――私たちの生活でも、マイナンバーカードを使って住民票を取り寄せたり、インターネットを使って選挙で不在者投票申請をしたり、デジタル媒体を使って公文書に触れる場面が増えているように思います。
インターネットを介した公文書の利活用は、これからますます増えてくると思いますね。ただし、先ほど述べた通り、公文書管理は歴史の浅い分野です。公文書管理法では大枠しか定められておらず、「抜け穴」と言える部分も多いと感じています。適応すべき変化も多数発生することから、細かい部分は法律ではなく政令や訓令で定めているのですが 、それらの土台となる法律をもっと詳細にしていく必要があるとも考えています。
また、個人情報保護については世界標準化が進みつつあります。日本だけでなく、各国の企業はビッグデータを活用して新製品や新サービスの開発に取り組んでいますが、国ごとに個人情報として扱うデータの種類や取り扱い方に違いがあっては、開発に差が出てきてしまいますよね。そこで、個人情報の保護に関する最低基準をEU域内で適用されているGDPR(General Data Protection Regulation/EU一般データ保護規則)に揃える動きが活発になっています。
日本でも、個人情報保護法をGDPRに合わせて変えている最中なのですが、世界標準に合わせることが正解とは言い切れません。何故なら、元々が高い基準で個人情報を保護できていた場合、その基準を下げることになるからです。現在の日本では、地方公共団体の個人情報保護は各地域に一任されています。しかし、日本が国としてGDPRに合わせる場合、まずは各地方の個人情報保護のレベルを合わせていかなければなりません。GDPRよりも低い基準で運用していた地域はレベルが上がるので問題ありませんが、国よりも高いレベルで、厳格に個人情報保護を行っていた地域や団体は、レベルを下げることになります。例えば、2023年4月1日に施行される改正個人情報保護法では、いくつかの地方公共団体で取り組まれていた故人に関する情報(死者の個人情報)の保護について条例で規定することを認めないとしているなど、その改正内容を疑問視する声も上がっています。こうした課題を見極めながら、デジタル化が進む現代において十分な個人情報保護の制度を整えていく必要があると考えています。