組織の問題解決

この投稿は,固定ページ「問題解決と創造の頁」「政府:力と公共政策」の記事を投稿したものです。固定ページは,その内容を,適宜,改定していますので,この投稿に対応する最新の記事は,固定ページ「政府:力と公共政策」をご覧ください。法を制定し(立法),適用する(行政,司法)ことも政府の役割ですから,この分野は,弁護士業務と密接な関係があります。

「政治」が注目される理由

私は,現代社会が抱える様々な「問題解決と創造の頁」,これを生活・仕事,政府・企業,環境の5つ要素から考えたいと思っている。

ところで,私たちは,普段,5要素の何が大切だと考えているだろうか。普通に考えれば,生活であり,それを支える仕事,更にはこれらの活動の場となる環境であろう。

しかし,私たちが一番興味を持つのは(あるいは持たされるというべきか),政府の支配者の選定,行動に係わる「政治問題」であろう。そうなるのは,ひとつは,政府を国家と同視することによるのだと思う(国家という用語は多義的であるが,5要素を含む構造である社会に比して,国家は5要素を含む歴史,地理的概念として使用されることがあり,その場合,すべての問題が,政府=国家に含まれることになる。)。

もう一つは,民主制を支える国民として,支配者の選定,行動についての正当な関心に基づくものであるが,支配者側の専門性,秘密性,権威性を盾にした権力の壁は厚く,国民はほとんどすべての面で情報操作されているという方が実態に近いだろう。更に,政府は,国民全体の代表として,外交の延長上に戦争を企て,実行する。戦争は,生活領域に近接ないし生活領域内で行なわれれば,生活,仕事,環境のすべてを破壊しかねない行為である。そんなことは分かっているはずだが,戦争が実行された後に,それに気が付くというのがお決まりの「歴史」である。政府の財政,社会福祉制度が破たんしようと,円が大暴落してハイパーインフレになろうと,立ち直る方法はあるが,戦争は立ち直り至難な問題である。だから私は,戦争だけには入り込まない「政府」を選定するのが,最低限の国民の「良識」だと思う。こんなことを考えなければならないこと自体,「政府」にはいい加減にしてもらいたいと思うが,どこの国の「政府」もレベルはあまり変わらない。

力と公共政策

政府の問題は,力と公共政策が基本的な問題である。これを,国内の支配・公共政策と,国際・戦争問題に分けて考察することができる。

支配の問題は,「行政学講義」(「行政学講義」を読む)を出発点にしたい。公共政策の問題は「入門 公共政策学」(「公共政策」という「窓」を通して社会の構造を理解する)で検討に着手した。

検討すべき本

今後検討すべき本を,紹介しておく。

支配・公共政策

  • 行政学講義
  • 入門 公共政策学
  • 自治体行政学
  • 自治体政策法務講義
  • 啓蒙思想2.0
  • ンプルな政府
  • 哲学と政治講義
  • 公共政策を学ぶための行政法入門

国際・戦争

  • 国際法
  • 国際法(大沼)
  • 国家興亡の方程式
  • 避けられたかもしれない戦争
  • 入門 国境学
  • 「教養」として身につけておきたい戦争と経済の本質
  • 戦略原論 軍事地平和のグランド・ストラテジー

 

 

法とルール

分野別法律問題の手引

「弁護士業務案内」の中に、皆さん、そして私自身のために、「分野別法律問題の手引」という項目を設けている。名前はいろいろと変えているのだが、なかなかぴったりしたものがない。

内容は単純で、その分野で参考になると思う、実務書、体系書を何点か選んで、その詳細目次を掲載したものである。その分野に関して解決したい法律問題がある場合に、これを見るなり、このサイトで検索するなりして、問題の所在を把握し、それから調査の範囲を拡大して法律問題解決への「手引」になればと思い、とりあえず作成したものである。全体を整理し、一覧して眺めるということは、それだけで意味があることだ。

一応掲載できた分野は、「IT・AI法務」、「企業法務」、「中小企業法務」、「会社法務・金融法務」、「医療機関の法務」、「行政法務」、「租税法務」、「著作権法務」、「航空法務」、「立法と法解釈を考える」、「法律判例の調査」(ただしこれは一部未修正)で、作成中は、「労働法務」、「国際法務」、「知財法務」である。

活用法をみつけたい

ただこれだけでは、あまりにも漠然として活用がむつかしいと思うので、今後、その分野のポイントとなるようなTipsを補っていきたいと思っている。それだけではいまいちだが、何かに取り組むと、いろいろなアイデアが浮かんでくるのは、間違いない。ITを活かす方法はないかなあ。

法とルール

楽しくない時代

最近、個人情報の保護に関する法律(以下「保護法」)に関して検討した事案があり、2017年5月30日から改正保護法が全面施行されたこともあるので、改めて保護法について基本から考えてみることにした。IT、AIに関する法務のかなりの部分は、「情報」、「データ」が関連するので、「AIと法」の法部門の嚆矢にふさわしいだろう。

さて多くの事業主や企業は「御社のした個人情報の取得(提供)は、違法である」といわれると、それだけで震え上がってしまう。これにプライバシー、コンプライアンス、説明責任と畳みかけられると、頭の中が真っ白になってしまうことになる。でもそのような指摘が正しいことは稀である。

今は、「個人情報」に限らず、本来正しい出自を持つ(であろう)言葉が、本来的な定義や意味内容とは関係なく「語感」を恣意的に膨らませたイメージを基にして、「ゴシップ」(ロビン・ダンバーがいう言語の起源を想定している。)の「武器」として使用され、あたかもそれが真実であるかの如くネットを通じて勢いよく拡散、流通してしまう。

何が正しいのかとは別に、このような事態になりそうな、あるいはなってしまったときの最低限の対応(あるいは心構え)だけは考えておく必要がある。私はIT、AI大好き人間であるが、この「ゴシップ」の拡散、流通を楽しいとは思わない。

前振りが長くなってしまったが、「ゴシップ」の拡散問題は追々考えていくとして、ここではまず「個人情報」として降りかかってきた火の粉を、正当に振り払うために、保護法を基本から考えてみよう。

まず本項(その1)では、保護法に違反するとどうなるのか、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であること、そもそも「個人情報」とは何かという、保護法の「尾根」を辿ってみよう。

保護法に違反するとどうなるのかを考えよう

指導、助言、勧告(それでも是正されなければ命令)を受けるだけであること

保護法は、「個人情報取扱事業者」が「個人情報」(及び「個人データ」、「保有個人データ」)を取り扱う(取得、利用、提供等する)場合のルールを定めている。取り扱う「情報」が何種類にも分かれ(改正法によって「個人識別符号」、「要配慮個人情報」、「匿名加工情報」が付加された。)、それに応じてなすべき行為も複雑に絡みあっているので、お世辞にも分かりやすいとはいえない。取り扱う「個人情報」が膨大で違反した場合の影響が大きい大手事業者以外は、内心びくびくしながら、表面をなぞって済ませるのが精一杯であろう。

ところで精一杯なぞった結果、残念ながら保護法に違反していた場合、どうなるのであろうか。

それは、保護法の「第3節 監督」に書かれている。

「個人情報取扱事業者」に何か問題があったら(ありそうだったら)、

①必要な報告若しくは資料の提出を求められたり、立入検査を受けることがあります(40条1項)、

②個人情報等の取扱いに関し必要な指導及び助言を受けることがあります(41条)、

③「保護法の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告されることがあります(42条1項)、

④「勧告を受けても正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、その勧告に係る措置をとるべきことを命じられることがあります(42条2項)、

⑤「緊急の場合はいきなり命じられることもあります」(42条3項)という流れになる。

そして、 ④⑤に違反した場合は、「6月以下の懲役又は30万円以下の罰金に処する」、①に従わなかった場合は、「30万円以下の罰金に処する」ことになる。

おや!「個人情報」の取扱いに不備があった場合は、お役所にいろいろと調べてもらって、保護法に沿うように指導、助言、勧告をしてもらい、それを聞き入れず、命令にも従わなかった場合にはじめて「6月以下の懲役又は30万円以下の罰金」?これは決して重い罰則ではないし、お役所がそこまでやってくれたのなら普通は聞き入れるだろう。

その外に苦情処理制度に付き合わされることもある。多少煩わしい場合があるかも知れないが、それも問題がある場合に任意の解決をしようとする制度だ。

それに、今回の法改正で「個人情報取扱事業者」には、事実上、すべての事業者が含まれることになったこともあり、大量あるいはセンシティブな「個人情報」を取り扱っている事業者以外の行為が問題になることは稀であろう。

要は、保護法は、これからの「高度情報通信社会の進展」の中で大量に流通する「個人情報」の取扱いは極めて大切なことだから、漏洩等が生じないようにみんなで保護法のルールを守りましょうという、ソフトな「仕組み」になっている(「交通違反」の対応とは大違いだ。)。そう考えると、随分気楽になるし、保護法のルールも冷静に取り入れようという気になるのではないか。

それだけでは済まない問題もある

ただそれにも拘わらず、どうして「個人情報」の取扱いがこれほど問題なることがあるのだろうか。

ひとつは、「個人情報」の他に、「プライバシー」という法律上保護される利益があり、「個人情報」と「プライバシー」が重なる部分があって、保護法に違反することが、プライバシーの侵害と同視され、非難、クレームの対象とされてしまうことがあることにあろう。実態は単なる「ゴシップ」の類で言いがかりに等しい場合もあるが、そうでない場合もある。事業者としては「炎上」を意識し、内容に応じた適切な対応をすることを余儀なくされるのはやむを得ない。

もうひとつは、「個人情報」が業法に組み入れられている業種があり、その場合は、免許の問題にもなってしまうことがある。

さらに保護法の条文の構成、内容の出来がよくないことからもたらされる混乱もある。以下、これについて2点指摘しよう。

事業者が保護法によって取り組むべき課題は「個人情報データベース」の適切な運用であること

事業者が保護法によって取り組むべき一番大事な課題(ルール)は「個人情報データベース」の適切な運用である。そもそも保護法が適用される「個人情報取扱事業者」とは「個人情報データベース等を事業の用に供している者」(保護法2条5項)であり、個人情報データベース等を事業に使っていない者は、保護法の適用を受けないから、「個人情報」(「個人データ」、「保有個人データ」)についてのルールは一切適用されない。

事業者が、「個人情報データベース」を利用するからこそ、その構成「要素」である「個人情報」の「取得や利用目的」についてのルール、及び「個人情報データベース」のうち事業者に管理権限のあるもの(「保有個人データ」)について一定の事項の公表や本人の開示等の請求に対応する義務が定められているのである(保護法27条~34条)。

ここで用語を整理しておくと、「個人情報データベース等」とは、「個人情報を含む情報の集合物であって、ⅰ特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの及び、ⅱ特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるものから、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除いたもの」である(保護法2条4項)。ざっくりとPCで利用する「個人情報データベース」(整理された紙情報も含むが)を念頭に置けば足りるだろう。

そして、個人情報データベースを構成する個人情報を、「個人データ」と呼称し、保護法は個人情報データベースを構成する「個人データ」について、正確性の確保等、安全管理措置(従業員、委託先の監督を含む。「情報セキュリティ管理」)、第三者提供の制限を規定している(保護法19条ないし26条)。

ここが事業者の「本丸」である。データベースの情報が漏洩したり、丸ごと第3者に提供されたりすることについて、守るべきルールがあり、そこに義務が課されているというのは当然であるし、それは分かりやすいであろう。

更に一定の管理権限を有する「保有個人データ」についての「個人情報データベース」について、付加的な義務が課されているのは前述のとおりである。

この部分の各論は、「その2」に譲ろう。

「個人情報」をめぐって

「個人情報」についての規定

保護法は、「個人情報」について15条から18条に規定している。

保護法を読む場合、まず2条の定義を読み、15条から18条を読むのが普通であるが、これを読んで、ここに何が書かれ、具体的にこれがどういうルールなのか、理解できる人はいないだろう。それほど不安定で曖昧模糊として書きぶりになっている。

しかし、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であることを理解し、「個人情報」は取得後、「個人情報データベース」の「個人データ」として加工、収納されるが、その間の、どこに落ち着くか分からないぼやっとした過程を、「取得」、「利用目的」で制御したのが「個人情報」の規定であると捉えれば、随分分かりやすくなる。

個人情報の取得

「個人情報」の「取得」は出発点であるが、「偽りその他不正の手段」によらない限り自由に取得すべきものである(ただし、改正法で導入された「要配慮個人情報」の取得には本人の「同意」が必要である。)。

「個人情報」の「利用目的」とは何か

問題は入り組んだルールになっている「利用目的」であるが、目的であるから「……のため」に利用するという形で、できる限り特定することになろうが、ここでも、個人情報は「個人情報データベース」に加工、収納されるべき要素であるから、「利用目的」は、「個人情報データベースを構築しこれを……のために利用する」という形で問題になると考えるのが分かりやすい。

したがって個人情報取扱事業者(個人情報データベース等を事業の用に供している者)が、個人情報データベースと無関係に取得した「個人情報」は、保護法の埒外にあると解すべきであろう。中小の事業主や企業ではこの種の一過性の「個人情報」が問題とされることが多い。仮に、個人情報取扱事業者である限りすべての「個人情報」について保護法の適用があると解するのであれば(お役所は、目的的な「解釈」ができないことから、無反省にそのようなことを言う)、保護法18条の解釈に工夫を凝らすことになろう。さらにそのような「個人情報」は個人情報データベースに組み入れられることはないから、有形情報は廃棄すれば足りる。

そもそも「個人情報」とは何か

ここで、通常一番最初に取り上げられるそもそも「個人情報」とは何かについて検討する。

「個人情報」の定義の基本は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」である(法2条1項)。

すなわち、「生存する個人に関する情報」のうち、その中に記述された「氏名、生年月日等」(「識別の手段となる情報」といえよう、)があることで、特定の個人を識別することができるものである。

「生存する個人に関する情報」の中に記述された「氏名、生年月日等」の「識別の手段となる情報」だけでも「個人情報」ではあろうが、そんなカスカスの情報に特段の意味があるわけではなく、それによって特定の個人のものであることが分かる「生存する個人に関する様々な情報」が、保護法の「保護」に値する「個人情報」である。

そうであるからこそ「識別の手段となる情報」はなくても、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」は、「個人情報」となることが理解できる。

これまでの世上流通していた「解説」は「個人情報」として主として「識別の手段となる情報」だけを取り上げていたから、わかりにくさが倍増していた。それが保護法から人を遠ざけていた面があったと思うが、今回の法改正によってこの点の理解は深まったように思う。

その1のまとめ

以上、保護法に違反すると事業者はどうなるのか、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であること、そもそも「個人情報」とは何かという、保護法の「尾根」を辿ってみた。「その2」では、事業者が取り組むべき課題について詳述することにする。

こういう俯瞰図の元に保護法にアクセスすると、随分、分かりやすいと思うのだが、ここまででかなりの分量になってしまった。以下、参照条文を載せておく。