砂糖の甘い付箋

　日本人的には、住居の外観や空撮による撮影と近隣住民のインタビューとを比べると、前者の方がより問題視されたのだろうと思われていることが多いかもしれません。しかし、米国においては、これはほぼ逆の問題意識だということが認識されていないようです。さらに、よくある説明では、例として、自宅の場所を特定できるようにすると本人や家族が強盗などの危険にさらされるからではないかというものです。しかし、これが直接的な問題であるとすれば、著名人は自宅の場所を秘密にして、近隣の住人からも顔を見られないような生活をするしかなくなります。実際には、著名人の住所は薄々知られているし、近隣の住人は知っている状態だと考えるのが現実的です。
　今回の件でも、選手の自宅の場所についての情報をテレビ局が明らかに違法な手段で入手したのなら、日本のテレビ局といえども放映することはなかったと思います。その意味では、どういう手段だったかについて知りませんし、その手段がグレーであったかもしれませんが、明らかな違法ではなく入手したはずだと思います。自宅の場所についての情報とは、住所のことです。住所は、個人情報なので、選手の個人情報を何らかの違法ではない手段で入手した上で、取材活動をしたことになります。
　そこで、この問題を個人情報保護の観点で整理してみます。

　この問題はプライバシーの侵害であるとされたことから、近隣住民にインタビューすることが、近隣住民が迷惑に思うというプライバシー侵害なのではないかと思うかもしれません。（実際に、そういう説明がされていることがあります。）しかし、それは住民にとっては迷惑行為ですが、プライバシーの侵害ではありません。そうではなく、米国においては選手本人へのプライバシー侵害と認識されるのです。近隣住民へのインタビューが、選手のプライバシー侵害？と思うかもしれないので、その説明を本稿でします。

　本人が、自分の個人情報である住所を、自分の意に反した使い方をされたらプライバシーが侵害されたことになります。住所が無断で取り扱われることが直ちにプライバシーの侵害になるわけではなく、その使い方によってプライバシーを侵害したか否かが問われるのです。
　これは当然のことです。そうでないと、近隣の住民がその住所のことを話題にするだけ（＝住所を無断で取り扱っただけ）で、プライバシーの侵害になってしまうわけで、そんなことはありません。　
　では、なぜそれがプライバシーの侵害となったのでしょうか？

　住所が、インタビューする地域の特定に使われ、その近隣に住んでいる人にインタビューするために使われたことになります。すなわち、住所が、近隣住民のインタビューのために使われたということになります。
　これをプライバシー侵害の有無の観点でみると、自分の住所が近隣住民のインタビューのために使われることは、本人の意に反したかどうかということになるのです。そのように考えると、どのような手段で住所を入手したのかは定かではありませんが、それが近隣住民へのインタビューを目的としていたとは考えにくく、よって、意に反したであろうことは明らかとなります。
　つまり、選手の自宅の近隣住民へのインタビューは、選手のプライバシーを侵害したと米国では認識されるのです。
　あえて、日本の個人情報保護法的表現をするならば、選手の住所の利用目的に違反したということです。

　ここで説明したことは、日本の個人情報保護と米国のプライバシー尊重の違いとして見ることができます。個人情報については保護という言い方をしますが、米国ではプライバシーを保護する（protect）という言い方は限定的で、プライバシーを尊重する（respect）と表現します。プライバシーを尊重するための手段として、プライバシー保護という言い方がされることはあります。
　尊重と保護の違いですが、別の話しだと少し直感的にわかるかもしれません。個人の意見を尊重するという表現はしますが、個人の意見を保護するという表現はしないことに似ています。個人の意見を尊重するために、その意見に関する情報の一部を保護することはあるかもしれません。それと同様に、プライバシーを尊重する手段において、プライバシーに係る情報を保護することはありますが、プライバシーは保護されるものではなく尊重されるものです。

　冒頭で、予定の記事の内容を変えたと書きましたが、実は、このプライバシー侵害の話しは、割れ窓理論につながります。

　近隣住民へのインタビューを放置すると、自宅への強盗や家族の誘拐につながるかもしれないのです。
　割れ窓理論は、軽微な犯罪を放置すると、犯罪行為全般への「共同体の障壁」が低下し、甚大な犯罪につながるというものであり、よって、軽微な犯罪を放置しないことが、結果的に甚大な犯罪の予防になるという理論です。
　割れ窓理論では、街の落書きを放置すると、その街で違法なこと又はマナーに反することの共同体障壁が薄れ、やがて、強盗殺人などの重要犯罪につながるとしています。一見すると、落書きを放置すると殺人事件が起きる？と思うかもしれませんが、これは、犯罪は原因論に加えて機会論でも考えるべきという割れ窓理論の本質になるのですが、今回は、その説明をしないことにしたので、それはまたいつかの「機会」に紹介します。
　話しを戻すと、住所の不当使用という軽微なものがインタビューで、甚大なものが選手やその家族への強盗や誘拐なのです。そのため、近隣住民へのインタビューを選手本人の意に反して行うプライバシー侵害を放置することは、それが強盗や誘拐につながる連鎖を断ち切るためには、容認してもらえないのです。このことが、日本のテレビ局ばかりではなく、おそらくほとんどの日本人にはあまり認識されていません。

　本稿の前半で「選手の住所の利用目的に違反した。」と書きましたが、日本法ではこれに違反しない可能性が実はひとつだけあります。それは、利用目的が第三者への提供であった場合です。しかし、これを利用目的とした上で個人情報を入手した場合に、その第三者の利用目的に制限がなくなるという解釈がされるのは、米国に限らず世界中で日本だけの解釈であることはあまり知られていません。米国では、プライバシー侵害は、個人情報の使われ方が問題視されるため、その第三者による使われ方も継承して問題となります。したがって、第三者が第三者提供を目的として個人情報を入手したからと言って、その使われ方の制約から免れないと解釈されているのです。

　昨今の個人情報に関係する先進技術のひとつにはAI処理がありますが、上記の背景により、日本以外の海外においては、個人情報の利用目的の制約から本人が切り離されることはありません。一方で、日本では本人がひとたび「第三者への提供」を拒否しないと、本人の意は切り離されてしまうのです。本人がそれを拒否しないことがうかつであると言ってしまえばそれまでですが、海外では、個人によるその非があったとしても、プライバシーの尊重はそれに勝って尊重されるべきものとされているのです。なぜなら、それは人権として位置付けられているからです。
　これが人権なのか、あるひとつの権利なのかの違いです。仮に自殺を欲していると思われるような言動や選択をしてしまった人を、殺してよいのか悪いのかという違いだと思うとわかりやすいかもしれません。
　この個人情報保護の制度解釈（実際の制度意図がどうであるかより、一般にどう解釈されているか）は、AI開発の拠点として有益であるとされています。端的に言えば、プライバシー尊重が人権ではない日本で開発すれば、プライバシーを尊重することは、第三者提供を利用目的とすることで回避できると思われている面があるからです。個人情報の1次的取得者は海外と同程度に利用目的制限がありますが、1次的取得者が第三者提供を利用目的として同意を取りさえすれば、２次以後の取得者は弱い制約で利用することがグレーではあるけれど明らかな違法とはならないのは、日本だけなのです。

　第三者への提供を利用目的とできる日本の個人情報保護法について、どう思われたでしょうか？これを読んでいる人は、必ずふたつの側面を持っています。それは個人情報の本人としての立場と、個人情報を使って企業活動などをする利用者としての立場です。後者の立場としては、第三者への提供を利用目的にすることができる日本の仕組みは魅力的で甘い誘惑しかありませんが、一方で、本人としての立場でも見て、さらにはあなたのお子さんや大切な人の立場でも見て、それを安易に使うことの是非について考える機会に本稿がなれば幸いです。

　なお、本稿では、選手名、球団名、テレビ局名について触れませんでした。「割れ窓理論」はとても有名な理論であるにもかかわらず、その原典である論文への引用を目にした人や、論文原書を読んだ人は、あまりいないのではないでしょうか？それはその論文が、あまりに人種差別やその他の差別的表現が多かったからと推察しています。しかも、仮に「罪を犯しやすい人、たとえば、○○人」という書き方であれば、○○人という例示だけを省いてギリギリ引用ができるのですが、単に「○○人」と書いている箇所もあるために、直接引用すると「○○人は、罪を犯しやすい人」と引用者が解釈したことになるという欠陥があるからです。

　その欠陥を払拭するために、ぼくがその解釈をしたことにして、割れ窓理論の差別表現の悪役を引き受けることで「引用可能版」を用意しようとしました。ちなみに、欧米人がこれをすると解釈は個人の責任にしかなりませんが、日本では文脈で内容を解釈するという日本語ならではの特質があるので、ぼくが解釈したわけではなく、文脈として推定しただけと言い訳できるのは日本人だけです。しかし、本稿の時事話題がタイムリーだと思ったので、差し替えました。
　決して、悪役になることに二の足を踏んだのではありません・・・

ISO/IEC 27701とは

ISO/IEC 27701は、ISMS（情報セキュリティマネジメントシステム）の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC 27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS（プライバシー情報マネジメントシステム）の構築を支援することを目的とした国際規格です。

27701の開発経緯は、ブログ「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」で紹介しています。

27701と国内規格や個人情報保護法との違いなどは、ブログ「国際規格ISO/IEC 27701プライバシー情報マネジメントシステムと国内規格や個人情報保護法との違い」で紹介しています。

国際規格の27701は、ISO/IEC 27002規格が構成変更になったことを反映するための改訂を終えて、出版の最終準備段階にあります。（2023年3月現在）

そのため、JIS 27701が出版されるときには、国際規格の27701が改訂されていることになりますが、国際規格の改訂は現状の考え方や内容が大きく変わるものではなく、27002の構成変更に対応するための改訂なので実質的な問題はないと言えます。

ISO/IEC 27701の対訳書の課題

話しをJIS 27701に戻すと、もともと対訳書がある国際規格がJIS化される場合には、基本的には対訳書を大きく変えることはありません。

しかし、国際規格の27701は、通常の単語の使われ方とは異なる定義語がいくつかあります。定義した単語なので、定義語だと割り切って、その単語の元の意味にこだわらずに読めばよいのですが、誤解しやすい規格文になっています。

それらを概ね直訳した対訳書をそのままJIS規格にすると、日本語でも同様に、誤解しやすい規格文になってしまいます。

ISO/IEC 27701のJIS化での用語の見直し

そこで、今回のJIS 27701では、定義されている内容に見合うように定義語を書き換えました。

たとえば、国際規格の「customer」を対訳書では「顧客」と訳してありますが、JIS規格では「取引先」と訳すことに変えました。
この単語の訳だけを見ると、「customer」の訳が「取引先」って日本語訳がおかしいと思うかもしれませんが、国際規格での「customer」の定義内容を読むと、それが必ずしも「顧客」だけの意味ではないことがわかります。

たとえば、「customer」の定義の中に委託先が含まれています。
規格として委託先を含むと定義しているので、委託先を「顧客」と呼ぶことは規格として間違えではありません。
しかし、規格文を読むときに頭の中で、「顧客には委託先も含まれている」 と言い聞かせながら読まなければならなくなります。

そこで、JIS規格では「取引先」と訳しました。顧客のことを「取引先」と呼ぶことに違和感があるかもしれませんが、委託先を「顧客」と呼ぶことの違和感よりは、比べればましなのではないかということで、そのようにしました。

他にもあります。対訳書では「partner」を「取引相手」と訳していますが、JIS規格では「相手方」としました。
規格では、取引のある相手のことだけではなく、遵守事項を守らせる契約をしただけの相手のことも「partner」としています。
取引があれば「取引相手」で違和感はないのですが、単に守秘義務の誓約書を交わすだけの対象を「取引相手」と呼ぶよりは、単に「相手方」と呼ぶ方が、取引の有無とは関係ないということについて読みやすくなるために書き換えました。

これらは、私が27701規格の対訳書を理解するためのコンサルティングで、「規格文に書いてある顧客を取引先のこと、取引相手を単に相手方と読み替えるとわかりやすくなりますよ。」と説明していたものが採用されました。後から思ったのは、コンサルティングのネタの１つがなくなってしまうので、ちょっと惜しいことをしたかなと後悔していたりもします。（笑)

コンサルティングで説明していることには、他にもあります。 

この規格では、いわゆる個人情報のことをPII（Personally identifiable information）と呼びますが、これに付随した用語で難解とされているものに、PII管理者とPII処理者があります。

用語だけからすると、PIIを管理する人がPII管理者で、PIIを処理する人がPII処理者と思ってしまいそうですが、そうではありません。

定義では、PII管理者はPIIの利用目的を決定する人で、PII処理者はPII管理者の指示に従ってPIIを処理する人となっています。そのため、PII管理者とPII処理者は、両者ともそれぞれの役割にそってPIIを管理し処理もします。

これらの用語を単語の意味合いからの誤解を避けて直感的に読めるようにするには、たとえば、PII利用目的決定者と、PII委託処理者などとすれば、管理と処理という単語にまどわされずに、わかりやすくなるかもしれません。

しかし、PII管理者とPII処理者という用語は、既に出版されているJIS X 9250(ISO/IEC 29100)で定義されているものなので、JIS 277071でも変えずに直訳したままにしました。（決して、コンサルティングのネタが惜しくなって、わかりにくいまま残したのではありません。笑）

以上のような背景で、JIS 27701規格の用語のいくつかを、あえて英単語とは異なる日本語にしましたので、規格を読むときの参考にしてください。

では、本題の今回公開された草案の話しに戻ります。

草案の法条文と各章解説文について邦訳をしておきました。
米国データプライバシー及び保護法案（2022年版）邦訳

どちらも、DeepLによる機械翻訳をもとにしていますが、各章解説文については査読して手直ししてあります。法条文については、対象データの定義文などのごく一部だけ手直ししてありますが、ほとんどの部分は機械翻訳のままです。
ここでは邦訳した内容をもとに紹介したいと思います。

まず、法案名ですが、American data privacy and protection actなので、データプライバシー及び保護法となります。プライバシーの保護ではなく、プライバシー及び保護となっているので、意味としては、データプライバシー及びデータ保護に関する法律ということになります。
データ保護は日本法における安全管理措置に相当します。そのデータ保護をデータプライバシーの一部とするのではなく、法律名に列挙していることになります。

法律名にはデータとありますが、本法で対象とするデータは、対象データ（Covered data）として定義されています。

まずは、討議草案を紹介し、その後に下院委員会での修正案を紹介します。

前段の部分の包含関係がわかりにくいので「」を付けてくくってみます。

となります。“識別する、リンクされる、または合理的にリンク可能な”を“識別等する”として置き換えて、列記した形式に言い換えると、以下のようにまとめることができます。

これが、以下のとおり下院委員会で修正されました。

討議草案と同様の手順で以下のようにまとめることができます。討議草案からの修正箇所を赤色文字で示します。

対象データの除外事項として、従業員データがあります。
これも法案で定義がされていますが、端的に言うと、事業者が雇用のために必要最小限なことを除外してあります。これによって、ほとんどの事業者は、従業員のデータについて個別に利用目的などを作文する必要がなくなります。逆に言うと、雇用のための最小限ではない利用をする事業者だけが、それを対象データとして取り扱う必要があり、従業者にとっては、そのような利用の存在があった場合に認識しやすくなります。

対象データの除外事項については、討議草案に対して修正案で以下のものが追加されています。

法案で特徴的な概念としては、「affirmative express consent」があります。機械翻訳では、「積極的な明示的同意」と訳されましたが、各章解説文の邦訳では、あえて「アファーマティブ・エクスプレス・コンセント」とカタカナにして目立たせておきました。

expressは従来でいうexplicitに相当しており、明示的な同意を求めるものです。いわゆる、デフォルト・オンの禁止＝デフォルトでは同意をオフにしておきなさいというものです。これは、同意したつもりがないのに同意したとみなされることがあってはならないということです。とはいえ、デフォルトがオフ（不同意）であっても、書いてあることを読まずに本人がオン（同意）を選択してしまうことは、従来から起こりえます。そのため本当に同意していたのかを形式的に判断することには限界がありました。

一方で、内容をちゃんと確認した上で、不本意ではあるけれど同意するしかないという課題があります。
たとえば、何かのサービスを利用するにあたって、個人情報の利用目的に対して納得はいかないけれど、そのサービスを利用するには、同意するしかないから、同意の選択をせざるを得ないという場合です。この問題は、明示的同意では解決されません。
それに対処するためのものが、affirmative（積極的な）同意というものです。端的に言うと、不同意を選択できる状況での同意を求めるものです。
先の例でいれば、同意しないのならサービスを利用できないとした状況で得る同意はaffirmative同意を得たことにならないことになります。なんらかの利用目的に不同意をしてもサービスが利用できるようになっていれば、affirmative同意を得たことになります。

アファーマティブ・エクスプレス・コンセントは従来よりも厳しい条件となりますが、法案において、すべての同意についてそれを求めてはおらず、重要な同意が必要なときに限っての条件としています。
しかし、この同意条件が明文化されたことにより、重要でない同意ならばアファーマティブではなくてもよいのか？とう議論が始まるかもしれません。なぜなら、アファーマティブではないということは、不本意な同意ということですから、それはそもそも同意なのか？という議論になるかもしれません。

明示的な同意については、それが明示的なものかを外形的に判断できるのに対して、アファーマティブについては、同意内容の書き方によって抜け道はありそうです。これについては、本法がFTC法（連邦取引委員会法）に建てつけられることから、書き方でごまかそうとした場合には、従来からあるFTC法第5条における欺瞞的行為として罰することで抑止するのだと思います。

いずれにしても、今回の法案が４度目の正直で制定されるのかどうかに注目したいと思います。

ISO/IEC 27701とは

　これは、ISMS（情報セキュリティマネジメントシステム）の要求事項を規定したISO/IEC 27001及びISMSを実施するための規範をまとめたISO/IEC 27002に、プライバシー対策に関する要求事項及び規範を拡張することにより、組織によるPIMS（プライバシー情報マネジメントシステム）の構築を支援することを目的とした国際規格です。27701は、日本工業規格化はされていませんが、日本語対訳書が2020年3月に出版されています。

　27701は、PIMSを構築するためのものですが、独立したマネジメントシステムではなく、ISMSによるマネジメントシステムの拡張として規定されています。

　また、27701を基にしてISMSの審査及び認証を行う機関に対する要求事項の開発が2019年12月に開始され、2021年2月にISO/IEC 27006（情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項）のPart 2（PIMS）が技術標準として発行され、現在対訳書が準備中です。27006-2については、さらに内容を充実させるための国際標準化の審議が継続されています。

　国内では、27701を基にしたISMS-PIMS認証が2020年12月から開始されており、既に認証を取得した組織もあります。

27701と15001の位置付け

　日本では、個人情報保護マネジメントシステムとしての日本工業規格として、JIS Q 15001が1999年に発行されています。こちらは、27701とは異なり、独立したマネジメントシステムとして規定されています。15001を基にした個人情報保護マネジメントシステムの認証としては、JIPDEC（一般財団法人日本情報経済社会推進協会）によるプライバシーマーク制度や、JAPiCO（一般社団法人日本個人情報管理協会）によるJAPiCOマーク制度などが普及しています。

　27701と15001は、将来どちらか１つに統合されるものではなく、異なる２つのマネジメントシステムを構築するためにそれぞれ利用することができるものです。

　15001の最新の改正は2017年に改正されましたが、この改正により、マネジメントシステムの要求事項は、ISMSの27001とほとんど同じになりました。異なるのは、管理目的と管理策の包括的なリストである附属書の内容と、それらを実施するための規範の内容になります。

　27701の管理目的、管理策及び規範は、国際標準であるISO/IEC 29100（プライバシーフレームワーク）に基づいています。29100は、対応する日本工業規格が2017年にJIS X 9250として発行されています。

　15001の管理目的、管理策及び規範は、日本の個人情報保護法に基づいており、それに利用目的の事前同意取得（オプトイン）を求めるなどの要求事項を追加した内容になっています。

 国際標準と国内法の違い

　国際標準が国内法と異なる点はいくつかありますが、その一つは、保護の考え方です。国内法では、その名のとおり個人情報を保護しようとします。たとえば、電話番号については、どういう状況なら電話番号が個人情報になるのかを考え、それに該当するなら保護します。他方、欧米では、電話番号は疑いなく個人情報とした上で、個人情報の利用を保護しようとします。たとえば、夜間に電話できる時間帯を制限したり、職場に個人の投資信託のセールス電話をかけたりすることは、プライバシーを侵害することとして保護します。しかし、職場の電話番号に職場で必要な事務用品のセールス電話をかけることはプライバシーの侵害としません。つまり、電話番号が何かではなく、電話番号を使って何をするかに制限をかけようとします。 これについて詳しくは、以下のコラムで紹介しています。

• デジタル・フォレンジック研究会 第596号コラム「個人情報保護法改正に向けて」

　プライバシー対策を個人情報保護対策と訳して考えてしまうと、それらに違いがあることにとまどうかもしれませんが、上記の前者を個人情報保護対策、後者をプライバシー対策と区別して考えれば、わかりやすくなると思います。実際にも、個人情報保護を英訳すれば、protection of personal informationあるいはpersonal information protectionであり、privacy protectionではありません。そのため、プライバシーを保護するという表現はあまりされず、プライバシーの尊重(respect for privacy)という表現をします。プライバシーを尊重するために、個人情報を保護するという建付けを欧米ではしており、国際標準はその考え方に基づいています。

　国際標準と国内法の異なる点としては、PII管理者とPII処理者を区別することもあります。（PII:Personally Identifiable Information）これについては、以下のコラムで紹介しています。

• デジタル・フォレンジック研究会 第559号コラム「クラウド時代の情報管理：情報の管理者と処理者を区別することの重要性」

　その他にも、異なる点がありますが、27701の規格文書の構成については、解説動画としてまとめてあります。

• YouTube 「[15分でわかる] ISO/IEC 27701 PIMS概要」

　規格の開発経緯は、以下の記事で紹介しています。

• ブログ「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」

 27701と15001の使い分け

　以上のように、組織が構築するマネジメントシステムで国際標準に合わせたいなら27701を、国内法に合わせたいなら15001を利用するという使い分けをすることができます。