�T．フランスにおける個人情報保護

　情報処理の大容量化とネットワーク化の急速な進展により、大量の個人情報がコンピュータ上で処理されるようになってきた。これに伴い、個人情報の流出や改ざんといったリスクも増大しており、その対応が急務となっている。
　日本では現在（2003年2月下旬時点）、昨年秋の国会で廃案となった「個人情報の保護に関する法律案」が修正され、今次国会に提出されようとしているところである。同法案では、個人情報を事業に用いている企業等に対して、個人情報の適正な取得、利用目的の特定、利用の制限、安全管理措置の実施等を義務付けることにより、個人情報が適切に保護されることを目的としている。
　フランスでは、個人情報の保護は1978年1月6日法（以下、「1978年法」。）が根拠となっている。他方でＥＵでは1995年10月24日に欧州指令第95-46号（以下、「欧州指令」。）が採択され、翌日、発効した。欧州指令は、指令採択から原則3年以内に各国国内法に適用することとされており、フランスにおいても（遅れているが）国内法の改正に向けた作業が進められているところである。
　今回は、フランスにおける個人情報保護法制について簡潔にまとめるとともに、個人情報保護の動向についてCNIL（情報処理・自由全国委員会）から話を伺ったので、報告する。

１．1978年法と欧州指令の適用

　1978年法では、個人情報の収集、記録、保存（第�W章）に関して、以下の制限を課している。

• 個人情報の不正、不法な収集の禁止（２５条）
• 個人情報収集の際、情報提供が義務か否か、提供しなかった場合の影響、アクセス権及び訂正権等について通知すること（２７条）
• 個人情報を収集する際に示した期限を超えて保存しないこと（２８条）
• 個人情報を保護し、改ざんや漏洩等を防止するために必要な措置をとること（２９条）
• 本人の同意を得ない政治的、思想的、宗教的信条等の情報の収集の禁止（３０条）
• 自らの個人情報に対して、訂正、追加、削除等のアクセスを行う権利の保証（３６条）

　また、個人ファイルの作成に当たって、以下の内容をCNIL（後出）へ事前に届け出ることを義務付けている。ただし、公共機関の場合には、届出でなく認可が必要となる。

• ファイル作成の目的
• 情報の内容
• 情報が記載される期間
• アクセスできる者
• アクセス権を行使するための連絡先　等

　この1978年法は一部欧州指令と整合しない部分があり、欧州指令の規定からは1998年10月24日までに欧州指令と整合化する必要があった。結局、2001年7月に改正法案が閣議決定され、2002年1月30日に国民議会がこれを採択した。今後、上院での採択を経て、法律として制定されることになる。
　改正案の主なポイントは以下のとおりである。

• 個人の権利及び事業者の義務の強化
  　個人データの内容に関わらず、情報処理の対象となる場合に、個人の基本的な権利を強化するとともに、情報処理の責任者に対する義務を強化する
• CNILの権限の強化
  　立ち入り調査の権限と、法違反行為に対する行政刑罰の行使権を付与する
• 事前手続の合理化
  　個人ファイル作成の際に必要な手続を、官民問わず原則簡素な申請のみとする。ただし、センシティブな情報を扱うものについては、CNILの事前認可を必要とするものとする

２．CNIL

　CNIL（情報処理・自由全国委員会）は、個人情報の保護に関する1978年法の適用のために設立された独立行政機関である。CNILは、公的機関における情報処理について事前許可を与え、民間機関における情報処理の登録受付や苦情処理を行うとともに、監査を行い、法を履行しない企業等に警告を発する業務を行っている。
　CNILは、国民議会、上院、経済社会評議会、国務院、破棄院、会計検査院から各2名、国民議会及び上院の議長推薦が各1名、内閣の推薦が3名の、計17名の委員から構成される。委員の任期は5年である。また、事務局は約70名である。年間予算は約600万ユーロで、うち約400万ユーロが人件費、約200万ユーロが運営費である。

　CNILの主要な任務は、以下のとおりである。

• 1978年法の運用に関すること
  　民間部門の個人ファイル作成届の受理、公的部門の個人ファイル作成の認可など
• 個人情報に関する苦情処理
  　基本的には調停（これで75％は解決）。調停で解決しない場合には警告を発し、それでも解決しない場合は裁判所へ提訴する。これはCNILに刑罰権がないためである。
• 情報技術や産業動向に注意を払うこと

　新たな技術等が生まれた場合、政府に新たな方策の提案を行うこともある 　上記任務を的確に遂行するため、CNILは行政及び司法から独立しており、予算についても国会審議を経るが使途は自由とされている。
　CNILの業務量はたいへんなもので（苦情受理が年間約5000件、個人ファイル関係の申請・届出が年間約5万件、電話のかかってくる数が月間約1万件、レポート作成が年間約100件）、事務局70名の助けを借りて処理している。2年前の60名からは増員されているとはいえ、まだまだ不足で、将来的には100名程度にしたいとことである。欧州他国では、CNILに相当する英国の機関は100名以上、イタリアの同様の機関は予算上120名、ドイツはもっと多いのだそうである。
　フランス国内での個人情報の扱いに関する状況について伺ったところ、基本的にはスキャンダルは稀であり、特にフランス企業はこの問題について敏感であるとのことである。その理由を訊ねたところ、歴史的背景として1978年法が施行されて以来25年が経っており、法を守ることによる利益という問題意識があることを挙げた。また、社会的背景として労働組合が強く、新しい技術を導入する場合には企業のトップが従業員の代表に告げなければならず、従業員が敏感で軽罪に当たる事実を発見した場合にCNILに知らせることが過去に何度かあった。ただし、最近少々傾向に変化が見られ、ある企業、特に新興経済の企業で「ダメだと言われるまでは、やればよい」というところが出始めているそうで、この場合は調停はふさわしいアプローチではなく、CNILは裁判所に提訴する。
　市民の関心という点では、警察の情報に対する間接アクセス（市民の要請により、代わってCNILが行うアクセス）の件数が増えており、2002年には約1000件あった。背景には、古い個人情報が残っているのではないかという不安がここ数年高まってきていることが考えられるとのことである。
　CNILの強みについては、1)CNILは市民のプライバシーの保護と自由を擁護すること、2)柔軟性があり実質的な行動ができること、3)バランスのとれた見解を出す独立した組織であること、この3点が重要であると考えているとのことである。また、日本でもCNILのような組織を設けることが有効であり、それは日本国民だけでなく日本で情報が処理される外国人にも信頼を与え、生じうると考えられる問題の迅速な解決のための国際的なプランの設置や協力が可能となるからである、とのコメントがあった。
　小生なりに思ったことは、やはり個人情報というセンシティブな問題の扱いに際してはCNILのような独立した第三者機関が必要であり、常に「見張られている」という緊張感を個人情報を扱う当事者に持たせること、そして情報処理の透明度・管理・アクセス権を保証することが、個人情報の公正な利用のための大前提ではないかということである。個人のビヘイビアとして、個人情報をひたすら隠すという選択肢も勿論あり得るであろう。しかし、ネットワーク社会の中で個人情報を完全に隠すことはあまり現実的ではないと思われる上、適正な個人情報の利用により経済的・社会的利益を生み出すことを考える方が建設的なように思える。そのためには、やはり個人情報が適正に扱われる基盤の整備が重要である。
　ちなみに、フランスではＥＵ域外（ＥＵと同レベルの個人情報保護策が採られていると認められる国、具体的には現時点でノルウェー、アイスランド、中東欧諸国、カナダ、ハンガリー、スイス、及び米国で設立されセーフハーバー原則に参加する企業を除く）に個人情報を流す場合には、CNILの事前認可が必要である。事前認可の条件には、当該国での個人情報保護の合法性の担保体制の審査が含まれている。今般制定が進められている日本の個人情報保護法がCNILの求めるレベルであるか否かは未だ何とも言えないようであるが、個人情報保護法制（あるいは体制）の不備により、この分野で日本が取り残されることのないよう期待したい。

�U．政策動向

＜ＥＵ：欧州ネットワーク情報セキュリティ庁の創設提案＞
　欧州委員会は2月10日、欧州ネットワーク情報セキュリティ庁（European Network and Information Security Agency：以下、「ENISA」）の創設に向けた提案を発表した。ENISAの目的はＥＵ各国とＥＵ各機関がサイバーセキュリティに関するアドバイスを得ることができる高度なセンターとして機能することにあり、欧州デジタル社会のセキュリティと情報社会発展のために重要な役割を担うとしている。また、ENISAはＥＵ各国の当局、特にコンピュータ緊急対策チームを支援するとしている。
　同提案は、ENISAの業務を以下の9つであるとしている。（各項目について、簡潔にまとめて記した）

• リスクに関する情報を含む、データの収集と分析
• 援助の提供と、意見の陳述
• ネットワーク情報セキュリティの分野での様々な関係者の協力の強化
• ネットワーク情報セキュリティに係る、迅速で客観的で広範囲な情報の利用可能性への貢献
• 欧州委員会やＥＵ各国当局の求めによる、セキュリティ基準等の実装の分析
• 標準のアセスメントへの貢献
• リスクアセスメント活動の推進と、相互運用性のあるリスクマネージメントの促進
• 第三国との協力についての欧州委員会への貢献
• その他欧州委員会から付与された業務

　同提案では、2004年1月1日から5年間、ENISAを運用し、その後の延長については欧州委員会による評価如何であるとしている。

＜ＥＵ：フランス・テレコム支援策に対する正式調査開始を決定＞
　欧州委員会は1月30日、フランス・テレコムに対する仏政府の支援策について、正式な調査を開始すると発表した。仏政府の支援策とは、Erap（政府系投資機関）を介してフランス・テレコムに90億ユーロの資金を前貸ししているものであり、これがＥＵ競争規定に抵触するか否かを調査するものである。本件について仏政府は同日、「仏政府の支援は、普通の株主としての立場から行われたものであり、公的援助に相当する要素はない」とのコミュニケを発表している。
　また、欧州委員会は、フランス・テレコムに対する事業所税の優遇措置についても、ＥＵ競争規定に抵触する公的援助に当たるか否か、調査するとしている。
　なお、欧州委員会は、正式調査の手続は最終判断を予見させるものではなく、その目的の1つは関係する各国とフランス・テレコムの競合者に見解を知る機会を提供することにあるとしている。

＜仏：デジタル経済に関する法案＞
　ニコル・フォンテーヌ仏産業担当閣外相は1月15日、デジタル経済に関する法案を閣議に提出した。本法案は、2000年6月8日の電子商取引に関する欧州指令と、2002年7月12日の個人データ保護に関する欧州指令の一部を仏国内法に適用するもので、主要な目的を以下の3つとしている。

• 電子商取引に関する信頼強化と、迷惑広告の防止
  　インターネット上で技術的なサービスを提供する者に関して、名前、住所、商業登録番号、資本金などの身分情報の十分な提示義務、電子形式における契約の法的有効性の認定、迷惑メールの禁止　など
• 公共情報通知の自由の強化
  　オンラインでの公共情報通知の定義、インターネットサイトの提供やサービス提供に関する民事・刑事上の責任の限定、インターネット上のアドレス管理配分ルール　など
• 情報交換の安全とサイバー犯罪防止手段の拡大
  　暗号鍵の128ビット制限の解除　など