1962年生まれ。中央大学法学部卒業、中央大学大学院法学研究科修士課程修了(指導教授:堀部 政男)修士(法学)、情報セキュリティ大学院大学(IISEC)博士後期課程修了(指導教授:林 紘一郎) 博士(情報学)。ニフティ等を経て2005年より国立大学法人 新潟大学 大学院現代社会文化研究科/法学部教授。専門は情報法。
2016年より一般財団法人情報法制研究所(JILIS)理事長、2020年より一般社団法人次世代基盤政策研究所(NFI:理事長:森田 朗)理事・研究主監。2017年から2024年まで理化学研究所 革新知能統合研究センター(AIP)において情報法制チームのチームリーダー、その後客員主管研究員を兼務しAIと法の研究を行った。
政府の構成員や委員として、個人情報保護法の改正、及びJISQ15001の起草、プライバシーマーク制度の創設、経済産業省個人情報保護ガイドライン案の作成及び改正、匿名加工情報・仮名加工情報の導入、マイナンバー制度、個人情報保護法制2000個問題解消(公民一元化)等に関与する。昨今は、「仮名加工医療情報の本人同意のない二次利用法案」の必要性とその理論的基礎について主張している。
大学では主に「個人情報保護法制」及び「プライバシーの権利」に関する研究を、JILISでは情報法制に関する政策提言を行っている。
●プライバシーマーク制度の創設(1988年)
1987年頃、堀部政男先生の提案に基づき通商産業省情報処理システム開発課の担当官とJIPDECと共に神奈川県PDマーク制度を参考に「プライバシーマーク制度」を創設し、最初の審査を行い、第1号の取消の事務を担当した。
●「JIS Q15001:1999 個人情報の保護に関するコンプライアンス・プログラムの要求事項」原案の策定(1999年)
プライバシーマーク制度発足後、上記メンバーと共に「JIS Q15001:1999 個人情報の保護に関するコンプライアンス・プログラムの要求事項」原案を起案した。ルール部分のベースは平成9年通産省個人情報保護ガイドラインとEU個人データ保護指令、マネジメントシステムにおける、PDCAサイクルはISO14000等管理規格、コンプライアンス・プログラムは東芝機械事件を契機に導入された「戦略物資等管理プログラム」である。個人情報保護方針の導入を提案し起案も担当した。これは宣言による経営責任と共に、消費者向けの約款に取り入れられることで法的にも実効性を確保すること、今後の日本版FTC法5条の登場を期待し、その前捌きとしてステートメントやポリシーの宣言を普及させることにあった。その他、特定の機微な個人情報の類型を整理した。これは日弁連の提言等を参考にした。全般に全員で検討したが、安全管理(情報セキュリティ)の要求事項は主にJIPDECの関本氏が担当した。なお、委員会では委託に関して、丸橋委員の修正意見がありそれが採用された。
なお、プライバシーマーク制度における審査基準を令和9年通産省個人情報保護ガイドラインからJISQ15001に変更した。
●経済産業省「個人情報保護ガイドライン」案の策定と改正作業(2003ー2015)
経済産業省「個人情報保護ガイドライン」(経済産業省・厚生労働省告示4号)の制定と改正に委員として関与した。安全管理の強化のためにメールのモニタリング他総合監視ツール導入のルールの明確化を求め、いわゆるインハウス情報の指針が盛り込まれる。告示が厚労省との共管になったのは、労働者の規律に踏み込んだためであった。告示にしては珍しく条項形式をとらず事例が多数盛り込まれたのは担当課長の発案であり、モデルは「電子商取引の準則」であった。ここの成果は現在の個人情報保護委員会のガイドラインやQ&Aに引き継がれている。(なお、ここでの起案ミスも引き継がれているので修正したい。)
●NICTの大阪駅顔識別システム実証実験の検証
NICTの大阪駅顔識別システム実証実験の有識者委員会の委員として報告書のとりまとめに参加した。その後の顔識別機能付きカメラシステムの利用についての検討につながるが、依然として個人情報の定義の解釈が曖昧である。その背景には法目的の曖昧さがあるが、近年EU等の動向も参考にしながら、ようやく解釈論的にも立法論的にも論点が明確になった。あとは議論が浸透し3年ごと見直しで決着をつけていくことに尽きる。
●記名式Suica履歴データの無断提供の違法性の問題提起(2011)
記名式Suica履歴データの無断提供の違法性について問題提起を行い論争となった。特にNHKニュースでのJR東の対応が違法であるとの発言はいわゆる炎上につながった。具体的には、(1)個人情報の定義における「容易に照合でき」について提供元基準説と提供先基準説の論点化、及び(2)データセット照合とモザイク・アプローチ照合についての違い、(3)「検索できるように体系的に構成」の意義が問われた事件であった。本論争が論点の明確化となり、その後の「匿名加工情報」及び「仮名加工情報」導入の契機となった。
●個人情報保護法2015年改正
内閣官房「パーソナルデータに関する検討会」では委員として、日本版FTC3条件の導入を提案し「匿名加工情報」の導入につながった。これは米国FTCのスタッフレポート及びそれを紹介した総務省の報告書を参考にしたものである。
また、開示等請求権(裁判上の具体的請求権)の"新設"を主張し採用された(なお、検討会では宇賀座長の提案により"確認"とされた)。これは夏井論文と鶴巻弁護士の受任された訴訟、そこでの鈴木意見書にまとめる上での鶴巻弁護士、森弁護士とのディスカッションが下敷きとなっている。
それから、パナソニックヘルスケアの海外企業への売却の例(阿部編集長時代のFACTAの記事)を示して「越境データ」の対策の必要性を問題提起するなど個人情報保護法2015年改正に一定程度寄与した。なお、海外企業のM&Aによる包括承継型の越境データの問題は未だに解決されていない。これはデータの移動というより資本の移動という面があるからであろう。
●2000個問題解消と公民一元化
東日本大震災を契機にその直後に開催された厚生労働省の委員会で「個人情報保護法制2000個問題」解消(当時は1800問題といっていた)の必要性を報告した。その後の賛同者の広がりは限定的ではあったものの、森田朗先生を中心に医療関係者、岡本正先生を中心に災害復興問題の取り組む関係者、自治体関係では全国の首長数十人で組織する番号創国推進協議会の賛同があり、学会では湯淺先生、板倉先生、上原先生、岡本先生と主に情報ネットワーク法学会で報告とパネルを行った。コロナ対策とその反省を契機に官邸の採用するところとなり、安倍総理退任挨拶に盛り込まれ管総理のもと2021年改正による公民一元化につながった。具体的とりまとめは担当官の調整と起案によるところが大きい。
●マイナンバー制度導入と個人情報保護法改正(個人情報保護委員会の独立行政委員会としての創設)
東大政策ビジョン研究センターの研究会(センター長:森田 朗)、東京財団の研究会(座長:森信 茂樹)、日本経団連、日本総合研究所の研究会、野村総合研究所のWG等を通じ、内閣官房や官邸において、社会保障と税の一体改革(給付付き税額控除のツール)としての共通番号制度の導入と公権力等の監視機関として「個人情報保護委員会」(独立行政委員会)の創設を提言し、マイナンバー制度導入と個人情報保護法の改正に向けて活動した。
●ゲノム法の早期立法、ゲノムを使ったターゲティング広告の禁止
厚生労働省の「ゲノム情報を用いた医療等の実用化推進タスクフォース」ではゲノム法の早期立法を主張した。
●その他JILISの活動を通じて、
・超法規的ブロッキングの反対
・サマータイム制導入反対
・リクナビ事件の問題提起と分析
・信用スコアリングの問題提起と分析
・捜査関係事項照会ガイドラインの策定、パブリックアクセスの問題などに取り組んだ。
●国土交通省において成田空港の顔認証を用いた搭乗システム導入の検討を行った。
●仮名加工医療情報の提言(2020ー現在)
自由民主党のヒアリングにおいて「仮名加工医療情報」導入を提言し「データヘルス推進特命委員会提言」(令和2年6月30日)に反映された。(非公式には2015年から問題提起をしている。)
なお、
改正次世代医療基盤法では、個人識別子を伴わない「仮名加工医療情報」となっており提言のコンセプトとは異なる。これでは複数のヘルスデータのデータベース間の突合が正確に行えない。また、個人情報の定義の解釈が、平成27年改正以前の理解に戻っている。提供先基準を採用し、連結概念が復活している。経産省所管のウェアラブル端末などの健康データと厚生省所管の医療データの連携が阻害され、EUのGDPR及びEHDSの考え方ともズレており、越境データに禍根を残す。この点は日本版EHDS法で回収する必要がある。
●同意なき二次利用についての提言(2024)
個人情報保護委員会の3年ごと見直しのヒアリングにおいて、同意なき二次利用について、統計法を先例とし、ガバナンスを強化した上での非選別利用についての提言を行った。
第290回個人情報保護委員会(令和6年6月13日)
議題 いわゆる3年ごと見直し 有識者ヒアリング
板倉陽一郎(ひかり総合法律事務所弁護士) 資料1−1
鈴木正朝(新潟大学大学院現代社会文化研究科/法学部教授) 資料1−2 デジタル社会の個人情報保護法
●各種提言(現在)
現在は、厚生労働省に対して、①医療情報特別法を制定しなど「個人の権利利益」を侵害しない医療・創薬データの利用推進策を、②デジタル庁や文部科学省に対して、「教育データ」による個別化教育の推進、③子どもデータを活用した見守り政策の推進といわゆる毒親推定プロファイリングの問題と対策について問題提起と提言を行っている。
●個人情報保護法改正の提言(現在)
個人情報保護法を改正し、①法目的を明確化し個人データ保護法制に移行すること、②個人情報の定義の解釈を明確化すること③ControllerとProcessor概念を導入すること、④利用目的のコンセプトを明確化すること、⑤安全管理義務のコンセプトを明確化すること、⑥基本原則または関連性などの判断基準の導入、それによってPIAまたはPDIAの実効性を高めること、二次利用における同意不要の理論的基礎を固めること、同意のないコネクティッドカーにおける各種センサーの歩行者映り込み問題や生成AIのクローリングにおける要配慮個人情報取得問題など個人情報保護法上の問題を解決することを主張している。
●その他の活動(現在)
Yahoo! JAPAN プライバシーに関するアドバイザリーボード 委員を経て現在、Z Holdings、その後はLINEヤフー社の ユーザー目線を踏まえたプライバシーに関する有識者会議 委員、日本弁護士連合会 市民会議 委員(2021年10月退任)、一般財団法人日本データ通信協会 Pマーク審査会 会長、一般社団法人資金決済業協会 自主規制委員会 委員等を務める。
□ 中央大学法学研究科 修士課程 修士(法学)
指導教授(主査)の、堀部政男先生(情報法、英米法(不法行為法)には大変お世話になりました。副査の、長内了先生(英米法(公法))と木下毅先生(英米法)にもご指導いただきました
また、堀部研究室では、高野一彦先生、小向太郎先生、石井夏生利先生、岩隈道洋先生、李明勳さん(Sanrio Taiwan Co., Ltd. 董事總經理)といっしょに学ぶことができまして、とても充実しておりました。
□ 情報セキュリティ大学院大学(IISEC)博士後期課程 博士(情報学)
指導教授(主査)は、林紘一郎先生(情報法、経済学)、副査は名和小太郎先生(情報法)と岡田仁志先生(国際公共政策)でした。田中英彦先生(情報理工学:情報通信)にもご指導いただきました。また、当時学長だった辻井重男先生にもお世話になりました。
□ その他(1990年代に大学院相当の指導をいただいた研究会)
(1)一般財団法人 ソフトウェア情報センター(SOFTIC)の研究会
椙山敬士先生、野村豊弘先生、大野幸夫先生、吉田正夫先生、水谷直樹先生、小川憲久先生他にご指導いただきました。
*特に、ソフトウェア関連特許導入の特許法改正の議論、システム開発契約の問題などは勉強になりました。
(2)サイバー法研究会
夏井高人先生、町村泰貴先生、指宿信先生、丸橋透先生、岡村久道先生、藤田康幸先生、新保史生先生、高橋郁夫先生、上野達弘先生、平野晋先生、島並良先生、米丸恒治先生、渡邊修先生他にご指導いただきました。
*特に、エシュロン、カーニボーの問題、SHIPプロジェクトなど判例全文公開とそのためのルールと自動処理の研究、サイバー犯罪条約草案にいち早く着目したところ、電子署名の問題含めて、時代を数十年先取りしたものが多く大変刺激敵でした。