イベント/安全/終了/2040PJ

【開催報告】欧州で進む「デジタル主権」議論とプラットフォーム規制のゆくえ ― セミナー「『デジタル主権』とは何か:接触確認アプリから考える」(2022.3.3開催)

2022.09.28

KGRI「2040独立自尊プロジェクト」の一翼をなす「プラットフォームと『2040年問題』」プロジェクト。その取り組みの一環として、2022年3月3日に公開セミナー「デジタル主権とは何か:接触確認アプリから考える」がオンラインにて開催された。

日本の「新型コロナウイルス感染症接触確認アプリ(略称:COCOA)」は、グーグルとアップルのAPI(アプリケーション・プログラム・インターフェース)を利用して開発された。一方、フランスでは政府がメガ・プラットフォーマーのAPIの使用を拒絶し、独自に接触確認アプリを開発しようとした。フランスの選択の背景には、EUで強く主張されている「デジタル主権」がある。

「デジタル主権」とは何か。この新しい概念について理解を深めるべく、フランスで議論をリードする2名の研究者、ポリーヌ・トゥルクとオドレー・バシェール=ペレティを招いて報告を実施。KGRI副所長の山本龍彦による問題提起を糸口に、日仏の憲法・情報法に詳しい曽我部真裕を交えたディスカッションを実施した。なぜフランスやEUは「デジタル主権」を主張するのか。日本のプライバシー権保障を含め、接触確認アプリ問題が先鋭化させた諸課題をめぐる議論の模様を、ダイジェストでレポートする。

<基調講演>
ポリーヌ・トゥルク(Pauline Türk) コートダジュール大学法学部教授
オドレー・バシェール=ペレティ(Audrey Bachert-Peretti) ローレーヌ大学法学部准教授

<趣旨説明>
山本龍彦(やまもと・たつひこ) 大学院法務研究科教授、KGRI副所長

<総合討論>
コメンテーター:
曽我部真裕(そがべ・まさひろ) 京都大学大学院法学研究科教授

総合司会:
河嶋春菜(かわしま・はるな) KGRI特任准教授



ポリーヌ・トゥルク(Pauline Türk)
フランス・コートダジュール大学教授、博士(公法学)。論文「国会常務委員会と第5共和政における国会の刷新」で2004年に元老院論文賞を受賞。リール大学助教などを経て、16年より現職。近年の研究成果として『デジタル主権:概念と課題』(Mare & Martin、2017 年)を出版。専門は、憲法、議会法、情報法。



オドレー・バシェール=ペレティ(Audrey Bachert-Peretti)
フランス・ローレーヌ大学法学部准教授、博士(公法学)。1988年、ストラスブール生まれ。フランス、アメリカ、カナダ、イギリスの比較憲法の手法を用いて国会と裁判所の権力分立関係を人権保障の観点から分析した博士論文で、優秀なアメリカ法研究に送られる仏米協会賞を受賞。特にプライバシー権の裁判による保障について研究し、近年はデジタル社会におけるプライバシー権保障の研究に力を入れている。


河嶋春菜:KGRIでは、フランスとEUで提唱されている「デジタル主権」という概念に着目し、2021年12月にもポリーヌ・トゥルク教授をお招きして、Zホールディングス寄付講座「プラットフォーム経済と持続可能社会」において授業内講演会を実施しました。今回はトゥルク教授とオドレー・バシェール=ペレティ准教授をオンラインでお招きして、新型コロナウイルス感染症の接触確認アプリを題材に、デジタル主権の考え方について議論していきます。

最初に、KGRI副所長の山本龍彦より趣旨説明と、日本における接触確認アプリをめぐる問題について報告をお願い致します。

趣旨説明:山本龍彦「接触確認アプリ『COCOA』の法的課題 ― 日本の憲法学の観点から」


山本龍彦:コロナ禍において日本の厚生労働省が開発したスマートフォン向けの「新型コロナウイルス接触確認アプリ(略称:COCOA)」について、最初にプライバシー権の観点から評価を行いたいと思います。

まず評価できる点として、位置情報の収集を行わずに自主的な行動変容を促すにとどまるなど、利用者の自己決定が重視されたこと。利用目的が特定され、明確化されている点などが挙げられます。

一方で、こうしたツールの導入は感染症対策において重要な政治的決定であり、国会における法律の整備が必要であったと考えます。個人データを扱う以上、目的外利用や情報漏洩が生じた場合にリスクがあること。政府が使用を強く推奨している点でも、国会で積極的な議論を行い、民主的な正統性を持たせるべきだったのではないか。

20220303-p3.png

また、「COCOA」の仕組みはアップルとグーグルのAPIを利用したものであり、プラットフォームと国家が連携して感染症対策を進めた点で、国家主権の監視国家化に対する抑制につながったともいえる。その反面、国会における民主的な決定よりもプラットフォームの判断が先行した点で、主権の侵害にも目を向けなければなりません。

では今後、国家とプラットフォームの関係性はどうあるべきか。私は、両者はある種の緊張関係のなかで一定の協力的な統治を行うべきだと考えます。世界的に巨大な影響力を持つプラットフォーマーの位置付けを見直し、国内法における規制する側と規制される側の関係ではなく、国際法的な外交関係に近い関係性を築いていくべきではないか。

これまで憲法は外交の相手として他の主権国家を想定してきましたが、今後はプラットフォームも含めて協約(コンコルダート)を取り交わすことで、民主的な統制を働かせていく必要があると考えます。

基調講演1:ポリーヌ・トゥルク「フランスにおけるデジタルツールを利用した衛生上の危機管理とデジタル主権 ― 政府、議会、裁判所、プラットフォーマー」


河嶋:続きまして、デジタル主権に関する著書を執筆されるなど、この分野の議論をリードされているコートダジュール大学法学部のトゥルク教授より、フランスにおける接触確認アプリの展開と、その背景にあるデジタル主権の理論について講演していただきます。

ポリーヌ・トゥルク:本日はコロナ禍における公衆衛生政策を例に取り、フランスやEUにおいてデジタル主権がどのように捉えられているかについて報告致します。

フランスでは2019年に医療データプラットフォーム「Health Data Hub」の導入が決定され、デジタル主権の議論が盛んに行われてきました。個人データの活用において、どのように個人の自由を担保しつつ、効果的な公衆衛生政策を実施するか。この"究極の問い"が大きく表面化したのが、今回のコロナ禍におけるデジタルツールの導入と公衆衛生政策の是非をめぐる問題だといえます。

20220303-p4.png

「Health Data Hub」はフランス全土のヘルスケアデータを収集、分析、保管するデジタル・プラットフォーム(DPF)であり、収集したデータを医療や研究に利用する想定で開発されました。フランス政府はアメリカのマイクロソフト社と契約を結び、クラウドサービス「Microsoft Azure」を用いた運用を予定していました。ここで問題視されたのが、データ自体はEU域内のサーバーで保管されるものの、フランス国民のデータがアメリカ企業によって管理されることの是非でした。

最高行政裁判所である国務院は本DPFによる管理自体は適法だと認めた一方、衛生上の危機の緊急性を考慮し、セキュリティ強化のために契約の補強を命じる判決を出しました。フランスの裁判官にとって、ヨーロッパ市民のデータ保護を目的としていた「プライバシー・シールド」という米欧間のデータ移転の枠組みがEU裁判所によって無効とされて以来、アメリカへのデータ漏えいのリスクが大きな懸念となっていたのです。

今回のコロナ禍では本件に加え、接触確認アプリ「TousAntiCovid」やワクチン予約DPFを巡り、デジタル主権にまつわる論争が活発に繰り広げられました。アップルとグーグルは各国に「explosure notification」というAPIを提案しましたが、フランスはそれを拒否。より"主権的な"技術を選びましたが、実装するにはかなりの時間がかかってしまいました。フランスの公的アクターと私企業などが動員され、最終的にできあがったアプリは後になってアメリカ企業がアプリに関与することになったとしても、データはフランスに保管され、CNIL(La Commission Nationale de l'Informatique et des Libertés/情報と自由保護のための国家委員会)による監督が及ぶなどのデータ保護メカニズムが適用されることになりました。以上が、フランスにおける接触確認アプリをめぐる経緯です。

また、予防接種予約システムについても、ヨーロッパの企業(doctolib)によって提供されたデータの統制が米国の大手企業アマゾンのクラウドサービス(AWS/Amazon Web Services)の技術に依存していたため、同様の懸念が生じました。これにより、個人データ保護とデジタル主権を守るための追加の法的措置がとられています。

こうした流れの背景には、個人の自由を極めて重視するフランスの国民性や権利意識があります。公衆衛生や経済的な効率性がある程度損なわれたとしても、個人の自由を尊重しようとしたのです。

個人の自由はデジタル上においてどのように守られるべきなのか。日本の事例も交えて議論できれば幸いです。

基調講演2:オドレー・バシェール=ペレティ「フランスにおけるデジタルツールを利用した衛生上の危機管理とデジタル主権 ― 政府、議会、裁判所、プラットフォーマー」


河嶋:続いて、デジタル主権やプライバシーの問題が憲法適合性審査を担う憲法院の判決でどう扱われてきたか、ローレーヌ大学法学部のバシェール=ペレティ准教授より報告をお願い致します。

オドレー・バシェール=ペレティ:私からは、フランス憲法によるネットワーク空間における適切な個人データ保護のあり方を提起したいと思います。

2000年以降、社会のDX(デジタルトランスフォーメーション)化が進むなかで憲法院は、複数の判決を通じて「情報プライバシー権」を確立しました。その上で、個人データの保護は憲法が認める「私生活の尊重の権利(私生活尊重権)」と結び付いており、ネットワーク空間においても憲法によって保護が求められるものとして、違憲判決を出しています。しかし判決を分析すると、その保護は限定的なものであり、十分とはいえない状況です。

より正確にいえば、フランスではプライバシー権という呼称は使われず、情報に関する自己決定権が「個人的自由(personal liberty)」として保護されています。これは従来、家宅捜索や私信の傍受に対するプライバシー保護のみを意味していましたが、現在では、個人データの収集・漏えいがこの権利の新たな構成要素として結び付けられるようになりました。しかし憲法院の判決を分析すると、保護は限定的で、十分とはいえません。

20220303-p5.png

理由は大きく2点あります。まず、憲法院がデジタルな個人データの侵害を構成するものを非常に限定的に捉えていること。憲法院はいかなる情報収集であっても人権を害するとは考えておらず、個人名がわかるものか、個人を特定できるデータでなければ侵害性を認めていません。しかし、現代のデータ処理技術の進展を考慮するなら、あらゆるデータが個人を特定するデータになりかねないといえます。

2点目として、憲法院が利用者による任意の個人データ提供は権利侵害には当たらないとしていること。巨大プラットフォームのように情報収集側とユーザー側の力が非対称である以上、情報提供に関する同意の効力について再考する必要があるのではないでしょうか。さらに国と国民との関係でも、データ収集が可能な政府とデータの提出を強制される国民の間にも、力の非対称が新たな形で生じています。

特に今回のコロナ禍においては、憲法院によるデジタルツール統制の限界が浮き彫りとなりました。政府が法律ではなく政令によって接触確認アプリを導入するという"憲法院回避"の手段に出たため、立法規程の憲法適合性のみを判断できるという憲法院の権限の性質上、憲法院の審査の手が及ばなかったこともその一つです。

こうした憲法院の個人データ保護に対する姿勢は、フランスの独立のデータ保護監督機関CNILが、「Health Data Hub」のデータがマイクロソフト社によってアメリカに移転され得ることを強く批判した例とは対照的です。憲法院は情報プライバシー権保障の立役者ではあるものの、デジタル主権を守る役割においては不十分な組織だと考えます。

ディスカッション:デジタル主権とプライバシー保護をめぐる諸問題


河嶋:ここからはディスカッションに入りたいと思います。まずは、京都大学大学院法学研究科の曽我部真裕教授からコメントをお願い致します。

曽我部真裕:大きく2点、申し上げたいと思います。1点目は、あらためてデジタル主権とは何か。主権という考え方はフランス発祥であり、ローマ教皇からの独立性を指し示す概念として、また国内における君主の最高性を表すために使われた言葉です。それが「国民主権」「デジタル主権」などの形で使われている点で、多義的な概念だといえる。

そのうち本日の講演で提起されたのは、プラットフォーム企業からの国家の独立です。プライバシーと公衆衛生のバランスの取り方は国ごとに民主的に決めるべき問題であり、主権的な決定です。ところが接触確認アプリのAPIにおいてはそのバランスがプラットフォームによって決められており、国が介入できない問題が生じた。しかし、これら企業の技術を利用することについては技術水準やコストの点でメリットがある。デジタル主権の問題と、プラットフォームがヘゲモニーを握っている現実とをどう折り合わせていくのかが問われているわけです。

これとは別に、国民のデータに他国からの介入を許さないという、他国からの独立としてのデジタル主権の捉え方もある。その上で私は「国民のデータに介入をさせない」と表現する際に、「国家が他国からの介入を許さない」という主権の問題なのか、それとも「国民個人のプライバシーが他国から侵害されている」というプライバシーの問題なのか、区別して議論する必要があると感じました。

20220303-p6.png

2点目はプライバシーの保護について。保護のためのアーキテクチャ構築において、民主制と専門合理性の観点や、法律で規制すべきかどうかという法形式論、どのようなアクターがどう関与していくかというプロセス論についての議論が必要になります。

このうち法形式論に関して、フランスにおける接触確認アプリ導入時には法律が作られず、後で整備されたことについて、どのような基準が適用されたのか。

アプリ導入のプロセス論に関しては、議会やCNIL、セキュリティの側面からANSSI(Agence nationale de la sécurité des systèmes d'information/国家情報システムセキュリティ庁)、CNUM(Conservatoire Numérique des Arts et Métiers/デジタル国家評議会)など、多くのアクターが関与したわけですが、この座組みを誰が決めたのかについて。さらに例えばCNILに一任するというように、関与プロセスを合理化していくことができるのかについて、うかがいたいと思います。

トゥルク:私からは3点、お話ししたいと思います。

まずアプリの民主的正当性について。フランスにおいて決定を下すのは大統領と政府であり、議会がそれをコントロールしようとするのが通常のあり方です。今回は2020年3月22日に衛生緊急事態に関する法律が議会で採決され、緊急の措置が認められました。そして5月27日に議会審議が行われ、29日の政令(大統領令)によってアプリ「TousAntiCovid」の導入が決まったわけですが、議会は議論を行ったものの、法律でアプリ導入の決定をしたわけで はありません。つまり議会は単なる意見表明の意味しかない"決議"によって、アプリを導入する正当性を政府に与えたということです。

次に、アプリの導入プロセスに関わったアクターの数が多いことについて。フランスには組織や規制、グッドプラクティス(良心的な実務)を勧奨する政府機関や独立行政機関が40ほどあります(ANSSI、ARCOM、CNIL、ARCEPなど)。このような組織は人権保障に貢献しており、選挙で選ばれる機関ではありませんが、独自の専門性によって正当化されています。しかし、数が多すぎる、権力や責任が分散しているという批判がなされています。その背景としては執行府、つまり大統領と内閣の力が強く、議会はそれに対抗できるほど強力ではないため、こうした独立の行政機関に執行府に対する監視・統制の役割を担わせているという構図があります。執行府に対する監視・統制の役割は本来、選挙によって民主的に選ばれた議会が担うべきですが、その役割を担うことができていないのです。

そして、デジタル主権と個人のプライバシーとを分けて考えるべきではないかという指摘については、そのとおりだと思います。本日は接触確認アプリの議論ということで医療データの保護にフォーカスしましたが、デジタル主権という概念はもっと広範で様々な側面を持っています。また、各人がデジタルネットワーク上で自らの個人的な生や自分の属する社会集団の行く末をコントロールするために、デジタル空間における自己決定能力を確保する必要がありますが、そのためにもデジタル主権という考え方は重要でしょう。

バシェール=ペレティ:ヨーロッパは今、個人情報の保護に関して"データを取り扱う側"の責任を問う流れに向かっています。一方で、今回のアプリ導入に関して議会が果たした役割は政府による導入の決定を承認するだけで、監視や統制は外部機関に委ねる形を採りました。これに対して、CNILは非常に専門的で緻密に、アプリの技術に関する分析を行っています。特にデジタル領域の問題については法律の面だけでなく、制度や技術の面からも検証していかなければならないというわけです。

20220303-p7.png

河嶋:挙げていただいた論点のうち、デジタル主権とプライバシーの関係について論点があるのではないかと思いますが、山本先生、いかがでしょうか。

山本:これは国ごとのプライバシー保護の水準に関わる話ではないでしょうか。仮に個人のデータを国家が持つとして、その国家におけるデータ保護の体制が十分でなければ、プライバシーが侵害される可能性は高まります。つまり、デジタル主権を守ることとプライバシー保護の問題は必ずしもイコールではない。その上でフランスは国家に対する信頼度の高さから、デジタル主権とプライバシー保護がかなりオーバーラップすると考えている。一方で日本の場合は、個人情報保護委員会の技術的水準や信頼性を含めて、慎重な見極めが必要だと思います。

曽我部:国ごとの事情に応じてプラットフォームとの関わり方が変わってくる上で、私は各国とプラットフォームが一対一で折衝をするのはあまり現実的ではないと思います。例えばG7のように、多国間の枠組みで議論していく方法もあるのではないでしょうか。

トゥルク:確かに、多国間交渉の形でデジタル主権を議論するのは良いアイデアだと思います。たとえ第1回世界情報社会サミット(SMSI)では納得のいく結果が得られなかったとしても、です。確かに、EUとアメリカは同盟国である一方、EU諸国はアメリカのプラットフォーム企業に依存せざるを得ないという難しい状況があります 。しかし、我々には多くの共通した目的や利益があります。特に緊張が高まり民主主義が脅かされている世界においては、様々な視点から検討が必要になるでしょう。では、どの国が議論のテーブルに参加すべきでしょうか? アメリカはEUと議論すべきなのか、それとも、各EU加盟国と話し合うべきなのでしょうか?

デジタル主権はデータ保護よりも遙かに幅広い問題ですし、結局は国ごとの政治的な歴史や文化によって異なる捉え方になります。ブラジルやロシア、中国も、それぞれがEUとは異なる独自の解釈で「デジタル主権」という概念を提唱しているのです! また、人によっては今でも国家を自分たちの自由を脅かす存在としてのみ捉えて、主権の議論を躊躇しています。反対に、国家は外国勢力や経済的権力に対抗し、自由を守ってくれる存在だと考える人もいます。

こうしたなかでフランス国民は国家に対して、自分たちの人権をある程度保護してくれる存在として信頼を寄せています。歴史的な背景をみると、フランス革命によって教会権力に対抗して政治権力(政府)が作られ、教会の独占的権威を統治から切り離すために人々は戦いました。その結果、政治権力は国民主権の保証人であり、法の下で市民の権利を保護する存在となりました。だからこそ、選挙で選ばれたわけでも、国民に責任を負うわけでもなく、公共な利益をインセンティブにして活動するわけでもないプラットフォーマーが実質的に権力を持ってくることに対して、非常にセンシティブな感覚があるのです。

山本:海外のプラットフォームとの関係は、あらゆる国が抱える問題といえます。その上で私は、GAFAのロビイング費用が過去最大に達したと報じられていることからも、プラットフォームと国家の交渉が不透明である点に懸念を感じます。提案として、こうしたプラットフォームを国家に近い力を持つ国際的な政治主体として捉え、民主的な統制を加えて透明化していくべきではないか。憲法の観点からも一つのテーマになり得ると感じました。

バシェール=ペレティ:デジタル主権とプライバシーの関係について、もっと考えていく必要があります。そして、CNILのような専門家組織の役割を制度の中でどう位置付けていくか。引き続き考えていく必要がありますね。

河嶋:KGRIではこのデジタル主権の問題について、引き続き研究して いきたいと考えています。ぜひ、より深い議論を重ねていけましたら幸いです。本日はどうもありがとうございました。

2022年3月3日 オンラインにて実施
※所属・職位は実施当時のものです。