A子「みんな、あんたのことおかしいって言っているよ。」

B子「（ムッとして）みんなって一体誰よ？」

A子「（すこしたじろいで）みんなってみんなよ！」

こういうのは子供の言い争いだけ、とは言い切れません。大人のわれわれも、油断していると職場で無意識に同レベルの会話をしていそうです。

上の場合、じつはA子の子飼いの２、3人だけがB子をよく思っていないだけだった、なんてこともよくあります。

無意識的に、その母数も、意見の占める割合も、はたまた主観性も客観性もあいまいにして、情報を匿名化してしまうのは、ある意味、目に見えない巨大な怪物を育ててしまうようなものです。

今月の本章でご紹介するインド2019年個人情報保護法案は、匿名化された情報は対象外なのですが、そんな無毒化されたかに思える情報も、依然として人間の尊厳を傷つける可能性は大きく残されているのです。（芸能人たちが、過去の恋人たちの性癖を堂々とスタジオで語る等は、匿名であってもその想像力のなさと視野のせまさが理解できません。）

ところで、広義の意味の「視野がせまい/ 視野がひろい」の判断基準は、その人のもつ情報量の多寡だけでなく、ヒトの5感をつかさどる感覚器（目・鼻・舌・耳・肌）をめいっぱい使えているか否かによるところが大きいのではないかと感じています。

文字通りの”視野”だけをとっても、ヒトの片目の水平方向では耳側に角度約９０～１００度、鼻側に約６０度、上下方向では上側に約６０度、下側に約７０度まであると言われています。

つまりゴルゴ１３でなくとも、前を向いて首を動かさないまま、斜め後ろを可視域にすることができるのです。この感覚器、フルに使っていますか？

現在、筆者はハトのひなどり２羽と、ドアを挟んで生活しています。

マンションの17階なのですが、１年以上も家を空けて管理を怠っていた裏のベランダへ向かうドアを、先週夜半、久々に開けた瞬間、突然何者か大暴れで中へ入ってきて、筆者の頭部はその脚で襲撃されました。

背中にフンを浴びせられたことに気づいたのはその数時間後でしたが、その時はとにかくその何者かを外へ追いやりました。正体はハトでした。

たったの5秒間弱の出来事です。とりの脚って美味しいのみならず、ひたすら痛いものでした。

翌朝あらためて裏ベランダを調査して保護したのは、ハトのひなどり２羽でした。

「ああ、昨晩のあれは親鳥で、ひなを守るための命がけの攻撃だったのだな」と納得し、2羽が無事に１７階からインド洋の大空へはばたく日まで、ベランダ大掃除はお預けということに相成りました。

執筆中の今も、親鳥が戻ってこなくておなかが空いているのでしょう。２羽ともに不安げに精一杯鳴き騒いでいます。

そのひなどり2羽ですが、すでに野球ボールほどの大きさには成長しているものの、保護した当時は、怯えて硬直状態だったせいもあったかもしれませんが、その小さな黒い眼が、感覚器としてまだ育っていないという印象でして、筆者の方を全く見ないし、その存在の感知すらしていないようなのです。

経験上、カラスは、近距離で目と目が合ったりすると、こちらがたじろいだ瞬間、悪さを仕掛けてきます。

言葉もわからないインドの赤ちゃんは、外人である筆者のおへそを見たりせず、じーっと目をみてきます。

猫も犬も、喜怒哀楽を表わす際は必ずヒトの目を見て訴えるのです。

その生の根源にかかわる目すらもうまく使えていないひなどり、、、そしてわれわれはどうでしょう。

気持ちのいい朝に歩道をジョギングしていると気づきます。スマホに夢中で歩いている大人たちの、なんと視界の狭く危険予知アンテナが失われていることか。前から走ってくる自分に、ぶつかりそうになるまで気づきもしないのです。

5感をつかさどる感覚器から得る情報、言い換えればあなたとわたしが体全体で納得する情報、これらをバランスよくはぐくみ、しかもそれを互いに敬意を払い守り合っていくというのが、匿名・非匿名に関わらず、情報保護の第一歩であるように思います。

インドは、個人情報の保護方法を大きく変える岐路に立っています。

個人情報保護に関して制定されているものとしては、「2011年個人情報保護規則（Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011）」が挙げられますが、技術の変化および進化によるデジタル社会において多くの課題が残されています。

現在、インド議会では「2019年個人情報保護法案（The Personal Data Protection Bill, 2019）以下、『法案』」が検討されており、今回は「前編」として、法案内容の重要と思われるポイントについてご紹介します。

この法案は、EUのGDPRをモデルにしており、個人情報保護に対して主に下記４つのアプローチをとっています。

1. 情報処理のための組織的・技術的措置の枠組みの構築
2. 個人情報を処理している主体に説明責任を負わせるための規範の導入
3. 許可されていない有害な処理に対する救済措置の提供
4. インド情報保護庁（Data Protection Authority of India）（以下、「当局」）の設立

キーワード

• ●匿名加工情報（‘Anonymised Data’）：当局が定める基準に従って、個人情報を特定の個人を識別することができないように変換または加工して得られる、匿名化された情報を意味します。
• ●個人情報（‘Personal Data’）：オフラインまたはオンラインで利用可能な自然人の情報で、特性、特徴、属性等の組み合わせにより、直接的または間接的に特定の個人を識別できるものをいいます。
• ●特定機微の個人情報（‘Sensitive Personal Data’）：次の１２項目に定義されています。
  1. 財務情報
  2. 健康情報
  3. 個人識別符号
  4. 性生活
  5. 性的指向
  6. 生体情報
  7. 遺伝情報
  8. 性転換の状態
  9. インターセックスの状態
  10. カーストまたは部族
  11. 宗教的または政治的な信条または所属
  12. その他このように分類される情報

   

• ●情報管理者（‘Data Fiduciaries’）：単独であるか他者と共同であるかを問わず、個人情報の処理の目的および手段を決定する企業、団体、または個人を意味します。
• ●本人（‘Data Principals’）：特定機微のものを含む個人情報によって識別される特定の自然人を意味します。

適用範囲

この法案は、以下の条件で個人情報に適用されますが、匿名化された情報には適用されません。

• (a)インド国内での収集、開示、共有、その他の処理がされる場合
• (b-1) インド政府または関連機関
• (b-2) インド国民
• (b-3) インド法に基づいて設立された法人のうちいずれかによって処理がされる場合
• (c)インド国外の情報管理者や情報処理者によるインドでの事業や商品・サービスの提供に関連して処理され、インドの本人のプロファイリングが必要な場合

情報の処理について

個人情報は、本人のプライバシーを維持しつつ、特定の明確かつ合法的な目的のために、本人が同意した目的のためにのみ処理されなければなりません。

個人情報の収集について

個人情報の収集は、処理に必要なものに限定されなければなりません。さらに、情報管理者は本人に以下の内容を含む通知を行うことが求められます。

1. 個人情報を処理する目的
2. 収集する個人情報の性質および分類
3. 情報管理者および情報保護責任者（該当する場合）の身元および連絡先
4. 情報本人が同意を撤回する権利およびの手順
5. 個人情報を提供しなかった場合、結果どのようなことになるか
6. 個人情報の収集源（本人から収集していない場合）
7. 当該個人情報が共有される個人または事業体（該当する場合）
8. 個人情報の国境を越えた移転（該当する場合）
9. 個人情報の保持期間
10. 苦情処理の手順
11. 本人が当局に苦情を申し立てる権利

当該通知は明確で理解しやすく、また必要に応じて複数の言語で記載されていなければなりません。

情報管理者は、個人情報を他の個人または事業体に開示する場合、個人情報が完全で、正確で、かつ更新されていることを確認する必要があります。

情報管理者は、他の個人または事業体に開示された個人情報が不完全または不正確であることを発見した場合、その旨を本人に通知しなければなりません。

情報管理者は、個人情報を必要以上に保持することはできず、必要でなくなった時点で個人情報を削除する必要があります。

しかしながら、本人の同意がある場合、または法的義務に従うために必要な場合は、個人情報をより長い期間保持することができます。

情報管理者は、個人情報のあらゆる処理に関して、これらの規定を遵守する責任があります。

情報提供への同意について

本人による同意は、自由で、情報に基づいていて、具体的で、明確、かつ撤回可能なものでなければなりません。

また、同意がなされたことを証明する責任は情報管理者に課せられます。

しかし、本人が正当な理由なく同意を撤回した場合、かかる撤回によって発生するすべての法的責任は本人に課せられます。

個人情報は、情報管理者と情報本人との間に雇用関係があり、以下の目的のために処理が必要な場合、同意なしで情報処理をすることが認められています。

1. 情報管理者による本人の採用または雇用の終了
2. 本人へのサービスまたは利益の提供
3. 本人の出勤状況の確認
4. 本人の業績への評価

児童の個人情報と保護者情報管理者について

個人情報が18歳未満の児童のものである場合、児童の個人情報は、その児童にとって最善の利益となる方法で処理することができますが、情報の処理を行う前に、児童の年齢を確認し、親または保護者の同意を得る必要があります。

当局は、以下に該当する場合、情報管理者を保護者情報管理者とみなす可能性があります。

1. 児童向けの商業ウェブサイトまたはオンラインサービスを運営している場合
2. 児童の個人情報を大量に処理している場合

保護者情報管理者に対しては、プロファイリング、追跡、モニタリング、子どもを対象としたターゲット広告の提供、または子どもに重大な危害（Significant Harm）を及ぼす可能性のある個人情報の処理をすることが禁止されています。

ただし、保護者情報管理者がカウンセリングまたは児童保護サービスを提供する場合においては、児童の親または保護者の同意は要求されません。

情報提供における本人の権利について

本人には、処理される個人情報、および自分の個人情報を所持する情報管理者の身元に関する情報を情報管理者から得る権利が認められています。さらに、本人は以下の権利を有します。

1. 不正確または誤解を招く可能性のある個人情報を修正する
2. 完全な個人情報を提供する
3. 個人情報が古くなった場合に更新する
4. 必要性のなくなった個人情報を消去する

本人は、希望する場合に、情報管理者に対して、上記(a)～(d)の事項を要求することができます。

情報管理者は、個人情報が開示された可能性のあるすべての関連団体または個人に対しても、個人情報の修正、更新または消去を提供する責任があります。

情報管理者は、個人情報の修正、補完、更新、消去に同意しない場合、本人に対して書面で充分な根拠を説明する義務があります。

また、（要求を受けて、情報管理者から本人に対する）情報提供において、情報処理プロセスが自動化されている場合に、明確で、かつ一般的に使用される機械読取可能な形式でなければならないとされています（ただし、情報管理者の企業秘密を明かすことになる場合、または技術的に実現不可能な場合は除かれます）。

そして、本人は、説明に納得できない場合に、当局に対して苦情申し立てをすることができます。

後編へ続く・・・