メインメニューをとばして、このページの本文エリアへ

深掘り

クロスボーダー法務の今 by Baker & McKenzie

個人情報保護法改正の、その先を見据えて

達野 大輔(たつの・だいすけ)

個人情報保護法改正の、その先を見据えて

弁護士 達野 大輔

 I. はじめに

拡大達野 大輔(たつの・だいすけ)
 弁護士。ベーカー&マッケンジー法律事務所東京オフィスで、知的財産・情報通信グループに所属するパートナー。
 東京大学卒業、ノースウエスターン大学ロースクール(LL.M.)卒業。
 著作に「ミログ第三者委員会報告書から考えるプライバシー情報ビジネス利用の問題」がある。
 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」がこの9月に成立・公布された。改正後の個人情報保護法(以下、「改正個人情報保護法」)により、近年のIT技術の革新に伴う情報利用の必要性や、これに呼応した個人情報保護の意識の高まりに対応できるようになるのではと期待されている。

 改正個人情報保護法が完全に施行されるまでには、まだ2年近くの期間があり、その間に規則やガイドラインが制定される予定である。それまでに解決されるべきいくつかの問題点と、今回の改正のさらに未来を見据えた個人情報保護のあるべき姿について、特に重要と考えらえれる点に絞って触れつつ検討する。なお、引用する条文番号はすべて改正個人情報保護法のものである。

 2.個人情報保護委員会

 改正個人情報保護法の一つの目玉は、第三者機関である「個人情報保護委員会」を設立し、個人情報の取扱いに関する監視又は監督等の事務を行わせることにある(第52条)。なお、改正個人情報保護法の中でも、この個人情報保護委員会に関する部分は、2016年1月に先行して施行されることとなっており、個人情報保護員会はその時点から稼働することになる。

 この個人情報保護委員会は、EUにおけるコミッショナー制のように、独立した専門機関による個人情報の取扱いの監視及び取締りを狙ったものである。改正前の個人情報保護法において、監督権限が各主務大臣に分散され、結果として何ら統一的な監視及び法律の執行が行われなかった状況が、この改正によって改善されることが望まれる。

 個人情報保護委員会が権限を有する事項は、以下の通り多岐にわたる。

  • 要配慮個人情報(人種、信条、社会的身分などの情報)の例外が適用されるものの指定(17条2項5号)
  • 個人情報の第三者提供に関する届出の受理及び公表(23条2項)
  • 外国にある第三者への提供の制限における、「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」及び「(日本と同様の)措置を継続的に講ずるために必要な基準」の決定(24条)
  • 第三者提供に係る記録の作成についての規則の制定(25条)
  • 第三者提供を受ける際の確認等についての規則の制定(26条)
  • 匿名加工情報の作成、提供についての規則の制定(36条、37条)
  • 個人情報・匿名加工情報の取り扱いについての報告の要求及び立入検査(40条)
  • 個人情報取扱事業者に対する勧告、命令(42条)
  • 個人情報保護団体の認定(47条)
  • 個人情報保護委員会規則の制定(65条)

 ところが、このように広範な事項の取り扱いを行うこととされた個人情報保護委員会が、真に監視・監督機関としての機能を果たしうるかは、現状では非常に心もとないと言わざるを得ない。個人情報保護委員会は、特定個人情報保護委員会が改組されてその任に当たることとになったが、本来、特定個人情報保護委員会は、マイナンバーという限られた範囲の事務を取り扱うことが予定されていた組織である。特定個人情報保護委員会にしてみれば、予想外に広範な事務の取り扱いを行うことになった、といったところではないだろうか。

 実際、EU各国における個人情報保護コミッショナーは、規模の大きな組織であることがわかる。例として、フランスにおけるCNIL(Commission nationale de l'informatique et des libertés)と、イギリスにおけるICO(Information Commissioner's Office)を数値比較したのが表1である。

   表1 個人情報保護委員会と他国の当局との比較

 個人情報保護委員会
(日本)
CNIL
(フランス)
ICO
(イギリス)
人員数 委員長及び委員8人
事務局32名
委員17人
職員180人
職員408人
予算 全体で14億円
(28年度概算要求)(注1)
1,500万ユーロ
(約15億円)
2,160万ポンド
(約40億円)
実績   案件処理5,825件/年
通知62件
罰則18件
案件取扱14,268件/年
告発12件
罰金11件で69万ポンド
(約1.3億円)


 またCNIL及びICOに特徴的なのは、単にその規模だけではなく、実際に積極的な法の執行が行われているという点である。これには罰金の徴収も含まれ、どの会社にどのような措置が行われたのかがウェブサイト上で公開されている。かかる現実的な法律の執行が、企業による個人情報の保護を促進しているものといえる。

 もちろん、EUにおけるコミッショナーが現在のような活動をなしうるまでにも一定の年月を要した。ICOが創設されたのは1984年、CNILは1978年である。日本の個人情報保護委員会についても、一朝一夕に同様の活動が行えるとはいえない。今後の活発な活動と適正な拡大を期待したい。

 3.匿名化

 改正個人情報保護法では、「匿名加工情報」についての規定が新設された。匿名にされた情報は、ビッグデータ利用にも深くかかわるため、この情報の利用に対する制限がある程度緩和されることは、ビジネス目的のデータ解析にあたって大きな利点となる。

 改正法は、「匿名加工情報」について「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」をいうと規定した(2条)。

 具体的には、以下の措置を施すことを要求している。

  •  個人識別符号が含まれるもの以外の個人情報:「当該個人情報に含まれる記述等の一部を削除すること」(復元することのできる規則性を有しない方法により他の記述等に置き換えることでも可)
  •  個人識別符号が含まれる個人情報:「当該個人情報に含まれる個人識別符号の全部を削除すること」(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることでも可)

 さらに改正法では、匿名加工情報データベース等を構成する匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして、個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならないとされている(36条)。

 しかし、「特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにする」という要求は、単純なようで難しい要求事項である。たとえばある商品の購入履歴からなる個人データがあったとして、その中から名前だけを削除しても匿名情報とはならない。ほかに住所と誕生日がデータに含まれていれば、他のデータ(たとえば電話帳)と照合して、容易に氏名を導き出すことができる場合があるからである。もし住所と誕生日のデータを消しても、どの商品をいつ購入したかという情報が積み重なれば、そこから特定の個人が識別される可能性も出てくる。2013年にJR東日本によるSuicaのデータ販売が問題とされた事例も、まさにこのような「一見匿名に見える情報でも、積み重なれば個人が特定される場合がありうる」という点が強調された事例であった(ただし、JR東日本の事例で、本当に販売されたデータで個人が特定できたのかは別の問題である)。

 かかる疑問を払拭できるほどの「個人情報保護委員会規則」は作成可能なのであろうか。

 海外を見てみると、前述のイギリスのICOは、「Anonymisation: managing data protection risk code of practice」という80ページ以上のガイドを出して、どのような場合に匿名化がなされたといえるかについての丁寧な説明がなされている(注2)

 日本においても、産業界が十分にビッグデータ等の匿名加工情報の利用をできるよう、明確な規則の制定が望まれる。

 ただ、実は日本では、経済産業省が2007年から行った「情報大航海プロジェクト」と名付けられたプロジェクトの中で、「k匿名化」という手法に基づいた、個人を識別できる要素を外した上で情報を解析できるようにする基盤プラットフォームの策定がなされている。このような技術的なアプローチによる匿名化基準の規定も、一つの方向性としては考えられるところであろう。

 「情報大航海プロジェクト」は、100億円をつぎ込んだ大プロジェクトであったにもかかわらず実用的な結果を出せなかった、と評価されることもあるが、プロジェクト自体はデータの利用に関する先進的な実証研究がなされていたことは確かである。改正個人情報保護法における匿名化という思いもよらなかった場面でこの結果が利用できることとなれば、経済産業省に先見の明があったと、その評価が一変するかもしれない。

 4.個人データの海外移転

 改正個人情報保護法においては、個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、あらかじめ外国にある第三者への提供を特に認める同意を得なければならないと規定している。ただしその例外として、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」及び「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」への移転については、この制限が適用されないとしている(24条)。

 このように国境を越えた個人情報の移転に際して一定の制限をかけているのは、日本独自の規定ではない。日本が個人情報保護法を制定した際には当時のOECDの個人情報保護に関する8原則を基礎としたが、このOECDのプライバシーガイドラインも2013年に改正され、その中で個人データの国際流通について、加盟国は、(a) 他の国がガイドラインを実質的に遵守している場合、又は (b) 十分な保護措置がある場合に、この流通を制限することを控えるものとされた(注3)。したがって、改正個人情報保護法における上記の制限は、まさにこのような国際的な要請に従ったものといえる。

 ちなみに、同様に個人情報の海外移転を制限している国は、オーストラリア、香港、インド、インドネシア、マレーシア、シンガポール、韓国など、多岐にわたる。

 しかし、自国と同様の水準にある外国を明示的に指定している国はなく(注4)、個人情報保護委員会がいかなる基準で「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」を選択するかは興味深い。なお、改正個人情報保護法の審議過程では、この具体的な選定に関しては、あくまで個人情報保護委員会が行うものとして、明確にはされなかった。ただ、アメリカ及びEUがこの国に含まれる可能性は、日本との経済的な結びつきから考えて、高いといえよう。

 また、日本は2014年にAPECの「越境プライバシー・ルール」(CBPR)システムへ参加を認められている。これは、企業等の国境を越えた個人情報保護に係る取組みに関し、APECプライバシー原則への適合性を認証する制度である。具体的には、このシステムへの参加を申請する企業が、自社の越境個人情報保護に関するルールや体制等に関し自己審査を行い、その内容についてあらかじめ認定された中立的な認証機関から認証審査を受ける、というシステムからなる。

 このシステムに実際に参加が認められた場合、各国にアカウンタビリティ・エージェントが置かれ、このアカウンタビリティ・エージェントに対し、企業等の団体がAPECプライバシー原則を順守しているとの申請を行う。認証を受ければ、この「越境プライバシー・ルール」システムに参加している国全体において当該団体のプライバシー保護の適合性が認められる、というシステムである。

拡大

 (注5)

 日本が公式に「越境プライバシー・ルール」システムへの参加を表明している以上、この認証を受けた海外の団体への個人情報の移転は、当然に、第三者への移転の制限から外されることが予想される。

 改正個人情報保護法の審議の段階では、この部分は現状の企業の取り組みを変えるものではないとの答弁がなされているものの(注6)、実際の影響については注視していかなければならない。

 5.EUからの個人データ移転

 上記とは逆に、海外から日本への個人データの移転を考えた場合、日本にとって最も困難な障害は、EUにおける個人情報保護制度である。現在有効な個人情報保護指令に代わって、個人情報保護規則が間もなく成立する見込みといわれている。しかし、EU域外への個人情報の移転を制限しているという基本的な枠組みは維持される見込みで、この点がEUに拠点を有する日本企業のデータ集約にとって大きな障害となっているのである。EU域外への個人情報の移転を可能にする方策としては、BCR(Binding Corporate Rules)の策定、ECモデル条項に基づいた契約の締結、といった方法が存在するが、いずれも対策を講じるために一定の労力を要し、簡単ではない。

 このような状況を打開できる方策が一つある。EU域外への個人情報の移転の制限が解除されるもうひとつの場合が、EUから「十分なレベルの保護を行っている第三国」として認定してもらうことである。(個人情報保護指令25条(6))

 EUとの関係では、米国のセーフハーバー制度も近年その有効性が問題となっているが、この米国セーフハーバー制度も、この認定を経て認められたものである。現在この認定を受けている国は、12(米国のセーフハーバー制度含む)ある。直近で認定を受けたのはニュージーランドである。

 もっとも、この認定を受ける手続きは容易ではない。具体的には、以下のような手続きが要求される。

  1.  欧州委員会からの提案を得る
  2.  個人情報保護指令第29条に定めるワーキングパーティーにおいて、各加盟国の個人情報保護当局及びEDPS (European Data Protection Supervisor)の意見を仰ぐ
  3.  個人情報保護指令31条に定める各加盟国の代表からなる委員会で、審査のうえ許可を得る
  4.  欧州委員協議会(College of Commissioners)の決定を得る

 上記のとおり、最終的な決定に至る道は複雑で、かつ政治的でもある。上記のとおり、今までに認定を受けた国は12しかなく、先進国であれば認定が得られるというものでもない。さらに言えば、この認定は後からでも覆されることが可能である。

 とはいえ、この認定が得られれば、EUから日本への個人情報の移転はぐっと簡便なものとなる。十分な保護をしていない国・地域への個人情報の移転を制限する必要は出てくるが、EUからの情報移転の必要性の方が、現時点では高いように思われる。

 今回の個人情報保護法改正がEUによる認定のためだけのものであるとは言えないが、改正により「十分なレベルの保護を行っている」と認められる可能性は相対的に高くなったといえる。今まで、日本はこの認定のための申請において具体的な活動は行ってこなかったが、今後は、EUからの個人データ移転のために、国としてこの申請を行う要請が高まるのではないか。

 6.おわりに

 今回の個人情報保護法の改正を、単なる国内法制の整備の枠内に留まらせることなく、世界各国の法制度と連携した個人情報保護の枠組みを実現させるための布石ととらえ、先を見据えた個人情報保護政策が行われることを期待するものである。

 ▽注1: http://www.ppc.go.jp/files/pdf/150831gaiyou.pdf
 ▽注2: https://ico.org.uk/media/1061/anonymisation-code.pdf
 ▽注3: OECDガイドライン17条。http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm
 ▽注4: 香港でもこのような国のリストアップをするという規則となっているが、規則自体がまだ発効していない。
 ▽注5: http://www.meti.go.jp/press/2014/04/20140428003/20140428003-2.pdfより
 ▽注6: 平成27年5月8日 衆議院内閣委員会会議議事録第4号

達野 大輔(たつの・だいすけ)

 弁護士。ベーカー&マッケンジー法律事務所東京オフィスで、知的財産・情報通信グループに所属するパートナー。
 東京大学卒業、ノースウエスターン大学ロースクール(LL.M.)卒業。
 知的財産の登録、保護、紛争、ライセンシングおよび情報技術、放送、電気通信に関わる案件を扱う。特に商標権の侵害物品に対する法的対処に関しては、侵害物品のソースに関する調査、オンラインショップ又はオークションにおける侵害への対処、警告書の送付、仮処分・仮差押・民事訴訟に至る一連の手続きについて経験を有する。著作権に関する法的アドバイス、契約書の作成なども多く手がける。外為法における、安全保障のための輸出規制に関する法的アドバイスの提供を行う。
 主な著作に「ミログ第三者委員会報告書から考えるプライバシー情報ビジネス利用の問題」がある。著書に「アジア・ビジネスの法務と税務―進出から展開・撤退まで」、「Ending the Imports」、「PLC E-Commerce Practice Manual」、「Litigation Yearbook 2001」など。

Facebookでコメントする

ご感想・ご意見などをお待ちしています。