「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS)

研修・セミナー・カンファレンス セミナー・イベント

デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)は10月3日、個人情報保護法改正に関する記者説明会を開催した。本説明会は、個人情報保護に関連する法律について正しい理解を促進するために開催されたもの。この中で、ひかり総合法律事務所の板倉陽一郎弁護士による「個人情報保護制度の国際的なバランスを考える」と題したセッションを行った。

個人情報保護法において「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」としている。

ただし、全体に適用されるのは、基本理念や国および地方公共団体の責務・施策、基本方針の策定といった「基本法則」のみとなる。その下は「民間部門」と「公的部門」にわかれ、個人情報取扱事業者の義務等は民間部門のみに適用される。このため、国の行政機関や独立行政法人等、地方公共団体等で発生した個人情報漏えい事件に対して個人情報保護法の義務を参照することは間違いであると板倉氏は指摘した。

また板倉氏は、日本の情報保護法を語る際に「欧米では」という言い方をするが、これも間違いであると指摘。欧州と米国では個人情報に関する法律が全く異なるという。米国では、政府部門、健康情報等、信用情報、通信分野、金融部門、児童のプライバシーなど分野ごとに情報保護の法律が制定されており、分野横断的な個人情報保護法は存在しない。「米国はマイノリティであるが、緩やかではない」と板倉氏は表現した。

米国が緩やかではないという理由に、板倉氏はFTC(Federal Trade Commission:米連邦取引委員会)の存在を挙げた。個人情報保護において違反が発覚した際には、FTCにより排除措置・課徴金等の対象とされ、民事責任も問われる。また、個人情報保護については商務省による「セーフハーバー原則」があり、企業とFTCを含めた「セーフハーバーの枠組み」が自主規制として機能している。

一方、EUでは1995年に分野横断的な個人情報保護に関する規制「個人データ保護指令」が施行され、2002年には「e-プライバシー指令」が施行、2009年に改正されている。特に電子通信部門に関する個人データ保護指令の特則となった。EU各国はこれらをベースに独自の法律を制定している。EUで特徴的なものが「欧州十分性審査」で、これは「第三国へのデータ移転に関する作業文書」、つまり第三国が十分なレベルのデータ保護措置を確保している場合に、越境データ移転が可能になるというものだ。

現在、スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドの11カ国・地域が認定されている。これらは、植民地であったりタックスヘイブンといった特徴がある。米国は十分性の認定を受けることは困難とされているが、「セーフハーバー原則」についての十分性認定を受けて企業レベルでの移転を可能にしている。ただし、越境データ移転について日本への打診はなかったという。

板倉氏は、日本のデータ保護措置が国際社会に認められるためにも、国外の拠点で個人情報データベース等を事業の用に供している事業者に対して個人情報保護法を「域外適用」できるようにすることが重要であるとした。そのためには外国の執行当局と日本の主務大臣、第三者機関の長による執行協力が必要で、これにより移転や再移転の制限を可能にすべきとした。

また、DT-ARLCSの主任研究員である北野晴人氏が「日本企業が気をつけたい個人情報保護のポイント」と題したセッションを行った。北野氏は、グローバルな市場に向けて産業構造が変化しているとして、国内だけでは企業が生き残っていけないため、市場を海外に求める必要があることと、「開発する国」「生産する国」「市場としての国」の区別がなくなることをデータから示した。

そして、求められることとして「国際競争力を高めるために、より高度なデータの活用」「同時に『同意を得た』プライバシーの保護」「海外の各国法制度にも対応できる仕組み作り」の3点を挙げた。また、適法性と安全管理だけでなく透明性も重要として、活用と保護のバランスには「適法性とプライバシーの保護」「透明性の確保と同意形成」「安全管理措置(情報セキュリティ)」が重要であるとした。

これらを実現するためには、事前に影響評価を行い、計画段階からプライバシー保護を組み込むことが必要であるとして、北野氏は「プライバシー・バイ・デザイン(PbD)」と「PIA(Privacy Impact Assessment)」を勧めた。そして、業務とプロセス、それを支えるシステムを合わせて「収集」「保管」「分析・活用」「廃棄」の情報のライフサイクル全体を保護することが重要であり、PIAを段階的に実現していくことがポイントであるとした。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. 脆弱性診断サービスはどこまで標準化できるのか(SHIFT SECURITY)

    脆弱性診断サービスはどこまで標準化できるのか(SHIFT SECURITY)

  2. [今週開催] 日本発の国際サイバーセキュリティ会議 CODE BLUE 2017、三つの挑戦

    [今週開催] 日本発の国際サイバーセキュリティ会議 CODE BLUE 2017、三つの挑戦

  3. 京王電鉄のサイバーセキュリティ、2005年の契機

    京王電鉄のサイバーセキュリティ、2005年の契機

  4. サイバー犯罪対策、産学官連携の成果 -- JC3 間仁田氏報告

  5. DMARCの国内ISP導入事例

  6. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第5回「知らないと困る?! 認証局とHTTPSの最新動向」について語る

  7. 2017年8月25日 名和利男の目に映った光景

  8. 総務省の「自治体情報システム強靱性向上」、その成果と新たな課題

  9. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第4回「サイバー攻撃最前線2017」について語る

  10. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第3回「転ばぬ先のIoTセキュリティ~コウカイする前に知るべきこと~」について語る

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×