「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS) | ScanNetSecurity
2024.03.29(金)

「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS)

デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)は日、個人情報保護法改正に関する記者説明会を開催した。

研修・セミナー・カンファレンス セミナー・イベント
デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)は10月3日、個人情報保護法改正に関する記者説明会を開催した。本説明会は、個人情報保護に関連する法律について正しい理解を促進するために開催されたもの。この中で、ひかり総合法律事務所の板倉陽一郎弁護士による「個人情報保護制度の国際的なバランスを考える」と題したセッションを行った。

個人情報保護法において「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」としている。

ただし、全体に適用されるのは、基本理念や国および地方公共団体の責務・施策、基本方針の策定といった「基本法則」のみとなる。その下は「民間部門」と「公的部門」にわかれ、個人情報取扱事業者の義務等は民間部門のみに適用される。このため、国の行政機関や独立行政法人等、地方公共団体等で発生した個人情報漏えい事件に対して個人情報保護法の義務を参照することは間違いであると板倉氏は指摘した。

また板倉氏は、日本の情報保護法を語る際に「欧米では」という言い方をするが、これも間違いであると指摘。欧州と米国では個人情報に関する法律が全く異なるという。米国では、政府部門、健康情報等、信用情報、通信分野、金融部門、児童のプライバシーなど分野ごとに情報保護の法律が制定されており、分野横断的な個人情報保護法は存在しない。「米国はマイノリティであるが、緩やかではない」と板倉氏は表現した。

米国が緩やかではないという理由に、板倉氏はFTC(Federal Trade Commission:米連邦取引委員会)の存在を挙げた。個人情報保護において違反が発覚した際には、FTCにより排除措置・課徴金等の対象とされ、民事責任も問われる。また、個人情報保護については商務省による「セーフハーバー原則」があり、企業とFTCを含めた「セーフハーバーの枠組み」が自主規制として機能している。

一方、EUでは1995年に分野横断的な個人情報保護に関する規制「個人データ保護指令」が施行され、2002年には「e-プライバシー指令」が施行、2009年に改正されている。特に電子通信部門に関する個人データ保護指令の特則となった。EU各国はこれらをベースに独自の法律を制定している。EUで特徴的なものが「欧州十分性審査」で、これは「第三国へのデータ移転に関する作業文書」、つまり第三国が十分なレベルのデータ保護措置を確保している場合に、越境データ移転が可能になるというものだ。

現在、スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドの11カ国・地域が認定されている。これらは、植民地であったりタックスヘイブンといった特徴がある。米国は十分性の認定を受けることは困難とされているが、「セーフハーバー原則」についての十分性認定を受けて企業レベルでの移転を可能にしている。ただし、越境データ移転について日本への打診はなかったという。

板倉氏は、日本のデータ保護措置が国際社会に認められるためにも、国外の拠点で個人情報データベース等を事業の用に供している事業者に対して個人情報保護法を「域外適用」できるようにすることが重要であるとした。そのためには外国の執行当局と日本の主務大臣、第三者機関の長による執行協力が必要で、これにより移転や再移転の制限を可能にすべきとした。

また、DT-ARLCSの主任研究員である北野晴人氏が「日本企業が気をつけたい個人情報保護のポイント」と題したセッションを行った。北野氏は、グローバルな市場に向けて産業構造が変化しているとして、国内だけでは企業が生き残っていけないため、市場を海外に求める必要があることと、「開発する国」「生産する国」「市場としての国」の区別がなくなることをデータから示した。

そして、求められることとして「国際競争力を高めるために、より高度なデータの活用」「同時に『同意を得た』プライバシーの保護」「海外の各国法制度にも対応できる仕組み作り」の3点を挙げた。また、適法性と安全管理だけでなく透明性も重要として、活用と保護のバランスには「適法性とプライバシーの保護」「透明性の確保と同意形成」「安全管理措置(情報セキュリティ)」が重要であるとした。

これらを実現するためには、事前に影響評価を行い、計画段階からプライバシー保護を組み込むことが必要であるとして、北野氏は「プライバシー・バイ・デザイン(PbD)」と「PIA(Privacy Impact Assessment)」を勧めた。そして、業務とプロセス、それを支えるシステムを合わせて「収集」「保管」「分析・活用」「廃棄」の情報のライフサイクル全体を保護することが重要であり、PIAを段階的に実現していくことがポイントであるとした。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×