WEBマガジン
「【レポート】 EUの一般情報保護法制定の動きとその影響」
2015.12.17 株式会社オージス総研 水間 丈博
はじめに
日本で今年9月に個人情報保護法案の改正案が国会で承認されました。改正に至る道のりは長く、関係方面で喧々諤々の議論が巻き起こりました。これは2016年度から開始される「マイナンバー」運用を視野に入れた改正でもあり、「個人情報」保護規定の明確化と取り扱いの厳格化、それと「個人に関わる情報活用」とのバランスをとったもの、といわれています。
一方、遠くEUでも今年「個人情報」に関する大きなニュースがありました。それが
「欧州統一個人情報保護法制定」(以下GDPR)の動きです。
「欧州統一個人情報保護法制定」(以下GDPR)の動きです。
GDPRは、これまで曖昧さが付きまとっていたEUにおける個人情報の扱いを、初めて強制力を持ってEU全域に適用させようとするもので、EU域内はもちろん、情報交流が膨大な米国にも多大なインパクトを与えました。現在ヨーロッパ、米国双方でGDPRの成り行きに注目が集まっています。
米国、欧州の個人情報をめぐる法制度改正の動きは、日本でグローバルに活動する企業以外にはあまり関係がないと考えられがちです。しかし、この影響は今後直接的にも間接的にもじわじわと影響が広がっていくと同時に、日本の法制度にも今後影響することが予想されます。そのため日本国内でも注視しておくことが求められます。
そこで、今回は「レポート」の形式とし、GDPRの概要を簡単に探ってみます。
1.EUの法改正の動き
- (1)GDPR(General Data Protection Regulation)
- EUの「一般データ保護規則(GDPR)」がいよいよ現実のものになろうとしています。EUは永らく1995年に制定された「データ保護指令(95/46/ECと名付けられている)」で運用されてきました。これはEC全体のデータ保護方針であり、実際は各国でバラバラに解釈運用されたものになったため"パッチワーク"のような体系と言われていました。しかしここで述べるまでもなく、それからの20年間、インターネットは爆発的に広まり、ECなどネットを使った商業活動も一般に普及しました。さらにソーシャルネットワークにより個人の発信が瞬時に世界中に拡散される時代になりました。それは個人に関わる情報(個人情報やプライバシーに関わる情報など)がネット上に拡散することも意味し、それが様々な問題をきたす原因にもなっています。一方「ビッグデータ」の時代を迎え、ITテクノロジーの進展と共に膨大な個人に関わると考えられる情報(例えば、Webサイト閲覧履歴やEC購入履歴など)がインターネット広告や電子メールによる販売促進などに盛んに活用されるようになりました。この状況は米・欧・日本ともにまったく同様です。「データ保護指令」は、当然ながら今日のような環境変化を想定しておらず、また加盟各国にその解釈と運用が任されていたため、様々な問題が生じていました。
そのためにEUではEU加盟国により、データ保護指令に置き換わる新たな統一的データ保護規則の確立が議論され、最初の指針が2012年に提示された後、様々に議論されてきました。
「GDPR」とは「General Data Protection Regulation」の略で、「個人データのセキュリティと管理、顧客と従業員の両方を管理する規則のセット」と説明されています。
欧州委員会が「一般データ保護規則案」を提案したのは2012年1月。この後修正が施され、欧州議会が修正案を可決したのが2014年3月、以後閣僚理事会にて合意がなされるまで1年以上の時間がかかりました。欧州閣僚理事会は、2015年6月15日に内相・法相会議を開催し、欧州データ保護規則案を承認しました。計画では2015年末から2016年初頭にかけて、欧州議会と閣僚理事会の共同採択を目指しEUの35の加盟国の間で調整が進められる予定です。最終的に欧州議会で採決された場合、その後2年間の移行期間を設けて完全施行されるスケジュールになっています。(現時点では、2017年末から2018年初頭にかけてのある時点と予想されています。)200ページにも及ぶその原案が(2015年6月11日ブリュッセルで発行)が公開されています。(まだ所々空欄があります)
"Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) - Preparation of a general approach"
http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdfCouncil of the European Union今回の法改正の目的は「一大陸一法」、「データ所有者(個人)の権利強化」、「ワンストップショップ」など、申請や事務手続きの簡素化・合理化や個人の権利の強化が中心で、これに加え、データを管理する者の責任やデータ保護機関の権限強化を盛り込んだものになっています。
- (1)GDPRの概要
- 以下に基本的な特徴をピックアップします。
- ■ GDPRは指令ではなく規則である
- 現在の「データ保護指令」の運用の細目は各国の任意のスケジュールに任されていましたが、GDPRでは一斉に強制適用され、各国個別の法律制定を必要としません。
- ■ 対象となる組織
- 当初は従業員250名以上で年間5000件のデータを処理する中小企業以上の組織に適用される見込みですが、これを拡張する(対象を拡大する)時期は明確にされていません。重要なことは、EU以外に拠点のある企業であってもEU域内の情報を扱う限り適用されるという点です。
- ■ データガバナンス
- 組織は、個人情報の物理的な格納場所、状態、データ品質の担保などを識別、証明できなければなりません。これは管理上大きな負担となりますが、将来的には収集したデータを最小化し、その正確性が確保されるためにその組織の利益になる、と説明されています。
- ■ データ保護官の設置
- 250名上の従業員がいる組織には、データ保護官(DPO:Data Protection Officer)を置くことが必須となりそうです。DPOは独立してその組織のデータガバナンスを評価する任務を持つ、とされています。しかし、国ごとに必ずしも義務付けられるとは限らず、骨抜きになる可能性も取り沙汰されています。
- ■ 新規制はグローバルに影響する
- GDPRは、EUの国民や居住者に関するデータが存在しうる世界中の組織に影響します。「EU」とか「ヨーロッパ」という条件に惑わされ、"対岸の火事"といった姿勢は戒めるべき、といわれています。
- ■ EU域外にEU住民に関するデータを転送する場合、より厳しく規制される
- たとえ情報共有が許されるとしても(組織の情報管理者が、これが合法的であると考えたとしても)、情報管理者がプライバシー保護(適切性条件)の十分なレベルを保証できない限り、GDPRは個人情報を欧州経済地域(EEA)外に移転することを禁じます。
クラウドプロバイダーと契約する際には、彼らがEU域内で入手した個人情報をどのような方法で正当に入手し、どのような経路でどこに保持するのかを確認する必要が生じます。
- ■ 忘れられる権利
- GDPRは「個人情報所有者の申し出による、情報を消去する権利」を盛り込んだ模様です。これはいわゆる個人の「忘れられる権利(Right to be forgotten)」を明文化したもので、この背景には、2014年5月に欧州司法裁判所で出された、「データ保護に関する判決」が影響しているようです*1。当時個人情報に関してEUで最も論争を生んだ事例でした。
日本でも"個人に不都合な事実"を(場合により)削除するよう命じる判決が続いており、この権利が確立しつつあります。
- ■ 違反通知とレポート
- もし情報漏えいをきたした場合、発見した時点から72時間以内に地域のデータ保護局に届け出ることが義務化されました。これは将来24時間以内に短縮される可能性もあるようです。その場合、当該組織は最大全世界売上の2%もしくは1百万ユーロ(約1.34億万円)のいずれか大きい方の金額が罰金として科される、となっています(このパーセンテージは流動的です)。しかしどのようなインシデントの際にどこまで適用されるのかはまだ明確になっていません。
また、情報漏えいによって「世評の損害」を被った場合などは、GDPRではおおむね「漏えい者の名前の公表」方針で各国が一致している模様です。
- ■ ワンストップショップ
- これはGDPRの目玉の一つです。EU全域で一つの欧州データ保護委員会(EDPB: European Data protection Board)の傘下に各加盟国のデータ保護局(DPA: Data Protection Authority)を置き、相互に連携させることにより、EU市民がデータ保護やプライバシーの侵害を申し立てる場合、近くのデータ保護局一か所に申し出ればよいという仕組みです。これは申し立てられた方の企業や組織にも適用され、EUをまたがる複数の機関に対応する必要がなくなるという意味では時間とコストの節約にはなるでしょう。
ただ、最終案では、複数の国をまたがる情報侵害が発生した際には、当事国の監督機関の判断が取り入れられる余地を残したため、実際に機能するかは流動的になっています。
2.個人情報流通に神経を尖らせるEU
- (1)セーフハーバー協定無効判決
- このような中、2015年10月に驚くべき判決が欧州司法裁判所で下されました。それは「セーフハーバー協定は無効とする」という判決です。
EUの「データ保護指令」には、"十分な情報保護の仕組みが担保されていない第三国への、欧州内の個人情報を移転することを禁ずる」とする「第三国への情報移転禁止条項」が含まれています。しかし、これを厳密に運用しようとすると、例えば欧州内でクレジットカードを使った買い物をする際の信用情報照会も不可能になる可能性があります。そこで、1999年に欧州と米国商務省の間で"データ保護指令に準じたデータ保護ができていること(これを「十分性認定」といいます)を宣言し、登録した事業者に限って情報移転を許す"、という例外的な協定が設けられました。これが「セーフハーバー協定(Safe harbor Agreement)」です。
欧州司法裁判所の無効判決は、Facebookに上げた個人情報が欧州内で処理されず、米国のデータセンターで処理されていることに異議を申し立てたオーストリアの青年の申請をダブリンのデータ保護機関が却下したために提訴されたもので、直接データ転送を差し止めるものではなく、ダブリンのデータ保護機関に申請に基づく再審査を命じるものでしたが、この結果は米国の5,000に及ぶとみられる事業者に大きな衝撃を与えました。
この判決には別の伏線が影響していると考えられています。
それは記憶に新しい「スノーデン事件」です。
- (2)スノーデン事件
- 「セーフハーバー協定」は、ある意味、米国欧州間で盛んな商業活動を円滑にするための"妥協の産物(または抜け道)"とも考えられますが、その根底には米国欧州間の揺るぎない信頼関係が確立していたからこそ成立したものと言えます。
しかし、こうした"信頼"を根底から覆す事件がおこりました。
それが有名な「スノーデン事件」でした。この事件については数多く報道されているため詳細は割愛しますが、2013年にスノーデンによって暴露されたNSA(国家安全保障局)とCIA(中央情報局)在任中に経験したとするリークされた情報には驚くべき内容が含まれていました。特に欧州で問題になったことは、「同盟国に対する諜報活動」(ドイツのメルケル首相ら外国首脳の電話盗聴、フランス大使館、ドイツ大使館など日本を含む38か国の大使館の盗聴など)と「米国IT企業の協力」(Microsoft、yahoo!、Google、facebook、Youtube、Skype、Apple、Verizonなど大手IT企業のほとんどが協力させられていた事実)の2点でした*2。米国オバマ大統領は「諜報機関を持つ国ならどの国でもやっていることだ」と追認せざるを得ない結果となり、要するに米国の国家戦略のためには個人情報の保護は無関係(無視する)とする米国の姿勢が明らかとなりました。
この結果、米国と米国企業に対する不信感が増大し、欧州議会をはじめとするセーフハーバー協定に批判的な世論が優勢になったと考えられます。
3.米国の対応
- 米国・欧州間の商業取引量は世界最大で、年間約7,000億ドルにも達し*3、多くの人・モノ・お金・情報が飛び交っています。GDPR制定の影響は、単にECやインターネットに依存する様々な産業のみならず、多くの国々に従業員を抱える多国籍企業や上記で触れたようにソーシャルネットワークなど広範に及びます。
米国でもGDPRの動向は観察されていましたが、それほど深刻には受け止められていませんでした。しかし、上記の「セーフハーバー協定無効判決」が出て以降、慌てている様子もうかがえます。楽観論も垣間見られる中、様々な憶測が交錯しながらも"EUは本気のようだ"と受け止められ、真剣に対策が検討され始めています。現在の状況は、"GDPRを正しく理解すること"が主体です。
米国から発展したインターネットによる「ターゲティング」と呼ばれるネット上の個人の動きを追跡・記録し、個人の嗜好に合わせたディスプレイ広告や動画広告を配信するアドテク、SNSのソーシャルログイン機能を使った商品リコメンデーションなどの"あなたにおススメ商品"をビッグデータ分析から瞬時に割り出す技術等はここ数年急激に発展しました。そのための商業エコシステムとも言うべき専門業者の巨大なネットワークが確立しており、この中には"データアグリゲータ"と呼ばれる、匿名個人情報を売買する仕組みも組み込まれています。GDPRが発効すると、これらの仕組みがすべて"違反"となり、根底から見直しや再構築、戦略の転換を迫られる可能性があります。最悪の場合、現在のITインフラやビジネスモデルが覆される恐れすらあります。
まさしく米国は、"GDPRの与える深刻な影響にどのように対応するべきかを研究している最中"、と言い換えることができそうです*4。
4.日本の個人情報保護法との相違点
- 今回の日本の個人情報保護法改正案の要点は
(1) 個人情報の明確化
(2) 個人情報の安全な利活用(匿名化情報)
(3) 個人情報の第三者提供の罰則適用
(4) 個人情報保護委員会の設置
(5) 海外の第三者への情報提供および外国法人による個人情報の扱い
この中で、特に議論されたのが「個人情報の定義」(どこまでが個人情報なのか)と「匿名化」でした。この2点に議論の多くが費やされた感があります。
元来、日本でもビッグデータ時代を迎えて閉塞感の漂う国内産業を喚起する政策の中で、足元を固めるための一環として「個人情報保護の範囲と内容を明確化すること」に主眼が置かれていたため、個人情報を匿名化することで、インターネットを活用する事業者の成長を阻害しないよう配慮されたものと言われています。
元来、日本でもビッグデータ時代を迎えて閉塞感の漂う国内産業を喚起する政策の中で、足元を固めるための一環として「個人情報保護の範囲と内容を明確化すること」に主眼が置かれていたため、個人情報を匿名化することで、インターネットを活用する事業者の成長を阻害しないよう配慮されたものと言われています。
この中でGDPRとの最も大きな相違点は「匿名化情報」です。匿名化とは、「個人情報の一部を置き換えるか削除することによって個人情報が復元されないように加工すること」で、このように加工された個人情報は「匿名加工情報」と呼ばれます。加工すれば「個人情報として扱われない」とされます。ただし、加工のためには個人情報保護委員会の定める規則に従う必要があるとされています。しかし肝心のルールはまだ明確ではありません。
この規定は、米国の連邦取引委員会(Federal Trade Commission)の定めたFTC要件と呼ばれるルールに沿って盛り込まれたものと言われています*5。
GDPRでは、基本的にこのような「匿名化情報」であっても「個人情報」と見なされます。
例えば匿名加工情報の第三者提供をする際には日本では不要な本人同意をEUでは取る必要がでてきます。日本の企業でもEU内で活動する場合、GDPRが適用されるので注意が必要でしょう。日本の改正案は3年毎の改正を決定しており、しばらく欧米の様子を見ながら対応する姿勢であることが明白なことから、今後の動向は極めて流動的と考えられます。
例えば匿名加工情報の第三者提供をする際には日本では不要な本人同意をEUでは取る必要がでてきます。日本の企業でもEU内で活動する場合、GDPRが適用されるので注意が必要でしょう。日本の改正案は3年毎の改正を決定しており、しばらく欧米の様子を見ながら対応する姿勢であることが明白なことから、今後の動向は極めて流動的と考えられます。
5.まとめ
今回のレポートでは、GDPRの原案が欧州閣僚理事会で承認されて以降、2015年11月現在の状況を簡単に概観しました。今回、米国側事業者への影響が大きいことを強調しましたが、それは欧州内事業者にとっても同様です。あまりに範囲が広く影響が大きいため、6月に大筋では合意したものの、個別には幾つも例外や各国の思惑が反映され、主管国の監督機関の判断に委ねられる部分が追加されているなどと指摘されており、本当に年内、または2016年初頭に合意できるかどうか懐疑的な見方も有力ではあります。
ただ、多少遅延してもいずれGDPRが発効されることは確実であり、遅かれ早かれ米国の対応が明らかになると考えられます。その結果によっては日本の個人情報保護法の考え方も大きく影響されることでしょう。継続的にリサーチしておくことが望まれます。
3か月程度経過すれば新たな動きも明らかになると考えられ、機会があれば続編をレポートする予定です。
[注]
- *1:スペイン人のM.ゴンザレスが、15年以上前に抵当流れで手放した家に関してGoogleに対し、検索結果から削除を要求した事件。2014年5月、欧州高等裁判所はGoogleに対しこれを削除するよう判決を下した。
- *2:WIKIPEDIA
- https://ja.wikipedia.org/wiki/エドワード・スノーデン#cite_note-99
- *3:2014年米国統計では、米国からの輸出2,760億ドル、輸入4,180億ドルとなっている。
- Trade in Goods with European Union (United States Census Bireau)
- *4:GDPRをテーマにした研究会やコンファレンスなどが盛んに立ち上がり、対応のための巨額IT予算を検討している企業も現れた。
- 例:「EU Data Protection 2015」
- *5:「FTC3要件」
- (1)企業はデータの匿名化を確保する合理的な手段を講じなければならない。
- (2)企業は、データを匿名化状態で管理・利用しデータの再識別化を試みないことを公的に約束しなければならない。
- (3)企業がそのような匿名化データを他の会社等に提供する場合には、それがサービスプロバイダであるか他の第三者であるかを問わず、企業は、その提供先がデータの再識別化を試みることを、契約によって禁止すべきである。
[出典・引用・参考]
- ・10 things you need to know about the new EU data protection regulation(2015.5.6)
- http://www.computerworlduk.com/security/10-things-you-need-know-about-new-eu-data-protection-regulation-3610851/
- ・UK organisations and the EU General Data Protection Regulation - risks, costs and rewards. (2015.9.7)
- http://www.theguardian.com/technology/2015/jun/15/eu-privacy-laws-data-regulations
- ・Data Protection: Council agrees on a general approach(2015.6.15)
- http://www.consilium.europa.eu/en/press/press-releases/2015/06/15-jha-data-protection/
- ・DATA Protection report(2015.6.15):European Council approves EU General Data Protection Regulation draft; final approval may come by end of 2015
- http://www.dataprotectionreport.com/2015/06/european-council-approves-eu-general-data-protection-regulation-draft-final-approval-may-come-by-end-of-2015/
- ・EU Data Protection Regulation FAQs ? Summer update (2015.7.1)
- http://www.corderycompliance.com/eu-data-protection-regulation-faqs-summer-update/
- ・「世界的に個人情報保護法を整備させたEUデータ保護指令」一般財団法人日本情報経済社会推進協会(JIPDEC)
- http://privacymark.jp/wakaru/kouza/theme5_03.html
- ・「ビッグデータとプライバシー保護、微妙な成り行きの米EU、そして〝仲間外れ〟の日本」The Huffingtonpost (2015.3.12)
- http://www.huffingtonpost.jp/kazuhiro-taira/big-data-privacy_b_6845014.html
- ・「閣僚理事会によるEUデータ保護規則案の承認と今後の予定」」Infocomニューズレター(2015.6.18)
- https://www.icr.co.jp/newsletter/law201505.html
- ・「アメリカの個人情報保護はEU基準満たさず~欧州司法裁判所の無効判決」Mikako Hussselのブログ(2015年10月07日)
- http://blog.goo.ne.jp/mikakohh/e/839d3e0dbacf62dfeb8a7aaaf69de689
- ・「欧州司法裁判所によるセーフハーバー協定無効判決について」Infocomニューズレター(2015.10.8)
- https://www.icr.co.jp/newsletter/law20151008-fujii.html
*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。
『WEBマガジン』に関しては下記よりお気軽にお問い合わせください。
