こんにちは。メルマガスタッフでMIAU事務局長の香月です。1週前の号でお届けしたTカードと個人情報の保護に関する法律(以下「個人情報保護法」)の問題についての続編をお届けします。前回は「個人情報保護法における『共同利用』の問題」について取り上げました。後編の今回は視点を世界に向け、「個人情報保護法と越境データ問題」について考えていきます。
クラウドコンピューティングの普及が進み、データをサーバ上に置くことが当たり前の世の中になってきました。僕らはSaaSやPaaSなどのクラウドベースの様々なサービスを日々使っていますが、しかし 僕らがデータを預ける「クラウド」はもちろん一つではありません。サービスごとにそのサービスが契約しているクラウドベンダーのデータセンターがあって、そのデータセンターに僕らのデータがあるわけです。そしてそのデータセンターが国内にあるとは限りません。そのサービスを提供しているサービス業者がどのデータセンターを使っているかによります。そしてそのクラウドベンダーに預けるデータには個人情報が含まれることは容易に予想できます。
ここで問題になるのが各国のプライバシー・個人情報保護法制です。日本に個人情報保護法があるように、世界の国々にも個人情報、個人データ、データプライバシー等をどう扱うかという法律があります。日本企業が世界でクラウドサービスといったさまざまなITサービスを展開していく場合には、関係各国の法律の適用関係を確認し、それらを遵守していく必要があります。
一見関係がなさそうに思えるクラウドコンピューティングと個人情報保護法の繋がりについて、今週も法学者で個人情報保護法がご専門の鈴木正朝先生に聞いてきました。
■個人情報保護法と越境データ問題 ―鈴木正朝先生に聞く
鈴木:個人データの越境問題を考える上で、まず検討すべきものは、「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(1995年)があります。いわゆる「EU個人データ保護指令」ですね。
◇Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML
◇「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(ECOMプライバシー問題検討WG訳)
http://www.isc.meiji.ac.jp/~sumwel_h/doc/intnl/Direct-1995-EU.htm
香月:それはどういうものなのでしょうか?
鈴木:EU個人データ保護指令とは、1995年にEUが定めた個人データの取扱いについての指令です。EU加盟各国の個人データ保護法を標準化するための指令と捉えると理解しやすいでしょうか。EU域内各国の個人データの取扱い方を揃えておかないと、EU域内のデータ流通が滞りますからね。このEU個人データ保護指令は、日本やアメリカよりも厳しい保護水準を求めています。
香月:具体的にはどのようなものなのでしょうか?
鈴木:まずはEU個人データ保護指令における「個人データ」の定義を見ていきましょう。「個人データ」とは、「識別された又は識別され得る自然人(データ主体=本人)に関するすべての情報」とされています。ここでいう識別され得る自然人とは、「特に個人識別番号、又は肉体的、生理的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な1つ又は2つ以上の要素を参照することによって、直接的又は間接的に識別され得る者」を指します。
香月:民族性や思想信条に関わるような情報も個人データなのですね。
鈴木:そうですね。人種又は民族、政治的見解、宗教的又は思想的信条、健康や性生活、労働組合への加入を明らかにする個人データは「センシティブデータ」として別に定義されていて、センシティブデータを含む個人データの取得は、それ自体が原則として禁止されています。
香月:だとすると、薬局でTカードを出して医薬品を購入したときに、具体的な薬品名がTカードのシステムに送信されているという先週紹介した事例は、EUだと個人データ保護指令違反になるということですね。
鈴木:その通りです。正確には、個人データ保護指令に基づき各国で制定された個人データ保護法に違反することになります。取得事業者側からなにも説明されることなく、単なるTカードの提示行為をもって同意とみなして、センシティブデータを取得することはできません。その他にも日本の個人情報保護法と比較するとかなり厳しい義務規定がEU個人データ保護指令には置かれています。
香月:なぜEUではこんなに厳しい個人データの保護が定められているのでしょうか?
鈴木:一つは歴史的背景でしょうか。やはりナチス・ドイツによるホロコーストの影響が非常に大きいと思います。欧州では、アウシュビッツの収容所に代表されるユダヤ人虐殺の歴史を、いわば原体験のように共有しています。ナチス・ドイツは、ユダヤ人の個々の経歴、健康状態といった個人データを、番号(識別子)を付してファイリングシステム等を用いて管理しました。その管理データをもとにして、生かして労働力として使う者と殺す者を決めていたのです。また「どのユダヤ人を収容するか」という判断にも国民の個人データを利用して選別していました。ユダヤ人と言っても外見だけからは判別は難しいですし、両親の一方だけがユダヤ人だったいうケースもあります。そこに定義、判断基準を設けて、選別をしたんですね。この範囲はどんどん拡大していったようですね。国家権力が国民の個人データを濫用した場合の怖さが身にしみているわけですね。
それからもう一つの理由は、コンピューターメーカーなどのITベンダーが北米系など外資に席巻されてしまったということです。それによってEUに残ったのはベンダー系の情報処理事業者ばかりになり、EU域内の国民の個人データはみな外資にアウトソーシングされることになってしまいました。日本に置き換えて考えてみれば、政府や自治体の情報化を中国、韓国、インド系のITベンダーに委託するようなことです。疑心暗鬼になる理由もわかりますよね。本社の命令でデータ処理が海外のセンターで行われることもあり、国内外を問わず、個人データの移動に何らかの監視が必要ではないか、とEUは考えたわけです。
ここまでお話してきたようにEUにおいては歴史的背景や情報処理事業者との資本関係、そして北米をはじめとした同じ欧米言語圏との越境データ問題などを背景に、個人データは厳格に取り扱わなければならないという思想が強く備わっているのかもしれません。
リスボン条約というEU加盟国の基本条約があるのですが、これは草案段階ではEU憲法草案と呼ばれていたものです。憲法という呼称には、やはりEU加盟各国の一部には抵抗を示すところがあり、条約という名称に落ち着きましたが、その性格はやはりEUの憲法です。このリスボン条約の中で個人データ保護は人権規定として位置づけられています。日本の個人情報保護法における「個人情報」とEU個人データ保護指令の「個人データ」の定義規定の文字面だけを比較して、ほぼ同じ内容であると整理する文献がありますが、それはあまりに乱暴で平板な解釈と言わざるを得ません。EUにおける憲法レベルの人権規定と直結している個人データ概念と、その保護に関する義務規定、そして日本における法律レベルの行政の取り締まり条項にすぎない個人情報概念とその保護に関する義務規定は、それらを単純に並べて比較すること自体が無理でしょう。
また個人データの利活用の必要性から、その保護が後退するような安易な解釈は許されません。単純なビジネス上の理由だけで、人権規定である個人データの保護を緩めるような要請はことごとくはねつけられてしまいます。人権規定に対峙できるのは人権だけです。プライバシーの権利に対して、表現の自由のように、人権vs人権においてはじめて両者を調整する法理が問われることになるわけです。
グーグル社のストリートビューにもEUは当初厳しい姿勢で臨みました。人権規定とそれを具体化した法、そしてそれらを支える哲学がありますから、当然ながら、EUには力強く明確な意思がありました。イノベーションを阻害するというような、実証性のないアバウトな反論などに揺らぐところはありません。実際グーグル社はEUに全精力を注ぎ対応したそうです。また、EU加盟各国には、インフォメーション・コミッショナーという官民の個人データの取り扱いを監視する独立した機関があります。交渉相手も明確ですし、相応の権限も持っています。ですから「どこと交渉すればよいか」ということが明確なのですね。
ここまでEUの個人データの保護の現状を見てきましたが、日本とは比較できませんね。まったく違います。現にグーグル社の対応も日本では随分軽いように感じます。また識別子問題の対応もグダグダです。ご存知の通り、今国ではマイナンバーや医療等IDという識別子を導入しようとしています。このマイナンバーや医療等IDには、その利用や管理について「番号情報保護委員会」という独立行政委員会(いわゆる3条機関)を創設して、厳格に管理しようとしています。しかし一方、民間ですでに数千万人に付番されている識別子、TカードやケータイID、スマートフォンのIDは放置されています。その規模や影響力の大きさから考えても、TカードやケータイID、スマートフォンのIDは「民間マイナンバー」と言い換えてもおかしくありません。行政が作った識別子と民間が作った識別子の間には本質的な違いはないんです。このような状況をEUから見るとどのような状況に見えているのでしょうかね。
香月:むー。では日本企業がEUでなにかライフログ系の事業を行うような場合には、日本での個人情報保護法を超えたレベルの対応をせねばならないということですね。
鈴木:それはもちろんです。しかし影響はそれだけにはとどまりません。EU個人データ保護指令には「国際的な情報移転に関する規定」というのがあって、これがクラウドコンピューティングビジネスなど越境データ型のITサービスを考える上では一番大きなネックになるところです。「国際的な情報移転に関する規定」というのは、簡単にいえば「EU指令と同等の保護水準にない」と判定された国との個人データの移転については、必要に応じてそのデータ交換を停止できるという規定です。EU水準にない国々は、いつ何時EUとの個人データの流通を一方的に止められるかわからない。事業を継続する上ではも危ういリスクの下に置かれるということを意味しています。これが今日のテーマである「越境データ問題」です。ユーザーにしてみれば、そんな状況にあるベンダーとは取引したくないでしょう。
香月:具体的にはどんな影響があるんでしょうか?
鈴木:よく例に出されるのが、国際企業の現地法人とのやりとりですね。例えば日本企業のA社がヨーロッパの拠点としてフランスに現地法人B社を作ったとします。個人データの流通を一方的に止められてしまった場合、現地法人B社の人事情報などはオンラインで日本企業A社が確認できなくなってしまいます。企業グループ内のネットワークが寸断されてしまうことになるんです。
過去には実際にアメリカの飛行機の乗り入れが止まった事件もありました。アメリカには包括的な個人データ保護法がありませんからEU水準にないと評価され、搭乗者名簿のデータ交換ができなくなってしまったのです。特にこのときは機内食の関係で信仰に関するセンシティブデータなどが搭乗者名簿に記載されていたことから厳しく判断されたようです。「データがやりとりできない」ということで、結果的に飛行機が飛び立てなくなったのです。さすがにこれは大きな問題となりホワイトハウスも乗り出して欧米間で政治決着をみました。
この事件を契機に、日本政府もことの重大さに気がつきました。実は、その前から一橋大学名誉教授の堀部政男先生はEU指令の本条項の影響の大きさを関係省庁に訴えていました。しかし日本の省庁は、EU自身が大きな不利益を被るデータ交換の停止措置など講ずるわけがない、と楽観していたんです。これは産業界も同じです。EUが個人データ保護を人権保障という重いものとして受け止めていることを肌で感じることができなかったということでしょうね。
香月:え? EUは日本の個人情報保護法を認めていないんですか?
鈴木:いえ、現在は、交渉中というステータスを維持しているので、建前的な回答になりますが保護水準に達しているかどうかの結論は出ていません。実質をみれば保護水準に達しているかどうかは明白なんですけどもね。ここではあえて言いません(笑)。EUも日本法の分析をとうに終えていますから、内心では結論が出ていると思いますね。日本のITサービスベンダーは、現地法人がデータセンターを運営し、現地の国内法人としてEU加盟各国の法律を遵守して活動しています。日本国内のデータセンターでEU域内の国民の個人データを大量に処理していることもありません。つまり現在は基本的にEUとの越境データ問題は存在していないと考えることができます。このような背景から、別に急いで判断する必要がないというところで、EUは今のところまだ判断を放置してくれています。
香月:どんな国がEU個人データ保護指令の十分性を認められているんでしょうか?
鈴木:国家としてはスイス、カナダ、アルゼンチン、イスラエル、そして条件付きでオーストラリアが認められています。その他には英国王室属領のガーンジーとマン島、ジャージー、そしてデンマーク自治領のフェロー諸島があります。アメリカはさきほど政治決着をみたといいましたが、「セーフハーバー協定」という仕組みをもうけて許してもらっています。
香月:セーフハーバーはアメリカのデジタルミレニアム著作権法(DMCA)にもありますね。ある一定の決まりを守って行動すれば、違法や違反に問われないという仕組みですよね。
鈴木:そうですね。アメリカの組織がEU個人データ保護指令に基づいた個人データの取り扱いの指針を定め、アメリカ商務省がその組織を認定すれば個人データをEUからアメリカに移転することができます。もし違反していることが判明した場合、アメリカ連邦取引委員会(FTC)がその組織に制裁を与えることになっています。
香月:EUは日本の個人情報保護法のどこを問題視しているんでしょうか?
鈴木:細かいところを言えば、いろいろありますが、例えば、日本では個人情報取扱事業者の範囲は政令で示されており、現在は「個人情報の数の合計が過去六月以内のいずれの日においても五千を超えない者とする」とされています。つまり過去6ヶ月で一瞬でも5000人以上の個人データを取り扱う事業者のみが個人情報取扱事業者にあたります。しかしEUでは事業者の規模に関わらず、EU個人データ保護指令に基づく個人データ保護法を遵守しなければなりません。それからセンシティブデータの取扱いに関する規定がないことも挙げられます。また個人情報が国を超えて移転する際の取り決めもありません。
一番大きなところは個人情報の取扱いに関する第三者機関がないことでしょう。さらに言えば、何を何のために保護するのか、個人情報保護法の理論的基礎、哲学が曖昧なところも問題視されているかもしれません。Tカード問題を放置しているように、法文上の評価に止まらず、法の執行もEUは評価するのではないでしょうか。本当に個人情報の保護を通じて、個人の権利利益(個人の尊重の理念)が守られているのかというところ、各国が取り組んでいる行動ターゲティング広告やその進化形にどう対応しているのか。そのあたりは見極めると思いますね。欧米では、すでに特定個人の識別情報よりも保護範囲を拡大しています。
香月:EUに認めてもらうには非常に高いハードルを超えることが必要ですね。
鈴木:さらにEUは「データ保護規則提案」を発表していますし、アメリカではホワイトハウスが「消費者プライバシー権利章典」を発表しました。これはグーグルやヤフー、マイクロソフトなどの多数のIT関連企業も巻き込んで、データプライバシーの取扱いを取り決め、これに違反した場合は連邦取引委員会(FTC)を使って行政が介入できる仕組みです。その上でビックデータビジネスの産業振興策を示しています。
アメリカはデータプライバシーや個人データ保護についてはEUほどガチガチに規制せずに企業の自主的取り組みを尊重する方針を打ち出しました。一方、きちんと消費者保護の必要性、重要性を宣言して一定の枠組みも同時に作ったんです。政府が産業振興というアクセルと消費者保護というブレーキを用意しながら、ビジネスを支援しつつ、悪いことやったらきちんと政府が介入できる仕組みを作る。これが政策の基本ではないかと思うのですが、今の日本は無策に近いといってもいいと思います。
実は、歴史的、地理的に日本法の影響を受けているという意味で、わが国の法制に比較的近い台湾の個人情報保護法も韓国法も、日本の個人情報保護法よりもぐっと踏み込んだ消費者保護の仕組みを採用しました。法文だけではなくその運用まで評価しなくてはなりませんが、アジア各国はEU個人データ保護指令と比較しても耐えられる程度の法整備を終えているわけです。はたして日本は製造業だけではなく、法制度の一部においても遅れをとるようになってきています。越境データ問題を解決することなく、国際的なネットビジネス、クラウドビジネスでこれらの国々と伍していけるのでしょうか。
香月:では先生はこれからどのように日本は行動していけばよいとお考えですか?
鈴木:日本は個人情報保護法の過剰反応問題に過剰反応して、利活用の時代と称して、理論的基礎の欠如、哲学の不在という根本的問題をスルーしてきました。その結果、場当たり的に個別義務規定の解釈を緩める方向に進んでしまいましたし、あやふや基準で個人情報に該当しないという判断を示すことで利活用の自由を担保しようとしました。その結果、ビッグデータ、ライフログ時代に向けてEUやアメリカが、消費者保護に向けて舵を切ったのと逆行するかのような方向に走ってしまったわけです。日本の基準はEUはおろかアメリカの保護水準から見ても、大きく劣っています。越境データ問題を交渉できる状況にはまったくありません。それに加えて、個人情報保護法は15省庁の主務大臣がそれぞれ分野ごとに権限をもっており、各国との折衝は15省庁それぞれが前に出てくる始末です。権限が分散しているのです。主に権限を持っているのは、消費者庁、総務省、そして経産省ということになりますが、ワンストップで全体の解決を図ることはできません。常に省庁間での協議が必要になってしまいます。意思決定の機動力もなければ方針の統一もありません。交渉過程における高度な政治的妥協など臨機応変な国益保護は全く期待できません。ネットビジネスの法的基盤整備は放置されているといってよいでしょう。
日本はこれから、国家的IT戦略を前提に日本版インフォメーション・コミッショナー(情報保護委員会)や政府CIO制度など、個人情報保護に関するガバナンスを機能させるための司令塔や監視機関を行政組織から作りあげていく必要があります。Tカード問題を放置している昨今の状況は、こうした大きな枠組み自体が放置されている現状とあわせて批判的に見ていかなければならないということです。
そしてこれからは、国家権力による公的個人番号であるマイナンバーや医療等IDとともに、社会的権力ともいえる数千万人以上の民間個人番号を管理するケータイやスマホのID、Tカードその他の類似する民間番号制度にも取り組んでいかなければなりません。ビッグデータ、ライフログビジネスを振興したいのなら当然の対応です。少なくともそれらを監視し、必要に応じて調査、公表できる仕組みを整えていかなければなりません。消費者や患者など本人の権利も明確に立法していくことも必要でしょう。そして、過度に保護に傾いたり、過度に事業者放任主義に流れたりしないように、EU、アメリカ、アジア各国の立法例を参照しながら、国際的調和をもったルール形成をしていかなければなりません。ここまで劣後した状態で法規制がイノベーションを阻害するという寝ぼけた主張をしている人達が少なからずいて、誠に残念です。「アメリカではやっているんだ。なんで日本ではダメなんだ!」という主張がよく聞かれますが、アメリカは行政規制が緩くても、BBB(Better Business Bureau)に代表される怖い消費者保護団体やプライバシー保護団体もいて、集団訴訟や懲罰的損害賠償制度などの法的手段で企業を監視しています。
日本がプライバシー・個人情報保護法関連の立法政策で向かうべきところは、行政組織の整備(政府CIOと情報保護委員会の創設、主務大臣制度との調整)、行政規制の明確化、司法救済の充実、そしてそれらの理論的基礎の深化です。こうした流れの中においては、オンラインビジネスにおける消費者保護を徹底するとともに、ビジネスの法的基盤を整備していくことが重要です。しかも欧米基準に劣後しないスピード感を持つことが大切です。
このあたりは日頃のビジネスの話題ではなく、雲の上の話題のように感じる人が少なくないかもしれません。しかし大手外資系企業は細かく調査してロビー活動に入っています。ネットビジネスの当事者はもっと主体的に法的なルール形成にコミットしていかないといろんな意味で劣後していくのではないでしょうか。
中途半端に大きい国内市場に閉じこもる発想、そして法の網をすり抜けるようなせこい発想の先に、本当の「イノベーション」はないと思います。Tカードのような小さな問題にも、毅然とした対応ができない行政の弱腰な状況には暗澹たる思いがしますが、こうした一つ一つの対応が国内だけではなくEUやアメリカなどにも見られているということを理解して、法の理念に即した迅速な対応を心がけて欲しいものですね。
香月:欧米基準に劣後しているところ、本問題を主導する役所がないこと、国が作る公的個人番号と、民間企業の作る民間個人番号は、その怖さ、我々国民や消費者のプライバシーインパクトにおいて差がなくなっているというお話は非常に興味深かかったです。Tカードの提起した問題の背景となるところは奥が深いのですね。MIAUはプライバシー問題にも取り組んでいますので、このあたりの話題は引き続きウォッチして、問題があれば声を上げていこうと思います。今日はありがとうございました。
鈴木:MIAUには期待していますよ。ありがとうございました。
▼鈴木正朝(すずき・まさとも)
法学者(情報法)。新潟大学法科大学院教授。1962年生まれ。中央大学大学院法学研究科博士前期課程修了、修士(法学)。情報セキュリティ大学院大学 情報セキュリティ研究科 博士後期課程修了、博士(情報学)。主に個人情報保護法制、プライバシーの権利、情報マネジメントシステム、情報システム開発契約等に関する研究を行う。内閣官房では、政府情報システム刷新会議臨時構成員として共通方針案、政府CIO制度の検討、厚労省では、社会保障分野WG構成員として医療等個人情報保護法案の検討、経産省では、JIS Q 15001原案の起草、プライバシーマーク制度創設、個人情報保護ガイドライン案の作成等に関与する。
・ウェブサイト:http://www.rompal.com/
・ツイッター:@suzukimasatomo