ガラパゴス化する日本の個人情報保護法/パーソナルデータ大綱と海外との問題 | なか2656のブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

なか2656のブログ

ある会社の社員が、法律などをできるだけわかりやすく書いたブログです

ガラパゴス化する日本の個人情報保護法/パーソナルデータ大綱と海外との問題

少し前のブログ記事で、パーソナルデータ大綱個人情報保護法の改正についてブログ記事を書きました。

・パーソナルデータの利活用に関する制度改正大綱について/個人情報保護法・ビッグデータ

その後、海外との問題について興味深い記事に接しました。

その前に、まず、グローバル企業においては多くの情報が日常的に多国間を行き来している現実がありますが、内閣府の高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)が2014年6月に発表した「パーソナルデータの利活用に関する制度改正大綱」(パーソナルデータ大綱)において、海外との問題に関しては、大綱は抽象的なものにとどまっています。

検討会の第8会ではこの問題が取り上げられていますが、抽象的な議論にとどまっており、議論はこれからという段階のようです。

そのうえで、本年1月13日に、日経新聞につぎのような記事がありました。

・米大統領、個人情報の悪用禁止へ法案 盗難対策を強化|日本経済新聞

この記事によると、アメリカは「企業が特定の目的で集めた個人情報は、別の目的のために悪用できないとする法案を2月末までにつくる。生徒の個人情報を教育目的以外に販売できないようにする法案も提出する。」とのことです。

また、最近、産業技術総合研究所情報セキュリティ研究センター高木浩光先生のウェブサイトの記事を見たところ、パーソナルデータ大綱の利用目的変更手続きのオプトアウト方式化について、つぎのような記事がありました。

・利用目的の変更自由化で世界から孤立へ|高木浩光@自宅☆の日記

1980年に作られた個人情報保護の世界標準であるOECD8原則や、それを踏まえた1995年のEUの個人データ保護指令という国際的な基準に基づいて、わが国の個人情報保護法は2003年に成立し、2005年から施行されています。

今般のわが国のIT総合戦略本部のパーソナルデータ大綱の目玉のひとつは、個人情報の利用目的変更の手続きが、現在は本人の同意が必要であるところ、それをオプトアウト方式に緩和して事業者側に便利にしようとするものです。

この点、高木先生のサイトでは、「OECDプライバシーガイドラインの「利用制限の原則」は、利用目的以外の目的での利用について、「本人同意」を原則としているオプトアウトによる「利用目的の変更」を認める手続は、OECDプライバシーガイドラインをはじめとする国際的な個人情報・プライバシー保護に関する規範には見られない手続である。」

「また、OECDガイドラインでは、利用目的を変更した場合、その適用は変更した時点以降に取得したデータに限られ、変更前に取得したデータには変更前の利用目的が適用されると解している。したがって、変更前に取得したデータについても変更後の利用目的を適用することをオプトアウトで認める手続きは、OECDプライバシーガイドライン の「目的明確化の原則」及び「利用制限の原則」に適合しない。

という、パーソナルデータ大綱の検討委員の新保委員の見解を紹介されたうえで、この個人情報の利用目的変更の手続きのオプトアウト方式への変更をすると、わが国の個人情報保護法は、世界標準であるOECD8原則から外れて、世界から孤立することになるとしています。

また、同時に、個人情報の利用目的変更の手続きのオプトアウト方式への変更や、個人情報を匿名化する措置を講じた低減データとすれば本人の同意なしに第三者提供できるとする大綱のふたつの大きな考え方は、アメリカの新しい個人情報保護法の、「企業が特定の目的で集めた個人情報は、別の目的のために悪用できないようにする」という趣旨にも抵触する可能性があります。

つまり、政府のパーソナルデータ大綱の提言する改正・個人情報保護法は、OECD8原則やアメリカの個人情報保護法に背を向ける世界から孤立したガラパゴスなものになる可能性があります。

今後、わが国にそのようなガラパゴスな改正・個人情報保護法ができたとして、海外の企業や官庁などが、日本企業とこれまでどおりビジネスをしてくれるのだろうかと懸念されます。

あるいは、そのような海外との取引をする日本企業は、今後、海外の個人情報はOECD8原則やアメリカの個人情報保護法に準拠し、一方、国内の個人情報は国内の個人情報保護法に準拠するという、「二重の基準」を余儀なくされるかもしれません。

しかし、このような状況は、基幹システムやデータベースなどを二重に準備しなければならないに等しい状況であり、社内の情報システム部門としても、経理部門や経営陣としても受け入れがたいでしょう。

また、同じ会社内で個人情報の取り扱いでダブル・スタンダードを余儀なくされるということは、事務の複雑化や、事務ミスの発生、最悪の場合、個人情報の漏えいなどの事故の発生などが予想されます。

このようなことを考えても、日本のみが「この道しかない」と、個人情報保護法の分野で財界や官僚の一部が喜ぶだけの独善的なガラパゴス化の道を進むことは、国民・消費者の納得が得られないだけでなく、ビッグデータの利活用によって利益を受けるとされている一般の事業者自身にとっても得策でないと思われます。

BUSINESS LAW JOURNAL (ビジネスロー・ジャーナル) 2014年 09月号 [雑誌]



ビジネス法務 2014年 10月号 [雑誌]



個人情報保護法の逐条解説 第4版-- 個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法





法律・法学 ブログランキングへ
にほんブログ村 政治ブログ 法律・法学・司法へ
にほんブログ村