「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS)

2014年10月6日(月) 08時00分
Check
このエントリーをはてなブックマークに追加
メールマガジン(無料会員登録)メールマガジン(無料会員登録)
ひかり総合法律事務所の板倉陽一郎弁護士の画像
ひかり総合法律事務所の板倉陽一郎弁護士
個人情報保護法の概説の画像
個人情報保護法の概説
プライバシー保護に関する制度(EU)の画像
プライバシー保護に関する制度(EU)
プライバシー保護に関する制度(米国)の画像
プライバシー保護に関する制度(米国)
日本が実現すべき事項の画像
日本が実現すべき事項
DT-ARLCSの主任研究員である北野晴人氏の画像
DT-ARLCSの主任研究員である北野晴人氏
PIAとプライバシー・バイ・デザイン(PbD)の画像
PIAとプライバシー・バイ・デザイン(PbD)
情報のライフサイクル全体を保護することが重要の画像
情報のライフサイクル全体を保護することが重要
デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)は10月3日、個人情報保護法改正に関する記者説明会を開催した。本説明会は、個人情報保護に関連する法律について正しい理解を促進するために開催されたもの。この中で、ひかり総合法律事務所の板倉陽一郎弁護士による「個人情報保護制度の国際的なバランスを考える」と題したセッションを行った。

個人情報保護法において「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」としている。

ただし、全体に適用されるのは、基本理念や国および地方公共団体の責務・施策、基本方針の策定といった「基本法則」のみとなる。その下は「民間部門」と「公的部門」にわかれ、個人情報取扱事業者の義務等は民間部門のみに適用される。このため、国の行政機関や独立行政法人等、地方公共団体等で発生した個人情報漏えい事件に対して個人情報保護法の義務を参照することは間違いであると板倉氏は指摘した。

また板倉氏は、日本の情報保護法を語る際に「欧米では」という言い方をするが、これも間違いであると指摘。欧州と米国では個人情報に関する法律が全く異なるという。米国では、政府部門、健康情報等、信用情報、通信分野、金融部門、児童のプライバシーなど分野ごとに情報保護の法律が制定されており、分野横断的な個人情報保護法は存在しない。「米国はマイノリティであるが、緩やかではない」と板倉氏は表現した。

米国が緩やかではないという理由に、板倉氏はFTC(Federal Trade Commission:米連邦取引委員会)の存在を挙げた。個人情報保護において違反が発覚した際には、FTCにより排除措置・課徴金等の対象とされ、民事責任も問われる。また、個人情報保護については商務省による「セーフハーバー原則」があり、企業とFTCを含めた「セーフハーバーの枠組み」が自主規制として機能している。

一方、EUでは1995年に分野横断的な個人情報保護に関する規制「個人データ保護指令」が施行され、2002年には「e-プライバシー指令」が施行、2009年に改正されている。特に電子通信部門に関する個人データ保護指令の特則となった。EU各国はこれらをベースに独自の法律を制定している。EUで特徴的なものが「欧州十分性審査」で、これは「第三国へのデータ移転に関する作業文書」、つまり第三国が十分なレベルのデータ保護措置を確保している場合に、越境データ移転が可能になるというものだ。

現在、スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドの11カ国・地域が認定されている。これらは、植民地であったりタックスヘイブンといった特徴がある。米国は十分性の認定を受けることは困難とされているが、「セーフハーバー原則」についての十分性認定を受けて企業レベルでの移転を可能にしている。ただし、越境データ移転について日本への打診はなかったという。

板倉氏は、日本のデータ保護措置が国際社会に認められるためにも、国外の拠点で個人情報データベース等を事業の用に供している事業者に対して個人情報保護法を「域外適用」できるようにすることが重要であるとした。そのためには外国の執行当局と日本の主務大臣、第三者機関の長による執行協力が必要で、これにより移転や再移転の制限を可能にすべきとした。

また、DT-ARLCSの主任研究員である北野晴人氏が「日本企業が気をつけたい個人情報保護のポイント」と題したセッションを行った。北野氏は、グローバルな市場に向けて産業構造が変化しているとして、国内だけでは企業が生き残っていけないため、市場を海外に求める必要があることと、「開発する国」「生産する国」「市場としての国」の区別がなくなることをデータから示した。

そして、求められることとして「国際競争力を高めるために、より高度なデータの活用」「同時に『同意を得た』プライバシーの保護」「海外の各国法制度にも対応できる仕組み作り」の3点を挙げた。また、適法性と安全管理だけでなく透明性も重要として、活用と保護のバランスには「適法性とプライバシーの保護」「透明性の確保と同意形成」「安全管理措置(情報セキュリティ)」が重要であるとした。

これらを実現するためには、事前に影響評価を行い、計画段階からプライバシー保護を組み込むことが必要であるとして、北野氏は「プライバシー・バイ・デザイン(PbD)」と「PIA(Privacy Impact Assessment)」を勧めた。そして、業務とプロセス、それを支えるシステムを合わせて「収集」「保管」「分析・活用」「廃棄」の情報のライフサイクル全体を保護することが重要であり、PIAを段階的に実現していくことがポイントであるとした。
《吉澤 亨史》
  • 【PR】
  • 【PR】
  • 【PR】

注目ニュース

icon
違法な「Suica事件」を「消費者不安」にすりかえる報道に問題提起

違法な「Suica事件」を「消費者不安」にすりかえる報道に問題提起

デロイト トーマツ サイバーセキュリティ先端研究所 第3回 記者向け勉強会に登壇した鈴木氏によれば、個人情報に関わる新聞報道の多くが、ベースとなる当該法に関する前提を間違えたまま、誤報に近い報道を続けて...

icon
[Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(2)監査法人がサイバーリスクに取り組む理由

[Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(2)監査法人がサイバーリスクに取り組む理由

「グローバルで見ると、企業のサイバーセキュリティを監査法人が牽引しているケースを多く見かけます。トーマツは日本では会計監査のイメージが強いですが、グローバルでは総合コンサルファームとして認識されて...

icon
[Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(1)デロイト アルゼンチンチームの新人育成と海外展開

[Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(1)デロイト アルゼンチンチームの新人育成と海外展開

「カナダ、オーストラリア、US、ルクセンブルク、デンマーク、ブラジル。世界のあらゆる国のデロイトのサイバーセキュリティチームと協同して仕事をしている。」

icon
内部不正の早期発見に必要なポイントを紹介(デロイト トーマツ サイバーセキュリティ先端研究所)

内部不正の早期発見に必要なポイントを紹介(デロイト トーマツ サイバーセキュリティ先端研究所)

デロイト トーマツ サイバーセキュリティ先端研究所は、「内部不正」をテーマとした記者向け発表会を開催した。

icon
先端研究所を設立し「日本のサイバーセキュリティ環境を世界最高水準に」(トーマツ)

先端研究所を設立し「日本のサイバーセキュリティ環境を世界最高水準に」(トーマツ)

トーマツは、情報セキュリティラボ「デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS: Deloitte Tohmatsu Advanced Research Laboratory of Cyber Security)」を2014年1月に設立すると発表した。

RSS

特集・連載

ピックアップフォト