津田大介
@tsuda

国際的なネットビジネスのために考えなくてはならないこと

個人情報保護法と越境データ問題 ―鈴木正朝先生に聞く

こんにちは。メルマガスタッフでMIAU事務局長の香月です。1週前の号でお届けしたTカードと個人情報の保護に関する法律(以下「個人情報保護法」)の問題についての続編をお届けします。前回は「個人情報保護法における『共同利用』の問題」について取り上げました。後編の今回は視点を世界に向け、「個人情報保護法と越境データ問題」について考えていきます。

クラウドコンピューティングの普及が進み、データをサーバ上に置くことが当たり前の世の中になってきました。僕らはSaaSやPaaSなどのクラウドベースの様々なサービスを日々使っていますが、しかし 僕らがデータを預ける「クラウド」はもちろん一つではありません。サービスごとにそのサービスが契約しているクラウドベンダーのデータセンターがあって、そのデータセンターに僕らのデータがあるわけです。そしてそのデータセンターが国内にあるとは限りません。そのサービスを提供しているサービス業者がどのデータセンターを使っているかによります。そしてそのクラウドベンダーに預けるデータには個人情報が含まれることは容易に予想できます。

ここで問題になるのが各国のプライバシー・個人情報保護法制です。日本に個人情報保護法があるように、世界の国々にも個人情報、個人データ、データプライバシー等をどう扱うかという法律があります。日本企業が世界でクラウドサービスといったさまざまなITサービスを展開していく場合には、関係各国の法律の適用関係を確認し、それらを遵守していく必要があります。

一見関係がなさそうに思えるクラウドコンピューティングと個人情報保護法の繋がりについて、今週も法学者で個人情報保護法がご専門の鈴木正朝先生に聞いてきました。

 

EUではTカードは違法

鈴木:個人データの越境問題を考える上で、まず検討すべきものは、「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(1995年)があります。いわゆる「EU個人データ保護指令」ですね。

◇Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML

◇「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(ECOMプライバシー問題検討WG訳)
http://www.isc.meiji.ac.jp/~sumwel_h/doc/intnl/Direct-1995-EU.htm

香月:それはどういうものなのでしょうか?

鈴木:EU個人データ保護指令とは、1995年にEUが定めた個人データの取扱いについての指令です。EU加盟各国の個人データ保護法を標準化するための指令と捉えると理解しやすいでしょうか。EU域内各国の個人データの取扱い方を揃えておかないと、EU域内のデータ流通が滞りますからね。このEU個人データ保護指令は、日本やアメリカよりも厳しい保護水準を求めています。

香月:具体的にはどのようなものなのでしょうか?

鈴木:まずはEU個人データ保護指令における「個人データ」の定義を見ていきましょう。「個人データ」とは、「識別された又は識別され得る自然人(データ主体=本人)に関するすべての情報」とされています。ここでいう識別され得る自然人とは、「特に個人識別番号、又は肉体的、生理的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な1つ又は2つ以上の要素を参照することによって、直接的又は間接的に識別され得る者」を指します。

香月:民族性や思想信条に関わるような情報も個人データなのですね。

鈴木:そうですね。人種又は民族、政治的見解、宗教的又は思想的信条、健康や性生活、労働組合への加入を明らかにする個人データは「センシティブデータ」として別に定義されていて、センシティブデータを含む個人データの取得は、それ自体が原則として禁止されています。

香月:だとすると、薬局でTカードを出して医薬品を購入したときに、具体的な薬品名がTカードのシステムに送信されているという先週紹介した事例は、EUだと個人データ保護指令違反になるということですね。

鈴木:その通りです。正確には、個人データ保護指令に基づき各国で制定された個人データ保護法に違反することになります。取得事業者側からなにも説明されることなく、単なるTカードの提示行為をもって同意とみなして、センシティブデータを取得することはできません。その他にも日本の個人情報保護法と比較するとかなり厳しい義務規定がEU個人データ保護指令には置かれています。

1 2 3 4
津田大介
ジャーナリスト/メディア・アクティビスト。1973年生まれ。東京都出身。早稲田大学社会科学部卒。早稲田大学大学院政治学研究科ジャーナリズムコース非常勤講師。一般社団法人インターネットユーザー協会代表理事。J-WAVE『JAM THE WORLD』火曜日ナビゲーター。IT・ネットサービスやネットカルチャー、ネットジャーナリズム、著作権問題、コンテンツビジネス論などを専門分野に執筆活動を行う。ネットニュースメディア「ナタリー」の設立・運営にも携わる。主な著書に『Twitter社会論』(洋泉社)、『未来型サバイバル音楽論』(中央公論新社)など。

その他の記事

週刊金融日記 第268号 <ビジネスに使えて使えない統計学その2 因果関係を暴き出す他>(藤沢数希)
フェイクニュースに騙されないことなど誰にもできない–心理学的メディアリテラシー考(名越康文)
IT野郎が考える「節電」(小寺信良)
5-10分の「忘れ物を取り戻る」程度の小走りが脳を変える(高城剛)
今だからこそ! 「ドローンソン」の可能性(小寺信良)
何とかなった日韓GSOMIA「パーフェクトゲーム」の苦難(やまもといちろう)
中進国の罠に陥って変わりゆくタイ(高城剛)
やまもといちろうのメールマガジン『人間迷路』紹介動画(やまもといちろう)
「負けを誰かに押し付ける」地方から見た日本社会撤退戦(やまもといちろう)
医師専任キャリアコンサルタントが語る「なぜ悩めるドクターが増えているのか?」(津田大介)
「リバーブ」という沼とブラックフライデー(高城剛)
『赤毛のアン』原書から、アイスクリームの話(茂木健一郎)
『冷え取りごはん うるおいごはん』で養生しよう(若林理砂)
吉野彰さんノーベル化学賞に想う、リチウムイオン電池と現代デジタル製品(本田雅一)
南国の夜空を見上げながら読むアーサー・C・クラーク(高城剛)
津田大介のメールマガジン
「メディアの現場」

[料金(税込)] 660円(税込)/ 月
[発行周期] 月1回以上配信(不定期)

ページのトップへ