津田大介
@tsuda

国際的なネットビジネスのために考えなくてはならないこと

個人情報保護法と越境データ問題 ―鈴木正朝先生に聞く

今の日本は無策に近い

鈴木:ここまでEUの個人データの保護の現状を見てきましたが、日本とは比較できませんね。まったく違います。現にグーグル社の対応も日本では随分軽いように感じます。また識別子問題の対応もグダグダです。ご存知の通り、今国ではマイナンバーや医療等IDという識別子を導入しようとしています。このマイナンバーや医療等IDには、その利用や管理について「番号情報保護委員会」という独立行政委員会(いわゆる3条機関)を創設して、厳格に管理しようとしています。しかし一方、民間ですでに数千万人に付番されている識別子、TカードやケータイID、スマートフォンのIDは放置されています。その規模や影響力の大きさから考えても、TカードやケータイID、スマートフォンのIDは「民間マイナンバー」と言い換えてもおかしくありません。行政が作った識別子と民間が作った識別子の間には本質的な違いはないんです。このような状況をEUから見るとどのような状況に見えているのでしょうかね。

香月:むー。では日本企業がEUでなにかライフログ系の事業を行うような場合には、日本での個人情報保護法を超えたレベルの対応をせねばならないということですね。

鈴木:それはもちろんです。しかし影響はそれだけにはとどまりません。EU個人データ保護指令には「国際的な情報移転に関する規定」というのがあって、これがクラウドコンピューティングビジネスなど越境データ型のITサービスを考える上では一番大きなネックになるところです。「国際的な情報移転に関する規定」というのは、簡単にいえば「EU指令と同等の保護水準にない」と判定された国との個人データの移転については、必要に応じてそのデータ交換を停止できるという規定です。EU水準にない国々は、いつ何時EUとの個人データの流通を一方的に止められるかわからない。事業を継続する上ではも危ういリスクの下に置かれるということを意味しています。これが今日のテーマである「越境データ問題」です。ユーザーにしてみれば、そんな状況にあるベンダーとは取引したくないでしょう。

香月:具体的にはどんな影響があるんでしょうか?

鈴木:よく例に出されるのが、国際企業の現地法人とのやりとりですね。例えば日本企業のA社がヨーロッパの拠点としてフランスに現地法人B社を作ったとします。個人データの流通を一方的に止められてしまった場合、現地法人B社の人事情報などはオンラインで日本企業A社が確認できなくなってしまいます。企業グループ内のネットワークが寸断されてしまうことになるんです。

過去には実際にアメリカの飛行機の乗り入れが止まった事件もありました。アメリカには包括的な個人データ保護法がありませんからEU水準にないと評価され、搭乗者名簿のデータ交換ができなくなってしまったのです。特にこのときは機内食の関係で信仰に関するセンシティブデータなどが搭乗者名簿に記載されていたことから厳しく判断されたようです。「データがやりとりできない」ということで、結果的に飛行機が飛び立てなくなったのです。さすがにこれは大きな問題となりホワイトハウスも乗り出して欧米間で政治決着をみました。

この事件を契機に、日本政府もことの重大さに気がつきました。実は、その前から一橋大学名誉教授の堀部政男先生はEU指令の本条項の影響の大きさを関係省庁に訴えていました。しかし日本の省庁は、EU自身が大きな不利益を被るデータ交換の停止措置など講ずるわけがない、と楽観していたんです。これは産業界も同じです。EUが個人データ保護を人権保障という重いものとして受け止めていることを肌で感じることができなかったということでしょうね。

香月:え? EUは日本の個人情報保護法を認めていないんですか?

鈴木:いえ、現在は、交渉中というステータスを維持しているので、建前的な回答になりますが保護水準に達しているかどうかの結論は出ていません。実質をみれば保護水準に達しているかどうかは明白なんですけどもね。ここではあえて言いません(笑)。EUも日本法の分析をとうに終えていますから、内心では結論が出ていると思いますね。日本のITサービスベンダーは、現地法人がデータセンターを運営し、現地の国内法人としてEU加盟各国の法律を遵守して活動しています。日本国内のデータセンターでEU域内の国民の個人データを大量に処理していることもありません。つまり現在は基本的にEUとの越境データ問題は存在していないと考えることができます。このような背景から、別に急いで判断する必要がないというところで、EUは今のところまだ判断を放置してくれています。

香月:どんな国がEU個人データ保護指令の十分性を認められているんでしょうか?

鈴木:国家としてはスイス、カナダ、アルゼンチン、イスラエル、そして条件付きでオーストラリアが認められています。その他には英国王室属領のガーンジーとマン島、ジャージー、そしてデンマーク自治領のフェロー諸島があります。アメリカはさきほど政治決着をみたといいましたが、「セーフハーバー協定」という仕組みをもうけて許してもらっています。

香月:セーフハーバーはアメリカのデジタルミレニアム著作権法(DMCA)にもありますね。ある一定の決まりを守って行動すれば、違法や違反に問われないという仕組みですよね。

鈴木:そうですね。アメリカの組織がEU個人データ保護指令に基づいた個人データの取り扱いの指針を定め、アメリカ商務省がその組織を認定すれば個人データをEUからアメリカに移転することができます。もし違反していることが判明した場合、アメリカ連邦取引委員会(FTC)がその組織に制裁を与えることになっています。

香月:EUは日本の個人情報保護法のどこを問題視しているんでしょうか?

鈴木:細かいところを言えば、いろいろありますが、例えば、日本では個人情報取扱事業者の範囲は政令で示されており、現在は「個人情報の数の合計が過去六月以内のいずれの日においても五千を超えない者とする」とされています。つまり過去6ヶ月で一瞬でも5000人以上の個人データを取り扱う事業者のみが個人情報取扱事業者にあたります。しかしEUでは事業者の規模に関わらず、EU個人データ保護指令に基づく個人データ保護法を遵守しなければなりません。それからセンシティブデータの取扱いに関する規定がないことも挙げられます。また個人情報が国を超えて移転する際の取り決めもありません。

一番大きなところは個人情報の取扱いに関する第三者機関がないことでしょう。さらに言えば、何を何のために保護するのか、個人情報保護法の理論的基礎、哲学が曖昧なところも問題視されているかもしれません。Tカード問題を放置しているように、法文上の評価に止まらず、法の執行もEUは評価するのではないでしょうか。本当に個人情報の保護を通じて、個人の権利利益(個人の尊重の理念)が守られているのかというところ、各国が取り組んでいる行動ターゲティング広告やその進化形にどう対応しているのか。そのあたりは見極めると思いますね。欧米では、すでに特定個人の識別情報よりも保護範囲を拡大しています。

香月:EUに認めてもらうには非常に高いハードルを超えることが必要ですね。

鈴木:さらにEUは「データ保護規則提案」を発表していますし、アメリカではホワイトハウスが「消費者プライバシー権利章典」を発表しました。これはグーグルやヤフー、マイクロソフトなどの多数のIT関連企業も巻き込んで、データプライバシーの取扱いを取り決め、これに違反した場合は連邦取引委員会(FTC)を使って行政が介入できる仕組みです。その上でビックデータビジネスの産業振興策を示しています。

アメリカはデータプライバシーや個人データ保護についてはEUほどガチガチに規制せずに企業の自主的取り組みを尊重する方針を打ち出しました。一方、きちんと消費者保護の必要性、重要性を宣言して一定の枠組みも同時に作ったんです。政府が産業振興というアクセルと消費者保護というブレーキを用意しながら、ビジネスを支援しつつ、悪いことやったらきちんと政府が介入できる仕組みを作る。これが政策の基本ではないかと思うのですが、今の日本は無策に近いといってもいいと思います。

実は、歴史的、地理的に日本法の影響を受けているという意味で、わが国の法制に比較的近い台湾の個人情報保護法も韓国法も、日本の個人情報保護法よりもぐっと踏み込んだ消費者保護の仕組みを採用しました。法文だけではなくその運用まで評価しなくてはなりませんが、アジア各国はEU個人データ保護指令と比較しても耐えられる程度の法整備を終えているわけです。はたして日本は製造業だけではなく、法制度の一部においても遅れをとるようになってきています。越境データ問題を解決することなく、国際的なネットビジネス、クラウドビジネスでこれらの国々と伍していけるのでしょうか。

1 2 3 4
津田大介
ジャーナリスト/メディア・アクティビスト。1973年生まれ。東京都出身。早稲田大学社会科学部卒。早稲田大学大学院政治学研究科ジャーナリズムコース非常勤講師。一般社団法人インターネットユーザー協会代表理事。J-WAVE『JAM THE WORLD』火曜日ナビゲーター。IT・ネットサービスやネットカルチャー、ネットジャーナリズム、著作権問題、コンテンツビジネス論などを専門分野に執筆活動を行う。ネットニュースメディア「ナタリー」の設立・運営にも携わる。主な著書に『Twitter社会論』(洋泉社)、『未来型サバイバル音楽論』(中央公論新社)など。

その他の記事

IT野郎が考える「節電」(小寺信良)
「HiDPIで仕事」の悦楽(西田宗千佳)
生き残るための選択肢を増やそう(前編)(家入一真)
ZOZOSUITのビジネススーツ仕上がりが予想以上に残念だった理由を考える(本田雅一)
マイルドヤンキーが「多数派」になる世界(小寺信良)
世界的観光地が直面するオーバーツーリズムと脱観光立国トレンド(高城剛)
なぜ今、「データジャーナリズム」なのか?――オープンデータ時代におけるジャーナリズムの役割(津田大介)
会員制サロン・セキュリティ研究所が考える、日本の3つの弱点「外交」「安全保障」「危機管理」(小川和久)
「いままで」の常識が通じない「宇宙気候変動」について(高城剛)
小商いと贈与(平川克美)
地上で幸せになるためには、絶対に手に入らないものについて考えるのが良い(茂木健一郎)
任天堂の役割は終わったのか スマホでゲーム人口拡大を受けて(やまもといちろう)
日本のエステサロンで知られるものとは異なる本当の「シロダーラ」(高城剛)
「戦後にケリをつける」ための『東京2020 オルタナティブ・オリンピック・プロジェクト』(宇野常寛)
横断幕事件の告発者が語る「本当に訴えたかったこと」(宇都宮徹壱)
津田大介のメールマガジン
「メディアの現場」

[料金(税込)] 648円(税込)/ 月
[発行周期] 月1回以上配信(不定期)

ページのトップへ