日本セキュリティ・マネジメント学会 個人情報の保護研究会 グローバルな個人データ保護制度改定の動向と グローバルな個人データ保護制度改定の動向と 日本企業への影響 日本企業への影響 ~EUデータ保護規則案と米国プライバシー権利章典~ ~EUデータ保護規則案と米国プライバシー権利章典~ 2012年7月25日 国際社会経済研究所 小泉 雄介 © Institute for International Socio-Economic Studies 2012 1 1.グローバルな動向の概観 © Institute for International Socio-Economic Studies 2012 2 全世界的なプライバシー・フレームワーク改定の動き EU ・1995年 EUデータ保護指令 採択 ・2012年1月 EUデータ保護規則案 公表 米国 ・1974年 プライバシー法(連邦行政機関を対象) 制定 ・民間分野は自主規制中心 ・2012年2月 消費者プライバシー権利章典 公表 ・2012年3月 FTCのプライバシー・フレームワーク 公表 OECD ・1980年 プライバシーガイドライン 採択 ・現在、プライバシーガイドラインの見直し中(2013年改正予定) APEC ・2004年 APECプライバシー・フレームワーク 採択 ・2011年 越境プライバシールール 採択 欧州評議会 ・1980年 個人データ保護のための条約第108号 採択 ・現在、同条約の見直し中 © Institute for International Socio-Economic Studies 2012 3 各国際機関・統合体の加盟国 ~日本の位置づけ~ OECD(34カ国) 欧州評議会(47カ国) ・イスラエル ・アイスランド ・ノルウェー ・スイス ・トルコ EU(27カ国) APEC(21カ国・地域) ・オーストリア ・ドイツ ・ポーランド ・ベルギー ・ギリシャ ・ポルトガル ・オーストラリア ・韓国 ・チェコ ・ハンガリー ・スロバキア ・カナダ ・メキシコ ・デンマーク ・アイルランド ・スロベニア ・チリ ・ニュージーランド ・エストニア ・イタリア ・スペイン ・フィンランド ・ルクセンブルク ・スウェーデン ・日本 ・米国 ・フランス ・オランダ ・英国 ・ブルネイ ・台湾 ・インドネシア ・中国 ・マレーシア ・中国香港 ・フィリピン ・パプアニューギニア ・シンガポール ・ペルー ・タイ ・ベトナム ・キプロス ・リトアニア ・ブルガリア ・ルーマニア ・ラトビア ・マルタ ・リヒテンシュタイン ・サンマリノ ・アンドラ ・アルバニア ・モルドバ ・マケドニア ・ウクライナ ・クロアチア ・グルジア ・アルメニア ・ロシア ・アゼルバイジャン ・ボスニア・ヘルツェゴビナ ・セルビア ・モナコ ・モンテネグロ © Institute for International Socio-Economic Studies 2012 4 2.EUデータ保護指令改定 © Institute for International Socio-Economic Studies 2012 5 欧州における個人データ保護の権利 • 欧州において、個人データ保護の権利は、「欧州連合基本権憲章」第8条 や「欧州連合の機能に関する条約」第16条で認められた基本的人権の1 つ。 • 個人が実際に不利益を被っているか否かは、データ保護にとって本質的 な要素ではない。(当人が何らかの不利益を被っていなくても、個人デー タ保護の権利を行使することができる。) ⇔ 他方、米国では、企業等のデータ利用によって個人が実際に不利益を 被ることがなければ(何をやっても)よいという考え方。 • ただし、欧州でも個人データ保護の権利は絶対的な権利ではなく、公共 の利益との関係も考慮されなければならない。 © Institute for International Socio-Economic Studies 2012 6 EUデータ保護指令の概要 • 1995年に採択。1998年に発効。 • 正式名称は、 「個人データ取扱いに係る個人の保護及び当該データの自由な移動に関 する1995年10 月24 日の欧州議会及び理事会の95/46/EC 指令」。 • 個人の基本的人権と自由(とりわけ個人データの処理に係るプライバシー の権利)を保護し、かつ加盟国間でのデータの自由な流通を妨げないこと を目的としている。(第1条) • EU加盟国及びEEA(欧州経済領域)加盟国合計30ヶ国に対して同指令に 基づく国内法規を要求するもの。 • また、EU域内の企業等から、十分なレベルの個人データ保護を講じてい ない第三国の企業等への個人データの移転を禁じているため(第三国移 転条項) 、データ保護の分野では極めて影響力の強いフレームワークで ある。 © Institute for International Socio-Economic Studies 2012 7 EUデータ保護指令の概要 ●EU加盟国(2012年1月現在) ・ベルギー ・スウェーデン ・ドイツ ・キプロス ・フランス ・チェコ ・イタリア ・エストニア ・ルクセンブルク ・ハンガリー ・オランダ ・ラトビア ・デンマーク ・リトアニア ・イギリス ・マルタ ・アイルランド ・ポーランド ・ギリシャ ・スロバキア ・スペイン ・スロベニア ・ポルトガル ・ブルガリア ・オーストリア ・ルーマニア ・フィンランド 計27カ国 個人データ取扱いに係る個人の保護及び当 該データの自由な移動に関する欧州議会及び 理事会の指令(EU指令) (1995年10月採択、1998年10月発効) EU+EEA 加 盟 国 に 国内法規を要求 公正かつ適法な利用 利用目的の明確化 個人情報の正確性 本人の同意の上での取 得・利用 • 特定カテゴリーの個人 情報の利用禁止 • セキュリティ対策 • その他 • • • • EU+EEA A国 公共機関・ 民間企業 ・ アイスランド ・リヒテンシュタイン ・ ノルウェー 合計30カ国 日本 B国 以下の事項を本人に通知 • データ管理者 • 個人情報の利用目的 • 第三者への提供 • アクセス権、訂正権 • その他 • 独立的な 監督機関 の設置 (第28条) ●EEA加盟国 (2012年1月現在、 EU加盟国以外) 第三国が個人情報に 関する十分なレベル の保護を保証する場 合のみ、移転を許可 (第25条) C国 第三国への移転を許 可する例外規定もあ り(第26条) 米国 監督機関 • 個人情報への アクセス権、 訂正・消去す る権利の保証 利用者 域内での個人情報 の自由な移転は 認める © Institute for International Socio-Economic Studies 2012 8 EUデータ保護指令改定の背景 • 今回の改正は、指令の採択から15年以上が経ち、インターネットを初めとする急速な技術的進 歩やグローバル化の進展によって発生してきた、以下のような新たな課題に対処するためのも のである。 EUのデータ保護スキームを巡る課題 ① 急速なICT技術の進歩とグローバル化の進展と、それによるリスクの拡大 – クラウドコンピューティングに代表される国境を越えたデータ流通の増大 – SNSなど、個人データの公開・共有化の拡大 – 行動ターゲティング広告、GPS携帯電話など、個人データ収集手段の高度化 ② 現行のデータ保護スキームに対する企業の不満の増大 – 多国籍企業にとって負担が大きい非効率・非整合的な規制の緩和要求の増大 • 各加盟国ごとに異なる国内法や、各国の監督機関の決定を遵守する必要があった。 • 管理者は原則として全てのデータ処理内容を監督機関に通知する義務があった。 • BCR(拘束的企業準則)の承認には3つの監督機関のレビューが必要だった。 • ①については、とりわけEU市民や規制当局にとっての懸念は下記2つの国家群。 ○米国: • 全世界から個人データを収集する米国の多国籍企業(「データの蛸」)。 ex. Google, Facebook • PATRIOT法により、令状無しに米国企業の現地法人からデータ収集できる米国政府。 ○データ保護法の整備されていない新興国(中国など) : • 低賃金で欧州企業からデータ処理の委託(オフショアリング)を受ける企業。 © Institute for International Socio-Economic Studies 2012 9 EUデータ保護指令改定の経緯 • 今般、2年以上の検討及び関係者とのコンサルテーション期間を経て、2012年1月25 日にEUデータ保護指令の改定案が欧州委員会から提出された。 – 規則案については、前年11月の非公式ドラフトよりも、米国等のロビー活動によ って内容が緩和された。 • EUデータ保護指令の改定案は下記2つから成る。 ① 「EUデータ保護規則」:EUにおける一般的なデータ保護のフレームワーク ② 犯罪の防止・捜査・発見・訴追、刑事罰の執行の目的で処理される個人データの保護に関 する指令 ※ 以下、主要な条項を含む「①EUデータ保護規則」について記載。 • 「EUデータ保護規則」の正式名称は、「個人データ取扱いに係る個人の保護及び当 該データの自由な移動に関する欧州議会及び理事会の規則」。 • 従来の「指令(Directive)」から「規則(Regulation) 」に格上げ。 – 規則(Regulation)への格上げにより、EU法を加盟国へ直接適用し、EU域内でのデータ保 護ルールを一元化。 – 指令では、アイルランド・英国は緩く、ドイツ・フランスは厳しいというEU内の温度差があり、 GoogleやFacebook等はアイルランドに欧州本社を設置。 • 欧州議会と欧州連合理事会での審議を経て、2013年夏~14年に採択の見通し。採 択から2年後に発効の見込み。 © Institute for International Socio-Economic Studies 2012 10 EUデータ保護規則案の概要: 全体構成 • • • • • • • • • • • 第1章 一般的条項(第1条~第4条) 第2章 諸原則(第5条~第10条) 第3章 データ主体の権利 – 第1節 透明性とモダリティ(第11条~第13条) – 第2節 情報提供と、データへのアクセス(第14条~第15条) – 第3節 訂正と消去(第16条~第18条) – 第4節 異議申し立ての権利、プロファイリング (第19条~第20条) – 第5節 制限(第21条) 第4章 管理者と処理者 – 第1節 一般的義務(第22条~第29条) – 第2節 データセキュリティ(第30条~第32条) – 第3節 データ保護評価と事前オーソライズ(第33条~第34条) – 第4節 データ保護オフィサー(第35条~第37条) – 第5節 行動規範と認証(第38条~第39条) 第5章 個人データの第三国又は国際組織への移転(第40条~第45条) 第6章 独立の監督機関 – 第1節 独立的な地位(第46条~第50条) – 第2節 義務と権限(第51条~第54条) 第7章 協力と整合性 – 第1節 協力(第55条~第56条) – 第2節 整合性(第57条~第63条) – 第3節 欧州データ保護評議会(第64条~第72条) 第8章 救済、責任及び制裁(第73条~第79条) 第9章 特定のデータ処理状況に関する条項(第80条~第85条) 第10章 委任法令と実施法令(第86条~第87条) 第11章 最終条項(第88条~第91条) © Institute for International Socio-Economic Studies 2012 11 EUデータ保護規則案の概要: 主要な変更点 0.全般 – 「指令(Directive)」から「規則(Regulation)」に ※ EUの規制については、「規則」、「指令」、「決定」、「勧告」、「見解」の5 種類がある。左ほど 強制力が強い。 ※ 「指令」は、含まれている目的が国内法に置き換えられたときにのみ各国に効力を持つ。ま た、国内法への置き換えに際し、加盟国にはある一定の裁量権が与えられている。また指 令は、定められた期間内に国内法に置き換えられなければならないということも決められて いる。 ※ 「規則」は、欧州連合の加盟国の法令を統一するために制定され、加盟国に直接の効力を 持ち、個々の国に効力をもたらすための国内法を必要としない。また、すべての国内法に優 先する。http://www.neca.or.jp/control/green/PDF/kank0610.pdf 欧州委員会の1月25日Communicationにおける解説 「欧州全域でのデータ保護ルールの整合的な執行」 – – 事例: EU内に複数の事業所を持つ多国籍企業がオンライン地図システムを開発し、全ての建造物のイ メージを収集し、ストリート上の人々の写真を撮影していた。ある加盟国では、撮影されたことに 気付いていない人々のぼかしのない写真が含まれていることは非合法であるとみなされ、他の 加盟国ではデータ保護法上の違反はないとみなされた。結果として、この状況の改善に向けた各 国の監督機関による整合的な対応は取られなかった。 今回、1つのEU規則をEU全体に直接的に適用することで、このような事態に対処する。 © Institute for International Socio-Economic Studies 2012 12 EUデータ保護規則案の概要: 主要な変更点 1.個人データ保護の権利の強化 ① 「自己情報コントロール権」の強化 • • • • • • 明示的な同意の取得(第7条) 透明で適切なプライバシーポリシーの提供(第11条) 自己情報への容易なアクセスの保証(第15条) 忘れられる権利(第17条) データ・ポータビリティの権利(第18条) 子どもに対する特別な配慮(同意取得や情報通知)(第8条、第11条) ② 個人が権利行使する手段の改善 • 監督機関の独立性と権限の強化(第47条、第52条、第53条) • 行政的救済措置・司法救済措置の向上(第73条~第75条) • 監督機関による課徴金(第79条) ③ データセキュリティの強化 • プライバシー強化技術(PET)の利用促進と認証制度・データ保護シールの促進(第30条、第39条) • データ違反時の監督機関及び本人への迅速な報告・連絡義務(第31条、第32条) ④ 管理者(controller)や処理者(processer)の説明責任(accountability)の強化 • データ保護オフィサーの設置義務(第35条) • プライバシー・バイ・デザイン原則の導入(第23条) • データ保護影響評価の実施義務(第33条) ※「管理者」:個人データ処理の目的、条件及び手段を決定する自然人、法人、公的機関、その他のあらゆる組織。 ※「処理者」:管理者の代わりに個人データを処理する自然人、法人、公的機関、その他のあらゆる組織。 ※「処理(processing)」:個人データに対して実行されるあらゆるオペレーション。収集、保存、変更、利用、開示、消去等の総称。 © Institute for International Socio-Economic Studies 2012 13 EUデータ保護規則案の概要: 主要な変更点 2.EU域内での(デジタル単一市場実現のための)データ保護ルールの一元化 – 単一のEU規則を各加盟国に直接的に適用すること(上述) • 加盟国毎のルールに合わせなくてよいので、企業にとって年間23億ユーロのコスト削減(EU試算) – データ処理に係る監督機関への通知義務の廃止 • 企業にとって年間1億3千万ユーロのコスト削減(EU試算) EU域内企 業にとって メリット – 「ワンストップショップ」としての監督機関(第51条) • 多国籍企業の監督機関とのやり取りは、主要拠点の国の監督機関に一本化 – 監督機関同士の協力と、整合性メカニズムの導入(第55条、第57条) – 現行指令の第29条作業部会を、独立的な欧州データ保護評議会に格上げ(第64条) 3.グローバル環境でのデータ保護ルールの詳細化 – EU規則が第三国の管理者に適用される範囲の拡大(規制強化)(第3条第2項) – 欧州委員会による第三国の十分性決定の基準(第41条) – 十分性決定のない第三国へのデータ移転に関するルールの強化と簡素化(BCRを含 む)(第42条、第43条) © Institute for International Socio-Economic Studies 2012 14 改定による日本企業への影響 日本企業への影響は、以下に分類できる。 (1)EU域外企業(日本企業等)に対する影響 ①第三国移転条項 ②域外適用条項 (2)EU域内企業(日本企業の現地法人等)に対する影響 概要 (1)① 日本へのデータ移転(第三国移転)については、手続き面で改善。 – – 十分性決定は、国全体のみならず、民間分野や特定産業分野で受けることも可能に。 データ保護シールの活用など、さらなる改善要望の余地もある。 (1)② 日本企業がEU居住者に直接的に商品・サービスを提供する場合(オンラインサー ビス企業、パブリッククラウド企業、スマホアプリ企業等)、EU規則が域外適用される。 (2) その他、欧州現地企業(日系企業含む)に対しては、様々な義務が強化。 – – データ違反時(データ漏洩等)の監督機関や本人への報告義務 罰則の強化(課徴金) 等 → 欧州や米国の業界団体から多数の意見書がEUサイドに提出されたり、準備されている。 © Institute for International Socio-Economic Studies 2012 15 日本企業への影響:(1)①第三国移転条項 ○ 現行のEU指令の規定 • 下記の場合にEU域内の管理者から第三国の管理者(又は処理者)へのデータ移転が可能。 ① 十分性認定:欧州委員会が十分なレベルの個人データ保護を保証していると認定した国等(第25条) • スイス、カナダ、アルゼンチン、イスラエル、アンドラ、ガーンジー、マン島、ジャージー(左記3つ は英国の王室属領)、フェロー諸島(デンマークの自治領)。 • 認定に当たっては「個人データの第三国移転:EUデータ保護指令第25条及び第26条の適用( WP12 5025/98)」に基づいて評価。 ② 米国については特例として、セーフハーバー・スキーム • セーフハーバー原則を遵守すると自己宣言する米国企業に対して「十分なレベルの保護」を行っ ていることを認める2000年の欧米間の取り決め(arrangement)。 • 自己宣言した企業は米国商務省のサイト(Safe Harbor List)に掲載。(2011年7月時点で2716 社(Not Currentを含む)) ex. Google, Amazon, Facebook, Microsoft, Apple等 • セーフハーバー原則は「通知」「選択」「第三者提供」「セキュリティ」「データの完全性」「アクセス」 「執行」の7つ。 ③ 例外規定として、 • 拘束的企業準則(Binding Corporate Rules:BCR)(第26条第2項): 多国籍企業、企業グループ内部での個人データ移転を対象。監督機関が承認。 • 標準契約条項(モデル契約条項)(第26条第4項): 欧州委員会が策定。2001年様式、2004年様式、2010年様式がある。 • その他、データ主体が明確な同意を与えている場合や、データ主体及び管理者間の契約の履行 のために必要な場合等(第26条第1項) © Institute for International Socio-Economic Studies 2012 16 日本企業への影響:(1)①第三国移転条項 ○ EU規則案での改定内容 • 「第三国の十分性決定(第41条)」 「標準契約条項(第42条)」 「BCR(拘束的企業準則)(第 43条)」「その他の例外(第44条)」という基本的な枠組みは変わらず。 • 欧州委員会による「十分性決定」では、以下の点を考慮して評価がなされる。(第41条) (a) 当該国の法令の内容、データ主体の権利の保障(実効的な行政的救済措置・司法救 済措置を含む) (b) 独立の監督機関の存在、監督機関の機能(データ保護法令の遵守の保証、データ主 体による権利行使の支援、EUの監督機関との協力) (c) 国際的なコミットメント • 欧州委員会が決定した既存の「十分性認定国」及び「標準契約条項」は、欧州委員会が修正・ 廃止しない限り有効。(第41条(8)) 監督機関が承認した既存の「 BCR」は、監督機関が修正・廃止しない限り有効。(第42条(5)) • • BCR(拘束的企業準則)は、EU域内の1つの監督機関の承認さえ貰えば、他国でも有効。(第 43条(1)) © Institute for International Socio-Economic Studies 2012 17 日本企業への影響:(1)①第三国移転条項 ○ 今後の見通し:十分性決定 • • 十分性決定の申請については、国全体ではなく、民間分野だけ、あるいは特定産業分野だ けで申請を出すことも可能(今回の規則案で明記された)。 – カナダの十分性決定は民間分野のみ。 – また、インドが特定産業分野だけの申請を出している模様。 民間分野だけの申請を行う場合でも、国による申請が必要。また、(1)当該分野のデータ保 護法の存在、または(2)当該分野の行動規範に政府が公文書としてお墨付きを与え、かつ 規制当局により違反に対する法執行が可能なスキームが存在することが必要。 – • 米欧セーフハーバーは、(2)の一例とみなせるという意見も。 米欧セーフハーバーについては、米欧の各関係者で微妙に見解は異なるが、双方の取り 決めなので米国が断らなければ継続されるとのこと。ただ、EU側は新規則に変わったら十 分性を吟味したいとは考えている。 ※ EU関係者は以前からセーフハーバー・スキームが不十分なものであり、「政治的妥協の産物」だと 考えている。 © Institute for International Socio-Economic Studies 2012 18 日本企業への影響:(1)②域外適用条項 ○ 現行のEU指令の規定 • EU域外企業(管理者)に対しては、EU域内の設備でデータ処理を行う場合のみEU指令の 対象となる。 ※ EU指令第4条: EU域内の管理者(企業等)には当該加盟国の法律が適用される。EU域外の管理者であっても、EU域 内の設備でデータ処理を行っている場合は、当該国の法律が適用される。 ○ EU規則案での改定内容 • EU域外企業であっても、EUに居住するデータ主体(個人)のデータを取扱う管理者(オンライ ンサービス事業者、パーソナルクラウド事業者、オンライン広告事業者、スマートフォンアプリ 事業者等)に対してはEU規則が適用される(第3条第2項:域外適用条項)。 ① EUに居住する個人に商品やサービスを提供している場合 ② EUに居住する個人の行動をモニターしている場合 ※ ただし、EU域外企業が域内企業から個人データ処理の委託を受けるような場合、例えば(パーソナルクラウド以外の)クラウ ドサービス事業者の場合には、この域外適用条項の対象にはならず、第三国移転条項の対象となる。 EU (商品・サービス購入に伴う) 個人データの提供 EU規則全体 が適用 EU居住者 EU域内企業 個人データの提供・委託 日本 日本企業 (管理者) 日本企業 (管理者/処理者) © Institute for International Socio-Economic Studies 2012 域外適用条項 (すなわちEU規 則全体)が適用 第三国移転 条項が適用 19 日本企業への影響:(1)②域外適用条項 ○ 日本企業にとっての懸念点 • • 第3条第2項(域外適用条項)はGoogle等を念頭に置いた規制強化と考えられるが、日本の オンラインサービス事業者やパーソナルクラウド事業者等もEU居住者を対象とする場合は EU規則が適用されうる。 規則案に規定する管理者の義務には、日本の個人情報保護法(やプライバシーマーク制度 /JISQ15001)よりも厳しいものや細かいものも含まれるため、上記に該当する日本企業は 国内法とEU規則の二重遵守を強いられ、多大な追加的負担が発生するものと考えられる。 ○ 不明点 • どのような場合に「EU居住者に商品・サービスを提供」しているとみなされるか。日本のショッ ピングサイトでたまたまEU居住者が商品を購入した場合も対象となるのか。 – • EU内では一案として、「EUの言語でEUの通貨(ユーロ、ポンド)を使って商品・サービスを提供して いる場合」といった基準が検討されている模様。 「十分性決定」を受けている第三国の企業は、第3条第2項(域外適用条項)の義務を免除さ れうるのか。 © Institute for International Socio-Economic Studies 2012 20 日本企業への影響:(2)EU域内企業(現地法人等)に対する影響 ○ EU規則案での改定内容 • EU域内の管理者に対して、以下の義務が追加・強化された。 ①個人の自己情報コントロール権の強化 • 透明で適切なプライバシーポリシーの提供(第11条) – 現行EU指令にも本人への利用目的等の通知義務があるが、企業のプライバシーポリシ ーが煩雑で分かりにくい現状を踏まえ、管理者に対して新たに「透明性」の義務を追加。 • 明示的な同意の取得(第7条) – 前項に関連して、プライバシーポリシーが分かりにくいため本人の同意が形式的なものに 陥っている現状を踏まえ、管理者に対して明示的な同意を取得することの義務、また同意 を撤回できる権利を保障する義務を追加。 • 忘れられる権利(第17条) – 現行EU指令の第12条にも自分の個人データを消去する権利が規定されているが、これ を精緻化。現行では、データが不正確だったり不法に収集された等の理由がないと消去 できないが、規則案では本人が同意を撤回したり、同意した保有期間の期限が来たりした 場合には、管理者に消去してもらう権利を保障。 • データ・ポータビリティの権利(第18条) – 利用者がSNSサービスを他のサービスに切り替える際など、管理者に妨害されることなく 自分の個人データを一定のフォーマットで入手し、他のサービスに移転する権利を保障。 © Institute for International Socio-Economic Studies 2012 21 日本企業への影響:(2)EU域内企業(現地法人等)に対する影響 ②データ違反時の監督機関及び本人への迅速な報告・連絡(第31条、第32条) • 個人データ違反(personal data breach、紛失・盗難・漏洩・不正利用等)があった場合、そ の発見後、可能な限り24時間以内に、監督機関に報告する管理者の義務を新設。報告項 目は、漏洩データ等の対象人数・データ項目、個人等が取るべき漏洩等の影響の軽減策、 発生した事態(結果)、管理者が取る予定の対処策等。24時間以降に報告する場合は、遅 れたことについて正当な理由付けが必要。また、監督機関への報告の後、不当な遅滞なく 、本人へも連絡することが必要。 ③データ保護オフィサーの設置(第35条) • 公共部門及び民間部門(大企業等)におけるデータ保護オフィサーの設置を義務化。 ④データ保護影響評価の実施(第33条) • プライバシーリスクが高い個人データ処理(経済状況、位置情報、医療健康情報、遺伝子 情報、生体情報、監視カメラ情報等を取扱う場合)について、管理者や処理者に対し、デー タ保護影響評価(プライバシー影響評価に該当)を義務付け。 © Institute for International Socio-Economic Studies 2012 22 日本企業への影響:(2)EU域内企業(現地法人等)に対する影響 ⑤「個人データ」の範囲(第4条(1)(2)) • 「個人データ(personal data)」の定義は、「データ主体に関する全ての情報」(第4条(2))で あり(※)、現行指令と定義上は大きく変わらないように見えるが、個人識別手段の例として 「位置データ」と「オンライン識別子」が追加された。 ※ EU規則案における「データ主体」の定義: 「識別された自然人」、又は「管理者、若しくは他の自然 人若しくは法人によって合理的に利用される可能性の高い手段によって、直接的若しくは間接的に 、とりわけ識別番号、位置データ、オンライン識別子、若しくは当該人物の肉体的、生理学的、遺伝 的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な1つ以上の要素を参照するこ とによって、識別されうる自然人」を意味する。(EU規則案第4条(1)) ※ ただし、「識別番号、位置データ、オンライン識別子又はその他の特定の要素が、それ自体として、 全ての環境において必ずしも個人データとみなされる必要はない。」(EU規則案前文24項) ※ ちなみに、現行のEU指令における「個人データ」の定義は、「識別された自然人、又は識別されう る自然人に関する全ての情報を意味するものとする。識別されうる人とは、直接的又は間接的に、 とりわけ識別番号又は当該人物の肉体的、生理学的、精神的、経済的、文化的若しくは社会的ア イデンティティに特有な1つ以上の要素を参照することによって、識別が可能な人のことである。」( EU指令第2条(a)) ⑥監督機関による課徴金(第79条) • EU規則に違反した管理者や処理者に対して、最大で100万ユーロ、又は企業の場合には 最大で年間連結売上の2%の課徴金が科される。課徴金の上限額は、何条に対するどのよ うな違反かに応じて、3パターンに分類されている。 © Institute for International Socio-Economic Studies 2012 23 【補足】 欧州委員会の1月25日Communicationにおける解説 「忘れられる権利」 – – – 事例: あるSNSサイトの会員だった欧州の学生が、当該サイトに自分に関する全ての個人データへのアクセ スを請求したところ、彼が自覚している以上の個人データがサイトに収集されており、彼が削除したは ずの個人データまで保存されていた。 このような事態を防ぐため、今回の改定では、以下を導入。 • SNSサイト等のデータ管理者が収集したり処理する個人データを最小限に留めることの義務。 • デフォルト設定においてデータが公開されないようにすること。 • 個人が明示的に個人データの削除を要求し、かつそれらを保持する正当な理由が無い場合、デ ータ管理者が当該データを削除する明示的な義務。 上述の事例では、SNSサイトは学生のデータを直ちに、かつ完全に削除する義務があることになる。 「データ違反時の報告・連絡」 – – 事例: EUの利用者も対象としたゲームサービスがアタックされ、全世界の数千万人分の個人データ(氏名、 住所、クレジットカード情報等)を含むデータベースが不正アクセスされた。当該企業がその事実を利 用者に知らせるまでに、一週間もかかった。 このような事態を防ぐため、今回の改定では、企業に対して以下のことを義務付けるものである。 • データ違反を防止し回避するための安全管理措置を強化すること。 • 実行可能な場合は、データ違反が発見されてから24時間以内に監督機関に報告するとともに、 不当な遅滞なく個人にも連絡すること。 © Institute for International Socio-Economic Studies 2012 24 日本企業への影響:(2)EU域内企業(現地法人等)に対する影響 ○ 日本企業にとっての懸念点(例) • 「忘れられる権利」について – 管理者側で付加した、当該個人に対する評価情報(信用情報など)や診療情報(カルテ、 検査結果等)についても、本人が消去請求した場合には消去しなければならないのか、 それともこれらのデータは第17条(3)(d)にいう例外事由(管理者が従うべきEUまたは加 盟国の法律によりデータを保持する法的義務を遵守する場合)に該当しうるのか。 • 「データ違反時の報告・連絡」について – 「可能な限り24時間以内に」、事実関係(漏洩等したデータの種類、件数等)、悪影響の 軽減策、管理者による対処策も含めて監督機関や本人に報告・連絡することは、今日の 個人データ漏洩事件がしばしば複数のデータベースに渡る何百万件というデータを巻き 込むものであることに鑑みれば、漏洩範囲の特定や対応策の決定等に或る程度の時間 を要すると考えられ、24時間以内という義務は厳格すぎるのではないか。 • 「個人データの範囲」について – EU規則案にいう「個人データ」の範囲については、とりわけ位置データ、IPアドレス、クッ キー、もしくはその他のオンライン識別子(PCやスマートフォンの端末ID等)の扱いにつ いて、明確なものとなっていない。「個人データ」の定義は、EU規則案で規定する管理者 (や処理者)の義務全体に関わる事柄であり、例えばあるデータが「個人データ」とみなさ れるか否かによって、それらのデータに対する安全管理措置(第30条)や、忘れられる権 利(第17条)への対応、個人データ違反時の報告・連絡(第31条、第32条)、監督機関に よる課徴金(第79条)等は大きく異なってくる。そのため、個人データの範囲が明確でな いことは、民間企業の事業活動の上で大きな法的不確実性をもたらす。 © Institute for International Socio-Economic Studies 2012 25 EU規則案と日本の個人情報保護法の比較 • 日本の個人情報保護法は、以下に挙げるような多くの点で、EU規則案より も規定が緩やかである。 – – – – – – – – – – • 対象事業者(個人情報取扱事業者)の範囲が狭い 第三者提供など一定の場合を除いて本人の同意取得が必要とされていない 特定カテゴリの情報(特定機微情報)の取扱いに関する規定がない 開示・訂正・消去請求権が本人の権利として明示的には認められていない ダイレクトマーケティングに対する異議申立の権利がない プロファイリングを受けない権利の規定がない 個人情報漏洩時等の報告・連絡義務がない 第三国への個人情報移転を禁じていない 独立的な監督機関(第三者機関)に関する規定がない 司法救済を求める個人の権利(事業者を訴える権利等)が規定されていない 等 詳細については、「EUデータ保護指令改定に関する調査・分析報告書」 (2012年3月)(http://www.i-ise.com/jp/report/EUdata_protection.pdf)を ご参照ください。 © Institute for International Socio-Economic Studies 2012 26 3.米国の新たな プライバシー・フレームワーク © Institute for International Socio-Economic Studies 2012 27 米国におけるプライバシーの基本的な考え方(仮説) • プライバシー/データ保護に対するプラグマティックなアプローチ – 企業のデータ利用によって個人が実際に不利益を被ることがなければ(何をやっても)よい。 – 安全保障や経済発展など、米国の国益にかなう要素があれば、プライバシー/データ保護 よりもそちらが優先される。(その方が、米国民の利益にもなるでしょう、という考え方。) 米国 ICTによる 経済発展 一部で 利害一致 EU 国家安全保障 個別の事情 により優先さ れる 個別の事情 により優先さ れる プライバシーの権利 OECD 自国のアプロー チを認めるように、 他の地域・国際 機関に主張 APEC 欧州評議会 © Institute for International Socio-Economic Studies 2012 28 米国のプライバシー・フレームワーク • 従来のフレームワーク – 行政分野は1974年プライバシー法、及び2002年電子政府法により規制。 – 民間分野は、HIPAA(医療保険)、電子通信プライバシー法、金融サービス近代 化法、公正信用報告法、児童オンラインプライバシー保護法などの個別法により 個別分野を規制するセクトラル方式。 – 個別法により規制されない、大多数の民間企業に対しては、自主規制を推奨。 企業のプライバシーポリシーに虚偽の記載があれば、FTC法の第5条(不公正な 競争方法及び不公正・欺瞞的な行為又は慣行の禁止)によってFTCが法執行を 行う。 • FTC(連邦取引委員会)による最近の法執行の例 Googleに対する法執行 Google Buzzのサービスが同社のプライバシーポリシーに違反していたとして、 同社に対して包括的なプライバシープログラムの導入と、外部監査人による20 (2011年10月) 年間に渡る評価を命令。 Facebookに対する法 執行(2011年11月) 同社のプライバシーポリシーに違反して個人データを第三者に提供していたと して、同社に対して包括的なプライバシープログラムの導入と、外部監査人によ る20年間に渡る評価を命令。 Chitika(オンライン広告ネ 消費者によるオプトアウトを守らずにオンラインで追跡し続けた同社に対して、 全てのターゲット広告にオプトアウト選択のためのハイパーリングを付け、その 場合は少なくとも5年間はターゲット広告を配信しないことを命令。 ットワーク企業)に対する法 執行(2011年6月) © Institute for International Socio-Economic Studies 2012 29 米国のプライバシー・フレームワーク • 最近の動向 ①ホワイトハウス「ネットワーク化された世界における消費者データプライバシー」 • 2012年2月公表。通称ホワイトペーパー。 • 商務省のドラフト報告書「グリーンペーパー」 (2010年12月)がベース。 • 「消費者プライバシー権利章典」7原則を含む。 – 内容的には米国のFIPPs(公正な情報取扱い8原則。OECDの8原則 とほぼ同じ)を現代風にアレンジしたもの。 – あくまで「原則」のみであり、「ルール」までは規定していない。 – 権利章典という「原則」については立法勧告を受けているが、「ルール 」については各関係者で集まって業界ごとの行動規範を作り、自主規 制を行う。 – EUデータ保護規則案とは「原則」は共通する部分も多いが、「ルール」 が法規制なのか、自主規制なのかの面で異なる。ただし、「ルール」に 対する「法執行」は、米国の方が厳しいとも言われている。 ②FTC「急速に変化する時代における消費者プライバシーの保護」 • 2012年3月公表。 • FTCのドラフト報告書(2010年12月)がベース。 © Institute for International Socio-Economic Studies 2012 30 消費者プライバシー権利章典 1.個人のコントロール 消費者は、企業が自分からどのような個人データを収集し、どのようにそれを利用するか についてコントロールを行使する権利を有する。 2.透明性 消費者は、プライバシー及びセキュリティ・プラクティスに関して容易に理解でき、アクセス できる情報の提供を受ける権利を有する。 3.コンテキストの尊重 消費者は、自分が個人データを提供したコンテキストと整合的な仕方で、企業がデータを 収集し、利用し、提供することを期待する権利を有する。 4.セキュリティ 消費者は、個人データのセキュアかつ責任ある取扱いを受ける権利を有する。 5.アクセスと正確性 消費者は、使用可能なフォーマットで、またデータのセンシビティ、及びデータが不正確で あった場合に消費者が負の影響を受けるリスクに適合した仕方で、個人データにアクセス し、修正する権利を有する。 6.焦点を絞った収集 消費者は、企業が収集及び保持する個人データに合理的な制限を設ける権利を有する。 7.責任(Accountability) 消費者は、企業が消費者プライバシー権利章典への遵守を保証するための適切な措置を 伴って、それらの企業による個人データの取扱いを受ける権利を有する。 © Institute for International Socio-Economic Studies 2012 31 ホワイトハウス「ネットワーク化された世界における消費者データプライバシー」 • 報告書の構成 エグゼクティブ・サマリー Ⅰ.序論 • 技術やビジネスモデルの発展によって生じたプライバシー問題に対処し、消 費者の信頼を向上させるために、「消費者プライバシー権利章典」を民間分 野でのベースラインとなるプライバシー法令として議会に立法勧告。 Ⅱ.消費者プライバシー権利章典 • 7つの原則で構成。(前頁参照) Ⅲ.マルチステークホルダー・プロセス による行動規範の開発 • 特定の産業分野ごとに、権利章典に準拠した行動規範を開発。 • 商務省のNTIAが旗振り役となる。7月中旬にモバイル分野で第1回会合。 • ある行動規範を採用(遵守)するか否かは、企業の自由裁量。 • 「消費者プライバシー権利章典」が立法化されなかった場合: →「行動規範を遵守する」という企業のコミットメントに違反があれ ば、FTC法の第5条によって法執行を行う。 Ⅳ.FTCによる法執行の強化 Ⅴ.国際的な相互運用性の促進 Ⅵ.消費者プライバシー法令の立法化 Ⅶ.連邦政府のリーダーシップ Ⅷ.結論 • 「消費者プライバシー権利章典」が立法化された場合(※): →上記に加え、FTC(及び州の司法長官)には、消費者プライバシー 権利章典を直接的に執行する権限が与えられる。ただし、行動規 範を遵守する企業には「執行セーフハーバー」として、消費者プライ バシー権利章典の直接的執行が免除される。 ※2012年は大統領選挙の年であるため、立法化されるとしても2013年以降 になる見込み。 ※米国の業界団体は立法化に反対。 © Institute for International Socio-Economic Studies 2012 32 【補足】 米国の謳う「国際的な相互運用性」 • オバマ政権の相互運用性アプローチの基盤にある2つの原則は、「①相互認証 (mutual recognition)」と「②執行協力(enforcement cooperation)」である。 • ①相互認証は、 「(a)実効的な執行(effective enforcement)」と「(b)企業が説明責 任(accountability)を示すメカニズム」に依存する。この2つによって、各国のプライ バシーフレームワーク間に相互認証のための条件が整っているか否かを決定する べきとする。 – (a)と(b)は国によって異なるが、米国は様々なアプローチが実効的でありうると認識。 – (b)の説明責任とは、企業がプライバシーポリシーや関連する手続きを(それらが自発的 なものか、法的義務かに関わらず)実施していることを示す能力を意味する。説明責任の メカニズムには、自己評価、evaluation、監査が含まれる。 – オバマ政権は(b)を、マルチステークホルダー・プロセスで開発される行動規範の中で特 定することを推奨。「グローバルに適用されるルールやガイドラインを設立する際には、 政府による規制よりも、マルチステークホルダーによるコンサルテーションの方が有効で ある。」 – グローバルな相互認証の例として、APECの越境プライバシールール(CBPR) や米欧セ ーフハーバー・スキームを例示。 • ②「執行協力」の例として、国際プライバシー執行ネットワーク(GPEN)を例示。 © Institute for International Socio-Economic Studies 2012 33 FTC「急速に変化する時代における消費者プライバシーの保護」 • 民間分野のプライバシー・フレームワークとして、 (a)下記の条件に該当す る企業に対して、(b)下記のベストプラクティスを実施することを要求。 • (a)対象となる企業 – 特定の消費者、コンピュータ、又はその他の端末に無理なくリンク可能な消費 者データ(reasonably linkable data)を収集したり利用したりする全ての企業 等(commercial entities)に適用される。 – ただし、当該企業が年間5000人未満の消費者からの非センシティブなデータし か収集しておらず、かつそれらのデータを第三者と共有していない場合は除く。 – 「個人データ」=「個人等に無理なくリンク可能なデータ(reasonably linkable data) 」 企業が次の3つの条件を満たせば、 「無理なくリンク可能なデータ 」ではない。 (1)データが脱‐識別化されたことを保証する合理的な措置を取っている。 (2)当該データを再識別化しようとしないことに公的にコミットメントしている。 (3)データ受領者が当該データを再識別化しようとすることを契約で禁止している。 • (b)要求されるベストプラクティス – ①プライバシー・バイ・デザイン – ②選択の簡略化 – ③透明性の向上 © Institute for International Socio-Economic Studies 2012 34 FTCによる「個人データ」の定義 FTCの定義 Data一般 →保護対象としては広すぎる。 Reasonably Linkable Data (新しい意味の個人データ) Personally Identifiable Data (旧い意味の個人データ) →保護対象としては狭すぎる。 i. 個人を識別できないデータであっても、個人をオンライン で追跡することは可能であるため。 ii. 匿名化したデータであっても、Web等で公開されたデー タを利用して十分な時間をかければ個人識別データ化 することが可能であるため。 企業が、以下の3つの条件を 満たせば、Reasonably Linkable Dataではない。 (1)データが脱識別化(匿名 化や仮名化)されたことを保 証する合理的な措置を取って いる。 (2)当該データを再識別化し ようとしないことに公的にコ ミットメントしている。 (3)データ受領者が当該デー タを再識別化しようとすること を契約上で禁止している。 →IPアドレスやCookie、端末ID等 はそれ自体として「個人データ」で ある訳ではない。 →しかし、他のデータと組合せたり 利用・管理方法によっては「個人 データ」とみなされる可能性がある (企業にとって法的な不確実性となる)。 →そのため、企業に対してこうした データが「個人データ」とみなされな いための免責条件を明示化した。 © Institute for International Socio-Economic Studies 2012 35 FTCが民間企業に要求するベストプラクティス ①プライバシー・バイ・デザイン – – 企業は、自社組織全体を通じて、また製品やサービスの開発のあらゆる段階で、消費者プライバシー を促進するべきである。 企業は、自社のプラクティスに、データセキュリティ、合理的な収集制限、妥当な保持・廃棄、データの 正確性といった実質的なプライバシー保護を組み込むべきである。 ②選択の簡略化 – A.選択を必要としないプラクティス(一般に受容されたプラクティス) 企業は、当該取引のコンテキストや消費者との関係と整合的な、若しくは法令によって要求されたり特 別に許可されているプラクティスにおいて消費者のデータを収集したり利用したりする場合は、消費者 に事前に選択を提供する必要はない。 (1)製品やサービスの遂行 (2)内部オペレーション (3)詐欺の防止 (4)法令順守と公共目的 (5)ファーストパーティ・マーケティング – B.他のプラクティスに対しては、企業は消費者に選択を提供すべきである 選択を必要とするプラクティスのために、企業は、消費者が自分のデータに関して決定を行う時点及 びコンテキストで選択を与えるべきである。企業は、(1)データが収集された時点とは実質的に異なる 仕方で消費者データを利用する場合、または(2)ある目的でセンシティブデータを収集する場合には、 事前に肯定的で明示の同意を得なければならない。 ③透明性の向上 – – – A.プライバシー通知 プライバシー通知は、プライバシー・プラクティスをよく理解したり比較したりできるように、より明確で、 より短く、より標準化されたものであるべきである。 B.アクセス 企業は自社が保持する消費者データへの無理のない(reasonable)アクセスを提供するべきである。 アクセスの範囲は、データのセンシティブ度やその利用の性質に釣り合ったものであるべきである。 C.消費者の教育 全てのステークホルダーは、商業的なプライバシー・プラクティスに関わる消費者を教育する努力を拡大するべき。 © Institute for International Socio-Economic Studies 2012 36 FTCによる実施勧告 • FTCはまた、同報告書で下記2点の実施を勧告 ① 立法勧告 FTCは、議会にベースラインとなるプライバシー立法を考慮するように要求しており、またデ ータセキュリティとデータブローカーに関する立法を再度要求。 ② 5つの重点領域 FTCは2013年にかけて、下記5つの領域での自主規制の取組みを促進。 1.「Do Not Track」 • • • • 行動ターゲッティング広告ネットワークに対して、自分のオンライン行動のトラッキングを拒否できる メカニズム。 これまで、複数のブラウザベンダーが、オンライン行動を追跡しないようにウェブサイトに要求できる ブラウザベースのツールを開発。 また、W3CがDo Not Trackのための共通のウェブプロトコルを開発中。 DAA(デジタル広告アライアンス)が、消費者がアイコンのクリックを通じてアクセスでき、行動ターゲ ティング広告に関する情報を得たりそこからオプトアウトするためのツールを開発した。さらに、DAA はクレジットや雇用のような二次的な目的で消費者のデータを利用することを防止することや、追跡 に関してブラウザ上での設定を通じて消費者が行った選択を守ることにコミットした。 2.モバイル 3.データブローカー 4.巨大プラットフォーム・プロバイダー(ISP、OS、ブラウザ、ソーシャルメディア等) 5.実施可能な自主規制行動規範の促進 © Institute for International Socio-Economic Studies 2012 37 米国のEUに対する戦略 • EUデータ保護規則案に対しては、商務省やFTC等による直接的なロビー 活動により、非公式のドラフト段階から内容を緩和させた。 – 特に、米国PATRIOT法対策の箇所(ドラフト版の第42条第2項「EU外の第三国 当局から(EU市民の)データを開示する要請があった場合には、EU加盟国の監督機関 の事前の許可によって開示する」)については、条項自体を削除させた。 • また、「第三国の十分性決定」に相当するセーフハーバー協定は、今後も 維持する方向で働きかけている。 • 欧州評議会にオブザーバーとして非公式に働きかけ。 – APECの越境プライバシールール(CBPR) と欧州評議会の条約第108号との 相互運用性を保証することによって(セーフハーバー協定が継続されなかった 場合のリスクヘッジとして)、EUデータ保護指令・規則案の「第三国移転条項」 を骨抜きにしようとする戦略も取っている。 © Institute for International Socio-Economic Studies 2012 38 【ご参考】 Googleのプライバシーポリシー統合問題 • • • • • • • • • 2012年1月24日、 Googleが全世界の全サービスでのプライバシーポリシー統合と個人デー タ共有を3月1日から実施することを宣言。 EU指令第29条作業部会(Article 29 Working Party)がGoogleに書面でその実施を停止する よう要求し、仏CNILに対して作業部会の代表としてEU市民の個人データ保護への想定され る影響について確認するように依頼。(ストリートビューに対しては各国でバラバラに対応した ため。) 2月27日、CNILがGoogleにEUデータ保護法令の遵守に関する分析の初回結論を書面で送 り、新たなポリシーがEU指令の要求事項を満たしていない(とりわけデータ主体への情報通 知に関して)ことを伝え、3月1日からの実施を遅らせるように要請すると共に、詳細な質問状 を準備中であることを通知。 3月1日、Googleはプライバシーポリシー統合を実施。 3月16日、CNILは本文と69項目の質問状からなるレターを送付。回答期限は4月5日。この質 問状は欧州の各監督機関の協力で準備された。 4月20日、Googleから回答。CNILいわく、回答は不完全な箇所や曖昧な箇所が多い。CNIL はGoogleに対して5月22日に追加の質問状を送付。回答期限は6月8日。 5月23日時点で、CNILはGoogleの個人データ取扱い方法や、収集されたデータ間のリンク、 その目的や受領者について知ることは不可能とみなしている。 Googleから追加回答が来たら、CNILは報告書をまとめて第29条作業部会に提出する。作業 部会ではその位置づけを確定し、GoogleがEUデータ保護法制にポリシーを遵守させるため の改善点をまとめる。この分析の結論はGoogleに7月中旬に送られる予定。 GoogleがEUの勧告を聞かなかった場合は、各加盟国の監督機関の中でどこが罰則を与え るかを決める。 © Institute for International Socio-Economic Studies 2012 39 4.他の国際機関等の動向 © Institute for International Socio-Economic Studies 2012 40 OECDのプライバシーガイドライン見直し • OECDプライバシーガイドライン(1980年採択) – 有名なプライバシー8原則を含む。日本の個人情報保護法の基盤ともなっている。 • • • • 収集制限の原則 目的明確化の原則 セキュリティ保護措置の原則 個人参加の原則 ・ ・ ・ ・ データ内容の原則 利用制限の原則 公開の原則 責任の原則 – ソウル閣僚宣言(2008年)において、「技術、市場、利用者行動の変化と、デジタル・ アイデンティティの重要性の拡大の観点」から、ガイドラインの見直しが要求された。 – 見直しはOECD情報セキュリティ・プライバシー作業部会(WPISP)において実 施中であり、2013年に見直し版を公表予定。 – 8原則自体は変更せず、ガイドラインに新たな項目を追加する見通し。 • 企業によるプライバシー・バイ・デザインの実施 • 十分な権限を持った監督機関の設置 等 • その他の取組み – – – – – – 「グローバルネットワークにおけるプライバシー保護に関する閣僚宣言」(1998年) 「プライバシー・オンライン: ポリシーと慣行に関するOECDガイダンス」(2002年) 「プライバシー通知の簡略化: OECD報告書と勧告」(2006年) 「プライバシー法の越境執行に関する報告書」(2006年) 「プライバシー保護法の執行における越境協力に関するOECD勧告」(2007年) 「OECDプライバシーガイドライン30周年」報告書(2011年) © Institute for International Socio-Economic Studies 2012 41 APECの越境プライバシールール(CBPR) • 越境プライバシールール(CBPR) – APEC内で、企業・組織が国境を越えて 個人データを移転するためのルール。 – • • 検討経緯 • 2006年からAPECのECSG(電子商取引運営 グループ)において検討を開始。 • 2007年に閣僚会合の承認によって設置された 「APECデータプライバシー・パスファインダー」 において、開発が進められた。 • 2011年11月のAPEC閣僚会合及び首脳会議 において取りまとめられ、公表された。 図の出典:外務省HP – 個人データを越境移転しようとする企業は、APECのプライバシー9原則に基づく行動規範を開発し、 責任団体(Accountability Agent)による第三者認証を受ける必要がある。 – 責任団体は公的機関でも民間団体でも良いが、APECによる認定が必要。 – 行動規範に対するコミットメントに違反した企業に対しては、CBPRへの参加国のプライバシー執行 機関(※)が法執行を行う。このプライバシー執行機関はCBPRの要件と整合的な国内法令の下で法 執行を行う能力が必要。また、参加国のプライバシー執行機関の少なくとも1つは、下記のCPEAに ※責任団体とは異なる概念 参加していることが必要。 APECプライバシー・フレームワーク(2004年採択):9つのプライバシー原則から成る。 越境プライバシー執行のための協力取決め(CPEA)(2010年発効) – APEC内で、各国のプライバシー執行機関のネットワークを通じて、プライバシー法令の国境を越え た執行協力を行うための取決め。 – これまで、オーストラリア、カナダ、中国香港、ニュージーランド、米国、日本の執行機関が参加。 © Institute for International Socio-Economic Studies 2012 42 欧州評議会(CE)の個人情報保護条約 • 欧州連合(EU)とは全く別の国際機関。EUの加盟国27カ国すべてを含む47カ国 から成る。 • 「個人データの自動処理に係る個人の保護のための条約第108号」 – 1980年、閣僚委員会により採択。1981年、各加盟国の署名に付された。 – 2012年6月現在、44の加盟国が批准。 – データプライバシーの領域において(欧州評議会の非加盟国を含め)全世界に適用可 能な、唯一の法的拘束力を持った国際的法律文書。 – データ保護の基本原則として、下記を提示。 • • • • 各国の義務 特定カテゴリのデータ データ主体に対する追加的な安全措置 制裁と救済 ・ ・ ・ ・ データの内容 データセキュリティ 例外と制限 さらなる保護 – 2010年から同条約の見直し(Modernisation)に着手。2012年4月に最新の見直し案が 公表された。 – オブザーバ国である米国は、同条約に参加していないが、この見直し案に対してコメント を提出し、非公式な形でAPECのCBPRと同条約との相互運用性(CBPRへの参加が、 同条約の遵守と同等(すなわち、第三国データ移転に当たってのデータ保護の十分性) とみなされること)を認めるように働きかけている。 © Institute for International Socio-Economic Studies 2012 43 5.日本の取るべき対策 © Institute for International Socio-Economic Studies 2012 44 日本の取るべき対策(短期的対策) ○ EUへの意見書提出 – 業界団体で意見書を取りまとめ、EU側に提出する。 • 今回のデータ保護規則案は各界からの意見が多いため、最終的な規則 にはかなりの変更が加えられる見込み。 • 日本の業界が意見書を出す余地は十分にある。意見書を提出するならば 今年中だが、早ければ早いほどよい。 – 内容的には、第三国移転条項の条件緩和と、管理者の義務の緩和。 ①第三国移転条項の条件緩和: ←日本企業固有の話 データ保護シールの活用等 ②管理者の義務の緩和等: ←EU規則案全体の話 域外適用、透明性、明示的な同意、忘れられる権利、データ違反時の報告 ・連絡、データ保護影響評価、個人データの範囲、課徴金等 – 日本の産業界の要望を一方的に述べるのではなく、国際社会における 日本の立ち位置や、日本の個人情報保護フレームワークの今後の環境 整備を念頭に置いた、筋の通った要望書とするべき。 © Institute for International Socio-Economic Studies 2012 45 日本の取るべき対策(中長期的対策) ○ 民間分野における十分性決定の申請 – 十分性決定の申請については、国全体ではなく、民間分野だけ、あるいは特定産業 分野だけで申請を出すことも可能(上述)。ただし、その場合も国による申請が必要。 ○ 個人情報保護フレームワークの見直し – フレームワーク全般の見直し • 日本のグローバルな立ち位置の確認(EU、米国、OECD、APEC、CE等の中で) • データ保護の国際的な潮流の考慮(次頁のデータ保護3要素の導入等) • 第三者機関による法解釈の明確化と、法執行の強化 – 「過剰反応」の解消 → 個人の権利の明確化 – 特定業者への対策の強化(電話勧誘、迷惑メール等) » 特定業者に対する法執行の甘さが、「知らないうちに個人情報が提供されてい る」といった個人の不安を引き起こし、個人等による「過剰反応」や真面目な事 業者の過剰なコンプライアンスに結び付いている面もあるのではないか。 – 現状の「不均衡」や不公平感の是正と、健全なプライバシー文化の醸成 – プライバシーマークの機能強化 © Institute for International Socio-Economic Studies 2012 46 国際的潮流に見る個人データ保護の3つの要素 ○個人の権利 ・アクセス請求権 ・訂正請求権 個人の権利 ・消去請求権 等 ○企業・組織の責任 ・プライバシー・バイ・デザイン ・プライバシー・バイ・デフォルト ・プライバシー影響評価 企業・組織の責任 (responsibility/ accountability) 第三者機関 による法執行 (enforcement) ・安全管理措置 ・データ保護オフィサー ・データ違反時の報告 等 ○法執行 ・データ保護監督機関 (第三者機関) ・罰則を含む制裁措置 等 © Institute for International Socio-Economic Studies 2012 47 【補足】 プライバシー・バイ・デザイン • プライバシー・バイ・デザイン(Privacy by Design) – – • 「設計段階からプライバシー保護を組み込む」というシステム開発の1つの「哲学」。企業や組織が果 たすべき責任の1つ。 実践手段としてPIA(プライバシー影響評価)やPET(Privacy Enhancing Technology:プライバシー 強化技術)を伴うもの。 カナダのオンタリオ州情報・プライバシーコミッショナーであるAnn Cavoukian博士によって 1990年代に提案された概念。Cavoukian博士は下記7つの基本原則を提唱。 1. 事後的ではなく、事前的; 救済的策でなく予防的 2. 初期設定としてのプライバシー 3. デザインに組み込まれるプライバシー 4. 全機能的 — ゼロサムではなく、ポジティブサム 5. 最初から最後までのセキュリティ — すべてのライフサイクルを保護 6. 可視性と透明性 — 公開 の維持 7. 利用者のプライバシーの尊重 — 利用者中心主義を維持する 出典URL: http://privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-japanese.pdf • • EUデータ保護規則案、FTCプライバシーフレームワークや、OECDガイドライン見直し用資 料等に盛り込まれた。 プライバシー・バイ・デザインが近年これらのフレームワークに盛り込まれている背景(仮説) – – ICTの発展により、個人データ違反時の影響・被害が甚大化。 技術進歩に法律制定・法規制が追い付かなくなりつつある。 – 企業の個人データ取扱いが複雑化し、個人が自分のデータの取扱われ方について、プライバシーポ リシーを読んでも必ずしも理解できなくなっている。(同意原則の形骸化) cf. FTC報告書「(プライバシー・バイ・デザインを通じて)消費者から負担を取り除き、企業に消費者デー タを責任ある仕方で取り扱う義務を課すことによって、消費者に長く分かりにくいプライバシー通知を 読ませることなく、消費者に基本的なプライバシー保護を提供するべきである。」 © Institute for International Socio-Economic Studies 2012 48
© Copyright 2024 Paperzz