世界の市場で事業を展開するグローバル企業にとって、各国の法規制への対応は大きな課題となっている。そしてパーソナルデータやプライバシーに関する規制は、EUのみならず世界中で大きな変化のただ中にあり、企業にとっては見極めることが難しい状況である。こうした世界規模での環境変化に対して、日本発のグローバル企業はどのように見つめ、認識し、そして対処しているのだろうか。国内のエレクトロニクス企業やIT企業で構成された業界団体である、一般社団法人電子情報技術産業協会（以下、JEITA）の個人データ保護専門委員会の委員長を務める吉田元永氏、副委員長の水島九十九氏、委員の白川幸博氏、客員の小泉雄介氏（株式会社国際社会経済研究所）にお話をうかがった。

──今回の個人情報保護法の改正について、JEITAではどのような評価をされていますか。

吉田　総評としては、おおむね歓迎すべき方向だと考えています。特に評価しているのは、国際協調について明示的に示されている点です。ただし、一般事業者にとっては過剰な事務負担となりかねない条項については懸念もあります。そこは個人情報保護委員会規則や政令などで細部がどのように決められるのか、引き続き注視していきたいです。

特に第三者提供の時の記録確認義務については『パーソナルデータの利活用に関する制度改正大綱』では「個人情報データベース」と表記されていたものが、法案では「個人データ」という表記に変わっています。そのため、企業活動において日常で行っている個々の個人データのやりとりにまで確認義務が掛かるという疑義が生じかねません。その点は今後、是正されることを期待しています。

──確かに、「実務面での対応は相当困難だ」という指摘が、あちこちから聞こえますね。

吉田　こうした変更は、おそらく名簿屋対策として、「個人情報リストのばら売り」が抜け道になりかねないという議論があったのではないかと推測しています。その点は、有償での個人データの提供や、一定分量以上のデータベースの提供など、外形的な基準で「足切り」を行うようにすれば、一般の事業者の活動には差し支えがなくなるのではないでしょうか。

ただし、JEITAとしては、以前から名簿屋のような意図的に法律を逸脱する業者に対する取り締まりを要望していたので、改正法案に名簿屋規制が入るとこと自体は反対する立場ではありません。

──国際協調について評価されるとのことですが、事業者にとってどのようなメリットがあるとお考えですか。

水島　JEITAの個人データ保護専門委員会は3年ほど前から活動していますが、委員会となる前にはタスクフォースとして動いていました。それはEUデータ保護規則が公開された際、やはりITベンダーにとっては大きな事業インパクトとなると考えたためです。クラウドビジネスやデータセンターの運用について課題となり、欧州におけるビジネスへの影響がますます拡大していくと考えられるからです。

また、昨年からは本格的に国内でも個人情報保護法改正の議論がなされるようになりました。我々は欧州での調査やEUデータ保護規則案に対するロビー活動を実施していた経緯から、これまでも積極的に国際協調を提言してきました。現行法は12年前に成立したものであるため、国際的に見れば既に周回遅れになっています。そこで、海外における個人情報保護レベルに合わせた法改正が必要だと考え、政府機関や関係者に働き掛けてきました。

──まずは「世界の実態」に早く合わせてほしい、ということですね。

水島　JEITAの会員企業は、産業界の中でも、欧州でのビジネス機会を模索している企業が多いものと考えています。そのため国際協調に関しては、JEITAが先頭を切って提言してきたため、政府機関とも直接会話をしてきました。今回の法改正では、国際協調を考慮し、また日本として欧州委員会による十分性認定（※1）の取得を目指すことになったことは、我々の委員会活動における成果の一つであると認識しています。

（※1）十分性認定：十分なレベルの個人データ保護を行う国・地域であるとの認定

──EUにおける十分性認定は、JEITAに代表される製造業や、IT、車、あと航空産業のようなところに直接の影響があると想定されますが、これまであまり活発に議論されてきませんでした。なぜでしょうか。

吉田　弊社における直接的なきっかけは、2010〜2011年頃に欧州の現地法人の従業員も含めた人事データを日本で一元管理しようとしたときに、移転規制が具体的な障害になったことです。データを移転しようとすると、標準契約（SCC）を結ぶ必要があるため、かなりの手間が掛かってしまいます。弊社だけでなく、同業のグローバル大企業でも同じ苦労をされていました。こうした日常的な企業活動をスムーズにするために、日本が十分性認定を取得することができないかというのが、弊社がJEITAの個人データ保護専門委員会に参画したきっかけのひとつです。

白川　弊社でも同じ時期に、グローバルでの人材採用や処遇制度といったことがテーマになり、そのための人事データベースの構築が必要になりました。データベースを構築するためには、欧州の拠点やグループ企業の人材情報を本社に集約しなければならないため、そのときにデータ移転の規制がネックになりました。それが、JEITAの委員会の活動に参画するきっかけです。

──欧州も対象にしたグローバル企業として、世界中で社内システムを統合していかなければならないという業務面での課題が、先に浮上したわけですね。

白川　そういうことです。むしろ最終消費者と相対するB2C事業への影響については、最近注目されるようになったと思います。実際、社内で話を聞いたところ、現行のEUデータ保護指令の存在をビジネスの現場は承知していましたが、2011年くらいの時点では大きな問題になっていませんでした。弊社では欧州におけるB2C事業の規模が大きくなかったのが一因であったかもしれませんが。また、EU加盟国でも国ごとに法執行が異なっていて、厳しいところもあれば、そうでないところもあるため、それほど大きな問題とはとらえていませんでした。

一方、ユーザ企業にシステムを納めるIT事業者の立場としては、実際に個人データを管理する主体はユーザ企業なので、ユーザ企業が個人情報の取り扱いについてどのような問題意識を持っているのか、気になるところではあります。実際のところ2011年頃は、動向は把握しているものの、足下に火がついているという感じではなかったと思います。

──2011年前後が一つのターニングポイントのようですね。確かにEUデータ保護規則案は2012年1月に提案されましたが、それ以外にも何か理由があるのでしょうか。

吉田　技術的な背景としては、2011年くらいを境にグローバルでシステムを一元化する動きが、急速に現実的になったことがあると思います。以前は通信回線のコストが高かったため、各国ごとにサーバを置いて管理するのが現実的でした。ところが、2011年前後から通信回線のコストが急激に下がり、日本にサーバを集約してもデータを集めても問題なく構築できるような環境になったことで、データ移転規制の問題が表面化してきたのではないでしょうか。

──クラウド対応が現実味を帯びてきた時期、ということですね。

吉田　とはいえそれは、いわゆるプライベートクラウドという形で、グループ会社内でデータをクラウドに集めるという形です。ただ、現実的にはEU内でデータセンターを持たないと回らないので、すべてが日本に集約されるわけではありません。日本、EU、米国、中国といったあたりの、4つから5つの拠点に集約しています。