前回は高橋克巳氏に技術的な話を中心にパーソナルデータとは何か、匿名化とはどういった技術であったかを伺った。本稿では弁護士であり、消費者庁消費者制度課個人情報保護推進室への出向経験をお持ちの板倉陽一郎氏にこの分野の国際情勢、法改正の概要、事業者が受けるインパクトの3点を伺う。（聞き手:JIPDEC）

プライバシー保護の面で日本は組みにくい国だと思われてしまっている

──パーソナルデータに関する法制度の現状について、日本は世界の中でどのような位置づけにあるのでしょうか。

板倉氏（以下敬称略）　2003年に日本の個人情報保護法を含む関連五法が成立し、2005年4月に全面施行されました。その後はそのまま運用しているというのが実態で、主務大臣制による27分野40本（平成24年3月31日現在）のガイドラインがあり（図参照）それぞれの分野でそれぞれの省庁が所管を務めて来ました。これは国際的にも珍しい制度です。

▼消費者庁「個人情報保護法について」資料より引用

板倉　欧州等はプライバシーコミッショナー制度（第三者機関による監督）が普及していて、民間・行政を問わずあらゆる分野のプライバシーに関することを管轄する機関が設置されています。

日本でも、主に有識者の間では、プライバシーコミッショナー制を導入してはどうか、と長年議論されてきましたが、それもまた簡単なことではありません。大きな変更になるので、2003年から手をつけられずに今まで来たというのが現状です。

ひかり総合法律事務所　弁護士
板倉陽一郎氏

一方、EUでは「欧州データ保護指令」及びこれに基づく各国のデータ保護法に則りデータを取り扱うことが求められます。しかし、欧州からみて日本の現行法制度は十分（Adequate）とされていません。この評価は実際に事業者がルールをきちんと守っているかというよりは、法制度の整備状況を形式的に評価する側面が強いのです。

コミッショナーがおらず、独特の制度運用の日本へは、欧州域内で扱っているパーソナルデータを容易に移転することができない状況になっています。欧州企業が、たとえば従業員のデータを日本に移転する際には、理論上は「例外事由」の適用という特殊な運用を行わざるを得ず、ずっと喉の奥に引っかかった小骨の様な状態が続いています。

従来は、日本は日本語環境で情報の流通が完結しがちだったため、欧米間に比べれば、日欧間のトラフィックは少なく、さほど大量のデータが流通することがありませんでした。そのため、これまで局所的には問題視されて来ましたが、大きな問題にならずに来ました。しかしクラウドやビッグデータの時代になり、日本の制度の独自性は、もはや無視出来ない問題になってきました。

===

──米国から見るといかがですか？

板倉　米国は、主に独禁法と消費者保護法を管轄するFTC（米連邦取引委員会）が監督を行うという別の制度運用ではありますが、やはり独立した機関が一手に監督を引き受けています。欧州との違いは消費者・事業者関係のみで執行されるという点です（米国にも政府によるプライバシー侵害を規制する法律は連邦プライバシー法として存在する。ただし、独立した監督機関の制度はない）。

米国の立場になってみても、現行法制度への対応を米国企業が日本でやりきるのは非常に困難だと思われます。各省ごとの日本語のガイドラインを読解することも、主務大臣への日本語による問い合わせも、相当難しい。英訳も一部存在していますが、十分ではない。

在日米国商工会議所は、「日本はプライバシーコミッショナーを設置してくれ」という要望をだしてきたことがあるくらいです。米国にない制度を日本に求めるというのも異例ですが、それほどまでに、非常に分かりにくいようです。事業者はコスト重視で分かりやすいコミッショナーを求めたのだと思います。

日米間は、欧州のように法的にデータ移転が禁止されているといったことはありませんが、日本の現行制度は海外から進出するのに、分かりにくいと思われる制度であるということは言えると思います。

プライバシー法制度は現在国際的な変革期にある

──どの国の視点から見てもプライバシーの面では日本は組みにくい国だと思われている実態があるのですね。日本のパーソナルデータに関する検討会もそういった国際的な問題意識や議論の活発化に呼応するものでしょうか。

板倉　まちがいなく、そうだと思います。欧州のデータ保護指令は制定（1995年）から約20年、つまりインターネットを前提にしていません。日本が参考にしてきたOECDのプライバシーガイドラインや、欧州評議会条約第108号も制定から30年経っていて、前者は2013年に改正しました。

3つのうち、最初に改正案を出してきたのは欧州のデータ保護指令で2011年12月欧州委員会の「一般データ保護規則提案」です。これは指令から規則（国内法化する必要がなく、EU域内に直接適用できる法形式のひとつ）へ格上げする提案でもありました。

インターネットを見越した規制強化部分も追加されました。制裁としての巨額の課徴金制度や、当初は「忘れられる権利」と称して耳目を集めた（データの）消去権など、意欲的なものがたくさん盛り込まれており、議論を深めるきっかけになりました。

米国ではFTC法第5条で定められた「不公正・欺瞞的な行為又は慣行(unfair or deceptive acts or practices)」の取り締まりを行うという建て付けのため、一般的なデータ保護法を作ろうという議論はちょくちょく起こりますが、議会を通るほどの大きな流れにならないという状況が続いていました。

しかし、大手OTTやマイクロソフト等の米国企業が国際的に消費者のデータを取り扱い、また、問題も抱えているということを見過ごすことも出来ず、ホワイトハウス（大統領府）が「プライバシー権利章典」を発表しました。ここには「包括的な連邦法」の制定法律も作るということが明記されています。

前述の通り、日本が参考にしてきたOECDガイドラインも、昨年改正しました。国際的な規範が軒並み変わるこのタイミングで、日本も国際的なデータ流通の十分性を獲得出来る国になろうという気運が高まっています。

しかも、アジアでも韓国、台湾で改正があり、シンガポールは新法制定がありました。日本は2005年から一度も改正していないので、海外の有識者から「古い」と指摘を受けることさえありますね。

===

海外からは扱いづらく、まじめな国内事業者は損をする制度

──日本の法制度のどの辺りに課題をお感じになられますか？

板倉　よく言われることですが、日本は事業者が独特で、とにかく規制を遵守します。細かい規則を一生懸命全部守ろうとする事業者が多い。

日本では法解釈上はリスクの程度を分けずに、たとえば名刺でもカルテでも電話帳でも、なにもかもひっくるめて個人情報として扱います。分野別のガイドラインによる多少の幅はあるとしても、全てを同等に、つまり一番厳しいルールで運用しないといけません。

それにも関わらず、日本の法制度は執行制度が弱いのです。法律はメリハリがないし、執行体制は弱い。ということは...。

──まじめな事業者が多い一方、守ろうとしない人を取り締まることが難しい、ということですね。

板倉　そういうことです。他国の例をお話すると、米国はFTCが多額の課徴金を課したり、裁判を起こしたりする権限を持っていますし、EUのプライバシーコミッショナーも様々な権限を持っています。たとえばFacebookのイイネは違法である、という主張をしたり、Googleのストリートビューの撮影車を接収したりするなどした事例もあります。

日本の主務大臣制は、監督官庁の本分である事業そのものの監督と合わせて、個人情報の取り扱いについても見ています。なので事業分野によっては、率直に言って「ついで」になってしまう部分があります。その一方で事業者は、前例のないことをやりたがらず、監督官庁に予め見解を求める。そうすると、ガイドラインやＱ＆Ａがどんどん拡張され、より細かくなってしまいます。

さらには、まだ分野の定まっていない新興ビジネスや、成長してほしくない悪徳事業などは、そもそも監督官庁が明確に定まらず、省庁間の谷間に落ちてしまう。そういう人たちだけが、やりたい放題になってしまうリスクもあります。悪徳事業者を規制する時に、直感的に「個人情報保護法違反ではないか」と思っても、実際には個人情報保護法は機能せず、執行力のある別の法律で罰せられることの方が多いですね。

また、主務大臣には報告を徴収する権限はありますが、立入検査の権限はありません。権限不足も、特に欧州の十分性審査の観点からは、評価されない理由の一つになっています。他方で、几帳面な事業者には負担感がある。事業者の努力が割に合わないですね。

次週（2）では、法改正の要点と課題、事業者へのインパクトに触れる。