内閣のIT総合戦略本部に設置された「パーソナルデータに関する検討会」では、わが国の個人情報保護制度の抜本的な見直しに向けて、集中的かつ白熱した議論が展開されている。個人情報保護のための第三者機関のあり方、パーソナルデータの範囲の定義、個人が特定される可能性を低減したデータの扱い、個人情報本人から事業者への開示、訂正、利用停止権限など民法上の請求権、海外の事業者への国内法の域外適用、国際的な執行協力そして、データ保護が十分でない国への情報移転の制限について等、重要な課題が目白押しである。

個人情報保護法の制定からは、2013年で10年が経過した。この10年で、IT技術は飛躍的に進展し、多種多様かつ膨大なビッグデータの収集・解析が可能となった。顧客の購買履歴の活用や、利用者の位置情報、交通手段の乗車履歴等のパーソナルデータを利活用した様々なビジネスが提案される一方、個人情報保護上の課題や利用者からのプライバシー侵害を不安視する声も顕在化している。一部の企業では、利用者からの非難をおそれてデータ利活用ビジネスに対して躊躇を示す傾向もある。この傾向をもたらす要因の1つには、日本の個人情報保護政策が明確ではないことがあるともいわれている。

IT総合戦略本部が2013年12月20日に発表した「パーソナルデータの利活用に関する制度見直し方針」は、企業がデータの利活用を躊躇する要因となっている現制度の曖昧さを解消するための方向性が示され、我が国における10年ぶりの個人情報保護法制の本格的な改定の動きが始まった。

▼勉強会「我が国におけるパーソナルデータ利活用の制度動向とプライバシー保護 ～日米欧の個人情報保護制度比較から～ 」　　開催の状況

情報通信総合研究所では、この個人情報保護法改定の動向を見据えて、2014年3月14日、"我が国におけるパーソナルデータ利活用の制度動向とプライバシー保護～日米欧の個人情報保護制度比較から～"と題して、米国NPO法人SafeGov （公的機関のクラウドコンピューティングのための産業フォーラム）代表のジェフ・グールド氏、筑波大学准教授の石井夏生利氏、情報通信総合研究所の小向太郎主席研究員による座談会形式の勉強会を開催した。

司会進行 ICR法制度研究グループ部長・主席研究員

小向　太郎

まず、小向主席研究員から、現在の政府で行われている制度見直しの動向と課題について、特にEU、米国、日本の各個人情報保護制度を比較しつつ概観した。

制度見直し方針案で示されている、第三者機関（プライバシー・コミッショナー）の設置や、一定の匿名を施した個人データの取扱いに関する規定、個人情報の第三国移転制限や、センシティブ情報*1等について、実務に与える影響について説明があった。また、EU個人情報保護指令において個人データの移転が許容されるための、十分性の基準を満たす制度になるかどうかも重要であるとの指摘があった。

*1　人種又は民族、政治的見解、宗教的又は思想的信条、労働組合への加入を明らかにする個人データの取扱い及び健康又は性生活に関するデータ

筑波大学 図書館情報メディア系 准教授
石井 夏生利 氏

次に、石井氏からは、日本がEUから個人情報保護について十分性の基準を満たしている国と認定されるための重要なポイントが紹介された。①独立監視機関の設置　②越境執行協力への参加を積極的に行うこと　③制裁制度（制裁金、立入調査）の強化　④日本から保護レベルの低い他国へのデータ移転の制限　の4点があげられた。

これらの項目は、正面からEUの十分性認定を受ける場合に必要となり得る事項であって、規制強化にもつながるものである。しかしEUから日本が十分性認定を受けるためには、こうした制度設計だけではなく、ロビー活動や外交力が求められることもあり、曖昧な点もあるという指摘は重要であろう。

米国NPO法人Safe.gov代表
ジェフ・グールド氏　

最後に、グールド氏からは　日本にとってEUから十分性の認定を受けることだけが国際的なデータ流通を促進する仕組みではないという示唆があった。石井氏も触れていたように、例えばCBPRシステム （APECプライバシー原則への適合性を認証する制度であるAPEC 越境プライバシールールシステム：Cross Border Privacy Rules　system）に参加し、BCR（拘束的企業準則：Binding Corporate Rules）との相互運用に期待するという方法があり、日本が欧州にとって重要な貿易国である以上、国自体が十分性を受けられなくても妥協案が出されてくるのではないかとの見解が示された。特定の産業やセクションに限っては移転を許す等のすりあわせもありうると言うことである。

また、米国のパーソナルデータ利活用を巡る状況として、ここ10年で大幅に伸びているデータマイニングビジネスについて紹介があった。例えば流通大手のターゲット社によるデータマイニングで、ある少女の両親よりも早く、彼女の妊娠を覚知し、いきなり妊娠に関する広告の類を送りつけてきた事例などが紹介された。

近年、個人情報が一層高い経済的価値を持つようになっており、米国グーグル社の年間の広告収入約700億ドル余り（これは世界中の新聞社の広告収入に等しい）は、まさに個人情報の収集をすることで得ている金額である。それにもかかわらず、グーグル社のプライバシーポリシーによる消費者への説明は意図的に曖昧になっている面があり、同社が行うデータ収集に関する目的は全部開示すべきではないかという疑問も、グールド氏から提起された。ユーザーが自ら有益であるかどうかを判断できることが重要だということである。

一方で、グーグルが教育現場にGmailを提供しようとしていることに関して、教育の現場でのデータマイニングやプロファイリングは許してはいけないという主張を述べている。なお、現在の日本の個人情報保護制度においては、未成年の保護に関する規定はなく、冒頭に述べたパーソナルデータに関する検討会においてもこの点についての検討はされていない。

日本が今後、パーソナルデータの利活用を飛躍的に発展させていくためには、グローバルに認められる個人情報保護制度の整備が不可欠である。政府検討会での議論は今後も進められ、2014年6月には大綱が公表される予定である。さらにそれを受けて、2015年の通常国会には個人情報保護法を改正する法案が提出されることになる。わが国のビッグデータビジネスに大きな影響を与えるこの議論からは、今後も目が離せない。

（文・写真：情報通信総合研究所　山崎和子）