個人情報保護法改正により設置される第三者機関の設置で何が変わるのか、中央大学総合政策学部准教授の宮下紘氏にうかがいました。

海外からは「非常識」と見られている日本の対応例

──第三者機関が日本でもようやく立ち上がるものの、まだ経験やリソースが足りない状態です。そうした「よちよち歩き」の第三者機関と向かい合う事業者は、第三者機関に過度に依存せず、自ら海外の事例をよく見たり、これまでの法律の議論を追いかけたり、プライバシー事件の判例を見たりと、当面の間は自らリテラシーを向上させていく必要がありそうです。

宮下：その通りですね。実は、これまでもそれをやらなきゃいけなかったんです。でも、日本は個人情報保護について鎖国状態でしたので、適切な情報が入ってこなかった。

具体例を申し上げると、2012年3月にGoogleのプライバシーポリシーに大きな改正がありましたが、日本では総務省と経済産業省が連名で注意喚起の通知を出しただけでした。海外ではフランスの第三者機関であるCNILが筆頭になって共同調査を行い、最終的に15万ユーロの罰金をGoogleに科している。

この調査に関してはアジア太平洋地域プライバシー機関（APPA）のメンバーである韓国や香港も調査にあたって、違法という結論を下しています。私がAPPAにオブザーバーとして参加した際「日本ではなぜ違法ではないのか」と言われました、プライバシーコミッショナーコミッショナー会議に出席した際も欧州のコミッショナーから「うちは連名で立ち入り調査をした。日本は立ち入り調査したのか？立ち入り調査もせずに、なぜ合法と言えるんだ」と言われました。

同じくストリートビューが立ち上がったときも、日本では総務省の研究会が玉虫色の報告書を出しただけで、なにも制裁を科していない。しかし、フランスでは10万ユーロの罰金を科している。

世界中で使われている共通のサービスに対して、フランスは違法、隣の韓国も違法という結論を出しているのに、日本だけが「違法ではない」と結論を出している。このことは日本の個人情報保護の状況に対して、世界から大いに不信を招くことになってしまった。

──日本で踏み込んだ調査や判断が下された事例はないのでしょうか。

宮下：ソニーがプレイステーションネットワークにおいて、世界規模で7700万人の個人情報を漏洩したインシデントがありました。しかし日本は、経済産業省が報告、聴取と指導を2011年5月にやっただけですね。一方でイギリスは25万ポンドの罰金を科している。本来であれば、ソニーは日本の企業ですから、日本の企業の問題に、日本が国としてどういう責任を取るのかを世界中で見ている中で、報告聴取と行政指導だけ終わっている。

日本がいかに島国で、他の国とは違った非常識な対応を行ってきたのか、一連の執行の例を見ればわかるかと思います。

──事業者にとっては、日本国内で所管官庁から怒られなかったから大丈夫だと思い、そのまま海外に出たらアウトになるリスクがあったわけですね。

宮下：仰るとおりですね。EUの「忘れられる権利」は域外適応を認めているので、日本国内のみで事業を営んでいる企業、メディアの活動をしている報道機関も、ウェブ上の情報は国境を越えるため、EUからの申し立てがくれば対応せざるを得ないのです。

そういう意味では、おちおちと日本の行政だけを見ていればいいという時代は終わったわけです。今回の個人情報保護委員会が新しくでき、保護委員会がしっかりと海外の情報を日本の事業者にしっかりと伝え、ベストプラクティスを共有していくことが重要です。

これまで日本では常に、行政に怒られないように対応してきました。既にこのグローバルの時代ですから、第三者機関や行政だけを見るのではなく、外も見ながら、世界共通のサービスが行われていれば、世界でどういう風な形でプライバシー保護の水準が打ち立てられているのか、しっかり見て対応を迫られている。特にグローバル企業にとってはマストです。

===

誤解されている「十分性認定」

──個人情報保護法改正に関連し、「欧州から十分性認定を受けられるか」ということが一部で話題になっています。海外での展開を考えると、日本が十分性認定を受けることの重要性は大きいのでしょうか。

宮下：日本では欧州の十分性認定が相当誤解をされています。制度設計を担う立場の人たちでさえも、十分性認定の具体的な審査過程を知らずに法案を作っている可能性があり、非常に大きな問題です。

まずもって十分性審査の交渉は、日本政府が行うものではありません。ここにまず誤解があります。日本政府が出向けば欧州委員会が交渉に応じる、というものではないのです。

──ええ、そうだったんですか？！

宮下：EUでは十分性認定については「ノンネゴシアブル」という言葉を使います。つまり、十分性については、そもそも交渉しないんですね。現在、日EU経済連携協定（EPA）の交渉で、ワインや自動車の関税撤廃の話が進んでいます。しかしそこでも、データ保護については交渉しないと、彼らは言っています。ワインや自動車の関税は交渉に応じても、個人情報は譲らない、というのがEU司法総局のスタンスです。

平成23年度消費者庁から発表された、国際水準に関する報告書（リンク：PDF）で、いろいろプロセスを示していますが、認定の準備を行うのはナミュール大学です。欧州委員会が最終決定するにしても、ナミュール大学が作成した報告書をもとにEU第29条作業部会などでその後の審査が進められます。これはニュージーランドが2013年に認められたときも、イスラエルが2011年に認められたときも、あるいはウルグアイが2012年に認められたときも、全部同じ方法です。

現在、インドが十分性の審査を受けていますが、これもナミュール大学がやっています。つまり、十分性についてはナミュール大学の審査が決定的に重要だし、認定プロセスの詳細もナミュール大学に行かなければわからない。実際、日本の審査については、すでに2005年にナミュール大学によって第一次審査が行われています。このことが日本ではまったく理解されていません。

──今回の個人情報保護法改正の過程で、利用目的変更のオプトアウト規定の議論が土壇場になって盛り込まれたものの、結果的に法案からは外れる、という顛末がありました。これも欧州の十分性認定を意識したものだったのでしょうか。

宮下：個々の条文や、利用目的変更のオプトアウト規定の導入といった細かいことは、審査するナミュール大学からすれば、些末な話でしょう。彼らが何よりも重視するのは人権です。日本の憲法やプライバシー権などの判例を総合的に見た上で、人権として個人情報を守れているかどうかなんです。

内閣官房のパーソナルデータ検討会の報告書を見ても、人権という言葉は一回も出てきません。このような状況にも係わらず、十分性認定を受けようとしていることに、私は驚いています。全くもって十分性審査というものを理解せずに話をしている証左です。これも現在、プライバシーコミッショナーがないからこそ起きている事態です。

EUの基本権憲章の第1条に出てくるのが「人間の尊厳は不可侵だ」という言葉です。そして第8条に個人データ保護は人権だと出てくるわけです。EUデータ保護指令は、この基本権憲章の人権の哲学を受け継いでいる。したがって、これまでの他国の審査結果からも分かりますが、個々の条文の細かいところは見ていなくて、条文のひとつがダメだから、十分性認定が取れないということではありません。

===

──「人権を考える」というのは、日本の経済社会では正直あまり馴染みがないですね。

宮下：これは日本企業に対しての重要な示唆にもなります。プライバシーに関する国際会議で、EUの企業法務部や企業弁護士の方はパネルディスカッションで「個人情報は人権問題」である、と主張します。しかし、私は日本企業で「個人情報保護が人権問題だ」と言う法務部の方を存じ上げません。この基本的な哲学の部分、出発点を共有できないと、世界には出て行けない。

少なくとも世界にそういった流れがあるというのは、是非日本のグローバル企業、法務部の人、そして個人情報を扱う人は理解しておいて頂きたい問題です。

──先ほど企業が自分で考え判断する必要があると言いましたが、自分で最終的に判断するためには、自らの価値基準を明らかにしなければなりません。すなわち、企業の皆さんが相手にしている顧客、つまり人間をどのように見ているかを明らかにするということです。

宮下：それがないままだから、PIA（プライバシー影響評価）も「ただの作業」になってしまい、「コスト負担が...」という声が出てくる。そもそも、それが企業の価値や理念、そしてお客様の尊厳や人権を守るためだと認識していれば、コスト・ベネフィットの問題ではないと理解できるはずです。

個人情報の分野では最近「リスク・ベネフィット・アナリシス」と言っていて、リスクとベネフィットの問題であって、コストの話が出てくる問題ではない。そのことを事業者は理解しないといけません。

了