プライバシーに関する国際的な水準へのキャッチアップという課題を抱えながら、一方では技術と法制度のギャップが拡大している。産業界から見た今回の個人情報保護法改正の評価と今後の制度改正のあり方について、引き続き、一般社団法人電子情報技術産業協会（以下、JEITA）の個人データ保護専門委員会の委員長を務める吉田元永氏、副委員長の水島九十九氏、委員の白川幸博氏、客員の小泉雄介氏（株式会社国際社会経済研究所）にお話をうかがった。

──個人情報保護法の改正にあたって、事業者の立場から難しいと感じるところがあれば教えてください。

吉田　今回の個人情報保護法の改正で言えば、個人情報の定義が「特定の個人を識別」と現行法と変わっていません。つまり「特定」が残り、個人情報の定義の拡充は行わないという整理がされたと理解しているので、あまり心配はしていません。ただし、携帯電話番号のように機器に振るIDが個人情報には当たらないという解釈については、最後の政令が出てくるまでは注視しています。国会の大臣答弁でも「機器に振るIDは含めない」といっていますが、法案の文言を読むと「個人への機器の販売に際して付与される符号」という表現が残っています。

水島　行政側が付番するもの、例えば運転免許証、パスポート番号のようなものは、個人と1対1に紐付けられると考えるべきです。ですが、企業が製品やサービスにおいて採番した番号が個人と紐付くかどうかは一概には言えないと考えています。それを行政による付番と同様に扱うのは、ちょっと違うと思っています。

吉田　携帯電話番号は希望すれば変えられるし、解約などで使用されなくなった番号も一定の期間をおいた後に再利用されます。そのような番号を個人に紐付くというのは無理があるかなと言う気がしています。もちろん、通信業界において注意して扱わなければならないというのは間違いないと思いますが、それは通信業界の内部で規律していただければよくて、あまり一般事業者に広げなくても良いのではないでしょうか。

──国民的な合意が得られているものなら保護の対象とすべきなのでしょうが、そうではないならもっと議論を続けるべきかもしれません。民間事業者が振る番号といっても、より公共的な性格を持った番号なのか否か。それらとアドホックな付番や再利用・上書き等が日常的に行われているものを同一視すべきなのか、ということですね。

吉田　一般的に行政が振る番号というのは、免許にしろ、パスポートにしろ、個人では変えることができません。そこが、民間事業者が振る番号とは一番大きな違いになっていいます。同様に、顔認証や指紋も個人の意志では変えられないものですから、こうしたものはある程度の規制は当然だと思います。ですが、携帯電話番号のように、望めば利用者自身が変えられる番号は、個人情報には当たらないのではないでしょうか。

おそらく携帯電話番号だけではなく、それに加えて詳細なGPSの移動履歴みたいなものがつくと、プライバシー侵害のリスクが大きなものになるでしょう。したがって、全体像の中で評価していかないといけないのでしょう。

──個人情報のリスクは一定程度、必ず評価をしていかないといけないし、それはライフサイクルの中で上がったり下がったりがしうるので、定期的に見直していくべきだというということですね。そしてそうした検討は海外でも進んでいるし、ネットを介して海外発のサービスを日常的に使うようになった以上、日本も議論の中に入る必要があります。

吉田　そうならざるを得ないと思います。日本だけがガラパゴスの道を行くというのはいろんな面で不都合が大きいです。ただし他の産業界と話をすると、海外で事業を展開していないところからすると、規制強化に受け止められるというのも事実です。実際に「なんで個人情報保護をもっと厳しくしないといけないんだ」という声は聞こえて来ています。

だから、他の産業界と話す際も気をつける必要があります。私たちだけが前に進んで、誰もあとからついてこないというのは厳しいですから。そういう意味で今回は政府が取り上げてくれたと言うのは、非常に大きな成果かなと思います。

──様々な局面で、世の中の法制度の議論とギャップが生じています。パーソナルデータ検討の背景にも、クラウドの高度化、ネットワークの複雑化により、いろいろなアーキテクチャーが登場していて、とても法制度が追いつけないという現実があります。未来に向けて技術と法制度の関係は、どういった姿が理想なのでしょうか。

吉田　弊社はクラウドを利用する側になることが多いので、日本法に準拠して何か争いがあれば東京地裁で行えるという規約を示してくれるクラウドサービスが利用しやすいです。さらに言えば、サーバがどこの国にあるのか明示してくれるクラウドサービスなら安心して使える印象がありますね。

外資系データセンターの多くは、データのロケーションを明示しないポリシーですが、例えば日本マイクロソフトなどは日本国内のサーバセンターで、契約も日本法に準拠して東京地裁で対応可能ということを打ち出してきています。外資系であっても、そういうサービスをしてくれる会社の方が安心感はあります。

白川　データを個人情報に限らないという意味で、確かに法律が追いついていません。とは言え追いつくかというと、それもなかなか難しい。したがって現実的な対応としては、今回の個人情報保護法改正の視点のひとつでもある国際協調の視点を可能な限り持つということが、大事なことだと思います。

クラウドの世界では個人データだけでなく、例えば営業秘密の取り扱いなども問題になってきます。重要なデータを海外に置いたときに、そのデータセンターにおける情報の安全管理措置が不十分な場合、もし営業秘密が盗まれた際、不正競争防止法の考え方に従うと、秘密の扱いで情報が管理されていなかったということになります。他にも、著作権の問題などもあります。

──確かに、パーソナルデータにも事業資産としての側面もありますし、またそもそも個人情報以外の業務に関係する情報の管理は、企業としては極めて重要ですね。

吉田　輸出管理もそれに該当しますね。輸出管理の対象となる技術情報は、うかつに海外のクラウドに置けないので、やはりロケーションを国内だと宣言してくれるサーバセンターでないと預けられません。
　理想的には世界各国の法制度が協調して、当局間で協力して適切に執行されれば良いのですが、いまだかつてそんなのが実現している分野はありません。租税や特許でもなかなか進んでいませんし、まして著作権の考え方はバラバラです。まだまだ先は長いですよ。

──技術によって実現できることが広がってきた中で、消費者だけでなくて、企業の利益を守ると言うことも含めて、なにか問題が発生したときに事業者や他国の政府と話ができる状態が維持されているということが、非常に重要なことになるということですね。

白川　それは大事だと思います。新しい領域の動きというのは、まず企業や業界がリスクをきちんと把握して、リスクへの対応を同時にビジネスモデルに組み込んで考えないといけないと思うのですが、その出口として、国と企業、国と国の交渉のテーブルが重要であると思います。企業の側は、リスク評価も対応も行っていく必要があります。そうしないと、国際的には認められないのではないかと思います。リスク評価や対応といったものを業界のルールやガイドラインのような形で作っていくことが、有効な対策ではないでしょうか。

世界共通の法律がない以上、自分たちできちんと考えぬいた指針を持ち、何か問題が起こった際には、これだけのことを考え、これだけの対応している、ということを示していくしかないのかもしれません。

──どれだけ準備できているのか、そしてそれをどれだけ説明できるのか、ということが問われています。そのときに、事業者だけが当事者になるのではなくて、必要ならときには政府も一緒に動き、協調関係を持つことが必要ですよね。

白川　その通り、政府との協調関係は必要だと思います。そして、技術の正と負の両方を見ておくことも大切です。単に、新しい技術によって「これだけ正の影響を与える」ということだけで前に進むというのは、これから通用しなくなっていくように思います。負の側面を一緒に考えて行くというのが、おそらく大事になっていくと思います。

了