7月21日に「個人情報保護法改正の先を考える」と題して、JIPDEC主催の情報交流会が開催された。交流会では個人情報保護法改正案を検討するために設置された「パーソナルデータに関する検討会」での検討の振り返りに加え、改正法施行後のデータ越境の扱い、特にアメリカ・ヨーロッパとの制度整合を整理しつつ、特に今後ビジネスを行う上での課題と必要と思われる措置等について、意見交換が行われた。登壇者の松本泰氏（セコム株式会社IS研究所）、小泉雄介氏（株式会社国際社会経済研究所）、クロサカタツヤ氏（株式会社企）の発言から、当記事を構成する。

前回（2）につづいて本稿では、改正法案の諸外国との整合性と、日本にあるデータを海外に移転する際の対応について取り上げる。

改正法はアメリカの制度と調和がはかられている

クロサカ：
ここまで、匿名加工情報の話を中心に進めてきましたが、海外動向に詳しい小泉さんは、海外との比較で、今回の法改正をどのように受け止められていますか？

小泉：
まず、匿名加工関係の話を少しさせていただきます。アメリカでは2012年のFTCの報告書の中で、いわゆる「FTC3要件」というのを出してきています。それを日本流にアレンジしたものが、今回の匿名加工情報だと考えられます。アメリカではFTC3要件を満たせば「保護すべき個人情報に当たらない」と考えられます。

※FTC3要件：米国FTCが発表したレポート”Protecting Consumer Privacy in an Era of Rapid Change”の中で示した匿名化に関する3つの要件。
（1）企業はデータの匿名化を確保する合理的な手段を講じなければならない。
（2）企業は、データを匿名化状態で管理・利用しデータの再識別化を試みないことを公的に約束しなければならない。
（3）企業がそのような匿名化データを他の会社等に提供する場合には、それがサービスプロバイダであるか他の第三者であるかを問わず、企業は、その提供先がデータの再識別化を試みることを、契約によって禁止すべきである。

ここは、日本の匿名加工情報が個人情報ではないという整理と、ある意味整合が取れています。アメリカとの制度の調和というのは図られているといえるでしょう。

EUの制度とはもう少し整理が必要

ただ、問題はEUのルールとの関係で、EUのデータ保護指令や規則案には該当する概念、匿名加工情報に該当するものがないのですね。しかし指令でも規則案でも、匿名化された情報については、このEU法制の保護の対象から外れるということが明記されています。

匿名加工情報は、「匿名」と書いてありますけれども、その実態は「特定性低減データ」ですので、厳密にはEUの匿名化情報と同一とはいえません。規則案に照らし合わせると「仮名化データ（pseudonymous data）」くらいしか、該当するものがありません。

欧州議会のほうでは仮名化データの定義が出てきます。仮名データは、「個人データの1つであり、追加情報の利用なくしては、特定のデータ主体に結び付けることができないデータ」と明記されています。

追加情報というのは、対応表のようなものを指します。それと突き合わせると人物の特定が可能になるということですね。EUでは仮名化データは個人情報の一種とされています。

杞憂（きゆう）に当たるかもしれませんけれども、匿名加工情報の考え方がEUからデータ移転のための十分性認定を受ける場合のネックになりはしないかと心配しています。

仮名化データは日本では匿名加工情報ですが、EUでは個人情報です。例えば匿名加工情報の第三者提供をする際には日本では不要な本人同意をEUでは取る必要があるわけです。その点をもしもEU側に指摘されると、厄介ですね。他国の例でも十分性認定にあたって、細かい指摘を受けた国もありましたので、注意は必要だと思います。

ICOは「連結可能匿名化情報」の第三者提供に本人同意は不要と回答

英国のICO（情報コミッショナー事務局）※がこの問題についてどう考えているかについては、これは2013年の6月にヒアリングした内容があります。

※ICO：情報コミッショナー事務局（Information Commissioner's Office）各国に設置されている個人情報保護制度の執行を監督する第三者機関の事務局。

その当時、「識別非特定」といった概念はなかったので、「連結可能匿名化」についての質問への回答ですが、「対応表を持っている事業者が匿名化データを第三者提供するに当たって本人同意は必要かどうか」ということを聞いたところ、ICOの見解は、「たとえ提供元事業者が対応表を持っていたとしても、第三者提供に当たって本人同意はいらない」というものでした。

ICOはEUの中でも産業界寄りの立場を取るところであり、EUとしての見解は一枚岩ではないと思われます。ただ、もし逆に匿名加工情報の第三者提供にあたって同意がいるということにしてしまうと、せっかくデータを仮名化したとしても、仮名化したことの意味がなくなってしまうとも言えます。

それだったらもう、わざわざ加工などせずに初めから本人同意を取り直すほうが手間が少ないという話です。そのように、定義ひとつとってみても、EU内でも全体の整合に課題が残っているといえます。やはり政府などが日本側から働きかける必要があるかなと考えています。

「3年後見直し」を織り込んだ改正法の意図

クロサカ：
アメリカでFTC3要件が示されたのは2012年ですが、その後の議論ではプロファイリングの便益と課題について、ホワイトハウスが発表したビッグデータの報告書に明記されています。たかだか2-3年でも、議論の前提が少しずつ変わってきていることがうかがえます。

いまの日本は現在の欧米の議論をキャッチアップしている最中ですが、その対象となる海外の制度がおそらく未来永劫続くというものではありません。それもあって、今回の改正法の議論は、「3年後に見直し」ということまで織り込んだのだろうと思っています。

とはいえ、われわれは日本社会に生きていて、日本の法律の下で過ごしていくということを考えれば、現時点の前提はそこであるということも理解しておく必要があります。

クラウド上のデータは一体どこにあるのか

クロサカ：
話題を「データ越境」に移したいと思います。

欧州を中心にした海外動向にせよ、今回の日本の改正案にせよ、これまでの法制度は、「物理的な場所」に着目しているように思われます。例えばデータがどこにあるのかとか、あるいはデータを取り扱う事業者の場所がどこにあるのかとかいうようなことが、かなり重要な要件になっていますね。

しかし、分散クラウドの時代において、私のデータは世界のどこにあるのか、あるいはその問い自体に意味があるのか、という問題もあります。そもそも「クラウドにデータを渡す行為は委託なのか、そうではないのか」といった基礎的なことも法的には十分整理されていない中で、実際にデータが物理的にどこにあるのかが分からないときに、何に準拠すればいいのかということは、まだ解けていない問題です。

今後データ越境の検討で判断が定まり、法制化を重ねていかなければいけないのだと思うのですが、国境を越えて活動するグローバル企業と、そのグローバル企業のサービスを利用するユーザーの気持ちに立ったときに、正直どのぐらいかみ合っているのかなと、思ってしまう瞬間があります、

こうした議論は、海外ではどの程度進んでいるのでしょうか。

従来の議論ではデータの位置はデータを処理するサーバの位置で決めてきた

小泉：
そうですね。結局データの位置の問題というのは、昔からデータを処理するサーバの位置が国外にあれば、日本の国内法が適用されないというような形での整理がされてきました。
それではクラウド企業やネットサービス企業に対応できないということで、今般EUのほうでも、域外適用という形が出ておりますし、日本の改正法のほうでも同じような考え方が、取り入れられようとしています。

データの位置ということで、エポックメーキングだったことというのは皆さまもご存じの通り、2013年の6月の例のスノーデン事件ですね。そこでNSAのプリズム（PRISM）という、アメリカ政府によるアメリカのインターネット企業からの個人データ収集プログラムの存在が発覚しました。

アメリカのネット企業が集めた、大量の世界中の消費者の個人情報にバックドアがあって、国に個人情報を抜かれているというか、アクセスできる状態にあると言われています。

一昨年の11月にEUからセーフハーバースキーム（EU—アメリカ間のデータ移転に関する協定）についての声明が出ました。概要はというと、アメリカに対して昨年の夏までに、13項目の改善策を促した上で、これが改善されない場合にはセーフハーバーを停止するぞというようなものでした。

アメリカ政府からは回答を出していまして、13項目のうち12項目についてはEUも満足していたのですけれども、1点だけ、セーフハーバーの「国家安全保障上の例外によって、米国政府がデータにアクセスできる」という項目についての対応が不十分である点が課題として残っていました。

それで、今年の5月までにもう一回精査を行い、セーフハーバーを継続するかどうかを判断するというかたちになっていました。その結果の正確なところはまだ、情報が得られていません（2015年7月21日現在）。

個人のデータを守る観点では「域外適用」という考え方が妥当

ただ、これらをきっかけに、EUからは、欧米間で結ばれた個人情報に関するセーフハーバーのスキームに見直しを求める機運が高まっています。またロシアやブラジルでは、自国民のデータは自国内のサーバで預かるようにするべきだという、データ・ローカライゼーションといわれる動きが出てきています。

整理しますと、結局データの位置を個人の権利の立場で見ると、事業者がどこの国の企業であろうと、あるいはサーバの位置がどこであろうと、自分の個人情報は守ってほしいわけです。そういう意味では域外適用という考え方の方向は、理にかなっていて、現時点では現実的なのでしょうね。

日本語で、日本法で完結できることの価値

クロサカ：
今のお話には2つ重要な論点があったのではないかと思っています。

1つは、テクノロジーやサービスの現実を考えると、どんどん共用システム化、クラウド化が進むというトレンドがあります。例えばAmazonのAWSを使おうと思ったときには、Amazonとユーザー企業との契約関係になります。その時、Amazonがどこの法律に準拠しているか、改めて考えなければならないわけです。

古くて新しい問題ではあるのですが、例えばアイルランド法に準拠しているとなると、「アイルランドの法律を自分で調べなきゃいけないの？」「東京地裁では裁判してくれないの？」みたいな話になります。法制度の域外適用が進む中で、ユーザー企業といえども、自分が何をどのように使っているのか、真剣に吟味しなければなりません。

そうした観点から、日本語圏かつ国内法で完結できるということが、差別化要因になることもありますね。技術やサービスの内実とはまた違った、法制度や運用といった力学で、新しいサービスやアーキテクチャのデザインが動きつつある、ということを、おそらくどの立場から見ても事業者の皆さんはご理解いただけるでしょう。

もう1つは、アメリカとEUの関係と、それ以外の関係についてです。アメリカとヨーロッパは、やはり歴史的にも特別な関係なので、セーフハーバーもとてもユニークだといえます。では日本とEUがそこまでの関係かと問われれば、なかなか難しいですね。

現在日本はEUから十分性認定を得ようと努力していますが、先のセーフハーバーの扱いとは異なり、インシデント一つ、あるいは法制度の整備状況一つで、躓いてしまう可能性があります。政府はもちろん、実務を担う事業者も慎重な対応が必要です。

海外子会社へのデータ移転の扱い

クロサカ：
データ越境で気になっているのは、日本法人の海外子会社を含むのか、ということです。政府答弁では明確にされていないと思うのですが、実務に影響するところだと思います。何か新しい情報をお持ちでしたら、教えていただけないでしょうか。

小泉：
日本企業の海外子会社へのデータ移転については、グループ内での利用ではありますが、国会の審議でも明確な見解は得られていません。JEITAや経団連などの業界団体からは、プライバシーポリシーを共有する海外子会社への移転については、制限しないでほしいという要望を出しています。

政府関係者の方に、お伺いしたところでは、委員会規則の策定上も同じ考えと聞いています。基本的には今現在できていることが、出来なくなるような企業に不利なルール策定はないと考えられています。

それもやはり、ふたを開けてみないと分からないところもありますので、各団体による政府への働きかけを続けることは重要であると考えています。

各企業の行動、業界団体との連動が求められる

クロサカ：
ありがとうございます。今のような話は実務に直接関わる人にとっては重要なポイントだと思っています。法案にはこの辺りの詳細というのは書かれていません。企業の側でも関係省庁に働きかけたり、あるいは認定個人情報保護団体になりうるところと事業者が事前に協議を始めたりということは、進めていただく必要があるのでしょうね。

いきなり声を上げるというのが難しいということであれば、皆さんが所属している業界団体や、既にお持ちのネットワークの中で知見のある企業と話してみるのでもいいと思うのです。

また、例えばネット広告業界などでは小さな会社でもオフショアでデータ処理や解析の手前までの実務を行うのは、ほぼデファクトと言えると思います。こういった業務形態がどれくらい今回の法改正で影響を受けるのかということは、実はまだ十分認識されていないような気がします。

業務プロセスの中でどのようデータが動いているかを確認いただいた上で、関係各国の法制度との関係性、また当該国が、日本の個人情報保護法から見て妥当性がある国なのか、あるいは逆もまた妥当なのか、といったチェックをしていただく必要があるのでしょう。