GDPRの十分性認定から個人データ保護のあり方を考える

Image by Pete Linforth from Pixabay

個人データ 1の活用領域は医療や金融、物流など様々な分野に広がってきており、国内では情報銀行による新サービスの事業化に向けた実証実験が話題となっています。
これまでは事業者にゆだねられてきた個人データの活用が本人の意思で行われるようになるため、人々のデータ保護への関心も高くなります。
今後ますますプライバシー保護の取組みが重要テーマとなりそうです。

そんな中、今年1月に欧州委員会がGDPR45条に基づいて、日本が個人データについて十分な保護水準を確保していると決定しました。
(これを十分性認定と呼びます。)
この決定を受けて、1月23日付で「日EU間で相互の円滑な個人データ移転を図る枠組み」が発効されました。
https://www.ppc.go.jp/enforcement/cooperation/cooperation/310123/

これにより、個人情報保護法(以降、国内法と記載)とその補完的ルールに従い、EU域内から日本に個人データを移転することが可能となりました。
ただし、認められたのはデータ移転についてのみです。
GDPRを国内法で代替できるようになったわけではありません。
GDPRと国内法とのあいだには大きなギャップがあります。
そのため十分性認定にあたり、移転されたデータを取り扱うための補完的ルールの内容は、厳しいものとなっています。

そもそも、両者は規定されている目的に違いがあります。
GDPRは、個人データの取り扱いにおいてプライバシーを保護するための規則です。
個人の基本的権利や自由、個人に関するデータ保護の権利を守ることを目的にしています。(条文より要約)
一方、国内法は、個人の権利・利益の保護と個人情報 2の有用性とのバランスを図るための法律です。
基本理念を定めるだけでなく、事業者の個人情報の取扱いについて規定します。(個人情報保護委員会資料より引用)

 

個々の規則にも違いがあります。GDPRで特徴的なものをあげてみます。

「本人の同意」

GDPRでは、個人データを取り扱う場合には本人または代理人の同意が必要で、これを撤回する権利も定められています。
また、同意は自由に与えられなければならない、としています。
例えば、サービスに関係ない個人データの取得への同意を、サービス利用の条件としてはいけません。
ところが国内法では、本人の同意を得ることを義務付けていません。
(人種、信条といった要配慮個人情報を取得する場合などを除く)

「消去の権利」

GDPRにおいて個人は、自分自身の個人データを消去させる権利を持ちます。
事業者が目的外の利用や違法な取り扱いをした場合はもちろん、同意を撤回したときにもこの権利があります。
国内法でも、個人は利用停止を請求できます。しかし事業者に削除義務はありません。

また国内法では、オプトアウトや匿名加工により、本人の同意を得ることなく個人データを第三者に提供可能ですが、GDPRでは認められません。
これらは個人の権利保護を規定しているGDPRと、事業者がデータを取り扱うための手続きを規定している国内法のスタンスの違いが表れているものといえます。

 

こうしたギャップを埋めつつ十分性認定を受けるにあたり、個人情報保護委員会が策定した補完的ルールの一部を紹介します。
基本的に、GDPRに合わせた厳しい内容となっており、注意が必要になります。

保管期間によらない個人データ取り扱いの厳格化

国内法では保管期間が6か月以内であれば、データの開示や訂正、削除の請求への対応が不要となるなど軽減措置があります。
EU域内から移転したデータはこの対象となりません。

外国の第三者へデータ再移転するときの本人の同意

GDPRはオプトアウトを許可していないため、本人の同意が必須です。
外国の第三者にデータ提供するタイミングで本人の同意を再取得するのは、時間やコストがかかります。

より厳密な匿名加工情報の定義

EU域内から移転したデータを匿名加工する場合、再識別を不可能としなければなりません。
国内法では匿名加工情報を「あらゆる手法によって特定することができないよう技術的側面から全ての可能性を排除することまでを求めるものではない」(ガイドラインより引用)と定義しています。
国内法と比べると、補完的ルールの方がより厳しい条件(表現)となっています。

 

今回、EUと日本は同等のデータ保護水準にあると認定されましたが、EU域内からデータ移転するためには、補完的ルールを含め守るべきことがたくさんあります。
個々の規則にギャップがあり、国内法を基準にするとデータを利用するにはまだハードルが高い状況です。
過去にはEUと米国の間で十分性認定が取り消されたケースもあるので、そのリスクにも考慮しておくことが必要でしょう。
(2015年10月6日、欧州司法裁判所は欧州委員会が米国と締結しているセーフハーバー協定は無効であるとの判決を下した。)

国内法は3年ごとに見直しを検討することになっており、これに向けた動きも始まっています。
データポータビリティや課徴金、端末情報の取扱いなどGDPRを意識しつつ慎重に検討すべきとの意見が、経団連からもでているようです。

グローバルにデータを利用するには、現行の国内法に準拠しておくだけでは不十分と言えます。
これからの個人データ保護を検討するにあたり、国内法を基準とするか、GDPRの水準を目指すか、引き続き国内・海外の動向を注視する必要があります。


  1. 国内法の定義では事業所が容易に検索できるように体系的に構成された個人情報のこと。 
  2. 国内法の定義では特定の個人を識別できる氏名、生年月日やその他の記述のこと。広義では個人データを含みますが、本ブログでは固有名詞や引用を除き、個人データに記載を統一しています。 
カスタムフィールドなどの情報