日本の個人情報保護制度は
世界に通用するか?
(第二弾)
慶應義塾大学 総合政策学部 教授
新保 史生
個人情報保護法制定後の個人情報保護制度に関する検討
国民生活審議会個人情報保護部会
第19次国民生活審議会個人情報保護部会(2003-2005)
第20次国民生活審議会個人情報保護部会(2005-2007)
第21次国民生活審議会個人情報保護部会(2007-2009)
「個人情報保護に関する取りまとめ(意見)」(2007.6.29)
消費者委員会個人情報保護専門調査会
消費者委員会個人情報保護専門調査会(2010-2011.7.26)
「個人情報保護法及びその運用に関する主な検討課題」(2011.7)
経済産業省
IT融合フォーラムパーソナルデータワーキンググループ(2012.11.29-2013.4.10)
「パーソナルデータ利活用の基盤となる消費者と事業者の信頼関係の構築に向けて」
(2013.5.10報告書公表)
パーソナルデータの利活用に関する事前相談評価試行(2013.9.20募集開始)
総務省
パーソナルデータの利用・流通に関する研究会(2012.11.1-2013.6.11)
「パーソナルデータの利用・流通に関する研究会報告書 ~パーソナルデータの適正な利
用・流通の促進に向けた方策~」(2013.6.12報告書公表)
高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)
パーソナルデータに関する検討会(2013.9.2-2013.12.10)
技術検討ワーキンググループ(2013.9.27-2013.11.8)パーソナルデータの利活用に関する制度見直し方針(2013.12.20)
パーソナルデータの利活用に関する制度改正大綱(2014.6.24)
©2014 SHIMPO Fumioパーソナルデータの利活用に関する制度見直し方針
Ⅰ パーソナルデータの利活用に関する制度見直しの背景及び趣旨
Ⅱ パーソナルデータの利活用に関する制度見直しの方向性
1.ビッグデータ時代におけるパーソナルデータ利活用に向けた見直し
2.プライバシー保護に対する個人の期待に応える見直し
3.グローバル化に対応する見直し
Ⅲ パーソナルデータの利活用に関する制度見直し事項
1.第三者機関(プライバシー・コミッショナー)の体制整備
2.個人データを加工して個人が特定される可能性を低減したデータの個人情報及びプライ
バシー保護への影響に留意した取扱い
3.国際的な調和を図るために必要な事項
諸外国の制度との調和 他国への越境移転の制限 開示、削除等の在り方 パーソナルデータ利活用のルール遵守の仕組みの構築 取り扱う個人情報の規模が小さい事業者の取扱い 行政機関、独立行政法人等及び地方公共団体が保有する個人情報の取扱い 4.プライバシー保護等に配慮した情報の利用・流通のために実現すべき事項
パーソナルデータの保護の目的の明確化 保護されるパーソナルデータの範囲の明確化 プライバシーに配慮したパーソナルデータの適正利用・流通のための手続き等の在り方 Ⅳ 今後の進め方(
本方針に基づき、詳細な制度設計を含めた検討を加速、平成26年(2014年)年6月までに、法改正の内容を大綱とし て取りまとめ、平成27年(2015年)通常国会への法案提出を目指すこととする)高度情報通信ネットワーク社会推進戦略本部決定(平成25年12月20日)
Ⅰ パーソナルデータの利活用に関する制度見直しの背景及び趣旨
我が国の個人情報保護制度については、これまで国民生活審議会や消費者委員会個人情報保護専門調 査会等において様々な課題が指摘され、議論されてきたところであるが、具体的な解決に至っていないもの もある。これまで行ってきた検討で蓄積された知見を活かし、時代の変化に合った制度の見直し、改善が求 められている。 今年で個人情報保護法の制定から10年を迎えたが、情報通信技術の進展は、多種多様かつ膨大なデー タ、いわゆるビッグデータを収集・分析することを可能とし、これにより新事業・サービスの創出や我が国を 取り巻く諸課題の解決に大きく貢献する等、我が国発のイノベーション創出に寄与するものと期待されてい る。特に利用価値が高いとされているパーソナルデータについては、個人情報保護法制定当時には想定さ れていなかった利活用が行われるようになってきており、個人情報及びプライバシーに関する社会的な状 況は大きく変化している。その中で、個人情報及びプライバシーという概念が広く認識され、消費者のプライ バシー意識が高まってきている一方で、事業者が個人情報保護法上の義務を遵守していたとしても、プライ バシーに係る社会的な批判を受けるケースも見受けられるところである。また、パーソナルデータの利活用 ルールの曖昧さから、事業者がその利活用に躊躇するケースも多いとの意見もある。 さらに、企業活動がグローバル化する中、情報通信技術の普及により、クラウドサービス等国境を越えた 情報の流通が極めて容易になってきている。国内に世界中のデータが集積し得る事業環境の整備を進め るためにも、海外における情報の利用・流通とプライバシー保護の双方を確保するための取組に配慮し、制 度の国際的な調和を図る必要がある(EU:「データ保護規則」提案、米国:「消費者プライバシー権利章典」 公表、OECD:「OECDプライバシーガイドライン」改正等)。 このような状況の変化を踏まえ、平成25年6月に決定された「世界最先端IT国家創造宣言」において、 IT・ データの利活用は、グローバルな競争を勝ち抜く鍵であり、その戦略的な利活用により、新たな付加価値を 創造するサービスや革新的な新産業・サービスの創出と全産業の成長を促進する社会を実現するものとさ れていることから、個人情報及びプライバシーの保護を前提としつつ、パーソナルデータの利活用により民 間の力を最大限引き出し、新ビジネスや新サービスの創出、既存産業の活性化を促進するとともに公益利 用にも資する環境を整備する。さらに、事業者の負担に配慮しつつ、国際的に見て遜色のないパーソナル データの利活用ルールの明確化と制度の見直しを早急に進めることが必要である。 ©2014 SHIMPO FumioⅡ パーソナルデータの利活用に関する制度見直しの方向性
このような背景・趣旨を踏まえ、個人情報及びプライバシーを保護しつつ、パーソナ
ルデータの利活用を躊躇する要因となっているルールの曖昧さの解消等を目指し
て行うべき制度見直しに関する主な方向性については、次の通り考えるものとする
。制度見直しに関する主な方向性については、次の通り考えるものとする。
個人情報及びプライバシーの保護に配慮したパーソナルデータの利用・流通を促
進するため、個人データを加工して個人が特定される可能性を低減したデータに
関し、個人情報及びプライバシーの保護への影響並びに本人同意原則に留意しつ
つ、第三者提供における本人の同意を要しない類型、当該類型に属するデータを
取り扱う事業者(提供者及び受領者)が負うべき義務等について、所要の法的措置
を講ずる。
共同利用やオプトアウト等第三者提供の例外措置の要件の明確化、利用目的拡
大に当たって事業者が取るべき手続きの整備、わかりやすいプライバシーポリシー
の明示等パーソナルデータの取扱いの透明化等を検討する。
1.ビッグデータ時代におけるパーソナルデータ利活用に向けた見直し
©2014 SHIMPO FumioⅡ パーソナルデータの利活用に関する制度見直しの方向性
適切なプライバシー保護を実現するため、保護すべきパーソナルデータの範囲、個
人情報の開示及び訂正(追加又は削除を含む。)等における本人関与の在り方、取
り扱う個人情報の規模が小さい事業者の取扱い、プライバシー影響評価の導入、
データ取得時等における手続きの標準化等について検討する。
専門的知見の集中化、機動的な法執行の確保、及び諸外国の制度との整合を取り
つつパーソナルデータの保護と利活用の促進を図るため、独立した執行機関(第三
者機関)に行政処分等の権限を付与するとともに、プライバシーに配慮したデータ
利活用の促進を図る観点から、罰則の在り方、法解釈・運用の事前相談の在り方
等を検討する。 さらに、これらの対応と併せて、個人情報及びプライバシーの保護
を有効に機能させるため、事業者が自主的に行っているパーソナルデータの保護
の取組を評価し、十分な規律に服することが担保される、マルチステークホルダー
プロセス※の考え方を活かした民間主導の枠組みの構築を検討することにより、パ
ーソナルデータ利活用のルールが遵守される仕組みを整備する。
※マルチステークホルダープロセス:国、事業者、消費者、有識者等の関係者が参画するオープンな プロセスでルール策定等を行う方法のこと。2.プライバシー保護に対する個人の期待に応える見直し
©2014 SHIMPO FumioⅡ パーソナルデータの利活用に関する制度見直しの方向性
プライバシーに配慮したパーソナルデータの利活用は、グローバルに対処
すべき課題であり、我が国の事業者がグローバルに適切なパーソナルデ
ータの共有、移転等を行えるようにするため、諸外国の制度や国際社会の
現状を踏まえた国際的に調和の取れた制度を検討するとともに、他国への
データ移転の際の確実な保護対策等について検討する。
国境を越えた情報流通の実態を踏まえた海外事業者に対する国内法の適
用等について検討する。
以上の方向性に基づき、パーソナルデータの利活用に関する制度の見直
しを進める。
3.グローバル化に対応する見直し
©2014 SHIMPO FumioⅢ パーソナルデータの利活用に関する制度見直し事項
パーソナルデータの保護と利活用をバランスよく推進する観点から、独立した第三
者機関による、分野横断的な統一見解の提示、事前相談、苦情処理、立入検査、
行政処分の実施等の対応を迅速かつ適切にできる体制を整備する。
その際、実効的な執行かつ効率的な運用が確保されるよう、社会保障・税番号制
度における「特定個人情報保護委員会」の機能・権限の拡張や現行の主務大臣制
の機能を踏まえ、既存の組織、権限等との関係を整理する。
1.第三者機関(プライバシー・コミッショナー)の体制整備
2.個人データを加工して個人が特定される可能性を低減したデータの個人
情報及びプライバシー保護への影響に留意した取扱い
個人情報及びプライバシーの保護に配慮したパーソナルデータの利用・流通を促
進するため、個人データを加工して個人が特定される可能性を低減したデータに
関し、個人情報及びプライバシーの保護への影響並びに本人同意原則に留意しつ
つ、第三者提供における本人の同意を要しない類型、当該類型に属するデータを
取り扱う事業者(提供者及び受領者)が負うべき義務等について、所要の法的措置
を講ずる。
©2014 SHIMPO FumioⅢ パーソナルデータの利活用に関する制度見直し事項
諸外国の制度との調和
諸外国の制度や国際社会の現状を踏まえ、国際的なルール作りに積極的に参加しつつ国際的に調和の取れた制度を構築し 、日本企業が円滑かつグローバルに事業が展開できる環境を整備するとともに、海外事業者に対する国内法の適用や第三 者機関による国際的な執行協力等の実現について検討する。 他国への越境移転の制限
グローバルな情報の利用・流通を阻害しないことと、プライバシー保護とのバランスを考慮し、パーソナルデータの保護水準が 十分でない他国への情報移転を制限することについて検討する。 開示、削除等の在り方
本人の自身の情報への適正かつ適時の関与の機会を確保することが、本人の不安感を払しょくするとともに、事業の透明性 を確保することにもつながることから、取得した個人情報の本人による開示、訂正(追加又は削除を含む。)、利用停止(消去 又は提供の停止を含む。)等の請求を確実に履行できる手段について検討する。 パーソナルデータ利活用のルール遵守の仕組みの構築
第三者機関への行政処分等の権限の付与・一元化について検討するとともに、プライバシーに配慮したデータ利活用の促進 を図る観点から、罰則の在り方等を検討し、パーソナルデータ利活用のルールを遵守する仕組を整備する。 取り扱う個人情報の規模が小さい事業者の取扱い
本人のプライバシーへの影響については、取り扱うデータの量ではなくデータの質によるものであることから、現行制度で適 用除外となっている取り扱う個人情報の規模が小さい事業者の要件とされる個人情報データベースを構成する個人情報の数 が5,000件以下とする要件の見直しを検討する。その際、取り扱う個人情報の規模が小さい事業者の負担軽減についても併 せて検討する。 行政機関、独立行政法人等及び地方公共団体が保有する個人情報の取扱い
行政機関、独立行政法人等及び地方公共団体における個人情報の定義や取扱いがそれぞれ異なっていることを踏まえ、そ れらの機関が保有する個人情報の取扱いについて、第三者機関の機能・権限等に関する国際的な整合性、我が国の個人情 報保護法制の趣旨等にも配慮しながら、必要な分野について優先順位を付けつつその対応の方向性について検討する。3.国際的な調和を図るために必要な事項
©2014 SHIMPO FumioⅢ パーソナルデータの利活用に関する制度見直し事項
パーソナルデータの保護の目的の明確化
パーソナルデータの保護は、その利活用の公益性という観点も考慮しつつ、プライバシーの保護と同 時に利活用を促進するために行うものであるという基本理念を明確にすることを検討する。 保護されるパーソナルデータの範囲の明確化
保護されるパーソナルデータの範囲については、実質的に個人が識別される可能性を有するものとし 、プライバシー保護という基本理念を踏まえて判断するものとする。 また、プライバシー性が極めて高い「センシティブデータ」については、新たな類型を設け、その特性に 応じた取扱いを行うこととする。 なお、高度に専門的な知見が必要とされる分野(センシティブデータが多く含まれると考えられる情報 種別を含む。)におけるパーソナルデータの取扱いについては、関係機関が専門的知見をもって対応 すること等について検討する。 プライバシーに配慮したパーソナルデータの適正利用・流通のための手続き等の
在り方
透明性の確保を原則として、利用目的の拡大に当たって事業者が取るべき手続きや第三者提供にお ける本人同意原則の例外規定(オプトアウト、共同利用等)の在り方について検討するとともに、パー ソナルデータ取得時等におけるルールの充実(同意取得手続きの標準化等)について検討する。 また、個人情報取扱事業者における個人情報の適正な取扱いを確保するため、個人情報の漏えい、 その他のプライバシー侵害につながるような事態発生の危険性、影響に関する評価(プライバシー影 響評価)の実施、公表等については、事業者の過度な負担とならないように配慮しつつ、評価事項・基 準、評価対象、実施方法、評価方法等の具体化を「特定個人情報保護委員会」が行う特定個人情報 保護評価の仕組みを参考に検討する。4.プライバシー保護等に配慮した情報の利用・流通のために実現すべき事項
©2014 SHIMPO FumioⅣ 今後の進め方
本方針に基づき、詳細な制度設計を含めた検
討を加速させる
検討結果に応じて、平成26年(2014年)年6月
までに、法改正の内容を大綱として取りまとめ
平成27年(2015年)通常国会への法案提出を
目指す
パーソナルデータの利活用に関する制度改正大綱
高度情報通信ネットワーク社会推進戦略本部決定(平成26年6月24日)
©2014 SHIMPO Fumio1.「日本の個人情報保護法が世界に通用するか」という問題を考えるにあたって
日本の個人情報保護制度は世界に通用するか?(第一弾)
堀部政男情報法研究会第7回シンポジウム
2012年11月11日開催
① 個人情報保護法の適用範囲
② 世界からみた日本の個人情報保護制度
③ プライバシーの権利について
「諸権利の中でも最も包括的で、かつ、文明人が最
も価値があるとする権利」
オルムステッド事件においてブランダイス判事が述べたプライバシーの権利
の位置づけ)
堀部政男『現代のプライバシー』岩波書店(1980)45頁
文明社会ではない国では保障されない権利が、プライバシーの権利
©2012 SHIMPO Fumio2.
過剰反応はなぜ起きる
法令遵守のレベルの高さの証拠か?
それとも、無理解の表れか?
常識的に考えればまったく不合理な個人情報保護の
取り組みが罷り通る状況(過剰な保護・脱法的利用)
杓子定規の融通が効かない法令遵守
本来の目的とは異なる次元での個人情報保護への
取り組み
諸外国における過剰反応は?
個人情報保護法の
誤った解釈に基づく過剰反応
個人情報保護法の義務規定の
不十分な理解に基づく萎縮効果
©2012 SHIMPO Fumio3.
プライバシーコミッショナー会議の正式メンバーにさえ認められない不甲斐なさ
認定基準は非常に簡単な条件
にもかかわらず、オブザーバー参加を続けなければならない
現状
プライバシーコミッショナー会議における決議・審議事項
への関与は不可
昨年採択された、災害時における個人情報の取扱いに関する
決議でさえも蚊帳の外
議論に参加することもできず
討議や情報提供がなされる連絡網にすら参加できず
参考:データ保護機関としての認定基準
法的基礎(Legal basis)
自主性及び独立性(Autonomy and independence)
国際基準との整合性(Consistency with international instruments)
適正な機能(Appropriate functions)
Accreditation Features of Data Protection Authorities Adopted on September 25, 2001 during the 23 Rd International Conference of Data Protection Commissioners held in Paris, 24-26 September, 2001.
3.
プライバシーコミッショナー会議の正式メンバーにさえ認められない不甲斐なさ
2012年度に新たに正式メンバーとして認めら
れた国(地域):
10月25日の非公開セッションにおける認定
コロンビア、コスタリカ、ドイツ(ザクセン州)
(ドイツは
連邦及び13州のコミッショナーが認定済)
、ノルウェー、ペルー
、セルビア、韓国、チュニジア
コミッショナー会議における議論の動向
今回のコミッショナー会議における主なトピックは
プロファイリング
昨年はビッグ・データ
日本における議論は一年または数年遅れで活発
になる?
©2012 SHIMPO Fumio4.
法令遵守意識及び社会における規範意識の高さと法執行の問題
誠実で正直という日本人のイメージと法文化
個人情報保護法に違反してもお咎めなし?という風
潮がはびこっている状況
国外からは法執行体制が整備されていないと思われ
ている(誤解か真実か?)
国外から見ると、日本人の法令遵守意識の高さにつ
いては認識があるものの、法律の執行状況が不透明
であると考えられている
法律が悪いのか
法律を執行する者が悪いのか
法律を解釈する者が悪いのか
©2012 SHIMPO Fumio個人情報保護法の義務規定とOECD8原則への対応関係
個人情報保護法は、個人情報取扱事業者の義務を第4章において規定
義務規定の内容は、個人情報の適正な取扱いにあたって必要な義務 十分性の基準への適合判断にあたっては、OECD8原則を基調としつつ、EU指令の定める原則に基 づいて判断 OECD8原則と個人情報保護法の対応関係が、十分性の基準への適合判断にあたって最低条件と なるためその対応関係を明確にしておく必要がある ①収集制限の原則
(適法かつ公正な手段によって本人への通知又は同意に基づく収集を行うこと)については、偽りその 他不正の手段により個人情報を取得してはならないと定める「適正な取得」(17条)が対応している ②データ内容の原則
(データ内容の正確性、完全性、最新性を確保すること)については、利用目的の達成に必要な範囲 内において、個人データを正確かつ最新の内容に保つよう努めなければならないとする「データ内容 の正確性の確保」(19条)が対応しているが、当該規定が努力義務であることから義務規定ではない ③目的明確化の原則
(利用目的を明確にすること)については、利用目的の特定、利用目的による制限(15条、16条)によ って特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないことが定め られており、目的外利用にあたっては本人同意が必要となっている。さらに、第三者提供の制限(23 条)においても、委託先への提供は利用目的の範囲内に限定されており、共同利用にあたっても利用 目的の特定が義務づけられている ④利用制限の原則
(利用目的以外の目的での利用は行わないこと)についても、前述③の目的明確化の原則に対応す る規定において条件を満たしている ©2012 SHIMPO Fumio個人情報保護法の義務規定とOECD8原則への対応関係
⑤安全保護の原則
(個人情報の安全管理を行うこと)については、安全管理措置、従業者・委託先の監督(20条~22条 )が対応している ⑥公開の原則
(個人データの収集事実、所在、利用目的や管理者等に関する情報を公開すること)については、取 得に際しての利用目的の通知等(18条)において、個人情報を取得した場合の利用目的の通知・公 表が義務づけられており、直接本人から取得する場合には明示義務が課されている。さらに、第三者 提供の制限(23条)においても、オプト・アウトの要件や共同利用についての継続的公表(本人が容 易に知り得る状態に置くこと)を定め、保有個人データを保有する場合には、保有個人データに関する 事項の公表等(24条)を行わなければならない ⑦個人参加の原則
(本人が関与できる機会を提供すること)については、公表等、開示、訂正等、利用停止等(24条~2 7条)が対応している。ただし、いずれについても適用除外が定められており、利用停止等(利用の停 止又は第三者への提供停止)に応ずることが義務づけられるのは、目的外利用、不正取得、又は第 三者への無断提供といった手続違反があることが条件となっており、それ以外に適法に取得され利用 目的の範囲内で利用されている保有個人データに対しては、本人関与は認められていない ⑧責任の原則
(個人情報の管理にあたっての責任の所在を明確にすること)については、個人情報保護法の義務規 定においては、第23条4項3号(共同利用)にあたっての管理者の氏名又は名称の通知又は継続的 公表を義務づけているにすぎないが、「個人情報の保護に関する基本方針」(平成16年4月2日閣議 決定)において、個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的 な事項の中の「②責任体制の確保」に「個人情報保護管理者の設置」が盛り込まれている。また、個 人情報の取扱いにあたって本人からの苦情については、苦情の処理(31条)が個人情報取扱事業者 に義務づけられている ©2012 SHIMPO FumioEU域外の国々のEUデータ保護指令等の項目への準拠状況① 総務省作成資料
出典:Graham Greenleaf ” The influence of European data privacy standards outside Europe: Implications for globalisation of Convention 108?,Research Paper Series No 2012/12..
項目 根拠 1 執行制度の主要素としての独立した監督機関を持つ 指令、追加議定書 2 プライバシー権利の執行の司法への請求 指令、条約、追加議定書 3 国外へのプライバシー保護の十分な基準を持たない国への移転制限 指令、追加議定書 4 収集目的に対して、単純に制限されているのではなく、必要最低限 であること 指令、条約 5 (収集だけでなく全体において)公正で合法的な手続き 指令、条約 6 特定の処理システムについて通知、必要に応じて事前チェックを提 供すること 指令 7 期間終了後の個人データの廃棄もしくは匿名化 指令、条約 8 センシティブデータに対する追加的な保護 指令、条約 9 自動的意思決定の制限とデータ自動処理のロジックを知る権利 指令 10 個人データをダイレクトマーケティングに利用する際にオプトアウ トを提供すること 指令 ※2012年1月時点。「指令」はEUデータ保護指令、「条約」は欧州評議会条約第108号、「追加議定書」は欧州評議会条約第108号追加議定書。 ・オーストラリア・ニューサウスウェールズ大学のグラハム・グリーンリーフ教授の調査資料によると、OECDガイドライン及 び欧州評議会条約の原則は、(「公開」の原則を除き)世界中のプライバシー法・データ保護法において満たされている。 ・一方、EUデータ保護指令(及び欧州評議会条約、同追加議定書)で規定される以下の10項目については、各国での対 応が異なる。
出典:Graham Greenleaf ” The influence of European data privacy standards outside Europe: Implications for globalisation of Convention 108?,Research Paper Series No 2012/12..
国名・地域名 現行法(年) 1 2 3 4 5 6 7 8 9 10 スコア 日本 2003 - - - - - - - ○ - - 1 ベトナム 2011 - ○ - - - - - - - - 1 チリ 1999 - - ○ - - - 1 バハマ 2003 ○ - - - ○ - - ○ 3 インド 2011 - ○ ○ ○ - - ○ - - - 4 カタール 2005 - - ○ ○ ○ - ○ ○ - - 5 セーシェル共和国 2003 ○ ○ ○ ○ - - ○ - - - 5 メキシコ 2010 ○ ○ ○ - ○ - - ○ - - 5 オーストラリア 2001 ○ - ○ ○ - - ○ ○ - ○ 6 ニュージーランド 2010 ○ ○ ○ ○ - - ○ - ○ - 6 キルギス共和国 2008 - ○ ○ - ○ - ○ ○ ○ - 6 ドバイ 2007 ○ - ○ ○ ○ ○ - ○ - - 6 トリニダード・トバゴ 2011 ○ ○ ○ ○ - - ○ ○ - - 6 台湾 2010 - ○ ○ ○ ○ - ○ ○ - ○ 7 マレーシア 2010 ○ - ○ - ○ ○ ○ ○ - ○ 7 カナダ 2002 ○ ○ - ○ ○ - ○ ○ - ○ 7 香港 2010 ○ ○ ○ ○ - ○ ○ - - ○ 7 EU域外の国々のEUデータ保護指令等の項目への準拠状況② 参考資料 ※2012年1月時点。 総務省作成資料
出典:Graham Greenleaf ” The influence of European data privacy standards outside Europe: Implications for globalisation of Convention 108?,Research Paper Series No 2012/12..
国名・地域名 現行法(年) 1 2 3 4 5 6 7 8 9 10 スコア コロンビア 2008 ○ ○ ○ ○ ○ ○ ○ ○ - - 8 チュニジア 2004 - ○ ○ ○ ○ ○ ○ ○ - ○ 8 アルゼンチン 2000 ○ ○ ○ ○ ○ ○ ○ ○ ○ 9 マカオ 2007 ○ ○ ○ ○ ○ ○ ○ ○ ○ - 9 韓国 2011 ○ ○ ○ ○ ○ ○ ○ ○ ○ - 9 モーリシャス 2004 ○ - ○ ○ ○ ○ ○ ○ ○ ○ 9 コスタリカ 2011 ○ ○ ○ ○ ○ ○ ○ ○ - ○ 9 ベナン 2009 ○ ○ ○ ○ ○ ○ ○ ○ - ○ 9 カーボベルデ 2001 - ○ ○ ○ ○ ○ ○ ○ ○ ○ 9 ペルー 2011 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 10 ウルグアイ 2008 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 10 ブルキナファソ 2004 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 10 セネガル 2007 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 10 モロッコ 2009 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 10 アンゴラ 2010 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 10 EU域外の国々のEUデータ保護指令等の項目への準拠状況③ 参考資料 ※2012年1月時点。 総務省作成資料
国際的な変革の動向と整合性ある法制度の整備のために必要な検討事項
プライバシー保護法制の構築と執行体制の整備
国内における統一的かつ実効性ある法執行
国際基準に対応した執行体制/越境執行協力
OECD(経済協力開発機構)
プライバシーガイドライン(2013年改正) EU(欧州連合)
EU個人データ保護指令(1998年制定) EU個人データ保護規則案、法執行指令案(2013年10月21日欧州議会LIBE委員会採択:未制定) APEC(アジア太平洋経済協力)
プライバシー・フレームワーク(越境執行協力協定(CPEA)) 欧州評議会(Council of Europe)
個人データの自動処理に係る個人の保護に関する条約第108号(1981年) 米国
消費者プライバシー権利章典(2012年) プライバシー保護及び個人情報の取扱いに関する義務
EU個人データ保護指令が定める「十分性の基準」
十分なレベルの保護基準に適合していること 「標準契約条項(Standard Contract Clauses)」に基づくデータ移転
「拘束力を有する企業の内部規程(Binding Corporate Rules(略称:BCR))」に基づく移転 セーフ・ハーバーへの参加(EUと米国間のみ)
十分なレベルの保護基準に適合していると判断された国
アンドラ、イスラエル、ウルグアイ、ハンガリー(第三国からEU加盟国に)、スイス、アメリカ合衆国(セーフハーバー)、
国際的な変革期の現況と個人情報保護をめぐる環境の変化
地域的・地理的観点
組織・機関毎
国別
環境の変化
日本
欧州
技術的進歩OECD
大洋州
アジア 米州 北米
NIS
中南米
各国
国連
中東
EU
アフリカ
APEC
ASEAN
①データ量
国際的なデータ流通 組織活動の変化 個人活動の変化②分析範囲
③データの価値
⑥プライバシーへの脅威
⑤アクターの変化
④処理頻度
⑦マルチポイントの利用
画像出典:外務省「各国・地域情勢」<http://www.mofa.go.jp/mofaj/area/index.html> 自由貿易協定(FTA)/経済連携協定(EPA) / 環太平洋パートナーシップ(TPP)協定交渉 / アジア太平洋経済協力(APEC) ASEAN 日・ASEAN協力 アジア太平洋経済社会委員会(ESCAP) 日中韓三国間協力 ASEAN+3協力 東アジア首脳会議(EAS) ASEAN地域フォーラム(ARF) 日メコン協力 日CLV(カンボジア、ラオス、ベトナム) アジア太平洋経済協力(APEC)アジア協力対話(Asia Cooperation Dialogue) アジア欧州会合(ASEM) 南アジア地域協力連合(SAARC) 東アジア・ラテンアメリカ協力フォーラム(FEALAC) 米州機構(OAS) 太平洋同盟 ラテンアメリカ・カリブ諸国共同体(CELAC) 中米統合機構(SICA) 南米諸国連合(UNASUR) 国連ラテンアメリカ・カリブ経済委員会( ECLAC/CEPAL) カリブ共同体(CARICOM) ラテンアメリカ統合連合(ALADI) 南米南部共同市場(メルコスール) アンデス共同体(CAN) 中南米大使会議 FEALAC(アジア中南米協力フォーラム) イベロアメリカ・サミット 欧州連合(EU) 欧州理事会、欧州議会、Europol 、 Eurojust、 シェンゲン協定) 欧州評議会(CoE) 北大西洋条約機構(NATO) 欧州安全保障協力機構(OSCE) アフリカ連合(AU) アフリカン・レヴュー・メカニズム(APRM) 国連アフリカ経済委員会(ECA) 西アフリカ諸国経済共同体(ECOWAS) 南部アフリカ開発共同体(SADC) アフリカ開発会議(TICAD) 湾岸協力理事会(GCC) 太平洋・島サミット太平洋諸島フォーラム(PIF) アジア太平洋経済協力(APEC) アジア欧州会合(ASEM) 「V4+日本」対話・協力 「中央アジア+日本」対話 「GUAM+日本」会合 黒海経済協力機構(BSEC) 23
個人情報保護制度の国際関係
OECD
APEC
EU
プライバシー・ガイドライン
(2013年改正)プライバシー・フレームワーク
個人データ保護指令
越境プライバシー・ルール(CBPR)
越境協力勧告 /セキュリティ勧告等
プライバシーコミッショナー会議
(世界の個人情報保護機関の集まり)GPEN
(Global PrivacyEnforcement Network)
•データ保護機関としての認定基準
•法的基礎、自主性及び独立性、国際基準との整合性、 適正な機能 日本はオブザーバ参加 EUが定める「十分なレベルの保護基準」をクリアすることが課題日本
OECD加盟国間で国境を越えて個人情報保護へ の取り組みを行うネットワークへの参加が課題 個人情報の漏えいなどが国境を越えて発生した場合などに対応可能な 越境執行協力への対応が課題 個人データ保護指令による 第三国への個人データの移転制限 ・独立個人情報保護機関の設置が必須要件 ・データ主体の権利の拡大(消去権) ・セキュリティ(情報漏洩時の通報義務) ・管理責任(データ保護影響評価、データ保護のための マーク(シール)制度) ・個人データの移転(統一的な手続) ・独立の個人情報保護機関の設置は必須要件APPA
(Asia Pacific Privacy Authorities)米国
個人データ保護規則
(案)
(2012年1月25日公表、2013年10月21日欧州議会市民的自由・ 司法・内務委員会(LIBE)採択) 個人情報保護法 個 別 法越境執行協力協定(CPEA)
プライバシー執行機関の整備が課題欧州評議会条約第108号(1981)
及び同追加議定書 (2001)(個人データの自動 処理に係る個人の保護に関する条約) 24OECDプライバシーガイドラインの沿革
制定の背景
OECDプライバシーガイドライン制定の背景
1960年代以降のコンピュータを利用した情報処理の急速な発展 欧米諸国を中心とする個人情報保護を目的とする法律の制定
アメリカ「1970年の公正信用報告法」「1974年のプライバシー法」「1978年の金融プライバシー権法」 、欧州諸国では、スウェーデンの「1973年データ法」、1977年から79年までの間に、ドイツ(西ドイツ)、 フランス、オーストリア、デンマーク、ノルウェー、ルクセンブルグが個人情報保護法制を整備採択
1980年9月23日に採択
改正へ向けた検討の経緯
ガイドライン30周年記念報告書の取りまとめ
1980年の「OECD プライバシー保護と個人データの国際流通についてのガイドライン」30周年を機に報告書を作成 プライバシーをめぐる状況において発生した主要な変化・課題について検討
検討事項の多くは、OECD が2010 年に開催する記念式典で議論 議論の主な内容
現在の個人情報保護・プライバシー保護をめぐる状況に基づくプライバシー・ガイドラインの起草時点との相違点 OECD のプライバシー・ガイドラインに基づく原則や概念に従ってプライバシーを保護する上で、現在の諸環境がもた らす課題 これら諸課題に対処するための現在の取り組み 2013年7月11日に改正案が理事会勧告として採択され、9月9日に公表
改正ガイドライン本文は、堀部政男、新保史生、野村至『OECDプライバシーガイドライン -30
年の進化と未来-』 JIPDEC、及び「OECDプライバシーガイドライン日本語訳(仮訳)」
<http://www.jipdec.or.jp/publications/oecd/>及びを参照されたい。
25OECDプライバシーガイドライン見直しに向けた取り組み
1980年ガイドラインの見直し
• 「インターネット経済の未来のための2008年宣言[C(2008)99]」に基づくもの
見直しに向けた検討
• プライバシーガイドラインの30周年記念を契機に2010年から2011年にかけて実施
• 「進化するプライバシーの背景:OECDプライバシーガイドラインの30年(Evolving Privacy Landscape: 30 years after the OECD Privacy Guidelines)」報告書を作成
OECD / WPISP(情報セキュリティ・プライバシー部会)における見直しの検討事項
• 収集、利用及び保管される個人データの量
• 個人データに関して、個人及び集団の傾向、動向、興味、活動に関する分析範囲
• 新しい技術及び責任を持って個人データを利用することで実現可能な社会的・経
済的利益の価値
• プライバシーに対する脅威の程度
• プライバシー侵害又は保護に関し、両者のいずれかに関与する可能性がある関係
者(アクター)の数及びその多様性
• 個人がその取扱いを認識し処理することが想定される個人データを互いにやりとり
する頻度とその複雑さ
• マルチポイントかつ継続的なデータ流通を可能にする通信ネットワーク及びプラット
フォームに支えられた、個人データの国際的な利用可能性
26OECDにおけるプライバシー保護関連の勧告等
プライバシー・個人情報保護関係
プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告(OECDプライバシーガイ ドライン)(1980年)→(2013年7月11日に改正ガイドラインが理事会勧告として採択:同年9月9日公表) グローバル・ネットワークにおけるプライバシー保護宣言(1998年) プライバシー・オンライン:政策及び実務的ガイダンス(2003年) プライバシー保護に関する法の執行における越境協力に関する理事会勧告(2007年) GPEN(Global Privacy Enforcement Network)2010年3月設置
アメリカ、アイルランド、イギリス、イスラエル、イタリア、ウクライナ、エストニア、オーストラリア、欧州連合、オランダ、ガーンジ ー、カナダ、韓国、スイス、スペイン、スロベニア、チェコ共和国、中華人民共和国マカオ特別行政区、ドイツ、ニュージーランド 、ノルウェー、フランス、ブルガリア、ベルギー、ポーランド、メキシコ、リトアニア(2013年10月時点で26カ国及びEUが参加)
情報セキュリティ関係
情報システム及びネットワークのセキュリティに係るガイドラインに関する理事会勧告(2002年) 重要な情報インフラの保護に関する理事会勧告(2008年) 電子認証 電子認証に関する理事会勧告(2007年) 電子商取引における認証に関する宣言(1998年) 電子認証に関するOECDガイダンス(2007年) 暗号政策 暗号政策に係るガイドラインに関する理事会勧告(1997年)
RFID(Radio Frequency Identification)
RFIDに関するOECDの政策ガイダンス(2008年)
迷惑メール
スパム(迷惑メール)対策法執行における越境協力に関する理事会勧告(2006年) 青少年保護
オンラインにおける子供の保護に関する理事会勧告(2012年)【日本主導により勧告採択】 27OECDプライバシーガイドライン2013年改正のポイント
OECD理事会勧告(プライバシーガイドライン)の構成の変更
5部22項目
→ 6部23項目に変更
ガイドラインの対象範囲は変更なし
公的部門及び民間部門(すべてのステークホルダーも対象に)
OECD加盟国に対する要求事項の変更
1980年ガイドライン(要求事項のみ)
①ガイドラインにおいて示された原則を国内法において考慮すること
②プライバシー保護の名目で個人データの国際的流通を不当に阻害しないこと
③ガイドラインの履行について協力すること
④ガイドライン適用のための特別な手続及び協力に速やかに同意すること
改正ガイドライン
要求事項
プライバシーの保護と情報の自由な流通に対し、政府内の最高レベルでリーダーシップ
を示し実行すること
本勧告の附属書に示され全体を構成するガイドラインを、すべての関係者(ステークホル
ダー)が関与するプロセスを通して履行すること
公的部門及び民間分野の双方に勧告を広く浸透させること
勧奨事項
非加盟国及び国境を越えて本勧告を履行する際に加盟国と協力すること
指示事項
本勧告の履行状況の理事会への報告
28OECDプライバシーガイドライン2013年改正のポイント
新たな追加事項
プライバシーを保護する法の制定
プライバシー執行機関の設置
表現の自由との関係
プライバシー・マネジメント・プログラム
セキュリティ侵害通知
国家的なプライバシー保護方針
教育・普及啓発、プライバシー保護技術の向上
国際的な相互運用・評価指標の開発
加盟国がガイドラインを国内において適用する際の基本原則である「8つの原則」については
変更なし
①収集制限の原則(適法かつ公正な手段によって本人への通知又は同意に基づく収集を行うこと) ②データ内容の原則(データ内容の正確性、完全性、最新性を確保すること) ③目的明確化の原則(利用目的を明確にすること) ④利用制限の原則(利用目的以外の目的での利用は行わないこと) ⑤安全保護の原則(個人情報の安全管理を行うこと) ⑥公開の原則(個人データの収集事実、所在、利用目的や管理者等に関する情報を公開すること) ⑦個人参加の原則(本人が関与できる機会を提供すること) ⑧責任の原則(個人情報の管理にあたっての責任の所在を明確にすること) 29EUの個人データ保護指令と第三国移転の制限
「個人データ処理に係る個人の保護及び当該データの自由な移動に関する1995年10月
24日の欧州議会及び理事会の95/46/EC指令」
EU個人データ保護指令第25条
「加盟国は、処理過程にある個人データ又は移転後処理することを目的とする個
人データの第三国への移転は、この指令の他の規定に従って採択されたその国
の規定の遵守を損なうことなく、当該第三国が
十分なレベルの保護
を確保してい
る場合に限って行うことができるということを規定しなければならない。」
十分性の基準に適合した個人情報保護制度を整備していない第三国は、EUからの個人データの移転を制限EUの個人データ保護指令
十分なレベルの保護基準に適合していること
(以下の国のみ) アメリカ合衆国(セーフハーバー協定)、アルゼンチン、アンドラ、イスラエル、ウルグアイ、カナダ、ガーンジー(Guernsey)、ジャー ジー、スイス、ニュージーランド、ハンガリー(第三国からEU加盟国に)、フェロー諸島、マン島 標準契約条項に基づくデータ移転 Standard Contract Clauses
EUから米国以外の国へのデータ移転は可能
複数の事業を実施する場合には、その都度対応が必要
「拘束力を有する企業の内部規程」に基づく移転
Binding Corporate Rules(略称:BCR)
セーフ・ハーバーへの参加 (米国のみ)
EUから米国へのデータ移転は可能
EUから米国以外の国への移転にあたっては効力がない
EU域外への個人データの移転が許容される条件
EU域外への個人データの移転
©2014 SHIMPO Fumio日 本
E U
米 国
セーフ・ハーバー
標準契約条項
BCR
原則として規制なし
(個別法による限定的な規制)規
制
な
し
標
準
契
約
条
項
B
C
R
第三国扱い 31EU個人データ保護指令
(十分性の基準への適合性判断にあたっての検討事項)
個人情報の定義及びセンシティブ・データの取扱い
わが国の個人情報保護制度においては、センシティブ・データの取扱制限が課されていない。その一 方で、「個人情報」「個人データ」「保有個人データ」という区分けによって個人情報取扱事業者の義務 の内容も段階的に適用される構造になっている EUでは、個人データ(個人情報保護法にいう個人データではない)について、特に、センシティブ・デ ータの処理に関する定義を置いた上で、これを原則的に処理することを禁止している 個人情報取扱事業者の義務規定の適用を受けない事業者の存在
個人情報取扱事業者の義務については、報道活動、著述活動、学術研究、宗教活動、政治活動を行 う者について、その目的がそれらの用に供することを条件とした上で義務規定が免除されている。この 点について、EU各国では、報道目的での利用にあたってのすべての義務規定が適用除外となってい るわけではない(首相官邸「主要各国における個人情報保護制度の概要とメディア関係規定」 http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/pdfs/media.pdfを参照) 個人情報保護法も第2条2項4号において「その取り扱う個人情報の量及び利用方法からみて個人の 権利利益を害するおそれが少ないもの」を義務規定の適用を受けない者として定めた上で、その基準 を、「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の 個人の数の合計が過去6月以内のいずれの日においても5,000を超えない者」としている。諸外国 では、個人情報の取扱いの「数量」によって義務規定の適用が免除されることはまれ ① 「基本原則」
目的明確化の原則、データ内容の原則、透明性の原則、安全性確保の原則、アクセス、訂正、及び異 議申立てに関する権利、移転の禁止について検討 ② 「その他の原則」
センシティブ・データ、ダイレクト・マーケティング、自動化された個人に関する決定について検討 ③ 「手続及び実効性担保の仕組み」
情報主体の救済手続、監督機関個別の検討事項
©2013 SHIMPO Fumio個別の検討事項
各義務規定における個別の適用除外事由の解釈による義務規定の免除
個人情報取扱事業者の義務の適用除外規定として、「法令に基づく場合」における除外規定が利用 目的による制限(16条3項1号)及び第三者提供の制限(23条1項1号)に定められているが、EU指令 では、法的紛争解決に必要な場合については法令に基づく場合として義務規定の適用が除外される ものの、法令一般に基づく適用除外としての規定はない オプト・アウト
個人情報保護法の基本的立場は、個人情報の保護と有用性に配慮した上での個人情報の取扱いを 求めていることから、本人の承諾なしに取得し既に保有している大量の個人データについては、第三 者に提供するにあたって本人同意を原則としつつも、本人の求めに応じて当該本人が識別される個 人データの第三者への提供を停止することとしていること(オプト・アウト)によって、本人の同意なしに 第三者に個人データを提供することが可能 事業者に対してオプト・アウトの手続による対応も選択肢として用意し、第三者提供にあたって本人同 意を不要とする手続を定めている点については、EUのスタンスとは正反対 第三者提供については、原則「本人同意」を要件としている点についてはEU指令と同レベルであると 考えられるが、本人同意を必要としない場合として、オプト・アウトの機会を提供している場合、委託先 への提供、合併等による提供、及び共同利用については本人同意が不要。EUでは、第三者提供に ついては本人同意を原則としているだけでなく、電子通信指令においては、ダイレクトマーケティング の用に供するにあたっては、さらに、「オプト・イン」による本人同意要件を課している 監督機関の権限
後述の、諸外国の監督機関の権限を参照 ©2013 SHIMPO Fumio個別の検討事項
本人関与規定の法的性格
個人情報保護法が定める本人関与規定が、個人情報の開示等の法律上の請求権を行使することを 保障するものと考えられるのかについては議論の存するところである 国外への個人情報の移転
わが国の個人情報保護関連5法には、国外移転を禁止する規定が存在しない。つまり、
我が国を経由して個人情報が第三国に移転される場合には一切の規制が存在しない。
国内法が及ばない国における個人情報の処理の問題
例えば、紙媒体に記入された個人情報を取得した場合、必然的にデータベースへの登録
作業が必要となるが、その際に行われる個人情報の入力作業(データエントリー)は件数
が多くなればなるほど、それを取得した事業者内部ではなく外部の事業者に入力を委託
することが多い。ところが、入力作業のコスト削減のために、国内で作業を行うのではなく
、海外、特に日本人の氏名に用いられている「漢字」を認識できる近隣諸国において入力
作業を行う事業者が増えている
国外に拠点を置く作業場が、当該作業を委託された事業者の海外支所等であれば一定
の監督を行うことが可能であると考えられるが、国外の事業者にさらに外部委託をするよ
うな場合、委託先の監督を行うことが物理的に不可能な場合がある。そのような場合に、
委託先である国外事業者に入力作業の「生データ(個人情報データベース等を構成する
個人データには該当しない「個人情報」)」を提供することは、そもそも「個人データ」の第
三者提供の制限(利用目的の範囲内での委託先への提供)にも該当せず、本来、委託
先の事業者が個人情報を取得する際に負うべき義務(利用目的の特定、利用目的によ
る制限(15条、16条)、適正な取得、取得に際しての利用目的の通知等(17条、18条)
、苦情の処理(36条))を、個人情報保護法が適用されない国外の事業者に適用するこ
とはできないという問題もある
©2013 SHIMPO Fumio
EU個人データ保護指令第25条1項が定める「十分なレベルの保護措置」
に関する審査基準
消費者庁「個人情報保護制度における国際的水準に関する検討委員会・報告書(平成23年度)」から 、十分性認定に関する審査基準に示されていて、現行の個人情報保護制度では基準を満たしていな いと思料される項目を抜粋。 i)内容の原則
⑥移転の制限(データの移転に際しては、データの受取側が十分な保護の水
準を確保している場合のみに行うべきである。)
補足的な原則として保護水準の十分性の判断に考慮されうる項目
(i)センシティブ・データ(指令8条に列挙された人種、民族出自、政治的思想、
宗教上・哲学上の信念、労働組合員、健康・性生活に関するデータ)
(ii)ダイレクト・マーケティング(オプトアウトの要件)
(iii)個人の決定(データ移転に関する本人の知る権利)
ii)手続・執行の構造
②データの本人に対する支援と援助の提供
個人は法外な費用をかけることなく、迅速かつ効果的に自らの権利を執行すること
ができなければならない。
③適切な救済の実施
独立した裁定又は仲裁により、法令違反をした当事者に対して損害賠償と罰則を課
すことができる体制が関与しなければならない。
European Union(欧州連合)個人データ保護規則案の審議
1995年:「EU個人データ保護指令」の採択 1998年:同履行期限 2009年:EU個人データ保護指令の見直しに関する検討開始 2010年11月:見直しの基本的方向性に関する文書公表 2012年1月25日:「EU個人データ保護規則」案の公表 2012年~:理事会及び議会で審議 2013年10月21日欧州議会市民的自由・司法・内務委員会(LIBE)採択 検討過程における議論
2009年から検討を開始し、「忘れてもらう権利」や「プライバシー・バイ・デザイン」などの新たな取り組みの導入の必要 性について議論 2011年には、規則案が非公式に公表されて各国による水面下の検討・交渉が行われる EU加盟各国から寄せられた意見(コメント)は、約3000件 意見に基づき2013年3月までにとりまとめが行われる予定が、2013年5月29日まで延期(この段階で、ベルギー、チェコ、デンマ ーク、エストニア、ハンガリー、スウェーデン、スロベニア、イギリスの8カ国(EU加盟国は27カ国)が反対意見を表明) ①EU域内における規制の単一化・簡素化 国内法制化の不要な「規則」に変更 一つの国からの承認を得れば、他国の当局からの承認は不要 データ保護当局間の調査協力のメカニズム ②より強固な個人データ保護ルールの整備 事業者 プライバシー・バイ・デザインの原則 個人データ漏えい時の通知義務 個 人 消去権(忘れてもらう権利) プロファイリングへの異議を申し立てる権利 データ・ポータビリティの権利 同意の明示(オプト・イン原則) ③データ保護に関するグローバルな課題への対応規則案の特徴
個人データ処理に係る個人の保護及び当該データ の自由な移動に関する欧州議会及び理事会の規則 (一般データ保護規則) 規則とは?(指令と規則の違い)
規則 (Regulation)、指令 (Directive) 決定 (Decision)、勧告 (Recommendation) □ 指令とは、EU加盟国に対して示された提案を、国内法へ転換することを義務づける効力を有するもの □ その効力は、EU域外の国に直接影響を及ぼすものではないが、各国の国内法の規定によっては間接的に 域外の国にも影響が及ぶことがある □ 各国で法制度が異なることから、欧州域内における法制度(規制)の基準を統一化すことが必要なため、そ のために必要な一定の枠組みや基準を明確に示し、各国がそれを履行する際の要求事項を定めたもの 36EU一般データ保護規則案の主な論点
適用範囲 第3条 適用範囲(Territorial scope) 第3条(2)(a) 法令の適用範囲 EU域外への適用 EU域外の企業であっても、EU域内のデータ主体へのサービス等の提供を行う場合、EU規則が適用される場合がある EU加盟各国の監督機関への個別承認を得る必要がなくなる 定義の変更 第4条 定義(Definitions) 個人データ(ID、位置データ、識別子等による識別についても明示) 匿名データ、暗号データ、プロファイリング、データ主体の同意、個人データの侵害、遺伝データ、バイオメトリックデータ、健康に関するデ ータ、子供など、22項目を定義 データ主体の権利の拡大 第17条 「削除する権利」(Right to erasure) 第20条 「プロファイリング(プロファイリングへの異議を申し立てる権利)」(Profiling: the right to object to profiling)
セキュリティ
第31条 個人データの漏洩(侵害)に関する監督機関への通知(Notification of a personal data breach to the supervisory authority) 第32条 個人データの漏洩に関するデータ主体への通知(Communication of a personal data breach to the data subject)
第33条 データ保護影響評価(Data protection impact assessment)
第35条 データ保護責任者の任命(Designation of the data protection officer)
第39条 証明(Certification)
データ保護のためのマーク(シール)制度の整備(European Data Protection Seal)
個人データの移転
第42条 適切な措置を講じた移転(Transfers by way of appropriate safeguards)
拘束力を有する内部規定(BCR)に基づく移転 European Data Protection Sealの取得
標準データ保護条項(standard data protection clauses)
管理者又は処理者と受領者間との契約条項(contractual clauses)
法執行
第45条 個人データ保護のための国際協力(International co-operation for the protection of personal data) 第46条 監督機関(Supervisory authority)
行政罰
第79条 規則違反に対し、1億ユーロ又は全世界での年間総売上高の5%
APEC プライバシーフレームワーク(2004)
「APECプライバシーフレームワーク」(2004年10月29日採択。
国際的実施の部分は2005年11月16日承認)
APECプライバシーフレームワークとは、APEC加盟エコノミーにおける整合性のある個人情報保護への取組を促進し、情報 流通に対する不要な障害を取り除くことを目的として制定された規制 対象国は、日本を含むAPEC加盟エコノミー 越境個人情報漏洩事案等について、国内法令に基づく法執行を行う際に,他のエコノミーのプライバシー執行機関に協力を 求めること(援助要請)ができる体制を構築「APEC越境プライバシー規則」(APEC Cross-Border Privacy Rules (CBPR))及び「APECデータ・
プライバシー・パスファインダー」プロジェクト
「APEC越境執行協力協定(APEC Cross-border Privacy Enforcement Arrangement(CPEA))」
CBPR:日本、米国、メキシコ
(日本は、2013年6月7日に参加申請、2014年4月28日参加承認
) CPEA:日本、米国、カナダ、香港、韓国、メキシコ(日本は、2011年11月に国内の15
省庁がプライバシー執行機関として参加し、2013年6月に復興庁、追加され、現在は
16省庁)
目的
APECエコノミーのプライバシー執行機関間の情報共有 事案照会・共同調査・執行活動等のプライバシー保護法の執行に係るプライバシー執行機関間の有効な 越境的協力 越境プライバシー・ルールを執行する際のプライバシー執行機関の協力 OECD勧告との緊密な協力確保によるAPEC域外のプライバシー執行機関との情報共有及び協力 執行機関の定義
「プライバシー執行機関」とは、プライバシー法の執行に責任を有し、調査の実施又は執行手続の遂行をな す権限を有する公的機関 協力取決めの内容
本協力取決めの開始(第3条)/ 定義及び法的制限(第4条、第6条、及び第7条)/ 運営管理者の役割(第5条)/ 本協力取決めへの参加及び脱 退の方法(第8条)/ 越境協力(第9条)/ 秘密保持(第10条)/ 情報共有(第11条)/ 雑則(スタッフ交流 紛争 見直し)(第12条ないし第15条) 38欧州評議会条約
OECDプライバシーガイドラインが理事会勧告として採択された1年後に採択された
改正に向けた検討は、2010年10月27日から29日にイスラエルのエルサレムで開催
されたプライバシーコミッショナー会議において、OECDガイドライン30周年に伴う改
正に向けた議論がなされたのに合わせて、翌年が30周年記念を迎える欧州評議会
条約の「現代化」に向けて検討を開始
2011年1月から3月にかけて、マルチステークホルダーからの意見募集を実施したの
を端緒に改正に向けた検討が実施され、2012年第4四半期に欧州評議会閣僚理事
会に草案が提出される
個人データの自動処理に係る個人の保護に関する条約
(欧州評議会条約第108号として1981年1月28日に採択され、1985年10月1日に発効、 2001年に追加議定書採択) 2013年10月末時点で、46カ国が批准し1カ国が署名(トルコは採択と同時に署名し未批准) 日本は1996年11月からオブザーバー国として参加(米国及びカナダに次いで3番目)(1)法的拘束力、(2)官民双方に対するプライバシー侵害への保護対策、(3)108号
条約締約国間における個人データの移転に対する包括的な法的枠組み、(4)諮問
機関を通じた多国間の協力プラットフォーム
OECDガイドラインと108号条約の違い
©2014 SHIMPO Fumio 39米国の消費者プライバシー権利章典
①個人によるコントロール
企業が利用する消費者のデータの収集や利用についてコントロールすること
②透明性
プライバシーやセキュリティ対策に関する情報を容易に理解しアクセスできること
③コンテキストの尊重
どのようなコンテキストで企業が消費者のデータを収集、利用するのか明らかに
すること
④セキュリティ
情報セキュリティ対策を実施すること
⑤アクセスと正確性
データの機微性のリスクに応じた対応や不正確である場合に訂正を求めること
⑥対象を限定した収集
企業が収集及び保持するデータの合理的な制限
⑦責任
企業が消費者プライバシー権利章典を遵守すること
40海外から見た日本の制度(状況)と今後の対応のあり方
と言われないための努力が必要
Free vector illustration with bonsai
By AllFreeVectors in Backgrounds/Wallpaper
Bonsai DPA
The Commission will be perfectly
formed, but with stunted growth and
minimal effect on its environment: a
bonsai DPA in keeping with the rest of
Japan's data privacy laws. The
Japanese legal system does have the
capacity to create bodies with real
powers and independence of the
executive branch.
'My Number' unlikely to thaw Japan's frozen data privacy laws Graham Greenleaf, Kiyoshi Murata and Andrew Adams, Privacy Laws & Business International Report, Issue 120, December 2012
