「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.26(月)

「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS)

デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)は日、個人情報保護法改正に関する記者説明会を開催した。

研修・セミナー・カンファレンス セミナー・イベント
ひかり総合法律事務所の板倉陽一郎弁護士
ひかり総合法律事務所の板倉陽一郎弁護士 全 8 枚 拡大写真
デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)は10月3日、個人情報保護法改正に関する記者説明会を開催した。本説明会は、個人情報保護に関連する法律について正しい理解を促進するために開催されたもの。この中で、ひかり総合法律事務所の板倉陽一郎弁護士による「個人情報保護制度の国際的なバランスを考える」と題したセッションを行った。

個人情報保護法において「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」としている。

ただし、全体に適用されるのは、基本理念や国および地方公共団体の責務・施策、基本方針の策定といった「基本法則」のみとなる。その下は「民間部門」と「公的部門」にわかれ、個人情報取扱事業者の義務等は民間部門のみに適用される。このため、国の行政機関や独立行政法人等、地方公共団体等で発生した個人情報漏えい事件に対して個人情報保護法の義務を参照することは間違いであると板倉氏は指摘した。

また板倉氏は、日本の情報保護法を語る際に「欧米では」という言い方をするが、これも間違いであると指摘。欧州と米国では個人情報に関する法律が全く異なるという。米国では、政府部門、健康情報等、信用情報、通信分野、金融部門、児童のプライバシーなど分野ごとに情報保護の法律が制定されており、分野横断的な個人情報保護法は存在しない。「米国はマイノリティであるが、緩やかではない」と板倉氏は表現した。

米国が緩やかではないという理由に、板倉氏はFTC(Federal Trade Commission:米連邦取引委員会)の存在を挙げた。個人情報保護において違反が発覚した際には、FTCにより排除措置・課徴金等の対象とされ、民事責任も問われる。また、個人情報保護については商務省による「セーフハーバー原則」があり、企業とFTCを含めた「セーフハーバーの枠組み」が自主規制として機能している。

一方、EUでは1995年に分野横断的な個人情報保護に関する規制「個人データ保護指令」が施行され、2002年には「e-プライバシー指令」が施行、2009年に改正されている。特に電子通信部門に関する個人データ保護指令の特則となった。EU各国はこれらをベースに独自の法律を制定している。EUで特徴的なものが「欧州十分性審査」で、これは「第三国へのデータ移転に関する作業文書」、つまり第三国が十分なレベルのデータ保護措置を確保している場合に、越境データ移転が可能になるというものだ。

現在、スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドの11カ国・地域が認定されている。これらは、植民地であったりタックスヘイブンといった特徴がある。米国は十分性の認定を受けることは困難とされているが、「セーフハーバー原則」についての十分性認定を受けて企業レベルでの移転を可能にしている。ただし、越境データ移転について日本への打診はなかったという。

板倉氏は、日本のデータ保護措置が国際社会に認められるためにも、国外の拠点で個人情報データベース等を事業の用に供している事業者に対して個人情報保護法を「域外適用」できるようにすることが重要であるとした。そのためには外国の執行当局と日本の主務大臣、第三者機関の長による執行協力が必要で、これにより移転や再移転の制限を可能にすべきとした。

また、DT-ARLCSの主任研究員である北野晴人氏が「日本企業が気をつけたい個人情報保護のポイント」と題したセッションを行った。北野氏は、グローバルな市場に向けて産業構造が変化しているとして、国内だけでは企業が生き残っていけないため、市場を海外に求める必要があることと、「開発する国」「生産する国」「市場としての国」の区別がなくなることをデータから示した。

そして、求められることとして「国際競争力を高めるために、より高度なデータの活用」「同時に『同意を得た』プライバシーの保護」「海外の各国法制度にも対応できる仕組み作り」の3点を挙げた。また、適法性と安全管理だけでなく透明性も重要として、活用と保護のバランスには「適法性とプライバシーの保護」「透明性の確保と同意形成」「安全管理措置(情報セキュリティ)」が重要であるとした。

これらを実現するためには、事前に影響評価を行い、計画段階からプライバシー保護を組み込むことが必要であるとして、北野氏は「プライバシー・バイ・デザイン(PbD)」と「PIA(Privacy Impact Assessment)」を勧めた。そして、業務とプロセス、それを支えるシステムを合わせて「収集」「保管」「分析・活用」「廃棄」の情報のライフサイクル全体を保護することが重要であり、PIAを段階的に実現していくことがポイントであるとした。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  2. 「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

    「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

  3. DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

    DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

  4. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  5. 権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

    権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

  6. 新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

    新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

  7. 会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

    会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

  8. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  9. 帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

    帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

  10. 「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

    「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

ランキングをもっと見る