「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS) | ScanNetSecurity
2024.03.29(金)

「欧米では」は間違いなど、個人情報保護に関する法律の正しい理解を(DT-ARLCS)

デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)は日、個人情報保護法改正に関する記者説明会を開催した。

研修・セミナー・カンファレンス セミナー・イベント
ひかり総合法律事務所の板倉陽一郎弁護士
ひかり総合法律事務所の板倉陽一郎弁護士 全 8 枚 拡大写真
デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)は10月3日、個人情報保護法改正に関する記者説明会を開催した。本説明会は、個人情報保護に関連する法律について正しい理解を促進するために開催されたもの。この中で、ひかり総合法律事務所の板倉陽一郎弁護士による「個人情報保護制度の国際的なバランスを考える」と題したセッションを行った。

個人情報保護法において「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」としている。

ただし、全体に適用されるのは、基本理念や国および地方公共団体の責務・施策、基本方針の策定といった「基本法則」のみとなる。その下は「民間部門」と「公的部門」にわかれ、個人情報取扱事業者の義務等は民間部門のみに適用される。このため、国の行政機関や独立行政法人等、地方公共団体等で発生した個人情報漏えい事件に対して個人情報保護法の義務を参照することは間違いであると板倉氏は指摘した。

また板倉氏は、日本の情報保護法を語る際に「欧米では」という言い方をするが、これも間違いであると指摘。欧州と米国では個人情報に関する法律が全く異なるという。米国では、政府部門、健康情報等、信用情報、通信分野、金融部門、児童のプライバシーなど分野ごとに情報保護の法律が制定されており、分野横断的な個人情報保護法は存在しない。「米国はマイノリティであるが、緩やかではない」と板倉氏は表現した。

米国が緩やかではないという理由に、板倉氏はFTC(Federal Trade Commission:米連邦取引委員会)の存在を挙げた。個人情報保護において違反が発覚した際には、FTCにより排除措置・課徴金等の対象とされ、民事責任も問われる。また、個人情報保護については商務省による「セーフハーバー原則」があり、企業とFTCを含めた「セーフハーバーの枠組み」が自主規制として機能している。

一方、EUでは1995年に分野横断的な個人情報保護に関する規制「個人データ保護指令」が施行され、2002年には「e-プライバシー指令」が施行、2009年に改正されている。特に電子通信部門に関する個人データ保護指令の特則となった。EU各国はこれらをベースに独自の法律を制定している。EUで特徴的なものが「欧州十分性審査」で、これは「第三国へのデータ移転に関する作業文書」、つまり第三国が十分なレベルのデータ保護措置を確保している場合に、越境データ移転が可能になるというものだ。

現在、スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランドの11カ国・地域が認定されている。これらは、植民地であったりタックスヘイブンといった特徴がある。米国は十分性の認定を受けることは困難とされているが、「セーフハーバー原則」についての十分性認定を受けて企業レベルでの移転を可能にしている。ただし、越境データ移転について日本への打診はなかったという。

板倉氏は、日本のデータ保護措置が国際社会に認められるためにも、国外の拠点で個人情報データベース等を事業の用に供している事業者に対して個人情報保護法を「域外適用」できるようにすることが重要であるとした。そのためには外国の執行当局と日本の主務大臣、第三者機関の長による執行協力が必要で、これにより移転や再移転の制限を可能にすべきとした。

また、DT-ARLCSの主任研究員である北野晴人氏が「日本企業が気をつけたい個人情報保護のポイント」と題したセッションを行った。北野氏は、グローバルな市場に向けて産業構造が変化しているとして、国内だけでは企業が生き残っていけないため、市場を海外に求める必要があることと、「開発する国」「生産する国」「市場としての国」の区別がなくなることをデータから示した。

そして、求められることとして「国際競争力を高めるために、より高度なデータの活用」「同時に『同意を得た』プライバシーの保護」「海外の各国法制度にも対応できる仕組み作り」の3点を挙げた。また、適法性と安全管理だけでなく透明性も重要として、活用と保護のバランスには「適法性とプライバシーの保護」「透明性の確保と同意形成」「安全管理措置(情報セキュリティ)」が重要であるとした。

これらを実現するためには、事前に影響評価を行い、計画段階からプライバシー保護を組み込むことが必要であるとして、北野氏は「プライバシー・バイ・デザイン(PbD)」と「PIA(Privacy Impact Assessment)」を勧めた。そして、業務とプロセス、それを支えるシステムを合わせて「収集」「保管」「分析・活用」「廃棄」の情報のライフサイクル全体を保護することが重要であり、PIAを段階的に実現していくことがポイントであるとした。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る