サイバーセキュリティや個人情報保護について、国境を超えた議論が必要なのはいうまでもない。その理由のひとつが、データ漏えいなどインシデント発生時の報告や対応について、被害企業が負っている義務や罰則規定が国によって異なることだ。
たとえば、日本企業の海外現地法人で個人情報等の侵害または漏えいインシデントが発生したとする。その際の当局への報告やデータ主体(当該個人情報の持ち主・本人)への対応措置は、各国の関連法に定められている。しかし、同じインシデントでも国が異なれば、報告義務の有無、報告しなくていい条件とはなにか、などは同じではない。また罰則規定も異なる。
本稿では、昨秋開催された CODE BLUE 2020(本年は10/19(火)~10/20(水)開催)でジョイ・ホー、ヴィック・ファン両氏が行った、日本、台湾、タイ、そしてGDPRによって注目が高まるEUにおける個各国・地域の個人情報保護に関する法的な規制、義務、罰則について概要を整理する講演の要旨を伝える。
●各国の個人情報の定義
まず、ホー氏は、各国・地域の「個人情報(パーソナルデータ)」の定義について、それぞれの個人情報保護法(PDPA)の条文を次のように整理した。。
・台湾:直接・間接を問わず自然人に関する情報
・日本:生存する個人に関する情報で、単体または複数の情報の組み合わせて特定の個人を識別できるも
・EU:識別または識別可能な自然人(データ主体)に関するあらゆる情報
・タイ:死者をのぞく、直接・間接を問わず個人を特定できるあらゆる情報
表現は異なるが、どの国・地域も「個人情報」の定義に大きな違いはない。死者に関する情報について明記があるかどうかの違い違いくらいだ。だが、データ侵害についての記述は、各国ごとの差異が見られる。
たとえば、日本企業の海外現地法人で個人情報等の侵害または漏えいインシデントが発生したとする。その際の当局への報告やデータ主体(当該個人情報の持ち主・本人)への対応措置は、各国の関連法に定められている。しかし、同じインシデントでも国が異なれば、報告義務の有無、報告しなくていい条件とはなにか、などは同じではない。また罰則規定も異なる。
本稿では、昨秋開催された CODE BLUE 2020(本年は10/19(火)~10/20(水)開催)でジョイ・ホー、ヴィック・ファン両氏が行った、日本、台湾、タイ、そしてGDPRによって注目が高まるEUにおける個各国・地域の個人情報保護に関する法的な規制、義務、罰則について概要を整理する講演の要旨を伝える。
●各国の個人情報の定義
まず、ホー氏は、各国・地域の「個人情報(パーソナルデータ)」の定義について、それぞれの個人情報保護法(PDPA)の条文を次のように整理した。。
・台湾:直接・間接を問わず自然人に関する情報
・日本:生存する個人に関する情報で、単体または複数の情報の組み合わせて特定の個人を識別できるも
・EU:識別または識別可能な自然人(データ主体)に関するあらゆる情報
・タイ:死者をのぞく、直接・間接を問わず個人を特定できるあらゆる情報
表現は異なるが、どの国・地域も「個人情報」の定義に大きな違いはない。死者に関する情報について明記があるかどうかの違い違いくらいだ。だが、データ侵害についての記述は、各国ごとの差異が見られる。
