平成30年4月25日の新聞報道で、日本とEUが、EUから日本に移す個人情報の保護について、日本の法律より手厚い保護内容を盛り込んだ新たな指針を設けることで合意したとの報に触れました。
内容的には、
① 日本企業がEUに所属する国から個人情報を持ち出す場合は、利用目的や取得経緯を記録する
② 日本でビッグデータとして利活用するために個人情報を匿名加工情報に加工する際には、元の個人情報と匿名加工情報の関係を修復できないようにする
③ 個人情報に「労働組合」や「性的指向」に関する情報が含まれる場合は厳密に扱う
④ 取得から半年以内に削除する予定の個人情報でもEUの市民から開示や利用停止、削除の要請を受ければ日本企業は必ず応じる
というようなもののようです。
基本的には、平成27年9月に成立し既に施行されている改正個人情報保護法より手厚いとはいえ、その延長線上にある内容といえ、無理なものでもないように思います。
なお、③については、改正個人情報保護法2条の「要配慮個人情報」に該当する情報として例示列挙されたものには明示的には含まれていません。同条の「その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める」こととされている個人情報は、個人情報保護法施行規則2条で定めていますが、ここでも労働組合や性的指向は明示されていないので、施行規則を改正することになるのでしょう。
ところで、我が国の個人情報保護法は、平成15年5月に成立して平成17年4月から施行されましたが、その後、平成27年9月に改正されて、平成28年1月1日に一部先行施行され、平成29年5月30日に全面施行されたばかりです。
それなのに、より厳しいルールを作るというのはどういうことなのか?
また、今回のブログのタイトルを見て、個人情報保護と国際競争力とがどういう関係にあるのか?と不思議に思われた方もおられると思います。
個人情報保護法は、個人情報を保護する⇒国民個々のプライバシーや生活の平穏を守るという側面があることは当然なのですが、だからといって、情報の取得の仕方や管理の仕方まで国が口を挟んでルール作りまでするというのは、本当は違和感を抱いてもおかしくないことです。
実は、そこには、大きな経済的動機があるのです。
一つは、個人情報をビッグデータとして利活用することで、個人情報の取得や管理がルーズになっては誰も個人情報を出さなくなって利活用の目的が果たせなくなりますから、そのルール作りが裏表として必要になるということです。
そして、もう一つは、国際取引上のハンデを解消したい、ということで、これが今度のニュースに関わるのです。
改正前の個人情報保護法は,個人情報、その中でも特に人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実のような機微にわたる情報の取扱いを厳格にしていませんでした。
しかし、これは海外、特にヨーロッパのプライバシー保護の潮流から遅れており、国際取引上大きなハンデとなっていたのです。どういうことかというと、EUでは、十分なレベルの保護措置を確保していると認めた場合以外は、EU域外の第三国への個人データの移転を禁止しており、日本は、この十分なレベルの保護措置を確保した国であるとは認められていませんでした(現在、認定を受けているのはスイスなど11カ国・地域だそうです。)。
そうすると、日本企業がEUに進出しても、EUでの個人データを日本に送信することは原則としてできません。アプリやクラウドサービスを日本から欧州向けに提供しているだけでも規制の対象になるようです。
これに対し、EU企業が日本に進出した際には、日本で取得した個人情報をEUに移転することができますから、日本企業はEU企業との関係で、情報戦で大きな後れをとってしまうのです。そこで今後、国全体として個人情報の保護措置を十分なものにして、EUで日本が個人情報保護についての「十分性認定」を受け、この情報戦でのハンデをなくしたいという切実なニーズがあるのです。
改正個人情報保護法でもまだ十分ではなかったところをもう一歩進めて、いよいよEUから十分性認定を受けることができそうです。
個人情報保護と企業の国際的競争力というのは意外な関係ですが、今は、欧米では、人権デューデリジェンスといって、企業の人権保護への姿勢や体制作りがその企業の価値評価にもつながる時代です。人権デューデリは日本ではまだまだですが、国際標準はそういうところに行っており、単に金を儲けていれば評価されるというものではなくなっているということです。