office-terakawa | ＜テクニカ・ゼン＞各国のデータプライバシー、AI関連情報

近年、個人情報への社会の関心が急速に高まっている。
一方で、個人情報と聞いても、なんとなく気持ち悪いけれども具体的にどういう問題が生じるのかは知らない、わからない、というのが一般的な肌感覚ではないだろうか。

おそらくこれは、日本人という国民性が影響していると私は考えている。「集団」を重んじる私たち日本人にとって、「個人」の権利といわれても「なにをおいても尊重すべきもの」という感覚はそれほど強くない。

良いとか悪いという問題ではないのだが、たとえば、日常的に数十時間から、場合によっては100時間を超す（断ることが難しい）残業を「人権侵害」と訴えることに違和感を覚える日本人は多いだろう。
この感覚がある限り、現在世界で話題になっているPrivacy（プライバシー）について、正確に理解することは難しいと言わざるを得ない。

日本にとって、「個人情報保護」というのは、輸入された概念でしかない。そのため、欧州の人々が感じているような切迫感を日本人が感じるのは難しいだろう。

Personal Data（パーソナル・データ）保護で世界をけん引している欧州では、Privacy（プライバシー）の議論に切迫感がある。原動力となっているのは、「個人の権利」を護るという前提だ。欧州の様々な法制度や議論は、権力者が行った第二次大戦中に行われた「個人」からの搾取に対するアレルギー反応の産物といってもよい。それだけに、欧州におけるPersonal Data(パーソナル・データ)の議論は、生きた議論であり真剣なものだ。学ぶところも多い。

このブログでは、今話題の欧州一般データ保護規則（GDPR）の解説を軸にしながら、世界のPersonal Dataにまつわる動向と法制度、対応の温度差について解説する。最終的には「個人情報」の議論の本質と、対策のあるべき姿についても話をしたいと考えている。

読者としては、弁護士をはじめとするPrivacy（プライバシー）の専門家、企業の法務部門、企業の経営者層を想定している。できるだけわかりやすく説明していくが不明な点、質問があればいつでも問い合わせて欲しい。問い合わせはe-mailでも、コメント欄への投稿でも構わない。読者からのフィードバック、質問がこの問題を掘り下げる一助となる。どんな小さな事でも気軽に尋ねていただきたい。

ちなみに、この分野の話題であれば欧州に限らず、アメリカ、アジア各国の情報についても情報提供が可能だ。私はライフワークとして国内企業の海外法令・規格対応支援に取り組んでいる。海外にも専門家のネットワークがあるため、必要があれば直接問い合わせをして確認することも可能だ。お力になれることがあれば幸いである。

前置きが長くなったが、欧州一般データ保護規則（以下GDPR）について書いていこう。
GDPRとは、General Data Protection Regulationの頭文字をとったもので、定訳はないが、ここでは「欧州一般データ保護規則」と訳しておく。
GDPRは欧州経済領域(European Economic Area: EEA)に居住する個人のPersonal Dataを保護することを目的とした規則であり、2006年に採択されたされたDirective 95/46（一般に「欧州データ保護指令」と呼ばれる）に置き換わるものである。

欧州の法律だが、今、世界中で議論されている。
日本でも法律事務所や会計事務所がセミナーを開いたりしているので、お聞き及びの方もいるだろう。

最初に浮かぶ疑問は、欧州の規則がなぜ欧州以外の国々に関係するのか、ということだろう。たとえば日本をとれば、外国の法律はあくまでも外国の法律であり、日本に住む我々には影響を与えないはずである。

GDPRについて注意しなければならないのは、欧州の規則でありながら、非欧州国であってもこの適用を受けるケースがあるためである。

さらに、違反を摘発された場合、課徴金として最大で2,000万ユーロまたは全世界の総売上の最大4%のいずれか高い方が課されると定められている（規則83条5項）。

欧州の法律でありながら、世界中が着目しているのは、まさにこの違反条項があるためだ。

課徴金については独占禁止法（正確には「欧州連合競争法」）の考え方を参照して制定されている。
独占禁止法が欧州で施行されたときに、インテルが10億6000万ユーロ（14億5000万ドル）制裁金を課せられた(2009年告発、2014年インテルの訴えを棄却)ことを考えると、ただの脅しではなく実効性のあるものであると理解すべきである。

これはあるアメリカのプライバシー専門家の言葉だが、「欧州が勝手に決めたことを我々に押し付けて変革を迫るというのはナンセンスで迷惑な話でしかない」、というのが本音だろう。しかし、GDPRの施行は2018年5月25日だ。GDPRの適用を受ける可能性がある事業体は、速やかな対応が必要である。

（誰が対象となるのか、そしてどういう対応が必要なのかについては次回紹介する。）

GDPRに歓迎すべき要素があるとすると、歴史上はじめてPrivacyやPersonal Dataに関して世界が「共通言語」を持つようになった点である。欧州と米国は法整備の方針が異なっている。日本を含むアジア、オセアニア地域の法制度は混とんとしている。そういった状況の中、世界中の専門家がGDPRについて研究を始め、対策をとりつつある。議論が深まれば、GDPRの修正について議論が生まれる局面もでてくるに違いない。

GDPRは、同一の土台に立って対話を行う基盤を整備した。対話が始まるというのは大きな前進だ。歓迎すべき動きである。

私個人としては、Personal Data（パーソナル・データ）の尊重は煩雑であっても丁寧に議論し扱うべき内容と考えている。真に人を尊重する世界を形成する上で、避けてはならない議論が、Personal Data（パーソナル・データ）やPrivacy（プライバシー）の概念だ。人は自由に生きてもよい。独自の生き方を選択できる自由こそが、個人の幸福を促進する。Personal Data（パーソナル・データ）やPrivacy（プライバシー）について正しく理解し、対応することは、社会に幸福な人が増えるための基盤といってもよい。

少しでも多くの日本人が、この概念になじみ、より幸福な社会を形成する原動力となってくれることを願ってやまない。

2017年7月26日
欧州司法裁判所(Court of Justice of the European Union:CJEU)は、EU-カナダ間で提案されていた乗客名簿データ(PNR)の処理および移転に対して、データ保護に関する基本的人権に抵触するものだとして違憲の見解を表明した。EU-カナダ間の合意は再検討され、発行が遅れることとなる。

CJEUによると、「合意はEUからカナダへのSensitive Data（取扱いに注意を要するデータ）移転およびその保管を除外していないため欧州連合基本権憲章に抵触する。」
EU圏外にSensitive Data(取扱いに注意を要する)データを持ち出すには「テロ又は越境犯罪に対する治安上の安全確保の目的を除く、精緻かつ確固たる正当性」が必要であり、現在の合意にはこの点が欠如していると判断された。

CJEUによる修正要求事項は以下の通り。

PNRデータ移転について、より明確で詳細な手順を定めること

PNRデータの自動処理モデルをより具体的にすること。また信頼性を高め、差別的待遇が生じないものとすること。

カナダがPNRデータを利用できるのはテロや重大な越境犯罪に関係した便についてのみであるとの条項を追加すること。

たとえ当該国が同等の合意を有する、もしくはEU評議会から十分性認定を受けているとしても、PNRデータを非EU圏に移転することは制限すること。

カナダ滞在中もしくはカナダを離れた後データが公表されたかについて、データ主体に確実に通知すること。

航空機の乗客が、PNRデータの処理に関して規則に従って保護されているということを、独立した監視機関によって行われる点について、保証すること。

なお、Sensitive Dataの定義は個人データ保護指令(Directive 95/46)及び一般データ保護規則(GDPR)で以下の通り規定されている。

人種・民族に関する情報

政治的信条に関する情報

信仰・思想に関する情報

加盟している労働組合に関する情報

健康状態・性的志向に関するデータの処理

　
（以上は個人データ保護指令（Directive 95/46）の時からある定義）
　

遺伝子に関する情報

の個人を特定するために使用されるバイオメトリクスデータ

　
（以上はGDPRで新規に追加された定義）
　
※Tele2 Sverige社の裁判では「通信データの保管(retained telecommunications data)」も”sensitive”な側面を持つと言及されており、Sensitive Dataの定義は今後も拡大される可能性がある。