オンラインジャーナル/投稿コーナー

　丹野　隆志

①所属：富士通株式会社　セキュリティマネジメントサービス事業本部
　　　　サイバーディフェンスセンター
②出身地：富山県出身【2015年3月、北陸新幹線開通 ♪(^∇^*) 】
・ほたるいか、蜃気楼、ブラックラーメン、鱒寿司が有名。
③社会貢献活動（NPO）：
・日本セキュリティ監査協会（JASA）会員
（パーソナルデータ監査WG、監査市場調査WG）
・日本セキュリティネットワーク協会（JNSA）会員
（セキュリティ理解度チェックWG／脅威を持続的に研究するWG）
・日本プロジェクトマネジメント協会（PMAJ）会員
（ジャーナル編集部員、PMシンポジウム2016未来創造セッションリーダー）
・産業カウンセラー協会会員（東関東支部）　
④所有資格：PMP®、公認セキュリティ監査人、ISMS審査員補、
　　　　　　産業カウンセラーなど、計30個の公的資格を所有。
⑤探求分野：心理学を活用したセキュリティインシデント対応を探求。
⑥尊敬する人物：山本五十六、エーリッヒ・フォン・マンシュタイン
【失われた勝利（上・下）愛読中】
⑦趣　味　：アウトドア（キャンプ、バーベキュー）、ドライブ、旅行
⑧将来目標：セキュリティ人材育成のプロフェッショナルを目指します！
⑨好きな言葉：話し合い、耳を傾け、承認し、任せてやらねば、人は育たず。
　　　　　　　やっている、姿を感謝で見守って、信頼せねば、人は実らず。
　　　　　　　　　　　　　　　　　　　　　　　　　（by 山本五十六）
　⇒☆プロマネの基本と考え、肝に銘じています　(v^ー°)

次号

【個人情報の取扱いにおけるグローバル化】

富士通(株)　丹野　隆志　[プロフィール]　：6月号

　昨今、ビッグデータ普及に伴うパーソナルデータの利活用シーンが増えており、このパーソナルデータから個人のプライバシーが特定されるリスクが懸念されている。このパーソナルデータが最初に社会的に注目された事案が、2013年に鉄道会社がICカード内に登録されている乗降履歴情報を国内ベンダーに対して、本人の同意なしに販売したというものだった。その後、この事案に対して厳しい社会的批判が飛び交い、この鉄道会社は本人の求めに応じて第三者への提供を停止する『オプトアウト』の受付開始を余儀なくされた。当事者である鉄道会社は、ベンダーに提供したのはあくまで分析用データに過ぎず、匿名加工処理を施した特定個人を識別できないデータであるため、この匿名情報は個人情報ではないという判断をしていたという。
　本稿では、『個人情報の取扱いにおけるグローバル化』の最新動向に私見を加え、考察を進めたい。

　個人情報保護法は、パーソナルデータを対象とする国内法だが、実は日本が独自に施行を進めた法律ではなく、グローバルな国際動向に影響を受けていた。この直接トリガーとなったのが『EUデータ保護指令』である。欧州連合(EU)が誕生したのは1993年だったが、当時、それぞれの加盟国では、個人情報保護(プライバシー保護)について各国独自の法律によって規制されていた。

　1995年10月24日、EUはこれまでの加盟国間の違いを埋めるため、『個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令』を採択した。
　この指令を略し『EUデータ保護指令』と称している。このEUデータ保護指令において、特徴的な条項とされる第25条では、EU加盟国から域外の第三国へ個人データを移転する際の規定が存在する。
　同条では、EUデータ保護指令の水準を満たしていない第三国やその国の企業には個人データの移転を禁じており、EU域外の各国における個人情報保護制度の確立を急がせる要因にもなった。
　このEUデータ保護指令の浸透は、個人情報保護におけるグローバル化の推進につながっていく。

　EUデータ保護指令では、EUの各加盟国が定める国内法によって、EU加盟国から個人データをEU域外の第三国に移転する場合、『十分性』を認定された国に限定される旨を定めた。
　この『十分性』とは、EU加盟国から第三国に個人データを持ち出す場合、この第三国で個人データの十分な保護措置が確保されているかどうかを、EUが審査し、認定を行うというものだ。
　この十分性認定を受けていない国においては、EU内に存在する自社グループ企業の社員、顧客データについても、個別に契約を締結しない限り、EUを越境して情報を持ち出すことは出来ない。
　日本は、これまで『EUデータ保護指令』における十分性認定を受けていないため、企業が個別に、例外規定や本人の同意などを駆使して、EU内からデータの持ち出しを行っていた。また、EUデータ保護指令は、各EU加盟国の法整備に委ねられていたので、EU内で温度差があった。例えば、英国は規制が緩く、ドイツ、フランスは規制が厳しいといった状況が存在していたため、規制が比較的緩い国に子会社をおくといった選択肢が、事実上、EU域外の国(企業)に許容されていたのだ。

　『EUデータ保護指令』が浸透しつつある中、日本では、1997年に『個人情報保護に関するガイドライン』が改定され、1998年には、『プライバシーマーク制度』が発足、2005年には個人情報保護法の全面施行と、急ピッチで法規制の整備が進んだ。個人情報保護法が施行された当時、私自身が小学校に通う子の保護者として、クラス内の緊急連絡網が作成されず、担任教師の連絡先も公開されない等、緊急時における学校側の対応に不安を感じていた記憶が強く残っているのは、この急な法規制対応によるものなのかもしれない。当時は、スマホの普及前であり、まちcomi※等の便利アプリもなかった時代だ。
　その後、ICT技術とグローバル化が急激に進化し、EUは、これまでの『データ保護指令』から『データ保護規則』にバージョンアップを行うこととなる。

　2016年4月14日、EUにおける欧州議会本会議で『EU一般データ保護規則』が正式に可決された。『EU一般データ保護規則』は、2018年に施行が予定されているが、この規則で特徴的なのが『忘れられる権利』だ。この『忘れられる権利』というのは、インターネット上の不適切な個人情報やプライバシー侵害情報、誹謗中傷などの情報の削除について本人が直接求めることが出来る権利である。現代のように、インターネットが普及していなかった時代には、俗に『人の噂も75日』と言われ、世間を騒がせる話題も時の流れとともに人の記憶から忘れさられるというのが通説だった。
　しかしながら、現代のデジタル化情報社会においては、ネット上に存在する情報は、永遠に残り続ける可能性が高くなっている。このため、当事者が、直接ネット上の個人情報を消すことのできる新たなしくみが必要となった。このしくみこそが『忘れられる権利』となる。
　この『忘れられる権利』は、当事者が自由に行使できるものではなく、法制度により、予め定められた条件を満たした場合に限定されなければならない。そして、この条件についてはネット上に公開された情報により、当事者が過大な不利益を被ることが明白であると判断される場合というのが原則だ。

　実は昨年、日本で、この『忘れられる権利』を認定する国内初めての判例があった。
　2015年6月、さいたま地裁は、グーグル検索結果から、児童買春・ポルノ禁止法違反の罪で罰金50万円の略式命令が確定した男性の逮捕記事の削除を認める認定を行った。名前と住所で検索すると3年以上前の逮捕時の記事がネット上で閲覧可能となるため、この男性自身が削除の仮処分申し立てを行い、さいたま地裁が、この記事閲覧可能となっている状況が更生を妨げられない利益を侵害しているとして、記事の削除を情報登録者のグーグルに命令した判例である。
　現在、日本国内には、この『忘れられる権利』を直接規制する法律が存在しないため、司法機関が、『忘れられる権利』を認定し、記事削除を認めた初めての判例となった。
　さて、欧州の話題に戻すと、新たに施行される『EUデータ保護規則』のもとでは、全ての加盟国が同一のモノサシで規制されることになった。
　このEUと最も密接な関係にある米国は、セーフハーバー協定によってEU保護指令における十分性認定を受けていたが、2015年10月、大変ショッキングなニュースが飛び込んでくる。
　欧州司法裁判所が、欧州委員会と米国が締結しているセーフハーバー協定について、無効とする判決を下したのだ。EUは、米国の『EUデータ保護指令』における十分性認定を取り消したのである。

　米国について、近年を振りかえってみると、2001年9月に発生した同時多発テロ事件を契機に、米国愛国者法(パトリオット法)を成立させ、国家が無断で個人情報を取得できる権限を有することになった。そして、この無断で情報取得する権限は、国内だけでなく、事実上、同盟諸国にも及んでいた。
　ところが・・・。米国は、これまで公式に存在を認めてこなかったが、元CIA職員エドワード・スノーデン氏の告発によって、米国特務機関による電子監視プログラムによる日常の諜報活動が発覚した。通信傍受システムであるエシュロンは、1分間に300万ともいわれる通信記録の傍受を可能とする最強システムとされ、例えば『大統領』、『爆弾』、『決行』など、予め指定されたキーワードを電話の通話から抽出し、テロ実行者の可能性がある者として自動記録を行う。この際、場合によっては、FBIなどの治安機関が緊急出動を行い、テロ活動を抑止しようとするケースが発生するという。
　尚、このエシュロンについては、アナログ通信にしか対応していなかったため、最新のICTネットワークには時代遅れになりつつあった。
　この状況の中、スノーデン氏は、米国がこれまで極秘事項とするデジタル通信に対応した傍受システム『PRISM』が、米国とその同盟国以外にEU各国を含めて広範囲に渡って実際に配備展開されている実情を、マスコミを通して告発したのである。
　上記の『エシュロン』や『PRISM』といった監視システムの元では、監視対象とされた国民の個人情報保護よりも、国家(米国)の安全保障が最優先とされた。
　以前、『エネミー・オブ・アメリカ』という映画を視聴したが、真にこの映画の世界が現実の世界で実際に起こっていたのである。本当にEU各国が、米国のこれまでの動きを全く知らなかったのかどうかは、別問題として、元CIA職員であるスノーデン氏の告発が、欧州委員会と米国間で締結していたセーフハーバー協定における無効判決の要因となった可能性は高い。

　因みに『セーフハーバー協定』とは、欧州から米国への個人データ移転を許容する法的枠組みだったが、上記の無効判決から僅か3ヶ月で、米国は『EU-USプライバシーシールド』という新たな枠組みを確立し、2016年2月に欧州委員会と米国の間でこの新たな枠組みの導入という条件付で合意を得ることに成功している。米国は、『EUデータ保護指令』における十分性認定を再取得したのである。
　米国は、国家の安全保障を最優先するポリシーを掲げつつも、経済的側面における国益を無視することはできない合理的思考が、この短期行動に結びついたと考えている。

　新たに発足する『EUデータ保護規則』は、2018年春から施行される予定だが、EU内にグループ企業を持たない企業においても、EU加盟国における個人情報の取扱いやサービス提供を行っている場合、この『EUデータ保護規則』の対象となり、規則違反があった場合には、違反企業における年間売上高における4％以下(グループ企業の場合は連結決算)、または最高2000万ユーロ(約30億円)という高額な賠償金を課せられることになった。
　改正個人情報保護法は2017年に全面施行が予定されているが、2018年に施行される『EUデータ保護規則』への対応について、日本は一体どのような対応を考えているのだろうか？
　新たな『EUデータ保護規則』は、従来の『EUデータ保護指令』に比して、規制が厳しくなることは確実だが、現時点では、改正された個人情報保護法を『EUデータ保護規則』の十分性認定を受けるために、見直しを行おうという動きはないようだ。
　また、EUとの外交手段による十分性認定といった方向性についても、国際的に外交下手といわれる日本は、米国のような『セーフハーバー協定』無効判決から実質3ヶ月という極めて短い期間で、新たな枠組みによる交渉を行う力量などないというのが現実的な見方ではないか。

　『EUデータ保護規則』においては、日本はこれまで通り十分性認定を受けられず、一部の体力のある企業が個別に例外規定による対応を継続していくことになり、国内企業の欧州におけるグローバル展開も、十分性認定を取得している他国に遅れをとりかねないというのが実情といえる。

　次回以降、改正個人情報保護法の下でのパーソナルデータや匿名データの利活用の可能性や『EUデータ保護規則』において十分性認定を受けられない状況に置かれた日本企業への具体的な影響について、様々な視点で考察を進めたい。
-----------------------------------------------------------------------
※まちcomiは、従来の電話等、アナログな方法による連絡の不便さを解消する為にスタートした無料のメール連絡網サービスであり、現在、全国の小中高等学校で普及が進んでいます。個人情報保護の観点から電話連絡網の作成が困難、不審者情報やイベント開催(遠足、運動会など)のリアルタイムな情報発信をしたいなど様々なニーズに対応している。
-----------------------------------------------------------------------