オンラインジャーナル/投稿コーナー

　丹野　隆志

①所属：富士通株式会社　セキュリティマネジメントサービス事業本部
　　　　サイバーディフェンスセンター
②出身地：富山県出身【2015年3月、北陸新幹線開通 ♪(^∇^*) 】
・ほたるいか、蜃気楼、ブラックラーメン、鱒寿司が有名。
③社会貢献活動（NPO）：
・日本セキュリティ監査協会（JASA）会員
（パーソナルデータ監査WG、監査市場調査WG）
・日本セキュリティネットワーク協会（JNSA）会員
（セキュリティ理解度チェックWG／脅威を持続的に研究するWG）
・日本プロジェクトマネジメント協会（PMAJ）会員
（ジャーナル編集部員、PMシンポジウム2016未来創造セッションリーダー）
・産業カウンセラー協会会員（東関東支部）　
④所有資格：PMP®、公認セキュリティ監査人、ISMS審査員補、
　　　　　　産業カウンセラーなど、計30個の公的資格を所有。
⑤探求分野：心理学を活用したセキュリティインシデント対応を探求。
⑥尊敬する人物：山本五十六、エーリッヒ・フォン・マンシュタイン
【失われた勝利（上・下）愛読中】
⑦趣　味　：アウトドア（キャンプ、バーベキュー）、ドライブ、旅行
⑧将来目標：セキュリティ人材育成のプロフェッショナルを目指します！
⑨好きな言葉：話し合い、耳を傾け、承認し、任せてやらねば、人は育たず。
　　　　　　　やっている、姿を感謝で見守って、信頼せねば、人は実らず。
　　　　　　　　　　　　　　　　　　　　　　　　　（by 山本五十六）
　⇒☆プロマネの基本と考え、肝に銘じています　(v^ー°)

先号　　　次号

【個人情報の取扱いにおけるグローバル化 (4) 】

富士通(株)　丹野　隆志　[プロフィール]　：9月号

　これまで3回に渡り、投稿を続けてきた【個人情報の取扱いにおけるグローバル化】は、日本と欧米における個人情報、およびプライバシーにおける解釈の差異や時代背景について考察を進めてきたが、9月号では、これまでの考察結果を整理し、日本が【個人情報の取扱いにおけるグローバル化】を進めるにあたっての課題やこの問題における本質について探求を進めたい。

　第一回(6月号)では、日本の個人情報保護法が成立した経緯とともに、EU加盟国における情報管理の礎であり、グローバルな個人情報保護の流れをつくった『EUデータ保護指令』の検証を行った。
　そして、2016年4月に欧州議会本会議で議決された『EUデータ保護規則』により、それまでEU加盟国間で、温度差があったといわれる情報保護規制をEU加盟国の共通規制とし、いわゆる規制強化しようとする状況について触れた。
　またEUとは利害関係を含めて関係性の深い米国の状況について考察を行った。
　米国は、『EUデータ保護指令』の十分性認定を受けるために、セーフハーバー協定による認定をEUと取り交わしていた。しかしながら、2001年9月11日に米国内で発生した同時多発テロ事件を契機に成立したといわれるパトリオット法を後ろ盾に、国家情報機関による強硬姿勢を前面に打ち出した情報収集の実態が明るみになり、セーフハーバー協定による十分性認定を取り消されたのだ。
　いわゆるスノーデン事件では、米国の情報機関が、EU内でデータ保護の規制強化を積極的に推進するドイツのメルケル首相の電話の通話を盗聴していたことが、元職員であるスノーデン氏の内部告発により明るみになり、この事件が『EUデータ保護指令』の十分性認定の取り消しに大きな影響をもたらしたといわれている。また、EUで新たに施行される『EUデータ保護規則』の特徴といえる『忘れられる権利』についても、日本の裁判事例を通し、比較検証を行った。

　第二回(7月号)では、英国の国民投票によるEU離脱決定というショッキングなニュースが飛び込んできたことから、英国がEU離脱した以降に想定される日本への影響、および欧州における歴史的背景を正しく知ることがビジネス上におけるリスクマネジメントとして大切だという視点で考察を進めた。

　第三回(8月号)では、『パーソナルデータ』を主眼に置き、欧州、米国と日本との差異について検証を行い、日本では『パーソナルデータ』への取り組みについて、活用に向けた手段と目的が入れ替わっている旨の事例により考察を行った。
　以上がこれまで考察してきた概要となるが、第4回(9月号)では、これまでの考察結果を含め、日本とグローバルにおける個人情報、およびプライバシーにおける解釈について検証を行う。

　さて、個人情報の対象範囲が、実は欧州と日本では決定的な違いがある。EUにおける個人情報保護の対象は、これまでに何度も出てきた『パーソナルデータ』である。
　これは、別の言葉で言い換えると、『個人データ』となるが、日本における個人情報保護の対象は『個人情報』である。
　そもそも『データ』と『情報』の違いは何か？この両者を整理してみると、まず『データ』とは、『ある事象においてある規則性に基づいて得られた数値・文字・記号などの集合体』を言い、『情報』とは、『人間にとって意味や価値のあるデータを加工して得られたもの』をいう。

　ITソリューション開発においては、まずクライアントからシステム化したい要求事項、いわゆる要件定義をもとにシステム設計に着手するわけだが、この要件定義は、言い換えると『情報』といえる。
　一方、この『情報』を加工して、データベース化する作業に入ると、情報は文字通り『データ』へと変容する。しかしながら、この『データ』と『情報』を混同している方が非常に多いのも事実だ。

　『EUデータ保護指令』における『個人データ』の定義は、『識別されたまたは識別され得る自然人(データ主体)に関する全ての情報』とされ、日本の『個人情報』の定義は、『特定の個人を識別することができる情報』となる。先に、『データ』と『情報』の違いについて記述したが、この双方の比較では、一見、人を識別するという観点では同じ解釈をしているのではないか？と思いたくなるが、では何故、日本がこれまで『EUデータ保護指令』の十分性認定を受けられなかったのだろうか？

　『EUデータ保護指令』における『個人データ』の定義の全文は以下の通りとなる。
----------------------------------------------------------------------------
『識別されたまたは識別され得る自然人に関する全ての情報をいい、識別され得る自然人とは、特に個人識別番号、または身体的、生理的、精神的、経済的、文化的並びに社会的アイデンティティに特有な1つまたはそれ以上の要素を参照することによって、直接的または間接的に識別される者をいう』
----------------------------------------------------------------------------

　次に2018年に新たに施行される『EUデータ保護規則』における『個人データ』の定義は以下の通りである。
----------------------------------------------------------------------------
『識別されたまたは識別され得る自然人に関する全ての情報をいい、識別され得る自然人とは、特に氏名、個人識別番号、位置データ、オンライン識別子、または身体的、生理的、遺伝的、精神的、経済的、文化的並びに社会的アイデンティティに特有な1つまたはそれ以上の要素を参照することによって、直接的または間接的に識別される者をいう。』
----------------------------------------------------------------------------

　『EUデータ保護指令』では、『個人データ』として、携帯電話番号、メールアドレス、クレジットカード番号等が保護すべき対象とされてきたが、『EUデータ保護規則』においては、氏名、位置データ、オンライン識別子、遺伝的の4項目が新たに追加された。これにより、『EUデータ保護規則』では、IPアドレス、GPS位置情報などがデータ保護の対象になると想定されている。

　次に、日本の個人データについて、下図を参照いただきたい。

　(一般財団法人　個人情報保護士会サイトより)

　上図の通り、個人データは個人情報に包含されるもので、個人データを特定の手段によって整理し、検索可能な状態になったのが個人情報データベースとなり、バックアップデータや帳票等に印字された個人情報も個人データとして扱われる。この際、個人情報データベースを構成する以前の入力帳票に記載された未整理の個人情報については個人データに含まないものとされる。

　EUデータ保護指令、EUデータ保護規則、日本の個人情報保護法の三者を比較してみると、総じて、『個人情報』がより範囲が広い分、逆にあいまいな解釈になっていることは歪めない事実である。
　故に、日本における個人情報保護の現状は、とにかく『全ての個人情報は保護すべし・・』のような発想につながり、日常生活、そしてビジネスにおいて窮屈な環境をつくっているのではないだろうか？

　一方、個人データについては、一般的には何が保護されるべきかが明確になっている。
　この違いは、日本人と欧米人との国民性の違いに起因しているといっても過言ではない。
　様々な意思決定を行うプロセスを玉虫色で曖昧にするのが得意？な日本人・・。対して、具体的に白黒はっきりさせようとするのが欧米人という国民性の違いが存在する。

　先日、『日本のいちばん長い日』という映画を観ていて、改めて気づかされたことがある。原爆を広島、長崎に相次いで投下されても、軍部の一部が本土決戦を最後まで唱え、彼らは2000万の国民が総玉砕することで、必ず最後の勝利が導かれると確信していた。そしてこの一部の集団は、8月15日の天皇陛下の玉音放送を妨害し、本土決戦に向けた方針転換を強行しようとした実際にあった史実を描いた映画である。この映画の前半で、未だ本土決戦について論議を進めていた頃、当時の政府閣僚が本土決戦用の武器倉庫を視察するという場面があるが、この倉庫には戦国武将の鎧・兜や火縄銃、槍、刀などしかなく、ある閣僚が『日本には、もはやまともな武器が残っていない・・。』とつぶやくが、周囲に発言を止められる場面がある。こういう発言自体が、当時は『非国民』とされたからだ。そして屋外では、竹やりと気合で米軍を駆逐しようとする訓練が続いている光景が映し出される。しかしながら、これでは関ケ原の合戦ですら、勝利は難しいと視察した閣僚全員が感じていたのではないか。
　日本という国は、江戸幕府以降、幕府の方針で264年もの長期に渡って、海外との交流を禁じられていたのは周知の事実だが、戊辰戦争、五箇条の御誓文のあった明治維新(1868年)から現代(2016年)までの148年間で、残念ながら日本国民のグローバル化は、本質的には進んでいないと私は考えている。

　最後に、表題の【個人情報の取扱いにおけるグローバル化】について一言で集約するとすれば、何故、個人情報の保護をするのか？そして何故、日本にとってグローバル化が必要なのか？という問いに対する最適解をどのように導くかではないかと考えている。
　米国が、これまでセーフサーバー協定によるEUデータ保護指令の十分性認定を受けてきたのは、一重に国益を最優先事項とした証ではないかと考えている。
　一方、日本が敢えて、EUデータ保護指令の十分性認定を受けてこなかった(受けられなかった？)のは、国益につながる政策としては優先度が低かった・・、或いは真剣に論議できる人材が国内にいなかったからではないか。
　しかしながら、日本という国家は、膨大な借金を抱え、急ピッチで少子高齢化が進んでいる、いわば国家崩壊へのタイマーが着々と起動し続けていることを私たちは再認識しなくてはならない。
　2018年に施行されるEUデータ保護規則に対して、日本の改正個人情報保護法の全面施行は2017年上期頃になると想定されるが、現時点で、EUデータ保護規則への十分性認定を受けるための抜本的な論議は明確に進んでいないのである。
　個人情報保護の分野における世界のガラパゴスとならぬよう、国民の一人として日本の個人情報取扱いにおけるグローバル化が着実に進むことを望んでやまない。

　現在、私はあるNPOで、パーソナルデータについて有識者とともに意見交換を行うとともに、最終的には、国家に対して提言できるような成果物を作るべく検討を進めている。
　国内外で、新たな動きがあり次第、改めて投稿させていただく所存である。