情報通信政策研究
Online ISSN : 2432-9177
Print ISSN : 2433-6254
ISSN-L : 2432-9177
寄稿論文
日EU間の十分性相互認定と地球規模の自由な個人データ流通論
堀部 政男
著者情報
キーワード: 十分性相互認定, データ保護指令, GDPR, 本質的同等性, コンバージェンス, ハーモナイゼーション
ジャーナル フリー HTML

2020 年 4 巻 2 号 p. 1-23

詳細
PDFをダウンロード (1079K)
メタデータをダウンロード RIS形式

(EndNote、Reference Manager、ProCite、RefWorksとの互換性あり)

BIB TEX形式

(BibDesk、LaTeXとの互換性あり)

テキスト
メタデータのダウンロード方法
発行機関連絡先
Abstract

ICTの飛躍的発展は、地球規模の個人データ流通をテクノロジー的には可能にし、データトラフィックは拡大の一途をたどっている。しかし、それが実現できない法的障壁(バリア)がある。この問題は、既に40年以上前にOECDで議論になったが、日EU間の十分性相互認定の過程に関わって、そのことを想起し、改めて地球規模の自由な個人データ流通の実現を目指して議論を進める必要性を痛感している。

日EU間の相互の十分性決定は、世界で初めてであり、また、2018年5月25日に適用が開始されたGDPR第45条による認定も、日本の2017年5月30日に全面施行された改正個人情報保護法第24条による認定も、世界で初めてである。その歴史的・現代的意義は、どのように強調してもし過ぎることはない。

その過程で、日本型個人情報保護制度が国際的評価を受けた。そのこともあって、日本で個人情報保護法制は、令和2年・令和3年改正で、大きく変わることになる。

個人データの国際流通については、これまでにも、OECDやCoEで議論になってきた。現在、欧州委員会による十分性認定の手続が進められている。日本に関する十分性認定で明確になった、GDPRとのコンバージェンス(convergence)(類似性、収れん性等)やGDPRとの本質的同等性(essential equivalence)が、他の国のデータ保護制度でどのように適用されるかが注目される。また、欧州では、SCC(標準契約条項)の利用の議論が盛んに行われている。

アジアでは、APECのCBPRが個人データの国際流通で一定の役割を果たしている。また、シンガポールのアジア・ビジネス法研究所(Asian Business Law Institute)が各国・地域の個人情報保護法制について研究し、コンバージェンスの可能性を探っている。

Global Privacy Law Reviewに書いた英語論文で、「人類の歴史の現段階においては、“プライバシー文化”(privacy culture)はそれぞれの国や地域で異なっているが、データ保護法の調和(harmonization)が、世界中で個人データの移転が自由に行われるようにするために、必要不可欠であるということを私たちが認識することが極めて重要であると考える」を結語とし、コンバージェンスとほぼ同義のハーモナイゼーションの必要性を強調した

Translated Abstract

The dramatic development of ICT has made it possible technologically to flow personal data on a global scale and data traffic has been steadily expanding. However, there have been legal barriers to prevent transborder data flows. This issue was already discussed in the OECD more than 40 years ago. I recall it by having been involved in the process of the mutual adequacy recognition between Japan and the EU and fully feel it necessary to proceed discussions on how to realize free flows of personal data on a global scale.

Transborder flows of personal data have been argued in the Council of Europe (CoE) as well as in the OECD. Recently the European Commission has been determining whether a country outside the EU offers an adequate level of data protection. It is noteworthy that how the Commission would use “convergence” or “essential equivalence” in assessing adequacy of data protection in other countries. In Europe, there is a lot of discussions about the use of SCC (Standard Contractual Clauses).

In the Asia-Pacific Region, the APEC CBPR(Cross-Border Privacy Rules) System plays a role in cross-border flows of personal data. Recently the Asian Business Law Institute in Singapore has been studying the personal information protection laws of each country and region and exploring possibilities of “convergence”.

1.はじめに

ICTの飛躍的発展は、地球規模の個人データ流通をテクノロジー的には可能にし、データトラフィックは拡大の一途をたどっている1。しかし、それが実現できない法的障壁(バリア)がある。この問題は、既に40年以上前にOECD(Organisation for Economic Cooperation and Development, 経済協力開発機構)で議論になったところである2が、日本とEU(European Union, 欧州連合)の十分性相互認定の過程に関わって、そのことを想起し、改めて地球規模の自由な個人データ流通の実現を目指して議論を進める必要性を痛感している。

とはいえ、その実現論は、現時点においては机上の空論になりがちであるので、ここでは、具体的事例の一端を取り上げて、今後の議論への橋渡しをしたい。

その具体的事例の最近の例である日EU間の十分性相互認定は、2019年1月23日に実現した。その実現に至るプロセスについては、NBL 1148号(2019年6月15日)及び1149号(2019年7月1日)において、「日EU間の個人データの円滑な移転実現への道程と今後の課題(上)(下)」というタイトルで論じたので、それらを参照していただきたい。本稿では、部分的に重複するところがあるが、そこでは触れることができなかった、いわば前史に当たるところをも取り上げて、日本型個人情報保護制度が国際的評価を受けたこともあって、日本で新たな方向性が明らかになってきたことにも「あとがき」で少し触れることにする。

その前史については、時には研究者として、時には日本の行政機関の研究会のメンバーとして、また、時にはOECDのワーキングパーティの副議長(Vice-Chair, 後述)として、EU、米国、その他の外国の関係者と意見交換してきた経験の一端も明らかにしたい。

また、2020年にクルーワー・ロー・インターナショナル(Kluwer Law International)から発行されたグローバル・プライバシー・ロー・レビュウ(Global Privacy Law Review)の第1巻第3号3 が日本のプライバシー・個人情報保護法の特集をするというので、執筆の依頼を受け、“The Realization of Mutual Adequacy Recognition Between Japan and the EU and Issues Raised in the Process”(「日EU間の十分性相互認定の実現とその過程で提起された論点」)というタイトルの英語論文を書いた。最大8,000語という制約のもとで、日本のプライバシー・個人情報保護制度の概要も説明しながら、日EU間の十分性相互認定のプロセスや論点を明らかにした。その抜き刷りを海外の知己に送ったところ、様々なコメントをいただいた。それらは、本稿のタイトルをよりよく理解するのに役立つ面もあるので、「あとがき」で少し紹介することにしたい。

2.日本EU十分性相互認定の歴史的・現代的意義

2.1.世界で初めての相互の十分性決定

2019年1月23日、日本とEUの間で、個人データの安全・円滑な越境移転が実現した。これは、日本の個人情報保護委員会と欧州委員会との間で、対話を重ね、十分性認定(adequacy finding)を相互に行った結果である。相互の十分性決定(mutual adequacy decision)は、世界で初めてであり、また、2018年5月25日に適用が開始されたEU一般データ保護規則(EU General Data Protection Regulation, GDPR)第45条(十分性認定に基づく移転)による認定も、日本の2017年5月30日に全面施行された改正個人情報保護法第24条(外国にある第三者への提供の制限)による認定も、世界で初めてである4。その歴史的・現代的意義は、どのように強調してもし過ぎることはない。

その過程において日本のプライバシー・個人情報保護システムがEUによって綿密にチェックされ、メリットもデメリットも白日の下にさらされたと言ってよいであろう。日本国内における議論では明確にならなかったような論点も浮かび上がってきたとも言える5

2.2.謝意

この十分性認定については、研究者として長年にわたって問題提起をしてきたところであり、また、2014年1月1日特定個人情報保護委員会委員長を拝命し、2016年1月1日その改組後に就任した個人情報保護委員会委員長としてその実現に傾注してきたところである。以前に「プライバシー外交」という概念を提唱した立場からすると、これはその大きな成果であると言える。その意味では率直に言ってこの上なく嬉しく、誇りに思う。ここに至るまでには、日本の関係機関の担当者、研究者や欧州委員会の担当者による多大な努力があった。特に個人情報保護委員会事務局の献身的な努力があったことは特筆に値する。日EU間のダイアログは80回300時間に及んだ。この場を借りて衷心より感謝申し上げたい。

3.日本型個人情報保護制度の概要(2019年当時)と国際的評価

3.1.日本における個人情報保護制度(2019年以前)形成の概略

日本の個人情報保護制度は、歴史的に見ると、次のようになる。

  • ・1970年代中葉以降 地方公共団体(基礎自治体)の個人情報保護条例制定
  • ・1988年 行政機関電算処理個人情報保護法制定
  • ・1990年 地方公共団体(都道府県)―神奈川県個人情報保護条例、東京都個人情報保護条例制定
  • ・2003年 個人情報保護法、行政機関個人情報保護法(1988年行政機関電算処理個人情報保護法を全部改正)、独立行政法人等個人情報保護法制定
  • ・2013年 マイナンバー法制定
  • ・2015年 個人情報保護法・マイナンバー法改正6

これらをまとめると、2003年個人情報保護法は基本法的性格の部分(第1章~第3章)と民間部門対象の一般法的部分(第4章~第7章)からなり、2003年行政機関個人情報保護法は国の行政機関を対象とし、2003年独立行政法人等個人情報保護法は独立行政法人等を対象にしている。換言すれば、国レベルだけで3つの個人情報保護法が存在している。また、地方公共団体は、それぞれ独自の個人情報保護条例を制定している。

日本の国家形態は、連邦制ではなく、単一国家であるが、欧州の単一国家の制度に親しんでいる専門家からは日本の制度は複雑で、理解が困難であるとの感想を幾度となく聞いている。

3.2.日本に関する欧州委員会十分性決定(2019年1月23日)

3.2.1.欧州委員会十分性決定

日本に関する欧州委員会の十分性決定(European Commission Adequacy Decision on Japan)は、 2019年1月23日になされた。この時の文書は、47頁に及ぶ詳細なものである7

これは、全体的には通し番号付きで、それぞれの文章が始まっている。その通し番号は、(1)から(191)まである。その後に掲載されている決定は、4か条で構成されている。

3.2.2.決定の第1条第1項

その第1条第1項は、次のとおりである。

「1. EU規則2016/679の第45条の目的上、日本は、附属文書Ⅱ で表明されている公的な説明、保証及び公約とともに、附属文書Ⅰに掲載されている補完的ルールにより補足されている個人情報保護法に従って、欧州連合から日本の個人情報取扱事業者に移転される個人データの十分なレベルの保護を確保している。」

3.2.3.附属文書

この第1条第1項の「決定」の中で言及されている附属文書は、次のとおりである。

3.2.3.1. 附属文書Ⅰ 

附属文書Ⅰは、「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール8」(Supplementary Rules under the Act on the Protection of Personal Information for the Handling of Personal Data Transferred from the EU based on an Adequacy Decision)である。

3.2.3.2. 附属文書Ⅱ

附属文書Ⅱは、「法執行及び国家安全保障目的の日本の公的機関による個人情報の収集及び使用」(Collection and use of personal information by Japanese public authorities for criminal law enforcement and national security purposes9)であって、上川陽子法務大臣から、ベラ・ヨウロバー司法・消費者・男女平等欧州委員会委員(Ms. Věra Jourová, Commissioner for Justice, Consumers and Gender Equality of the European Commission)あてに発せられた書簡である。「本書簡は、法務省及び次の関係省庁により作成されたものである」と説明されている。そこに掲げられている官名及び氏名は、次のとおりである(作成当時)。

  • 内閣審議官 濱野 幸一
  • 警察庁長官 栗生 俊一
  • 個人情報保護委員会事務局長 其田 真理
  • 総務事務次官 安田 充
  • 公安調査庁長官 中川 清明
  • 防衛事務次官 高橋 憲一

3.3.国際的評価

この部分が日本型個人情報保護制度に関する「国際的評価」と名付けられる結論部分である。結果的には、十分性は認定された。ここから明らかなように、附属文書が重要な役割を果たしている。附属文書で説明されている部分を含めて結論部分に至る、日本型個人情報保護制度に関する、欧州委員会の分析を見る必要があるが、ここでは、割愛する。

4.EUデータ保護指令提案の採択

4.1.“adequacy”との出会い

今でこそ「十分性」(adequacy)という言葉がポピュラーになってきたものの、現行のGDPRの前身であるEUデータ保護指令(EU Data Protection Directive)の提案が1990年7月27日に出され、航空便で送られてきたものを読み進んだときに、“adequate level of protection”、“adequacy”という言葉に出会い、その当時の日本における個人情報保護システムとの関係で問題提起をしたが、全くと言ってよいほど、理解されなかった。

4.2.「十分性」という日本語訳

指令提案の中に出てくるadequate level of protectionの“adequate”をどのような日本語に置き換えるか、いろいろと考えた。当時参照した辞書類はもはや見ることができないが、「十分な」「適切な」「適当な」「妥当な」「相当な」などの日本語訳があった。その名詞形であるadequacyは、「十分性」「適切性」「適当性」「妥当性」「相当性」になる。「十分なレベル(水準)」となると、他の日本語よりも要求されるレベル(水準)が高くなるようにも解される。

そこで、当時、欧州委員会の担当者に“adequate”というのは、proper, appropriateと同義であるかと質問したところ、enough, sufficientと同義であるとの説明があった。英英辞典でも、enough, sufficientという言い換えになっているものがあった。proper, appropriateと同義であるならば、「適切な」「妥当な」「相当な」という訳語を使うことができると思った。しかし、担当者の説明を踏まえて、日本の法令用語10では馴染みがないが、原意に最も近いと言える「十分な」という日本語を当てることにした。これが、今や、広く用いられている。

4.3.日本国憲法の英文のadequateの使用例

その後、日本国憲法の英文で調べてみたことがあったが、改めて読んでみると、憲法では、“adequate”が次の4か所で使われ、日本語はここに掲げたようになっている。

  • ・第34条 正当な理由
  • ・第35条 正当な理由
  • ・第79条第6項 相当額の報酬
  • ・第80条第2項 相当額の報酬

5.データ保護指令の提案・採択・発効

5.1.最初のデータ保護指令提案の採択(1990年7月27日)

当時の欧州共同体(European Communities, EC)理事会(Council)は、1990年7月27日に、①「個人データの取扱いに係る個人の保護に関する理事会指令提案」(Proposal for a Council Directive concerning the protection of individuals in relation to the processing of personal data)及び②「公衆デジタル通信網、特にISDN及び公衆デジタル移動体通信網における個人データ及びプライバシー保護に関する理事会指令提案」(Proposal for a Council Directive concerning the protection of personal data and privacy in the context of public digital telecommunications networks, in particular the integrated services digital networks (ISDN) and public digital mobile networks)を採択した。これらは、「提案」(proposal)段階のものである。

この②のタイトルで使われている情報通信関係の表記に注目されたい。当時においては、「公衆デジタル通信網」、「特にISDN」及び「公衆デジタル移動体通信網」という概念が使われていた。これらのうち、ISDNは、日本でもそのまま用いられた。ここに情報通信の発展段階が如実に示されている。

5.2.指令(Directive)の法的性格

ここに出てくる指令11(Directive) は、EEC条約(Treaty establishing the European Economic Community)において、「達成すべき結果について、これを受領するすべての構成を拘束するが、方式及び手段については構成国の機関の権限に任せる」(同条約189条)ものである12(これに対し、最も拘束力の強い規則 (Regulation)は、「一般的な効力を有し、そのすべての要素について義務的であり、すべての構成において直接適用することができる」というものである13)。換言すれば、指令は、規則のように直接適用するものではないが、構成国を拘束することに注意する必要がある。こうすることによって、構成国間において個人データ保護法の調和・統一を図ろうとする方向が出てきている。

5.3.最初のデータ保護指令提案の紹介

データ保護指令についてはこれまでにもかなり論じてきた。例えば、ジュリスト1000 号(1992年5月1日-15日号)(新世紀の日本法:GLOBAL 時代の針路)の堀部政男「情報化とプライバシー14」で―当時は、EUになる前であったので―「ECの個人データ保護指令」ということで、十分性についても問題提起をしている。この論稿では、1990年7月に公表された提案段階でのものを対象とした。

5.4.改正提案(1992年10月15日)の公表

この最初の指令提案をめぐって各方面で多彩な議論が展開された。当時も、国際会議の場や欧州委員会で担当者と会って、この提案について意見交換したりした。このタイトルは、保護に傾いていて、個人データの自由な流通・移転に欠けるところがあるのではないか、などとコメントしたことがある。

欧州委員会は、1992年10月15日、「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する理事会指令の改正提案」(Amended proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)を明らかにした(太字は本稿)。

改正提案で注目されるのは、最初の提案が「個人データの取扱いに係る個人の保護」というタイトルであったのに対して、「及び当該データの自由な移動」という新たな表記が追加されたことである。欧州委員会の担当者から改正提案を渡され、目を通し始めてみて、タイトルが変わっていることに気付き、そのことに触れたたところ、「情報の自由な流れ」(free flow of information)も重要であるという、外部の意見(私の意見を含む)をも踏まえた結果であると語っていた。

このようなこともあって、指令提案にはますます親しみを感じるようになった。

5.5.欧州連合の発足(1993年11月1日)

1991年12月にオランダのマーストリヒトで開催された理事会で「欧州連合条約」(Treaty on European Union)(一般に「マーストリヒト条約」と呼ばれている)の締結について合意され、1992年2月にこの条約が調印された。マーストリヒト条約は、1993年11月1日に発効し、欧州連合(European Union, EU)が発足した。

5.6.指令の採択(1995年10月24日)と発効(1998年10月24日)

指令は、1995年10月24日に採択されたので、その過程などについても論じ始めた。堀部政男研究室として指令の日本語訳を試みた15。1997年6月刊行の堀部政男編「変革期のメディア」(ジュリスト増刊)で、「EU個人保護指令と日本16」というタイトルで論じた。

指令は、3年後の1998年10月24日に発効した。1996年2月に、OECDの情報セキュリティ・プライバシー作業部会(Working Party on Information Security and Privacy:WPISP)―名称の変遷はあったが、この名称がワーキングパーティの作業内容を分かりやすく示しているので、これを使う―の副議長に選ばれ、欧州委員会関係者、米国の関係者とも「十分性」については頻繁に議論した17

しかし、日本については、それ以前の問題として、個人情報保護システムがどうなっているのかしばしば説明を求められた。日本の状況について説明してきたが、ここでは、省略し、本稿の主題である「十分性」の議論に進むことにする。

6.第29条作業部会の「作業文書」による「十分なレベルの保護」の評価基準

指令第29条は、「個人データの取扱いに係る個人の保護に関する作業部会」(Working Party on the Protection of Individuals with regard to the Processing of Personal Data)について規定していた。その作業部会が1998年7月24日に採択した「個人データの第三国への移転:EUデータ保護指令第25条及び第26条の適用」(Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive)と題する「作業文書」(Working Document)(WP12)というものがある。これは、「十分なレベルの保護」の評価基準を示したものとして重要である。

その後、 2018年2月6日に、このWP12の後継の「十分性参照文書18」(Adequacy Referential)が採択されたので、WP12の検討は割愛する。

7.日本の個人情報保護制度に関する問合せ等(照会)と説明等(回答)

7.1.日本の個人情報保護制度に関する質問と説明

これまでの叙述からもある程度まで明らかなように、海外の関係機関訪問や会議出席等は枚挙にいとまがない。そのような機会に日本に関するプライバシー・個人情報保護について、当然のことながら、必ずといってもよいほど質問を受けてきた。

特に、前述のように、1996年にOECDのワーキングパーティの副議長に就任してからは、その頻度はますます高くなった。

ここでは、その具体的な例の一部を紹介することにしたい。

7.2.ナミュール大学CRID「日本における個人データ保護法に関する第一次的分析」(2006年)

欧州委員会は、第三国の十分性を認定できるか否かを判断するために、ベルギーの南部にあるナミュール大学(University of Namur)のCRID(Centre de Recherche Informatique et Droit、情報と法研究センター)にいくつかの国のデータ保護法制について研究することを委託していた。その一つが日本で、欧州委員会の担当者からも言われていたが、CRIDから日本についての調査に協力を求められた。本来、欧州委員会の内部資料として利用するために公にしないことになっていたが、意外に広く知られているので、ここでも触れることにする。

日本の個人情報保護法全般について前掲のWP12に則って分析することになるが、その前提として個人情報保護関係法を英訳する必要があり、欧州諸国のデータ保護法やデータ保護指令では使われていない概念が多く、その英訳に努めた。述べたいことは多々あるが、ここでは、その成果である文書を少し紹介するにとどめることにする。

この文書の表紙のタイトルは、「日本における個人データ保護に関する第一次的分析」(FIRST ANALYSIS OF THE PERSONAL DATA PROTECTION LAW IN JAPAN)となっていて、最終報告書を作成する次の段階に進むかどうかを決定するためのものであった。作成者の氏名とともに、中央大学法科大学院の堀部政男教授の協力を得たことが明記されている。

70頁に及ぶ文書で、英語になっている日本の憲法等についてはCRIDで書かれた部分があるが、大部分は私の執筆したものをCRIDで整理した報告書である。

8.ブリュッセル・データ保護会議(2009年4月23日)とアジェンダ

ベルギーの首都ブリュッセルにおいて、2009年4月23日、日白協会(Belgium-Japan Association)主催のデータ保護会議(BJA-Conference on Data Protection)が開催された。この会議は、BJA副理事長であるタンギー・バン・オーバーストラテン(Tanguy Van Overstraeten)弁護士(リンクレーターズ法律事務所(Linklaters LLP)のパートナー)が中心になって企画された。

2009年4月23日の「EUと日本におけるプライバシー・個人情報保護」(Privacy and Personal Data Protection between EU and Japan)会議と称することができるデータ保護会議のアジェンダは、次のようになった。

  • ○序論 (Introduction) リンクレーターズ法律事務所 タンギー・バン・オーバーストラテン
  • ○日本におけるプライバシー・個人情報保護(Privacy and Personal Information Protection in Japan) 一橋大学名誉教授 堀部政男
  • ○欧州連合におけるデータ保護―EUから第三国への個人データ移転(Data Protection in the European Union ―Personal Data Transfers from the EU to Third Countries) タンギー・バン・オーバーストラテン
  • ○十分性認定手続(Adequacy Finding Procedure)  欧州委員会・司法自由安全総局(European Commission Directorate-General-Justice, Freedom and Security)法務政策部(Legal Affairs and Policy)ユニットD5・データ保護(Unit D5 Data Protection)事務官(Desk Officer) ハナ・ペチャコバ(Hana Pecháčková)
  • ○日本におけるデータ保護-2006年第一段階のCRIDによる調査結果(Data Protection in Japan: Findings by CRID in FIRST STEP report of 2006)
  • ナミュール大学教授(Prof. at the University of Namur) イブ・プレ(Yves Poullet)→当日、プレ教授が病気のため出席できなかったので、フランク・デュモルチィエ(Franck Dumortier)氏が出席して講演
  • ○ケース・スタディ:EUにおけるAGCのデータ保護ルールの取扱い
  • (Case study: AGC dealing with data protection rules in the EU)  AGC Europe [AGCは、Asahi Glass Corporation] 租税・監査・リスク・マネージメント・ディレクター(Tax, Audit & Risk Management Director) エマニュエル・ハザ-ル(Emmanuel Hazard)
  • ○閉会の辞(Closing remarks) タンギー・バン・オーバーストラテン

この会議の模様については、2010年発行の堀部政男編著『プライバシー・個人情報保護の新課題』(商事法務)の「第1章 プライバシー・個人情報保護の国際的整合性」という論稿において、特に重要と考えられる、ペチャコバ氏のプレゼンテーションをできるだけ忠実にまとめてみた19ので、参照されたい。

9.情報ネットワーク法学会主催の講演会(2009年6月13日)

欧州委員会のペチャコバ氏は、「日本は、個人の私生活にかかわる個人データ及び基本権に関して十分なレベルの保護を提供している国であるとは、EUによって未だ考えられていない」と表明した。この話と同趣旨のことは、これまでにも欧州委員会の関係者から聞いていたが、多数のオーディアンスが集まった公開の場では初めてであった。日本にとって非常に重要な情報であるので、研究会の同僚には話し始めた。それがきっかけで、情報ネットワーク法学会主催で、講演会が開かれることになった。私は、ブリュッセルの会議にとどめず、グローバルな視点から、「グローバル社会と日本のプライバシー・個人情報の保護―OECD情報セキュリティ・プライバシーWP副議長12年の経験」というようなタイトルで話をした。この講演会では、日本で自己情報コントロール権を提唱した、京都大学名誉教授の佐藤幸治氏が「憲法13条と自己情報コントロール権」というタイトルで講演し、その後、岡村久道弁護士の司会でパネルディスカッションが行われた。この講演会での講演は、NBL912号(2009年9月1日)で特集されている20

この特集で記されていることは、重要であるので、引用すると、次のようになる。

「平成21年6月13日、一橋記念講堂において、情報ネットワーク法学会主催、国立情報学研究所共催、IT戦略本部、総務省、経済産業省、(社)商事法務研究会後援による特別講演会が開催された。堀部政男・一橋大学名誉教授、佐藤幸治・京都大学名誉教授の講演のほか、岡村久道弁護士の司会によるパネルディスカッション(質疑応答)が行われ、産官学、法曹、報道・出版など各界から300名を超える参加者を得て熱気あふれる講演会となった。講演会の内容については、紙幅の関係から、そのすべてを紹介することはできないが、本稿は、堀部・佐藤両先生に当日の録音を基に講演のエッセンスを執筆していただいたものである。」

10.第三者機関の提案と設置

10.1.個人情報保護ワーキンググループ取りまとめ(2011年6月22日・23日)

「十分性認定」の要となる第三者機関(データ保護機関)の設置について提言する機会が訪れた。それは、社会保障・税に関わる番号制度との関係においてであった21。番号制度に関する検討会の第1回会合が、2010年2月8日に開催された。番号制度を導入するに当たりどのようなプライバシー・個人情報保護措置を講ずるかを検討する個人情報保護ワーキンググループ(座長・堀部政男)が設置され、その第1回会合が2011年 2月7日に開かれた。このワーキンググループは、同年6月22日に「社会保障・税番号制度における個人情報保護方策について大綱に盛り込むべき事項22」(以下「大綱に盛り込むべき事項」という。)を取りまとめるとともに、その翌日の23日に「個人情報保護ワーキンググループ報告書23」(以下「報告書」という。)を作成した。

10.2.取りまとめの「国民の懸念」の整理

ここでは要旨を掲げるにとどめるけれども、社会保障・税に関わる番号制度には、行政手続が簡略化されるとともに、きめ細かで的確な社会保障が可能になるなどのメリットがあるが、他方で、番号制度の実施に伴い、国民の間には、① 国家管理への懸念、② 個人情報の追跡・突合に対する懸念、③ 財産その他の被害への懸念が生じるのではないかと指摘されていると整理した。

10.3.第三者機関の設置等の提案

「大綱に盛り込むべき事項」は、「国民の懸念への対応」について、「これらの懸念に対しては、住民基本台帳ネットワークシステムに係る最高裁合憲判決(最判平成20 年3月6日)の趣旨を十分踏まえ、システム上の安全管理措置のほか、主として以下のような制度上の保護措置を講じることにより、高度な個人情報保護を図ることとする」として、「第三者機関の監視」を重視した。そして、「第三者機関」について、具体的に設置等を記述している24

11.マイナンバー法の成立(2013年5月24日)と特定個人情報保護委員会

11.1.マイナンバー法における保護措置

マイナンバー法は、2013年 5月24日に参議院本会議で成立し、同年 5月31日に他の関連法とともに公布された。マイナンバー法では、報告書で指摘した保護措置のかなりの部分が条文化されたが、それらは、要約すれば、主として、①現行の個人情報保護関係法の特別法で保護を強化、②保護を図るために第三者機関である特定個人情報保護委員会を設置、③プライバシー・インパクト・アセスメントである特定個人情報保護評価制度を導入、④罰則を強化、などで実現した。

11.2.特定個人情報保護委員会の委員長拝命

その一つである「②保護を図るために第三者機関」である特定個人情報保護委員会は、マイナンバー法第36条で2014年1月1日に設置されることになり、衆参両議院の同意を得て、内閣総理大臣により私が初代の委員長を拝命した。

12.改正個人情報保護関係法の成立と個人情報保護委員会の設置

12.1.個人情報保護法改正法案の閣議決定

個人情報保護法の改正については、2013年9月2日から2014年12月19日まで13回開かれたIT総合戦略本部の「パーソナルデータに関する検討会」(パーソナルデータ検討会)(2013年9月~同年12月座長・堀部政男、2014年1月~座長・宇賀克也氏)で議論が行われ、それを基礎に改正法案が作成された。また、マイナンバー法の改正については、2014年3月18日以降開催されていた、同じくIT総合戦略本部の「マイナンバー等分科会」(座長・金子郁容氏)の検討等を踏まえて立案された。改正法案は、個人情報保護法及びマイナンバー法の双方を対象としていた。すなわち、「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」が2015年3月10日に閣議決定され、衆議院に提出された。

12.2.国会における審議と可決・公布

衆議院では、内閣委員会における審議を経て、2015年5月21日に衆議院本会議で可決された。

参議院では、内閣委員会等における審議を経て、6月上旬には成立するであろうと見られていたが、6月1日に、日本年金機構の個人情報流出事件(125万件)が発覚したことにより、審議が中断し、8月27日に内閣委員会で質疑、修正提案とともに改正法案が可決され、8月28日に参議院本会議で可決された。

その後、9月3日に衆議院本会議で可決され、9月9日に公布された(2015年法律第65号)25

12.3.個人情報保護委員会委員長就任

2015年改正個人情報保護法の経過規定により、特定個人情報保護委員会の委員長及び委員は、2016年1月1日に個人情報保護委員会委員長及び委員に就任した。

12.4.個人情報保護委員会の歴史的・参加的意義

個人情報保護委員会設置の意義は、どのように強調しても強調し過ぎることはないと考える。そのことをNBL2016年1月1日号巻頭言に書いた26。今読み返してみても、当時の思いを率直に表現しているので、参照されたい。

13.日EU十分性相互認定から地球規模の自由な個人データ流通を展望

13.1.中間まとめ

以上、日EU間の十分性相互認定の意義を述べた後、ここに到達するまでの前史と言える経過を中心に叙述してきた。十分性相互認定も実現してみると、当然の成り行きのように見ている向きもあるが、この問題に長年関わってきた者としては、よくここまで来たものだ、と感慨深い。

13.2.十分性認定方式の進展のペース

以前にも書いたこと27と関連するが、欧州委員会が十分性認定の手続をとった国・地域は以下に示すように少数である。従来の手続で世界の国・地域を審査するならば、世界の個人データの移転が実現するまでに相当の年数を要するであろうと議論したこともあった28。欧州委員会の十分性に関するホームページに出ている国・地域を年代順に示すと、次のようになる29

  • スイス(2000年7月)
  • カナダ(民間部門のみ、2001年12月)
  • アルゼンチン(2003年6月)
  • ガーンジー島(2003年11月)
  • マン島(2004年4月)
  • ジャージー島(2008年5月)
  • フェロー諸島(2010年3月)
  • アンドラ(2010年10月)
  • イスラエル(2011年1月)
  • ウルグアイ(2012年8月)
  • ニュージーランド(2012年12月)
  • 日本(2019年1月23日)

そのような懸念を抱いていたところ、2017年に入って、 1月10 日に欧州委員会で採択された「欧州議会及び理事会への委員会のコミュニケーション:グローバル化する世界における個人データの交換と保護30」 (Communication from the Commission to the European Parliament and the Council, Exchanging and Protecting Personal Data in a Globalised World)が公表された。これは、 2017 年に、十分性認定の可能性を探ることも含めたハイレベルの保護を確保しながらのデータ流通促進について、日本等と積極的に連携していく意思を表明している。また、この中で、欧州連合のデータ保護ルールは、自由貿易協定の議題とはなり得えない(The EU data protection rules cannot be the subject of negotiations in a free trade agreement)と明記されているように、欧州委員会も、日EU間で進められていた経済連携協定(Economic Partnership Agreement, EPA)とは別途取り組んでいた。とはいえ、経済連携協定(EPA)とは密接な関係があり、各種の文書の中で言及されている。

日本に次いで十分性の議論が進んでいるのが韓国で、十分性協議が進められていると記されている31。その他の国・地域については今後明らかになるであろう。

13.3.本質的同等性の必要性

十分性の判断をする際に用いられる概念として、essential equivalence という言葉がある。ここでは、「本質的同等性」という日本語訳にするが、「実質的同等性」や「基本的同等性」等も見られる。

これは、シュレムズⅠ事件(Schrems I Case)に関する2015年10月6日の欧州連合司法裁判所(Court of Justice of the European Union, CJEU)予備的判決32において使われている。

また、2016年5月24日に発効したGDPR33の前文第104項(Recital 104)においても用いられている。

欧州委員会の2019年1月23日の日本に関する十分性決定(Adequacy Decision on Japan)においては、前文第(3)項の一般的な基準を示す部分で使い、「4. 結論」の最初の項である前文第(171)項において、次のように認定している34

「欧州委員会は、附属文書Ⅱで表明されている公的な説明、保証及び公約とともに、附属文書Ⅰで表明されている補完的ルールによって補足されている個人情報保護法は欧州連合から移転される個人データについてGDPRによって保障されているものと本質的に同等な(essentially equivalent)保護レベルを確保していると考える。」

13.4.本質的同等性の要件

「十分性」については、GDPR第45条に「十分性決定に基づく移転」(Transfers on the basis of an adequacy decision)という条文見出しで規定されている。「本質的同等性」について明文化しているのは、前述のように、前文第104項であるので、個人情報保護委員会のウェブサイトに掲載されている日本語訳35を掲げることにする。それは、次のとおりである(太字で下線部分)。

「EUが立脚する基本的な価値観、特に、人権の保護に沿って、欧州委員会は、その第三国又はその第三国内の地域若しくは特定の部門の評価に際し、特定の第三国が、法の支配、司法へのアクセス、並びに、国際人権の規範と基準、及び、公共の安全、国防及び国家安全保障並びに公共の秩序及び刑事法に関する立法を含め、その第三国の一般法及び特別法をいかに尊重しているかを考慮に入れなければならない。第三国内の地域又は特定の部門と関連する十分性決定の採択は、特定の取扱活動及びその第三国において施行されている適用可能な法的基準及び立法の適用範囲のような、明確で客観的な基準を考慮に入れなければならない。特に、個人データが一又は複数の特定の部門において取扱われる場合において、その第三国は、EU域内で確保されている保護と基本的に等しく十分なレベルの保護を確保していることの保証を提供しなければならない。特に、その第三国は、実効的かつ独立のデータ保護監督を確保しなければならず、かつ、加盟国のデータ保護機関との協力の仕組みを定めなければならず、かつ、データ主体は、実効的で執行可能な権利並びに実効的な行政救済及び司法救済を与えられるものとしなければならない。」

この日本語訳では、「基本的に等しく」となっているが、原文は、essentially equivalent である。

13.5.コンバージェンスという用例とその日本語訳

日EU間の十分性相互認定の過程において、コンバージェンス(convergence)という言葉が使われた。例えば、2017年7月3日にまとまった、熊澤春陽個人情報保護委員会委員とベラ・ヨウロバー欧州委員会委員 (司法・消費者・男女平等担当)による共同プレス・ステートメント(Joint Statement)の英語版では、they acknowledged that the recent reforms of their respective privacy legislation have further increased the convergence between their two systemsのように、convergenceが用いられた。同じステートメントの最後のところでも、they decided to intensify their efforts towards achieving this goal by early 2018, including by addressing relevant differences, building on the enhanced convergence between their two systems と使われた。個人情報保護委員会では、前者では、「類似したもの」という日本語訳にし、後者では、「類似性」とした。

一方、2017年7月6日の「安倍晋三内閣総理大臣及びジャン=クロード・ユンカー欧州委員会委員長による共同宣言36」(Joint Declaration by Mr. Shinzo Abe, Prime Minister of Japan, and Mr. Jean-Claude Juncker, President of the European Commission)の外務省仮訳37では、「日本及びEUは,包括的なプライバシー法制,一連の中核的な個人の権利及び独立した監督機関による執行を特に基礎とする,双方の2つの制度の収れん性を一層高めてきた」(the EU and Japan have further increased the convergence between their two systems, which rest notably on an overarching privacy law, a core set of individual rights and enforcement by independent supervisory authorities)というように、「収れん性」と訳している。

この英語には、30数年前に接したことがある。今では、歴史的な著作になったと言えるIthiel de Sola Pool, Technologies of Freedom (Harvard University Press, 1983) を共同で翻訳したときである。本書では、convergence of modes というような表現が使われている。どのような日本語にするか考え、「融合」と訳してみた38

これらから分かるように、定訳がない現状では、とりあえず、カタカナ表記で「コンバージェンス」としておくことにする。この概念は、現在の「本質的同等論」がGDPRを基軸にしているのに対し、他の個人データ保護法制との関係で論じることができるので、汎用性があると言える。

14.自由な個人データ流通に向けた従来の試み

14.1.OECDとCoE

個人データの国際流通を自由化する試みは、これまでにも行われてきた。冒頭でも触れたように、OECDはその先駆的な例であり39、欧州評議会(Council of Europe, CoE) の条約第108号40(Convention 108)もOECDとほぼ同じ時期の試みとして注目される。2018年5月18日に現代化された条約(条約第108+号(Convention 108+)と表記される)と個人データの国際流通も議論になっている41。条約第108+号の第14条は、個人データの国際流通に関する規定である。

その後の試みとしては、欧州におけるデータ保護指令も重要な役割を果たした。

14.2.APEC

2000年代における新たな国際動向として重要な意味を持っているのは、21エコノミーからなるアジア太平洋経済協力会議(Asia-Pacific Economic Cooperation, APEC)でプライバシーについて議論されるようになったことである。今では歴史的秘話と言えるが、別稿において、APECにおける議論のきっかけを明らかにした42

2003年2月13日、タイのチェンライで、ECSG(Electronic Commerce Steering Group)のデータ・プライバシー・ワークショップが開かれ、私は、日本における個人情報保護法制についてスピーチした。また、同年9月13日には、オーストラリアのシドニーでも会議が開かれ、日本の個人情報保護法制定やその前日の早稲田大学江沢民講演会名簿提出事件最高裁平成15(2003)年9月12日第二小法廷判決の概要(メディアからコメントを求められていたので、ファックスで概要を知った)について話をした。

その後も、多くの会議が開かれ、データ・プライバシー・ワークショップは、「APECプライバシー・フレームワーク」(APEC Privacy Framework)を策定した。このフレームワークは、閣僚会議で2004年11月18日にその国際的実施に関する今後の作業アジェンダとともに承認され、これが2005年11月16日に閣僚会議で承認された。これは、1980年OECDプライバシーガイドラインに準拠している。OECDの1980年ガイドラインが2013年に改正されたので、「APECプライバシー・フレームワーク」も2015年に更新された43

また、2011年にAPEC電子商取引運営グループで策定された越境プライバシー・ルール(Cross Border Privacy Rules system, CBPRシステム)が議論の中心になっている。これについて、個人情報保護委員会のウェブサイトは、次のように説明している44

「越境プライバシールール(CBPR: Cross-Border Privacy Rules)システムは、事業者のAPECプライバシー・フレームワークへの適合性を国際的に認証する制度です。

APECの参加国・地域が本制度への参加を希望し、参加を認められた国がアカウンタビリティエージェント(AA)を登録します。このAAが自国内の事業者について、その申請に基づきAPECプライバシー・フレームワークへの適合性を認証します。

我が国は、2014年に本制度への参加が認められ、2016年1月に一般財団法人日本情報経済社会推進協会(JIPDEC)がAAとして認定されました。また2016年12月には、JIPDECが初めてCBPR認証を行いました。

なお、我が国におけるCBPR認証取得事業者は、次のとおりです(2019年3月1日現在)。

  • インタセクト・コミュニケーションズ株式会社
  • GMOグローバルサイン株式会社
  • 株式会社Paidy」

15.多数の検討課題

本稿のタイトルに掲げた「地球規模の自由な個人データ流通論」を展開するためには、日本から見ても、個人データ国際流通については、EU以外の国・地域との移転実現のために論ずべき検討課題が多い。ここでは、そのほんの一部を取り上げることができるにすぎないことをお断りしなければならない。

これまでの経験からすると、具体的な国・地域間の課題を解明する必要がある。そのいくつかの例を挙げることにする。

16.英国のEU離脱と個人データの流通

16.1.英国のEU離脱(ブレグジットBrexit)と日英間の個人データ流通

個人情報保護委員会は、2019年1月18日、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」の告示を行った45 。英国は、2016年6月23日の国民投票でのEU離脱選択から約4年半後、離脱協定に基づき、2020年1月31日にEUを離脱した。個人情報保護委員会は、英国のEU離脱に伴う影響について、情報提供してきた46。英国の離脱後においても、EUに対して行った個人情報保護法第24条(外国にある第三者への提供の制限)に基づく指定を英国に対して継続することについて、2019年3月14日に開催した第94回個人情報保護委員会における決定47を踏まえ、同年3月19日、告示を行った48。この告示の適用日については、英国の離脱日とした。これにより、英国の離脱後においても、日英間の円滑な個人データ移転が確保されることになった。

16.2.EU英国自由貿易協定合意(2020年12月24日)と十分性決定案の公表(2021年2月19日)

EUと英国との個人データ流通問題について、EUでは、英国の個人データ保護制度の十分性認定が議論になっていた。2020年12月24日に合意された「貿易・協力協定」(Trade and Cooperation Agreement)の「プライバシー・データ保護」関係は、主として「第2部:貿易、運輸、漁業及びその他の取決め」(PART TWO: TRADE, TRANSPORT, FISHERIES AND OTHER ARRANGEMENTS)の「表題1:貿易」(HEADING ONE:TRADE)の「第Ⅲ編:デジタル貿易」(Title III – Digital Trade)の中で合意されている。これについては、別途、詳細に検討する必要があるが、ここでは、「第7部 最終条項」(PART SEVEN: FINAL PROVISIONS)で、欧州委員会が「十分性決定」を出すまでは、英国が「第三国」とはされないなどの条項を見るにとどめることにする。

最終条項第10A条は、連合王国に対する移動に関する暫定条項(Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom)という条文見出しである。比較的長い条文であるので、要旨を見ると、次のようになるであろう。

「EEAから英国への個人データの移転は、欧州委員会が英国に関する十分性の決定を発する日付、又は2021年5月1日(どちらかの側が反対しない限り、これは自動的に2021年7月1日に延長される)のいずれか早い方まで、第三国への転送としては扱われない。」

この条項からすると、2021年1月1日から6か月間は、英国EU間では、個人データは自由に流通することになる。今後の議論の展開が注目される。

その後、欧州委員会は、2021年2月19日、GDPR及び法執行指令(Law Enforcement Directive)に基づく英国への個人データ移転について2つの十分性決定案49を公表した。所定の手続が進められている。

17.欧州データ保護会議の勧告(2020年11月10日)

各構成国の一つの監督機関の長、欧州データ保護監察機関の長、又はそれら各代理人によって構成される欧州データ保護会議(European Data Protection Board, EDPB)は、2020年11月10日に、「個人データ保護のEUレベルの遵守を確保するための移転手法ツールを補完する措置に関する勧告2020年第1号50」(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)(以下「勧告」という。)を採択し、意見募集(public consultations)の手続を開始した。締切りは、同年12月21日であった。

この勧告は、EDPBが、標準契約条項(Standard Contractual Clauses, SCC)の具体的内容を示しており、参考になるが、別の機会に紹介することにする。

18.欧州データ保護会議・欧州データ保護監察官共同の標準契約条項に関する共同意見(2021年1月15日)

EDPB及び欧州データ保護監察官(European Data Protection Supervisor, EDPS)が、2021年1月15日に、2つの標準契約条項に関する共同意見51(joint opinions)を採択した。一つは、管理者と処理者の間の契約に関するSCCで、もう一つは、第三国への個人データの移転に関するSCCについてのものである。これについても別の機会に譲ることにする。

19.Schrems II(欧州連合司法裁判所2020年7月16日判決)と欧米間情報流通

米国の商務省(Department of Commerce)は、2000年7月26日にセーフ・ハーバー・プライバシー諸原則(Safe Harbor Privacy Principles)についてデータ保護指令第25条第6項 に基づく「十分性の認定」を受けた。

ところが、2015年10月6日、欧州連合司法裁判所は、マキシミリアン・シュレムス対データ保護コミッショナー事件(Maximillian Schrems v. Data Protection Commissioner)において、欧州委員会のセーフ・ハーバー決定は無効である、と判断した52

その後、それに代わるプライバシー・シールド(Privacy Shield)が、2016年7月12日、欧州委員会により正式に採択され、同年8月1日から実施された。ところが、2020年7月16日、欧州連合司法裁判所は、このプライバシー・シールドに関する欧州委員会の決定は無効であるとの予備的判決を出した53

欧米間でどのような議論が行われているかは必ずしも明らかではないが、ジョー・バイデン(Joe Biden)氏が2021年1月20日に第46代大統領に就任し、上下両院とも民主党が優勢な政治状況の中で、米国がどのような個人データ保護措置を講ずるかに注目したい。

20.シンガポールのアジア・ビジネス法研究所(ABLI)の研究

アジアのデータ保護法については、国際的な法律事務所等でもかなり情報収集・提供が行われている54が、ここでは、アジアにおけるデータ保護法のコンバージェンスに積極的に取り組んでいる、シンガポールのアジア・ビジネス法研究所55(Asian Business Law Institute)の研究を少し紹介することにする。

同研究所でプロジェクトを進めている上級研究員(Senior Research Fellow)のクラリス・ジロ博士(Dr. Clarisse Girot)は、データプライバシープロジェクト総括責任者(Data Privacy Project Lead)である。ジロ博士は、2017年からこのプロジェクトに関わっている。

2017年9月に香港で開催された第39回国際データ保護・プライバシー・コミッショナー国際会議(International Conference of Data Protection and Privacy Commissioners, ICDPPC)のオープンセッション(9月28日)で、「日本におけるプライバシー文化とデータ保護法」(Privacy Culture and Data Protection Laws in Japan)というタイトルでスピーチした。その終了後に声をかけてきた参加者は多かったが、その一人が、ジロ氏であった。2001年9月にパリで開かれた第23回ICDPPCに主催機関のCNIL(Commission nationale de l'informatique et des libertés, 情報処理及び自由に関する国家委員会)からスピーカーとして招待された。会議の期間中何かと世話をしてくれたCNILの女性スタッフがいた。それがジロ氏であったと自己紹介した。それ以降、ときどきメールのやり取りをすることがある。

「はじめに」の最後に挙げた英語論文を送ったところ、礼状とともに同研究所の最近の研究成果を送っていただいた。ウエッブサイトで見ていたものもあったが、本稿の問題意識と共通するところが多かった。別途、検討する予定であるが、ここでは、研究成果のタイトル等を紹介するにとどめたい。それらは、次のようになる。

  • ○クラリス・ジロ(編集)『アジアにおける個人データ越境流通の規制56』(2018年5月28日)(Regulation of Cross-Border Transfers of Personal Data in Asia, by Clarisse Girot (editor), 28 May 2018)
  • ○『アジアにおける個人データの移転:越境データ流通に関するアジアの枠組み間の法的安定性及びコンバージェンスへの道を開く57』(2020年5月)(Transferring Personal Data in Asia: Carving a path to legal certainty and convergence between Asian frameworks on cross-border data flows (May 2020))

タイトルでconvergence(コンバージェンス)を使っていることに注目されたい。その冒頭部分で、「この比較検討は、どのようにすれば、アジアの公共の利害関係者がこの地域における個人データの越境移転に関する、そのそれぞれの法規の間の法的安定性及びより大きな調和を促進することができるかについて、提案を提示する」と述べている。

  • 〇『アジアにおける越境個人データ流通に関する法令の比較表58』(作業文書2020年11月23日)(Comparative Table of Laws and Regulations on Cross-Border Personal Data Flows in Asia (Working Document, November 23, 2020))

21.あとがき

これまで論じてきたことに関連して、いくつかの点について述べることにする。

第1に、本稿の最初で述べたことから明らかなように、日EU間で十分性相互認定が実現した。その過程において日本型個人情報保護制度については、様々な評価がなされた。個人情報保護法の令和2年(2020年)改正59も、それへの対応を含んでいる。また、2021年に予定されている令和3年改正も同様な面もあるが、2021年2月9日に「デジタル社会の形成を図るための関係法律の整備に関する法律案60」が閣議決定され、第204回通常国会に提出された61。「個人情報保護制度の見直し(個人情報保護法の改正等)」は、「デジタル社会の形成を図るための関係法律の整備に関する法律案の概要62」によると、次のような改正になる。

「① 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化。」

「② 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用。」

「③ 学術研究分野を含めたGDPR(EU一般データ保護規則)の十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化。」

「④ 個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化。」

「施行日:公布から1年以内(地方公共団体関係は公布から2年以内)」

この改正は、日本における個人情報保護法制の歴史上画期的である。

第2に、前史に当たるところは多々あるが、前掲の8で記述した、2009年4月23日の「EUと日本におけるプライバシー・個人情報保護」会議で、EU側から問題提起したペチャコバ氏の捉え方に触れることにする。ペチャコバ氏は、OECDの同じ会議に出ていた。また、欧州委員会でデータ保護担当者として日本のデータ保護制度について議論するときにも意見交換していた。日本とEUで合意に達しつつあった2018年8月にメールを送ってきた。

日本で2016年1月1日に個人情報保護委員会が設置されたときには、欧州委員会のモビリティ・運輸総局(Directorate-General for Mobility and Transport)に異動していた。2009年当時、欧州連合日本政府代表部書記官であった井上淳氏(現在・内閣参事官)に2018年8月(同氏はこの当時は慶応義塾大学メディア・コミュニケーション研究所准教授であった。)にペチャコバ氏から私あてのメールが届いたとのことで、届けてくださった。そのメールは、「貴方が日本の初の独立個人情報保護委員会委員長に就任されたことを知り、大変嬉しく思います。数十年間にわたり、貴方は、日本と世界の個人データ保護の歴史を書いて来られました。貴方は、日本とデータ保護に触れるときにはいつも“参考書”(“The” reference)でした」という書き出しで、「私たちは、今や成功裏に終わろうとしている、エキサイティングな旅のまさに当初から日本とEUのデータ保護制度の十分性認定について一緒に努力してきたことを思い出されるでしょう」と述べている。

第3に、「はじめに」の最後で触れた英語論文へのコメントは、私にとっては励みになった。アイルランドのコミッショナーを務め、現在はOECDのデータ保護コミッショナー(Data Protection Commissioner)の役職にあるビリー・ホークス(Billy Hawkes)氏は、「この論文は、複雑なプロセスを日本側から明快に分析するとともに、望ましい結果を達成するために必要とされた政治的・行政的な取組みの連携をも明らかにしています」と評価した。また、GDPRがOECDのような国際機関への個人データの移転も制限していることから、「十分性レジームに取り組んだ日本の経験は、EUの十分性決定という“金字塔”(gold standard)を求めることに伴うであろう重大な挑戦を例証しています」とも書いている。

また、1999年から2004年まで、オーストラリアのプライバシー・コミッショナーを務めたマルコム・クロンプトン(Malcolm Crompton)氏は、「日本が、十分性を得るためにEUと辛抱強く話し合ってきたことは祝福されるべきです。オーストラリアは、何年も前にギブアップしました」などと記し、EUに対する不満も表明していた。

寄せられたコメントは、日EU間の十分性相互認定の複雑なプロセスを明快に説明していると異口同音に評価しているが、前述のように、8,000語以内という制限内でまとめたため、地球規模の自由な個人データ流通を念頭において、結語では「検討すべき課題はまだまだ残っている。最後に、人類の歴史の現段階においては、“プライバシー文化”(privacy culture)はそれぞれの国や地域で異なっているが、データ保護法の調和(harmonization)が、世界中で個人データの移転が自由に行われるようにするために、必要不可欠であるということを私たちが認識することが極めて重要であると考える」とまとめた。この意見を全面的に支持するというコメントが、プライバシー・ローズ・アンド・ビジネス(Privacy Laws & Business)社の最高経営責任者(Chief Executive)のスチュアート・ドレスナー(Stewart Dresner)氏や前掲のABLIのクラリス・ジロ氏から寄せられた。

最後に、本稿を閉じるに当たって、ここで述べきたことを踏まえて、結びとしたい。ハーモナイゼーション(harmonization)は、前掲のコンバージェンスとほぼ同じような意味であると言えるが、地球規模の自由な個人データ流通を目指した本稿でも、現段階では、英語論文の結語で書いたような「法の調和」(harmonization of law)を求める営みを継続する必要性を強調しておきたい。日EU間の十分性相互認定は、その具体例であり、そのような営みが地球規模で進められることを期待したい。

Footnotes

1 総務省『情報通信白書』各年版参照。『情報通信白書』2017年版で、個人情報保護委員会委員長としてインタビューを受け、「個人情報保護の今後―活用とのバランスを」というタイトルで掲載されている(102~105頁)。

2 堀部政男『現代のプライバシー』(岩波書店、1980年)103頁以下、同『プライバシーと高度情報化社会』(岩波書店、1988年)65頁以下、堀部政男・新保史生・野村至『OECDプライバシーガイドライン―30年の進化と未来』(JIPDEC、2014年)掲載の理事会勧告本文(1980年))212頁以下、理事会勧告の説明覚書(1980年)参照。本書では、英文と日本語訳を掲載している。翻訳は、行政管理庁行政管理局監修『改訂 世界のプライバシー法』(ぎょうせい、1982年)を使わせていただいている。

3 この号のゲスト・エデター(guest editor)は、石井夏生利中央大学国際情報学部教授である。

4 堀部政男「日EU間の個人データの円滑な移転実現への道程と今後の課題(上)」、NBL 1148号 (2019年6月15日) 9頁。

5 同「日EU間の個人データの円滑な移転実現への道程と今後の課題(下)」、NBL 1149号 (2019年7月1日) 26頁。

6 この後、2020年個人情報保護法改正、2021年個人情報保護法改正予定。

7 当初はhttps://ec.europa.eu/info/sites/info/files/draft_adequacy_decision.pdfに掲載され、その後、Official Journal of the European Union 19.3.2019, L 76/1に登載された。https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:L:2019:076:FULL&from=DA(accessed 30 Jan. 2021)

8 https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf(accessed 30 Jan. 2021)現行の補完的ルールは、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」というように、「英国」が入っている。

9 参考仮訳がhttps://www.ppc.go.jp/files/pdf/kariyaku_government_access.pdfに掲載されている。(accessed 30 Jan. 2021)

10 e-Gov 法令検索で、「十分」という言葉が使われているか確認したところ、協働取組による環境の保全に関する公共サービスの効果が十分に発揮される契約の推進に関する省令(平成24年環境省令第20号)で使われているに過ぎないことが明らかになった。(accessed 16 Dec. 2020)

11 小田滋・石本泰雄編『解説条約集』(三省堂、1983年)の「EEC条約」では、「命令」となっているが、その後においては、「指令」が一般的になってきたので、本稿では「指令」を使うことにする。

12 2009年12月1日発効のリスボン条約(Treaty of Lisbon)後は、EU機能条約Treaty on the Functioning of the European Union)第288 条に規定されている。

13 今や世界的に有名になったGDPR(General Data Protection Regulation)は、この規則 (Regulation)である。

14 堀部政男「情報化とプライバシー 」、ジュリスト1000 号(1992年5月1日-15日号)(新世紀の日本法:GLOBAL 時代の針路)25頁。

15 様々な場で使われたが、例えば、新聞研究578号(1999年9月)18頁以下参照。

16 堀部政男「EU個人保護指令と日本」、堀部政男編「変革期のメディア」(ジュリスト増刊、1997年6月)358頁。

17 OECDのWPISPの経験については、堀部政男「OECDの情報セキュリティ・プライバシー関係専門家会合の活動とガイドラインの策定(上)―WPISP副議長としての経験から」、季報情報公開・個人情報保護18号(2005年)2頁以下、「(下)」、同19号(2005年)2頁以下、堀部政男「グローバル社会と日本のプライバシー・個人情報の保護―OECD情報セキュリティ・プライバシーWP副議長12年の経験」、NBL912号(2009年9月1日)31頁以下参照。

18 前掲注4)NBL1148号15頁以下参照。

19 堀部政男「第1章 プライバシー・個人情報保護の国際的整合性」、同編著『プライバシー・個人情報保護の新課題』(商事法務、2010年)52頁以下参照。

20 堀部政男「グローバル社会と日本のプライバシー・個人情報の保護―OECD情報セキュリティ・プライバシーWP副議長12年の経験」、NBL912号(2009年9月1日)31頁以下参照。

21 この経緯などについては、既に論じてきた。例えば、堀部政男「個人情報保護委員会の設置と役割―小さな委員会の大きな役割(上)」、季報情報公開・個人情報保護73号(2019年6月)4頁以下参照。

22 「大綱に盛り込むべき事項」https://www.cas.go.jp/jp/seisaku/jouhouwg/taiko.pdf(accessed 30 Jan. 2021)

23 「報告書」https://www.cas.go.jp/jp/seisaku/jouhouwg/houkokusho.pdf(accessed 30 Jan. 2021)

24 「大綱に盛り込むべき事項」8頁以下。

25 前掲注21)20頁以下参照。

26 堀部政男「個人情報保護委員会の歴史的・参加的意義」NBL1065号(2016年1月1日)HOT/COOL Player.

27 前掲注4)13頁。

28 同上。

29 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en(accessed 1 Feb. 2021)

30 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0007&from=EN(accessed 1 Feb. 2021)

31 前掲注29)参照。

32 Judgment of the Court of Justice of the EU of 6 October 2015 in Case C-362/14, Maximillian Schrems v Data Protection Commissioner https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62014CJ0362&from=EN(accessed 26 Feb. 2021)

33 GDPRについて、その採択・発効・適用開始の年月日を記すにとどめる。

2016年4月8日理事会採択、2016年4月14日欧州議会採択、2016年5月24日発効、2018年5月25日適用開始。

34 前記注7)参照。

35 https://www.ppc.go.jp/files/pdf/gdpr-preface-ja.pdf(accessed 1 Feb. 2021)

36 https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_17_1917(accessed 31 Jan. 2021)

37 https://www.mofa.go.jp/mofaj/files/000270697.pdf(accessed 31 Jan. 2021)

38 堀部政男監訳『自由のためのテクノロジー』(東京大学出版会、1988年)、例えば、4頁。

39 前掲注4)10頁。

40 同上10-11頁。

41 https://www.bmi.bund.de/SharedDocs/termine/EN/veranstaltungen/convention108-en/veranstaltung.html

42 APECにおけるプライバシー・個人情報保護の議論のきっかけとなった経緯については、堀部政男「情報通信の進展とプライバシー・個人情報保護の展開」、同編著『情報通信法制の論点分析』(商事法務、2015年)49-50頁参照。

43 APEC PRIVACY FRAMEWORK(2015) p.3. https://www.apec.org/Publications/2017/08/APEC-Privacy-Framework-(2015)(accessed 2 Feb. 2021)

44 https://www.ppc.go.jp/enforcement/cooperation/international_conference/#apec(accessed 2 Feb. 2021)

45 https://www.ppc.go.jp/files/pdf/310118_siryou1-2.pdf(accessed 25 Jan. 2021)

46 https://www.ppc.go.jp/enforcement/cooperation/cooperation/brexit_181004(accessed 25 Jan. 2021)

47 https://www.ppc.go.jp/files/pdf/190314_shiryou1-1.pdf(accessed 25 Jan. 2021)

48 https://www.ppc.go.jp/files/pdf/kokuji.pdf(accessed 25 Jan. 2021)

49 https://ec.europa.eu/info/files/draft-decision-adequate-protection-personal-data-united-kingdom-general-data-protection-regulation_en(accessed 26 Feb. 2021) and https://ec.europa.eu/info/sites/info/files/draft_decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_law_enforcement_directive_19_feb_2020.pdf (accessed 22 Feb. 2021)

50 https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en(accessed 2 Feb. 2021)

51 https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_en(accessed 2 Feb. 2021)

52 Case C-362/14, Maximillian Schrems v. Data Protection Commissioner, Digital Rights Ireland Ltd, [2015] ECLI:EU:C:2015:650. ECLIは、European Case Law Identifierである。

53 Case C‑311/18, Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (Request for a preliminary ruling from the High Court (Ireland)) Judgment of the Court (Grand Chamber), 16 July 2020, http://curia.europa.eu/juris/document/document.jsf;jsessionid=0A2F6522AB426A87947509458AE2E64C?text=&docid=228728&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=13142898

54 例えば、西村あさひ法律事務所編太田洋・石川智也・河合優子編著『個人情報保護法制大全』(商事法務、2020年)は、シンガポール、フィリピン、ベトナム、マレーシア、インドネシア、タイ、インド、台湾、中国、香港、韓国のプライバシー・個人情報保護法制を収めている。

55 https://abli.asia/(accessed 3 Feb. 2021)

56 https://abli.asia/PUBLICATIONS/Regulation_of_Cross-border_Transfers_of_Personal_Data_in_Asia(accessed 3 Feb. 2021)

57 https://www.abli.asia/NEWS-EVENTS/Whats-New/ID/134(accessed 2 Feb. 2021)

58 https://abli.asia/Projects/Data-Privacy-Project参照。(accessed 3 Feb. 2021)

59 https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/ 参照。(accessed 2 Feb. 2021)

60 https://www.cas.go.jp/jp/houan/204.html(内閣官房HP)及びhttps://www.ppc.go.jp/personalinfo/minaoshi/(個人情報保護委員会HP)(accessed 9 Feb. 2021)

61 http://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/keika/1DD1C92.htm (accessed 10 Feb. 2021)

62 前掲注59)参照。

 
© 2020 総務省情報通信政策研究所
feedback
 Top