米国におけるプライバシー保護の動向と改正個人情報保護法に与えた影響
IT・情報セキュリティ
目次
前回はEUにおけるプライバシー保護の動向と改正個人情報保護法に与えた影響と題して、EUのプライバシー保護法制の動向を紹介した。今回は、米国のプライバシー保護法制の動向を紹介するとともに、海外の動向が日本の改正個人情報保護法に与えた影響を解説する。
米国におけるプライバシー保護の動向
しばしば、米国のプライバシー保護は自主規制であり「ゆるい」などといわれるが、他方で、IT企業などが巨額の課徴金を課されたなどの報道も目に付く。
米国のプライバシー保護法制はどうなっているのであろうか。
まず、米国には、いわゆる「個人情報保護法」のような包括的に個人情報を保護する法律がない。
全体としては自主規制を基本としつつ、規制する必要性が高い分野について分野ごとに個別法を定めて規制を行っている。例えば、児童オンライン・プライバシー保護法や迷惑メール(スパム・メール)防止法などである。
FTCによる監督
「自主規制」とはどういうことだろうか。
米国では、個人情報を取り扱う企業は、自らが個人情報をどのように取り扱うのかをプライバシー・ポリシーなどとして公表する。このプライバシー・ポリシーの内容は、基本的には各企業が自由に定めてよい。これが「自主規制」ということの意味である。
その上で、万が一、企業が自ら公表しているプライバシー・ポリシーの内容に反する取扱いをすると、それは、連邦取引委員会(FTC)法5条にいう「不公正・欺瞞的行為または慣行」にあたるとして、FTCが乗り出してくるのである。
このように、個人情報の取扱いを企業が自由に決めて構わないのであるが、一たび、自らが決めて公表した方針に反する取扱いをすると、それは「不公正・欺瞞的行為」だとして、FTCから課徴金を課されるなど のペナルティを受けるのである(同意命令による制裁金の支払いなどの方法によるケースも多い)。
EUや日本とは、保護の仕組みそのものが異なるといってよいであろう。
消費者プライバシー権利章典
前述のとおり、米国では、個人データの保護に関する包括的な法律が置かれていない。
しかし、近時は、米国でも包括的なデータ保護法を策定する動きがある。それが消費者プライバシー権利章典(法案)である。
ホワイトハウスより平成24年(2012年)2月に草案が公開され、平成27年(2015年)2月にはその法案の原案が公開された。平成24年(2012年)2月の草案では、以下の7原則が謳われていた(表1)。
表1 消費者プライバシー権利章典の7原則
| 原則 | 内容 | |
|---|---|---|
| 1. | 個人のコントロール | 消費者は、企業が自分からどのような個人データを収集し、どのようにそれを利用するかについてコントロールを行使する権利を有する。 |
| 2. | 透明性 | 消費者は、プライバシーおよびセキュリティ・プラクティスに関して容易に理解でき、アクセスできる情報の提供を受ける権利を有する。 |
| 3. | コンテキストの尊重 | 消費者は、自分が個人データを提供したコンテキストと整合的な仕方で、企業がデータを収集し、利用し、提供することを期待する権利を有する。 |
| 4. | セキュリティ | 消費者は、個人データの安全かつ責任ある取扱いを受ける権利を有する。 |
| 5. | アクセスおよび正確性 | 消費者は、データの機微性やデータが不正確であった場合のリスクに照らして、適切な方法を通じて、利用可能なフォーマットで個人データにアクセスし修正する権利を有する。 |
| 6. | 適切な範囲の収集 | 消費者は、企業が収集および保持する個人データに合理的な制限を設ける権利を有する。 |
| 7. | 責任 | 消費者は、企業により確実に消費者プライバシー権利章典を遵守するための適切な措置を伴って、個人データの取扱いを受ける権利を有する。 |
表1の7原則は、平成27年(2015年)2月に公開されたプライバシー権利章典法案(以下「法案」という)でも踏襲され、この原則に違反する行為はFTC法5条に違反するものとみなされる旨定められている(法案201(a))。また、FTCによる法執行(エンフォースメント)についても規定され、民事制裁金の上限は2,500万ドルとされている(法案203(a)(3))。
なお、法案においては、「個人データ」の定義について、「事業者のコントロール下にあるものであって、一般的に合法的な方法によって公開されている情報を除き、かつ、その事業者によって特定の個人に連結し、もしくは実際に連結可能な、または日常的に利用されている機器に連結された全てのデータをいう」とされ、携帯電話番号、クレジットカード番号、メールアドレス等が含まれることが明らかにされた(法案前文4条(a))。日本よりも「個人データ」の範囲が広くなる可能性があるため、注意が必要である。
法案については、未だ議会で成立しているわけではないが、今後の動向に注目すべきである。
EUから米国への個人データの移転
前回述べたとおり、EUから第三国へ個人データを移転する場合、原則として、当該第三国が欧州委員会により十分性認定を受けなければならない。
米国はこの十分性認定を受けていない。この点は日本と同じである。
しかし、外交交渉の結果、EUと米国の間では「セーフハーバー協定」が締結されており、EUから米国へ個人データを移転することができるとされていた。
具体的には、企業がセーフハーバー原則を遵守することを自ら宣言して米国商務省に届け出れば、EUから米国への個人データの移転が認められていた。このセーフハーバー協定を利用する企業は約4,500社に上るとされていた。
ところが、スノーデン事件を契機に、EUにおいて、米国におけるプライバシー侵害が目に余るとの議論が巻き起こり、平成27年(2015年)10月、EU司法裁判所は、セーフハーバー協定を無効とする判決を下した。そのため、セーフハーバー協定の見直し交渉が行われ、平成28年(2016年)2月に欧州委員会と米国が、新たな枠組みである「EU-USプライバシー・シールド」を合意したことを公表している。プライバシー・シールドについてはその詳細が必ずしも明らかでないが、米国商務省や連邦取引委員会(FTC)に強力な監視・執行権限を与えるものとなっているとされている。
海外のプライバシー保護法制を踏まえた日本の改正個人情報保護法のポイント
日本でも、平成27年9月3日に個人情報保護法の改正法が成立し、平成29年9月9日までに順次施行される。
今回の改正には、EUおよび米国のプライバシー保護の動向が大きな影響を与えている。
個人情報保護委員会の設立
従前のマイナンバー法の下で「特定個人情報保護委員会」が組織されていた。今回の改正個人情報保護法によりこれが改組され、平成28年1月1日から、個人情報保護法の下での「個人情報保護委員会」となった。今後、改正個人情報保護法が全面的に施行されると、マイナンバー法に関する監視・監督権限のみならず、個人情報保護法の下で従来は主務大臣が有していた権限が同委員会に一元化されることになる。
この個人情報保護員会の設立は、日本の個人情報保護法制にとってエポックメイキングなことである。これをもって、EUとの外交交渉が始まるからである。
前回述べたとおり、EUのデータ保護指令および規則案では、EU域外の第三国に個人データを移転する際、当該第三国を「十分なレベルの保護措置」を確保している国と認めていない限り、標準契約条項やBCRによるか本人の同意が必要となる。ところが、日本は、この「十分なレベルの保護」があるとは認定されていない。そのため、EU諸国から日本に個人データを自由に移転することができないのである。
例えば、日本の多国籍企業が、EU諸国でビジネスを行って取得した顧客情報や人事情報を日本の本社に自由に送信することができない反面で、EU諸国の多国籍企業は日本から本国に自由に送信できる状態になっているのである(図参照)。なお、後述するとおり、改正法では、海外にある第三者への個人データの提供は、原則として本人の同意が必要となる(改正個人情報保護法24条)。
日本が「十分なレベルの保護措置」を確保していると認められない主な原因が、独立した執行機関が存在しない点にあるといわれている。
これまで述べてきたとおり、日本の個人情報保護法は、おおむね、欧米と遜色のない規定を有しているのであるが、それに違反した者などに対する独立した法執行機関がない。「主務大臣が勧告・命令をします」といってみても、EU諸国にはピンとこないのである。
そこで、日本においてもEU諸国のプライバシー・コミッショナーのような法執行機関を作るべく、政府から独立性の高い第三者委員会を作った。これが、個人情報保護委員会である。
つまり、個人情報保護委員会とは、個人情報保護法とマイナンバー法の両方について、民間企業に対する監視・監督の権限を持った、公正取引委員会のような組織を作ろう、ということなのである。
今回の改正では見送られたが、課徴金の導入なども議論されている。情報管理についての強大な権限を持った公正取引委員会のような組織ができたのだ、という認識で、今後の動向に注意していきたい。
外国にある第三者への提供
また、改正個人情報保護法では、外国にある第三者に個人データを提供する場合には、原則として「本人の同意」が必要であるとされる(改正個人情報保護法24条)。ただし、これには2つの例外がある。
1つ目は、個人情報保護委員会(以下「委員会」という)が定める規則で、当該外国の個人情報保護体制が「我が国と同等の水準にある」と認められた場合である。この場合には、「本人の同意」は不要となる。
2つ目は、委員会が定める基準に適合する体制を整備している者への提供である。この場合にも、「本人の同意」は不要となる。
以上の仕組みは、おおむねEUの「十分性認定」の仕組みと同様の規制である(表2)(厳密にいうと、EUの規制は、域外データ移転について「十分性認定」によることを原則とし、例外的に標準契約条項やBCR、本人の同意によることができるというものである)。
表2 域外・国外への個人データの移転に関する実務
| 日本の現行個人情報保護法 | 日本の改正個人情報保護法 | EU法 | |
|---|---|---|---|
| 原則 | 自由に移転 | 本人の同意が必要 | 本人の同意が必要 |
| 例外① | - | 委員会が「我が国と同等の水準にある」と認めた第三国への提供 | プライバシー・コミッショナーが「十分性認定」をした第三国への移転 |
| 例外② | - | 委員会が定める基準に適合する体制を整備している者への提供 | プライバシー・コミッショナーが定める標準契約条項を用いた移転、BCRの認証を受けた企業グループ内での移転 |
これも、EUとの交渉上重要な意味を持つ。
すなわち、EUから見ると、仮に日本が十分な個人情報保護法制を有しているとしても、日本から、不十分な保護しかない第三国に自由に移転できてしまうのでは、保護として十分ではないことになってしまう。そこで、第三国への移転を規制する必要が出てくる。
また、外交交渉の武器としても重要な意味を持つ。
すなわち、今後、個人情報保護委員会は、EUとの間で、EUから十分性認定を受けるべく交渉を進めることになる。その交渉にあたって、改正個人情報保護法を前提とすれば、EU諸国であっても、個人情報保護委員会が「我が国と同等の水準にある」と認めなければ、本人の同意なしで個人データを移転することが禁じられる。これで初めて「武器対等」になったのであり、これからは「お互いに認め合いましょう」という対等な交渉ができることになるである。
民間企業にとっては、この規制は影響が大きい。改正個人情報保護法24条の提供は、23条の提供と異なり、委託や共同利用も含まれているからである。例えば、海外のクラウド・サービスを利用している場合には、委員会が認めた第三国のサーバであるか、当該クラウド事業者が委員会の認める体制を整備していない限り、本人全員の同意が必要になってしまうからである。
今後、個人情報保護委員会がいかなる国について同等の水準にあると定めるのか、動向に注意が必要である。
また、「委員会が定める基準に適合する体制を整備している者」についても、委員会規則の定めを待つことになるが、例えばAPECの「CBPR」に適合する事業者であれば基準に適合する体制を備えているものとされており、日本では、平成28年1月25日に、JIPDECがそのアカウンタビリティー・エージェントに認定された。どのような方法をとれば外国に個人データを提供できるのか、今後の動向に注意が必要である。
域外適用
なお、日本においても、改正個人情報保護法により、個人情報保護法の域外適用が定められることになった。
すなわち、国内にある者に対する物品または役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報または当該個人情報を用いて作成した匿名加工情報を取り扱う場合に、改正個人情報保護法の一部が適用される(域外適用、改正個人情報保護法75条。表3)。
例えば、日本国内に拠点を置かずに日本国内向けサービスを提供する事業者(例:外国に拠点を置くインターネット・サービス事業者)や、国内で個人情報を取得した後に外国に移転する事業者には改正個人情報保護法75条が適用されうることになるのである。
表3 域外適用の対象となる規定1
| No. | 規定の内容 | 改正個人情報保護法の規定 |
|---|---|---|
| 1. | 利用目的の特定 | 15条 |
| 2. | 利用目的による制限 | 16条 |
| 3. | 取得に際しての利用目的の通知等 | 18条(2項を除く) |
| 4. | データ内容の正確性の確保等 | 19条 |
| 5. | 安全管理措置 | 20条 |
| 6. | 従業者の監督 | 21条 |
| 7. | 委託先の監督 | 22条 |
| 8. | 第三者提供の制限 | 23条 |
| 9. | 外国にある第三者への提供の制限 | 24条 |
| 10. | 第三者提供に係る記録の作成等 | 25条 |
| 11. | 保有個人データに関する事項の公表等 | 27条 |
| 12. | 開示 | 28条 |
| 13. | 訂正等 | 29条 |
| 14. | 利用停止等 | 30条 |
| 15. | 理由の説明 | 31条 |
| 16. | 開示等の請求等に応じる手続 | 32条 |
| 17. | 手数料 | 33条 |
| 18. | 事前の請求 | 34条 |
| 19. | 個人情報取扱事業者による苦情の処理 | 35条 |
| 20. | 匿名加工情報の作成等 | 36条 |
| 21. | 指導および助言 | 41条 |
| 22. | 勧告および命令(域外適用されるのは勧告のみ) | 42条1項 |
| 23. | 個人情報保護委員会の権限の行使の制限 | 43条 |
| 24. | 適用除外 | 76条 |
なお、かかる義務の違反に関し、域外適用の対象は勧告(改正個人情報保護法42条1項)までに限られ、立入検査(改正個人情報保護法40条)や命令(改正個人情報保護法42条2項3項)には適用されない。これらを適用すると外国の主権と抵触しかねないためである。
したがって、外国の事業者が個人情報保護委員会の助言や勧告に従わない場合、改正個人情報保護法による個人情報の保護は望めない。この場合、当該外国の法令を執行する外国の当局に対して、個人情報保護委員会がその外国の法律に基づく執行の協力を求め情報提供をすることにより(改正個人情報保護法78条)、国内にある者の個人情報の保護を図ることになるとされている。
-
適正な取得(改正個人情報保護法17条)の規定については、取得行為が日本国内で行われているといえることから、域外適用(改正個人情報保護法75条)の規定を介さずに直接適用されると解されている。 ↩︎
牛島総合法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 訴訟・争訟
- ベンチャー
牛島総合法律事務所