【JAPiCO】 一般社団法人 日本個人情報管理協会



第6回 EUデータ保護指令

プライバシーに関して最も厳格なルールをもつのはEUである。どうやら、淵源は、民族対立や宗教的対立などから個人を守る、という発想にあるようだ。ユダヤ人をはじめとした民族の迫害や宗教的な理由による差別、迫害などはヨーロッパの歴史に残る悲劇である。
その悲劇はいつまた再現されるかもしれない。特にここ1世紀の中で最も辛い史実はナチスによるユダヤ人の迫害だが、ユダヤ人への迫害はナチスで究極の形になったものの、それ以前から差別や迫害があって、ユダヤ人であることは秘匿すべき個人情報の最たるものだった。それと同様に、個人には絶対に秘匿しておきたい情報があるはずで、それを厳格に秘匿する仕組みを作る、というのがヨーロッパの思想の流れである。

EUのデータ保護指令では、加盟国に対して、個人データが、(a)公正かつ適法に処理されること。(b)特定、明確、及び合法的な目的のために収集され、このような目的に反した方法で、処理されることのないこと。歴史、統計、又は科学的目的のための、データの処理は、加盟国が適切な保護条項を規定している限り、目的に反しているとは見なされないものとする。(c)適切、妥当であること。そのデータが収集された目的、及び/又は、それが処理される目的に関して、過度でないこと。(d)正確であること。必要な場合には、最新の情報を維持すること。データが収集された目的、又はそれが処理される目的に関して不正確又は不完全なデータが消去又は修正されることを確保するために、全ての合理的な手段が取られなければならない。(e)データが収集された目的、又はそれが処理される目的のために必要なだけの期間、データの対象者の特定が可能な形式で保存すること。加盟国は、歴史、統計、又は科学的利用を目的として、個人データを長期間保存するために、適切な保護条項を規定するものとする――ことを命じている。

重要なことは、上記の条件を満たしていない国には、個人データの移動を制限していることである。従来は、EC域外の国際間移動については厳密な条件が明らかになっていなかったが、インターネットを通じて膨大な個人データが流通することになると、EUでは保護されているデータが、法制度が異なる国に移動されて保護されなくなる危険が重大視されてきた。その結果、EUの基準で調査して、上記の条件が満たされていない国には個人データを渡さない、という厳しい措置がとられることになる。

日本では個人情報保護法が「過保護法」と言われるくらいに窮屈なので、十分にEUデータ保護指令を満たしている、と思っていたが、どうやら、これは錯覚だった。日本の制度では、施行する官庁と監督する官庁が同一であることが問題視されている。原発事故の際に、推進する経済産業省の中に監督する原子力保安院が入っていて、十分に監督できない体制だったことが管理体制の不備と批判された。推進官庁と監督官庁が一緒であるという点で、日本の個人情報保護体制も致命的不備があるとEUからは見られている。

今回の個人情報保護法改正で、こうした不備をなくすために第三者機関を創設することになりそうだが、EUは保護指令をさらに一段格上げしてEU法としてさらに厳格な条件を付けてくる可能性もある。新たに制定されるルールとして注目されるのが、「忘れられる権利」である。インターネットには、コピーが繰り返されてデータがどこかに残って根絶されていないが、これを「不法」とするのである。ある情報を、個人が「インターネットの中から消し去りたい」と要求したら、サービス事業者が要求通りに消せるように仕組みを作る義務を負うのである。

インターネットが国境を越えてデータが流通する仕組みなので、EUの法律は、EUで事業を展開する全世界の事業者をも拘束することになってしまう。「保護指令」から「法律」へと進むEUの個人情報保護の考え方の進展は、当分、注目しておかねばならないだろう。


【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization