編集長の佐藤(@akihirosato1975)です。
ちょっと前になりますが、10/27にサイボウズ本社で開催されたプライバシーフリークカフェに行ってきましたので簡単にレポート(いつもの調子でレポート書くと時間がいくらあっても足りないので…)。
今回のテーマは「越境データ問題」。このブログでも過去に何度か扱ったことがある「EUと日本の間でのパーソナルデータを含むデータの移転」に関する問題の話で、以前から個人情報保護法界隈をチェックしている方にとっては「何を今さら…」な問題ですが、先日サイボウズの青野社長が「国産クラウドがグローバル展開できないたった一つの理由」という記事を書かれまして、これがネット界隈で話題になったことから、今回の開催になった次第とのこと。
前回のプライバシーフリークカフェ(9月のSecurity Online Day)は欠席だったので(開催に気づいたときには既に満席だった)、久々の参戦になります。
高木先生
まずはおなじみ高木浩光先生による、日本の個人情報保護法(以下「日本法」)とEUの一般データ保護指令(以下「GDPR」)との関係、また日本法の問題点についての解説。
おそらくこのブログをよく読まれている方には繰り返しになる話(「散在情報」と「個人データ」の話など。詳細はこちら)がほとんどの内容だったので、詳細は省略します。
ただ今回、高木先生がはっきり「今の日本の個人情報保護法は壊れている」と断言されたのが印象的でした。
ざっくり言えば「1999年成立の情報公開法で『個人に関わる情報は不開示とする』規定が入ったが、これが本来は『個人データ』とは別の概念であるにも関わらず、個人情報保護法にも流用されてしまった」ことが背景にあるのでは、というのが高木先生の分析です。
このため、EUのGDPRはあくまで「個人データ」の取扱を問題にしているのに対し、日本法は「『散在情報』を含む『個人情報』全般」をスコープにしてしまうことになりずれが発生している上、「日本も今の規定で20年やってきてしまっているので、簡単には合わせられなくなっている」。これに加え、昨年の日本法改正の際に話題になった「『特定の』問題」(詳しくはこちら)の影響もあり、更に日本法とGDPRの乖離が進んでしまった、というのが高木先生の見解。
新経連の方々が日本法にあれこれ文句を言ってくるのも、高木先生によれば「(彼らの)懸念は法律が壊れているせいもあって、その意味では理解できる」という話をしたところで時間切れとなってしまいました。
板倉先生
続いて「プライバシーフリークカフェ」第4のメンバーとなった?板倉雄一郎先生。過去にも情報法制研究会の第3回シンポジウム等でGDPRの問題について講演されていますが、今回はそれらを踏まえ、EUが一体何を問題にしているのかについて語りました。
板倉先生によれば、EUが個人情報について一番求めているのは、とにかく「政府から独立した執行機関」の整備だそうで、その点について日本は「民間については個人情報保護委員会ができたが、政府機関等については相変わらず自己管理」であることから、EUから見たらとても不十分だと認識されているそう。EUのデータ保護機関コミッショナー会議(板倉先生もたまに出られているそうな)でも「(日本は)モロッコやモーリシャスといった国にも劣る」と言われてしまう始末とのこと。
その点はアメリカに対しても似ていて、対米セーフハーバーが無効になってしまったのも「FTC(連邦取引委員会)が(個人情報保護)違反に対してちっとも執行しなかった」せいだと言います。
細かい話は省きますが、結局は「国益の問題」「いざという時にアメリカの国益が優先されて、EUのユーザが保護されないおそれがある」という点に帰着する、と板倉先生は指摘して、「データ保護は総力戦」「安全保障とプライバシーのバランスを考慮しないと『野蛮な国』扱いされる」と語りました。さらにGDPRで「(ユーザの行動履歴等を元に)プロファイリングされない権利が(いい悪いは別として)認められた」こともあって、セーフハーバー全部無効化→新たな仕組みである「プライバシーシールド」の策定に至っている、と解説されてます。
話を日本に戻すと、日本では「行政機関や自治体を監督する第三者機関は絶対に認めない」ので、いわゆる「個人情報二千個問題」と言われる地方自治体に置ける個人情報の取扱問題とも絡み、地方自治の原則(各自治体がそれぞれ独自に規定等を整備しないといけない)がある一方で、EUが現状の個人情報保護委員会の体制では不十分と判断(行政機関・自治体等も管轄下とする独立した執行機関を要求する)する可能性があり、ここをどうバランスさせるかが非常に難しい話であることを強調していました。
あとは余談として、IIJが10月にプレスリリースを出した件について「IIJヨーロッパはロンドンにオフィスがあるけど、イギリスはいずれ(いわゆるBrexitで)EU離脱するのに、BCRなんか取っちゃって大丈夫なのか(EU離脱後に問題が起きないのか)」と指摘してたとか、「ロシアは諜報機関が(個人情報も含めた)データ保護機関を兼ねた体制になっている」話とかもあるんですが、これも時間切れで話が中途半端になってたので割愛します。
パネル
パネルも話題があっちこっちに拡散してしまったので、内容をかいつまんで行きます。
まず一つ目の問題としては、「EUもOECDもパーソナルデータについてはcontrollerとprocessorというくくりで整理をしていて、単なるデータストレージ業者などはprocessorですらないから問題にならないはずなのに、日本法ではそのくくりがないので「マイナンバーの保存されたPCは修理受付できません」なんてメーカーが出てきたりする」(高木氏)。
これに対しては「(当該データを)マイナンバーとして扱わなければ問題ない、と個人情報保護委員会が見解を出している」(高木氏)ものの、実際企業として契約を結ぶとなると「利用規約内でその旨が明示されていないと怖くて使えないが、GoogleやAppleなんかがいちいち(当該データは)個人データとして取り扱わないなんて規約に書いてくれるわけがない」(板倉氏)。
またEUの規制について「いっそゲリラ的に(サービスを)やってしまうのはどうか」(高木氏)という意見も出たものの、これに対しては板倉氏が「ドイツなんかは商売がうまく行ったころになって(データの越境移転について)執行をかけてくることがちょくちょくある」「企業だと、全世界の連結売上高の4% or 約26億円のうち高い方を上限に課徴金が取られる」として、EUが過去にMicrosoft・IBM・Facebook等と裁判を繰り広げてきた歴史も踏まえ「ブラフではない、奴らは本当にやる」と反対。
サイボウズの青野社長はこれらの意見を踏まえて「これからはEUを見ながら仕事しようと思う」と語ったり、板倉氏も「一部(データ移転時の記録義務等)を除いて、EUのパーソナルデータ基準に
従っておけばだいたい日本もカバーできるので、最初からEUを基準にしてしまう手もなくはない」と語るなど、いっそ日本企業も最初からGDPRに従えばいいんじゃないかという意見も出たりしましたが、これには鈴木正朝先生@新潟大が「EUの規定をそのままコピーするのは、それはそれで日本国憲法第13条(基本的人権の尊重)の解釈とバッティングする部分が出てくる」と反論(何がどう具体的に引っかかるかまでは時間切れで解説がなかった)。なので「単純にEU(GDPR)に従っておけば良い」というものでもなさそうです。
昨今話題の「健康ゴールド免許」にこれを絡める話もあり、「禁煙者優遇等の施策を打つとなると、絶対にライフログを取って(本当に禁煙しているかを)自動的に確認するような仕組みじゃないと機能しないアイデア」であるのに対し、「そういうことを言う人に限ってプロファイリングの怖さを知らない」(鈴木氏)。板倉氏も「EUのエスタブリッシュメントの間では「(システムで)自動的に判定して差別する」ということは絶対やってはいけないのが常識だが、それが日本では共通理解になっていない」として、日本の産業界の認識が甘すぎるとします。
とはいえ「EUだって意地悪したいわけではなく、きちんと交渉して立証すれば相手してくれる」のに、「ミニマルで手仕舞いしようとするからかえってムダなコストがかかる」(板倉氏)。下手すると「テロ対策にも飛び火して、体制不備を理由にテロリスト情報がもらえない恐れがある」(鈴木氏)「脱税防止のための国を超えた情報交換にも問題が出ていて『日本に納税情報を提供したくない』という国が既に出てきている」(山本一郎氏)などと我々の日常生活にも影響が出かねない問題をパネリストの方々が次々指摘。
最終的には「産業界は今までとにかく『自由に使わせろ』とばかり言ってきたが、ようやく三年遅れで問題を認識しだした」「今回こそ産業界は一致団結して訴えていくべき、これが最後のタイミングだ」(鈴木氏)という状況ではあるものの、問題は「政治が絡む以上は何かしらの建前が必要」(高木氏)という点。
個人情報保護委員会も当初は『特定個人情報保護委員会』というマイナンバーの管理組織として作られたわけですが、これを「一回作ったのも政治の世界」(高木氏)。
プライバシーフリークカフェとしては「壊れた法律の専門家として、政府・議員に提案していかなきゃいけない」(高木氏)ということでまとまるものの、いざ制度を変えるとなると医療や警察等の分野でそれぞれ問題視している点が異なり「全然違う力学が働いているのでキャッチアップできない」(山本氏)。現実にこれらの問題に対応していくのはかなり難しい…というところで今回はタイムアップ。
次回は今週末の情報ネットワーク法学会@明治大学あたり?