【コラム】クロスボーダー・データ・コンプライアンス – 各国における情報管理は大丈夫でしょうか?
クロスボーダー・データ・コンプライアンス
各国における情報管理は大丈夫でしょうか?
世界各国で個人情報・プライバシーに対する保護規制を強化する動きが広がっています。自国企業のみならず、自国外企業への罰則等の適用(域外適用)の事例も出てきており、利用規約の改訂やデータの利活用の見直しを図る事例も少なくありません。他方、歴史的背景からデータに関する各国の規制内容は異なり、そのキャッチアップ等日本企業の苦労は増えるばかりです。
本コラムでは、(1)企業によるデータの利活用、及び(2)国内外の個人情報等データ保護規制に関する最近のトレンド、並びに(3)複雑化するデータ保護規制への法令遵守・コンプライアンス対応のコツを簡単にご紹介します。
1. 最近のトレンド(1): 企業によるデータの利活用の加速
デジタル変革(Digital Transformation: DX)が進み、企業等各種団体におけるデータの利活用の動きが加速しています。これに関する一つの興味深い事例として、当事務所が関与した案件ではありませんが、新聞報道等の公表事実を踏まえ、東日本旅客鉄道株式会社(「JR東日本」)と株式会社日立製作所(「日立製作所」)の取り組みをご紹介します。
2022年5月、JR東日本が「駅カルテ」(Suicaの統計情報がまとめられたレポート)の販売を発表しました。駅カルテは、首都圏約600駅におけるリアルな利用に基づいて、利用者属性や利用者数、利用者数の伸び率といった駅の利用動向を把握できるとするもので、日立製作所がこの販売パートナーとなっています。
JR東日本と日立製作所によるSuica関連の情報の利活用といえば、おおよそ10年前の2013年6月ごろ、JR東日本がSuicaの利用履歴のデータを日立製作所へ提供しようとしていた事例が想起されます。当該事例では、プライバシーへの配慮に欠けることが問題視され、有識者会議での検討を踏まえ、JR東日本は日立製作所へのデータ提供を中止しました。このとき、JR東日本は日立製作所に対し、氏名や連絡先といった個人を特定できる情報は提供しておらず、Suica番号を復元できないようにし、契約上も他のデータとの紐づけや提供データから個人を特定することを厳格に禁止するように工夫していました。この2013年時の取り組みの課題の一つは、提供していた当該データが「個人情報」(個人情報保護法2条1項)に当たるか否か、より具体的には「特定の個人を識別することができる」情報であるか否か(識別可能性の有無)ということでした。この点、専門家の間でも識別可能性の解釈には幅があり、Suicaデータを継続して提供するといずれは個人が識別できるのではないか等が問題視されました。なお、本事例後、「匿名加工情報」の規定が新設される等、個人情報保護法の改正が進みました。また、JR東日本はSuica情報の取扱いについて公表し、説明の透明性向上に努めてきました。
JR東日本が営む公益性の高い事業ゆえの悩ましい課題がいくつもあったと推察されますが、有識者より指摘された問題点を解決し、次世代へ新しい価値の提供を目指すその姿勢は、DXを目指す企業にとっての良例の一つといえるのではないでしょうか。
2. 最近のトレンド(2): デジタル保護主義の加速
グローバルに事業を展開する日本企業にとって、企業の顧客情報や製造データ等の国外移転を禁じ、自国内に囲い込むデジタル保護主義(Data Localization)が課題となることが増えています。例えば、外国に所在する第三者へデータを提供するときに、当該外国に所在する第三者に対するデータ管理状況の確認が要求される場面や、日本企業又は海外子会社によるデータ処理やデータの国外への越境移転が海外当局から問題視される場面が散見されます。
データ保護法は各国ごとに異なり、欧州連合(EU)が、歴史的にプライバシーを含む「人権」への意識が強く、域外への個人情報の移動に当局の認証等が必要といった制限があります。それに対し、GAFA等、巨大IT企業を抱える米国は、自由な情報のやり取りを重視するといった歴史・文化に伴う違いがあります。加えて、昨今の地政学リスクに影響されたデジタル保護主義の動きも考慮に入れる必要があります。近年のデジタル保護主義には、大きく分けて下記の4類型があります。
- 自国内に居住する国民等のデータの国内での保存を義務付けるものの、データの写しの国外移転や国外での処理は許容する類型(Storage only)
- 自国内に居住する国民等のデータの国内での保存を義務付け、一定の明確な条件をもってデータの国外移転や国外での処理を許容する類型(Storage and flow condition)
- 自国内に居住する国民等のデータの国内での保存を義務付け、当該データの国外への移転に制限をかけることを原則とし、例外的な場合において国外への移転が許容されている類型(Storage and flow prohibition)
- 国内でのデータ処理等の規制を特段定めていない米国のような類型
中国をはじめとするアジア圏を中心にデジタル保護主義の動き(上記IIIの類型)が強まっているというところがポイントです。
デジタル保護主義に関する欧米中の主な規制の概要
| 越境移転 | 国内・域内での保存 | |
|---|---|---|
| EU | 個人情報の持ち出しは原則禁止 (当局の認証や一定の契約により可能になる) | 特にないが、当局におけるアクセス可能な状況を要求される |
| 米国(注) | 特になし | 特になし |
| 中国 | 個人情報や国の安全・経済に関わる重要データの持ち出しは原則禁止 (データ量や当局の評価若しくは一定の契約により可能になる) | 個人情報や国の安全・経済に関わる重要データの保存が義務付けられる |
(注)2023年3月現在、米国における連邦レベルでの個人情報保護法制は成立していませんが、現在当該規制に関する法案(American Data Privacy and Protection Act)が提出されており、当該法案の成否動向には要注意です。なお、現在米国連邦法レベルとしてはElectronic Communication Privacy Act of 1986(ECPA)、Gramm Leach Bliley Act(GLBA)、Health Insurance Portability and Accounting Act of 1996(HIPAA)等、業種等によって適用されうる個別の個人情報保護法制が存在し、また、州によっては個人情報保護に関する包括法や業種等の個別的な法令で個人情報保護に関する規律が定められています。
3. 対応のコツ: プライバシーに関する世界的潮流の理解と地域ごとの柔軟な対応
情報をどこで取得し、どこに保存し、どのように誰に活用してもらうのか。国内市場のみならずグローバル市場を視野に入れた戦略的なデータの利活用を先行して検討することが中長期的な視点において有用です。特に、個人情報・プライバシーといった重要な人権を保護していくこと、そして保護できる体制を備えておくことを大事な経営課題の一つと捉えることが肝心です。
その上で、まずは、国・地域ごとの法令等の地域特性を考慮した柔軟な対応がポイントです。プライバシー保護が比較的に強固な欧州規制(General Data Protection Regulation: GDPR)をベースとした個人情報保護施策を横展開・グローバル展開することを検討される国内外の企業も少なくありませんが、当該施策の適用が現実的ではないことも無視できません。一方で、GDPRのみを目安としアジア等の諸外国で個人情報保護施策を行うと、データ保護主義の動きに対応できず、法令遵守・コンプライアンスの観点から不十分であるとされる場面も出てきています。
また、法令遵守・コンプライアンスというとき、制定法といったハード・ローのみならず、ソフト・ローへの対応可能性の検証も必要です。例えば、米国では特定分野の個別法のみならず、業界団体の自主規制違反に対して米国連邦取引委員会(Federal Trade Commission: FTC)による法執行権限があるため、業界団体の動きにも注意が必要です。また、消費者個人による集団訴訟が起こされる可能性がありますので、個人情報・プライバシーの法令遵守・コンプライアンスの観点からのみではなく、当該事業の性質を鑑み、訴訟対応やサイバー保険等のコストを考えて対応策を模索していく必要があります。
(執筆担当者:岩崎)
※本記事の内容は、一般的な情報提供であり、具体的な法的アドバイスではありません。
ご質問などございましたら、ご遠慮なくご連絡ください。
岩崎 大 Tel: 03-6273-3544(直通) E-mail: dai.iwasaki@tkilaw.com