総務省トップ > 政策 > 白書 > 26年版 > 海外におけるパーソナルデータの利用流通に係る政策動向
第1部 特集 ICTがもたらす世界規模でのパラダイムシフト
第3節 パーソナルデータの利用流通の円滑化

(2)海外におけるパーソナルデータの利用流通に係る政策動向

パーソナルデータの保護に関しては、海外においても高い関心が払われているところであるが、最近の主な海外の政策動向として、ここでは米国、欧州連合(EU)及び経済協力開発機構(OECD)における制度改正等に係る動きについて見ていくこととする。

ア 米国

2014年(平成26年)1月17日、オバマ大統領がポデスタ大統領顧問に対し、ビッグデータとプライバシーに関する包括的な見直しを主導するよう指示し、同年5月1日、同顧問を中心とする検討メンバーが、ビッグデータとプライバシーに関する調査・検討結果4を大統領に提出した。

同レポートでは、ビッグデータが、社会・経済のあらゆる側面において大きな可能性をもたらすものである一方、プライバシーや社会的差別等への将来的な懸念がある旨言及し、ビッグデータの便益を享受できるよう、例えば、①「消費者プライバシー権利章典5」の法制化の検討、②データ漏えい報告に関する連邦レベルでの立法、③非米国民へのプライバシー保護の拡大、④学校で収集される各生徒に関するデータの教育目的での利用の確保、⑤社会的差別を回避するための政府機関等における技術的専門性の拡大、⑥電子通信プライバシー法6の改正の6項目に適切に対処し、懸念を払しょくすべき旨を提言している。

また、大統領科学技術諮問委員会(PCAST)では、上記レポートを技術的な観点から補完する分析報告「Big Data and Privacy:A Technological Perspective」を同日に発表している7

イ EU

2012年(平成24年)1月、欧州委員会は従前のデータ保護指令を抜本的に改正する「個人データの取扱いに係る個人情報の保護及び当該データの自由な移動に関する欧州議会及び理事会の規則(一般的データ保護規則)の提案」を欧州議会及び理事会に提案・公表した。その後、同提案の内容は議論の過程で修正がなされ、2013年(平成25年)10月21日の欧州議会の市民的自由・司法・内務委員会(Committee on Civil Liberties, Justice and Home Affairs)を経て、2014年(平成26年)3月12日には欧州議会において修正案が採択されたところであり、理事会における審議見通しは未だ立っていないものの、一定の議論の方向性が示された8、9

同議会修正案では、個人に対しては、利用者がサービスを他のサービスに切り替える際など、管理者に妨害されることなく自分のデータを取得し、他のサービスに移転できる「データ持ち運びの権利」の保障、現行指令でも取得が義務づけられているパーソナルデータの取得に当たっての同意は明示的・個別具体的・任意であることを要すること等が規定されている。

また、サービス提供事業者に対しては、プライバシー・バイ・デザインの原則を適用し、新サービスの導入時におけるデータ保護への考慮の義務づけの導入やデータ保護担当者の任命義務が盛り込まれているほか、個人データ漏えい時の通知義務も規定されている。

また、議会で規則案から修正された内容も存在する。例えば、検索エンジンやSNS、クラウドなどを提供する事業者が、EU以外の国の政府からEUのユーザに係る情報の提供を求められた場合、当該データをEUの域外に持ち出して良いかについては、現行指令では適切なセーフガードの援用が許容されるとしか規定されていないが、EU加盟国政府の公的機関による認証を受けた場合にデータ移転を認めること(欧州データ保護シール制度)が新たに追加される等、具体的な内容が規定されている。また、規則に違反した企業に対する課徴金も、原案の時点では、上限額は「100万ユーロまたは全世界の総売上の2%までの高い方」と規定されていたが、議会修正案では「1億ユーロまたは全世界の総売上の5%までの高い方」に引き上げられている。なお、現行のEU指令に規定されているデータ削除に関する個人の権利をより明確化した「忘れられる権利」10については、議会修正案では「消去される権利」とされているが、引き続き個人の権利を強化する提案となっている。

ウ OECD

1980年(昭和55年)、OECDは「プライバシー保護と個人データの国際流通に関するガイドライン」(OECDプライバシーガイドライン)を策定した。同ガイドラインは、プライバシー保護・個人の自由と個人データの自由な流通の実現の双方のバランスを図り、個人データの取扱いに関する原則(OECD8原則)などを示したものである。同ガイドラインは、プライバシー保護の主要原則を初めて規定した国際的なガイドラインであり、各国の個人情報保護法制及び個人情報の適正な取扱いと保護に関する国際的な取組に対し、長年強い影響を及ぼしてきた。

しかしながら、同ガイドラインが策定されて以降、我々の経済、社会、日々の生活におけるパーソナルデータの役割は劇的に変化した。この変化に対応するため、同ガイドラインを改訂する必要性が高まってきたところ、2013年(平成25年)7月11日に同ガイドラインの改正が採択され、同年9月9日に公表された11

改正ガイドラインでは、OECD8原則の変更はなかったが、加盟国に対する要求事項として、①プライバシーの保護と情報の自由な流通に対し、政府最高レベルでのリーダーシップを発揮すること、②全てのステークホルダーが関与するプロセスを通してガイドラインを履行すること、③公的部門・民間分野の双方にガイドラインを広く浸透させることが勧告された。また、ガイドラインを履行するにあたって、加盟国が実施すべき新たな事項として、①プライバシーを保護する法律の制定、②プライバシー執行機関の設置、③表現の自由との関係、④プライバシー・マネジメント・プログラム、⑤セキュリティ侵害通知、⑥国家的なプライバシー保護方針、⑦教育・普及啓発、プライバシー保護技術の向上、⑧国際的な相互運用・評価指標の開発が盛り込まれた(図表3-3-1-512

図表3-3-1-5 OECDプライバシーガイドライン改正のポイント
(出典)内閣官房「パーソナルデータに関する検討会」(第3回)新保委員提出資料


4 http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_finbal_print.pdfPDF

5 2012年(平成24年)2月にオバマ大統領が発表したプライバシーに関する大綱の中で言及されたプライバシー保護の原則規定

6 1986年(昭和61年)に制定された通信におけるプライバシー保護を規定する法律

7 http://www.whitehouse.gov/sites/default/files/microsites/ostp/PCAST/pcast_big_data_and_privacy_-_may_2014.pdfPDF

8 http://europa.eu/rapid/press-release_MEMO-14-186_en.htm別ウィンドウで開きます

9 http://www.europarl.europa.eu/news/en/news-room/content/20140307IPR38204/html/MEPs-tighten-up-rules-to-protect-personal-data-in-the-digital-era別ウィンドウで開きます

10 「忘れられる権利」を巡っては、2014年(平成26年)5月12日、欧州司法裁判所は、スペイン人の男性が、Googleが提供するインターネット検索サービスに対して、検索結果から自身の個人情報が削除されるよう求めた係争事案について、現に個人の権利を侵害するものについては、データ管理者として閲覧防止措置を講じる積極的義務があるとして、EU指令の適用を認め、法遵守のための閲覧防止措置を命じる先決裁定を下した。Googleは、この裁定を受け、同月31日より、欧州の利用者を対象に検索結果に含まれる自身に関する情報の削除要請を受け付けるサービスを始めている。

11 http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdfPDF

12 堀部政男、新保史生、野村至『OECDプライバシーガイドライン-30年の進化と未来』一般財団法人日本情報経済社会推進協会(JIPDEC)(平成26年5月)

テキスト形式のファイルはこちら

ページトップへ戻る