(2)パーソナルデータの利用・流通に関する制度とこれまでの取組 ア 我が国の制度とこれまでの取組 (ア)個人情報保護法の制定以前からのもの プライバシーについて一般的に規定した法律は存在しないが、判例法理上、プライバシーは法的に保護されるべき人格的利益として承認されてきた 5 。また、最近ではプライバシー保護の対象となる情報は拡大傾向にある 6 。 公的部門のうち、地方公共団体では独自に個人情報保護条例を早くから制定しており 7 、1980年(昭和55年)に「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(OECDプライバシーガイドライン)」 8 が採択された後は、同勧告を参考に条例が制定されてきた 9 。また、国の行政機関については、1988年(昭和63年)に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(昭和63年法律第95号)が制定された。 民間部門については、1987年に旧大蔵省所管の財団法人金融情報システムセンター(当時)、1989年に旧通商産業省、1991年に旧郵政省が、それぞれ所管の事業分野等について、個人情報保護に関するガイドラインを策定した。 (イ)個人情報保護法の制定後のもの A 個人情報保護法の制定 2003年(平成15年)5月に「個人情報の保護に関する法律」(平成15年法律第57号、以下「個人情報保護法」という。)が制定され、2005年(平成17年)4月に全面施行された。同時に「行政機関の保有する個人情報の保護に関する法律」(平成15年法律第58号、行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律を全面的に改正)や「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号)も制定・施行された。また、2004年(平成16年)4月に個人情報保護法に基づき「個人情報の保護に関する基本方針」が閣議決定された。 個人情報保護法においては、その監督・執行について専門的な独立した第三者機関のようなものを設置することとはされず、各事業等を所管する大臣が主務大臣として監督・執行を行うという主務大臣制がとられている。 B 総務省の取組 a 個人情報保護ガイドラインの策定・改正 2005年の個人情報保護法の全面施行等を受け、1991年に策定された「電気通信事業における個人情報保護に関するガイドライン」(平成16年総務省告示第695号)を改正し、さらに、2009年 10 、2010年、2011年にも改正した。 また、「放送受信者等の個人情報の保護に関する指針」(平成16年総務省告示第696号)を2004年に策定、2009年に改正し、「郵便事業分野における個人情報保護に関するガイドライン」(平成20年総務省告示第153号)を2008年に策定、2012年に改正し、「信書便事業分野における個人情報保護に関するガイドライン」(平成20年総務省告示第154号)を2008年に策定した。 b 利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 2009年4月に「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」を開催し、2010年5月にライフログ活用サービスの発展を妨げずに利用者の不安感等を緩和する方策について「配慮原則」の提示等を行う「第二次提言」を公表し、2012年8月にスマートフォンの利用者情報の取扱いに関する包括的な対策について「スマートフォン利用者情報指針」の提示等を行う「スマートフォンプライバシーイニシアティブ」を公表した。 C 消費者庁・消費者委員会の取組 消費者庁では、「個人情報の保護に関する基本方針」に基づき、法制度の周知徹底等を図るとともに、個人情報保護法の施行状況について、関係行政機関からの報告を取りまとめ、その概要を公表及び消費者委員会への報告を行っており、同委員会は、そのフォローアップ等を行っている。また、消費者庁は同基本方針に基づき、大規模な個人情報の漏えい等個別の事案が発生した際の対応事例の蓄積・整理・情報提供等、個人情報の保護に関する国際的な取組への対応、各省庁及び地方公共団体の苦情相談機関等の窓口等に関する情報の収集・整理・提供、個人情報の保護に関する情報収集・調査研究の推進等について、各省庁の協力を得て取りまとめ等を行っている。 D その他の省庁の取組 個人情報保護法が全面施行された2005年度には、21分野33ガイドラインが策定されている(前記Baの総務省のものを含む。)。2008年の「個人情報保護に関するガイドラインの共通化について」 の申合せにより、ガイドラインの名称の共通化等の形式的な整理等がなされた。それ以降も新たなガイドラインの策定・改正が行われており、2012年3月31日現在、27分野40ガイドラインが策定されている 11 。 E 社会保障・税番号制度 社会保障・税番号制度(以下「番号制度」という。)は、複数の機関に存在する個人の情報を同一人の情報であるということの確認を行うための基盤であり、社会保障・税制度の効率性・透明性を高め、公平・公正な社会を実現するための社会基盤となるものである。平成25年通常国会において成立した「行政手続における特定の個人を識別するための番号の利用等に関する法律」により、平成28年以降、個人番号の利用が開始されることとなった。 イ 諸外国等の制度とこれまでの取組 (ア)米国 A パーソナルデータ保護に関する制度 米国ではパーソナルデータの保護に関し、分野横断的な法律は存在せず、分野ごとの個別法と自主規制を基本とするものとなっている(図表3-1-1-2)。 図表3-1-1-2 米国のパーソナルデータ保護に関する制度 (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 米国のパーソナルデータの保護については、独立行政委員会である連邦取引委員会(FTC)が大きな役割を果たしており、自主規制の遵守についての監督、排除措置、課徴金の附課等の執行措置等を行う他、下記Bのような政策提言を活発に行うとともに、後記(エ)のような国際的な場でも活発な活動を行っている。 B 消費者プライバシー権利章典等の動向 2012年2月、ホワイトハウスにより政策大綱「ネットワーク化された世界における消費者データプライバシー(Consumer Data Privacy in a Networked World: A Framework For Protecting Privacy and Promoting Innovation in the Global Digital Economy)」が発表された。同政策大綱では「消費者プライバシー権利章典」が提示された(図表3-1-1-3)。 図表3-1-1-3 米国消費者プライバシー権利章典 (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 また、同政策大綱の発表後、FTCは、2012年3月、消費者データを収集し利用する企業の行動枠組についてまとめた報告書である「急速に変化する時代における消費者プライバシーの保護」 12 を発表した(図表3-1-1-4)。 図表3-1-1-4 米国FTC報告書「急速に変化する時代における消費者プライバシーの保護」 (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 (イ)EU A データ保護指令 欧州では、1995年、分野横断的なパーソナルデータ保護に関し、「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の95/46/EC指令」 13 が採択され、加盟国は当該指令を遵守するために必要な国内法の整備を義務づけられた(図表3-1-1-5)。 図表3-1-1-5 EUのパーソナルデータ保護に関する制度(現行制度) (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 同指令第28条は、各加盟国にパーソナルデータ保護のための独立した監督機関の設置を義務づけている。これに基づき各国で設置されたデータ保護機関(Data Protection Authority(DPA)と呼ばれることも多い。)が、各国内でパーソナルデータ保護の監督や後記(エ)のような国際的な場で活動を行うとともに、同指令第29条に基づき全加盟国の監督機関等が構成する機関(第29条作業部会(Article 29Working Party)と呼ばれる。)が政策提言等の積極的な活動を行っている。 また、同指令第25条は、EU域内から第三国への個人データの移転は、原則として第三国が十分なレベルの保護措置を確保していることを条件としているが(図表3-1-1-6)、上記の第29条作業部会は、その「十分なレベルの保護措置」の要素の1つとして、「独立した機関の形態をなす外部監督の制度」を挙げている 14 15 。 図表3-1-1-6 データ保護指令における第三者への個人データ移転の仕組 (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 B eプライバシー指令 上記Aの分野横断的なデータ保護指令に加え、電子通信部門におけるパーソナルデータ保護に関する特則を規定するものとして、2002年に「電子通信部門における個人データの処理とプライバシーの保護に関する2002年7月12日の欧州議会及び理事会の2002/58/EC指令」 16 が採択され、加盟国は当該指令を遵守するために必要な国内法の整備を義務づけられた 17 (図表3-1-1-5)。 C データ保護規則提案 2012年1月、欧州委員会は「データ保護指令」を抜本的に改正する「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の規則(一般的データ保護規則)の提案」 18 を欧州議会及び理事会に提案・公表した。 同規則提案においても、各加盟国に独立した監督機関の設置を義務づけていることやEU域内から第三国への個人データの移転は原則として第三国が十分なレベルの保護措置を確保していることを条件としていることは、現行のデータ保護指令と同様である。なお、同規則提案においては、「十分なレベルの保護措置」の要素の1つとして、独立した監督機関の存在及びそれが効果的に機能していることが明記されている(図表3-1-1-7)。 図表3-1-1-7 EUのパーソナルデータ保護に関する制度(データ保護規則提案)@ (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 データ保護規則提案の内容は、今後欧州議会及び理事会との議論の過程で大幅に修正される可能性はあるものの、同提案に盛り込まれている主な事項として、個人には、現行のEU指令に規定されているデータ削除に関する個人の権利をより明確化した「忘れられる権利」や、利用者がサービスを他のサービスに切り替える際など、管理者に妨害されることなく自分のデータを取得し、他のサービスに移転できる「データ持ち運びの権利」の保障、パーソナルデータの取得に当たって必要な同意は明示的であることを要する、いわゆるオプトイン原則を適用することとする「同意の明示」等がある。 また、サービス提供事業者に対しては、プライバシー・バイ・デザインの原則を適用し、新サービスの導入時におけるデータ保護への考慮の義務づけの導入やプライバシー影響評価の実施、データ保護職員の任命義務が盛り込まれているほか、パーソナルデータ漏えい時の通知義務も規定されている(図表3-1-1-8)。 図表3-1-1-8 EUのパーソナルデータ保護に関する制度(データ保護規則提案)A (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 なお、プライバシー・バイ・デザインとは、サービスやアプリなどを開発する際、個人の情報を適切に扱うよう「設計段階で事前に作り込む」という考え方であり、7つの基本原則を定めている(図表3-1-1-9)。実施にあたっては、プライバシーへの影響度を事前に評価し、個人情報の収集を行う情報システムの構築・運用を適正に行うことを促す「プライバシー影響評価」を活用するものである。 図表3-1-1-9 「プライバシー・バイ・デザイン」 (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 さらに、EU域外の事業者がEU域内のパーソナルデータを収集する場合には、データ保護規則の域外適用の対象となるほか、EU域内に代理人を置く必要が生じる場合がある。 そして、規則に違反した事業者は、域内・域外を問わず、最大で100万ユーロ、または事業者の全世界での売上高の2%に相当する課徴金が制裁として課せられるとの規定になっている(図表3-1-1-10)。 図表3-1-1-10 EUにおけるパーソナルデータ保護に関する制度(データ保護規則提案)B (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 (ウ)その他の地域 パーソナルデータの保護については、欧米諸国等の先進国で先行的に制度が整備されてきたが、他の地域においても徐々に整備が進められ、現在では大半の国でパーソナルデータ保護に関する法律が制定されるに至っており、そのうち多くの国でパーソナルデータの保護のための独立した第三者機関が設置されている 19 。 (エ)国際機関等 A OECD a OECDプライバシーガイドラインとその改正 1980年、OECDは「プライバシー保護と個人データの国際流通についてのガイドライン」(OECDプライバシーガイドライン)を策定した 20 。同ガイドラインは、プライバシー保護・個人の自由と個人データの自由な流通の実現の双方のバランスを図り、個人データの取扱いに関する原則(OECD8原則(図表3-1-1-11))などを示したものである。同ガイドラインは、プライバシー保護の主要原則を初めて規定した国際約束であり、各国の個人情報保護法制及び国際的な取組に対し、長年強い影響を及ぼしてきた。 図表3-1-1-11 パーソナルデータの保護の原則の比較 (出典)総務省「パーソナルデータの利用・流通に関する研究会報告書」 しかしながら、OECDプライバシーガイドラインは、パソコンやインターネットが普及する遥か昔の時代に策定されたものでもあることから、時代にそぐわない規定を修正し所要の規定を追加する必要性が高まってきた。よって、OECDにおいて、30年ぶりに同ガイドラインの改正を行うこととされており、2013年内又は2014年初めに改正案が採択される予定である。 b GPEN(Global Privacy Enforcement Network:グローバルなプライバシーの執行に係るネットワーク) プライバシー保護法の執行に係る越境協力に関するOECD勧告(2007年6月12日採択) 21 を受け、プライバシー保護法の越境執行の協力を支援・促進するため、世界のプライバシー保護の執行機関が連携することを目的に、2008年より執行問題や傾向、経験を議論する定期的な会合等を開催している 22 。 B APEC a APECプライバシーフレームワーク APECプライバシーフレームワークは、APECにおけるパーソナルデータの保護の原則(図表3-1-1-11)を定める枠組である。2004年にAPEC貿易・投資委員会(Committee on Trade and Investment(CTI))傘下の電子商取引運営グループ(Electronic Commerce Steering Group(ECSG))がとりまとめ、同年11月にAPEC閣僚会議で承認された。 b CPEA(Cross Border Privacy Enforcement Arrangement:越境プライバシー執行協力) CPEAは、パーソナルデータが国境を越えて委託、移転、共有等されているときに、国境を越えた先での漏えい等があった場合、移転元エコノミー(国・地域)における執行機関が、自エコノミーにおけるパーソナルデータ保護法令の執行のために、移転先エコノミーにおける執行機関に対し、情報の提供、調査等協力を依頼するための枠組である 23 。2009年11月にAPEC閣僚会議で承認された。 c CBPR制度(Cross-Border Privacy Rules System:越境プライバシールール制度) CBPR制度は、APECプライバシーフレームワークへの適合性を国際的に認証する制度である。2011年11月にAPEC閣僚会議で承認された。 CBPR制度に参加するためには、@CPEAに参加する、Aエコノミー(国・地域)としてCBPR制度へ参加する、Bエコノミーが認証機関を登録するとの3つの手続を踏む必要がある。CPEAの参加エコノミーのうち、米国及びメキシコがAの手続を済ませている(まだ、Bの手続を済ませたエコノミーはまだない(米国が申請中)。(2013年5月現在))。 C データ保護プライバシー・コミッショナー国際会議(International Conference of Data Protection and Privacy Commissioners) データ保護プライバシー・コミッショナー国際会議は、1979年から毎年開催されている会合で、57か国のパーソナルデータの保護機関がメンバーとして参加し(2012年現在)、パーソナルデータに関する様々な課題についての議論等が行われている。日本からはメンバーとして正式な参加が認められている機関はなく、消費者庁にオブザーバー資格が認められているのみである。 なお、同会議の参加資格は以下を満たすパーソナルデータの保護機関とされている 24 。 @ 法的文書に基づき設置された公的な機関であること。 A パーソナルデータ又はプライバシー保護に関する法律の実施の監督を行うものであること。 B 運用する法律がデータ保護又はプライバシーに関する中心的な国際的な文書と整合的であること。 C その機能を実行するため適切な範囲の法的な権限を有していること。 D 適切な自律性と独立性を有していること。 D APPA(Asia Pacific Privacy Authorities:アジア太平洋プライバシー機関) APPAは、アジア太平洋地域各国のパーソナルデータの保護機関がメンバーとして参加し、パーソナルデータに関する様々な課題についての議論等を行っている組織であり、1992年の発足以降、年2回のフォーラムを開催している。 2012年現在、オーストラリア、カナダ、香港、マカオ、ニュージーランド、韓国、米国のパーソナルデータの保護機関がメンバーとして参加している(日本からは消費者庁がオブザーバーとして参加)。 なお、APPAの参加資格は以下のいずれかを満たすパーソナルデータの保護機関とされている。 @ データ保護プライバシー・コミッショナー国際会議のメンバーであること。 A APEC・CPEAに参加していること。 B OECD・GPENに参加していること。 E 欧州評議会(Council of Europe(CoE)) 欧州評議会はEU全加盟国、旧ユーゴスラビア諸国、ロシア、ウクライナ、トルコ等の47か国が加盟する国際機関である。なお、日本は欧州評議会のオブザーバー国となっている 25 。 欧州評議会の閣僚委員会は1980年に「個人データの自動処理に係る個人の保護に関する条約(条約第108号)」(欧州評議会条約第108号) 26 を採択した。同条約は、OECDプライバシーガイドラインとほぼ同様なデータ保護の基本的原則を示したものである。同条約は欧州評議会非加盟国であっても参加が可能であり(同条約第23条)、2013年5月現在で欧州評議会非加盟国のウルグアイを含む46か国が同条約を締結している。 さらに、2001年に「個人データの自動処理に係る個人の保護に関する条約への監督機関及び越境データ流通についての追加議定書」(欧州評議会条約第108号追加議定書) 27 が採択された。同追加議定書は3か条からなるもので、独立した監督機関の設置、締約国以外の国への個人データの移転の制限等について定めている。欧州評議会条約第108号を締結した国は、欧州評議会非加盟国であっても同追加議定書に参加が可能であり(同追加議定書第3条)、2013年5月現在で欧州評議会非加盟国のウルグアイを含む34か国が同追加議定書を締結している。 F ISO(International Organization for Standardization:国際標準化機構)、IEC(International Electrotechnical Commission:国際電気標準会議) ISOは、電気及び電子技術分野を除く全産業分野に関する国際規格の作成を行う国際標準化機関であり、IECは、電気及び電子技術分野の国際規格の作成を行う国際標準化機関である。ISOとIECの合同の専門委員会であるJTC1の傘下のSC27/WG5が、アイデンティティ管理及びプライバシー技術に関する国際規格を担当している 28 。 2011年に、プライバシーに関する共通的な用語の特定、PII(personally identifiable information:個人識別可能情報)の処理に関する関係者及びその役割の定義等を示すISO/IEC 29100:2011 Privacy frameworkが規格化された。 5 「宴のあと」事件(東京地裁昭和39年9月28日判決)参照。 6 早稲田大学江沢民講演会名簿提出事件(最高裁平成15年9月12日第二小法廷判決)参照。 7 日本においては、1970年代半ばから地方公共団体で個人的秘密等を保護する条例が制定されるようになった。 8 OECD, Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data(1980). 9 2013年1月現在では、すべての普通地方公共団体(1719団体)で個人情報保護条例が制定されている。 10 2008年7月25日個人情報保護関係省庁連絡会議申合せ「個人情報保護に関するガイドラインの共通化について」を踏まえて改正された。 11 消費者庁「平成23年度 個人情報の保護に関する法律施行状況の概要」。 12 Federal Trade Commission, Protecting Consumer Privacy in an Era of Rapid Change (2012). 13 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. 14 Working Party on the Protection of individuals with regard to the Processing of Personal Data, Working Document : Transfers o1 personal data to third countries : Applying Article 25 and 26 of the EU Data Protection Directive(24 July 1998). 15 消費者庁「個人情報保護制度における国際的水準に関する検討委員会報告書」(2012年3月)7頁〜9頁参照。 16 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector(Directive on privacy and electronic communications). 17 なお、本指令は、2009年に一部改正され、Cookieの利用に当たって内容を明示しオプトインによる利用者同意を求めること等が規定された。 18 前掲脚注2 19 オーストラリア・ニューサウスウェールズ大学のグレアム・グリーンリーフ教授によれば、2012年1月現在で94か国・地域で、パーソナルデータの保護に関する法律が制定されており、そのうちヨーロッパ以外で同教授が調査した33か国・地域のうち、カナダ、ニュージーランド、オーストラリア、韓国、香港、マレーシア等の25か国・地域でパーソナルデータの保護のための独立した第三者機関が設置されている(Graham Greenleaf ,Japan’s data privacy laws compared with laws in other Asian countries, and globally(2012))。 20 前掲脚注8 21 OECD Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy(2007). 同勧告の主な内容は、@他国の執行機関と協力できるようにするため、プライバシー保護法を執行するための国内の枠組を改善することA国境を越えたプライバシー保護法の執行協力を容易にするために有効な国際的な仕組を開発することB通知、苦情付託、調査支援及び情報共有を通して行うことを含む相互支援を提供することCプライバシー保護法の執行協力の促進を目的とした議論及び活動に、関連する利害関係者を参加させることとされている。※プライバシー保護法とは、国内法又は規則のことであって、その執行が、個人データを保護する効果を持ち、OECDプライバシーガイドラインに準拠したもの。 22 オーストラリア、カナダ、中国、フランス、ドイツ、イスラエル、イタリア、韓国、メキシコ、オランダ、ニュージーランド、スペイン、英国、米国等24か国及びEUのデータ保護当局等が参加している(日本は未参加)。 23 現在の参加国はオーストラリア、カナダ、香港、日本、韓国、メキシコ、ニュージーランド、米国の8か国・地域。 24 同会議の参加資格を認証するための手続及び基準は、2001年のフランスでの会合で初めて文書として定められ、何度か改正された後、2010年のイスラエルでの会合で現在の形に改正されている(データ保護プライバシー・コミッショナー会議・理事会規則:Executive Committee : Rules and Procedures.)。 25 オブザーバー国は原則閣僚委員会以外の会合、専門家委員会に参加することが可能であり、投票権はないが発言権を有している。また、欧州評議会からの招待があれば、部分協定や拡大協定会合等への参加が可能である。2013年4月現在、オブザーバー国は日本、米国、カナダ、メキシコ及びバチカンの全5か国である(外務省HP「欧州評議会(Council of Europe)の概要」(http://www.mofa.go.jp/mofaj/area/ce/gaiyo.html)より)。 26 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (Convention108). 27 Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows. 28 JTC(Joint Technical Committee)1は、ISOとIEC合同の専門委員会の1つで、IT分野の標準化をするために1987年にISOとIECの合同で設立された。JTC1の傘下には18の分科会(SC:Subcommittee)等があり、そのうちSC27はITセキュリティ技術を担当している。SC27には5つのWG(Working Group)があり、そのうちWG5がアイデンティティ管理とプライバシー技術を担当している。