特別インタビュー　個人情報保護の今後〜活用とのバランスを

個人情報保護委員会　堀部政男 委員長

改正個人情報保護法が、2017年5月30日に全面施行された。今後は、個人情報の保護とビジネスでのデータ活用のバランスを取りつつ、企業のデータ利活用に対する取組が加速することが期待される。個人情報保護委員会の堀部政男委員長にお話を伺った。

1　プライバシーとパーソナルデータ保護の展開

Q：日本におけるプライバシーや個人情報に関する取組と経緯について伺います。

日本では、三島由紀夫氏の小説「宴のあと」によってプライバシーを侵害されたとして1961年に提起された民事訴訟を契機に、プライバシーへの関心が高まり、議論が活発化した。地方公共団体で1970年代中葉から個人情報保護条例などが制定されるようになり、国の法律では、まずは行政分野での検討が先行し、1980年のOECD（経済協力開発機構）プライバシー・ガイドライン1を参考として、「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が1988年に成立した。1990年代末になり、情報通信技術が進展する中、民間部門を対象にした個人情報保護法制定に向けた議論が始まった。IT戦略本部の下に設置された「個人情報保護検討部会」と「個人情報保護法制化専門委員会」での検討を踏まえ、「個人情報の保護に関する法律」が2003年に成立し、2005年に全面施行となった。

その後10余年の間、大きな改正は行われなかったが、ビッグデータ時代におけるパーソナルデータの利活用を促進するため、2013年にその改正に向けた検討が政府内で開始された。2013年から「パーソナルデータに関する検討会」で議論が始まり、2014年にIT戦略本部で「パーソナルデータの利活用に関する制度改正大綱」が取りまとめられ、それに基づき個人情報保護法の一部改正を含む「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」が2015年国会に提出され、同年9月に成立・公布された。2016年1月の一部施行により個人情報保護委員会が設けられ、2017年5月に全面施行されることとなった。

2　今般の改正個人情報保護法改正の意義

Q：個人情報保護法の改正のポイントは、どのような点でしょうか。

情報通信技術の進展により、膨大なデータの収集・分析が可能となり、個人情報保護法の制定当時には想定されなかったパーソナルデータの利活用ができるようになる中、①個人情報に該当するかどうかの判断が困難ないわゆる「グレーゾーン」の発生・拡大、②パーソナルデータを含むビッグデータの適正な利活用ができる環境整備の必要性、③事業活動がグローバル化し、国境を越えた多くのデータの流通といった3つの課題が顕在化していた。

改正個人情報保護法は、これら3つの課題に対応している。第一に、グレーゾーン解消のため、「個人情報」の定義を明確化した。第二に、ビッグデータの利活用促進のため、特定の個人を識別することができず、復元することもできないように加工された「匿名加工情報」について、個人情報よりも緩やかな規律の下で自由な利活用を認める制度を導入した。第三に、グローバル化に対応するため、外国にある第三者への個人データの提供の制限や、外国執行当局への情報提供に係る規定等を導入した。

また、近年の個人情報の大規模漏えい事案等を踏まえ、トレーサビリティに関する規定が設けられるとともに、不正な利益を図る目的で個人情報データベース等を提供した従業員等に対する直罰規定が設けられるなど、個人情報の不正な流通の抑止を図っている。

このように、改正個人情報保護法は、消費者の個人情報の保護を図りつつ、事業者によるパーソナルデータを含むビッグデータの適正かつ円滑な活用を促進させ、新産業・新サービスを創出するための環境を整備している。そのため、我が国及び事業者にとっても有意義な法制度であると自負している。

Q：改正個人情報保護法の施行に向けた準備状況をご説明願います。

個人情報保護委員会は改正個人情報保護法の施行に向けた準備として、個人識別符号及び要配慮個人情報の範囲や匿名加工情報の作成方法の基準等を定めるため、事業者団体や消費者団体等の関係者との意見交換を行いつつ検討を行い、2016年10月に政令（閣議決定）及び委員会規則を制定・公布した。

法律、政令及び規則の内容について、事例を交えながら解説するガイドラインについても並行して検討を行い、2016年11月に「個人情報の保護に関する法律についてのガイドライン2」を公表した。この結果、従来の主務大臣制の下では、分野別に38の異なるガイドラインが存在したが、改正後は原則として、委員会のガイドラインに一元化された。

また、政令、委員会規則及びガイドラインのパブリックコメントでいただいたご意見も踏まえ、2017年2月には、より詳しい事例に即した解説等を行ったQ＆Aも委員会のウェブサイト上で示している。

個人情報保護委員会としては、必要なルール整備は一段落したものと認識しており、今後はこれらのルールを携え、広報活動に力を入れて取り組む。

3　パーソナルデータ保護に関する国際動向

Q：パーソナルデータの円滑な越境移転の確保にむけた国際的な取組の全体像はどのようなものですか。

国際的な個人データ流通が円滑に行われるための環境を整備するには、国際的な協力枠組への参加や各国執行当局との協力関係の構築が重要だ。外国において個人情報保護は、独立性のある監視・監督機関の存在が大前提となっており、日本の個人情報保護制度は周回遅れとの指摘があった。各国のデータ保護機関が集まる国際会議においても、日本が正式メンバーとなれずにオブザーバー参加という状況が続いた。

しかしながら、2016年1月の個人情報保護委員会が設置を機に停滞状況は解消され、現在は国際的な執行協力の枠組であるグローバルプライバシー執行ネットワーク（Global Privacy Enforcement Network: GPEN）に同年5月、アジア太平洋プライバシー機関フォーラム（Asia Pacific Privacy Authorities：APPA）に同年6月に正式に参加した。引き続く7月には「個人データの円滑な国際的流通の確保のための取組について」（平成28年7月29日個人情報保護委員会決定）を決定するなど、個人情報の保護を図りつつ、その円滑な越境移転を図るため諸外国との協調を進めることとし、特に、米国及びEUについて、相互の円滑なデータ移転を図る枠組みの構築を視野に、継続的に協力対話を行ってきている。なお、今年は、9月に香港で開催される第39回データ保護・プライバシー・コミッショナー国際会議（39th International Conference of Data Protection and Privacy Commissioners）で、やっと我が国の個人情報保護委員会が正式メンバーになることも予定されており、様々な国の関係機関との交流を更に深めていくことを予定している。

Q：日EU間での円滑なデータ流通に関する取組状況をご説明願います。

欧州連合（EU）では、第三国への個人データの越境移転の規定を置いているが、改正個人情報保護法においても、新たに外国の第三者への個人データの移転に関する規定を設けた。これを踏まえ、先ほど紹介した国際的な取組に関する委員会決定に基づき、我々は日EU間で相互の円滑なデータ移転を図る枠組みの構築を視野に対話を続けてきている。

本年1月10日に欧州委員会（EC）が発表した個人データの越境移転及びその保護に関する政策文書において、積極的に連携するパートナーとして日本が明記された。これは、我が国の個人情報保護法の改正がEUにとっても前向きに受け止められていることの表れであると考えている。

また、日EU間の議論は、EU一般データ保護規則（General Data Protection Regulation：GDPR）の確認を含め、双方向の対話である点も同文書に明記されており、これは、相互の円滑なデータ移転を目指す我々の方向性とも整合している。相互の円滑なデータ移転を図る枠組みを構築できるよう更にEUとの対話を促進していきたい。

Q：米国やアジア諸国との間で円滑なデータ流通の確保に向けた取組状況をご説明願います。

米国との間では、グローバルな展開を念頭に、個人データ移転の枠組であるアジア太平洋経済協力（APEC）の越境プライバシールールシステム（Cross Border Privacy Rules System：CBPRシステム）の活性化等の取組を進めている。CBPRシステムは、事業者のAPECプライバシーフレームワークへの適合性を国際的に認証する制度である。この認証を得ることによって、個人データを円滑に移転することが可能となる。

改正個人情報保護法でも、外国にある第三者に個人データを提供できる場合として、日本の個人情報取扱事業者又は提供先の外国にある第三者のどちらかがCBPRシステムの認証を得ている場合をガイドラインで明示し、認証を取得する企業が増えるよう、周知活動を行っている。また、現在、CBPRに参加しているAPECエコノミーは米国、日本、メキシコ、カナダとなっており、参加エコノミーを増やすため、米国と連携し、アジア諸国も含めた周知活動を行っていきたいと考えている。

4　今後に向けて

Q：パーソナルデータ活用促進に向けた官民双方の役割分担は、どうなるのでしょうか。

事業者において円滑に改正法への対応が行われるよう、民の側では社内体制の整備等の準備を万全に行っていただくことが肝要だ。官側としても、周知広報活動に精力的に取り組むとともに、施行準備に関するご相談に対応する等、全面的に支援する構えである。

今回の法改正の趣旨を踏まえると、事業者においては、改正個人情報保護法の下で創意工夫をこらし、イノベーションの創出につながるようなパーソナルデータの利活用を実現することが期待されている。特に新設された匿名加工情報の活用が期待されるため、個人情報保護委員会においても、匿名加工情報に関する詳しい解説を内容とする事務局レポートを公表しており、引き続き情報提供を行う予定である。また、具体的な利活用の方策やサービスの設計を検討する中で、どのように個人情報の保護と利活用を両立すべきか、判断に迷う場面もあると思う。個人情報保護委員会では、具体的な事例ベースでの相談にも積極的に対応する。

さらに、事業者が個人情報保護団体を作り、国の認定を受ける認定個人情報保護団体の制度がある。主務大臣制の下で40を超える団体が認定されていたが、民間団体による個人情報の保護の推進として重要な役割を果している。個人情報保護委員会では、2016年6月21日に「認定個人情報保護団体に期待される役割及び委員会としての活動方針等について」（平成28年6月21日個人情報保護委員会決定）を決定し、また、2017年4月21日には「認定個人情報保護団体の認定等に関する指針」（平成29年個人情報保護委員会告示第7号）を公表した。今後、AI・IoT・ビッグデータ時代において、パーソナルデータの利活用が進む中、新たな課題も出てくるだろう。個人情報保護委員会としても、このような課題にも取り組む予定である。

Q：個人情報保護委員会の今後の展望についてご説明願います。

個人情報保護委員会は、日本初の個人情報保護行政の全般を担う、高い独立性がある監視・監督機関である。従来、個人情報保護に関する問題は、各府省で対応していたが、個人情報保護委員会で一元的に対応することが可能となったため、継続性と専門性をもって対応することができる。この継続性及び専門性をもった対応は、当委員会の強みだと考えている。

情報通信分野は、個人情報を含むデータの利活用にも積極的であり、個人情報の取扱いの在り方について悩まれるケースも多く想定される。個別具体的な相談への対応も丁寧に行っていきたいと考えている。

個人情報保護の国際的な動向に目を向けると、日本はようやく個人情報保護に関する国際会議に正式メンバーとして参加できるようになってきた段階である。今後はプライバシー外交を積極的に展開し、日本及び個人情報保護委員会の国際的なプレゼンスを高めていきたい。