総務省トップ > 政策 > 白書 > 30年版 > パーソナルデータの国際流通
第1部 特集 人口減少時代のICTによる持続的成長
第2節 日本と世界のデータ関連制度

2 国際動向

(1)パーソナルデータの国際流通

ア EU一般データ保護規則の適用開始に向けた動向

1995年に成立して以来、EUのみならず世界各国の個人情報保護法制のモデルとして参照されてきたEUデータ保護指令は、2018年5月25日から、新たな「一般データ保護規則(GDPR:General Data Protection Regulation)」の直接適用に置き換えられた。GDPRは2012年1月に欧州委員会から原案が提出されて以来、欧州議会・欧州理事会での審議を経て2016年4月に成立、それから2年間の猶予期間を経ての適用開始となる。

GDPRは、EU加盟28国及び欧州経済領域(EEA:European Economic Area)3か国を含む31か国において事業を営む場合に加え、海外からEU市民に向けてサービスを提供したり、その個人情報を取得したりする場合にも適用される。2,000万ユーロか全世界連結売上高4%のいずれか高い方等を上限とする高額な制裁金などを背景に、世界各国の企業がそのコンプライアンス対応に取り組んでいる。

従来のデータ保護指令は、EU及びEEA加盟国が指令に基づく国内法を整備することで初めて効力を持つものだったが、GDPRは、適用が開始され次第、加盟国及びEU域外の対象企業に直接適用されるルールであり、それに伴い、EU域内でのデータ保護法は原則として一本化される。ただし、GDPRの執行は引き続きEU加盟国それぞれが設置するデータ保護当局(Data Protection Authority)が行うものであり、GDPRではその一貫性を確保するためのメカニズム整備なども行われているが、実際の法運用は引き続き国による相違が一定程度存在し続けることが想定される。

2016年のGDPR制定以来、各国のデータ保護当局及びEU機関のデータ保護を担当する欧州データ保護監察官から構成される合議体である29条作業部会(GDPRの適用開始以降は欧州データ保護会議と改称)は、GDPRによって導入される新たなデータ保護ルールについての解釈・執行指針を示す多くのガイドラインを策定してきた。2018年4月末現在公表されているガイドラインの一覧は、下記のとおりである(図表1-2-2-16。GDPRへの対応においては、これらのガイドラインの精査が求められる7

図表1-2-2-1 ガイドライン一覧
(出典)個人情報保護委員会ホームページ

またEUには、データ保護指令を補完する形で、2002年に電子通信分野における特別なプライバシー保護のルールを定めた電子通信プライバシー指令(e-privacy directive, 2002/58/EC)が制定されており、通信の機密性や、行動ターゲティング広告等に用いられるブラウザのクッキー情報利用などについての規律が定められている。欧州委員会は2017年1月、GDPRと同時の2018年5月の適用開始を目指す形で、新たな「電子通信プライバシー規則」案を公表し、欧州議会・欧州連合理事会における審議が進められてきた。

加盟国間での意見調整の長期化などにより、同規則の成立は2018年秋以降にずれ込む見込みだが8、同規則案は、GDPRと同様に従来の電子通信プライバシー「指令」を「規則」に格上げするとともに、執行主体や制裁金を含め、GDPRと一体的な運用を可能とする形での立法作業が進められている。GDPRと同等の域外適用も導入される見込みであり、日本企業としても対応を検討する必要がある(図表1-2-2-2)。

図表1-2-2-2 「電子通信プライバシー規則」案(2017年1月欧州委員会提案版)の主な内容
(出典)総務省「我が国のICTの現状に関する調査研究」(2018年)
イ EUからの十分性認定と日本の個人情報保護法

EUのデータ保護法制は、グローバルなデータ流通環境においてEU市民の個人情報保護を確保するため、欧州委員会から個人情報の「十分な保護水準」を有するという認定(十分性認定)を受けた第3国以外へのEU域内からの個人データ移転を原則として禁止する、越境個人データ移転規制を有してきた。十分性認定を受けていない第3国への個人データ移転を行うためには、企業等は拘束的企業準則(BCR)や標準契約条項(SCC)などEUから認定された特別な枠組を用いるか、本人からの同意を得なければならず、そのコストが日本企業の国際的なデータ活用ビジネスを進める上での課題とされてきた。

日本においては、ここ数年来、個人情報保護委員会を中心として日EU間の双方向での個人データの越境流通の枠組の構築を目指した対応を行ってきた。現在、2018年の早い段階でGDPRに基づくEUからの正式な十分性認定を受け、また個人情報保護法第24条に基づく外国指定をEUに対して行うことを目指し、EUとの間での交渉が進められている。これにより、日本とEUの間での個人データ移転を含む国際取引は大きく拡大していくことが期待されている。

一方で、日本とEUの個人情報保護法制には一定の差異が存在することに鑑み、十分性認定の実現と合わせ、その差異を埋めるために、十分性認定により移転されたEU市民のデータを日本国内で取り扱うにあたっての規定に関わる「EU域内から十分性認定により移転を受けた個人データの取扱いに関するガイドラインの方向性について9」が個人情報保護委員会から公表されている。要配慮個人情報の範囲や、匿名加工情報を利用する際の措置をはじめ、EU市民の個人データを取り扱う際には同ガイドラインに留意する必要がある。

また日本法においても、2017年5月に施行された改正個人情報保護法第24条において、外国にある第三者に個人情報を提供する際の規律が導入されたところだが、個人情報保護委員会は、EUからの十分性認定を受けると同時に、EU全体を同条に基づく「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」として指定する個人情報保護委員会規則を採択する方向性が示されている。指定対象として想定されるEUには、EU加盟28か国に加え、EEA3か国(アイスランド、リヒテンシュタイン、ノルウェー)が含まれ、これらの国々には、国内と同様の要件にて個人情報の提供を行うことができる見込みである。

ウ アジア諸国における越境個人データ移転規制の状況

インターネットの本格的な普及や電子商取引のグローバルな拡大を受け、新興国においても、ここ数年来、個人情報保護法制の整備が急速に進められてきており、EUと類似した越境個人データ移転規制を有しているものも見受けられる。例えばアジア太平洋地域では、少なくともカナダ・メキシコ・韓国・香港(当該条文未施行)・シンガポール・マレーシア・インド・オーストラリア等が広範な越境個人データ移転規制をすでに有しており、その他にもタイやインドネシア、ベトナム等が立法準備を進めている。特に日本企業にとっては、2020年東京オリンピック・パラリンピックにおけるおもてなしICTサービスの展開等において、多数のアジア太平洋諸国民の個人データを扱うことが想定されるため、これら国々の越境個人データ移転規制の状況にも注意を払う必要がある。

アジア太平洋各国の越境個人データ移転規制においても、日本やEUのように、適切な保護水準を有する外国への認定を行うことで自由な越境個人データ移転を可能とする、十分性認定制度を有している国が見受けられる。例えば2017年4月には、東アジア地域では初めて、マレーシアが十分性認定を行う国リストの草案を公表している10

EU加盟28か国+EEA3か国で一括の十分性認定を行うEUとは異なり、これら新興国の十分性認定についてそのような国際的な枠組は現時点で存在していない。こうした複雑さを増すアジア太平洋地域における個人データの越境移転を円滑化するため、アジア太平洋経済協力(APEC:Asia Pacific Economic Cooperation)において越境プライバシー保護ルール(CBPR:Cross Border Privacy Rules)の枠組が開始されている。2018年3月現在では、正式参加国はアメリカ・カナダ・メキシコ・日本・韓国・シンガポールの6か国となっている。CBPRの枠組では、APECから認定を受けた中立的な認証機関(アカウンタビリティーエージェント:民間団体又は政府機関)が、個人情報保護に関する一定の条件を満たした事業者を認証する。日本は、2014年よりCBPRに参加しており、一般財団法人日本情報経済社会推進協会(JIPDEC)が認証機関に認定されている。



6 個人情報保護委員会ホームページ「GDPR(General Data Protection Regulation:一般データ保護規則)」を参照。
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/別ウィンドウで開きます

7 これらのうち一部は、日本貿易振興機構(JETRO)が、日本語による解説を公表している。
https://www.jetro.go.jp/world/reports/2018/01/9a90f1003bc16515.html別ウィンドウで開きます

8 英国Privacy Law & Business Report “e Privacy Regulation not Ready to Coincide with GDPR implementation”(2018年1月)。
https://www.privacylaws.com/Publications/enews/International-E-news/Dates/2018/1/e-privacy-Regulation-not-ready-to-coincide-with-GDPR-implementation/別ウィンドウで開きます

9 第53回個人情報保護委員会(2018年2月9日)資料を参照。
https://www.ppc.go.jp/enforcement/minutes/2017/20180209/別ウィンドウで開きます

10 マレーシアによる十分性認定に関する意見招請のための文書草案につき、以下を参照。
http://www.pdp.gov.my/images/pdf_folder/PUBLIC_CONSULTATION_PAPER_1-2017_.pdfPDF

テキスト形式のファイルはこちら

ページトップへ戻る