総務省トップ > 政策 > 白書 > 令和2年版 > パーソナルデータの流通に係る各国での規制の動向
第1部 5Gが促すデジタル変革と新たな日常の構築
第1節 5Gが加速させるデータ流通

(4)パーソナルデータの流通に係る各国での規制の動向

増加するパーソナルデータの流通について各国ではどのような規制が議論、制定されているのだろうか。

ア OECD8原則

大量のデータを瞬時に処理できるコンピュータが普及して国際的な通信ネットワークが構築されれば、個人データの国際流通が深まる可能性を受け、1980年、OECDの理事会は「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告(OECDプライバシーガイドライン)」を採択した。その後、本ガイドラインは、2013年に現在のものへと改訂されている。

このOECDプライバシーガイドラインは、8項目からなる原則により成り立っている(図表3-1-4-8)。これら原則は、現在、世界各国の個人情報やプライバシー保護に関する法規制の基本原則として取り入れられている。

図表3-1-4-8 OECD8原則
(出典)総務省(2020)「データの流通環境等に関する消費者の意識に関する調査研究」
イ EU米国間におけるプライバシーシールド

EU及びスイスと米国の間のプライバシーシールド(Privacy Shield Framework)は、EU及びスイスから米国に個人データを移送する際に、データ保護要件を遵守することを目的として、2016年に米国商務省、欧州委員会、スイス政府によって策定され、承認された。米国企業はEUのプライバシー原則を遵守すると自己申告し、米国商務省に登録することにより、個人に関するデータをEU及びスイスから持ち出すことが可能になる(図表3-1-4-9)。現在、Google、Microsoft、Facebook等の2400社強の企業がこの制度に登録している。

図表3-1-4-9 プライバシーシールドで定められている原則
(出典)総務省(2020)「データの流通環境等に関する消費者の意識に関する調査研究」

EUは、プライバシーシールド制度の開始後に適用を開始したGDPRにより欧州域外への個人データの移送を原則禁止としているが、米国企業に対しては例外的にプライバシーシールドの枠組みの中で域外へのデータ移送を認可している。

ウ EU米国間におけるプライバシーシールド

APEC(アジア太平洋経済協力)では、国境を越えて移転する個人情報を適切に保護するためCBPRシステム(越境プライバシールール制度:Cross-Border Privacy Rules System)を構築し運用している(図表3-1-4-10)。本システムは、企業等が、自社の越境個人情報保護に関するルール、体制等に関して自己審査を行い、その内容について予め認定された中立的な認証機関から審査を受け、認証を得るものである。事業者の越境個人情報保護に係る取組に関し、①損害の回避、②通知、③取得の制限、④個人情報の利用、⑤選択、⑥個人情報の完全性、⑦セキュリティ対策、⑧アクセス及び訂正、⑨責任といった観点からAPECプライバシー・フレームワーク12への適合性を認証する制度といえる。

図表3-1-4-10 CBPRの概念図
(出典)経済産業省ウェブサイト13

我が国は2014年にこの枠組みへの参加が認められ、2016年には、一般財団法人日本情報経済社会推進協会(JIPDEC)が我が国初の認証機関として認定され、同年6月に認証事業を開始している。

エ 日米デジタル貿易協定

我が国と米国の間においても、円滑で信頼性の高い自由なデジタル貿易の促進による両国間の貿易の安定的拡大等を目指し、「デジタル貿易に関する日本国とアメリカ合衆国との間の協定(日米デジタル貿易協定)」において、日米間の電子商取引のルールを定めている。(図表3-1-4-11)。

図表3-1-4-11 データ流通の促進に関連する条文(抜粋)
(出典)総務省(2020)「データの流通環境等に関する消費者の意識に関する調査研究」

本協定は世界のデジタル貿易の分野をリードするハイレベルなルールを示すものであり、両国は引き続き同分野での国際ルールづくりに参画していくこととしている。

オ 大阪トラック

大阪トラックは、2019年6月開催のG20大阪サミットの際に、安倍総理大臣が主催した「デジタル経済に関する首脳特別イベント」において立ち上げられた、デジタル経済、特にデータ流通や電子商取引に関する国際的なルール作りを進めていくプロセスの総称である。WTOでの電子商取引に関する交渉を本格的に進めていくことを目指し、G20参加国に加え、2019年1月にダボスで発出された、電子商取引に関する共同声明に参加する他のWTO加盟国とともに、今後、データ流通や電子商取引に関する国際的なルール作りを進めることとしている。G20大阪サミット閉会後、WTOやOECDの会合等の場で、データ流通や電子商取引に関する国際的なルール作りの重要性、必要性等について発信が続けられているところである。

カ カリフォルニア州消費者プライバシー法

また、国際的な取り決めではないが、カリフォルニア州議会が定めた州法であるカリフォルニア州消費者プライバシー法(CCPA)も、国際的なパーソナルデータのやりとりに影響を与えることが予想される。この法律は、憲法上の人権に位置づけられるプライバシー権の保護を主な目的として、2020年1月に施行されている。この法律により、「消費者」に8つのプライバシー権利を与え、「消費者の個人情報を処理する事業者」に8つの義務を負わせることを目的としているが、米国内に拠点を持ち、カリフォルニア州の住民を顧客として個人情報を処理する企業は上記事業者に該当する場合が多く、対応を求められる可能性がある(図表3-1-4-12図表3-1-4-13)。

図表3-1-4-12 CCPAにおける消費者の8つのプライバシー権利
(出典)総務省(2020)「データの流通環境等に関する消費者の意識に関する調査研究」
図表3-1-4-13 CCPAにおける事業者の8つの義務
(出典)総務省(2020)「データの流通環境等に関する消費者の意識に関する調査研究」

このCCPAの制定以降、マサチューセッツ州、ニューヨーク州等の10州以上の議会にCCPAをモデルとする法案が提出されており、これまで存在しなかった、米国全土を対象とする包括的な連邦プライバシー法制定の機運も高まっている。



12 APEC加盟エコノミーにおける整合性のある個人情報保護への取組を促進し、情報流通に対する不要な障害を取り除くことを目的として2004年に策定されたフレームワーク。

13 https://warp.da.ndl.go.jp/info:ndljp/pid/11203267/www.meti.go.jp/press/2016/12/20161220004/20161220004-1.pdfPDF

テキスト形式のファイルはこちら

ページトップへ戻る