(3) データ流通・活用の透明性・適正性の確保に向けた各国の取組
各国では、個人情報の保護に関する法整備の一環として、デジタルデータの収集・分析によるプライバシー侵害に関する規制や対応を進めている。違反時に罰則を科す規制の他、ユーザーが自身の情報の削除を要求する権利、ユーザーが自身に関するデータの分析の内容についてプラットフォーマーに確認できるようにする枠組等が存在する。
また、個人情報保護法制に加えて、プラットフォーマーを含む事業者に対しユーザー情報の適正な取扱い等について義務を課す国もある。
ア 日本
我が国では、2020年に個人情報保護法が改正され、2022年4月に全面施行された。令和2年改正法では、個人の権利利益保護のため、個人の権利又は正当な利益が害されるおそれがある場合にも本人が個人データの利用停止・消去等を請求できることとし、個人データの授受に関する第三者提供記録について本人による開示請求を可能とした。また、オプトアウト規定14により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データや②オプトアウト規定により提供された個人データについても対象外とした。このほか、提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付けた15。
2023年6月には、電気通信事業法の一部を改正する法律(令和4年法律第70号)が施行された。同法では、利用者の利益に及ぼす影響が大きい電気通信役務を提供する電気通信事業者に対し、特定利用者情報に関する情報取扱規程の届出、情報取扱方針の公表等を義務付けている。さらに、利用者の利益に影響を及ぼす影響が少なくない電気通信役務を提供する事業者が、利用者に関する情報を利用者の端末から外部に送信させる場合、①事前に利用者に通知し、若しくは利用者が容易に知り得る状態に置く(通知・公表)、②事前に利用者の同意を得る(同意取得)、又は③オプトアウト措置を講ずる(オプトアウト)、いずれかによって、確認の機会を付与することを義務付けている。
イ 米国
米国では、現状は個人情報の保護に関する包括的な連邦法は存在せず、各州において異なる法令が制定されている。カリフォルニア州では、2020年1月に全米初の包括的な個人情報保護を定めた「カリフォルニア州消費者プライバシー法(CCPA)」が施行された。同法では消費者に本人の個人情報削除を請求する権利など8つのプライバシー権利を与えている。
また、同年11月CCPAを改定する「カリフォルニア州プライバシー権法(CPRA)」が成立し、Third Party Cookie等を利用したクロスサイトトラッキング等に対応したオプトアウト措置の義務化などが定められた。CCPAの制定以降、ヴァージニア州、コロラド州など他州でもCCPAをモデルとする法律の制定の動きが広まっている16。
このような中、2022年6月、「米国データプライバシー・保護法案(ADPPA:The American Data Privacy and Protection Act)」の草案が公表された。消費者に事業者が保有する自分のデータにアクセスし、修正、削除する権利などを付与するとともに、事業者が法案に明記された17の事項に該当する目的以外でデータを収集及び利用することなどを禁止しており、同法案が成立すれば連邦レベルで初の包括的なプライバシー保護法となる見込みである。
ウ EU
EUでは、2018年5月25日に「一般データ保護規則(GDPR:General Data Protection Regulation)」が施行された。個人には、データの削除を求める権利やデータによるプロファイリングに異議を唱える権利、データポータビリティの権利17等が付与されている。このような権利を設定することで、個人データの保護を図るとともに、個人データの囲い込みの防止による競争の促進、個人データを活用したイノベーションの創出、ユーザーのコントロール下での個人データの共有の促進によるユーザーの利便性向上といったメリットが期待されている。事業者には、パーソナルデータの収集・利用に際してその個人の明確な同意を取得すること、データ管理・処理に伴うリスクに対して適切なセキュリティ対策を実施すること等を義務づけており、GDPRに違反した場合、最大で違反事業者の全世界での年間売上高の4%(2,000万ユーロを下回る場合には、2,000万ユーロ)の制裁金が科される可能性がある18。
また、オンライン上の安全と基本権を定めることを目的とする「デジタルサービス法(DSA:Digital Service Act)19」には、プラットフォーマーへ、事業者の規模に応じた利用者保護のための義務が規定されている。超大型プラットフォーマー20に対しては、オンライン広告の透明性確保(広告であること、広告主及び広告表示決定に用いられた主なパラメータ等を表示する義務)、ターゲティング広告の説明・同意取得等に加えて、オンライン広告の透明性確保やレコメンダーシステムに関する追加の義務が規定されている。
エ 中国
中国では、2021年9月に「データセキュリティ法」が施行され、データの概念を明確に定義するとともに、データ分類・等級付け保護、リスク評価、監視・早期警報、緊急対応等の各基本制度を確立し、データ取り扱い活動を行う際に履行すべき各義務が定められた21。
また、2021年11月、中国における個人情報保護規制に関する初めての基本法である「個人情報保護法」が施行された。本法では、個人情報取扱者に対する個人情報収集、処理、移転に関する義務や個人の個人情報取り扱い活動における権利のほか、インターネット上のプラットフォーマーによるアルゴリズムなどを利用した差別的価格設定に関する個人情報の取り扱いについての規定が設けられている2223。
14 本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。
15 https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
16 例えば、コロラド州では、2021年7月、消費者に対象事業者が収集した個人データへのアクセス、訂正、削除を行う権利や、個人データの販売だけでなく収集、使用を拒否する(オプトアウト)権利を付与する一方、対象事業者に個人データの保護や、個人データの使用方法に関して明確で理解しやすく透明性のある情報を消費者に開示すること等を義務付ける「コロラド州プライバシー法(Colorado Privacy Act)」が成立した。 https://www.jetro.go.jp/biznews/2021/07/509ba52fe4ead2e9.html
17 ①事業者等に自ら提供した個人データを本人が再利用しやすい形式で受け取る権利、及び②技術的に実行可能な場合には別の事業者等に対して直接個人データを移行させる権利
18 欧州では、GDPRの施行後から2023年2月末までにGDPRに係る制裁金発生事例が1,591件発生しており、制裁金総額は累計27億ユーロまで達している。制裁理由は「データ処理の法的根拠が不十分」が全体の32%と最も高く、次いで「一般的なデータ処理原則の違反」、「情報セキュリティを確保するための技術的および組織的対策が不十分」が続き、上位3つの理由が全体の4分の3近くを占める。
19 デジタルサービス法の適用開始日は、2024年2月17日であるが、一部規定については2022年11月16日に前倒しで適用が開始されている。
20 EUにおける月間平均アクティブユーザーが4,500万人以上で欧州委員会に指定された者(検索エンジンを含む)。
21 https://www.pwc.com/jp/ja/services/digital-trust/privacy/china-security.html
22 データセキュリティ法や個人情報保護法等については、条文中に用いられている用語の定義や各種評価・審査等の具体的案件、規制の対象範囲等が不明確な条文が多く、依然として透明性・予見性の観点から課題が指摘されている。
23 https://www.jetro.go.jp/biznews/2021/08/68d3caa207694e4e.html
Copyright © 2009 Ministry of Internal Affairs and Communications All Rights Reserved.