はじめに

本連載は、リーガルテック導入やリーガルオペレーションの進化における課題について、法務部長（佐々木さん）と弁護士（久保）が、往復書簡の形式をとって意見交換します。連載第17回の今回は、AsiaWise Groupの久保光太郎が担当します。

問いかけへの検討
―グローバルな個人データ保護法対応の方法

さて、前回の佐々木さんからの問いかけは以下のとおりでした。

• 2021年11月に中国で個人情報保護法が施行され、2022年6月にはタイでも個人情報保護法が施行されるなど、アジア各国で個人情報保護法の整備が進んでおり、米国でも、連邦法レベルの包括的な個人情報保護法が委員会で審議され、議会に提出することが可決された。
  企業としても、これまでの競争法、反贈収賄、ハラスメント対応等を中心としたコンプライアンス推進活動に「個人情報保護」を加える必要があるが、国際的な個人情報保護強化の動きに対処するには、どのようなルートで情報を入手し、日常的にどのような対処をしておくべきだろうか

この問いかけについて、私の考えをお話したいと思います。

世界的な個人データ保護法制定の背景とは？

法律の世界にも、“ブーム”や“トレンド”が存在します。21世紀に入ってからの約20年を振り返ってみると、個人データ保護法の発展は、瞠目すべき世界的なトレンドでした。
我が国において個人情報保護法が制定されたのは2005年のことですが、その後もアジアを中心に世界各国で個人データ保護法の制定が相次ぎ、最近では、日系企業が活動している国においては、包括的な個人データ保護法を有しない国は少数派になりつつあります。その背景には、

・　AIをはじめとする最新テクノロジーを活用したデータ処理技術の飛躍的発展

・　GAFAをはじめとする個人データを活用したビジネスモデルの一般化

があると考えられます。

加えて、ここ数年、データ法の分野においてもうひとつ注目すべき新たなトレンドを見てとることができます。それが“データ・ローカライゼーション規制の進展”です。
データ・ローカライゼーション規制とは、“データ保護主義” （外国の事業者が自国内のデータを自由に取得、利用することを制限する）の観点から、（個人データを含む）データを自国内に保存することなどを義務づける規制をいいます。中国、ロシア、ベトナム等の（旧）社会主義諸国は、既にこのような規制を導入する姿勢を見せています。米中対立、ロシア制裁等を起因として、各国政府において保護主義的な風潮が強まっていることを考慮すると、今後、さらに多くの国がデータ・ローカライゼーション規制を導入する可能性が高いと思われます。

グローバルな個人データ保護の要請と向き合う姿勢とは？

以上のような世界的な環境の変化を受けて、グローバルに活動する日系企業として、世界各国で続々と制定される個人データ保護法に対していかに向き合うかが問われています。
最近では、世界各国の個人データ保護法の制定・改正動向の情報を提供するサービスも出はじめています。そこで、法律事務所のニュースレター等に加えて、これらの情報提供サービスも活用し、自社グループが活動する各国法の最新情報をタイムリーに収集することが対策の出発点となりますが、その上で、「どのようにしてグループ全体で世界各国の個人データ保護法を遵守する体制を構築するか」が喫緊の課題となっています。多くの企業においては、その取り組みはまだ始まったばかりですが、私は、グローバルな個人データ保護の要請と向き合う姿勢として、以下の二つのポイントを提案したいと思います。

（1） “日本法中心主義”からの脱却

日本企業の多くは、日本の個人情報保護法に基づく実務を前提としたプライバシーポリシーや社内規程をもとにして、これらをいかに“グローバル化”させるかという問題の立て方をしているように思われます。というのも、

2000年代：日本の個人情報保護法の対応を終える。

2010年代：GDPR対応の必要に迫られる。

2020年代：世界各国の個人データ保護法対応の必要に迫られる。

といった日本企業の視点から見た流れを鑑みれば、これはやむをえないことのように思われます。
ところが、このような「日本法対応　⇒　GDPR対応　⇒　世界各国法対応」という漸次改善型の手順は、実際には、なかなかうまくいきません。日本の個人情報保護法に基づく実務を前提として、これを改変していく姿勢では、日本法と世界各国法のギャップに追いつけないのです。

これは、日本の個人情報保護法がかなり特殊な概念と枠組みを採用していることに原因があります。たとえば、「個人情報」と「個人データ」の峻別に加え、2022年からは「個人関連情報」などという概念も加わりましたが、これらは日本法独自の概念です。「個人情報」をPersonal Information、「個人データ」をPersonal Dataと訳し分けたとしても、英語話者はその違いを理解することができません（なお、本稿では、日本の個人情報保護法という法律名以外、「個人データ」という表現で統一しています）。
また、日本の個人情報保護法では、本人（データ主体）の同意を取得することが必要な場面は、

・　第三者提供

・　目的外利用

等、いわば“例外的な場面”に限られています。逆に言えば、あらかじめ公表等した利用目的の範囲内で個人情報（データ）を利用する限り、本人の同意を得る必要はないのです。ところが、GDPRをはじめとする世界各国の個人データ保護法では、利用目的の範囲内で個人データを取り扱う場合であっても、原則として本人の同意を得ることが必要です。そこで、GDPR型の法律を前提とした実務では、まず何より先に、十分な情報提供を行ったうえでの本人同意（インフォームドコンセント）の取得が出発点になります。

我が国において個人情報保護法が制定された当時の立法担当者の議論を読むと、日本法はヨーロッパ法、米国法と異なる“第三の道”を行くのだという意気込みが見てとれます。当時としては「その心意気やよし」というところなのですが、その後、世界各国においてGDPR型の法律の制定が相次いだ結果、誤解を恐れずにいうと、各国に先駆けて個人情報保護法を法制化した日本の“ガラパゴス化”が進んでしまったのです。その後、EUによる十分性認定を目的として、域外移転規制の導入など、GDPRに歩み寄る法改正はなされていますが、それでも日本の個人情報保護の実務は、世界各国と比べて独特な部分が数多く残っています。

以上の帰結から、日本独自の個人情報保護法の実務を前提として作られたプライバシーポリシーや社内規程を英語化し、微調整しただけでは、世界各国の個人データ保護法に対応することはできないということがおわかりいただけたのではないでしょうか。

日本企業としては、“日本法中心主義”から脱却するとともに、日本本社のみならずグループ全体に適用される共通のグローバルポリシーを制定することが必要です。そして、グローバルポリシーを策定するに際しては、世界各国の個人データ保護法において標準となりつつあるGDPRの概念と枠組みを参照することがポイントとなります。一方で、日本法を含む各国法上の特殊な取扱いは、ローカルポリシーの中で対応することになります。このような二段構えの枠組みを採用することによって、グループ全体の基本的な方針について共通化するとともに、各国法の特殊性に対応することが可能になるのです。

（2） “コンプライアンス絶対主義”からの脱却

もう一つ、私が日本企業各社の個人データに関する取り組みを見ていて感じるのは、個人データ保護というコンプライアンスを重視するあまり、企業内に蓄積する個人データの利活用の取り組みが進まないという問題です。
法務・コンプライアンス部門からすれば、個人データ保護は重要なコンプライアンス課題です。万が一個人データが漏えいした場合、企業は深刻なダメージを受けます。そこで、企業は適切なコンプライアンス対策を講じることが必要となります。見方によっては、個人データの取得・保有は、“大きなリスク要因”ともいえるのです。
では、それにもかかわらず、企業はなぜ、リスクの塊である個人データを取得・保有しようとするのでしょうか。それは、21世紀の経済を駆動する石油というべき（個人）データこそ、企業活動の死命を決する“資産”となったためです。換言すると、（個人）データの利活用こそが目的であり、個人データの保護はその目的を達成するための手段なのです。ここで、本来は“手段”にすぎない個人データの保護を“目的化”してしまうと、

「個人データは可能な限り持たない方がよい」

「個人データ保護法のコンプライアンスのために新規プロジェクトを諦めよう」

といったように、個人データ保護の要請が企業のビジネスの足かせになりかねません。

このように、“個人データの利活用”と“個人データの保護”の双方の要請は、切り離して考えることはできず、両者のバランスと調整を企業全体で考えることが必要です。企業のビジネスの現場担当者としても、個人データ保護法対策を所管する法務・コンプライアンス部門に任せきりにせずに、個人データの利活用を実現するための方策を考えなければなりません。また、社内のポリシーレベルにおいても、“個人データ保護”のみならず“個人データの利活用”を促進するルールを制定することも一案でしょう。

最後に、もう一つ重要なポイントをお話したいと思います。
企業がより効率的に個人データを利活用するための最善の方策は、データ主体（本人）が企業の個人データの取扱いに際して抱く不安を取り除く（むしろ積極的にデータ主体（本人）に安心感を与える）ことです。このような目的を実現するためには、形式的に個人データ保護法を遵守すること（＝狭義のコンプライアンス）以上に、個人データを取り扱う企業が、自分たちの個人データの取扱いに関するプリンシプル（原理・原則）を明確化し、それを社会に対してわかりやすい形で伝える姿勢を見せることが重要です。
「個人データをどうして大切に取り扱わなければいけないのか」「“危険な利活用”とは何か」といった社会の側に立った思考過程を経ずに、「このデータは“個人データ”に該当するか」などという狭義のコンプライアンス観点からの議論に終始することは、“個人データの利活用”という究極的な目的を達成するうえではあまり意味がないことです。
法務・コンプライアンス部門が狭義のコンプライアンスの観点だけを考慮してプライバシーポリシーを策定すると、企業外のステークホルダーにとって非常にわかりにくい、法律の条文のような代物ができあがってしまいます。企業がより効果的に個人データ利活用の要請を促進するためには、法律を基準とするのではなく、顧客や社会を基準として考えることが重要です。

GAFAをはじめとした個人データを多く保有する海外企業においては、単に“静的”なプライバシーポリシーをホームページ上に掲示するだけでなく、誰が見てもわかりやすい説明のために、イラストや図表を用いてよりインタラクティブな情報提供を行う、いわゆる“プライバシーセンター”の設置が進んでおり、今後、日本企業においてもこのようなプロアクティブな説明方法が一般化するものと推測されます。このような姿勢がビジネス部門を含む企業全体に広まれば、世界各国の個人データ保護法の対応はそれほど難しいことではないでしょう。

弁護士から法務部長への問いかけ

→この連載を「まとめて読む」