個別プロジェクト支援にあたって現場を助ける視点(1) - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに~個別プロジェクト支援を行うための考え方

第0回でもお伝えしたように、この連載は、「個人データの利活用を目指したプライバシーガバナンスの実装支援について、個別プロジェクト支援とガバナンス支援を両輪として、個別プロジェクトからの帰納的なアプローチにより、ガバナンスシステムを構築すること」をテーマとするものです。

そのため、いきなりガバナンス体制の構築についてお話しするのではなく、まず入口の段階として、個別プロジェクト支援を行う中で頻繁に見かける現場での課題、苦悩に対して持っておくと有益ではないかと思われるいくつかの考え方からお話ししようと思います。

個人データ保護法令対応レベルでの考え方

多くの企業において、個人データの利活用やプライバシーへの対応は、“迷子になってしまっている”状況であるといって過言ではないと思います。
迷子になっている理由はもちろん各社それぞれの事情によるのですが、つまるところ「何をどこまでしたらいいのかがよくわからない」ということに収斂されそうです。事業部やデジタル○○部からすると、「結局どうしろというのか」という不満となっており、法務部やコンプライアンス部からすると「固めに法令遵守しておかないと、どうなるかわからないから」という意識になっているようにも見受けられます。その結果、「個人データを利活用したくてもできない」という状況が生じてしまうのです。

どうして、これほど“わからない”のでしょうか。これはさまざまな分析が可能だとは思いますが、まずここでは、おそらく“個人データ利活用”や“プライバシー対応”といった場面で真っ先に思い出されるであろう“個人データ保護法令の側面”からお話しします。

個人情報保護法の複雑な法目的と同意原則の非採用

日本の個人情報保護法の目的規定(1条)を改めて見てみると、次のように書いています。

個人情報の保護に関する法律(平成15年5月30日法律第57号)

第1条 この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、…、個人情報を取り扱う事業者…についてこれらの特性に応じて遵守すべき義務等を定めるとともに、…、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

これを見ると、個人情報保護法は、一次的には、個人情報(データ)の適正な取扱いに関し遵守すべき義務を定めるとともに、個人の権利利益を保護することを目的としています。ただ、“個人の権利利益とは具体的に何か”は明言されておらず、また重要な点として、「個人情報の利用が著しく拡大していることに鑑み」「個人情報の有用性に配慮」することが述べられています

ここで、「個人情報の有用性に配慮する」ということから敷衍すると、日本の個人情報保護法は、個人データの保護のみならずその利活用を目指したため、“十分な情報提供義務を前提とした同意原則を採用しない”という独自の道を歩んだともいえるのではないでしょうか。
さらに誤解を恐れずに述べると、シンプルな同意原則(ここでは、個人データの取扱いの適法化要件の最も典型的なものとして同意が定められているといった意味で用います)を採用しなかった結果、日本法は逆に何をどうしたらいいのかが今ひとつわかりにくくなってしまい(その後の改正で“原則に対する例外”や“例外の例外”のようなものがいくつか発生し、さらに難解さを増しています)、制定当時のマスコミ報道なども相まって、「面倒だ」「結局よくわからない」という意識を強く植え込んだのではないかと思われます。

世界の個人データ保護法の法目的とシンプルな同意原則

では、世界の個人データ保護法はどうでしょうか。いまや個人データ保護法のグローバルスタンダードとしての地位を得たともいえるGDPRでは以下のように書かれています。

GENERAL DATA PROTECTION REGULATION (GDPR)

第1条(Art. 1 Subject-matter and objectives)
2 This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.
【参考訳】
2 本規則は、自然人の基本的な権利及び自由、並びに、特に、自然人の個人データの保護の権利を保護する。(個人情報保護委員会による仮訳より)

前文
(1) The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her.
【参考訳】
(1) 個人データの取扱いと関連する自然人の保護は、基本的な権利の一つである。欧州連合基本権憲章(以下「憲章」という。)の第8条第1 項及び欧州連合の機能に関する条約(以下「TFEU」という。)の第16条第1項は、全ての者が自己に関する個人データの保護の権利を有すると定めている。(個人情報保護委員会による仮訳より)

端的に述べると、GDPRは“個人データの保護に対する権利を守ること”を目的としています。他の諸外国の個人データ保護法でも、この法律はプライバシーを保護することを目的とするといった規定が存在していることが多いです。そして、その方策として十分な情報提供を前提とした同意原則が採用されています。その結果、出発点としては注1、「何をすれば適法に個人データを取り扱ってよいのか」がわかりやすくなっていると評価することが可能です。

出発点としての“世界の個人データ保護法の枠組み”の採用

このように、GDPRをはじめとした諸外国の個人データ保護法は、「出発点としてシンプルでわかりやすい」ということがおわかりいただけるかと思います。そして、日本企業の経済活動のグローバル化とGDPR型の個人データ保護法が世界各国で立法されたことをも踏まえると、個人データ保護法に関する対応は諸外国型の個人データ保護法制の枠組みを出発点とすることが望ましいと考えます注2

これは何も、十分な情報提供義務を前提とした同意原則に限った話ではありません。諸外国法では、

・ 地理的適用範囲

・ 管理者/処理者の別

・ 同意以外の適法化要件

・ 越境移転対応

・ データ保護責任者や漏えい時対応

・ データ主体の権利

など、個人データ保護法上の規定項目がかなり似通った形で構成、整理、規定されています。このような“グローバル共通”ともいえる枠組みによって法令対応を考え始めることは、日本法を出発点として、自分の頭やプロジェクト支援、はたまたガバナンスを整理する以上に生産的です。

日本法的発想はその後で生きてくる

もっとも、私は、「日本の個人情報保護法が目指した方向性がダメだった」と述べているのではありません。むしろ、データ利活用のためのプライバシーガバナンスを考えるにあたって、「個人情報の有用性に配慮しつつ、個人の権利を守る」――換言すれば、「個人データの保護と利活用のバランスを図る」――という発想は極めて重要です。例えば、個人情報保護法7条を受けて制定されている「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定)においても、「個人情報の保護と有用性に関するこの法の考え方は、各主体における実際の個人情報等の取扱いにおいても、十分に踏まえる必要があり、個人情報の保護に関する施策を推進するに当たっては、個人情報の保護と適正かつ効果的な活用のバランスを考慮した取組が求められる」(同方針1(2)①)と記載されているところです。

ただ、いかんせん、企業側からすれば、

「何をすればいいのかが法律を見ても今ひとつわからない」
「ガイドラインやQ&Aに依存せざるをえない」
「思考停止してしまう…」

という結果を導いてしまったといわざるをえないでしょう。利活用を促進しようとした結果がこのようになってしまったことは、皮肉としかいいようがありません。

おわりに~データ利活用とプライバシー対応の本丸は?

以上、今回は法令レベルでのお話をしてきましたが、個人データ利活用やプライバシー対応のために必要な事柄は法令対応に尽きるものでしょうか。この先は次回に譲りたいと思います。

→この連載を「まとめて読む」

[注]
  1. あくまで出発点であり、データ利活用のためのプライバシーガバナンスは、法令対応だけでは不十分ですし、私は、最終的には同意原則の採用は改めていく必要があると考えています。この点は今後お話ししたいと思います。[]
  2. 以上の議論について、多少切口はちがうものの、「ビジネスに効く!リーガルオペレーションの現場から―法務部長と弁護士の対話[第17回]グローバルな個人データ保護法対応の方法」において同様の議論を行っていますのでご参照ください。なお、前掲注1のとおり、最終的には同意原則は改めていく方が望ましいというのが私の考え方です。[]

渡邊 満久

principledrive株式会社 代表取締役
principledrive法律事務所 弁護士

弁護士登録後、企業を当事者とする紛争・訴訟に強みを有する国内法律事務所にて5年強、M&A等の企業法務を主に取り扱う外資系法律事務所に1年半強勤務し、訴訟・仮差押え・仮処分等の裁判業務、税務紛争、M&A、債権法・会社法・労働法・消費者関連法等企業法務全般の経験を有する。近時は、個人データに限らずデータ全般を利用したビジネス・プロジェクトの立ち上げ支援、データプライバシー、データを含むさまざまな無形資産の権利化といった側面から、日本国内のみならず、東南アジア、インド、中東、ヨーロッパ、米国をまたぐ、企業のDXプロジェクトの促進に取り組む。