はじめに～個別プロジェクト支援を行うための考え方

第0回でもお伝えしたように、この連載は、「個人データの利活用を目指したプライバシーガバナンスの実装支援について、個別プロジェクト支援とガバナンス支援を両輪として、個別プロジェクトからの帰納的なアプローチにより、ガバナンスシステムを構築すること」をテーマとするものです。

そのため、いきなりガバナンス体制の構築についてお話しするのではなく、まず入口の段階として、個別プロジェクト支援を行う中で頻繁に見かける現場での課題、苦悩に対して持っておくと有益ではないかと思われるいくつかの考え方からお話ししようと思います。

個人データ保護法令対応レベルでの考え方

多くの企業において、個人データの利活用やプライバシーへの対応は、“迷子になってしまっている”状況であるといって過言ではないと思います。
迷子になっている理由はもちろん各社それぞれの事情によるのですが、つまるところ「何をどこまでしたらいいのかがよくわからない」ということに収斂されそうです。事業部やデジタル○○部からすると、「結局どうしろというのか」という不満となっており、法務部やコンプライアンス部からすると「固めに法令遵守しておかないと、どうなるかわからないから」という意識になっているようにも見受けられます。その結果、「個人データを利活用したくてもできない」という状況が生じてしまうのです。

どうして、これほど“わからない”のでしょうか。これはさまざまな分析が可能だとは思いますが、まずここでは、おそらく“個人データ利活用”や“プライバシー対応”といった場面で真っ先に思い出されるであろう“個人データ保護法令の側面”からお話しします。

個人情報保護法の複雑な法目的と同意原則の非採用

日本の個人情報保護法の目的規定（1条）を改めて見てみると、次のように書いています。

これを見ると、個人情報保護法は、一次的には、個人情報（データ）の適正な取扱いに関し遵守すべき義務を定めるとともに、個人の権利利益を保護することを目的としています。ただ、“個人の権利利益とは具体的に何か”は明言されておらず、また重要な点として、「個人情報の利用が著しく拡大していることに鑑み」「個人情報の有用性に配慮」することが述べられています。

ここで、「個人情報の有用性に配慮する」ということから敷衍すると、日本の個人情報保護法は、個人データの保護のみならずその利活用を目指したため、“十分な情報提供義務を前提とした同意原則を採用しない”という独自の道を歩んだともいえるのではないでしょうか。
さらに誤解を恐れずに述べると、シンプルな同意原則（ここでは、個人データの取扱いの適法化要件の最も典型的なものとして同意が定められているといった意味で用います）を採用しなかった結果、日本法は逆に何をどうしたらいいのかが今ひとつわかりにくくなってしまい（その後の改正で“原則に対する例外”や“例外の例外”のようなものがいくつか発生し、さらに難解さを増しています）、制定当時のマスコミ報道なども相まって、「面倒だ」「結局よくわからない」という意識を強く植え込んだのではないかと思われます。

世界の個人データ保護法の法目的とシンプルな同意原則

では、世界の個人データ保護法はどうでしょうか。いまや個人データ保護法のグローバルスタンダードとしての地位を得たともいえるGDPRでは以下のように書かれています。

端的に述べると、GDPRは“個人データの保護に対する権利を守ること”を目的としています。他の諸外国の個人データ保護法でも、この法律はプライバシーを保護することを目的とするといった規定が存在していることが多いです。そして、その方策として十分な情報提供を前提とした同意原則が採用されています。その結果、出発点としては^注1、「何をすれば適法に個人データを取り扱ってよいのか」がわかりやすくなっていると評価することが可能です。

出発点としての“世界の個人データ保護法の枠組み”の採用

このように、GDPRをはじめとした諸外国の個人データ保護法は、「出発点としてシンプルでわかりやすい」ということがおわかりいただけるかと思います。そして、日本企業の経済活動のグローバル化とGDPR型の個人データ保護法が世界各国で立法されたことをも踏まえると、個人データ保護法に関する対応は諸外国型の個人データ保護法制の枠組みを出発点とすることが望ましいと考えます^注2。

これは何も、十分な情報提供義務を前提とした同意原則に限った話ではありません。諸外国法では、

・　地理的適用範囲

・　管理者／処理者の別

・　同意以外の適法化要件

・　越境移転対応

・　データ保護責任者や漏えい時対応

・　データ主体の権利

など、個人データ保護法上の規定項目がかなり似通った形で構成、整理、規定されています。このような“グローバル共通”ともいえる枠組みによって法令対応を考え始めることは、日本法を出発点として、自分の頭やプロジェクト支援、はたまたガバナンスを整理する以上に生産的です。

日本法的発想はその後で生きてくる

もっとも、私は、「日本の個人情報保護法が目指した方向性がダメだった」と述べているのではありません。むしろ、データ利活用のためのプライバシーガバナンスを考えるにあたって、「個人情報の有用性に配慮しつつ、個人の権利を守る」――換言すれば、「個人データの保護と利活用のバランスを図る」――という発想は極めて重要です。例えば、個人情報保護法7条を受けて制定されている「個人情報の保護に関する基本方針」（平成16年4月2日閣議決定）においても、「個人情報の保護と有用性に関するこの法の考え方は、各主体における実際の個人情報等の取扱いにおいても、十分に踏まえる必要があり、個人情報の保護に関する施策を推進するに当たっては、個人情報の保護と適正かつ効果的な活用のバランスを考慮した取組が求められる」（同方針1（2）①）と記載されているところです。

ただ、いかんせん、企業側からすれば、

「何をすればいいのかが法律を見ても今ひとつわからない」
「ガイドラインやQ&Aに依存せざるをえない」
「思考停止してしまう…」

という結果を導いてしまったといわざるをえないでしょう。利活用を促進しようとした結果がこのようになってしまったことは、皮肉としかいいようがありません。

おわりに～データ利活用とプライバシー対応の本丸は？

以上、今回は法令レベルでのお話をしてきましたが、個人データ利活用やプライバシー対応のために必要な事柄は法令対応に尽きるものでしょうか。この先は次回に譲りたいと思います。

→この連載を「まとめて読む」

1. あくまで“出発点”であり、データ利活用のためのプライバシーガバナンスは、法令対応だけでは不十分ですし、私は、最終的には同意原則の採用は改めていく必要があると考えています。この点は今後お話ししたいと思います。[↩]
2. 以上の議論について、多少切口はちがうものの、「ビジネスに効く！リーガルオペレーションの現場から―法務部長と弁護士の対話［第17回］グローバルな個人データ保護法対応の方法」において同様の議論を行っていますのでご参照ください。なお、前掲注1のとおり、最終的には同意原則は改めていく方が望ましいというのが私の考え方です。[↩]