はじめに
前回は、いきなり“ガバナンス体制の構築”という本題に突入するのではなく、まず“入口”の段階として、個別プロジェクト支援を行う中で頻繁に見かける現場での課題・苦悩に対応するために持っておくと有益と思われるいくつかの“考え方”からお話ししようと、個人データ保護法令対応レベルでのちょっとした“発想の転換”についてお話をしました。
今回は、その続きとなります。
個人データ利活用とプライバシー対応の本丸
日本の過去事例の振り返り~法令対応のみでよいのか?
前回、個人データ利活用やプライバシー対応のために必要な事柄として、日本の個人情報保護法と欧州のGDPRを例に、法令対応における考え方についてお話しましたが、では、個人データ利活用やプライバシー対応は、法令対応に尽きるものでしょうか(別の言い方をすれば、ガイドラインやQ&Aを見ているだけでよいのでしょうか)。このことは、以下のような日本の個人データ利活用迷走の歴史を振り返るだけで、答えが“No”であることがおわかりいただけると思います。
① IC乗車券関連データ販売問題(2013年)
② 大規模ターミナル駅顔認証実験問題(2014年)
③ ポイントカード利用履歴の捜査機関への開示問題(2019年)
④ ポータルサービスのスコアリング問題(2019年)
⑤ 内定辞退率問題(2019年)
⑥ メッセージアプリのデータ保存問題(2021年)
⑦ 駅構内顔認証問題(2021年)
⑧ ポイントカードのプロファイリングデータ販売問題(2022年)
⑨ メッセージアプリによるスコアリング問題(2022年)
これらの事例の中には、個人情報保護法上“違法”であったものも含まれますが、“適法”であったり、“大部分が適法”であった、あるいは“事件当時はどちらかというと適法”といわれていたようなものが、多く含まれています。そして、これらの事例は、その後、事業中止となったり、企業のレピュテーションに傷がついたり、短期間でサービス終了となったりしたものが多く、企業に対して少なからぬ打撃を与えています。そのような結末は、他社に対しても目には見えない多大な影響を及ぼしたと言ってよいでしょう。
このようなごく簡単な振り返りからだけでも、個人データの利活用やプライバシー対応のためには、法令対応のみでは不足しているということが実感できます。
「個人情報の保護に関する基本方針」による示唆
また、前回も登場した、個人情報保護法7条を受けて制定されている「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定。以下「基本方針」といいます)も、次のように述べています。
法は、各主体を広く対象として、個人情報等の取扱いに関して共通する必要最小限のルールを定めるとともに、各主体において、それぞれの政策、事務及び事業の分野や地域の実情に応じて、自律的に個人情報等の適正な取扱いが確保されることを期待している。
(基本方針1(2)③)
このように、基本方針は、法は必要最小限のルールを定めているのであって、“法対応”という狭義のコンプライアンスのみにこだわらず、各主体が自律的に適正な個人データの取扱いを実施することを期待しているのです。そうであるにもかかわらず、10年近くにもわたり、上記1.で列挙したようなことが繰り返されてしまった日本の現状は、やはり残念であると言わざるを得ないでしょう。
意識の改革
ところで、このような「法令対応では足りない」という課題意識について、テックジャイアント企業はよく理解しているようです。
たとえば、アルファベット(Google)CEOのサンダー・ピチャイ氏は、ニューヨークタイムズのオピニオンの締めくくりに次のように述べています。
Legislation will help us work toward ensuring that privacy protections are available to more people around the world. But we’re not waiting for it. We have a responsibility to lead. And we’ll do so in the same spirit we always have, by offering products that make privacy a reality for everyone.注1
要約すると、氏は「法律を待つのではなく、プライバシーの取組みをリードしていく責任がある」と指摘しています。同様の主張は、マイクロソフトCEOのサティア・ナデラ氏の発言にもよく見られます。
もちろん、米国には現時点で有効な連邦法としての個人データ保護法は存在せず、州法レベルであってもすべての州に存在しているわけではないため、「日本と米国では状況が違う」ということはいえますし、また、「そもそも彼らの言行は一致しているのか?」といった批判もありうるところでしょう。しかし、経営課題としてこういった意識を持っていることは非常に参考になりそうです。
1.で述べた10年の歴史を踏まえて、今後、個人データの利活用を行うにあたっては、日本企業の経営層から、少なくともマネジメント層以上に該当するような方々には、まずはこのような意識を持っていただくことも重要といえそうです。
何をどこまでしたらいいのかの頭の整理
~まずは“法令対応”と“個人データの適正利活用における対応”とに分けて考える
以上を踏まえて、前号の最初の問題提起である「つまるところ“何をどこまでしたらいいのか”がよくわからない」ということについて考えてみましょう。
ここでは、図表1のように大きく3段階のステップに分けて整理してみることから始めるとよいと思われます注2。
図表1 個人データ利活用のための頭の整理3階層
(1) 法令対応(遵守)レベル
まず、一番下の階層が“法令レベル”での対応となります。前回もお話ししたように、このレベルでの具体的対応を考えるうえでは、日本の個人情報保護法ではなく、少なくとも出発点としては諸外国の個人データ保護法の構成を採用する方がむしろ理解の助けになるように思われます。
諸外国の個人データ保護法では、基本的には“同意を取得すること”(厳密には適法化要件を考えること)を出発点とすることから、その前提として、同意取得にあたっての情報提供のために、プロジェクトにおけるデータマッピングが不可欠となります。その過程で、たとえば
・ 事業展開国
・ 取得するデータの種類
・ データの利活用態様
・ 自社以外の当事者の有無とその関与態様
・ データフローやデータの保存期間
・ 越境移転の有無
といった必要な事柄が明らかとなります。そうすれば、
・ 各国法の域外適用や間接適用
・ 管理者/処理者の別
・ 同意以外の適法化根拠による必要性
・ 越境移転の根拠
といった法的な問題点も自ずと顕出されるはずです。
このように、いくつかのプロジェクトを“実際に”サポートしてみれば、個人情報取扱規程とは異なる、「個人データの利活用のために必要なチェックポイントは何か」といったことも自ずと明らかとなることがご理解いただけると思います。なお、ここでは、あくまで
・ ガイドラインやQ&Aだけを見ていても答えは出ない。
・ 断片的なプロジェクト情報と条文だけを頼りに何とかしようとしたところで、どうにもならない。
ということを意識する必要があります。
(2) 適正な保護と利活用レベル(プライバシー対応レベル)
(1)で述べたように、ある意味“答えがある”といえる法令対応レベルの階層はそれほど難しくはありません注3。しかし、そうは問屋が卸してくれないのが、二番目の“個人データの適正な保護と利活用レベル”の層です。
この辺りから本論的なものとなりますが、次回は、今回あっさり書いてしまったところを補足しつつ、少しだけ適正利用の本論に入りたいと思います。
→この連載を「まとめて読む」
- https://www.nytimes.com/2019/05/07/opinion/google-sundar-pichai-privacy.html[↩]
- なお、図中の一番上の層は、図のとおり、「B1 to B2 to CにおけるB1企業(例:データソリューションやAIを有する企業)が、自社における「法令対応(遵守)レベル」「適正な保護と利活用レベル(プライバシー対応レベル)」の段階まで完了した状態で、他社であるB2の個人データの適正利活用のサポートを行うことで、自社のB2向け製品の価値を向上させていく」というような場面を典型例として想定したもので、派生的な層といえますので、本連載では、詳しく取り扱うことはありません。[↩]
- 難易度としては難しくはありませんが、細かい事項がいろいろ出てきたり、分量が膨大となるため、厄介であることには変わりありません。[↩]
渡邊 満久
principledrive株式会社 代表取締役
principledrive法律事務所 弁護士
弁護士登録後、企業を当事者とする紛争・訴訟に強みを有する国内法律事務所にて5年強、M&A等の企業法務を主に取り扱う外資系法律事務所に1年半強勤務し、訴訟・仮差押え・仮処分等の裁判業務、税務紛争、M&A、債権法・会社法・労働法・消費者関連法等企業法務全般の経験を有する。近時は、個人データに限らずデータ全般を利用したビジネス・プロジェクトの立ち上げ支援、データプライバシー、データを含むさまざまな無形資産の権利化といった側面から、日本国内のみならず、東南アジア、インド、中東、ヨーロッパ、米国をまたぐ、企業のDXプロジェクトの促進に取り組む。