個別プロジェクト支援にあたって現場を助ける視点(3) - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに

前回(第2回)は、前々回(第1回)に引き続き、いきなり“ガバナンス体制の構築”という本題に突入するのではなく、まず“入口”の段階として、個別プロジェクト支援を行う中で頻繁に見かける、現場での課題・苦悩に対応するために持っておくと有益と思われるいくつかの“考え方”についてご紹介しました。そして、前回の最後では、「何をどこまでしたらよいのか」を検討するうえでの頭の整理のしかたとして、”法令対応(遵守)レベル”と”個人データの適正な保護と利活用レベル”とに分けて整理していきましょうというお話をして、特に前者について概要をご説明しました。
今回は、その続きとして、後者、すなわち“個人データの適切な保護と利活用レベル”での対応についてお話を進めたいと思います。

個人データの適正な保護と利活用(プライバシー対応)

対応の難しさとその理由

さて、唐突に“個人データの適正な保護と利活用(プライバシー対応)”と言われて、即座に何をすべきかがわかる方は、既にこの分野の取組みを相当程度進められている企業担当者の方を除くと、それほどいらっしゃらないのではないでしょうか。前回「細かさや分量の点を除くと、難易度としてはそれほど高くない」と申し上げた“法令対応レベル”とは対照的に、適正利活用の方は「何をするのかよくわからない(そして、わかったとしてその後の判断も少なくとも簡単ではない)」という意味で、難易度は高めです。
それは、どうしてでしょうか?たとえば、次の三つのような理由が考えられそうです。

(1) 法令やガイドライン的な“寄る辺”がない~前回の補足も兼ねて~

まず、「法令対応は難易度としてはそれほど難しくない」と申し上げた点を若干補足しておきます。
もしかしたら、読者のみなさまの中には、「法令対応レベルが難しくない」と私が書いたことに対して反感を持たれた方もいらっしゃるかもしれません。実際、とても細かい対応が必要な点があったり、自社の展開国が多いと各国間の細かい差異の部分が少しずつボディブローのように効いてきたり、法令要求に対して現地法人が「そんなことできない!」と言ってきたり、とんでもない分量のドキュメントが必要となることもそう珍しいことではありません。
ただ、だからこそ「細かさや分量の点を除くと」という注意書きを一応残していたところでして、しかも「出発点としては日本法ではなく各国法を出発点とした方がよい」と再三述べていたことも、ここに関わっています。すなわち、ほとんどの国/地域の個人データ保護法は、第1回で触れたようにほぼ同じ規定項目を有しています注1。それらの規定項目さえわかっていれば、法令対応として実行しなければいけない点は自ずと明らかですし、第2回において、プロジェクトの構想・設計段階で必然的に行うであろうデータマッピングの過程での論点が明らかとなるのも、この規定項目がわかっていたら論点が明確にわかるためです。
「難易度としてそれほど難しくない」という意味は、そこにあるのです。

前置きが長くなりましたが、翻って“適正な保護と利活用”や“プライバシー”には寄る辺となるべき“ゴール”的なものがありません。“適正な保護”を謳っている基本方針(「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定。第2回も参照))にはもちろん、ガイドラインやQ&Aにも書いていてません注2
最近になって、「プライバシー対応とはこういうものだ」ということを案内するような資料がいくつか出てきてはいます。典型的には、経済産業省と総務省による「DX時代における企業のプライバシーガバナンスガイドブックver1.2」(2022年2月18日公表)が挙げられます。もちろん、これはこれで役立つのですが、その中にある”体制構築””運用ルールの策定””プライバシー文化の醸成””ステークホルダーとのコミュニケーション”といったものを「具体的にどうするのか」ということは、なかなかこれを見ただけではよくわからないのが通常だと思います。
もっと最近ですと、JIPDEC(一般財団法人日本情報経済社会推進協会)のWEB上でプライバシーに関するグローバルの潮流として、”透明性を前提とする同意を原則””コントロール性””アカウンタビリティ”が必要といったことも解説されていますが注3、「これが全容なのか」「どうしてこれが必要なのか」といったことは明確ではありません。

このように、実定法として世の中に既に存在している個人データ保護法への対応と比べると、適正な保護と利活用やプライバシーについては、明確な“答え”を与えるものがほとんどないため難しいといえます。

(2) プライバシー概念の不明確さ

また、そもそも“プライバシー”という概念に明確な答えがないということも指摘可能です。詳しくは今後どこかで取り扱えればと思いますが、日本においては、これまで「プライバシー(権)とは自己情報コントロール(権)である」と説かれることが多くありました。ところが、自己情報コントロールだというときに、「企業の実務レベルで何をするべきか」につなげることが簡単ではありませんでした。また、“プライバシー”の持つ意味合い(程度)は、その人その人によって揺らぎがあり、国や文化、時代等によっても微妙に変わりゆくものだともいえます注4

(3) 世の中の変化の複雑化、高速化

加えて、このプライバシーの意味合いの変化は、個人データを利活用するための技術や社会自体が複雑多様に変化するようになり、その変化も高速化していることとの表裏であるといえます。
このような変化の複雑化や高速化に対して、法令を含むルールはどうしても追いつくことが難しく、後追いとなってしまいがちです。そして、ゴールたるルールがない場合に、これまでの法務的なアプローチはどうしても弱いと言わざるを得ないでしょう。
しかし、”適正な保護と利活用”を謳う場合、このような変化に対応しなければ、社会にとって有益な技術の活用を止めてしまったり、逆に人々にとって極めて重要な権利や利益を知らない間に侵害してしまうことにつながってしまいます。

対応の足がかり

以上のような理由から、個人データの適正な保護と利活用(プライバシー対応)として「何をすべきか」はわからなくなりがちなのですが、そのような中で、企業はどう対応すべきでしょうか。
勘のよい読者の方がいらっしゃれば、私が、第0回において

リスクベースアプローチに”原理・原則的なものの考え方”を加えてフックとした“帰納的手法”――これまでの“ルール先行型”(言い換えると“演繹的”)のガバナンスが難しいとすれば、いくつかの個別プロジェクト支援を積み重ねた結果得られる各クライアント企業特有の特徴や検討ポイントを取り纏めることで、その企業に合ったガバナンス的な視座が得られるという、帰納的なアプローチ――が有効であろうと考え、実践しています。

と述べていたこをと思い出されたかもしれません。
実は、上記1.(3)で触れた「これまでの法務的なアプローチ」がルール先行型(演繹型)に該当します。つまり、こうした対応が難しい適正な保護と利活用のためには、帰納的なアプローチが有効であると、私は考えているのです。

*    *

そこで、次回以降は、第2回Ⅱ1.で触れた、迷走の歴史における事例のいくつかから得られる知見や、ある種のデータ利活用の事例から得られる知見などをご紹介していきたいと思います。もっとも、具体的な事例を用意しての検証は、紙幅的にも私の能力的にも限界を超えてしまいますので、抽象的な事例となることをお許しいただければと思います。
なお、「ガバナンスの話をする」と言いつつ、これまで何回かにわたり個別プロジェクトについてお話をしてきましたが、今後、個別プロジェクトにおける適正な保護と利活用の視点へとお話を進めることで、結果として、本連載の目的でもある「ガバナンスシステムとしてこういうものが必要なのではないか」という結論へと自然とつながっていくことになります。

→この連載を「まとめて読む」

[注]
  1. 念のために、改めてまとめとして列挙しておくと、おおよそ以下のとおりです。これさえわかっていれば、新しい国で「個人データ保護法ができました」というニュースに必要以上に踊らされる必要はありません。さらにいえば、グローバルで統一的なプライバシーポリシーを作成することも可能です。
    ・ 地理的適用範囲
    ・ 管理者/処理者の別
    ・ 個人データ取扱いの適法化要件としての同意
    ・ データ主体に提供すべき情報
    ・ 同意以外の適法化要件
    ・ 越境移転、Data Localization
    ・ データ保護責任者、漏えい時対応(データ保護影響評価)
    ・ データ主体の権利
    ・ 監督機関
    ・ センシティブ個人データ、匿名化/仮名化、プロファイリング制限、その他の義務
    ・ 罰則[]
  2. 令和2年改正で加わった個人情報保護法19条に関する説明はありますが、根本的な解決に至る説明ではありません。なお、ガイドラインやQ&Aについては、個人情報保護委員会ウェブサイトをご参照ください。[]
  3. 寺田眞治(一般財団法人日本情報経済社会推進協会 電子情報利活用研究部主席研究員)「個人情報保護を越えるプライバシーに関する新たな規制の全体像~安心安全なデータ利活用に必要なこととは~」(2022年12月18日)[]
  4. プライバシーについて考え始めると、「そもそも個人データ保護とプライバシーの関係性はどうなっているのか」といった難しい疑問も頭をよぎります。この点も、今後どこかで触れられれば触れたいと思います。[]

渡邊 満久

principledrive株式会社 代表取締役
principledrive法律事務所 弁護士

弁護士登録後、企業を当事者とする紛争・訴訟に強みを有する国内法律事務所にて5年強、M&A等の企業法務を主に取り扱う外資系法律事務所に1年半強勤務し、訴訟・仮差押え・仮処分等の裁判業務、税務紛争、M&A、債権法・会社法・労働法・消費者関連法等企業法務全般の経験を有する。近時は、個人データに限らずデータ全般を利用したビジネス・プロジェクトの立ち上げ支援、データプライバシー、データを含むさまざまな無形資産の権利化といった側面から、日本国内のみならず、東南アジア、インド、中東、ヨーロッパ、米国をまたぐ、企業のDXプロジェクトの促進に取り組む。