さて、2月14日に行われたプライバシー保護の国際動向に関するセミナーで、「日本政府が、個人情報保護が十分でない国へのデータ提供を規制したら、ITビジネスはどうなるか」について、グローバルビジネス部会の一部メンバーが即座に反応しました。その日のネットワーキング・レセプションのうちに、パネリストの板倉弁護士に、「勉強会を行いたいのでもう少し詳しく説明して下さい。素人向けに!」とお願いして実現したのが、この勉強会です。
今、日本からIT アウトソーシングをしている近隣国には、個人情報保護の体制を十分に整えていない国がありますね。昨年12月20日にIT戦略本部から「パーソナルデータの利活用に関する制度見直し方針」が発表され、今年中に個人情報保護法改正に向けた検討が政府で行われる予定です。6月にまとめられる予定の大綱では、個人情報保護の不十分な他国への情報移転を制限することが検討されているとも言われています。 この制限の仕方によっては、海外子会社への個人情報を含むデータ持ちだしそのものにも規制がかかってしまうこともありえます。この点が最大の関心事でした。
板倉先生は、パーソナルデータの越境移転制限条項はなぜ導入されるのか、制限条項の導入はビジネスにどのような影響を与えるのか、産業界からはどのような意見を政府に述べていけばいいか、に集中して説明を行いました。要するに国際的調和を考慮し、EUとの関係上十分性認定をえられるような法整備をすべきであり、日本からの越境移転データについても「保護が不十分な国」に対する制限条項を設けない限りザルのようになってしまい十分性が認定されなくなる、という説明でした。
日本は現在、EUから十分性認定を受けられていません。従ってEUの新制度が発足すれば、EUとのデータの流通に支障が出ます。またEUの制度には「域外適用条項」があり、EU域内の住民の個人情報を保有する第三国に対して、EUの規制が及ぶことになるようです。これに対応できる法制度が日本にも必要になっているわけです。
そして立法に当たる人は、越境データ流通の実態を知らないので、どのような条文にすべきかがわからないはずで、ビジネスの実態を伝え、影響が出ないような形を要望すべきではないか、とのことでした。
参加者からの質問では「当社は中国にアウトソーシングしているが、子会社にPIPA(大連市の個人情報保護制度でJIPDECのPマークと相互認証済み)を取得させ、データは暗号化し個人情報の復元化を難しくするとともに、子会社への入退管理も厳重に管理、日本の本社からの監査も実施しているが、そのような状況でもデータ移転は制限されるのか」という質問がありました。
板倉先生からは「おそらく”保護が不十分な国”への越境データ移転に該当する具体例として考えるべき事例だろうが、(1)PIPA認定、(2)子会社であり日本の本社の管理が及ぶ、(3)データの暗号化、などの努力などをしているので、そのような "措置を講じている場合は越境データ移転ができるように要望"すべきではないか」との考えが示されました。
また「ヨーロッパの顧客にセキュリティ製品を販売しようと考えている。その製品は、データやサーバーへのアクセスログを管理する機能があり、どの端末からアクセスしているか、つまり誰がアクセスしているか管理するようになっているが、これは欧州では販売できないと聞いたが、その点はどうか」との質問がありました。
諸外国(特に欧米)では、年齢や性別など職業に必要な能力と直接関係ない情報を、(本人の承諾を得ずに)集めることを違法としている国も多く有り、そのような機能を含む製品を販売することは適当でなく、ソフトウェアの構成や機能の見直しが必要な場合があるようです。
板倉先生からは、「6月に大綱が発表されるよりも前に、できるだけ早く政府に産業界としての要望を伝えた方がよいだろう」とのコメントを頂き、終了となりました。