対EU「越境データ」問題で顕在化 「個人情報保護」歪んだ日本
テロ防止に乗客データ提供を求めようにも、行政管理局の縄張り意識が壁になっている。
2016年4月号
DEEP [特別寄稿]
by 鈴木 正朝(新潟大学法学部教授)
マークだけ立派だが(財団法人日本データ通信協会)
ここ数年、日本と欧州連合(EU)との間で個人データ流通に支障が生じかねないと、情報法の研究者などから警鐘が鳴らされ続けていたが、いよいよ問題が顕在化しそうな雲行きだ。
3月5日付の読売新聞は、政府が「日本路線を持つEU加盟国の航空会社に対し、乗客予約記録(PNR)の電子データ提出を義務付けるため、近くEUと個人情報の取り扱いを定めた協定の締結に向けた交渉に入る方針を固めた」ことを報じた。
その目的は「欧州経由で入国をはかる『要注意人物』を漏らさず捕捉し、テロ防止の水際対策を強化する」ことだが、情報システムがあっても肝心のPNRとブラックリストがないことにはまったく機能しない。
2020年東京五輪を目前に控え、世界各国の選手団が標的になりかねないだけに、すぐさま提供してもらえるはずだと考える人も多かろう。しかし、ことはそう簡単ではない。EU側からは、日本の個人情報保護法制の水準がEUと同等の保護水準にあるとは未だ認められておらず、PNR提供には当然ながら今まで以上の法的保護の強化を突きつけられるに違いない。
「第三者機関」不在がアダ
特に、EU域内の人々の個人データを取り扱う財務省の税関や法務省の入国管理局といった行政機関の監督体制がどうなっているか、行政庁から独立した第三者機関、すなわちEU域内の加盟各国が全て設置しているプライバシー・コミッショナーが存在しないということは当然に問題視されるだろう。
その点は、昨年9月に個人情報保護法が大改正され、独立行政委員会として他の行政機関から独立した「個人情報保護委員会」が創設され、経産省を含めた全主務大臣から個人情報保護に関する権限を引き継いでいる。一応、日本版プライバシー・コミッショナーは存在するというのが政府見解であろう。
しかし、今通常国会に3月8日提出された「行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案」は、現行の行政機関個人情報保護法と独立行政法人等個人情報保護法と同様に、各省大臣、各独法等の長が自身の組織を管理し、行政管理局が所管する建てつけのままなのだ。
監督など法律の規律は基本的に各省庁等の組織・法人単位に組織法的区分ごとに行われる。個人情報保護委員会は、先般の日本年金機構の個人データ流出のような事件が発生しても調査に入る権限もない。公正取引委員会は、いわゆる官製談合の例のように独禁法違反で調査に入るなど中央官庁にも権限行使できるわけであるが、そのようには設計されてこなかった。
ただし今回、新たに法案に入った「非識別加工情報」については、委員会の監督に服する内容としている。また番号法に基づくマイナンバーの取り扱いについては官民横断的に監督できる。要するに、個人情報保護委員会は、民間部門については、個人情報と匿名加工情報、そしてマイナンバーを全て監督し、一方、公的部門に対しては、マイナンバーと非識別加工情報については監督するが、一般の個人情報については関与できないという何ともいびつな片翼だけの組織となっている。
さて、EUは日本政府にどこまで妥協するだろうか。それを予測する上でもEUと米国との交渉を確認しておくべきだろう。
EUは、今回同様に米国系航空会社の搭乗者名簿の移転を禁止したことに端を発して一時的に航空機の乗り入れが停止し、大きく政治問題となったことがあった。その解決のために、セーフハーバー・ルールと言われるEU域内から米国への個人データの移転を可能とする枠組みを策定した。2000年ごろである。ところが、昨年10月に日本の最高裁にあたる欧州司法裁判所が、ある事件の判断の前提となるセーフハーバー・ルールを合法化する欧州委員会の決定を無効とする判決を下した。
米欧は新たな枠組み
EU域内から米国のクラウドサービスを利用しているケースなども含めて米国への個人データ移転は違法となり、ビジネスへの相当な影響が及ぶことに産業界は震撼した。一方ではしかるべく両政府間で政治決着を見ると楽観する向きもあった。はたして今年2月、両者は期待どおりプライバシー・シールドと呼ばれる新たな枠組みを作ることに合意したが、内容は論者によって評価が分かれる。
その概要は、①米商務省や連邦取引委員会(FTC)に対しより強い監視や法執行の権限を与える、②米国家安全保障局(NSA)などが「プリズム」といわれるネット上の盗聴器のような装置で無差別かつ大規模な監視を行っているのを念頭に、米国に移転されたEU市民の個人データに明確な条件や制限、監視がない状態でアクセスすることを禁じる――などを求めたほか、国家諜報機関によるアクセスの可能性に対する苦情については新たにオンブズパーソン(行政監察官)の制度を作って対応すること、無料で利用できる裁判外紛争解決手続き(ADR)を設けることなどで合意した。詳細のとりきめは5月までに策定される予定である。
日本の法制度を前提に見ると、この合意はどれも大変に厳しいもののように思えるが、EUのある有識者は「このプライバシー・シールドでも違法」という判決が下される可能性は否定できないと言っている。
この矛先が米国よりも交渉力の弱い日本に対して向けられるわけである。財務省を中心とした交渉は相当難航するのではないかと懸念される。
これを機に日本・EU間の個人データ移転全体の問題に波及すると、経産省が進めるビッグデータやIoTビジネスの産業振興にも大打撃を与えかねず、また厚労省などが進めるゲノム創薬にも暗い影を落とす。諸外国のゲノム情報を適法に安定的に集められる法的環境は事業の前提であり、日本の個人情報保護法の保護水準が低ければ、製薬企業の事業継続にも不安が広がり、企業はむしろ外に出ていく。規制緩和だけを声高に主張する先には、経済成長に逆行する効果が待ち受けている。
今回の行政機関等個人情報保護法の改正案がいかに時代に即応しない国内目線だけの対応かを知るべきであろう。
著者プロフィール
鈴木 正朝(すずき まさとも)
新潟大学法学部教授
政府パーソナルデータに関する検討会委員、厚生労働省ゲノム情報を用いた医療等の実用化推進タスクフォース委員などを歴任。
