司法書士 港区おじさんのつぶやき

個人情報保護法について~法律論ではなく概念的に説明してみた

投稿日:2020年10月15日 更新日:

サイバーな画像

 個人情報の取扱いは司法書士としても登記や財産管理業務を行う上で切っても切れない重要な問題です。今回は平成29年5月全面施行した個人情報保護法(正式名称「個人情報の保護に関する法律」)について説明しようとキーボードを叩きましたが、いきなり改正ポイントなどに触れてもあまり意味が無いし、本保護法の成り立ちというか、IT社会やグローバル化された世界の中で日本が置かれた状況という枠組み的な理解から入らなければ、表面的な理解に終わってしまうのではと不安になりました。今回は、余計な使命感に駆られて、GDPRなど世界に広がる関連法制度に日本がどう立ち振る舞っているかに触れてから本法について説明したい。今回は主に法律論ではなく法を理解する上での概念的な話になりますが興味のある方は一読してみてください。

 法制度の成り立ち

IT化により自身を取り巻くデータが爆発的に増えてきたと感じているのは、他ならぬSNS(ソーシャルネットワーキングサービス)に親しんでいる皆さんでしょう。スマホの普及によるソーシャルゲームやネットショッピングの普及もすごいですよね。

そしてそれに伴う個人情報の漏洩事件も頻繁にニュースになっていますが、電子データは有体物ではないので移動速度も速いですし、移動経路を追跡するのも一苦労です。国境や税関も無いので国内もちろん国外にも容易に移転し、最悪は個人情報や国家の安全保障に関する情報並びに自国産業のトップシークレットが流出する可能性もあります(というかありました)。そのため、各国が自国のセキュリティ、自国民のプライバシー確保の必要性が認識され、それらの保護の下に各種データの規制に乗り出した。現在は先進国においては大体の枠組みが出来上がりつつあり、近時はアジア等を中心とした後進国で個人情報保護が整備されていますと、そんな状況です。

個人情報保護士

活用と規制の狭間で

 情報を統制し規制をかけるのは簡単でしょう。しかし、IT産業の主役はGAFAに代表されるメジャー企業の寡占状態が続いています、仮に各国が他国との連携をとらず自国主義(データ鎖国)政策を行っていては、熾烈な国際競争に到底ついていけません。ソフトバンク(ヤフー)、楽天なども例外ではないでしょう。

そこで、個人情報の保護とセキュリティの確保を担保しつつ、顧客情報等の個人データに依拠する企業の利益も損なわない様、両者のバランスを意識した法規制や枠組みづくりに各国が乗り出したのです。有名なところではEUの「一般データ保護規則」(欧州議会等が策定した新しい個人情報保護の枠組み:通称GDPR)、中国の「サイバーセキュリティ法」など、海外と取引を行う日本企業が対応すべき法制度が多数あります。

GDPR(一般データ保護規則)とは

GDPR:情報がEU加盟の地域からEU域外に移転する際は、その移転先の情報の保護水準がEUの水準以上でなければ認められない(越境移転規制)事と、例えば日本国内を活動拠点とする日本企業が越境的にEU域内の個人にサービス提供(例:ECサイト運営の為の顧客リストの管理等)する場合は、当該企業であってもGDPRの遵守が必要とされる(本来、法律は属地主義が原則であるが、GDPRは域外適用がなされており、その例外とされる)という二つの柱からなる規則である。
 GDPR(General Data Protection Regulation)とは 
 ①欧州連合域内の個人が自分の個人データの統制権を取り戻すこと、および②欧州連合域内の規則を統合することを目的として、2016年に採択され2018年5月に施行された規則。特徴としては国際的なビジネスの情報がEU加盟の地域からEU域外に移転する際は、その移転先の情報の保護水準がEUの水準以上でなければ認められない(越境移転規制)。例えば日本国内を活動拠点とする日本企業が越境的にEU域内の個人にサービス提供(例:ECサイト運営の為の顧客リストの管理等)する場合は、当該企業であってもGDPRの遵守が必要とされる。(本来、法律は属地主義が原則であるが)GDPRは域外適用される。また、ユニークな定義としてIPアドレスも個人情報とみなされ規制の対象になった。

 GDPRでは域外適用が定められていることにより、日本企業であっても以下(1)~(3)に該当する場合には罰則の対象になりえます。上の例で挙げたEC事業者に当てはめると(2)に当てはまる事から、本規則に違反した時には当該企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い方が制裁金として課されることになります。

(1) EUに子会社や支店、営業所などを有している企業

(2) 日本からEUに商品やサービスを提供している企業 

(3) EUから個人データの処理について委託を受けている企業

     引用:EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項

GDPRが日本企業に与える影響

また、越境移転規制に適合しなければ日本企業がEU内で営業活動が困難になることから、政府もその水準をクリアすべく、国内の法整備や欧州委員会との調整等を急ピッチで行いました。これを「十分性認定取得」といい、日欧間は2019年1月に個人データ移転に関する枠組みが成立しました。ただし、これには注意が必要であくまでもデータ流通のハードルが下がるというだけですので日本企業に高額なGDPR制裁金が課されないわけではありません。むしろデータ流通が活発に行われる結果、知らず知らずにEU内の住民の情報が含まれていたことから上記の莫大な制裁金が課せられる可能性が高まるのです(怖)。ちなみに、企業はこの枠組みが成立する前はBCRといわれる「拘束的企業準則(Binding Corporate Rules)」を社内規定に置き、SCCと呼ばれる「標準契約条項(Standard Contractual Clauses)」をデータ提供事業者とデータ受入事業者との間で締結することで個人情報の移転が認められていたんですね。

データローカライゼーション

一方で、共産圏を中心とした一部の国では、自国産業保護、プライバシー保護、安全保障、犯罪捜査を目的に越境移転を過剰に規制する動きがある事も覚えておいてほしい。いわゆる、データ・ローカライゼーションの問題です。

「データ・ローカライゼーション」

1.自国内で収集、発生したデータを自国内に保存すること。

2.自国内へ配信する情報を自国内の設備(データセンター)から配信すること。

 その他にも法令で禁止されている情報を流通させないようにする「データ・ブロッキング」(や法令等で禁止されている情報を流通させるネットワークそのものの遮断「ネットワーク・ブロッキング」がある。(ともに自国で生じたかどうかは問わない)

上記制限により個人情報を過度な統制下におくと、企業の事業活動を阻害され、データ管理コストが上昇する結果となります。当該国に現地法人や営業所を有する企業にとっては深刻な問題といえるでしょう。また、最近はクラウドでデータ管理をしている企業がありますが、仮にそのサーバの所在がこれらの国である場合は、警察などの法執行機関によるアクセスや検閲などの可能性が想定されるので、自社のクラウドサーバの所在確認をしてみてはいかがでしょうか?

さいごに

 今回は世界の個人情報・データ管理の潮流について解説しました(本当は、「日本の個人情報保護法でも、75条で域外適用に関する規定が定められました」等といった感じで法的内容にもフォーカスして書き進めようかと思いましたが、文量が増えそうなので日本の関連条文との関連性等への言及は避けました)。書いている方も思わぬ長文でお腹一杯です。日本の個人情報保護法に関しては後日改めて記載しようと思います。

アドセンスブログ用

スポンサーリンク



アドセンスブログ用

スポンサーリンク



-司法書士, 港区おじさんのつぶやき

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

弱者保護

司法書士合格への道のり その②

早いものでもう年の瀬です。司法書士受験者にとっては正月はありません。年が明けると答練やら模試が始まるのでみなオジも受験生時代は正直憂鬱な時期でした。来年が初受験という司法書士試験受験者にちょっとしたア …

司法書士+広告=過払い金?

今回は司法書士と言えば広告?という事で広告について書いていきます。広告って業界ごとの特徴がよく表れていて見ていて非常に楽しいものです。みなオジも広告宣伝の法的アドバイザリーを行っていて、多少知見を有し …

教員免許更新制から司法書士制度を考える

ある日、令和3年度の東京司法書士会の総会議事録議事録を見ていると司法書士の研修制度を見直す(具体的には、研修の必要単位取得の義務化と研修の無償化)という記載があり、どうなるのかなと思っていたところ、時 …

組合からの記念品

司法書士へのプレゼント

司法書士になって嬉しかったことは何でしょうか?依頼を終えて依頼者から「ありがとう」と言われた事?貧困にあえぐ人の債務を整理した事?それとも、相続争いで困っている人を助けた事? うーん、どれも司法書士冥 …

司法書士のバッジ

全国青年司法書士協議会とは

全国青年司法書士協議会HP 司法書士には、関連組織が多くあります。有名なモノは司法書士法で定められた監督機関たる日本司法書士会連合会、各地域ごとの司法書士会があります。司法書士は必ず地域会である司法書 …

みなオジアバター

港区オジさん(みなオジ)です。
長い極貧オジさん生活を経て、いつの間にか小金持ちのアーリーリタイアオジさんにクラスチェンジしました!
投資家と司法書士の肩書を有する一方、妻の尻に敷かれるちょい駄目オジさんの異名も持つ。