司法書士 港区おじさんのつぶやき

個人情報保護法について~法律論ではなく概念的に説明してみた

投稿日:2020年10月15日 更新日:

サイバーな画像

 個人情報の取扱いは司法書士としても登記や財産管理業務を行う上で切っても切れない重要な問題です。今回は平成29年5月全面施行した個人情報保護法(正式名称「個人情報の保護に関する法律」)について説明しようとキーボードを叩きましたが、いきなり改正ポイントなどに触れてもあまり意味が無いし、本保護法の成り立ちというか、IT社会やグローバル化された世界の中で日本が置かれた状況という枠組み的な理解から入らなければ、表面的な理解に終わってしまうのではと不安になりました。今回は、余計な使命感に駆られて、GDPRなど世界に広がる関連法制度に日本がどう立ち振る舞っているかに触れてから本法について説明したい。今回は主に法律論ではなく法を理解する上での概念的な話になりますが興味のある方は一読してみてください。

 法制度の成り立ち

IT化により自身を取り巻くデータが爆発的に増えてきたと感じているのは、他ならぬSNS(ソーシャルネットワーキングサービス)に親しんでいる皆さんでしょう。スマホの普及によるソーシャルゲームやネットショッピングの普及もすごいですよね。

そしてそれに伴う個人情報の漏洩事件も頻繁にニュースになっていますが、電子データは有体物ではないので移動速度も速いですし、移動経路を追跡するのも一苦労です。国境や税関も無いので国内もちろん国外にも容易に移転し、最悪は個人情報や国家の安全保障に関する情報並びに自国産業のトップシークレットが流出する可能性もあります(というかありました)。そのため、各国が自国のセキュリティ、自国民のプライバシー確保の必要性が認識され、それらの保護の下に各種データの規制に乗り出した。現在は先進国においては大体の枠組みが出来上がりつつあり、近時はアジア等を中心とした後進国で個人情報保護が整備されていますと、そんな状況です。

個人情報保護士

活用と規制の狭間で

 情報を統制し規制をかけるのは簡単でしょう。しかし、IT産業の主役はGAFAに代表されるメジャー企業の寡占状態が続いています、仮に各国が他国との連携をとらず自国主義(データ鎖国)政策を行っていては、熾烈な国際競争に到底ついていけません。ソフトバンク(ヤフー)、楽天なども例外ではないでしょう。

そこで、個人情報の保護とセキュリティの確保を担保しつつ、顧客情報等の個人データに依拠する企業の利益も損なわない様、両者のバランスを意識した法規制や枠組みづくりに各国が乗り出したのです。有名なところではEUの「一般データ保護規則」(欧州議会等が策定した新しい個人情報保護の枠組み:通称GDPR)、中国の「サイバーセキュリティ法」など、海外と取引を行う日本企業が対応すべき法制度が多数あります。

GDPR(一般データ保護規則)とは

GDPR:情報がEU加盟の地域からEU域外に移転する際は、その移転先の情報の保護水準がEUの水準以上でなければ認められない(越境移転規制)事と、例えば日本国内を活動拠点とする日本企業が越境的にEU域内の個人にサービス提供(例:ECサイト運営の為の顧客リストの管理等)する場合は、当該企業であってもGDPRの遵守が必要とされる(本来、法律は属地主義が原則であるが、GDPRは域外適用がなされており、その例外とされる)という二つの柱からなる規則である。
 GDPR(General Data Protection Regulation)とは 
 ①欧州連合域内の個人が自分の個人データの統制権を取り戻すこと、および②欧州連合域内の規則を統合することを目的として、2016年に採択され2018年5月に施行された規則。特徴としては国際的なビジネスの情報がEU加盟の地域からEU域外に移転する際は、その移転先の情報の保護水準がEUの水準以上でなければ認められない(越境移転規制)。例えば日本国内を活動拠点とする日本企業が越境的にEU域内の個人にサービス提供(例:ECサイト運営の為の顧客リストの管理等)する場合は、当該企業であってもGDPRの遵守が必要とされる。(本来、法律は属地主義が原則であるが)GDPRは域外適用される。また、ユニークな定義としてIPアドレスも個人情報とみなされ規制の対象になった。

 GDPRでは域外適用が定められていることにより、日本企業であっても以下(1)~(3)に該当する場合には罰則の対象になりえます。上の例で挙げたEC事業者に当てはめると(2)に当てはまる事から、本規則に違反した時には当該企業の全世界年間売上高の4%以下、もしくは2000万ユーロ以下のいずれか高い方が制裁金として課されることになります。

(1) EUに子会社や支店、営業所などを有している企業

(2) 日本からEUに商品やサービスを提供している企業 

(3) EUから個人データの処理について委託を受けている企業

     引用:EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項

GDPRが日本企業に与える影響

また、越境移転規制に適合しなければ日本企業がEU内で営業活動が困難になることから、政府もその水準をクリアすべく、国内の法整備や欧州委員会との調整等を急ピッチで行いました。これを「十分性認定取得」といい、日欧間は2019年1月に個人データ移転に関する枠組みが成立しました。ただし、これには注意が必要であくまでもデータ流通のハードルが下がるというだけですので日本企業に高額なGDPR制裁金が課されないわけではありません。むしろデータ流通が活発に行われる結果、知らず知らずにEU内の住民の情報が含まれていたことから上記の莫大な制裁金が課せられる可能性が高まるのです(怖)。ちなみに、企業はこの枠組みが成立する前はBCRといわれる「拘束的企業準則(Binding Corporate Rules)」を社内規定に置き、SCCと呼ばれる「標準契約条項(Standard Contractual Clauses)」をデータ提供事業者とデータ受入事業者との間で締結することで個人情報の移転が認められていたんですね。

データローカライゼーション

一方で、共産圏を中心とした一部の国では、自国産業保護、プライバシー保護、安全保障、犯罪捜査を目的に越境移転を過剰に規制する動きがある事も覚えておいてほしい。いわゆる、データ・ローカライゼーションの問題です。

「データ・ローカライゼーション」

1.自国内で収集、発生したデータを自国内に保存すること。

2.自国内へ配信する情報を自国内の設備(データセンター)から配信すること。

 その他にも法令で禁止されている情報を流通させないようにする「データ・ブロッキング」(や法令等で禁止されている情報を流通させるネットワークそのものの遮断「ネットワーク・ブロッキング」がある。(ともに自国で生じたかどうかは問わない)

上記制限により個人情報を過度な統制下におくと、企業の事業活動を阻害され、データ管理コストが上昇する結果となります。当該国に現地法人や営業所を有する企業にとっては深刻な問題といえるでしょう。また、最近はクラウドでデータ管理をしている企業がありますが、仮にそのサーバの所在がこれらの国である場合は、警察などの法執行機関によるアクセスや検閲などの可能性が想定されるので、自社のクラウドサーバの所在確認をしてみてはいかがでしょうか?

さいごに

 今回は世界の個人情報・データ管理の潮流について解説しました(本当は、「日本の個人情報保護法でも、75条で域外適用に関する規定が定められました」等といった感じで法的内容にもフォーカスして書き進めようかと思いましたが、文量が増えそうなので日本の関連条文との関連性等への言及は避けました)。書いている方も思わぬ長文でお腹一杯です。日本の個人情報保護法に関しては後日改めて記載しようと思います。

アドセンスブログ用

スポンサーリンク



アドセンスブログ用

スポンサーリンク



-司法書士, 港区おじさんのつぶやき

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

司法書士合格への道のり その③

司法書士試験

お金が全てじゃない

ジャパンアズNo,1は過去の栄光?

アメリカと日本どっちが幸せ? 日本経済新聞(2019年12月12日付)で「米国では年収1400万円は低所得」という、衝撃の見出しがあったのを覚えているでしょうか?ニュース記事を見ると米住宅都市開発省の …

人生の必勝法は教えられませんが…

人生は「成功する事」を考えるよりも「失敗しない事」をまず考えるべきだと思います。 以下の3点ができている人で人生に行き詰まっている人を、みなオジは見たことがありません。その3つとは… ①今日できる事を …

裁判外紛争解決手続(ADR)について現役司法書士が詳しく解説

引用元:東京司法書士会HPより 裁判外紛争解決手続※とは、「裁判所を解せずに」民事(債務不履行)・家事(相続や離婚)の紛争を解決する手段です。仲裁、調停、あっせんなどに分かれ、法律の専門家である司法書 …

弱者保護

借金親子の報道から改正民法へ~「消滅時効」編

以前、母親の借金問題で世間を騒がせている親子の報道がありました。最近の続報では、その何百万円かの借金(母親の借金でその息子は大学に進学した様です)の内の一部が時効に差し掛かるので、このまま、残りの債権 …

みなオジアバター

港区オジさん(みなオジ)です。
長い極貧オジさん生活を経て、いつの間にか小金持ちのアーリーリタイアオジさんにクラスチェンジしました!
投資家と司法書士の肩書を有する一方、妻の尻に敷かれるちょい駄目オジさんの異名も持つ。