Global Reachグローバル展開する企業を支援

MENU

コラム|Column

【海外識者シリーズ】弁護士 達野大輔氏(全4回)

第3回 AECで変わるアジア:個人情報保護法動向の変化

バックナンバー

2015/11/25

X社でグローバルな個人情報保護方策を策定し、ようやく運用がはじまった矢先、A氏のもとにインドネシアへ出向中の同僚から連絡があった。「インドネシアでも個人情報保護法制定の動きがあるようだよ」。せっかく作った個人情報保護方策をまた見直さなければならないのだろうか——。

アジアにも目を向ける必要性

個人情報保護に関する問題はこれまで、米国やEUを中心に語られてきました。しかし最近になって、アジア諸国においても新たに個人情報保護法を制定する動きがあるため、これらの国でビジネスを行う企業は、アジアの法制度の発展に留意する必要があります。

シンガポールでは、2014年1月から個人情報保護法が施行されました。本保護法によると、個人情報収集の際に原則として、本人の同意が必要となりました。また、この同意はいつでも撤回できるとされています。事業者は、個人への商品あるいはサービス提供の条件として、不合理な個人情報の取扱いへの同意を求めてはなりません。さらに、企業は個人情報のコンプライアンス担当者を指名しなければならなくなりました。

マレーシアでも、新たに個人情報保護法が導入されています。個人情報を収集する際には、英語とマレー語での通知が必要となったほか、一部の業種の事業者に対しては監督官庁への登録が義務づけられることになりました。

フィリピンでは、2012年9月と、ASEANの中では最も早くから情報プライバシー法が施行されています。同法の対象は幅広く、あらゆる種類の個人情報と、個人情報を処理する個人および法人が規制の対象になっています。

インドネシアでは統一的な法律はまだありませんが、業界に特化したものがいくつかあります。Electronic information and transactionsと言われる電子的な情報の取扱いに関して同意を必要としたり、秘密情報の段階に応じた罰則を刑法で設けています。

その他、各国における法制度の動向を下図に示します。

  日本 インドネシア マレーシア フィリピン シンガポール ベトナム
監督官庁への登録/届出を義務付けている。 × × × ×
国際的なデータ移転を特に制限している。 × × × ×
情報流出の通知を義務付けている。 × × ×
刑事罰の適用がある。 ×
個人情報保護責任者の設置を義務付けている。 × × × ×
従業員データは適用除外とする。 × × × × ×
職場監視に関する法律がある。 × × × × × ×
法改正が行われたか、近々行われる、または法改正が提案された。 ×

グローバルな個人情報保護方策を実現するためには、長期にわたるたゆみない努力が必要です。しかし、かつてないほど情報の価値が大きくなった現代では、その情報を利用する際の適法性確保が不可欠になります。

達野先生の見解は明るく、「各国ごとに法制度もマーケットも違いますが、全体的な流れとしては、〝統一的な運用〟あるいは〝統一的な制度〟を目指していると思います」と話します。「日本の個人情報保護法もOECDの原則に従って作られた経緯がありますが、方針は作られていくものです。最近ではAPECがイニシアティブをとり、プライバシーに関するフレームワークを作り、域内で制度を統一化させ、各国の間で歩調を合わせようという動きが見られます。これが、APECのCBPR(CBPR システム:Cross Border Privacy Rules System)です。クロスボーダープライバシールールズという、国境を越えた情報の流通についての統一したルールを作り、企業がこれに従ってクロスボーダーで個人情報保護に関する制度を整えていることを認可する機関を作り、そこで認可を取ることで消費者に対するプライバシー保護の主張ができる仕組みです。

世界で一番個人情報保護規制が厳しいと言われるEUの動きと関連させると、EUとアジアを1つにまとめるという大きな目標も挙げられます。例えば、EUがAPECのフレームワークを適切な法と認定すれば、APECの仕組みを守ることで同時に、EUからの個人情報の移転も可能になるといったグローバルなフレームワークが実現します。現時点ではどうしても各国対応が必要になりますが、将来的にはそういう大きなフレームワークで全世界が繋がるという未来があると思っています」

個人情報保護法施行後の取締り

近年の国外における個人情報保護法違反の摘発について「アジアでは、あまり大きな話を聞きません」と首を振る達野先生の解説は、リージョンで異なる個人情報保護の考え方にまで及びます。

「2年前ほど前、香港でクレジットカード情報の大規模な流出事件がありました。実際に漏洩してしまった事後の取締りや責任の追及はありますが、体制がしっかりしていないことに対する取締まりはありません。一方、EUでは個人情報の取扱い体制が整えられていないことに対して処罰が下ることがあります。あるいは、体制を整えよという命令が出るのです。

このような特徴がある中、アメリカでは、とてもビジネスライクに捉えられています。統一的に個人情報を保護しよう、あるいは規制しようという必要性があまり考えられていないようです。最近になって、統一法の文案が提出されていますが、プライバシーや個人情報保護には全く役立たない法ではないかという批判があります。裏を返せば、ビジネスによる情報利用を阻害しないように考えられているもので、アメリカではビジネスをしやすいということになります。この考え方は、EUのそれとは全く逆です。EUでは、個人情報や個人の権利が重要視され、これに反する情報の取扱いは非常に厳しくなっているからです。

この二者に対する日本の態度を一言で表現するなら〝どっちつかず〟です。個人情報の保護を厳しくしたいのか、自由な情報流通を促進したいのか、立場を明確にすることができていません。もっとも、現在、法改正が検討されており、EUの保護レベルに合わせる方向のようです。しかし、EUから情報の移転ができる国だと認められたい一方で、まだまだ中途半端なところがあります。EUのように第三者機関を置き、罰則を厳しくして、罰金も大きくするのかと思いきや、第三者機関が本当に個人情報保護の状況を監視する能力や予算を与えられるかは疑問です。匿名情報は自由に流通させたいという経済界からの要請も考慮しなくてはならず、どうしてもちぐはぐな内容にはなる可能性があります」

達野 大輔 氏

ベーカー&マッケンジー法律事務所(外国法共同事業)
弁護士
経営研究所名誉顧問

98年東京大学法学部卒業。00年弁護士登録。04年ノースウエスタン大学ロースクール修了(LL.M)。著作「ミログ第三者委員会報告書から考えるプライバシー情報ビジネス利用の問題」がある。