【海外識者シリーズ】弁護士 達野大輔氏(全4回)
第2回 世界的に個人情報移転を可能にする方法
バックナンバー
2015/10/29
X社での事例を通して、個人情報移転に関して具体的に考察してみよう。
——X社では、各国の子会社で収集した顧客の情報を、日本本社のサーバに置いたデータベースで集中的に管理し、分析することにした。しかし、英国子会社の担当者から「個人情報を勝手に日本に送ることはできません」との連絡がA氏に入る。それではビジネスが成り立たない。A氏は頭を抱えた。どうにかして規制をクリアする方法はないだろうか——。
国境を越えるデータ移転における規制
多くの企業では、各国の子会社で収集した個人情報を親会社内で集中的に処理し、保管したいと希望するでしょうが、国境を越える個人情報の移転、特にEUからEU域外への移転には、大きな規制が存在します。
1995年に採択されたEUデータ保護指令は、現在、世界で1番厳しいレベルの規制だと言われています。EUデータ保護指令では、欧州経済領域 (EEA)域内の個人情報をEEA域外へ移転することが原則禁止されています。例外として移転が許可されるのは、EEA域外の国で「適切なレベルのデータ保護」が行われている場合に限られます。しかし残念ながら、日本はこの例外にあてはまりません。「適切なレベルのデータ保護」が行われている国とはみなされていないのです。その主な原因は、日本において、独立した第三者機関による個人情報の取り扱いの監視が行われていないことです(※)。そのため、日本企業の子会社がEEA域内で個人情報を収集し、日本の親会社に送ることはできません。EUにおけるこの規制は、グローバルに個人情報を移転する場合、大きな障害となる可能性があります。
「これまではEUにおける個人情報の域外移転に注目が集まっていましたが、その制限をクリアすることがそのままASEAN諸国での個人情報の国外移転規制をクリアすることにつながるかというと、非常に難しい部分があります。クリアできると言いたいのですが、細かい内容を見ると、どうしても越えられない部分があるんです」と、達野先生はその難しさを説明するため言葉を重ねます。
「日本では、従業員の個人情報収集は通知することで公表できます。第三者へ提供するときに、同意を取ればいいことになっているんです。
ところが、EUでは基本的に、個人情報移転に対する従業員の同意は有効ではないと考えられています。EUデータ保護指令で"個人の同意"に重きが置かれないのは、従業員が会社に雇われることで力関係が生まれ、会社から強要されても断れないと考えるからです。強制力を伴った同意、実質上NOとは言えない同意になると見て、これを信用しません。このためEUでは、BCRやモデル規約に基づく規約といった体制作りに重きを置き、体制が整っている会社が重要視される向きがあります。
一方、日本を含むアジアでは、体制より"個人の同意"を重視します。もちろん、有効な同意であることが前提ですが、同意が取れていればよいことになります。すると、EUの規制対応としてシステムあるいは体制を作っていても、実際にアジアのデータを取得するときには同意を取らねばならないことになります。EUの規制と合わせると、規制レベルとしては最も厳重になります。世界レベルでの要求を満たせるという点では安心材料ですが、国によって解釈・法制度が異なるため、個別対応が必要となります」
個人情報を集めやすい国は存在するのか?
「大筋として、個人情報を世界の中で1か所に集めるのは、かなり厳しいと思います」と達野先生は険しい表情を見せます。「EUが1番典型的ですが、EU域内の移転にも基本的に制限があります。ですが、域外移転と比べると非常に簡単なため、EUという1つのリージョンが確立されます。
中国については、法律のリスクに加えて政治的なリスクがあり、なおかつ中国からの域外移転にある程度規制がかかることもあり、1つのリージョンと考えられます。
また最近では、オーストラリアに注意しなければならなくなりました。オーストラリアの法制度の改正によって、これまでたいした制限もなく移転できていたものが、そうできなくなっています。
こうした情勢を踏まえて、近年の個人情報収集の方向性としては、グローバルで1か所に集めるというより、リージョンごとに集めるようになっています。つまり、EU、中国、オーストラリア、中国を除くアジアというリージョンごとに分けて考える必要に迫られているのです」
(※)このインタビューの後、日本で改正個人情報保護法が成立し、第三者機関である個人情報保護委員会の設置が決定されました。
達野 大輔 氏
ベーカー&マッケンジー法律事務所(外国法共同事業)
弁護士
経営研究所名誉顧問
98年東京大学法学部卒業。00年弁護士登録。04年ノースウエスタン大学ロースクール修了(LL.M)。著作「ミログ第三者委員会報告書から考えるプライバシー情報ビジネス利用の問題」がある。