【海外識者シリーズ】弁護士 達野大輔氏(全4回)
最終回 世界における個人情報の適切な取得
バックナンバー
2015/12/11
情報収集の結果、X社では早急に個人情報の取得に関するポリシーを作成することになった。A氏は考えた。日本なら、個人情報の取得に必要なのは利用目的の通知だ。でも海外では、何が必要なのだろうか——。
多くの国で要求される内容
個人情報を収集する際に従うべき法的な義務は、情報収集を行う国により様々です。そのため、個人情報を収集する会社が、それぞれの国・国の法に合わせた対応をする必要があります。本編では、多くの国で共通して要求される内容について解説していきます。
1.個人への通知
個人情報を取得する際、対象となる個人に対して「収集を行う主体」「情報の使用目的」「個人がもつ削除要求の権利」等を通知する必要があります。
2.監督官庁への通知・登録
EU諸国のケースでは、個人情報を取扱うためには監督官庁への通知・登録が必要となります。手続きは国ごとに行う必要があり、その様式等も統一されていません。例えば、英国ではオンライン登録が認められていますが、フランスでは取扱いの類型ごとに詳細に記載した書類を提出しなければなりません。アジアの国々でも、マレーシアのように、近年の法改正によって個人情報の収集・利用登録をしなければならない国があるため、注意が必要です。
3.データ保護責任者の任命
EU及びASEANでは、個人情報の保護とコンプライアンスの監視を行うため、社内での責任者の選任を義務付けている国があります。条件として、責任者は個人情報保護に関して会社の管理に服さない独立した立場を確立することが求められています。
4.収集データの利用に関する規制
EUで収集した個人情報の取扱い上、何らかの理由で正当化できないデータは利用できないといった制限が生じる場合があります。事業体でデータを利用する場合には、正当化の事由として「契約上の義務を履行するため」とすることができますが、収集した個人情報の使用と保存期間を必要最小限で認める法制度を敷く国もあります。各国でのデータ収集に際しては、どのデータがどの程度利用できるか、事前に慎重に検討する必要があります。
国によって異なる個人情報収集の際の法的義務に関しては、「やはりEUが1番厳しいですね」と達野先生は話します。「どこの国でも、第三国への情報の移転と目的外利用かどうかが問題になります。第三国への移転又は第三者への情報の提供には、個人情報保護法が制定されている国では、どこの国でも同意が必要です。利用目的という縛りが1番厳しいのもEUです。日本では、利用目的を特定して通知・公表する必要がありますが、現状では有効な縛りにはなっていません。また、特定といっても、その特定が足りないからと問題になった事例もなければ、政府の指導もありません。対するEUでは、利用目的を決めて通知・公表しなければならず、少しでも違う目的に利用することを非常に厳しく規制しています。最近では、他の国でも同様の傾向にありますが、アジアで特に話題にのぼるのが、ダイレクトマーケティング目的に個人情報を利用できるかどうかという観点です。中国、香港は目的外使用に非常に重きを置いており、この基準を厳しくする方向性を打ち出しています。そのため、ダイレクトマーケティング目的の使用、個人情報の移転に必ず明確な同意を得なければならないと改正されました。マレーシアも同様です。マレーシアでは、ダイレクトマーケティング目的での個人情報の使用禁止権が消費者にあると捉えられているため、目的外使用が厳しく制限される傾向にあります」
では、どこから手をつけたらよいのでしょうか。この質問に達野先生は、「各企業で1番に考えられるのがEUの規制の対策です」と断言します。「EUに子会社を持っている企業はもちろん、EU内の消費者をターゲットにしているWEBサイトなどは、EUの規制対象内にあると考えられています。EUに会社がなくても、その市場をターゲットとしているのであれば遵守せねばならず、EUが1番のターゲットになります」
最後に、こういった法規制のとりまとめに関する日本の親会社の役割を達野先生は示唆しています。「日本で海外の情報を集めるのと、現地で情報収集するのでは、収集のレベルが違います。国を越えると、実力の差・容易性の差がありますので、基本的な情報収集は拠点に任せる必要がでてきます。ただ、全てを拠点に任せればよいというわけでもありません。情報収集や実際のインプリメンテーションに対する責任を拠点に任せたとしても、やらねばならないことを認識させ、日本本社からモニタリングして継続的に実行しているかをチェックする必要があります。そのため、拠点側の役割と日本本社の統括部での役割を分けて実務にあたることが肝要です。FCPAの問題と似かよっていますが、拠点では拠点レベルでしかものごとを考えられなくなってしまうものです。現地ではこのくらいの賄賂がビジネス慣習上許されているとか、周りの企業も同じことをやっているといった甘えがでてしまいます。全世界レベルでとらえたり、他のリージョンと比較することができません。日本本社が、全社で統一的なレベルを守らせると決めたからには、各拠点の子会社を引っ張っていかねばなりません。拠点のガバナンスを確保するためには、日本本社で権限を持ち、情報を持っておくことが大事です」
各国独自の規制
ここで参考までに、2つの規制を例として挙げます。日本では思いもつかぬ法規制が定められている場合もあり、個人情報を収集する際には、国・地域に応じた配慮が必要です。
1.EU:クッキー指令
ユーザーのPCに「クッキー(Cookie)」と呼ばれる小さなファイルを受け込み、ウェブサイト上などで、ユーザーの履歴情報等を追跡することがあります。EUでは、このクッキーによる情報収集前に、ユーザーの同意(オプトイン)を取得しなければなりません。ユーザーの同意を得る具体的な方法は、ユーザーがウェブサイトにアクセスしたときに、バナーのようなものを表示させ、クッキーをユーザーのPCに埋め込むことに同意するかを確認します。該当のユーザーが「同意」ボタンを押すことではじめて、そのユーザーのPCにクッキーが埋めこまれるというものです。
2.米国カリフォルニア州:Do not track法
多くのユーザーに使われている主要なブラウザには、「do not track信号」を送る機能が備えられています。これは、ユーザーがウェブサイトにアクセスする際、ウェブサイトによる追跡を拒否するというユーザーの意思表示のための機能を指します。信号としてウェブサイトに送信されるのですが、2014年から米国カリフォルニア州では、個人情報を収集する営利サイトにおける「do not track信号」への対処を企業側が開示する義務が課されることになりました。ただこの法律では、「do not track信号」を受け取った企業が必ずユーザーのトラッキングを止めねばならないわけではなく、その信号を無視するか、ユーザーの意思を尊重するかをユーザーに明示するよう定めるにとどまっています。
- 第1回 グローバルの個人情報保護体制構築ことはじめ
- 第2回 世界的に個人情報移転を可能にする方法
- 第3回 AECで変わるアジア:個人情報保護法動向の変化
- 最終回 世界における個人情報の適切な取得
達野 大輔 氏
ベーカー&マッケンジー法律事務所(外国法共同事業)
弁護士
経営研究所名誉顧問
98年東京大学法学部卒業。00年弁護士登録。04年ノースウエスタン大学ロースクール修了(LL.M)。著作「ミログ第三者委員会報告書から考えるプライバシー情報ビジネス利用の問題」がある。