開催報告 第5回 健康・医療戦略ラウンドテーブル

欧州における個人情報保護法制改革の現状

東京大学公共政策大学院/政策ビジョン研究センター併任 特任講師
佐藤 智晶

2014/9/9

photos: Ryoma. K

概要1
【日時】 2014年2月28日(金)13:30〜15::00
【場所】 伊藤国際学術研究センター地下1階ギャラリー1
【主催】 東京大学公共政策大学院 科学技術イノベーション政策の科学(STIG)教育・研究ユニット
【共催】 東京大学リーディング大学院ソーシャルICT グローバル・クリエイティブリーダー、東京大学政策ビジョン研究センター
【基調講演】 クリストファー・クナー
【パネル】 クリストファー・クナー Wilson Sonsini Goodrich & Rosati シニア・オブ・カウンセル
樋口範雄 東京大学法学政治学研究科 教授
児玉安司 東京大学大学院医学系研究科医療安全管理学講座・特任教授/弁護士
中安一幸 北海道大学大学院保健科学研究院 客員准教授/厚生労働省政策統括官付情報政策担当参事官室 室長補佐
佐藤 智晶 東京大学公共政策大学院/政策ビジョン研究センター併任特任講師(モデレーター)

はじめに

第5回(特別回)となる今回のラウンドテーブルでは、クリストファー・クナー博士をお招きして、欧州における個人情報保護法制改革の現状をご講演いただいた。欧州では個人情報保護法改正にむけた議論が佳境を迎えており、我が国でも個人情報保護法改正に向けたスケジュールが公表されたところである。今回は健康・医療分野にとどまらず、より広い分野について個人情報保護法制を考える会として開催した。

今回は、パネルディスカッションに3名の専門家をお招きした。研究者からは樋口範雄教授(東京大学法学政治学研究科・教授)、実務家からは児玉安司先生(東京大学大学院医学系研究科医療安全管理学講座・特任教授/弁護士)、行政官としては中安一幸氏(北海道大学大学院保健科学研究院・客員准教授/厚生労働省政策統括官付情報政策担当参事官室・室長補佐)にお越しいただいて、主に医療の観点からコメントをいただいた。

今回のラウンドテーブルも、前回までと同様、ブルッキングス研究所で日常的に行われているセミナーを意識して開催した。実際の政策立案者と関連する実務家ないし研究者を交えて、今まさに起きている問題についてカジュアルな議論を行った。

クナー博士の基調講演(概要)

起草されているデータ保護規則(案)を中心とする話になるが、規則(案)は複雑でたくさんの政治的な問題を提起している。原則としては、現行の実務と法解釈を法典化し、欧州連合加盟国に一律に適用する方針で進んでいる。規則(案)の影響は欧州域内のみならず、それ以外の企業に大きな影響を及ぼすだろう。そのなかには、オンラインビジネスに従事する企業が含まれている。先に述べたとおり、規則(案)は加盟国に一律に適用されるのが原則だが、他方でたくさんの適用除外も実は存在していて、その分野では国内法が支配することになる。早くても2017年以降でないと、新しい規則(案)が施行されることはなく、まだ時間がかかる。

規則(案)のトレンドとしては、規制と法執行の強化を挙げることができる。データ保有者と取扱者への規制が強化されており、契約と同意取得の実務に影響を及ぼすと考えられる。また欧州域外の企業であっても、欧州にサービスを提供したり、欧州に居住する個人のデータを収集したりする場合には規制対象となる。越境データに関する規制は、グローバルビジネスに影響を及ぼすことは間違いなく、違反行為に対するサンクションも強化される見込みである。

各国にあるデータ保護庁のうち、どのデータ保護庁に権限をどこまでもたせるかという大きな問題がある。欧州に1つあれば、そこがすべてを仕切ればよいという単純な話ではない。クレームの処理の面や実効的な法執行の点からみて、なかなか難しいことも事実である。

いわゆる匿名化の問題も大きい。プロファイリングは広く規制対象とされ、センシティブデータのプロファイリングは禁止される見込み。他方で、匿名化されたデータのプロファイリングには柔軟な規制が適用されることになっている。匿名化されたデータは、一応個人データであるとして一定の規制を受けることになっている。なお付言しておくと、社会保障番号のような国民ナンバーについて、規則(案)は特別に言及していないことに留意されたい。

欧州域内から他国へのデータ持ち出しについては、米国NSAに関する報道以降、欧州で厳しい目が向けられている。モデル契約、適格を認められた企業内ルールを駆使して、データを欧州域内から他国に持ち出すことは可能だが、2か国間でセーフハーバーを締結する形での問題解決は難しさを増している。その他の可能性としては、クロスボーダー・プライバシー・ルールの利用や、従来データ保有者にのみ適用されていたモデル契約がデータ取扱者間の情報流通にも適用されることなどを挙げることができる。

規則(案)の行方は予断を許さない。これまですべての予想は外れてきたし、なんでもありの状況といえる。とりわけ、欧州議会選挙の結果、欧州委員会の委員選任次第では、規則(案)の将来は大いに変わってしまう。すべてのプロセスを経て2年後からの施行なので、規則(案)の施行は早くても2017年になる。

日本に関係するところを列挙すると次のとおり。

  1. 規則(案)は、欧州に影響を及ぼす日本の企業にも適用されうる。
  2. 米国との間で結ばれているセーフハーバーが日本との間でも適用されるためには、次の4点が重要。データ保護立法が包括的であること、独立したデータ保護庁の設置、効果的な法執行と違反者への効果的なサンクションの実施、被害者への救済の4点である。
  3. 欧州で設立された日本の企業は、1つの規制官庁のもとで法順守が完了するものの、支店を置いているだけの日本の企業にはそのメリットは提供されないだろう。

まとめ

欧州のデータ保護指令(案)の議論は、我が国の個人情報保護法の改正をスタートさせたという意味でも、グローバルに展開されるビジネスに及ぼす影響という意味でも極めて大きいと言わざるを得ない。日本で報道を聞いているだけでは、いわゆる「忘れられる権利」などの点しか目に触れることはないが、実際は他にも重要な論点があることに気付かされた。

パネルでは、欧州と米国の考え方の違いや、ガイドラインベースで法執行を実現する日本の実情についても議論が及んだ。パネルでも言及されたように、欧州のような個人識別情報や個人識別データを保護するという考え方と、プライバシーを保護するという考え方には相当の距離がある。そして、データの保護はデータの利用の制限と必ず隣り合わせとなる。他方で、欧米で根本的な考え方に違いはあれど、世界中で活用される情報によって不利益をこうむりたくないという人々の利益を保護しながら、情報の活用によってより健康で豊かに生活できる可能性は、欧米でも日本でも重要な課題として認識されている。たとえば、認知症等の患者さんにとっては、忘れられる権利よりも忘れられない権利の方が重要だろうし、独居で暮らさざるを得ない多くの高齢者にとっても、独りだけど支えられて生きられるという利益こそ重要かもしれない。データ保護、プライバシーの保護、個人情報保護を語るときに本当に追及すべき利益は何なのか、我々にとっても今一度考えてみるよい機会であろう。

情報は、ヒトがこれまでに手にした史上最大の道具といっても過言ではないが、それゆえに使い方によってはヒトを不幸にするおそれはある。たとえば、越境データの問題では、すべての国が自国の利益ばかり考えるようになれば、有益な情報の流通は阻害されてしまう。それは逆に、情報の利用可能性が低下することでそれぞれの国の利益を害するだろう。医療情報もそうである。すべての人が医療情報の利用を望まなくなれば、医療の発展もとより医療提供もあり得ない。今回のワークショップは、欧州のデータ規則(案)という最新の話題を聞きながら、個人情報保護に関する最も根本的な問題を再認識する機会となった。

関連リンク

  1. 第5回(特別回) 健康・医療戦略ラウンドテーブル
    欧州における個人情報保護法制改革の現状