経団連は7月29日、デジタルエコノミー推進委員会企画部会(浦川伸一部会長)をオンラインで開催し、個人情報保護委員会事務局の三原祥二次長から、個人情報保護に関する国際的な取り組みについて説明を聴いた。概要は次のとおり。
■ DFFT実現に向けた日米欧三極の対話
今年6月に閣議決定された「デジタル社会の実現に向けた重点計画」等には、DFFT(注1)のための国際ルールづくりが盛り込まれている。
信頼性のある個人データ流通のための国際的な枠組み構築に向け、個人情報保護委員会は国際的に次の3点を提案してきた。
第一は、既存の枠組みを活用した個人データの流通促進である。各国間の個人データ流通のために、EUと日本との間では十分性認定(注2)が相互に行われ、EUと米国との間ではプライバシーシールド(注3)が機能していた。これらの枠組みを活用して、日米欧のトライアングルで個人データ流通の増大を図ることを提案してきたが、プライバシーシールドは昨年7月16日の欧州司法裁判所による判決で無効とされている。現在、EUと米国との間で協議が行われており、強化されたプライバシーシールドの枠組みが新たに構築されることを期待している。
第二は、グローバルに利用可能な企業認証制度の導入である。APECにはCBPR(注4)、EUのGDPR(注5)には独自の企業認証の仕組みと、地域ごとにそれぞれ制度が存在している。より広い範囲で有効かつグローバルな企業認証スキームを構築することにより、各国間の個人情報保護制度の相互運用性を高めることを目指している。
■ OECDにおけるガバメントアクセスにかかわる原則策定に向けて
第三は、データ流通における新たなリスクについて国際的な議論を主導することである。個人情報保護委員会は、個人の権益の保護等の観点から、無制限なガバメントアクセスについてOECDの場で議論することを提案するとともに、その議論を主導してきている。
昨年12月下旬、OECDのデジタル経済政策委員会(CDEP)は、民間セクターの保有する個人データへのガバメントアクセスについて声明を公表した。具体的には、ガバメントアクセスの法的根拠、目的の正当性・透明性、実施の認可と制約、ガバメントアクセスで取得された個人データの取り扱いに関する制限、独立した監督、効果的な救済という、ガバメントアクセスに関するルール検討の方向性が示された。
これを基礎として、今年2月からはCDEPやその下部組織で具体的な内容が検討されている。信頼性のあるガバメントアクセスにかかる高次の原則の策定に向け、引き続き議論を進めていく。
(注1)Data Free Flow with Trust、2019年のダボス会議で日本が提唱した自由で開かれたデータ流通とデータの安全・安心の確保を目指すコンセプト
(注2)個人データの移転先の国・地域で個人データの十分な保護措置が確保されているかどうかを欧州委員会が審査し、認定すること
(注3)2016年8月にスタートした、EU市民の個人情報をEUの個人情報保護ルールに則ったかたちで合法的に米国に移転するための規定
(注4)Cross Border Privacy Rules、APECの参加国・地域において、企業の個人情報保護の水準を国際的に判断するため、企業のAPECプライバシーフレームワークへの適合性を認証する仕組み
(注5)General Data Protection Regulation、個人データを欧州経済領域(EU加盟国27カ国とアイスランド、リヒテンシュタイン、ノルウェーが参加する経済領域)から第三国に移転することを原則禁止したうえで、例外条件を規定するデータ保護規制
【産業技術本部】