EU一般データ保護規則可決、そして情報社会の民主主義について

Photo by European Parliament.

1.EU一般データ保護規則をめぐる経緯と概要

2016年4月14日、欧州議会本会議においてEU一般データ保護規則(General Data Protection Regulation、以下GDPR)が正式に可決された。GDPRに関わるこれまでの経緯については各所でも詳しい解説が行われてきたが、欧州委員会により当初案が提示されてから実に丸4年を経ての記念すべき最終結論である。前身であるEUデータ保護指令が、欧州各国の20世紀全体に渡るパーソナルデータの歴史と経験を成文化した規範として、全世界における法政策の中心的な参照軸とされてきたことを考えれば、GDPRの採択は、情報社会におけるグローバルなパーソナルデータ法制を巡る議論と実践が、ついに21世紀の扉を開けたことを意味すると表現しても過言ではないだろう。

同規則については2012年の当初案公表時から我が国を含む世界各国において詳細な紹介や検討が行われてきたところであり、4月14日に可決された最終版においてもこれまで幾度か公表されてきたバージョンとの大規模な変化はないため、規定自体の紹介は最小限にとどめるが、まず保護される個人データの定義はオンライン識別子や生体情報を明確に含む形で拡張される。データ主体の同意には高い明確性・明瞭性や必要な情報の適切な通知が求められ、子供の同意には親権者等の同意が必要となる。72時間以内のデータ侵害通知。大規模な機微情報を処理するデータ管理者等へのデータ保護影響評価の実施やDPO(データ保護オフィサー)設置義務。データ主体に与えられる新たな権利としては、ウェブの検索結果に示される不適切な個人データに対する本人の異議申立を円滑化する忘れられる権利(消去する権利)が我が国でも広く注目を集めたが 、それ以上に後述する「データポータビリティ」の権利や「プロファイリング」に関わる権利は、グローバルなインターネットのエコノミクスに根本的な変革をもたらしうる概念である。適用範囲はEU市民をターゲットとしたサービスを提供する全世界の企業にまで及ぶものであり、EUで事業を展開する日本企業はもちろん、インターネット上でサービスを提供するすべての主体に直接的な影響を与えうる。違反者に課せられる全世界連結売上高の4%あるいは2,000万ユーロのいずれか高い方を上限とした莫大な制裁金は、グローバル企業の経営にすら大打撃をもたらす強大なエンフォースメント装置である。

2.GDPRをめぐる今後の詳細なルール形成

GDPRの施行は2018年が予定されており、それまでの2年間に、規則内容の具体化や各国政府・企業の対応作業が進められていくことになる。GDPRの条文は我が国の個人情報保護法と比しても相当程度詳細な事項が書き込まれており(公表されたファイナルテキストは261p)、特に前文(recital)の記述から解釈指針を知ることができる部分は大きい。しかし与えうる影響がおよそすべての産業分野・公的部門に及ぶ規則である性質上、これから本格的にさまざまな形での分野や情報の性質ごとの膨大な下位規範やガイドライン策定が進められていくことになる。今後2年間でGDPRの具体化が行われるであろう主なルートを示すと、下記の通りである。

(1)委任法令(delegated act)や実施法令(implementing act)を通じた欧州委員会による公式なルール形成。GDPR最終版においても多くの重要規定の具体化がこれらの手続によって行われると明記されており、GDPRの具体化を巡るブリュッセルでの激しいロビイングや議論は今後も長期に渡り続けられることになる。

(2)データ保護29条作業部会による意見や勧告等を通じた実質的なルール形成。今後欧州データ保護ボード(European Data Protection Board)に改組される予定の同部会は、EU各国のデータ保護当局(プライバシーコミッショナー)等を中心として構成される機関であり、それが公表する法解釈や執行、立法政策に関わる見解は、欧州全域においてきわめて強い影響力を有する。

(3)EU司法裁判所の行う法解釈。GDPRの施行は2018年が予定されているが、1995年データ保護指令の規定から「忘れられる権利」を導き出したGonzalez判決のように、今後2年間の間にも、欧州基本権憲章との照らし合わせを含め、GDPR規定の解釈を実質的に示す重要な法解釈が行われる可能性は高い。

(4)関連する各種EU法の改正。特に2002年に制定され2009年に大幅な改正がなされた、位置情報やクッキーの取扱、通信の秘密等を定める電子通信プライバシー指令は、データ保護指令を基盤とした電子通信分野の特別法的な位置づけを有する重要指令であり、すでにGDPRを受けての見直し作業が始められているところである。

(5)各国による関連法改正・立法や遵守ガイドラインの策定。GDPRはEU各国が現に有するデータ保護法制を置き換え一本化することになるが、医療や金融、青少年保護をはじめ、データ保護について言及した関連法は各国とも無数に存在する。それらの改正作業がGDPRの実質的運用に与える影響は大きい。すでに各国データ保護当局では、国内企業等に向けたGDPR順守のためのガイドライン策定を始めているところである。

(6)産業界の行動規範(Code of Conduct)や自主規制ルールと、各国政府・欧州委員会等の関与に基づく共同規制。データ保護指令の中にも、分野ごとの状況を反映した上での各規程の具体的実施を定める産業界の自主規制は重視されており、それを各国当局や29条作業部会等が評価を行う仕組みは存在したが 、GDPRにおいては、欧州データ保護ボードや欧州委員会による行動規範に対する評価と正式な承認に基づくEU全域での有効性の保証を中心とした、明確な共同規制メカニズムが導入されている。

3.今後のルール形成プロセスにおいて特に注目すべき点

今後のGDPRの具体的な運用やルールの詳細化、すなわち21世紀のパーソナルデータ保護法制の実質的な形成作業の中核は、このような多元分散的な主体や手続によって進められていくことになる。特に(6)の共同規制メカニズムは、医療や金融、情報通信をはじめとした分野ごとの特性や専門知識を反映したルール形成手法であると共に、EUで活動する日本企業・産業界等が主体的にルール形成に参加可能であるという点でも重要な意味を有する。

6項目それぞれにおいて徐々に作業が進められているところであるが、特に現時点で注目すべき方向性を示しているのが(2)の29条作業部会である。同部会は2016年4月2日に「GDPR実施のための行動計画についての宣言」と「2016-2018年の作業プログラム」という2つの文書を公表している。そこでは欧州データ保護ボードへの組織変更に関わるガバナンス改革、GDPRに関わるEU内外とのコミュニケーション強化に加え、GDPRに含まれる新たな規定の実現に関わるガイダンス策定を進めていくものとしており、特にプライオリティの高い事項として「データポータビリティの権利」「データ保護影響評価」「認証」「データ保護責任者」が挙げられている。

さらに「プライバシーの未来」「重要条項」「技術」「国際移転」「国境・移動・法執行」「電子政府」「金融問題」「協働」という9つのサブワーキンググループ(SWG)が設置される。この中でも、追跡拒否(Do Not Track)、Wi-Fi位置情報やブルートゥースビーコン、最低限の技術基準、電子投票、雇用者の電子的監視、スマートデバイスの適切な情報提供・同意取得方法、電子通信プライバシー指令、デジタル単一市場、スマートメーター・グリッド、データ保護影響評価やデータ侵害通知等の技術的側面について検討を行う「技術」SWG、標準契約条項(SCCR)や拘束的企業準則(BCR)、適切な保護水準を有する第三国の十分性認定や逸脱規定、EU-USプライバシーシールド、OECDガイドラインやAPEC CBPR(越境プライバシールール)等とのルール間の相互互換性について検討を行う「国際移転」SWGの2つは、我が国への影響という観点からも特に作業プロセスの推移に注目を要するところだろう。

4.我が国における今後の中核的課題

我が国においては2015年に初めての個人情報保護法の大規模な改正が行われ、2016年1月にはEUのデータ保護当局に相当する個人情報保護委員会が誕生するなど、21世紀の情報環境とグローバル社会への対応を目指した抜本的なパーソナルデータ関連制度改革作業が進められているところである。そして周知の通り、我が国の個人情報保護法はEUのデータ保護指令を大きく参考にして作られたものであり、特に個人情報保護委員会の設置は、主な監督対象が未だ民間部門(およびマイナンバー)に限られているものの、EU水準のパーソナルデータ法制の構築に向けたきわめて重要な一歩である。

しかし同時に、GDPRの内容を精査すれば明らかであるように、GDPRに明示的に含まれる重要な規定のうち、いまだ我が国の個人情報保護法制では積み残された課題とされている論点も多い。EUの規制策組すべてを全く同じように導入する必要はないだろうが、EUとのデータ取引を円滑にするための第三国認定を得るという観点からも、またグローバルなパーソナルデータ法制への対応という観点からも、GDPRの採択は、我が国が次期個人情報保護法改正に向けた本格的な議論を開始するべき最重要のモーメントである。ここでは主に筆者の関心から、我が国の今後の制度改革における中核的な論点を提示したい。

第一に、データポータビリティの権利(GDPR20条)である。同権利は個人がデータ管理者に提供したデータを、本人が「共通して用いられる、構造化された、機械可読な形式で」受け取り、さらには妨害されることなく別のデータ管理者に移転することを求める権利を設けるものである。指摘するまでもなく、これは米国資本のグローバルなプラットフォーム企業に囲い込まれつつあるEU市民の個人データを、EU市民の手に取り戻し、ひいてはスタートアップを含めたEU企業のデータ市場への参入を促進しようとする権利である。GDPRの最大の目的のひとつが、「自らのデータに対するコントロールを市民の手に取り戻す」ことであるとすれば、データポータビリティの権利は、GDPRの中核的規定の一つであると考えるべきだろう。同権利については、すでに日本の産業界の一部から実現に向けた提言なども出されており、政府部内におけるデータ保護・流通施策に向けた検討の中でも徐々に重視され始めている。円滑なポータビリティのための技術標準化や競争政策との兼ね合いをはじめとして課題は多いが、データの利活用と個人の自己情報コントロール能力の向上、そしてグローバルなプラットフォームによるデータ市場寡占化への対抗という観点からも、高い優先順位での検討が進められることを期待したい。

第二に、プロファイリングへの対応(GDPR22条)である。ウェブサービスやIoTデバイスを通じて蓄積された個人に関わるビッグデータは、高度な人工知能・アルゴリズムによって分析されることにより、個人の嗜好や政治的傾向、事故や犯罪の可能性、特定の疾患リスクなどについて相当程度高い精度での推測を可能としうる。そのようなプロファイリング結果は、ターゲティング広告に加え、保険料率や加入可否の決定、就職・転職や人事評価、さらには公安維持のためにも用いられる可能性がある。個人の権利利益に影響をもたらすようなプロファイリングはどこまで許されるべきであり、そして「機械が行う決定」に対する本人の異議申立機会はどのように担保されるべきだろうか。さらには遺伝情報や私的な検索・読書の履歴といったような機微情報をプロファイリングに用いること自体の是非という問題もある。プロファイリングが有するビジネス的・社会的可能性を最大限に引き出しながらも、個人の尊厳や自由、民主主義へのリスクという観点を十分に考慮した制度設計の検討が求められる。

第三に、パーソナルデータ法制の域外適用(GDPR3条)である。GDPRの規定と制裁金は、EU市民に向けて財やサービスを提供するすべてのデータ管理者に適用されうる。上述のような新たな権利や規定を我が国に導入したとしても、従来の個人情報保護法の規定は原則として国内にしか適用されえなかった。改正法によって国境を超えた法適用や海外移転の制限、外国当局との執行協力に関する規定は設けられたものの、現代のパーソナルデータ保護法制が、国内に閉じられたプライバシー・リスクへの対応というよりも、むしろグローバルな情報環境、特にデータ集約や利活用において特権的な位置を占めるグローバル・プラットフォームへの対応を本質的に求められていることに鑑みれば、確固たるエンフォースメントの裏付けを持った実効的な法の域外適用についての本格的な検討を行う必要性はきわめて高い。

5.最後に、民主主義について

冒頭に述べた通り、GDPRの可決は21世紀のグローバルなパーソナルデータ法制をめぐる議論と実践の幕開けである。GDPRとそれに関わる今後のルール形成に対して、我が国はそれに唯々諾々と従うだけではなく、能動的に関与していくことができるのだろうか。パーソナルデータ法制が情報社会の秩序を規定する最重要のルールである以上、グローバルな情報社会の民主主義を本質的な意味で実現するためにも、我が国における政府・企業・市民・学界を超えた本格的な議論と、国際的実践が進展していくことを期待したい。