個人情報保護とデータ移動の「大西洋憲章」策定が急務-デジタルデータ量の拡大に米国専門家が提言-

(EU、米国)

ロンドン発

2017年08月24日

フィンテックやIoT(モノのインターネット)などにより国境を越えたデータの移動量が爆発的に拡大する中、経済成長を阻害することなく安全保障や人権をどう確保していくかが差し迫った課題として浮上している。とりわけ、情報の移動量が大きい欧米間で個人情報保護とその安全な移動に関する「大西洋横断憲章」を締結することが急務だと唱えるのが、米国のオバマ前政権で上級政策立案者を務めたクリストファー・スマート博士だ。しかし米欧間では、個人情報保護に関するスタンスが大きく異なっている。同博士が英国王立国際問題研究所(チャタムハウス)に6月28日に寄稿したレポートから、交渉に向けた課題を紹介する。

近年、急ピッチで拡大するデータ量

データの量は近年、急拡大している。米国のIT専門調査会社IDCは、2020年には世界のデータの量が2010年初めの1.23ゼタバイト(ZB)から約33倍の40ゼタバイト、人口1人当たり5,200ギガバイト(GB)に達すると予想している。近年は特に、機械自体が発信するデータ量が急拡大しており、今後、IoTの発展次第ではさらに大量のデータが国境を越えて流れることになる。

こうした中、経済成長やイノベーションを阻害せずに、個人情報やセキュリティーを保護し、国家の安全保障を確実にするためには、国境を超えた規制の枠組みを速やかに構築することが不可欠だ。現在、ハーバード大学ケネディ行政大学院(ケネディスクール)のシニアフェローであるスマート博士は「世界で最もデジタル化が進んだ米国と欧州で統一した規制の枠組みができれば、それ以上に強力なものはほとんどない」と述べ、欧米間でいち早くルールの枠組みを定めることの意義を強調する。欧米間で順守できる一般原則を確立し、G20、APEC、WTOなどに枠組みを提供するのがその狙いだ。同博士は、具体的には米国とEU間の「データセキュリティーと移動性のための大西洋憲章」になるだろう、と語る。しかし、欧米間の話し合いは容易ではない。なぜならデータ保護、とりわけ個人情報保護に関して、欧米間には大きなスタンスの違いがあるからだ。

個人情報保護をめぐる価値観に欧米間で大きな相違

米国において個人情報保護は、常に個人情報保護と国家の安全保障との綱引きとなっている。米憲法が掲げる基本的権利には個人情報保護は含まれていないが、個人情報保護に関連する法律は早くも1970年代に登場している(注1)。しかし、経済活動の自由性が重視され、インターネットもその「オープン性」が尊重される中、個人情報保護は民間企業の自主性に委ねられることとなり、企業は時にその利益追求に反する譲歩をしつつ、データ保護ルールを構築してきた。

しかしその一方で、テロ防止や凶悪犯罪捜査などを理由に、国による個人情報侵害が容認されてきた事実も否めない。実際に、2013年には情報機関職員だったエドワード・スノーデン氏が、国家安全保障局(NSA)や中央情報局(CIA)などの政府機関が外国要人を含む個人のインターネットや携帯電話を傍受している事実を告発している。バラク・オバマ大統領(当時)は、国内外で高まった批判を受けて、時代遅れとなっていた1986年電子通信プライバシー法(ECPA)の改革を試みたが、マイクロソフトやグーグル、人権団体などがプライバシー侵害への懸念から相次いで反対を表明し、同法案はいまだ上院で審議中だ。

欧州でも、個人情報保護と国家の安全保障の綱引きは存在する。しかし、EUの特徴は米国以上に個人情報保護を重視し、2009年に発効したリスボン条約で定められた欧州基本権憲章の第8条に、個人情報保護が掲げられている。2018年5月には、それに基づき厳格な個人情報保護を定めた「EU一般データ保護規則(GDPR)」(注2)が施行される。

欧州のもう1つの特徴は、「デジタル単一市場」戦略(2017年6月29日記事参照)として、電子商取引やクラウドコンピューティングなどの電子政策についてはEUが管轄する一方で、法執行や治安対策などは各加盟国がそれぞれ独占的に担っていることだ。データ保護に関する解釈や運用も各国、各地域の裁判所の判断に基づく。この結果、データを取り巻く価値観や優先度は法制度に関する各国・各地域の解釈や管轄当局の執行体制・運用などさまざまな要素によって変化することになる。

加えて欧州側には、米国のデジタル産業が持つ技術力や支配力の強さに対する強い懸念もある。実際に西欧のデジタル市場をみると、ハードウエアおよびソフトウエア、データ収集・保管など、いずれをとっても、マイクロソフトやグーグルなどに代表される米国企業に支配されている。スノーデン事件を受けて、ドイツ政府内のIT委員会が、公共データを外部委託により保存する場合、そのサーバーをドイツ国内に設置するよう義務付けるガイドラインを2015年7月に提案したことなどは、米国企業に対する警戒心の表れといってよいだろう。

価値観の違いを踏まえ、優先事項の精査や分析を

欧米間には既に個人情報の移転を可能とする「プライバシーシールド」が2016年8月1日から施行されている(注3)ほか、当局間でインターネットのオープン性やデータの自由な移動、政府データベースの広範な利用などについて約束されている。しかし、個人情報保護やその安全な移動をめぐる欧米間の協議には今後も大きな困難が予想される。

スマート博士は、米欧双方が何を究極の目標として優先するのか、その部分が定まらず、混乱があることが課題だとする。そして、国家安全保障、個人情報保護、経済的自由などの要件について、どこかである程度妥協が必要なことを双方が認め、そのバランスの分析を行い、最終決定を正当化することが必要だとする。その上で、企業活動または市民に影響を及ぼす可能性のあるルールについては、十分な説明など具体的な努力をすべきだとする。憲章採択に向けて基本原則のコンセンサスを求める努力は時間と労力を要するが、政府間の信頼関係を確立する上で有益だと結論付けている。

なお、スマート博士は、英国のEU離脱(ブレグジット)が欧米間の話し合いをさらに複雑にする点についても付言している(注4)。

(注1)個人信用情報の取り扱いを規制する1970年公平信用報告法、政府が収集した個人情報の用途を規制する1974年プライバシー法など。

(注2)ジェトロ調査レポート「EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)(2016年11月)」を参照。GDPRは、個人情報データを厳格な管理下で正当な目的のために集めることを要求するだけでなく、その域外移転を原則として違法とし、厳しい制限を課している。違反企業には全世界売上高の4%以下の罰金を科すると定めており、グローバルに活動する企業には多大な負担を招く懸念が高まっている。GDPRにおいて、データの域外移転についてEUは当該国のデータ保護措置が十分であることを認める「十分性認定」(adequacy decision)を受けた国のみ、自由なデータフローが確保されるとしており、日本や韓国はまだ認められていない(2017年7月7日記事7月19日記事参照)。

(注3)米欧間では、2000年7月から「セーフ・ハーバー原則」に基づき、個人情報の移転が行われてきた。しかし、2015年10月6日に個人情報の保護が不十分との理由でEU司法裁判所が同原則を無効としたこと(2015年10月21日記事参照)から、それに代わる「プライバシーシールド」が2016年8月1日から施行されている。

(注4)英国は、国内テロ防止の長い経験と米国との密接な情報提携により、データの傍受に関しては他のEU諸国より踏み込んだスタンスを取っている。例えば、英国では2016年11月26日に「2016年調査権限法(Investigatory Powers Act 2016」が施行され、犯罪防止のため、電話やメール、インターネット閲覧履歴といった個人情報にアクセスする幅広い権限を警察や情報機関に付与している。EU離脱後の英国は、EUのGDPRの強制適用範囲外に置かれることから、独自のデータ保護規則を構築する可能性がある。

(岩井晴美)

(EU、米国)

ビジネス短信 c7c0cc7786fd2a3e