1. トップ
  2. Policy(提言・報告書)
  3. 科学技術、情報通信、知財政策
  4. Society 5.0の実現に向けた個人データ保護と活用のあり方

Policy(提言・報告書) 科学技術、情報通信、知財政策 Society 5.0の実現に向けた個人データ保護と活用のあり方

2019年10月15日
一般社団法人 日本経済団体連合会
(PDF版はこちら

Ⅰ.はじめに

わが国は、デジタルテクノロジーとデータを高度に活用して経済成長と社会課題の解決の両立が図られた社会であるSociety 5.0のコンセプトを掲げ、官民挙げてその実現に向けて取り組んでいる。

経団連は、Society 5.0実現の鍵となるデータ活用を重要課題と位置づけ、2016年7月に提言「データ活用推進のための環境整備を求める ~Society 5.0の実現に向けて~」を公表#1し、これを受けて同年12月に「官民データ活用推進基本法」が制定された。また、2017年5月には改正個人情報保護法が全面施行され、匿名加工情報や要配慮個人情報の規定が設けられるなど、個人データの保護・活用の基盤が整備された。

その結果、わが国における個人データの活用は徐々に進みつつあるが、データ収集・連携基盤構築の遅れや、国内外でデータ活用におけるプライバシー侵害やセキュリティをめぐる課題が顕在化して消費者の懸念が高まっていることなど、克服すべき課題は多い。

こうした状況を踏まえ、個人が納得・信頼できる個人データ#2の保護・活用のあり方を提言する。

Ⅱ.個人データの保護・活用をめぐる状況

1.企業の取組み

デジタルテクノロジーの進展に伴い、データの活用は、あらゆる企業の成長のエンジンとして期待されている。世界はデジタルエコノミーと称される時代に突入し、米中のデジタルエコノミー関連企業を中心に、インターネット利用者から得られる膨大な個人データを活用することで、革新的な製品・サービスを提供する動きが本格化している。

わが国企業も、本人の適切な同意や理解を得て個人データを活用し、その成果を本人や社会に対して目に見える形で還元する取組みを進めている。付属資料において、それらの事例を以下の3つの類型に分類して示す。

<個人データ活用事例の3類型>
【類型Ⅰ】個人データを本人の同意を基に活用し、成果を本人や社会に還元
【類型Ⅱ】個人データを匿名化・統計化したうえで、社会課題の解決に活用
【類型Ⅲ】個人データの越境移転を伴う国際的な取組み

2.国内外の趨勢

(1)個人データの活用に広がる懸念

データの活用が世界経済をけん引する一方で、個人データの活用により、プライバシーが侵害され、データが不正な目的に悪用されるのではないかとの懸念が消費者の間に広がっている。それに加えて、あらゆるモノがインターネットにつながるIoT時代においては、サイバー攻撃によって個人情報を含む企業内部の重要な情報や資産が不当に窃取される脅威が増している。こうしたなか、企業による個人データ活用に対する国民の眼はこれまでになく厳しいものとなっており、企業は、消費者の納得・信頼を前提とした個人データの活用を進める必要がある。

(2)国際的な規制の動向

各国のデータ争奪の思惑、プライバシーを含む人権保護、安全保障、政治体制維持などの事情が絡み合い、各国・各地域においてデータについて独自の規律を設ける動きが見受けられる。その一環として、一部の国では、データの囲い込み、デジタル分野での規制強化に向けた流れが進展している。たとえば、中国インターネット安全法(サイバーセキュリティ法)に代表される「データローカライゼーション規制」は、個人データや重要データの国内義務等を定めることにより、国境を越えた自由な情報流通を阻害することが懸念されている。

EUでは、いわゆるデジタル・プラットフォーム事業者の台頭を踏まえ、個人データを含めたデジタル分野への規制が強化されている。2018年5月に個人データを厳格に規律する「一般データ保護規則(GDPR)」が施行され、厳密な執行が行われるようになるとともに#3、2019年3月には、違法なデジタルコンテンツに対するデジタル・プラットフォーム事業者の責任等を規定した著作権法改正が行われた。さらに、電子通信データ全般の規制を強化するe-privacy規則の検討も続いている。

米国では、カリフォルニア州を筆頭に、州ごとに個人データ保護法制を検討・導入する動きがあるほか、連邦レベルでも個人データ保護法制の策定に向けた検討が行われている。

(3)わが国政府の取組み

わが国政府は、個人データの保護・活用に向けた様々な取組みを進めている。個人情報保護委員会は、日EU間での越境データ流通の確保に向けて、EUとの間で「日EU間の相互の円滑な個人データ移転を図る枠組み」(2019年1月)を発効させるとともに、2017年5月に全面施行された改正個人情報保護法の附則#4に基づき、個人情報保護法の3年ごと見直しに係る検討を行っている。また、個人の関与のもと個人データの流通を促進するための情報銀行については、総務省と経済産業省が開催する検討会が制度の普及のために「認定指針」を策定し、現在、日本IT団体連盟が認定団体として認定を進めている#5。内閣府の戦略的イノベーション創造プログラム(SIP)#6においても、情報銀行を通じたデータの流通・活用等の研究開発を推進している。

そのほかにも、オープンデータの推進、データ連携基盤の構築、また、デジタル・プラットフォーム事業者への規律の策定に関する取組み、データの有効性を確保するためのトラストサービスについての検討が進行している。

国際的な取組みとしては、世界経済フォーラム(WEF)やG20大阪サミットで「DFFT#7」のコンセプトを提唱するなど(2019年1月・6月)、越境データ流通の確保に向けた国際的な発信を強めている。

3.求められる施策の方向性

Society 5.0を実現するため、官民挙げて個人データの活用を進める必要があるが、個人データの活用推進に向け、克服すべき課題は多い。まず、国内的には、企業が個人の安全・安心を確保して個人の納得・信頼のうえで個人データを活用できる環境を整備することが欠かせない#8。対外的には、越境データ流通の確保を前提とした国際的に調和のとれた制度の構築に向けたルールメイキングに参画することが重要である。

こうした認識のもと、個人データの活用を進めるための施策を提言する。

Ⅲ.国内制度の整備・充実

1.データ流通・活用基盤の構築

個人データを含めたデータの活用を進める前提として、企業が必要なデータを収集できる環境整備が欠かせない。そのためには、オープンデータ、データ連携基盤の構築、情報銀行といった取組みを官民一体でさらに進めることが求められる。とりわけ、情報銀行は、実効的な本人関与を高めて、個人情報を含むパーソナルデータの流通・活用を促進することを目指す取組みであり、日本型のデータ流通・活用インフラとして、普及が強く期待される。

(1)公共データのオープン化

政府・地方公共団体が保有するデータは、地図・交通・防災等に関するデータを中心に、信頼性の高い基礎データとして民間活用のニーズが高い#9。政府の取組みにより、徐々にオープン化の成果が上がりつつあるものの、未だ道半ばである。機械判読可能かつ二次利用可能な形のオープンデータ化という大原則のもと、スピード感を持った取組みが求められる。

公共データのオープン化を進めるためには、その効果を利用者目線で目に見える形で分かりやすく提示することが重要である#10。また、オープンデータのニーズを「社会課題の解決」の視点で把握することも有用である。生産性向上や高齢化などの「社会課題」ベースでオープンデータのニーズが整理できれば、Society 5.0とも連動し、公共データのオープン化を進める原動力になると考えられる。官民で公共データのオープン化を進める「オープンデータ官民ラウンドテーブル」において、こうした観点からの議論がなされるよう期待する#11

国の取組みに比べ、地方公共団体のオープンデータ化の取組みは遅れており、さらなる努力を期待したい#12。各地域でニーズの高い「社会課題」の解決に資する公共データのオープン化から始めるとともに、国が粘り強い人的・資金的・技術的サポートを続けることが重要である。

(2)データ連携基盤の構築

政府には、公益性が高く社会からの理解が得られやすい分野において、民間事業者が使いやすいデータ連携基盤の構築を進めることが求められる#13。たとえば、ヘルスケア分野においては、NDB#14・介護DB#15・DPCデータベース#16の連結解析を可能とする法改正が実施されたことを踏まえ#17、これらの公的データベースの民間利用の拡大とともに、ライフコースにわたる個人データの連結を可能とし、広く活用できる仕組みの整備が必要である#18

また、企業は協調領域におけるデータ共有・連携を進める必要がある。経済産業省が実施した「産業データ共有促進事業」#19では、個人データではないが、同業種・異業種間の協調領域におけるデータ連携の先進的な事例も出てきている。さらに同省は、協調領域におけるデータを共有する事業について、一定のデータの安全管理の確認を受けたうえで、公的データの提供を要請できる制度を創設した#20。内閣府のSIPでは、分野横断でデータを一括入手できるプラットフォームを構築し、持続的に自立運用可能なシステムを形成する基盤技術を研究開発している#21。こうした企業によるデータ共有・連携のインセンティブとなる取組みの継続・充実が重要である。

(3)情報銀行

総務省と経済産業省が主催する「情報信託機能の認定スキームの在り方に関する検討会」は、情報銀行の認定の仕組みを広めるために、2018年6月に、「情報信託機能の認定に係る指針Ver1.0」(認定指針Ver1.0)を取りまとめた。2019年1月には、サービス展開や関連制度の運用状況等を踏まえ、指針の見直しの議論が再開され、6月に取りまとめ(案)が示された#22

取りまとめ(案)では、「健康・医療分野の要配慮個人情報#23」を継続検討としているが、こうした情報を本人が納得するかたちで活用することは、本人も含めた社会全体に便益をもたらすものであり、情報銀行の枠組みに含めることが強く期待される。関係者と慎重かつ丁寧な議論を行い、「健康・医療分野の要配慮個人情報」の望ましい活用のあり方、情報銀行における取扱いについて、早急に検討すべきである。

情報銀行を普及させるためには、企業が多様なサービスを創出し、個人が自らのニーズにあったサービスを提供する情報銀行を自由に選択できることが重要である。そこで、認定指針の見直し・運用にあたっては、企業の競争環境を整備するという視点を持つことや、企業に対して法規制を上回る取組みを一律に求めるのではなく、企業の自由度を増やして消費者の選択の幅を増やす方向で議論を進めること#24が重要になる。

(4)トラストサービス#25

トラストサービスは、電子申請や民間の電子取引・契約等において、データの真正性、ヒトや組織の正当性を担保することができる重要なインフラであり、普及が期待される。トラストサービスを提供する企業や利用者に過度なコスト負担や不便を強いることがないように留意して、検討を進めるべきである。とりわけ、制度化にあたっては、既に実装されているサービスや、実装に向けて開発が進められるサービスが排除されないよう、十分な配慮を求めたい。

2.個人情報保護法制のあり方

個人の納得・信頼を前提としたうえで企業が個人データを活用する仕組みを構築するためには、法規制と民間の自主的な取組み、個人データの活用を促すインセンティブをバランスさせたアプローチが求められる。そうした観点から、個人情報保護法の3年ごと見直しで提示されている個別の論点等について、以下のとおり意見を述べる#26

(1)個人情報に関する個人の権利のあり方
(データポータビリティ)

消費者ニーズや企業のメリット・実務負担、産業政策、既に制度を導入した欧州における評価等の幅広い観点から慎重かつ丁寧に議論を行い、わが国にとって最適な仕組みを構築すべきである。その際、あらゆる業種に一律にデータポータビリティを適用するのではなく、ヘルスケアのようにニーズが高く国民の理解を得られやすい分野を中心に導入の検討を進めることが肝要である#27

個人情報保護法に基づく本人からの保有個人データ#28の開示請求に対する電磁的形式による提供の明確化については、利用者の利便・企業の管理実態等を踏まえて、検討を進めるべきである。

(利用停止等#29

本人による保有個人データの利用停止等の請求を、企業が個人情報を適法に取得・利用している場合にまで法令で一律に認めれば、企業の予見可能性を低下させ、個人データの活用を過度に妨げることが懸念される。

既に多くの企業は、個人情報保護法ガイドライン(通則編)#30を踏まえ、本人からの求めに応じてダイレクトメールの発送停止を行うなどの対応を講じている。また、プライバシーマークを取得した企業は、本人からの請求による保有個人データの利用停止等の取組みを進めている#31。こうした民間の自主的な取組みが進んでいることも踏まえ、個人情報保護委員会の検討においては、企業の実務の過重な負担とならないように十分配意すべきである。

(2)ペナルティのあり方

個人情報の不適切な取扱いがあった場合、個人情報保護委員会の指導等により違法状態は是正されているのが実態であり、命令や罰則の適用事例は存在しない。ペナルティの強化により、企業の個人データ活用を委縮させる懸念があることから、課徴金の導入や罰則の引上げなどのペナルティの強化については極めて慎重に検討すべきである。

(3)漏えい報告のあり方

わが国では、法的な義務ではないにもかかわらず、多くの企業が適切に対応している。また、漏えい報告を義務付けることにより、企業の個人データ活用を委縮させる懸念があることから、法令上義務付けることは不要である。

個人データ漏えいの際、事業者は漏えいの実態把握を行い、様々な関係者と十分に調整をしたうえで正確な情報を出す必要があり、漏えい事案ごとに対応に要する時間はさまざまであることを踏まえると、法令で漏えい報告に関する期限を設けることも、慎重に検討する必要がある。

(4)データ利活用に関する施策のあり方
(匿名加工情報の活用推進)

個人のプライバシーに配慮しつつ、データ活用を進めるうえで、匿名加工情報の活用は重要なカギを握っている。その一方で、匿名加工情報は十分に活用されていないのが現状である。匿名加工情報の活用を推進するために、個人情報保護委員会は、匿名加工情報の意義を個人や企業に対して積極的に周知するとともに、実務の実態を踏まえつつ、匿名加工情報を使った具体的なデータ利活用モデルやベストプラクティス等を積極的に発信すべきである。併せて、どの程度個人データを加工すれば「特定の個人を識別すること及びその作成に用いる個人情報を復元することができない#32」と言えるのか、これまでの事例をもとに関係者で技術的な検証を行うべきである。

医療分野においては、匿名加工によって医療情報を活用可能とする次世代医療基盤法が2018年5月に施行されたことを踏まえ、「先端的研究開発及び新産業創出を促進」するという同法の目的に沿った運用が行われるよう、仕組みの見直しや構築を期待する。

(「仮名化」情報の創設)

新たな情報区分の創設により、企業にとっては、データ活用に向けた選択肢が増える一方、個人に関する「情報」の区分がさらに増えることで管理コストの増大を招く可能性もある。したがって、具体的なニーズの有無等を踏まえたうえで、広く活用される仕組みを検討すべきである。

(ガイドラインの充実・見直し)

現行のガイドラインの記述では企業が判断に迷うことも多いことから、個人情報保護委員会は、実務の実態や個人データを活用したイノベーションのあり方を踏まえ、ガイドラインの充実や見直しを柔軟に行うべきである#33

(民間の自主的な規範作りの促進)

ターゲティング広告やプロファイリングのような、最新技術を駆使した企業のビジネスモデルに深く関わる規範作りは、民間が主体となりスピード感をもって取り組むことが重要である。

(クッキー等の識別子/端末情報への規律)

クッキー等の識別子/端末情報単体で特定の個人を識別することはできず、識別子/端末情報を他の情報との照合によって特定の個人を識別できるようになった段階で個人情報保護法の規律が及ぶことから、追加の規律は不要である。

(5)官民の個人情報の取扱いの統一

国の行政機関や国立大学法人等は、個人情報保護法に定める義務・罰則等の適用対象ではなく、わが国における個人情報の規律が統一されていない。地方公共団体が独自に制定する個人情報保護条例においても、個人情報の定義や制度内容に差異が存在するほか、行政機関個人情報保護法等にはない規制を設ける場合があり、官-官・官-民の円滑な情報流通を妨げている。また、2019年1月に発効された「日EU間の相互の円滑な個人データ移転を図る枠組み」は、GDPRと個人情報保護法の間の同等性を認めたものであり、行政機関や国立大学法人等が保有する個人データの取扱いについては、当該枠組みの対象外であることから、産学官の国際的な共同研究等を行ううえでの障害となり得る。

したがって、個人情報の一体的な保護・利活用の促進の観点から、個人情報保護委員会が、民間部門のみならず、公的部門も含めた個人情報保護法制全般を一元的に担うこととしたうえで、国の行政機関、独立行政法人、地方公共団体、民間事業者の個人情報についての取扱いを統一すべきである。

(6)個人データの円滑な海外移転の確保
①外国にある第三者への個人データの提供

外国にある第三者に個人データを提供する場合、①個人情報保護法に基づき指定される国に所在する場合、②第三者が「個人情報保護委員会規則で定める基準に適合する体制」を整備している場合、③個人情報保護法第23条1項で認められる場合、のいずれかに該当すれば、事前の本人同意は不要と規定されている#34。しかしながら、①については、現状「EU」のみであり、②については、基準に適合する体制を整備しているかどうかの確認が困難なケースが存在し、③については、法令に基づく場合等に限定されることから、結果的に事前の本人同意が必要となり、越境移転が困難なケースがある。

個人データの円滑な海外移転に向けて、外国にある第三者への個人データの提供が認められる適法性要件の追加を検討すべきである。

②補完的ルールの不適用

EUから米国に直接個人データ流通させる場合には、「プライバシーシールド#35」の枠組みがある一方で、EUから日本を経由して米国に個人データを流通させる場合、日本の事業者に、個人情報保護法に加えてEUからの要請に基づく「補完的ルール」に適合するための契約の締結等の負担を課すことは、日本企業のデータの越境流通への支障となる可能性がある。したがって、日本の事業者がEUから移転した個人データを米国の事業者に再移転する場合、再移転先の事業者が米国・EU間のプライバシーシールドに基づく認証を受けていれば、「補完的ルール」を不適用とするよう、EUへ働きかけるべきである。

3.デジタル・プラットフォーム事業者等に対する規律のあり方

現在、欧米を中心に、いわゆるデジタル・プラットフォーム事業者に対する法律の厳格な適用・執行、デジタル・プラットフォーム事業者に関連するデジタル分野の規制強化の動きが顕著であり、わが国でも同様の動きがある。

国内外のデジタル・プラットフォーム事業者は、他の事業者にとってもオープンイノベーションの重要なパートナーであり、わが国のデジタルエコノミーの推進に向けて欠かすことのできない存在である。わが国における検討においては、デジタル・プラットフォーム事業者を念頭に置いた過度な規制強化は、デジタル分野全体でのイノベーションの停滞につながり得ることを銘記すべきである。

(1)基本的な考え方

消費者を適切に保護し、事業者の公平・公正な競争環境を確保するためには、対象となる事業者がデジタル・プラットフォーム事業者であるか否かに関わらず、わが国で同種の事業を実施する国内外の事業者に対して既存の国内法を厳密かつ透明に適用・執行することが重要である。同種の事業を実施する国外の事業者に対して既存の国内法を適正に適用・執行することができない場合には、法令の適用範囲の見直しを検討することが必要である。また、国外の事業者に対する法律の執行を確保するために、外国執行当局との協力等を着実に実施することが求められる。

その一方で、新たな法規制の検討にあたっては、欧米における制度を無批判に受け入れるのではなく、プライバシー保護とデータやデジタル技術を活用したイノベーション促進のバランスの取れた仕組みを模索すべきである。とりわけ、「プラットフォーム事業者」や「プラットフォーマー」という言葉だけが先行し、その対象を特定しないままに、不要な規制を導入することは厳に慎むべきである。

(2)通信の秘密保護

総務省は、プラットフォームサービスに係る利用者情報の適切な取扱いの確保に向け、電気通信事業法における通信の秘密保護の規律の適用のあり方の見直しを進めている#36

通信の秘密の保護の規律は、国外に拠点を置き国内に電気通信設備を有さずにサービスを提供する者には適用されない運用がなされているが、消費者を保護し、公平・公正な取引環境を確保するためには、電気通信設備を国内に保有しているか否かにおいて規律に差を設けるのは適切でない。したがって、わが国の利用者を対象にサービスを提供する場合には、当該規律が等しく適用されるべきである。

M2M通信#37については、利用者のプライバシーに直接関わらないものもあることから、M2M通信全般にわたり通信の秘密に係る規律を過度に適用することのないよう、具体的な事例に基づいた慎重な検討を行うべきである。クッキー等の識別子/端末情報についても、事業活動の実態や消費者の利便について十分に考慮し、追加の規律を行うことは慎重に検討すべきである。

(3)独占禁止法の運用のあり方

公正取引委員会は、「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」を公表し#38、いわゆるデジタル・プラットフォーマーと個人との間の取引に独占禁止法の優越的地位の濫用の規律を当てはめた場合の考え方を提示した。

「デジタル・プラットフォーマー」を明確に定義せずに規制の対象とすれば、企業の予見可能性を損ね、デジタル技術や個人データを使ったビジネスを過度に委縮させる懸念があることから、定義の明確化が必須である#39

また、デジタル・プラットフォームを活用した様々なビジネスが、国民生活の質を向上させ、日本および世界経済を牽引していることを踏まえ、「優越的地位」の定義付けは謙抑的に行うことが必要である#40

さらに、優越的地位の濫用となる行為については、他の法律との関係を十分に整理し、明確な要件等を示すべきである。公正取引委員会が示した案では、個人情報保護法違反に当たると考えられる行為も多く示されているが#41、個人情報保護法で規制されている行為を独占禁止法でも重複して規律する立法上の必要性が明確にされなければならない。また、個人情報保護法に違反していない場合でも、消費者がサービスを利用するために「やむを得ず」同意した場合に独占禁止法違反となる可能性があり得ることについては、個人の内心に基づいて濫用行為の有無を決めるのでは客観性に欠け、企業の予見可能性が損なわれる。規律の対象とされている「個人情報等」は「個人情報及び個人情報以外の情報」とあらゆる情報を包含した定義となっており、定義を限定することが必要である。

Ⅳ.バランスのとれた国際制度の構築

1.越境データ流通の確保

デジタルエコノミーを世界に展開するうえでの大前提となるのが、国境を越えたデータの自由な流通の確保である。インターネットを通じたデータの越境流通により、世界中の人々に利便性の高いデジタルサービスを提供することが可能になる。B20東京サミット共同宣言“Society 5.0 for SDGs”において、「国境を越えたデータ、情報、アイディア、自由な流通を確保」することが提言され、G20大阪宣言でも「データの自由な流通」を促進する方向性が示されたことから、その具現化に向けた各国の取組みが求められる。

2.データローカライゼーション規制の撤廃

国内へのサーバー設置義務付け等によりデータの越境移転を制限するいわゆるデータローカライゼーション規制は、国外企業に追加的なコストや過度なビジネスリスクを生じさせる非関税障壁となるばかりか、規制国の経済成長を阻害する要因になり得る。また、多くの人口を抱える大国や経済成長著しい新興国がデータローカライゼーション規制を導入することで、世界全体のデジタルエコノミーの展開に支障をきたし、全世界での経済成長の停滞につながりかねない。

わが国政府は、TPP等の考え方をベースとし#42、米国など越境データ流通の価値を共有する国々と協力しつつ、現存する過度なデータローカライゼーション規制の緩和・撤廃並びに新興国等への拡大の抑止に努めるべきである。その際、一国のみでデータを管理するのではなく、国をまたいで安全にデータを流通・活用し合うことで各国がより豊かになることが重要であるとの一貫した考え方を発信することが肝要である。

3.越境データ流通の確保に向けた国際的枠組みの構築

デジタルエコノミーの拡大に向けては、データが国境を越えて流通する国際的な枠組み作りが重要である。

わが国とEUは、2019年1月に相互の円滑な個人データ移転を図る枠組みを構築し、安全に個人データを流通させることができる世界最大の経済圏を形成した。APEC内で個人データを安全に越境移転する仕組みであるCBPRにも参加しているわが国としては、EUとAPEC諸国との架け橋となり、GDPRの認証#43とCBPR#44の相互運用性の確保に向けて、双方に働きかけを行うべきである。

また、こうした枠組みをさらに国際的に拡大するためには、国家間のハイレベルでの合意を得る努力が欠かせない。安倍首相は、WEFやG20大阪サミットで、「DFFT」のコンセプトを発信し、今後の“大阪トラック#45”においてデータ流通および電子商取引のルール作りを求めており、データ流通等についてのルール整備が進捗することを期待したい。

今後、さらなる国際的枠組みを構築するに際しては、越境データ流通の対象とすべきデータとそうではないデータを整理することが重要である。サービス貿易に関する一般協定(GATS)では、プライバシー保護等に関する一般的例外と安全保障のための例外が規定されていることを踏まえ、わが国としても守るべきデータを特定し、国としての方針を策定することが必要である。

4.各国制度の調和に向けた働きかけ

EUでは、GDPR施行後も、著作権法改正(2019年3月)やe-privacy規則の検討など、デジタル分野への規制強化に向けた議論が続いている。こうした動きは、全世界におけるデジタルエコノミー推進の足かせになる懸念がある。

米国では、個人データ保護法制を検討・導入する動きが州ごとにあるが、州ごとに制度が異なるとビジネス上の対応が煩雑になることから、連邦レベルでの一貫性が必要である。現在、連邦レベルで進んでいる個人データ保護法制の整備に向けた議論においては、個人データの自由な越境流通の考え方を堅持することや、米国で活動する企業に悪影響を与える過度な保護規制を設けないことを期待する。

わが国政府は、EUや米国で活動するわが国企業の意見も踏まえ調和のとれた制度構築に向け、EU・米国の政府に働きかけを行うべきである。その際、高いプライバシー意識を備えつつ、イノベーションとのバランスを重視するわが国の考え方を、各国のルールや国際ルールに反映させることが重要である。

Ⅴ.おわりに

デジタルエコノミーが進展する一方で、プライバシーやサイバーセキュリティをめぐる課題が顕在化しており、わが国における個人データの活用は困難に直面している。しかし、デジタルテクノロジーとデータを使って様々な社会課題を解決し、人間中心の社会を構築するSociety 5.0の実現に向けては、個人データの活用は欠くことのできない要件である。

そのためには、経営者のリーダーシップのもと、企業が、個人データを活用して革新的なサービスを生み出し、社会課題解決や利便性向上により国民生活の質を向上させる様々なショーケースを提示することで、個人データ活用に向けての社会的な理解を醸成することが重要である。併せて、プライバシーやサイバーセキュリティに配慮してサービスを提供している旨を積極的に開示・説明するとともに、企業自らもビジネスに必要な自主ルールの策定に参画し、消費者の理解を得るよう取り組むことも必須である。経団連は、こうした認識のもと、本提言と併せて「個人データ適正利用経営宣言」を策定し、わが国企業が個人の安全・安心を確保し、個人の納得・信頼を得たうえで、個人データの活用を積極的に進めることを目指していく。

本提言においては、主として個人データの保護・活用に焦点を当てたが、企業のデータ活用全般を進めるためには、個人データには該当しないデータの活用を進めることも不可欠である。今後は、諸外国の動向も踏まえつつさらに検討を進めていく。

以上

  1. 経団連はその後も、提言「Society 5.0を実現するデータ活用戦略」(2017年12月)、提言「デジタルエコノミー推進に向けた統合的な国際戦略の確立を」(2018年5月)を公表するなど、データ活用推進に向けた国内・対外政策に関する意見を継続的に発信している。
  2. 個人情報データベース等を構成する個人データ(個人情報保護法第2条第6項)
  3. たとえば、2019年1月に、フランスの個人データ保護機関(CNIL)はGoogleが基本的なGDPRの規律に反したとして5000万ユーロの制裁金を科した。
  4. 附則第12条第3号「政府は、…この法律の施行後三年ごとに、…新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする」
  5. 2019年6月に、三井住友信託銀行の「『データ信託』スキーム」とフェリカポケットマーケティングの「地域振興プラットフォーム」について、第1弾となる情報銀行の認定を決定
  6. SIP第2期の課題である「ビッグデータ・AIを活用したサイバー空間基盤技術」
  7. Data Free Flow with Trust(信頼ある自由なデータ流通)。G20閣僚声明では、DFFTについて「プライバシー、データ保護、知的財産権、セキュリティに関する課題に引き続き対処することにより、さらにデータの自由な流通を促進し、消費者及びビジネスの信頼を強化することができる。信頼を構築し、データの自由な流通を促進するためには、国内的及び国際的な法的枠組みの双方が尊重されることが必要である」とした。
  8. 個人データの活用に向け、包括的な議論のみならず、分野ごとの課題整理を行っていくことも必要である。
  9. 経団連「公共データの産業利用に関する調査結果」(2013年3月)等
  10. 内閣官房IT総合戦略室では、オープンデータ事例を作成しているが、効果が定性的な形でしか提示されていないか、定量的に示されているケースでも行政の業務効率改善の視点でしか示されていない。
  11. 内閣官房IT総合戦略室は、「オープンデータ官民ラウンドテーブル」において、「観光・移動」「インフラ、防災・減災、安全・安心」「土地・農業」といった分野ごとにニーズの聴取を行っている。
  12. 都道府県の取組率は平成30年3月に100%を達成した一方で、市町村については24%(平成31年3月11日時点)にとどまっている。
  13. データ連携基盤構築の前提として、データフォーマットを標準化することが重要
  14. National Database:レセプト情報・特定検診等情報データベース
  15. 介護保険総合データベース:要介護認定情報と介護レセプト情報を格納
  16. 診断群分類データベース:特定の医療機関への入院患者に係る入院期間のレセプト情報や病態等に係る情報のデータベース
  17. 2019年通常国会において「医療保険制度の適正かつ効率的な運営を図るための健康保険法等の一部を改正する法律」が成立
  18. 提言「Society 5.0時代のヘルスケア」(2018年3月)を参照
  19. 協調領域における事業者等が保有するデータのさらなる活用(共有・共用)のため、基盤となるシステムの構築に向けた25件のプロジェクトを平成29年度補正予算で支援
  20. 生産性向上特別措置法に基づく公的データ提供要請制度。シップデータセンター社が2019年2月に計画認定、2019年6月に安全管理の確認を認定
  21. SIP第2期の課題である「ビッグデータ・AIを活用したサイバー空間基盤技術」
  22. 「情報信託機能の認定スキームの在り方に関する検討会 取りまとめ(案)」
  23. 本人が不当な差別や偏見を受けないよう、個人情報のなかでも特に配慮を要するものとして、個人情報保護法で厳格な規律が設けられているもの。人種、信条、病歴等の個人情報が該当する。
  24. 認定指針Ver1.0では、情報銀行は個人情報を提供する情報提供先に対し、「情報銀行と同様認定基準に準じた扱い」を求めている。今後、情報銀行の実務の進展を踏まえ、「認定基準に準じた扱い」とするケースを増やすことも含め、不断の見直しを行うべきである。
    また、認定指針Ver1.0では、利用者たる個人の視点で情報銀行の事業内容や運営状況を審議する「データ倫理審査会」の役割を重視している。この趣旨には賛同するが、役割への期待と責任の大きさに対し、審議事項が広範に過ぎることが懸念される。審査会で必ず審議すべき事項や、情報銀行から報告を受けるべき事項を整理すべきである。
  25. 電子証明やタイムスタンプなど電子データの信頼性(データの作成者の真正性やデータの非改ざん性)を確保するための仕組み。総務省の「プラットフォームサービスに関する研究会」の下の「トラストサービス検討ワーキンググループ」において制度のあり方について検討が行われている。
  26. 法改正の内容によっては、事業者にはシステム対応を含む相当の準備が必要になることから、改正法の公布から施行までに十分な期間を設けるべきである。
  27. 「個人中心のヘルスケアを実現するために、マイナポータル等の既存のインフラを活用して、本人同意の下でデータポータビリティを確保し、民間企業等での利活用を可能とすること」が期待される(提言「Society 5.0時代のヘルスケア」(2018年3月))。
  28. 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のもの(個人情報保護法第2条第7項)。
  29. 利用の停止又は消去
  30. 「個人情報の保護に関する法律についてのガイドライン(通則編)」3-5-4 保有個人データの利用停止等(法第30条関係)
  31. プライバシーマークの審査基準の根拠である「JIS Q 15001個人情報保護マネジメントシステム-要求事項」においては、本人の保有個人データの利用停止等の請求を受けた場合には、原則として応じる義務があるとされている。
  32. 個人情報保護法第36条第1項
  33. 企業からは、「匿名加工情報(個人情報保護法第2条第9項)」「利用目的の変更(個人情報保護法第15条第2項、法第18条第3項)」「第三者提供の制限の原則(個人情報保護法第23条第1項)」「保有個人データの開示(個人情報保護法第28条)」についてのガイドラインの明確化を求める声がある。個人情報保護委員会での経団連のヒアリング(2019年3月27日)資料p9を参照のこと。(https://www.ppc.go.jp/files/pdf/shiryou1.pdf
    また、個人情報保護法ガイドライン(通則編)「6-2適用除外」において、個人情報保護法の適用除外とされる「大学その他の学術研究を目的とする機関」に関する記述のさらなる明確化を求める声がある。加えて、「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」のQ8-4において、「1つの主体とみなすことができる共同研究が学術研究の用に供する目的で個人情報等を取り扱う場合」には、個人情報保護法第4章の規定は適用されない旨の記載があるが、「学術研究の用に供する目的」や「1つの主体」の範囲に関して、具体例の充実を求める声がある。
  34. 個人情報保護法第24条
  35. EUから米国に対して個人データ移転を認める枠組み。米国と欧州委員会が2016年2月に合意され、同年8月に開始された。
  36. 総務省は、2018年8月より情報通信審議会電気通信事業政策部会の下に特別委員会を設置し、電気通信事業分野における競争ルールや基盤整備、消費者保護のあり方等についての政策の包括的な検証を実施している。その中の「プラットフォームサービスに関する研究会」において、電気通信事業法の通信の秘密の規律の域外適用や、M2M通信・クッキー等の識別子/端末情報等に対する規律について検討が行われている。
  37. モノとモノとの間のデータのやり取り(Machine-to-Machine通信)
  38. 経団連は本案に対し意見を提出(http://www.keidanren.or.jp/policy/2019/077.html
  39. 公正取引委員会の案では、「情報通信技術やデータを活用して第三者にサービスの『場』を提供し、そこに異なる複数の利用者層が存在する多面市場を形成するという特徴を有するもの」としているが、不明確。
  40. 公正取引委員会の案では、デジタル・プラットフォーマーが優越的な地位にあるとする判断基準について、「①消費者にとって、代替的なサービスが存在しない場合」「②デジタル・プラットフォーマーの提供するサービスの利用を止めることが事実上困難な場合」とあるが、①②に該当するかは個々の消費者が置かれている状況に依存し、事業者自身が判断できるものではない。これらの判断基準は事業者の予見可能性を損ない、法的安定性を欠く。
    「③デジタル・プラットフォーマーが、その意思で、ある程度自由に価格、品質、数量、その他各般の取引条件を左右することができる地位にある」は、解釈によっては、ほとんどのB to Cビジネスに該当し得る内容であり、判断基準として適当ではない。
  41. 「利用目的を消費者に知らせずに個人情報を取得すること」、「利用目的の達成に必要な範囲を超えて、消費者の意に反して個人情報を取得すること」等
  42. TPPの電子商取引取引章は、国境を超える情報の自由な移転の確保やサーバー等のコンピュータ関連設備の自国内設置要求の禁止、ソースコード開示要求の禁止等を規定している。
  43. EUデータ保護協議会(EDPB)はGDPRの認証の基準を策定している。
  44. APEC/APEC外のより多くの経済圏の国・企業がCBPRに参加するよう、CBPRの仕組みの高度化等も重要な課題である。
  45. G20大阪サミットで立ち上げを宣言

「科学技術、情報通信、知財政策」はこちら