第747号コラム:小向 太郎 理事(中央大学 国際情報学部 教授)
題:「EUデータ戦略と情報へのアクセス権」
欧州委員会は、2020年の2月に「欧州のデータ戦略(A European strategy for data)」を公表している。「データは、経済成長、競争力、イノベーション、雇用創出、社会の進歩全般にとって不可欠な資源である」と位置づけ、データ駆動型アプリケーションの推進を宣言している(欧州委員会Webページより)。その後、公開コンサルテーション(2020年2月-5月)を経て、具体的な政策提案がされている。
こうした政策では、データ共有の促進が、重要課題と位置づけられている。例えば、政府が保有するデータについては、すでに2019年に「オープンデータ指令」が成立しており、オープンデータの再利用を促進するためのルールが定められている。これに加えて、オープンデータ以外のデータの共有を促進するために、「データガバナンス法(2020年提案、2022年成立)」も提案されている。
最近特に目を引くのは、民間企業が保有しているデータを、ユーザや他の企業に対して提供させて、利用を広げるための政策である。その代表が、2022年2月に提案された「データ法案」であろう。データ法案では、民間部門データの共有促進のために、コネクテッドデバイス収集データへのユーザ・アクセスの提供義務や、クラウド事業者切替時のデータ移行協力義務などが盛り込まれている。この他にも、例えば、「非個人データ自由流通枠組規則」(非個人データの移植を促進する行動規範の策定・推奨)や「デジタルコンテンツ供給契約指令」(消費者が提供・作成したコンテンツの情報を消費者に利用可能とする義務)、「デジタル市場法」(大規模プラットフォームのサービス利用に際して生成されたデータを他事業者に提供する義務)でも、民間事業者にデータ共有を義務付けたり推奨したりする政策が導入されている。
日本の企業関係者には、EUが、他企業への情報共有を推進しようとしていることについて、違和感を感じる人が結構いると聞く。「個人情報保護に厳しいEUで、データ共有の促進がそんなに簡単に進むのか?」といった疑問を感じるようだ。もちろん、本人の意思に反するデータ共有は、個人情報保護上の問題を生じる。
しかし、EUの考え方では、個人情報保護とデータ共有の促進は、矛盾しないどころか共通のゴールを目指すものとされている。どちらも、本人のデータへのアクセスを促進するためのものだからである。欧州連合基本権憲章の第8条(個人データの保護)は、個人データ保護の具体的な内容として、「そのようなデータは、その情報の関係者の承諾か、その他の法定の適法な根拠に基づいて、限定された目的のために、公正に取り扱われなければならない。何人も、自分に関して収集されたデータに対してアクセスする権利および情報を訂正する権利を有する(第2項)」と定めている。「適法な根拠」「限定された目的」「公正な取扱い」と並んで、「データに対するアクセス権」が、基本的人権とされている。データに対してアクセスする権利が、いかに重視されているかがわかる。
そして、そのアクセス権を拡張するために、一般データ保護規則(DGPR)では、自分に関して収集された個人データに対してアクセスする権利(第13-15条)とともに、データポータビリティの権利(第20条)が認められている。データポータビリティの権利も、データの共有を促進する制度であり、技術的に可能な場合には第三者へのデータの移転にも応じることが義務付けられている。一連のデータ共有促進政策は、この「データに対してアクセスする権利」を、さらに拡張するものと考えることができる。
ところで、もし日本に、データ共有の促進が個人情報保護と矛盾すると感じる人が多いとしたら、それは、日本の個人情報保護法が、第三者提供を特別扱いしていることが原因だろう。
日本の個人情報保護法では、個人情報を収集した事業者が内部利用する場合には、本人の同意その他の正当化事由等は求められていない。あらかじめ利用目的を限定して、通知または公表すれば、利用することができる。最近の改正で、本人による利用停止請求の要件が緩和されたが、本人が利用停止等を求めることができる場合もまだ限定的である。事業者が自社が収集した情報を内部利用することについては、かなり自由度が高い制度である。しかし、事後的に利用目的を変更する場合や,個人データの第三者提供を行う場合には,原則として本人の事前同意が必要である。すでに保有している個人情報について、あらためて本人の同意を取ることは難しいため、第三者提供や利用目的変更は原則禁止されているといってもよい。つまり、日本の法律では、第三者提供(情報共有)は、「してはいけないこと」なのである。
これに対して、GDPRでは、個人データの処理のすべての過程について、その処理が適法であるための正当化事由を求める。個人データの処理は原則として違法であり、何らかの適法化根拠に基づいていることを、きちんと示さなければならない。ここでは、内部利用であるか第三者提供であるかは関係ない。そして、内部利用でも第三者提供でも、本人の権利保護と社会的な有用性などのバランスを評価して「正当な利益の目的のため」の利用として認められる場合がある(第6条第1項f項)。
個人情報保護法が作られた2003年ごろには、個人情報保護そものもの必要性が、一般にあまり認識されていなかった。社会的なコンセンサスを得るためには、すでに行われている個人情報の利用を制限しない配慮が必要だった。そこで、せめて第三者提供や利用目的の変更に際しては本人の同意を求めることで、一定の保護を確保しようとしたのである。その結果、第三者提供や利用目的変更については、本人同意以外の方法で行うことが、難しい制度になっている。このような硬直的な性格は、現在ではむしろ、個人情報の有効な利用を損なっている可能性がある。さらにいえば、個人情報の利用形態は多様化しており、第三者提供や利用目的の変更がなければ安全というものでもなくなっている。
個人データの処理全般について正当化事由が求められるGDPRは、一見すると非常に厳しい制度に見える。確かに、日本の制度と比べれば自由にできることは少ないし、アカウンタビリティなども厳格に求められる。しかし、すでに述べたように、保護と利用のバランスを考慮しつつ、必要があれば情報共有などにも、正当化事由を認める方法が用意されている。これに比べて、日本の個人情報保護法は、形式的で硬直的な性格が強く、本人がデータにアクセスする権利も十分とは言い難い。これらは、日本の制度にきしみが生じている点であり、今後データ利活用を積極的に進めていくためにも、制度の見直しを検討する必要がある。
【著作権は、小向氏に属します】