JIPDEC IT-Report 2021 Winter
「プライバシー保護規制とデータの利活用」


欧米のプライバシー関連法規制

一般財団法人日本情報経済社会推進協会 電子情報利活用研究部
主任研究員  大熊 三恵子

1.EUの動き

1.1 データガバナンス規則案

2020年11月25日、欧州委員会は、「データに関する2020年欧州戦略」で発表された一連の施策の最初のものとなる「データガバナンス規則案(データガバナンス法:Data Governance Act)」を発表した。これは、公的機関が保有する、他者の権利の対象となっているデータ(知的財産権、商業上の秘密の観点から保護されたデータ、個人情報などが含まれる)の再利用を推進し、データ仲介者への信頼を高め、EU全域でのデータ共有メカニズムを強化することで、データの利用可能性を高めることを目的としており、こうしたデータを対象としていない2019年のオープンデータ指令(Open data and the re-use of public sector information)を補完するものである。

特に、エネルギー、モビリティ、健康などの戦略的分野において、EU全体で共通かつ相互運用可能なデータスペースを構築し、パーソナライズ医療の改善、新しいモビリティ、欧州グリーンディールへの貢献などを通じて、市民に利益をもたらすことを目的としている。

データガバナンス法の主な規定は、図表1のとおりである。

商業上の秘密、知的財産、個人データ保護など、既存の保護の対象となっている公共部門のデータを再利用するための条件。
さまざまなタイプの仲介サービスを提供する企業として定義される、特定のデータ共有サービスの提供者に対する義務。
データ利他主義の概念を導入し、EUで認められたデータ利他主義組織を登録。
欧州委員会が議長を務める新しい正式な専門家グループであるEuropean Data Innovation Board(欧州データ革新会議)の設立。

図表1.データガバナンス法の主な規定

データガバナンス法の対象となる「データ」は「行為、事実または情報のデジタル表現、およびそのような行為、事実または情報の編集物(音声、映像またはオーディオビジュアルの記録の形を含む)」と定義されており、これは、GDPRで定義されている個人データをも含む広い定義である。したがって、GDPRとデータガバナンス法が今後同時に適用される可能性があり、同法の説明文や規定が、特にGDPRの適用を「妨げるものではない」ことを何度か示しているのはそのためである。

データガバナンス法の第2章では、公共機関が保有する特定のデータの再利用を認める場合に、公共機関が従うべき一連の義務と制限が規定されている。公共機関とは、「国、地域・地方自治体、公法上の機関、1つ又は複数の公法上の機関、1つ又は複数の公法上の機関によって形成された団体」と定義されている。また、この法律は、公共機関がデータを再利用できるようにする義務を生じさせるものでも、GDPRや他の適用法に基づく既存の法的義務を免除するものでもないが、データを再利用できるようにすることを決めた公共機関に対しては、一定の例外を除き、排他的な取決めをすることを禁止している。

第1章 一般条項
第2章 第三者が権利(商業上の秘密、統計上の秘密、知的財産権、個人データの保護)を有する機密性の高い公的機関保有データの二次利用を可能とするための枠組み
(オープンデータ指令の補完、EU域外移転は、原則としてEUと本質的に同等な知的財産保護制度を有すると認められた国のみに認める)
第3章 「データ共有サービスプロバイダー」に関する信頼性を向上させるための、規律的枠組みの創設(他事業との分離、公正・透明性、安全性、事業継続性、データ提供者の利益保護、海外事業者の場合はEU域内代理人指名 等)
第4章 企業・個人による公益のための自発的なデータ提供(報酬を伴わないデータ提供、データ利他主義)に基づくサービスの規律的枠組みの創設と、「欧州データ利他主義同意フォーム」の採択
第5章 担当当局と手続き規定
第6章 担当当局により構成されるEuropean Data Innovation Board(欧州データ革新会議)の創設
第7章 欧州委員会と実装行為
第8章 経過措置と最終規定

図表2.データガバナンス法の章立て

第3章では、「データ共有サービスプロバイダー」と呼ばれるデータ仲介者の運営に関する新しいルールについて、第4章では、データ利他主義という概念について規定している。

データ利他主義とは、科学的研究や公共サービスの向上などの公益のために、個人や企業が報酬なしで自発的にデータを再利用できるようにする状況を表しており、データ利他主義を促進する組織の登録と監視体制の確立を提案している。

データ利他主義組織は、所轄官庁に登録するための一定の条件(非営利であること、他の活動から切り離された法的に独立した構造で運営されていることなど)を満たす必要があり、データ主体および法人のデータに関する権利と利益を保護するための透明性義務およびその他の要件が課せられる。

1.2 デジタルサービス法とデジタル市場法

2020年12月15日、欧州委員会はデジタルサービス法(Digital Services Act: DSA)とデジタル市場法(Digital Markets Act: DMA)と題する新たなデジタルプラットフォーム規則案を欧州議会とEU理事会に提出した。両規則案の核心は、オンラインプラットフォーム、特に商品やサービス/情報のプロバイダーと消費者を結びつける仲介的なプラットフォームを規制する点にある。

DSAは、2000年のe-Commerce指令を更新するもので、特に、近年のオンライン上での違法・有害コンテンツ、商品やサービスの拡散に対処し、オンライン市場を利用する消費者や中小企業に対して、より高い透明性と保護を提供することを目的としている。DSAは、サービス提供者の設立地にかかわらず、EU域内の受領者にサービスを提供するすべての仲介業者に適用され、EUの消費者の10%以上(4,500万人以上)が利用する仲介業者には追加の要件が課せられる。

一方、DMAの対象となるのは、月間アクティブユーザー数が4,500万人以上のプラットフォーマー、いわゆる「ゲートキーパー」のみで、主にデジタル経済における競争に関係し、大手ハイテク企業が市場を支配して新規参入を阻むような行為を防止することを目的としている。

図表3.両規則案の目的および対象事業者等

図表3.両規則案の目的および対象事業者等

1.3 デジタルサービス法(DSA)について

DSAは、オンライン仲介サービスプロバイダー、つまりソーシャルメディアやマーケットプレイスなどのオンラインプラットフォーマーに対し、オンライン上の透明性とアカウンタビリティを実現するために、明確な義務を課すものである。広告、アルゴリズムプロセスの透明性を向上し、違法コンテンツに対する通知義務、明確なデューデリジェンス義務を定めることで、EU全体でオンライン上の安全性を向上させ、ユーザーの基本的権利の保護を向上しようとするものである。

図表4.デジタルサービス法(DSA)におけるオンライン仲介サービス分類

図表4.デジタルサービス法(DSA)におけるオンライン仲介サービス分類

DSAは、オンライン仲介サービスをサービスの種別と規模に応じて分類しており(図表4)、課せられる義務はプラットフォーマーごとに異なる(図表5)。特に、影響力が大きい超大規模プラットフォーマーに対しては、より一層の透明性とアカウンタビリティが求められている。

図表Ⅱ-5.仲介サービスプロバイダーに対する義務

図表5.仲介サービスプロバイダーに対する義務

1.4 デジタル市場法(DMA)について

2019年5月に公表された、イギリス人のインターネット利用状況の調査によると、オンライン利用時間のうち40%をわずか2社(GoogleとFacebook)が所有するサイトで費やし、GoogleとFacebook を毎月利用していると回答した割合は96%と87%に上るという1

また、近年の巨大プラットフォーマーの市場における優位性は、デジタルの黎明期とは比較にならない。これまで、欧米の政策立案者はデジタル市場の寡占化をそれほど憂慮していなかった。市場を巡る競争、つまり外部からの市場参入によって競争が促進されると考えていたのである2。ところが、FacebookはMySpaceを凌駕し、GoogleはAltaVistaを追い抜き、AltaVistaの優位性が1年(Myspaceは3年)であったのに対し、GoogleやFacebookの優位性はもう10年が経過している3。こうした巨大プラットフォーマーによるオンライン市場の支配的状況を背景に、DMAは、市場参入を阻害する行為を禁止することを目的としている。

DMAは、企業が大規模なオンラインプラットフォーマー、すなわち「ゲートキーパー」に該当すると認定する際の基準を、図表7のとおり定めており、1)EU域内市場に影響を与える規模である、2)ビジネスユーザーから最終消費者に向けた重要なゲートウェイをコントロールする立場にある、3)定着した永続的な地位にある、という3つの基準をすべて満たした場合には、該当しないことを示す証拠を当該企業が提出しない限り、ゲートキーパーであると判断される。また、これらの閾値をすべて満たしていない場合でも、欧州委員会による市場調査の中で、具体的な状況を評価してその企業をゲートキーパーとして認定する可能性もある。


1 https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/803576/CMA_past_digital_mergers_GOV.UK_version.pdf
2 https://www.bruegel.org/2021/02/regulating-big-tech-the-digital-markets-act/
3 https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/785547/unlocking_digital_competition_furman_review_web.pdf


図表6.DMAにおけるコア・プラットフォームサービス(例)

図表6.DMAにおけるコア・プラットフォームサービス(例)

「ゲートキーパー」は、2つ以上のユーザーグループをつなぐ結節点として機能する。ゲートキーパーがプラットフォームの片側のユーザー(たとえばバイヤー)に大きなシェアをもたらすと、特定の市場や顧客へのルートとして当該企業を使わざるを得ない。プラットフォームの反対側にいるユーザー(たとえば売り手)も、ゲートキーパーのインフラを使わざるを得なくなってしまう。DMAは、「高い参入障壁」と「ゲートキーパーによる反競争的行為」という2つの問題に対処し、デジタル市場を、既存のライバルや将来のライバルにとって、競争力のある公正なものにすることを目的としている。

図表7.ゲートキーパー基準

図表7.ゲートキーパー基準

DMAの第5条から第13条では、データ利用の制限、データ開示要件、相互運用性など、広範囲にわたる義務をゲートキーパーに課している。これらの義務を要約すると、図表8のとおりである。

図表8.ゲートキーパーに課せられた義務

図表8.ゲートキーパーに課せられた義務

2021年11月23日、欧州議会域内市場・消費者保護委員会は、ターゲティング広告の禁止を盛り込んだDMAの修正案を賛成42、反対2で可決した。今回の修正案では、「ターゲットを絞った広告やマイクロターゲティング4広告を配信する目的でデータ結合をしない」ことを企業に要求するとともに、未成年者に対するターゲティング広告を厳しく禁止している。本法案は2021年12月13日に開かれる欧州議会本会議で投票にかけられる予定である。


4 マイクロターゲティングとは、年齢や性別、住んでいる地域などのデータを細分化し、効率的に広告配信や情報提供を行うこと。

2. 米カリフォルニア州法

アメリカでは、2018年6月28日に成立したカリフォルニア消費者プライバシー法(California Consumer Privacy Act: CCPA)を皮切りに、2020年11月3日にはCCPAを改正するカリフォルニアプライバシー権利法(California Privacy Rights Act: CPRA)が可決、同州に続いて、バージニア州、コロラド州も州レベルのプライバシー法を成立させている。

なかでも、CPRAは消費者の権利の拡大、有効な「同意」基準の詳細化など多くの点で注目に値する。以下に、CCPAから大きく変更された点を概説する。

CCPAとCPRAの適用範囲は、図表9のとおりである。CPRAは、中小企業に配慮し、対象となる販売、共有する個人情報の数が5万から10万に変更されている。

図表9.CCPAおよびCPRAが適用される事業者

図表9.CCPAおよびCPRAが適用される事業者

また、CCPAでは使用されていなかった「センシティブな個人情報(sensitive personal information)」という用語を図表10のとおり定義し、他の個人情報と明確に区別している。

図表10.CPRAのセンシティブな個人情報の定義

図表10.CPRAのセンシティブな個人情報の定義

CPRAは、消費者に対し、(1) 「共有」を拒否する権利、 (2) 特定の状況下でのセンシティブな個人情報の使用を制限する権利、という2つの新しいオプトアウト権を与えた。つまり、該当する企業は、現在の「販売」に対するオプトアウト権と同様に、消費者が企業の「ホームページ」上のリンクから新しい権利を行使することができるよう対応しなければならない。該当する企業は、現行のCCPAの「個人情報を売らないでください」というリンクを「個人情報を売らないでください、または共有しないでください」という内容に更新することになる。

また、CPRAでは、「同意とは、自由に与えられた、具体的で、情報に基づいた、消費者の望みが明確に示されたもの」5 という、GDPRとほぼ同様の定義を新たに導入している。


5 "Consent" means any freely given, specific, informed, and unambiguous indication of the consumer’s wishes(後略)

図表11.CCPAとCPRAの有効な同意の比較

図表11.CCPAとCPRAの有効な同意の比較

さらに、CPRAは、1974年以降、連邦政府に適用されてきた公正情報行動原則(Fair Information Practice Principles: FIPPs)のうち、データの最小化、目的の特定、セキュリティ、透明性、正確性、説明責任といった原則が民間企業にも適用されるように成文化した法律という点でも注目されている。

CCPAとCPRAの主な違いは、図表12のとおりである。

図表12.CCPAとCPRAの比較

図表12.CCPAとCPRAの比較

CPRAの全条項が発行するのは2023年1月1日である。CPRAの発効スケジュールは図表13のとおりである。

図表13.CPRAの発効スケジュール

図表13.CPRAの発効スケジュール


大熊 三恵子

一般財団法人日本情報経済社会推進協会(JIPDEC)
電子情報利活用研究部 主任研究員  大熊 三恵子


ISO/IEC JTC1 SC27 WG5(アイデンティティ管理とプライバシー技術)
国内小委員会 幹事
ISO/IEC 27701 Extension to ISO/IEC 27701 and ISO/IEC 27002 for privacy
information management- Requirements and guidelines
英和対訳版 監修
ISO/IEC 29184 Online privacy notices and consent
英和対訳版 監修