レポート

個人情報保護法改正の取り組みと
電子記録利活用の方向性について
牧野総合法律事務所 弁護士法人
弁護士 牧野 二郎 氏

印刷用

 EUではデータ保護指令(1995年採択)の改定を目前に控え、韓国では今年個人情報保護法(2011年施行)を改正している。個人情報保護を巡る世界的に大きな動きがある中、わが国でも来年早々に個人情報保護法改正、10月にはマイナンバー法(2013年5月成立)に基づく個人番号の通知が始まる。世界的な潮流に鑑みわが国がとるべき保護と利用の方向性が問われている。

EUデータ保護指令改定が持つ意味とは

 EUデータ保護指令は、EU加盟国へ直接適用されず、国内法への置き換えが必要となる指令と違い、国内法よりも優先して適用されなければならない規則への改定が予定されている
(図1)。情報の消去権やポータビリティを情報主体に認め(第3章)、侵害された際の訴訟や賠償についても規定している(第8章)。このように保護が強化された一方で、データ消去権の例外として公衆衛生分野における公共の利益のためのデータ保持の許容などの例外規定が増加して30超となるとともに(第9章)、匿名情報の利用を含め医療情報の大幅な利用を進めるEU臨床試験指令(2001年)[1]の改正も同時に進められている。EUは人権保護意識が高く産業・経済の活性化をまったく考慮していないという論調を聞くことがあるがまったくの誤りで欧州では個人情報を非常にうまく活用して非常に進んだ医療・医薬品研究を行っている。

図1

EUデータ保護指令改定がわが国に与える影響

 EU規則案では第8章で個人情報の保護に関する裁判手続きの明確化、すなわち法定化を求めているが、わが国ではこれまで個人情報が漏えいした際には民法の不法行為法で対応しており、賠償額についても500円から4万円程度とばらつきがある。民事訴訟法は実害主義が基本原則となるので、個人情報漏えい時には損害の立証は困難であり、漏えいした情報がインターネット上で流布することによって生じる被害や精神的苦痛を推定、換価して賠償額を決定する。韓国個人情報保護法でも個人情報を漏えいした場合には300万ウォン(日本円で約30万円)という損害賠償額を規定の中に明確化しつつあり、世界の潮流では個人情報に対して知的財産と同様に推定規定をあてはめる流れができつつある。わが国もこの点を含めて個人情報保護法改正を検討すべきではないか。

匿名情報の利用

 わが国はこれまで、例えばクレジットカード番号のような、氏名や住所、生年月日などその他の属性情報から切り離した一部の属性情報であっても、漏えいした場合、元々の情報が個人情報であれば「個人情報の漏えい」とみなされてきたが、6月にIT戦略本部が決定した「パーソナルデータの利活用に関する制度改正大綱」では、個人が特定される可能性を低減したデータについて、本人の同意がなくても第三者提供できる枠組みを作り、民間の自主的な取組を強化、第三者機関による実効性を確保するとしている。先に述べたとおりEUでは臨床試験指令に見られる通り匿名情報の利用はかなり前から進んでいた。個人情報の保護に関する側面のみならず利用面の国際的動向も正確に理解する必要がある。

共同利用、第三者提供の問題

 EU 規則案は第11条で黙示の同意を否定し、明確な同意を求めている。韓国個人情報保護法でも情報収集、第三者提供の際にも本人からの同意が必要とされている。わが国では最近、大手エンタテインメント事業者が加盟店へのポイント情報の提供を「共同利用」から「第三者提供」に改めたものの、個人情報保護法では第三者提供の際の同意はオプトアウトで良いとしている。第三者提供の際にも同意を必要とする欧州の法制度のわが国への影響が今後の課題である。

韓国住民登録番号利用から見るわが国のマイナンバー法

 韓国ではネットにおける実名主義を保証するために1980年代から住民登録番号制度を活用し、2011年に成立した個人情報保護法では同番号の民間利用を承認した。しかし通信事業者などからの情報漏えいが拡大するとともに、固有番号であるため多くの個人があらゆるサービスのパスワードとして使うようになり、漏えいに伴う問題が次第に大きくなっていった。しかしこうした個人番号の漏えいに対する賠償額はせいぜい2 万円ほどとさほど高くはない。他方、わが国のマイナンバー法では第67条で特定個人情報ファイルの不正提供をした者には懲役4年以下もしくは罰金200万円以下に課すという厳格な罰則が定められている(図2)。その一方で、「マイナンバー制度はあくまで本人確認の制度であり、個人の各種の属性情報はこの番号に直結させず、この番号を基礎とした別の番号などへ変換の上、各データベース、別管理の情報サーバへと関連付けること」、という厳格な運用・管理が定められている。その意味で被害発生を防いでいるとも言える。その上で、個人番号を漏えいしたことでどれだけの実害が出るか冷静に検討することが必要だろう。
 また、マイナンバー法の罰則規定がこれほど厳密である一方で、個人情報保護法は行政命令違反に対する刑罰であり、情報漏えいに対する処罰は一切ない。個人情報保護法改正とマイナンバー法施行を目前に控えたわが国は、保護と利用に関する方向性を決定づけるうえで国際的な動向をより注視する必要があるだろう。

図2

脚注:

[1]人に使用する医薬製造物の臨床試験の実施におけるGCPの履行に関する加盟国の法令および行政規則の調和についての2001年4月4日欧州議会および欧州連合理事会指令2001/20/EC

  • 2014年11月25日 第43回電子情報利活用セミナー「本人確認と電子記録利活用の潮流」