第3回 AECで変わるアジア：個人情報保護法動向の変化

アジアにも目を向ける必要性

マレーシアでも、新たに個人情報保護法が導入されています。個人情報を収集する際には、英語とマレー語での通知が必要となったほか、一部の業種の事業者に対しては監督官庁への登録が義務づけられることになりました。

フィリピンでは、2012年9月と、ASEANの中では最も早くから情報プライバシー法が施行されています。同法の対象は幅広く、あらゆる種類の個人情報と、個人情報を処理する個人および法人が規制の対象になっています。

インドネシアでは統一的な法律はまだありませんが、業界に特化したものがいくつかあります。Electronic information and transactionsと言われる電子的な情報の取扱いに関して同意を必要としたり、秘密情報の段階に応じた罰則を刑法で設けています。

その他、各国における法制度の動向を下図に示します。

グローバルな個人情報保護方策を実現するためには、長期にわたるたゆみない努力が必要です。しかし、かつてないほど情報の価値が大きくなった現代では、その情報を利用する際の適法性確保が不可欠になります。

達野先生の見解は明るく、「各国ごとに法制度もマーケットも違いますが、全体的な流れとしては、〝統一的な運用〟あるいは〝統一的な制度〟を目指していると思います」と話します。「日本の個人情報保護法もOECDの原則に従って作られた経緯がありますが、方針は作られていくものです。最近ではAPECがイニシアティブをとり、プライバシーに関するフレームワークを作り、域内で制度を統一化させ、各国の間で歩調を合わせようという動きが見られます。これが、APECのCBPR（CBPR システム：Cross Border Privacy Rules System）です。クロスボーダープライバシールールズという、国境を越えた情報の流通についての統一したルールを作り、企業がこれに従ってクロスボーダーで個人情報保護に関する制度を整えていることを認可する機関を作り、そこで認可を取ることで消費者に対するプライバシー保護の主張ができる仕組みです。

世界で一番個人情報保護規制が厳しいと言われるEUの動きと関連させると、EUとアジアを1つにまとめるという大きな目標も挙げられます。例えば、EUがAPECのフレームワークを適切な法と認定すれば、APECの仕組みを守ることで同時に、EUからの個人情報の移転も可能になるといったグローバルなフレームワークが実現します。現時点ではどうしても各国対応が必要になりますが、将来的にはそういう大きなフレームワークで全世界が繋がるという未来があると思っています」

個人情報保護法施行後の取締り

近年の国外における個人情報保護法違反の摘発について「アジアでは、あまり大きな話を聞きません」と首を振る達野先生の解説は、リージョンで異なる個人情報保護の考え方にまで及びます。

「2年前ほど前、香港でクレジットカード情報の大規模な流出事件がありました。実際に漏洩してしまった事後の取締りや責任の追及はありますが、体制がしっかりしていないことに対する取締まりはありません。一方、EUでは個人情報の取扱い体制が整えられていないことに対して処罰が下ることがあります。あるいは、体制を整えよという命令が出るのです。

このような特徴がある中、アメリカでは、とてもビジネスライクに捉えられています。統一的に個人情報を保護しよう、あるいは規制しようという必要性があまり考えられていないようです。最近になって、統一法の文案が提出されていますが、プライバシーや個人情報保護には全く役立たない法ではないかという批判があります。裏を返せば、ビジネスによる情報利用を阻害しないように考えられているもので、アメリカではビジネスをしやすいということになります。この考え方は、EUのそれとは全く逆です。EUでは、個人情報や個人の権利が重要視され、これに反する情報の取扱いは非常に厳しくなっているからです。

この二者に対する日本の態度を一言で表現するなら〝どっちつかず〟です。個人情報の保護を厳しくしたいのか、自由な情報流通を促進したいのか、立場を明確にすることができていません。もっとも、現在、法改正が検討されており、EUの保護レベルに合わせる方向のようです。しかし、EUから情報の移転ができる国だと認められたい一方で、まだまだ中途半端なところがあります。EUのように第三者機関を置き、罰則を厳しくして、罰金も大きくするのかと思いきや、第三者機関が本当に個人情報保護の状況を監視する能力や予算を与えられるかは疑問です。匿名情報は自由に流通させたいという経済界からの要請も考慮しなくてはならず、どうしてもちぐはぐな内容にはなる可能性があります」