ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

Data Free Flow with Trustを実現するためにはどうあるべきか

情報法 GDPR 医療

Data Free Flow with Trustについては、今後も引き続きウォッチしていきたいと思っていますが、今日はまずその第一印象について。

www.nikkei.com

 

信頼に足るルールのもとでデータについては自由な流通を許そうという考えで統一的なルールの整備を目指すと報道されていました。

 

考え方・発想自体はいいし、ネーミング(Data Free Flow with Trust)もいい。

しかし、一体現状では何が課題なのか、現行ルールでは何が問題なのか、今後何を目指していきたいのかの具体論がないと感じます。

首相発言があるからには、役所の検討資料があるのかなと思いきや、そういうこともない。そうなると、産業界からの要請を受けての発言のようにも感じます。

 

私の疑問と、私なりの課題解決の考え方

1.データ流通を阻害する原因・課題がきちんと把握されているのか

  • 信頼に足るルールのもとでデータの流通を促すとあるが、国内では個人情報保護法というルールの下でデータの流通が可能な法的スキームがある。現行の個人情報保護法では何が足りないのかを具体的に検討しなければ、何も始まらない。Data Free Flow with Trustというお題目を述べても意味がない。
  • 多種多様な大量のデータが発生する中でそれを使ってイノベーションを生み出すという話はずっと以前からある。データを集約する際に個人情報保護法が壁になるというが、具体的に何が壁なのかをきちんと検討する必要がある。
  • 複数企業でのデータ流通という話であれば、現行法でも以下のスキームで可能
  • 1)共同利用
    2)利用目的を新規設定してデータをためる
    3)匿名加工情報
  • 1)共同利用については脱法的利用も疑われる(過去に首相官邸で私が発言した通り)一方で、正当な利用が躊躇される状況にあるので、共同利用についての制度変更も必要では。
    例えば、現行のままの共同利用も認めつつ、共同利用に関する個人情報保護委員会の承認制度を創設するなど。個人情報保護委員会の承認があれば、企業もデータ利活用に萎縮することなく躊躇なく共同利用ができるのでは。
    ただこういうスキームにすると承認依頼が殺到して個人情報保護委員会側の負荷が高くなって承認が遅くなる危険があるので、場合によっては認定個人情報保護団体にこの権限を委任してもいいのではないか。
    ただ実態として認定個人情報保護団体がそれをできるのかという問題は残るが、認定個人情報保護団体にヒアリングしつつ支援しつつ、という感じになるのか。全銀協とか生保協会とか日証協とかそういう業界団体があるところは、業界団体にはマンパワーもあるので、認定個人情報保護団体をサポートして、認定個人情報保護団体がきちんとこういったことも判断して、市民の味方、そして企業もサポートできる組織になるように、支援していってほしいと思うが、どうだろうか。大きな業界団体がないところはどうするかという問題は残るが、通信キャリアはデ協でできるだろうし、あとは新経連に頑張っていただくか、JIPDECがやるかというところか。
  • 3)匿名加工情報があまり活用されていないので、匿名加工情報に代わる、使い勝手の良い制度の検討自体は必要であろう。ただ、今回のData Free Flow with Trustは、別に匿名加工情報の再検討がテーマなわけではないので、今回のテーマは一体何なのかを明確化し、課題をきちんと把握しないと、課題克服・目標実現のために何をすればよいかもさっぱりわからない。最近はお題目だけの政策が散見されるが、現実の課題と目標をきちんと見据えていくべきである。
    ただ、匿名加工という方法自体に無理がある気がして、結局加工レベルは匿名加工レベル(=非個人情報)を求めずに抽象化レベル(=個人情報)にとどめて、1)共同利用の事前承認の創設というのが、筋としてはいいのではないか。
  • また、自治体ごとに存在する個人情報保護条例を法律化して一本化することは必要であろう。なぜなら自治体ごとに違うと、自治体の持つデータ(市町村国保の持つレセプト・健診データ、公立病院のデータ、県立大学のデータ)を自治体横断的に利活用しようとする際に、すべての条例を検討しなければならなくて、これは企業のビジネスにとっての障壁となる。さらにいうと、個人情報保護条例を検討できる人材が極度に不足。手前味噌だが私は個人情報保護条例の検討・立案ができるが、多くの弁護士は個人情報保護条例は支援できない。国に照会しても、国は条例解釈はしないし、かといって自治体自身も条例解釈はしたくないというのが現状。都道府県・政令市・やる気のある職員のいる市町村ならいざしらず、特別地方公共団体等もそれぞれ条例を持っていたりするが、その解釈ができる担当者がいない場合も多い。現実的に、無理がある。法改正を受けての条例改正も、こんな状況の中、各2000自治体で同様の作業をすることになって、労働力・外注費の無駄遣いとすら評価できるのではないか。自治体の条例制定権限は重要であるが、その点は上乗せ・横出し条例で対応するのが良いのではないか。
  • 医療情報ガイドラインの3省3ガイドラインは1本化すべき。私が過去ブログで書いた内容と同じ内容を、自民党の小林史明議員が発言されているというのを拝見しました。これは、政治の方からも行政に働きかけるべきであり、賛成です。 
  • あとは「人を対象とする医学系研究に関する倫理指針」を読み手にとって読みやすく、わかりやすく改訂するべき。手前味噌で恐縮だが、個人情報保護法制を10年近く専門にしている私ですらこの指針読みづらくてわかりづらいのに、現場で研究の最前線にある方がこの指針を見てこの通りにできるとはとても思えない。現場の人は、法律やガイドラインや指針の解釈に終日さけるわけではなくて、自分の仕事をしながら法律や指針を見るわけで、そういう方がストレスなく指針を読めるように、直すべきだと考える。そのためには倫理指針の個人情報関連のルールの簡素化も必要ではないか。
  • あと、非識別加工情報とオープンデータと情報公開請求を統一的に捉えて、より市民・企業にとって使いやすい公共データのあり方を目指すべき。また今の制度だと、制度の担い手たる官側にも、過度な負担がかかっているわりに、市民・企業にとっても使い勝手が悪いという、Lose-Loseになってしまっているので、これを打破すべき。

2.国際的枠組みをどこまで目指すのか

  • 今回の首相発言では、国際的枠組みを目指している的にも読み取れる。しかし、それはいったいどういう意味なのか。EUGDPRをやって越境移転の原則禁止をしているから、日本もアジア圏でアジア版個人情報保護法みたいなものを創設しようとする趣旨なのか。
  • その意図は一体何なのか。
  • EUみたいにデータを流通しやすくすることで、アジア域内の経済連携強化などを狙うということ?現行法下でも、海外から個人情報を持ってきたり海外に提供することはできるが、それではだめなのか。現行スキームに課題があるというよりは、「アジア域内でデータ流通が自由です」ということを大々的に掲げて、インパクトを狙いたいという趣旨か。いまいち趣旨がわからない。
  • 「アジア域内でデータ流通が自由です」と宣伝して、アジア域内の経済連携強化を狙うなら、法制度の改正は少しで良いだろう。
    現行の海外提供制限規定をほぼそのまま生かして、アジアについてだけ、「Data Free Flow with Trustチェックリスト」というのを個人情報保護委員会が用意して、このチェックリストを満たしたら、現行の海外提供制限規定を遵守できますよ、とすればいいのではないか。そうすれば法改正も要らないだろう。
    Pマークみたいに、アジア版Pマークを創設するという手段もなくはないが、あまり普及しなそうな気配を感じるので、上述のチェックリスト方式が私としてはいいと思う。ただアジア版Pマークを作りたければ作っても別に悪くはないと思う。で、アジア版Pマークを持っていれば、現行の海外提供制限規定を遵守できますよ、とすればいい。

軽くブログに感想書くつもりが、意外と真剣に長く書いてしまいました。

また書きたいことができたら、このData Free Flow with Trustの話題をブログでも取り上げていきたいと思います。

デジタル手続法は成立しましたが、あまりニュースになっていない印象です。デジタル手続法は、あまり意味がなく(→私の過去ブログご参照)、それよりも具体的なガバメント現場(国、独法、自治体)が、どうデジタル化に向き合っていくかということが重要に思います。デジタル手続法よりData Free Flow with Trustの方が、うまく制度設計すれば社会に良いインパクトをもたらすように思って、今後もウォッチしていきたいなと思います。

 

(2019.7.30追記)

2019.7月時点の情報として、DFFTは国際的枠組みづくりを目指すものであって、DFFTのために国内法制定を目指すものではないとのこと。したがって、個人情報保護法の3年後見直し=令和2年通常国会提出?に、DFFTが多数盛り込まれるわけではないし、現段階で、新法等が予定されているわけではないとのこと。

ただ、水町の感想としては、国際的枠組みといっても、国内のData Flowもあるわけで、それを踏まえての国際的なデータ流通であるわけで、DFFTを推奨するのであれば、国内のデータ流通・保護の議論も非常に重要だと思っています。

今後、10年間、下手したら3年間、5年間ぐらいのスパンでも、データローカライゼーションやデータの囲い込みの動きは強まりそうだし、それに対抗する動きも強まりそうだし、ガバメントアクセスの問題、国内流通の問題、海外サーバの問題、さまざまな問題が非常に激しく動くと思います。そういった情勢下で、国内外のデータ流通・保護をどうしていくかは、3年後ぐらいにも非常に重要な課題であり続けるだろうと思われ、今後もウォッチして、考えていきたいと思っています。