All photos by courtesy of SuperHeadz INa Babylon.

English

コラム column

2016年6月29日

IT法

「EU一般データ保護規則とEUの挑戦
  ー データ・ポータビリティの権利とEUのプラットフォーム対策」

弁護士 中川隆太郎(骨董通り法律事務所 for the Arts)


Parliament Vote
BY: European Cyclists' Federation (CC-BY 2.0)

英国離脱という「激震」の最中にあるEU。情報政策の「もう一方の極」として米国と対峙してきた中、"Brexit"が今後のEUの情報政策に与える影響については別の機会に改めて論じるとして、今回はそのEUによる情報政策の最近の1事例として、今年4月についに欧州議会で承認されたEU一般データ保護規則(General Data Protection Regulation, 「GDPR」)について取り上げたい(なお、英国離脱によるGDPRへの影響については参考記事1参考記事2など参照)。2012年1月の法案公開から実に4年。スノーデン事件による動揺や多くの修正を経た末の承認であった(2018年5月発効予定)。

このGDPRは多くの意欲的な内容を含むが、その多くは以前二関弁護士のコラムで紹介された当初の法案と重なり合う。そこで主な見所については次のチェック表をご一読頂くこととし、今回のコラムでは、IoT/ビッグデータ時代の新たな基本的権利として注目される「データ・ポータビリティの権利」にフォーカスを当て、EUのプラットフォーム対策の一端を紹介することとしたい。

GDPRの主な見所チェック表

主な見所 内容
見所①
EU各国の国内法を待たずに直接適用
各国の国内法を待つ必要のある「指令」とは異なり、「規則」であるGDPRは、発効と共に加盟国で直接適用される。
見所②
保護するパーソナルデータの範囲
識別された又は識別され得るデータ主体(生存する自然人)に関連する全ての情報が保護対象。識別する上での識別子として、①氏名、②個人識別番号、③位置情報、④オンライン識別子(IPアドレスやクッキー、RFID等)、そして⑤当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的アイデンティティに特有の要素、の5つを例示(4条(1)号、前文(30))。
見所③
日本企業にも域外適用のリスク
①EU内の自然人に対し商品・サービスを提供する者(無償含む)又は②EU内の自然人の行動をモニタリングする者は、EU域外の法人でも、EU内の自然人のパーソナルデータの取扱いにつきGDPRの適用を受ける(3条2項、前文(23),(24))。
見所④
パーソナルデータの域外移転に高いハードル
個人情報について十分な保護がなされているとの欧州委の「お墨付き」(十分性認定、GDPR45条)を得ていない国(日本を含む)へのパーソナルデータの域外移転は、以下のいずれかを満たさない限りGDPR違反となる(46条、②③④は所定の手続により欧州委の承認等を得たもの)。これは欧州企業から日本企業へのデータ提供や欧州子会社から日本の本社へのデータ移転にも適用されるので、影響は大きい。
 ①国家機関間の法律文書(instrument)による場合
 ②企業グループ内ルール(拘束的企業準則、BCR)に基づく場合(47条)
 ③標準データ保護条項を含む契約を締結した場合
 ④行動規範(40条)又は認証手続(42条)による場合で、データの受け手も誓約する場合
2015年の個人情報保護法改正はこの十分性認定も意識したとされており、現在認定に向け交渉中だが、欧州委司法・消費者総局データ保護課長ブルーノ・ジェンカレッリ氏のコメントによれば、日本が改正法の詳細を政令や委員会規則にて定めた後で最終判断するとしており、GDPRの発効には間に合わないおそれも指摘される。
見所⑤
取得のみならず利用にも原則として明確な同意を要求
パーソナルデータの取扱い(取得に限らず公開、削除などあらゆる利用を含む)の全てにつき原則として本人の明確な同意を要件とする(4条(11)号、6条1項(a)、7条)。例外は法的義務の遵守に必要な取扱いや当該データ主体の重大な利益の保護に必要な取扱いなど一定の場合に限られる。
日本法では同意を要するのは個人情報の取得や目的外利用の場面が中心で、オプトアウトによる第三者提供も要配慮個人情報(下記⑥)を除いて一定の手続により可能とされているなど、GDPRとは大きく異なる。
見所⑥
センシティブデータの取扱いを慎重に
①人種的・民族的起源、政治的意見、宗教的・哲学的信条、又は労働組合員であることを明らかにするパーソナルデータの取扱いや②遺伝的データ(4条(13)号)の取扱い、③自然人を特定する目的での生体データ(4条(14)号)の取扱い、④健康関連情報(4条(15)号)や性生活・性的指向に関する情報等の取扱いは、本人の明示的同意がある場合など厳格な例外を覗いて全て禁止された(9条)。
改正個人情報保護法(施行日未定)でも、一定のセンシティブな情報について「要配慮個人情報」として新たに規定し(改正法2条3項)、同意なき取得を原則禁止としたほか、オプトアウトによる第三者提供も不可としており、方向性を同じくする。具体的には①人種、②信条、③社会的身分、④病歴、⑤犯罪歴、⑥犯罪の被害にあった事実及び⑦政令で定めた情報(現在、個人情報保護委員会で診療情報やゲノム情報などについて検討中)が要配慮個人情報となる。
見所⑦
「プライバシー・バイ・デザイン/バイ・デフォルト」のルール化
 プライバシー・バイ・デザイン/バイ・デフォルトが明文ルール化され、サービスやアプリなどの設計(デザイン)段階から、かつ、初期設定においてGDPRの遵守とパーソナルデータの保護を図るよう具体的に義務付けられた(25条)。
日本では、例えば総務省がスマホアプリについてスマートフォン・プライバシー・イニシアティブによりプライバシー・バイ・デザインの実践が「望まれる」などとしたが、個人情報全般についてそのような取扱いを明示的に強制する法制度はない。
見所⑧
高額の制裁金
GDPR違反につき最大2000万ユーロ(約22.5億円)又は前年度の年間世界売上の4%の制裁金が科される(12年の当初法案より増額)。
見所⑨
プロファイリングによる機械的判断にNOと言う権利
データ主体の権利として、プロファイリング等の情報の自動処理のみに基づく判断(法的効果又は同様に重要な影響を与えるもの)を拒否することができる権利が認められている(22条、当該主体との契約に基づく場合や明示的同意のある場合などは例外)。
見所⑩
「忘れられる権利」を正面からルール化
2014年、スペイン人男性の過去の不動産競売に関する記事についてGoogleの検索結果からの削除義務を認めたEU司法裁判所の判断が「『忘れられる権利』を認めた」と話題に(二関弁護士のコラムを参照)。しかし、実はGDPRの前身であるEUデータ保護指令には忘れられる権利に関する明文の定めはなく、EU司法裁もあくまで消去権(指令12条(b)、不正確な場合などについて個人データの管理者に削除や訂正などを求める権利)や異議申立権(同14条)の解釈の中で上記結論を導いていた。
GDPRでは「消去権(『忘れられる権利』)」として明文の定めを置き(17条)、パーソナルデータが収集時の利用目的上必要とされなくなった場合等には、データ管理者をしてパーソナルデータを削除させる権利を認めた。ただしこの権利は、様々な利益のバランスの下で成り立っており、例えば以下の目的のために当該パーソナルデータの取扱いが必要となる場合には、忘れられる権利の行使は認められないものとされた。①表現の自由・情報の自由の行使、②EU法・加盟国法上の法的義務の履行、③公益目的でのアーカイブ、科学的・歴史的調査又は統計(忘れられる権利の行使によりそれらの目的の達成が不可能又は著しく損なわれる場合)など。

※なお、GDPRの内容は多岐に渡り、上記以外にも見所は多数存在する。



■プラットフォームとスイッチングコスト

ところで、プラットフォームをめぐっては、次のような問題が世界中で日々生じている。

● とあるSNSを長年利用してきたAだが、最近になって当該SNS上の人間関係にわずらわしさを覚え、他のSNSを新たに利用するか悩んでいる。乗り換えのネックとなっているのがこれまでの多数の投稿だ。長年日記代わりにSNSを使い、日々の自撮りの写真や利用したレストランなどのレビューを数多く投稿してきたAにとって、それらの大量のデータを引き継がずにゼロから再スタートするのは躊躇われる。しかし、これまでの投稿を別のSNSにスムーズに移行させる手段はなく、A自ら全てコピペして新SNSで再投稿するといった手動での作業が求められることが分かった。結局、手作業の煩雑さに耐えられないAは、乗り換えを諦めてしまった。


● BはこれまでオンラインショッピングモールYで多数の商品を購入してきたが、購入履歴に基づく同サイトのリコメンド機能に関しては、必ずしも十分に満足できていなかった。先日「人工知能が数億以上の組み合わせの中から、ユーザーの年齢・性別・スタイル・購入済みの商品に合わせて理想のコーディネートを提案する」との「AIスタイリスト機能」を目玉とするショッピングサイトZの存在を知ったときは「早速試してみたい」と思ったが、Yの利用規約を確認したところ、Yでの購入履歴や自分のプロフィールのデータをまるごと引き出したり、そのままZに移行させることはできないと知り、今ではZへの熱も冷めつつある。


もちろんこれらは架空の事例だが、いずれも(個人情報に限らず)データの取扱いがスイッチングコストとなってプラットフォーム等の乗り換えを阻害し、ユーザーが事実上、特定のプラットフォームに拘束されているケースである(「ロックイン効果」といわれる)。事業領域が競合しない場合には、「twitterアカウントでログイン」などのように、あるプラットフォーム上のアカウントや関連するデータを他のプラットフォームでも参照可能とすることも、ユーザーの利便性を向上するひとつの選択肢となる。しかし、競合するプラットフォーム間では、このような「アカウント乗り入れ」は認められない場合も少なくない。

Mediumのサインイン画面
Mediumのサインイン画面。メールアドレスのほか、
TwitterやFacebook、Googleのアカウントでサインインすることができる。

この問題の最大のポイントは、プラットフォームがユーザーに関するデータを次々と大量に取得し、様々な形でサービスに反映させている一方で、ユーザーが自身のデータをプラットフォームから「取り返す」ための法的手段が用意されていないことである(利用規約で手当てされている場合を除く)。さらにその背景としては、ユーザーが日々インターネット上で様々なサービスを利用する中で、利用規約やプライバシーポリシーを熟読し、自身に関するデータについて、どのプラットフォームがどのようなデータを取得し、どのような目的で利用しているのかを把握することがほとんど不可能になっている事実もある(そしてその傾向はIoT時代の到来によりますます加速すると予想される)。

つまり、この問題には、①ユーザーにとって、プラットフォーム側にある自身のデータの把握やコントロールが困難となっていること、②そのことがプラットフォームへのロックイン効果へとつながり、ユーザーが自由にプラットフォームのスイッチングをすることが難しくなっていること、③その結果、プラットフォーム間の競争に影響が生じていること、という3つの問題があり、それぞれ概ね①パーソナルデータの保護の問題、②消費者保護の問題、③競争政策上の問題となる。

そして、このような問題を、パーソナルデータの保護に厚く、他の法分野でもプラットフォーム対策に熱意を注ぐEUが見逃すはずもなかった(なお、現在EUはオンラインプラットフォーム政策について法分野を横断する包括的戦略を立て、それをパーソナルデータのみならず著作権などの個別の法分野での政策に落とし込もうとしている)。これら3分野にまたがる問題を一挙に解決するツールとしてEUが編み出した新しい権利こそが、今回フォーカスを当てる「データ・ポータビリティの権利」である。


■「一石三鳥」の名案となるか

データ・ポータビリティの権利とは、ユーザーが、プラットフォームなどのデータ管理者に対して、ユーザー自身に関するパーソナルデータを「構造化され、機械判読可能な共通フォーマット」で自らに引き渡し、あるいは他のプラットフォームへ直接移転させるよう求めることができるという権利である。プライバシー権について自己情報コントロール権と捉える見解からすれば、まさにその実現のための法制度といえよう。これによってEUは、次の3つを同時に実現することを狙いとしている(なお、大手プラットフォーマーはいずれも米国企業で占められているという現状を踏まえ、「事実上、EU発のプラットフォーマーの後押しをする狙いがある」との批判もある)。



①パーソナルデータを「個人の手に取り戻す」こと(パーソナルデータの保護)

②特定のプラットフォームにロックインされている消費者を救うこと(消費者保護)

③プラットフォーム間競争を促すこと(公正な競争の確保)

すなわち、このデータ・ポータビリティの権利によって、個人ユーザーは他のプラットフォームへの乗り換えが容易になり、スイッチングコストのハードルに阻まれていた後発スタートアップは先行する巨大プラットフォームに挑みやすくなる(ただし自らも権利行使の対象となり得る)。他方、既に有数のシェアを持つ巨大プラットフォーム等にとっては、直接的なメリットのない負担が単純に増える上に、その「武器」であるデータを意に反して競合相手と「共有」させられるわけで、当然、様々な形で批判・反論・意見が出され、EUは何度も修正を迫られた(その間の経緯も含め、この権利についての詳細は下記参考文献(佐々木)参照)。その結果、先日正式に最終承認されたGDPRでは、例えば次の3点のように、一定の制約・限界が設定されている。



● 対象について、ユーザーが自らプラットフォームに提供したパーソナルデータに限定。適法に別途収集したデータは含まれない

● ユーザーの同意等に基づいてなされる自動処理されている場合に限定。

● データ・ポータビリティの権利は、他者の権利や自由に悪影響を与えてはならない。


■山積する課題と今後の展望

さて、このデータ・ポータビリティの権利だが、なにぶん新しい法制度ということもあり、制度の詳細はまだまだこれからであり、課題も山積している。実際に、「理念はよいが(技術上、あるいは負担に照らして)そもそもどの程度実現できるのか?」という懸念の声も少なくない。また、ユーザーの下にまとまったパーソナルデータが集約されうることに伴うセキュリティ面のリスクや優越的地位にあるような有力なプラットフォームに限らず全てのプラットフォームを対象としておりかえって小規模のプラットフォームにとって負担となるとの指摘もなされている。「そもそも競争法の領域で検討すべき」との主張も見受けられる。

この点、欧州委の担当局における専門家グループのディスカッションペーパーによれば、技術等についての標準化や、業界の自主的な行動規範(Code of Conduct)による取り組み、さらには標準契約条項/標準利用規約条項/データ・ポータビリティ・ポリシー等の策定などが解決手段の選択肢として記されている。実際に、29条部会の2016年のアクションプランにおいても、データ・ポータビリティの権利に関するデータ管理者等向けガイダンスの策定が掲げられており、かかるガイダンスにおいてどの程度詳細なものが示されるのか、さらには、民間プラットフォームの方で業界団体による自主規制ルール(行動規範、GDPR40条)の策定に動いて先手を打つのか、いずれにせよ今後GDPRの発効までにどれだけ具体的に詰められるか、引き続き注目される。


古くはGoogleによるDouble Clickの買収、最近ではFacebookによるWhatsApp買収など、競争法においてプライバシーや個人情報の保護が重視される場面も見られるようになったが、このデータ・ポータビリティの権利は、日本法への導入の是非を含め、今後しばらくの間、プライバシーと競争法の交錯領域における新たな話題となるだろう。

以上


参考文献:
「欧州におけるデータ・ポータビリティの在り方を巡る議論の動向」(佐々木勉)
「データポータビリティの権利について」(生貝直人)


※本サイト上の文章は、すべて一般的な情報提供のために掲載するものであり、
法的若しくは専門的なアドバイスを目的とするものではありません。
※文章内容には適宜訂正や追加がおこなわれることがあります。