2015年3月25日
「第三者機関を通じたパーソナルデータの保護」
弁護士 二関辰郎 (骨董通り法律事務所 for the Arts)
本コラムは、日本弁護士連合会の機関誌 『自由と正義』2014年12月号の特集「ビッグデータの利活用と個人情報保護法制」に掲載した標記記事に、形式面を中心に若干の変更を加えたものです。
Ⅰ はじめに
2014年6月にIT総合戦略本部は、「パーソナルデータの利活用に関する制度改正大綱」(以下「大綱」という。)を決定した。大綱は、制度執行を確保するための第三者機関の設置を提言している。そもそも、個人情報保護法の制定が議論されていた2001年ころから、諸外国のプライバシー保護機関を参考にして、日弁連は、日本でも第三者機関(プライバシー保護機関)を設置するよう一貫して呼び掛けてきた *1。 また、2003年の個人情報保護法成立時、衆参両院の「個人情報保護に関する特別委員会」では、法の全面施行後3年を目途として第三者機関の設置を含めた法改正を視野に入れた検討をすべき旨附帯決議していた。これらを踏まえると、大綱の動きは遅きに失した感がないでもない。しかし、ともあれ、この動き自体は歓迎すべきことである。
事業者が内部的に個人情報を適正に扱っているか否かは外部からは見えにくい。それゆえ、個人がそれを監視することは不可能に近く、もともと個人情報保護のために第三者機関による監視・監督の必要性は高い。とりわけ、企業が国境を越えて活動し、ビッグデータの活用も進んだ社会では、十分な権限を持った第三者機関を通じたパーソナルデータの保護がますます重要になっている。本稿では、その点に触れたうえで諸外国の代表的制度ないし動向を概観し、日本でのあるべき制度について論じる。
Ⅱ 第三者機関を通じた保護の必要性
1 国境を越えた企業活動の増大
2014年6月末時点でのFacebookの月間アクティブユーザー数は、世界で13.2億人いる *2。Googleの検索エンジンは、毎日30億の検索を処理している。Twitterは1日5億のつぶやきを処理している *3。これら海外に本社を置くインターネットの巨大企業をはじめとして、国境を超えた企業活動が増加している。これらのサービスの多くは無償で提供されているが、いわばそれと引き換えに、事業者は、利用者の個人情報ないしパーソナルデータを大量に収集・利用しているとも言えるであろう。大量のパーソナルデータが国境を越えて移動・利用されているが、海外のサーバーで外国企業が保管・管理しているデータにつき、適正な取り扱いが行われているかを個人がチェックすることは到底不可能である。したがって、組織的な対応が必要であり、とりわけ諸外国の第三者機関と連携することにより、パーソナルデータの保護を図る必要性が高まっている。
2 ビッグデータの活用が進む社会での役割
(1) カナダと米国のプライバシー保護機関の指摘や調査
ウェブサイトの閲覧、検索、友人とのチャット、音楽のダウンロードなどのオンラインでの行動や、スイカやパスモといった乗車カードの利用などにより、人々は自覚なしに電子情報を足跡のようにデータ管理者に残している。これにより、人の関心や習慣、意見あるいは位置情報などが把握可能になる。モノのインターネット(Internet of Things: IoT)といわれる家電や自動車などのネット接続によっても大量のデータが日々作られている。IBMによれば、全世界に今日存在するすべてのデータの90%は、過去2年間に作成されたものと言われているほどである *4。
カナダの連邦プライバシー保護機関であるプライバシー・コミッショナーは、ビッグデータの活用により、データの使われ方に質的変化が生じていると指摘する。過去のデータから人の将来の行動を予測する「予測分析」(predictive analytics)の登場と発達である。予測分析により、事業者は、需要にあわせた製品やサービスの提供をより効率的かつ的確に行うことができる。また、諜報機関は、予測分析により、テロ等の脅威を未然に防ぐ可能性を高めることができると指摘している。同プライバシー・コミッショナーは、このような利用は、効率的で斬新な製品やサービスの開発に役立ち、あるいは公共の安全に資する一方、公衆に対して差別的で侵害的な慣行になりうると指摘している *5。
ビッグデータの活用がもっとも進んでいる米国では、2014年5月、消費者のプライバシー保護を担当している米国FTC(連邦取引委員会)が、データ・ブローカーに関する報告書を公表した *6。データ・ブローカーとは、さまざまな情報源から消費者の個人情報を収集し、統合・分析したうえで他者に販売する業種である。さながら、日本における名簿屋を大規模化・近代化したイメージかもしれない。
同報告書によれば、たとえば、データ・ブローカーの一つであるアクシオム社(Axiom)は、全世界で約7億人分の消費者のデータベースを保有し、米国の消費者については、そのほとんどを網羅している。データ・ブローカーは、たとえば、個人がインターネットやブログ、SNSなどに投稿した情報をクローリング *7により収集したり、他のデータ・ブローカーからデータを入手したりしている。FTCが調査したデータ・ブローカーの中には、消費者から直接データを収集していた業者は1社もいなかった。
収集したデータを、データ・ブローカーは、たとえば、病状、民族性、収入、教育などによって分類し、利用価値を高めている。こういった分類は、効率的・効果的なマーケティング、あるいは取引にともなう事業者のリスク軽減に役立つ一方、集積した情報の分類や分析が社会的差別の原因になるおそれがある。
(2) 差別除去の必要性
データ・ブローカーが個人から直接データを収集していないためもあり、長年、データ・ブローカーの実態はあまり知られていなかった。しかし、FTCの上記報告書により、その一端が明らかになった。この報告書は、2012年12月に、FTCが9社のデータ・ブローカーに対して調査を実施した結果をまとめたものである *8。
カナダと米国のプライバシー保護機関が揃って指摘するように、ビッグデータが活用される社会では、民族や収入レベル、教育レベルなどによって、個人が差別的取り扱いを受ける可能性がある。
差別的取扱いを受けた本人は、差別されたことをそもそも認識できない場合がある。たとえば、契約の申し込みを断られた本人は、自分の事例しか知らず他の事例との比較ができない。それゆえ、自分の申し込みが断られた理由として背後に差別があったのか否かを通常知ることができない。また、仮に何らかの理由により差別が原因と知った場合でも、自分に対する差別の問題をかえってクローズアップさせかねないため、自ら問題にすることを躊躇してしまう場合もある。このような状況は、社会的な議論がないままに差別を固定化し、さらに拡大させるおそれがある。本人に代わって、差別の原因となる不適切な利用をやめさせるための組織による対応が不可欠である。
3 第三者機関による対応の必要性
以上のとおり、パーソナルデータの適正な取扱いの監視・監督は、個人(本人)ではなく組織として対応する必要がある。現行の主務大臣制の下、そのような組織としてまず思い浮かぶのは各省庁かもしれない。
しかし、総務省が開催した「パーソナルデータの利用・流通に関する研究会」の報告書が指摘するとおり、「パーソナルデータの保護は、分野横断的に統一的な見解を求められることが多く、さらに、主としてパーソナルデータの利活用が行われるICT分野は技術革新が激しく、事前の相談や事後の紛争解決などに当たり、迅速かつ柔軟な判断が求められる。こうした機能を適切に果たしていくためには、パーソナルデータの利活用に関わる様々な問題について、専門的な知見を有する人材を集め、パーソナルデータの利活用の基本理念及び原則を実質的に判断して、分野横断的に迅速かつ適切に処理していく体制の整備が必要不可欠である」 *9。つまり、いわゆる縦割り行政と言われる各省庁による対応は妥当でなく、専門機関による統一的対応が必要である。
また、従来の主務大臣制はうまく機能していない。主務大臣が、法律上認められた助言・報告の徴収その他の権限を行使した例は限られており法執行が不十分であったし、法執行の基準となる各省庁のガイドラインを共通化する動きも遅々として進まなかったという趣旨の指摘もある *10。
さらに、Ⅳ1(2)で後述するとおり、プライバシー保護機関の権限を強化する必要があるが、そのような権限強化は、各省庁ではなく、プライバシー保護に特化した機関に担わせるのが妥当である。
これらに加え、Ⅲで後述する諸外国の法制度との調和という観点もある。先述した諸外国の第三者機関との連携も、各省庁がそれぞれ実施するのは困難である。諸外国の第三者機関と同様の立場にある一つのプライバシー保護機関を設置し、そこが担当してこそ連携もスムーズにいくであろう。
以上のような理由から、組織的な対応は、各省庁ではなくプライバシー保護に特化した第三者機関が行うことが必要である。
Ⅲ OECDやEUなどにみるプライバシー保護機関
諸外国では、すでに、プライバシー保護機関を通じた個人情報保護の仕組みが進んでいる。ここでは、OECDとEUの仕組みを概観し、プライバシー・コミッショナー国際会議に簡単に触れる。
1 OECD
日本も加盟している経済開発協力機構(OECD)は、「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告(2013年)」 *11により、各加盟国が、調査または執行手続の遂行権限を有する公的なプライバシー保護機関を設置すべきとする。プライバシー保護機関は、効率的にその権限を行使し、客観的、公正で一貫した判断をするために必要な組織、資源、技術的専門性を持つべきとされる(同ガイドライン19c),1d))。同ガイドラインに先立って2007年に採択されたOECD「プライバシーを保護する法律の執行における国境を越えた協力に関する勧告」 *12では、プライバシー保護機関は、a)プライバシーを保護する法律違反を阻止し制裁する権限、b)法律違反の可能性がある場合、それに関連した情報へのアクセス権限を含めた効果的な調査能力、c)法律違反に従事したデータ管理者に対する是正措置、といった権限を持つべきであるとする(同勧告11)。同勧告は、各国のプライバシー保護機関が相互に協力し、プライバシーを保護する法律違反の可能性がある場合に関連情報を共有する仕組みの構築等を求めている(同勧告12)。
2 EU
1995年EUデータ保護指令の改正案として議論されているEU総合データ保護規則 *13では、プライバシー保護機関(監督機関)につき、おおむね次の規定を置いている。
監督機関は、与えられた義務と権限を行使するにあたり完全な独立性と公平性を有するものとし、監督機関の構成員は誰からも指示を受けない(47条1項、2項)。監督機関は、付与された義務と権限を効率的に行使するために必要な、適切な人的、技術的及び財政的資源と施設、インフラを与えられなければならない(同5項)。監督機関は、監督機関の長が任命し、その指示を受ける独自の職員を有する(同6項)。独立性に影響を受けない形で財政的コントロールを受け、国の議会に対して説明責任を負う(同7項、7a項)。監督機関の構成員は、議会か政府が任命し、その人物の独立性に疑いがなく、パーソナルデータ保護の分野で卓越して義務を履行できる経験と能力を有する者でなければならない(48条1項、2項)。監督機関の義務としては、EU総合データ保護規則の適用状況を監視し、本人や団体からの苦情を受け付けて処理する。自ら率先し、あるいは苦情等を受けて調査を実施し、パーソナルデータの保護に影響がある限りにおいて、ITや商業慣行の進展をモニターする(52条)。調査権限としては、事業者の義務の履行に必要なすべてのパーソナルデータと情報にアクセスし、規則違反の活動が疑われる相当な事由がある場合、データ処理機器や手段を含む事業者の施設へアクセスできる(53条2項)。規則違反があった場合には、司法機関に告発し、法的手続に関与し(同3項)、行政罰として制裁を課すことができる(同4項)。行政的制裁として、一定の違反があった場合には、1億ユーロまたは企業の場合には、全世界における年間収入の5%の罰金のいずれか高い方を科すことができる(79条2a.c))。
EU域外の第三国へのパーソナルデータの移転は、第三国において適切なレベルの保護を確保していることが要求されている。その判断にあたっては、独立した監督機関が存在し、十分な制裁権限を有していること、本人が権利行使をするにあたって本人を補助し、助言を与えること、EUや加盟国の監督機関と協力することを含め、効果的に機能しているか否かも要素として斟酌される(41条2(b))。
3 データ保護プライバシー・コミッショナー国際会議
各国のプライバシー保護機関が年1回集まる国際会議が1979年から行われており、2014年には第36回大会が開かれた。2012年現在で57か国のプライバシー保護機関がメンバーとして参加しているが、日本にはメンバーとして正式参加が認められている機関はない。消費者庁にオブザーバー資格が認められているにすぎない *14。同会議では、パーソナルデータに関する様々な課題について議論が行われ、決議が採択されている。たとえば、2013年ワルシャワで行われた会議では、プロファイリングに関する決議、ウェブ上での追跡とプライバシーに関する決議などが採択されている *15。
Ⅳ 日本におけるプライバシー保護機関の在り方
冒頭述べたとおり、大綱はプライバシー保護機関の設置を提言した。すでに指摘したとおり、ビッグデータ活用社会では、プライバシー保護機関に期待される役割は重大である。また、Ⅲで諸外国の制度の一部を概観したが、制度の国際的調和や他国のプライバシー保護機関との連携強化という観点からも、充実した制度を構築する必要がある。
1 権限・機能
(1) 大綱の規定と若干のコメント
大綱では、個人情報取扱事業者に対する助言、報告徴収、勧告、命令に加えて、新たに指導、立入検査、公表等を行えることとしている。
OECDやEUの制度を踏まえて、プライバシー保護機関には十分な調査権限が与えられる必要がある。第一に、調査対象は、事業者の保有するパーソナルデータのみならず、すべての関連情報にアクセスできるようにする必要があろう。再識別化の技術も急速に進展するから、匿名化された情報のどこまでを調査対象にするのが妥当かは明確でなく、狭く解すると適切な調査に支障を生じるおそれがあるからである。第二に、立入検査は、事業者に対する影響が大きいため、上述したEUの規則等を参考に、行使する場面は限定されるべきである。ただし、いったん検査を実施するとなった場合には、「データ処理機器や手段を含む事業者の施設へアクセス」ができるよう十分な権限を与えられる必要がある。
また、大綱では、事業者による自主規制ルールをプライバシー保護機関に認定させることを想定している。そのような関与は、公正な自主規制ルールを普及させる意義を有する一方、プライバシー保護機関を当事者的立場に置きかねず、第三者的立場から事後的に監督する立場とは相いれない面がある。ことに、適切な匿名化措置の在り方が明確でなく、技術の進展によって急速に変わりつつある社会では、「あるべき自主規制ルール」の想定自体が容易でない。それゆえ、プライバシー保護機関を自主規制ルールにいかに関与させるのが妥当か、制度設計は容易ではなく、十分な議論が必要であろう *16。
また、大綱では、個人情報保護法23条2項のオプトアウト規定を用いて第三者提供を行う場合、事業者は、第三者機関に届出をし、届出を受けた第三者機関は、届けられた事項を公表する仕組みを取り入れるとしている。しかし、現行の個人情報保護法は、直接収集の原則も同意取得の原則も採用していない。それゆえ、本人の知らないうちに他者が個人情報を利用している場合があることを想定しており、そもそも第三者提供を行う側の事業者に対する本人の信頼が存するわけではない。したがって、第三者提供の場面だけをとりあげて厳格なルールを適用する合理性は見いだせないように思われる *17。さらに、「法に定める本人通知事項」を届出事項にすることを大綱は想定しているようであるが、具体的にどの第三者に提供するのかは、それでは明確にならない *18。オプトアウト時の届出ルールは、あるいは名簿屋対策を念頭に置いているのかもしれない。しかし、行為規制法として事業者全般に広く網を掛けることは、事業者への影響も大きいし、情報が膨大になり、本人にとっても公表資料の確認が難しくなる。それゆえ、あまり妥当とは思えない。米国FTCがかつてデータ・ブローカーを調査したように、まずは第三者機関が名簿屋の実態を調査し、実態に応じた名簿屋対策の特別法を定めるのが妥当であろう。
さらに、大綱では、「国境を越えた情報流通を行うことを可能とする枠組みの創設にあたって認証業務を行う民間団体」の存在を想定している。しかし、そのような仕組みについて、IT戦略本部のもとで大綱の策定にあたった「パーソナルデータに関する検討会」で十分な議論がなされたようには思えない。そのような仕組みは、単に官僚の天下り先機関を作ることにならないか、代替策としてどのような仕組みがあるか、といった点につき、十分な議論がなされるべきである。
1976年に創設され長い歴史を持つカナダの連邦プライバシー・コミッショナーは、海外に本社を置く企業に対する法律の執行力を高める観点や、ビッグデータ時代におけるパーソナルデータの適切な保護のため、プライバシー・コミッショナーの権限を強めることが必要とし、2013年5月にカナダのプライバシー保護に関する法律の改正について意見書を出した *19。その中でプライバシー・コミッショナーは、事業者がプライバシー保護に投資する十分なインセンティブを法律が定めていないと指摘し、対応の選択肢の一つとして、たとえば課徴金を科す権限をプライバシー・コミッショナーに持たせるべきであると提唱している。この提唱や、先にみたEU規則で多額の行政罰を科せる権限をプライバシー保護機関に付与していることを参考に、日本でも第三者機関に課徴金を科す権限を与えるのが妥当であろう。
また、第三者機関は、民間企業のみならず、公的機関におけるパーソナルデータの取扱いの監督もすべきである。公的機関に対しては、現在、総務省による監督が一定の範囲で認められているが、権限は制約されている *20。事業官庁として自らもパーソナルデータを利用している総務省ではなく、独立した第三者機関に十分な権限を与え、公的機関を監督させるのが適切である。
(2) 主務大臣との役割分担
大綱では、主務大臣との関係について、「第三者機関を中心とする実効性ある執行・監督等が可能となるよう各府省大臣との関係を整理する。整理に当たっては、独立した第三者機関を設置する趣旨に鑑み、第三者機関と各府省大臣との役割の明確化を図るとともに、重畳的な執行を回避し効率的な運用を行うために、緊密な連携のもと業務を行うこととする。」とする。
「パーソナルデータに関する検討会」に事務局が提出した関連資料がある *21。この資料において、現行の主務大臣との関係について、事務局は、次の案①から案⑤を示している。
【対応方針】
案①: 主務大臣制を廃止し、全ての権限等を第三者機関に集約する(第三者機関が事業所管大臣から執行協力や専門的な知見の提供を受けたり、事業所管大臣への意見聴取・協議を行ったりする等、様々な類型が考えられる。)。
案②: 特定分野について、主務大臣を置くこととし、他の分野については第三者機関に権限等を集約する。なお、第三者機関が主務大臣よりも強力な執行権限(「勧告」、「命令」)を有する(主務大臣は当該権限を有しない。)。
案③: 現行の主務大臣制を維持し、第三者機関と並存させる。なお、特定分野を担当する主務大臣については、他の分野の主務大臣よりも一定の権限等を上乗せして有する。
案④: 現行の主務大臣制を維持し、第三者機関と並存させる。なお、第三者機関と全ての主務大臣が同等の執行権限を有する。
案⑤: 第三者機関を主務大臣等の執行を監督する機関とする。
上記のとおり、案①は、主務大臣制を廃止し、すべての権限等を第三者機関に集約する。他方、案⑤は、第三者機関を主務大臣等の執行を監督する機関とする。案②から案④はその中間的な案であり、数字が増えるにつれて第三者機関の権限が弱くなる。事務局の補足説明では、案②から⑤では、主務大臣も「指導」、「立入検査」の権限等を有するとしている。
パーソナルデータに関する検討会の議論では、案①を理想としながらも、さしあたり案②を現実的とする意見が多く出された。
事務局資料では、案②の「特定分野」を具体的に示しておらず、第6回「パーソナルデータに関する検討会」の議論で、事務局は、「特定分野」に医療は入るが、他にどの分野が入るかは今後検討する旨説明している。既得権益や、他の省庁との同等の取扱いを主張する各省庁とのかけひき次第では、「特定分野」が不必要に広くなるおそれがある。
いずれの案にするかに関し、大綱は、先述のとおり「第三者機関と各府省大臣との...緊密な連携」を想定しており、主務大臣の存在を前提にしている。当面は案①をとりいれない考えのように思える。しかし、案②以下の案では、大綱が目指す行政機関による「重畳執行の回避と効率的な運用の確保」は難しく、弊害も多い。すでに述べたとおり、プライバシー保護機関による調査権限は、実効性を持たせるために、パーソナルデータのみならず関連情報にも及ぶべきである。立入検査は、実態把握のためにデータ処理機器や手段へのアクセスまで含むべきである。このような強力な権限を、「事業者が行う事業を所管する大臣」(個人情報保護法36条1項2号)が行使すると、事業者に対する過度な監督・干渉のおそれが生じるであろう。私的自治の原則からすれば、そのような事態は回避すべきである。あくまでも個人情報ないしパーソナルデータの保護に特化した第三者機関のみが、そのような権限を行使できるとするのが妥当である。
そして、そのような調査権限の差を設ける場合、第三者機関のみが実態を正確に把握できるから、重ねて主務大臣に同様の権限を付与する妥当性も必要性も認められない。
案①を採用する場合の問題は、ただちに十分な予算、人員を第三者機関に付与できるかという点にある。しかし、仮に案①を単なる将来の目標とし、いったん主務大臣のもとに人員・予算を温存ないし設定すると、それが固定化し、単なる問題の先送りになりかねない。いずれかの段階で大胆な人員や予算の移動や設定が必要になるのであれば、制度の創設当初から第三者機関に十分な人員や予算を集約するのが妥当である。
2 組織
先にみたOECD勧告やEUの規則に倣い、完全な独立性と公平性を有し、監督機関の構成員は誰からも指示を受けない仕組みとする必要がある。この点、大綱が示すように、いわゆる三条委員会として独立性が確保されている特定個人情報保護委員会 *22の所掌事務に「パーソナルデータの取扱いに関する事務を追加する」のが現実的と考えられる。
問題は、付与された義務と権限を効率的に行使するために必要な、人的、財政的資源の付与である。たとえば、カナダ(人口約3,500万人)の連邦プライバシー・コミッショナーの人員・支出は、2012年度末時点で職員数176名、年間支出は約2,550万カナダドル(当時の円換算で約23.1億円)であった(カナダでは、他に州単位でもプライバシー・コミッショナーがいる場合があるにもかかわらず、この規模である。)。英国(人口約6,200万人)の情報コミッショナー・オフィスでは、2013年度末時点で職員数376人、年間支出約2,150ポンド(当時の円換算で約36.6億円)であった。その他、フランス(人口約6,600万人)では約160名、ドイツ連邦(人口約8,000万人)では約90名、オーストラリア(人口約2,300万人)で約110名の職員がいる *23。
これら機関と同等の活動を人口約1億3,000万人の日本で行おうとすれば、数百人規模の職員が必要であろう。現在ある特定個人情報保護委員会に、若干の委員や職員を追加する程度では、到底足りない。案①、すなわち主務大臣制の廃止を前提に、各省庁で個人情報保護を担当している職員ないし同数の職員を、出向ではなく第三者保護機関に移籍させるのが妥当である。加えて、民間からの積極的登用によって人材を集め、育てていくべきであろう。
3 第三者機関自体の透明性確保
これまで述べてきたとおり、パーソナルデータの適正な保護を図るため第三者機関が果たすべき役割は重大である。それゆえ、第三者機関自体の透明性を確保し、説明責任を果たさせることも重要である。国会に対する報告のほか、ウェブサイトその他で積極的に情報提供を行っていく必要がある。本稿でもいくつか紹介したが、各国のプライバシー保護機関は、自らの意見を積極的に表明し、ウェブサイト上で公表している。
V おわりに
大綱が力を入れるパーソナルデータの利活用の重要性は否定しないが、利活用と保護との調和を図る際には、いったん侵害されたプライバシーは回復が不可能か著しく困難である、という視点を忘れてはならない。
冒頭述べたとおり、日本における第三者機関の設置は諸外国に遅れをとっている。しかし、遅れている分、他国におけるこれまでの経験に学ぶことができる立場にある。構築が遅れたうえ制度としても不十分なスタートを切り、禍根を残すようなことがあってはならない。
以上
*1: たとえば、「個人情報保護基本法制に関する大綱」に対する意見(2001年2月2日)では、各行政機関から独立した権利侵害の救済機関としての機能を持つ独立行政委員会型の機関設置を提言している。
*3: カナダ連邦プライバシー・コミッショナーが2013年10月11日に行った講演録による。
*4: "Bringing smarter computing to big data." IBM
*5: カナダ連邦プライバシー・コミッショナーが2013年10月17日に行った講演録による。
*6: "Data Brokers A Call for Transparency and Accountability" FTC (2014年5月)
*7: プログラムにより自動的にインターネット上のウェブページのリンクをたどりながら情報を収集する行為。
*8: FTC法6条(b)は、FTCが企業や個人から報告を徴収する権限を有する旨規定している。具体的質問事項は、前掲注6に別紙Aとして添付されている。
*9: 総務省「パーソナルデータの利用・流通に関する研究会報告書」(2013年6月)
*10: 第6回「パーソナルデータに関する検討会」における新保委員発言(議事録15~16頁)
*11: "Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data (2013)" OECD
なお、補足説明を除くガイドラインの和訳を、一般財団法人日本情報経済社会推進協会(JIPDEC)のウェブサイトで読むことができる。
*12: "Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy" OECD
*13: 欧州議会への提案時のテキスト(General Data Protection Regulation / COM/2012/011 final - 2012/0011 (COD))はこちら、2014年3月12日の欧州議会における採択時の改正部分はこちら で見ることができる。 今後、閣僚理事会が採択することにより、正式に規則として成立する。
*14: 前掲注9 総務省「パーソナルデータの利用・流通に関する研究会報告書」(2013年6月)16頁
*16: 自主規制の問題については、牧田潤一朗「パーソナルデータ保護法制における自主規制論」自由と正義 2014年12月号 24頁-31頁
*17: 拙稿「個人情報保護の今後の方向と課題」ジュリスト1253号(2003年)47、51頁
*18: オプトアウトについて規定した個人情報保護法23条2項1号ないし4号には、「第三者の名称」といった事項はない。
*19: "The Case for Reforming the Personal Information Protection and Electronic Documents Act"
*20: 宇賀克也「特定個人情報保護委員会について」季報情報公開・個人情報保護49号(2013年)
*21: 第6回パーソナルデータに関する検討会資料3「第三者機関の体制整備(事務局案)」(2014年3月27日)
*22: 行政手続における特定の個人を識別するための番号の利用等に関する法律36条以下
*23: 各国の人口は外務省ウェブサイトから。カナダ、イギリスの職員数・支出額は、それぞれの機関の年間報告書から。その他は2013年6月総務省パーソナルデータの利用・流通に関する研究会報告書参考資料16による。これらの外国の機関の中には日本における情報公開法の執行も担当している機関があるなど、所掌事務の範囲が異なる場合がある。
■ 弁護士 二関辰郎のコラム一覧
法的若しくは専門的なアドバイスを目的とするものではありません。
※文章内容には適宜訂正や追加がおこなわれることがあります。