98年10月、EUが個人情報に関するディレクティブ(Directive 95/46/EC)を発効させ、その25条は、EU諸国から個人情報を転送する条件として、その受け手である国が適切なレベルの保護(an adequate level of protection)をしていることを必要としています。個人情報の転送はさまざまな場面で用いられますが、特に一般消費者を対象とした電子商取引では、個人情報の転送が必然的なため、適切なレベルにないとされた国とEU諸国との国際的な取引が困難になります。
EUの指令によれば、この適切なレベルについていわゆるブラックリストとホワイトリストを決めることができます(25条4項6項)。そのため昨秋からこれについての米国・EU間の交渉が続けられてきました。米国は自由競争の中で情報関連産業の活性化をはかるという基本的立場がありますから、電子商取引を縛る個人情報保護にはやや消極的なのに対し、EUは個人情報を保護してその安全を確保するとこで電子商取引は真に活性化するという基本的な立場です。
このため、米国は、個々の企業等の自主規制による個人情報保護のガイドラインである"safe harbor"による保護で足りるとしているのに対して欧州は法的な汎用的な強制が必要としてきました。そのほかにもアクセス権・修正権でも米国は産業界にコストの面から不可能を強いることになり、消費者の誤解を招くと消極的です。また、違反の場合サンクションなどにも大きな違いがありました。
このため、交渉は難航すると予想されていましたが、4月19日に基本的合意に達しました。6月のサミットまでに正式な合意を形成する予定です。さらに29日に両者の話し合いが行われ、3日にはEU内での会議があったはずですが、米国がsafe harborのFAQの追加を発表した以外、特に発表はありません。
19日の合意ではEUの委員会は米政府が発表した"safe harbor"の最新版をもって適正なレベルの保護と認めました。
それによるとEU側は"safe harbor"を次のように理解しています。
しかし、"safe harbor"はあくまで自主規制であって、法による強制に比較すればその実効性に疑問が残るわけです。 There are still several areas where the Commission has questions or concerns about the text. At the Commission's request, these will be indicated in a series of footnotes to the text being issued. The Commission is discussing these areas of concern with the Member States.br 疑問点は脚注の形で表示することで合意しています。 また手続き面についてEUは次のように述べています。 The Committee also had a first look at the paper designed to describe the procedures which might be used in cases where an organisation which had adhered to the "safe harbor" did not in fact comply with the principles or where the legality of the possible decision by the Commission might be called into question. The Committee agreed that this was an important, albeit difficult issue (because involving action at many different levels - in the US, in the Member States and at Community level) which required a rapid solution. "safe harbor"を守るとしている企業等が実際には守らなかった場合や委員会の決定の合法性が問題になった場合の手続き気がかりであって、しかも重要な問題ではあるが、早急な解決は困難としています。 それでは米国はどのように発表しているかというと、 The Department and the Commission have also agreed on the key benefits for safe harbor participants. They include: "safe harbor"に参加する企業等には次のようなメリットがあるとしています。
例えばアクセス権について"safe harbor"は次のように定めています。 6. ACCESS: Individuals must have [reasonable] access to personal information about them that an organization holds and be able to correct or amend that information where it is inaccurate. [Reasonableness of access depends on the nature and sensitivity of the information collected, its intended uses, and the expense and difficulty of providing the individual with access to the information. 要するに、組織が保持し、不正確なところをその組織が正確化あるいは修正できる個人情報に個人は[合理的な]アクセスができなければならない。[アクセスの合理性は、集められた情報の性質や敏感性(センシティブ)、意図した利用、その情報にアクセスする事の困難性、費用による。] として、アクセスに高価な費用が必要な場合は合理的なアクセスではないとしています。また、FAQ中でも If the information requested is not sensitive or not used for decisions that will significantly affect the individual (e.g., marketing data that is used to determine whether or not to send the individual a catalog),(2) but is readily available and inexpensive to provide, on an organization would have to provide access to factual information that the organization stores about the individual. とその情報がンシティブ(人種・労組員・信仰など)でないか、あるいは個人に影響を与える使い方をしていない場合には、アクセスにかかる費用によっては認めないこともできるとしています。 個人情報保護について大きく前進はしているものの、欧州の個人情報保護に比べると全体として緩やかだと言えます。そこで、なぜEUはこのレベルの保護で合意したのかという疑問が生じます。その理由は推測するほかはないのですが、指令が効力を発した当初はEU諸国内でも立法化が遅れていた国もあったのですが、徐々に整備が進んでくると米国との関係を白でも黒でもない不安定な状態にのままにしてはおけないという時間的な制約があったこともあるのでしょう。 しかし、もう一つ交渉をしてるあいだに個人情報保護の私的セクターが育ったことも見逃せないでしょう。BBBやTRUSTeなどが、多くの企業などにライセンスを発行するなど実質的に活動を展開しています。商務省が形だけの"safe harbor"を作っただけであれば、この交渉は妥協点を見いだせなかったでしょうが、現に多くの企業が、場合によっては"Safe Harbor"より厳格な私的セクターに参加している事実が、実質的な個人情報の保護と評価されたのではないかと思われます。 個人情報保護において重要な問題は社会に分散している個人情報を収集し、処理することで本人が知らない間にコンピュータ上に本人の像を作ってしまうことにあります。「Aさんはこういう人だ」という人間像が、Aさんの知らないところで作られ、その情報が一人歩きしていくのは個人の尊厳を尊重する憲法秩序の中では、耐え難いものであるという考えが基本にあるわけです。そしてこれを防ぐためにはルールを作るだけではなく、そのルールが社会の中で現に普及することが重要なのです。個人情報保護の私的セクターの普及により、米国社会の中で本人が知らない本人像を作ることが困難と評価されたと考えることができます。これは、あくまで私の推測です。 それではわが国はどうでしょうか。 わが国ではさまざまな政府系の財団・社団法人などが個人情報保護のガイドラインを発表しています。社団法人情報サービス産業協会の「個人情報保護およびプライバシー関連リンク集」からはさまざまな取り組みを知ることができます。 また、最近では、TRUSTeなどの米国の個人情報保護の私的セクターへの参加を検討している企業も出てきているようです。 その場合次の2つの点を考えておくことが必要です。 まず、個人情報保護の内容が適切でなければならないのはもちろんです。この点において、わが国の取り組みは十分な内容をもったものが出て来ていると言えます。 次に考慮すべきは、EU指令の25条は国単位であることです。個々の企業がどのように対応しているかとは関係なく個人情報保護が不十分な国に対しては個人情報の転送を認めないのが原則です。これは、一種の連帯責任のようでやや乱暴なのは事実です。その根拠は個々の企業について判断することは困難だという点にあります。しかし、さらに個人情報保護の性質上の要請とも考えられます。本人が知らない本人像の生成を防止するには、一つの企業だけでは足りず、その国の社会全体が個人情報を保護していることが必要だからです。多くの企業等が持っている個人情報をコンピュータ上に集積し処理して本人像の生成が行われるため、単独の企業の問題ではなく社会全体として考えなければならないのです。 したがって米国の"Safe harbor"が"adequate level of protection"と認められたからと言って、その元にあるBBBやTRUSTeに日本の企業が参加したとしても必ずしも米国内の企業と同視されるとは限りません。また、日本が"adequate level of protection"として扱われることもありません。問題は個々の企業がどうかというのではなく、日本という国の社会が個人情報に対してどのような姿勢を持っているかということです。 そして、現実のわが国の実態はどうかというと、まだ歴史が浅いので単純な評価は難しいのですが、米国の私的セクターへの参加状況と比較すると非常に立ち後れているということができます。通商産業省の「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」に基づくプライバシーマーク制度は通産省関連団体とはいえ、一種の私的セクターによる個人情報保護の認定制度であって米国のTRUSTeなどに並ぶものですが、残念なことに参加団体が少なく、社会的な動きと評価するのはむずかしい状態です。 そのような中で、「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)」が99年3月20日に発表されました。米国のTRUSTeが順調に参加者を伸ばしたのはEFFという草の根の人権団体と民間企業の結合という純粋な民間主導だったからという評価は可能です。その意味では個人情報保護のJIS化はどちらかというと従来の官主導であるということができます。しかし、NPO・NGOが十分に育っていないわが国の現状からすれば、米国型の個人情報保護の私的セクターの発達を早急に望むことはむずかしいと言えます。むしろ、大切なことは個人情報保護のフレームワークをいかに普及するかにあります。その意味ではJISはわが国の産業界になじみが深いだけでなく、国民からの信頼度も高いこと、そしてすでにJIS Z 9900や JIS Q14001などでこのようなプログラムについての実績もあることから日本での普及の拡大には適していると考えることができます。 |