従業員情報だけではなく、機器が吐き出す情報まで「越境」だとめくじら立てられるようになると、BtoB型の日本企業まで困るかもしれないと前回書いた。本項の最後に「越境データ移転」の手段について整理しておこう。
よく聞かれるのが「十分性認定を取るべきか」という議論。十分性認定とは、EU委員会が国や地域あるいは特定分野についてそこは十分な個人情報保護が図られていることを認定するというもの。スイス・アルゼンチン・イスラエルなどが認定を受けていて、これらの国等にはEUから個人情報を持ち出すことができる。
認定条件に「独立したデータ保護機関の存在」があるので、これまでの日本の個人情報保護法制では、認定を取れる可能性は無かった。今回の改正で「個人情報保護委員会」ができたので、交渉に入ることはできると言われている。
十分性認定が無くても、データ持ち出しが可能になるケースはある。持ち出し主体に適切な安全管理措置があれば、持ち出し可能というのがそのひとつ。企業などが定められた「拘束的企業準則」を守るとか、標準契約条項に基づく移転であるとか、いくつかの条件がある。
さらにそれらが無くても、データの主体(要するに個人)の同意があるとか、個人との契約履行に必要な場合や、個人の生命・財産等を守るために必要な場合などは、例外的に移転が許可される。契約履行とは、例えば旅行保険に入った人が保護法制が十分でない国に旅行中にケガをしたので、保険料を払うような場合を想定して欲しい。旅行先の国へ契約者個人の情報を送らなければ、治療すら出来ないかもしれない。これは契約でもあり個人を守るためにも許されてしかるべきであろう。
例外事項はさておき、面倒なので日本国まるごと十分性認定をとろうという話は、当然ある。そういう考えを持った企業が政治家等に働きかけると、政府内にも「民間が言うんだから、取りに行くか」という気運も揚がる。ただ、十分性認定は日本からEUにお願いして「よろしい、よろしくない」と一方的に言っていただくもので、好ましくないという意見も外交筋中心にある。外交は双方向であるべきで、お互いに越境データを認めましょうということ。
いずれにしても、政府内で方針が決まらなくては仕方がない。今年初めに、内閣官房・外務省・経産省・総務省と個人情報保護委員会を入れた局長級の調整会議が発足したと聞く。十分性を取りにいくにしても、双方向で妥結を狙うにしても、相手はガンコ極まりないEU委員会、長い戦いになるだろう。まずは足並みを揃えていただいて、交渉をお願いしたいものです。
<初出:2017.3>
