日欧EPAには、国境を渡るデータの自由の確保が盛り込まれると聞いているが、欧州の個人情報保護法強化との関係については整理が必要だ。これまで欧州は日本の個人情報保護法が「ザル法」で、欧州の大事な個人情報を渡して安心できる相手国とは思っていない。日本側からすれば、世界に冠たるプライバシーマーク制度があり、多くの企業は誠実に個人情報を管理し乱用や情報漏えいに尽力していると自負している。
しかし旧来の個人情報保護法を、政府の関与が少なく・独立した個人情報保護(第三者)機関がなく・実効性の低いものと欧州は見ている。したがって、日本は個人情報保護に関しては「未開の国」というのが彼らの理屈。産業界からは、欧州での顧客情報どころか現地の従業員情報すら日本に持ち帰ることに負担が掛かるとして改善の声が上がっていた。その時点で、欧州から日本に個人情報を持ち帰るにはいくつかの方法があった。
(1)情報の主たる個人の同意を受けること。
(2)欧州の中の関係国と個別に、個々の情報について持ち出しについての申請をし認可を得ること。
(3)企業グループとして、個人情報保護に十分な体制等があることを認めてもらうこと。
(4)国もしくは地域として、個人情報保護に十分な体制等があることを認めてもらうこと。
(1)について従業員なら同意してくれるだろうとも思ったが、ある当局者は「雇用の力関係による強制であり、フェアな同意とは認められない」などと言って来た。(3)にはどのくらいのコストがかかるか予想も付かない。(4)は一企業の力ではいかんともしがたい。結局、本当に必要な時だけ、(2)を現地の法曹界にお金を貢ぎながら行うという情けないことになった。面倒なので、(4)を日本全体でなんとかならないか、という企業がいくらか出てきた。(4)を「十分性認定」という。
欧州と米国の間である程度自由な個人情報の越境移動が認められているのは、(3)と(4)の中間あたりに設定された「セーフハーバー協定」(現行のプライバシー・シールド)があるからで、数年前から日欧間にもそういうものを求める意見が徐々に多くなってきた。このたびの日本の個人情報保護法の改正はこれも意識して成されたもので、第三者機関の設置などで国際基準に名実とも達するようにしたものである。
法改正とその実施体制整備が進んでくると、日欧間でどういう協定を結ぶかという議論になった。選択肢は大きく分けて2つある。
・欧州に対して、日欧間の相互に自由な個人情報交換が出来るよう、双方向の協定を持ちかける。
(4)国もしくは地域として、個人情報保護に十分な体制等があることを認めてもらうこと。
(1)について従業員なら同意してくれるだろうとも思ったが、ある当局者は「雇用の力関係による強制であり、フェアな同意とは認められない」などと言って来た。(3)にはどのくらいのコストがかかるか予想も付かない。(4)は一企業の力ではいかんともしがたい。結局、本当に必要な時だけ、(2)を現地の法曹界にお金を貢ぎながら行うという情けないことになった。面倒なので、(4)を日本全体でなんとかならないか、という企業がいくらか出てきた。(4)を「十分性認定」という。
欧州と米国の間である程度自由な個人情報の越境移動が認められているのは、(3)と(4)の中間あたりに設定された「セーフハーバー協定」(現行のプライバシー・シールド)があるからで、数年前から日欧間にもそういうものを求める意見が徐々に多くなってきた。このたびの日本の個人情報保護法の改正はこれも意識して成されたもので、第三者機関の設置などで国際基準に名実とも達するようにしたものである。
法改正とその実施体制整備が進んでくると、日欧間でどういう協定を結ぶかという議論になった。選択肢は大きく分けて2つある。
・欧州に対して、日欧間の相互に自由な個人情報交換が出来るよう、双方向の協定を持ちかける。
・いくつかの国がしているように、欧州に日本の「十分性認定」をしてもらい、片方向ではあるがデータ移転をできるようにする。
<続く>
