個人情報保護と個人データの国際流通は車の両輪
―「クラウド」の国際競争力強化―

　個人情報保護法及び行政機関等個人情報保護法など関連法が全面施行されて5年が経過しました。1980年9月に、OECDが有名な「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告（OECDプライバシー・ガイドラインと呼ばれている）」を採択して、後れること四半世紀、ようやくに施行されたものです。この間、EU始め世界各国では個人情報保護と個人データの国際流通の両面についての理解と法制、そして経済的取引・市場が大きく進展して来ましたが、日本ではマスコミの論調も含めてどうしても個人情報の保護にのみ焦点が当たり、かつ、個人情報保護の関連法制では民間部門と行政機関等では監視・監督する仕組みが大きく異なるなど、国際的な整合を欠く姿となっています。

　そもそも、国際的に端緒となった1980年OECD理事会勧告では、「加盟国間の情報の自由な流通を促進すること及び加盟国間の経済的社会的関係の発展に対する不当な障害の創設を回避することを決意し」勧告、とされているとおり、プライバシーと個人の自由の保護に係る原則、それと、プライバシー保護の名目で個人データの国際流通に対する不当な障害を創設することを除去し又は回避することの両面を扱っています。つまり、個人データの国際流通のためにはプライバシー保護が必須の条件であり、その原則をOECD加盟国が国内適用するよう勧告しているものです。OECDは早い段階から、プライバシー保護と個人データの国際流通に係る国内法が個人データの自動処理及び国際流通を妨げる恐れがあることを指摘していました。

　前述のとおり、我が国において個人情報保護法と行政機関等個人情報保護関連法が2005年に全面施行されて5年経ちますが、この間特に個人情報の取り扱いについて過剰な反応が見られたことは残念なことです。保護は流通を促進し、流通は保護を深化させることが本旨です。

　法施行後の最近の5年間でICTの世界では、コンピュータの仮想化技術と通信のブロードバンド化が一段と進展し、いわゆるクラウド化が大きく発展して個人データはもはや国際的流通（国境を越える流通）が当たり前になっています。データセンターは国内に存在する訳ではなく米国はじめ世界各国に置かれ、クラウド技術に拠って分散して複雑な過程を経て処理・蓄積・加工されるようになっています。まさに、経済面では国際流通が先行しており、各国の事業者が国際的な競争を展開しています。

　ICT先進国を追求する日本では政府の経済成長戦略において、さまざまな分野・レベルでのICTの利活用を取り上げて成長の柱に据えている一方で、どうしてもテクノロジーやエコノミーに片寄って目が向いてしまい、本質問題が見過ごされていることに懸念を持っています。技術や経済面では、データセンターの空洞化、電力コストの高さ、コンテナ型データセンターに関する法規制など環境整備を訴える声は産業界に強くあり、このままでは日本がICTリソース輸入国になるとの危惧が指摘されています。これは、もっともなことです。

　しかし、これだけでは本質を見過ごしてしまいます。個人データの国際流通は個人情報の保護が十分になされてこそ成立することを忘れてはいけません。日本には、まだ2つの大きな問題が存在します。

　第一は、個人情報保護の統合的な監視機関が日本には存在しないこと。
第二は、1998年発効の「EUデータ保護指令」の適用上、日本は個人データのEUからの移転が認められる第三国となっていないこと、即ち、日本はいまだプライバシー保護が十分な国とは認められておらず、日本のデータセンター／クラウドではEUの個人データを取り扱うことが法制上困難となっていること（例えば、日本にある親会社にとってEU域内にある子会社の現地採用社員や関係者の個人データを本社で取り扱うことが難しい）の2点です。

　第一の点については、政府の消費者委員会個人情報保護専門調査会で取り上げられるようであり議論が深まることを期待したい。日本の個人情報保護法制では、（1）民間部門については主務大臣が監督していますが、（2）行政機関等については客観的な監視機能を欠いています。両者を統合して全体を監視・監督する独立個人情報保護機関（いわゆる各国のプライバシー・コミッショナーのような存在）が求められます。特に政府の成長戦略の中で、具体化が進められている国民IDや共通番号の推進にあたって法整備が必要となります。まさに、保護と流通を両立させることこそ新たな経済成長戦略であり、我が国のICTインフラ整備の第一歩だと考えます。

　第二の点については、日本のクラウド・サービスの国際競争力の問題です。我が国が国際的な、特に発展著しいアジアの成長を取り込む経済成長戦略を図る場合、ICTリソースの輸出を追及することになりますが現状のままではデータセンターの設置はシンガポールなどに遅れを取ることになるでしょう。物理的・技術的なインフラ整備・支援だけではなく、法制度面、特に個人データ流通時の個人情報保護という基本問題の法整備が必要です。既に「クラウド」では個人情報は国境を超え、世界中で情報処理・蓄積・加工されています。プライバシーや個人情報保護の国際的整合性が求められています。日本の個人情報保護法制はOECDのプライバシー・ガイドラインに遅れること25年、EUデータ保護指令に遅れること7年、5年前にようやく全面施行されましたが、まだ、保護と流通、国際的整合性の両面において進展が十分でなく、特に官の情報の取り扱いまで対象とした独立個人情報保護機関の設置が必要です。こうした保護と流通のバランスの深化によって国際的整合の分野においてイニシアティブを取ることができるようになるものと思います。EUデータ保護指令はEU市民の権利保護を謳っていますが、別の角度から見ればEU統合による国際競争力の源泉ともなっているものです。ICT分野における経済外交戦略の課題でもあります。

　政府はICTリソースの輸出国としてアジアの成長を取り込んで経済成長を図り、また他方、遅れている国民ID・共通番号の整備を進めて社会のインフラとしてICTの国民レベルの利活用を進める戦略を打ち出しています。個人情報の保護と流通の整備がもっと早く行われていれば、いわゆる「消えた年金」問題や高齢者の所在不明などの公的部門の課題解決も進んでいたでしょう。

　ICT分野を活かした日本の国際競争力強化のためにも、目に見える技術や経済面の取り組みに止まらず、社会のインフラたる国際的に整合のとれた個人情報保護と個人データ流通の法整備が早急に進むことを期待したい。