今、EUと同じレベルで個人情報保護が担保されているか、EUが確認をする十分性認定に係る交渉の過程で先方から、捜査関係事項照会による個人情報取得の範囲が明確ではない、そうした指摘があったのは、ここは事実であります。その後に、日本側との対話を得て、我が国の法制度が十分である、そうした理解を今得られているところであります。
今回の法案改正では、EUのGDPRに基づく十分性認定、国際的な制度の調和、これを図るということが一つの立法事実として示されてきたわけでございます。
このため、現行の個人情報保護法の下で我が国の学術研究機関等にEUから移転される個人データにつきましては、EUのGDPRに基づく十分性認定の効力が及ばないこととなってございます。このことから、我が国の研究機関がEUの研究機関と個人データを用いた共同研究を行う際の支障となっているとの御指摘がございまして、この点に関して、十分性認定を取得するニーズがあるものというふうに認識をいたしております。
もっとも、個人データの域外移転を認める十分性認定の効力は、委員会の権限が公的部門に及ばないために民間部門に限られ、また、義務規定の適用が除外される研究機関等にも及んでいないというのが現状でございます。
その上で、いわゆる十分性認定とは、EUのGDPR第四十五条に基づき、欧州委員会が、特定の国又は地域等について、GDPRの規律に照らして十分な水準の個人データの保護を確保していることを認める決定というふうに承知しております。
○政府参考人(福浦裕介君) 委員御指摘の意見書は、欧州委員会が十分性認定を行う前に欧州データ保護会議により公表された、日本における個人データの保護に対する十分性認定を施行する欧州委員会の草案に関する意見書であるというふうに認識をいたしております。
我が国の個人情報保護法の規律は、GDPRの規律に照らし十分なレベルの保護を保障しているとして、平成三十一年一月に欧州委員会より個人データの越境移転に関する十分性認定の決定が行われており、これを踏まえるならば、EUのGDPRと日本の個人情報保護法とは実質的に見て同等であると言えるのではないでしょうか。
○田村智子君 今の十分性認定についてはまた後日たっぷり議論したいというふうに思うんですけれど、不十分点がいっぱい指摘されていますし、何より、先ほど私が言ったような個人情報に対する哲学がない。EUと日本は決定的に私は違うというふうに思います。 では、デジタル改革の議論でプライバシー権がどう議論されたのか、これも見てみたいと思います。
今改正案におきましては、学術研究分野を含めたGDPR十分性認定への対応を目指し、安全管理措置や保有個人データの開示等の義務については学術研究機関にも適用することといたしております。 加えまして……(発言する者あり)
そして、何より重要な点としましては、個人情報保護委員会の監督権限、より具体的には、報告、資料提出の求め、実地調査、指導助言、勧告の各権限が公的部門に広く及ぶようにすることで、越境データ移転に係るいわゆる十分性認定の対象範囲を広げるための制度的基盤が整備されたということを積極的に評価しております。
そうはいっても、ヨーロッパは、越境データ移転規制の十分性認定の規定を持っている地域ですし、どうしても第三国としては沿っていかないといけない。
さらに、令和二年改正で、罰則の強化ですとか、よりいわゆる越境データ移転に関する十分性認定に即した形の規定の強化が図られた。さらに、それを更に拡大する形で、今回の令和三年改正で、公的部門に対する監督権限が入ったということです。
改正案では、学術研究分野を含めたGDPR十分性認定への対応を目指し、これは先生のおっしゃるとおり、三本あるということ自体が非常に問題であったわけで、安全管理措置や保有個人データの開示等の義務については、学術研究機関にも当然適用することになります。
また、我が国の個人情報保護法の規律は、GDPRの規律に照らして十分なレベルの保護を保障しているということで、二〇一九年一月に欧州委員会によりまして、個人データの越境移転に関する十分性認定の決定が行われております。これを踏まえますと、個人情報保護法とGDPRとは実質的に同等の保護水準になるというふうに考えてございます。
長年の課題であった、いわゆる二千個問題が解決され、個人情報保護とデータ流通の両立が期待されますし、GDPRへの十分性認定に関する対応など、国際的制度調和を図る上で非常に重要な改正だと思います。 加えて、データの利活用の在り方は、今後の国際秩序の在り方に大きな影響を与え得るものです。
その上で、委員御指摘のGDPRに関しては昨年一月に、我が国の個人情報保護委員会においては、個人情報保護法に基づき、個人情報の保護のレベルが日本と同等である国としてEUの指定を行い、また欧州委員会においても、GDPRの規律に照らし、我が国の個人情報保護法の規律が十分なレベルの保護を保障しているとして、個人データの越境移転に関する十分性認定の決定を行ったところであります。
○真山勇一君 常習性認定していないって、とっても不思議じゃありませんか、皆さん。だって、つまり、普通、事情を聞くときというのは、そのときではなくてふだんどうだったのかということなんかも調べますね、検察のプロですから。それで、聞き取りでそういうことができていたのに、その結果を今処分の中に含めないで処分したということは、これ不十分な処分をしたとしか思えないんですよ、やっぱり。
その中で、米岡さんという委員が、この方は公益財団法人日本適合性認定協会事務局長というお立場の方でありますけれども、この米岡委員が次のとおり述べておられます。読み上げます。 私がやっぱり懸念していますのは、マネジメントシステムをひょっとしたら、文書の整理とその文書化が肝腎なところだというふうに思われていらっしゃるのかなと。
まず、私が、二十二日のこの衆議院の法務委員会でそのレートについて御説明をいたしましたが、レートが唯一、黒川検事長の処分を決める際、処分量定の際の要素となるものではございませんで、例えば、私、そのときに申し上げていることでございますが、旧知の間柄でという、やっているメンバー、先ほども別の委員からの御質問のときに、常習性認定としてということで申し上げたところでございますが、そういったものも全て考慮しておりますので
逆に、欧州委員会からも、GDPRに基づいて我が国の十分性認定が決定をされました。言いかえれば、個人情報保護の水準が同等であるとお互いに認め合って、日・EU間で円滑な個人データの移転ができるようになりました。
先ほど大臣の御答弁にもございましたGDPR、十分性認定、EUは個人情報の取扱いに大変厳しいと言われている。そうしたところと日本と相互に、お互いの個人データが、しっかりと保護レベルが同等だという決定のもとで流通していくということになります。
これに対して政府関係者の談ということで、十分性認定が更新される二年後が不安、その場しのぎの言いわけだったと批判されても仕方ない内容だったのではないか、あの文書はという問題意識が書かれている記事であります。まず、きょうはこの二点について。
私もこの議事録をぜひEUにも見ていただきたいと思っていますけれども、それがあったときに、もし十分性認定が取り消されたら、日本そして日本企業に対してどういう影響、要するに、一度認定されたものが取り消されて、どうなるんですか。
まず、この文書について、若干御説明がありましたが、この文書というのは、欧州委員会が十分性認定の手続を開始した二〇一八年九月、これに答える形で提出し、そして、結果、ことしの一月二十三日に欧州委員会による十分性認定を、この文書、そのほかいろいろ説明をしていると思いますが、得たものでございます。
日本に対する十分性認定については、欧州委員会が、日本の現行の法律、枠組みを前提として十分なレベルであると判断されているものと承知しております。 仮に十分性認定が取り消されることになった場合に、個人のデータの円滑な移転に支障を来すおそれがございまして、日、EU活動事業者双方に追加的な負担が生じかねないことから、個人情報委員会において適切に保護、運用していることが重要であると考えております。
外部からの監督が十分に機能している、プライバシー意識の高まりで企業は余り照会に応じない、こういうふうに日本政府がEUに説明をしているけれども、政府関係者の弁として、その場しのぎの言いわけだったと批判されても仕方がない、十分性認定が更新される二年後が不安だ、こういう記事ですし、私、記事をただ紹介するだけじゃなくて、まあ、そういう面はあるよねということは、きょう、この場の質疑でも一定程度伝わったのではないかと
その上でなんですけれども、二号認定の保育の必要性認定の基準というのは、保護者の就労時間、月四十八時間から六十四時間の間で自治体が定めたものとされていまして、うちの地元のさいたま市なんかだと、待機児童が結構いることもあって、就労が月十六日、六十四時間以上の基準となっています。
十分性認定とは、GDPR第四十五条に基づきまして、欧州委員会が、特定の国又は地域等について、十分な水準の個人データの保護を確保しているということを認める決定でございます。GDPRでは、個人データをEUから第三国又は地域などへ域外移転する場合は、一定の要件を満たす必要がございまして、十分性認定がなされた国又は地域などに対しては個人データの域外移転が適法に行うことができるものと承知をいたしております。
この点において、日本政府は、欧州委員会からの十分性認定、そういったものの取得を目指しているというふうに聞いています。この十分性認定とは一体どういうものなのでしょうか。
十分性認定を受けることができたら、個人データを域外に適法に移転することができる、そういったことで、これは非常にこの認定を受けられるかどうかは重要なものだというふうに思いました。
まだまだそういう意味じゃ三十二社のうちの十社ということでございますので、協議会の方では認定マークを作って、また一般消費者への周知を図る等の取組を進めておるところでございますけれども、今後、このような取組を含めまして、この実効性、認定制度の実効性が高まることを経産省としては期待をしていると、こういうことでございます。