2018-05-16 第196回国会 衆議院 経済産業委員会 第11号
現在、EUにおけますデータ保護法制は、EUデータ保護指令に基づき、EU各国においてその内容を担保する国内法が施行されております。そのため、事業者は、その活動が行われる国ごとに、それぞれの国内法への対応が必要でございます。 議員御指摘のとおり、本年五月二十五日から、EU域内にいる個人の個人データを保護するためのEUにおける新しい統一的なルールでありますGDPR、一般データ保護規則が施行されます。
現在、EUにおけますデータ保護法制は、EUデータ保護指令に基づき、EU各国においてその内容を担保する国内法が施行されております。そのため、事業者は、その活動が行われる国ごとに、それぞれの国内法への対応が必要でございます。 議員御指摘のとおり、本年五月二十五日から、EU域内にいる個人の個人データを保護するためのEUにおける新しい統一的なルールでありますGDPR、一般データ保護規則が施行されます。
OECDの一九八〇年ガイドラインやEUの一九九五年データ保護指令などの国際的な取り組みと各国におけるデータ保護法の整備が共鳴する形で、プライバシーの実現が進められてきました。
個人情報保護法の改正に当たっては、いわゆるEU個人データ保護指令第二十五条の規定に基づく十分性認定を得ることが大きな課題であったというふうに宇賀参考人は論文でも書いておられますし、答弁されました。その際、一番大きな課題が、当時個人情報保護のための独立した第三者機関が設置されていなかったことだと述べているわけです。
EUには、分野横断的なデータ保護指令があります。これは、EU加盟国にパーソナルデータ保護のための独立した監督機関の設置を義務付けているものでもあります。また、EU域内から第三国への個人データの移転は十分なレベルの保護措置を確保しているということが条件になっております。
○国務大臣(高市早苗君) EUのデータ保護指令につきましては、これに代わるデータ保護規則が本年四月に成立しており、二〇一八年五月から加盟国に適用される予定だと伺っております。
次に、個人情報保護委員会の役割、位置付けについて宇賀参考人、清水参考人にお伺いしたいと思うんですが、昨年の改正の個人情報保護法では、EU個人データ保護指令二十五条を非常に強く意識されてやられたと思うんですが、そこで民間部門の個人情報について一元的に監督する個人情報保護委員会が新設をされた。
その中で、一九九五年のEU個人データ保護指令によって、九八年十月までに、国内の個人データ保護法を統一せよ、EU個人データ保護指令に即して法整備を図れということで、各国平準化を図った国内立法をしたわけでありますが、その思想は、やはり域外とのデータ交換にあっては十分性を見きわめて、EUの保護水準に達していない国との間ではデータ交換するなよという思想のもとで、基本権をベースに構築された。
一枚めくっていただきまして、三ページですけれども、具体的にEUのデータ保護指令二十九条作業部会の方で、どういったケースで同意が不要で、どういったケースで同意が必要かというような具体的な例示が出ております。
誰が判断をしているかといいますと、大体この三ページ目の上の見出しのところに書きましたけれども、EUのデータ保護指令の第二十九条作業部会というところがそういった草案を作って、最終的には、EUの各国で第三者委員会のようなところがございますので、そこの方で判断をしていくというようなことになっております。
城田参考人に何問か聞きたいと思いますが、この参考資料の三ページでEUのデータ保護指令のお話がありました。分かりやすく、ピザ屋さんの情報をどう加工するか、本人同意が必要な場合と必要でない場合、非常に分かりやすかったんですが、このEU指令ではどういう基準でこの二つを区別するのか、基準があるのかどうか。それから、誰がどのように決めるのか、区分けするのか。
EUにおきましては、一九九五年に定めましたEUデータ保護指令、この指令というのはEU各国にこれに基づいて法律を作るようなものを要請するというものでございまして、この指令そのものが法規範を持つものではございません。それに基づきますと、個人データの取扱いに関する助言を行う機関として二十九条作業部会、これは各国にそういう立法を助言する機関でございます。
特にEUデータ保護指令とかデータ保護規則とかの関係で、十分性の認定ということがございます。 これまで、日本はまだ十分性の認定を受けていない。まだ不十分だ。だから、諸外国とやりとりをするときにまだ十分なことが行えないということであります。
やはり、機微情報の特別の保護については法律自体に定めることが望ましく、地方公共団体の個人情報保護条例の大半は機微情報についての特別の保護規定を設けておりますし、EU個人データ保護指令におきましても機微情報についての規定を設けております。
また、EUにおいては、平成五年の設立後すぐの平成七年に、EUデータ保護指令が採択され、パーソナルデータが厳格に取り扱われており、中でも、個人情報のEU域外への第三国移転については、当該第三国が十分な水準の保護措置を提供している場合でなければ、移転できないようになっています。これをEUの十分性認定といいますが、我が国は、EUの十分性認定を得られておりません。
第二点は、当初の利用範囲は社会保障・税に限られるけれども、今後、利用範囲の拡大が想定されることから、EUのデータ保護指令ですとか、プライバシー・バイ・デザイン、PETsといった、国際的な考え方に対応した措置を講ずるべきであるというふうにいたしました。
○堀部参考人 欧州のデータ保護指令というのがございまして、そのデータ保護指令は、一九九五年の十月二十四日に採択されて、一九九八年の十月二十四日に発効いたしました。
例えば、EUにおきましては、今般この法案でも同様の対応をすることとなっているいわゆる名簿の提供、EUにおきましてはPNR、パッセンジャー・ネーム・レコードの提供、搭乗者名簿の提供の問題が議論がなされたわけでありますけれども、この際には、米国への搭乗者名簿の提供については、EUの個人データ保護指令、これに基づく規制ということで、各国が法令に基づく第三国への国内からの個人データの移転を制限しております。
また、海外、国外への個人情報の提供につきましては、これは例えばEUと比較いたしますと、EUは個人データ保護指令という指令を制定しております。この指令に基づきまして、EU域外の国に対して個人データを提供するに当たっては、その相手方の国の個人情報の保護制度、そのレベルが十分なレベルに達しているかどうかということが条件となっております。
第三に、EU個人データ保護指令に照らしても不十分なプライバシー保護、強権的権力行政機関に情報提供の道が残されること、他の個別法令によるコードの開示に対する歯どめがないこと、際限のない行政機関による内部データベース作成が防げないことなどのデータマッチングやデータベース作成の禁止の保障の不十分性、住民票コードの変更の記録の取り扱いの問題など、プライバシー保護の不十分性であります。
第三に、EU個人データ保護指令に照らしても、不十分なプライバシー保護、強権的権力行政機関に情報提供の道が残されること、他の個別法令によるコードの開示に対する歯どめがないこと、際限のない行政機関による内部データベース作成が防げないことなど、データマッチングやデータベース作成の禁止の保障の不十分性、住民票コードの変更の記録の取り扱いの問題など、プライバシー保護の不十分性です。
私は、先般の地方行政委員会に通産省の機械情報産業局長さんをお呼びして、EUの個人データ保護指令の発効を受けて我が国とEUとの交渉の進展状況をお尋ねいたしましたところ、EU側が何をもって個人データ保護について十分なレベルだとする権原が不明であり、四月九日にブラッセルで協議を始めたばかりとのお答えがありました。
包括的な対応はやっていないわけでございますけれども、そこでEUのデータ保護指令との関係で論議があるわけでございまして、この両国の間で議論が進められているのは事実でございます。
EU個人データ保護指令の発効を受けて、我が国より個人データ保護の面で進んでいる米国でさえ、EUと協議に入っているとも聞いております。