2021-06-03 第204回国会 参議院 厚生労働委員会 第22号
そこで、EUの一般データ保護規則というGDPRというものがあります。ここでは、保障された権利ということで、アクセス権、そして訂正権、これ、いずれも規定しているんですね。個人情報、プライバシーを保護するために基本的な制度整備、これを同時に行う私は必要があるというふうに思うんですね。 自分の個人情報、データを提供する際、データ提供に今回なるわけですね。
そこで、EUの一般データ保護規則というGDPRというものがあります。ここでは、保障された権利ということで、アクセス権、そして訂正権、これ、いずれも規定しているんですね。個人情報、プライバシーを保護するために基本的な制度整備、これを同時に行う私は必要があるというふうに思うんですね。 自分の個人情報、データを提供する際、データ提供に今回なるわけですね。
EUのGDPR、一般データ保護規則は、そうならないようデジタル化に対応した個人情報保護の強化を図るために作られました。また、EUでは、自分のデータを自分で管理するデジタル民主主義の取組、個人起点のデータ流通システムが始まっています。こういう方向にこそ、監視社会ではなく、真に人々の暮らしのためにデジタル化を生かす道があるのではないでしょうか。このことを強く指摘をしたいと思います。
また、国の行政機関や地方公共団体における個人情報の取扱いについては、個人情報保護委員会が独立した立場から監督を行うようになることから、GDPR、EU一般データ保護規則を始めとする国際的な制度の調和を図ることができるようになります。
EUで、GDPR、一般データ保護規則の実効性を裏打ちしているのは、司法裁判所の判例が基本権憲章の保障する私生活の尊重の権利や個人情報の保護を求める権利に適合的に解釈を発展させてきたことにあります。日本でも、プライバシーを含むデジタル社会における人格権の保障について議論が深められるべきものと思います。
一方、二〇一六年に制定されたEU一般データ保護規則、GDPRは、その前文の冒頭に、個人データの処理に関連する自然人の保護は基本的な権利の一つであると記しているんです。個人データの処理、ここに関係した人の方の人間の保護、基本的な権利の一つとしてこれを保護するんだということがまず明記されているんですよ。 これは歴史的な経緯があります。
今、漏れてしまった情報をどうやって回復するのかということについて、例えば、欧州連合、EUにおいては、一般データ保護規則、GDPRというような規則といいますか法律があって、個人が自分の個人情報を管理する権利、自己情報コントロール権というのが定められているわけですが、我が国の個人情報保護法には、そういう固有の権利としての自己情報コントロール権というのは明確には規定されていない。
EUの一般データ保護規則、いわゆるGDPRでは、忘れられる権利を含めた自己情報コントロール権が規定されています。また、衆議院の附帯決議においても、今後必要な措置を講ずる旨の内容が盛り込まれました。こうした状況を踏まえて、今後、この問題に政府としてどう対処する方針でしょうか。
なお、GDPR、EU一般データ保護規則も、自己情報コントロール権を具体的な権利として規定しているものではなく、個人が自己のデータの取扱いに主体的に関与するための規定を個別に設けているものと承知しております。 個人情報保護法の改正案についてのお尋ねがありました。
だからこそ、EUにおいては、一般データ保護規則、GDPRの中で消去権、いわゆる忘れられる権利を規定しており、先日衆議院で可決したデジタル関連法案においても、自己情報コントロール権であったりデータの保護権について激論が行われたという背景があります。
やはり、公的部門の方が、先ほど、個別の条文の比較で、勧告権限にとどまっているというところがありましたが、これが欧州の場合は、行政機関もきっちりチェックをして個人情報の保護をやった上で、民間部門で一般データ保護規則等のようなもので、行政機関プラス民間部門の保護ということができているところですが、まだ日本は縦割り行政の影響下で、個人情報保護委員会の権限がやはり弱かった、全くなかったところを、今回、統一法
EUの、今までお話が出ていましたGDPR、一般データ保護規則なんですけれども、これもかなり先行していまして、いっときは、特に米国といろいろなもめごとがあったり、また我が国でも、民間企業がそれに合わせていくのにいろいろな問題もありました。
○森山(浩)委員 国際的にどう見られているかという部分で、EUの一般データ保護規則、GDPR、これと我が国の個人情報保護の制度の関係ということで、補完的ルールを含めて御説明ください。
個人情報の保護が重視をされていて、一般データ保護規則においてEU域内から域外への個人データの移転を原則として禁止としております。
他国の政策、規則の背景につきまして我が国として解釈する立場にはございませんけれども、委員御指摘のとおり、EUは個人データの保護に対する権利というのを基本的な権利として位置付けておりまして、この観点から、個人情報保護を目的として一般データ保護規則、GDPRを定めていると承知しております。
EU離脱で英国には一般データ保護規則、GDPRが及ばなくなるもとで、個人情報保護や中小企業の利益よりも、GAFAに代表される巨大プラットフォーマーの利益を優先し、ビッグデータを制約なくビジネスに活用させるものではありませんか。 英国は、昨年九月以来、日英自由貿易協定、FTAの意見聴取を実施し、交渉目的や影響試算も公表されてきました。
なお、英国政府は、個人情報保護については、EUの一般データ保護規則、GDPRの保護水準を維持した英国版GDPRの導入を発表しておりまして、これまでの個人情報の保護レベルは維持されるものと認識をしております。(拍手) ―――――――――――――
また、見直しに当たっては、EUにおけるGDPR(一般データ保護規則)など諸外国の事例を参考にすること。 十二 新型コロナウイルス感染症の感染拡大防止のための接触確認アプリ等のツールを導入する際には、諸外国における活用の実態と課題を踏まえ、個人に関する情報の収集範囲や利用プロセスの透明性を確保するとともに、利用目的を明確にし、収集する情報は必要最小限のものとすること。 右決議する。
個人情報の厳格な保護法制、一般データ保護規則、GDPRを定める欧州ですら、イタリアやスペインでの感染爆発で風向きが変わって、世論調査でも、ウイルスの感染拡大に役立つならば自分の人権をある程度犠牲にしても構わないと答えた人の割合が七五%に上ったそうです。
○国務大臣(梶山弘志君) 委員御指摘のデータポータビリティーの権利は、EUの一般データ保護規則において、企業などに提供しました個人データを機械的に処理可能な形で受け取る権利、技術的に可能な場合に自らの個人データをある企業から別の企業に直接移行させる権利として定められておりますけれども、実務的課題などもあり、EUでも広く活用されている状況にはまだ至っていないと承知しております。
今回、EUでは、一般データ保護規則、GDPRに入っておりましたけれども、自己に関する個人データを消去する権利、つまりは、いわゆる忘れられる権利、これがEUにはありますけれども、今回の法改正では、この忘れられる権利というのは盛り込まれませんでした。私たちの我が国においては、今後どのようにすべきと考えているのか。プライバシー権や表現の自由との関係も含めた考え方と、現在の検討状況を伺わせてください。
じゃ、続いて、データポータビリティーについて伺いたいと思うんですが、EUでは、一般データ保護規則、GDPRですね、の中で、そもそもデータの所有者は個人であるという考えから、個人情報を対象にしたデータポータビリティー権というのが認められています。
今委員の御質問の中にもございましたとおり、EUにおいては、二〇一八年から施行されております一般データ保護規則、GDPRというのがございますけれども、これに基づきまして、いわゆるデータポータビリティーの権利というのが導入をされております。
○笠井委員 今お答えありましたけれども、EUは、一般データ保護規則、GDPR違反でも、全世界年間売上高の四%以下の制裁金などを設定しているということで、フランス当局はグーグルに五千万ユーロ、約六十二億円の制裁金を課したわけであります。 では、日本ではどうかというと、日本でGAFAなど巨大なデジタルプラットフォーマーに独禁法違反で課徴金納付命令を出したことはあるでしょうか。
外国法人に対する法規制としては、二〇一八年、EUにおいて、一般データ保護規則、GDPRが導入をされました。これは世界で最も厳しい個人情報保護のルールと言われております。例えば、フランスが、昨年一月、個人情報の取扱いを適切にしていなかったとして、グーグルに対して制裁金五千万ユーロ、約五十九億円の支払いを命じた事例が挙げられます。
EUでは、人間の尊厳の観点から、プライバシー権、個人情報の自己コントロール権を保障する一般データ保護規則、GDPRが制定されました。ところが、日本では逆に、個人情報の商業利用を促進し、違反を抑止するための課徴金すら盛り込まない個人情報保護法改正を行おうとしています。プライバシー権を更に侵害しかねません。答弁を求めます。