2016 Fiscal Year Research-status Report
個人情報の不正取得・漏えいに関する法制度及び運用状況の各国比較
| Project/Area Number |
15K03237
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
石井 夏生利 筑波大学, 図書館情報メディア系, 准教授 (00398976)
|
|---|
| Project Period (FY) |
2015-04-01 – 2018-03-31
|
| Keywords | プライバシー / 個人情報 / 情報漏えい / データ侵害通知 / データブローカー |
|---|
| Outline of Annual Research Achievements |
本研究の目的は、個人情報の不正取得・漏えいに関する法制度及び運用状況の各国比較を行うことにある。2016年度は、国際情報処理連合の第12回International Human Choice and Computers Conferenceにおいて、日本、米国、英国の情報漏えいに関する比較をテーマとした研究報告を行った。研究成果は査読を経て共著論文として発表した。
また、2016年度はフランス及びドイツの調査を行う予定でいたが、EUの一般データ保護規則が同年4月に採択されたため、EU加盟国は同規則の直接の適用を受けることとなる。同規則の適用開始は2018年5月であり、それに向けて各国が遵守の準備を進めなければならない。本研究では、フランス及びドイツにおける具体的な事例の調査について、主に資料調査によって継続して行ってきた。他方、同規則の定めるセキュリティ、データ侵害(漏えい等)が発生した時における、監督機関や被害者への報告・通知制度への対応について、これまでの各国法に基づく実務に踏まえてどのように行うかという点が、各国共通の問題となる。そこで、2016年度は、フランス・ドイツの調査と並行して、EUの一般データ保護規則が各国に与える全般的な影響を調査した。
2016年6月には英国がEUを離脱するという事態が生じたため、EUの一般データ保護規則が適用されるフランス・ドイツとは別に、英国は国内法を維持することになる。個人情報保護の分野では、欧州と米国の立場の相違が強調されがちであるが、本調査を行う過程で、単純な欧米比較ではなく、欧州の中での各国の位置づけの違いを踏まえた調査を行う必要があることを認識した。こうした状況を踏まえ、本年度は英国・ロンドン大学のIan Walden教授への訪問調査を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
2016年度は、予定していた国際情報処理連合での報告を行い、論文も発表することができた。欧州地域の情勢が不安定であるため、訪問調査の時期を再考する必要はあるものの、特段の遅れは発生せず、概ね順調に進展していると考えている。
昨年度の実施状況報告書で記載した、他国を調査対象に含める可能性について、カナダを候補に考えている。研究代表者は、2016年はサバティカル制度を用いてカナダ・トロントに滞在した。カナダでは、2015年に、民間部門における連邦の個人情報保護法を改正し、データ侵害通知の制度を導入した。同法は2017年中の施行が予定されている。また、カナダは歴史的に欧州と米国の影響を受けて発展してきており、個人情報保護の分野では両者との間で比較的良好な関係を築いている。個人情報保護制度は、対立関係にあると言われている米国及びEUとの調整をいかに図るかという視点が重要である。そのため、今後の日本の個人情報保護法制度がデータ侵害通知を導入する可能性を考える上で、カナダを含めた制度比較を行う意義はあると考えられる。また、これまでの調査により、データ侵害についてもいくつかの各国事例を得ることもできた。
以上から、フランス、ドイツの調査を並行して進めるとともに、カナダを含めた調査を行い、かつ、過年度の成果を生かして最終年度の取りまとめに向けた準備を進めたい。
|
| Strategy for Future Research Activity |
最終年度も可能な限りで訪問調査、国際会議への参加、文献調査等を行い、最終報告をまとめるべく進める予定である。最終年度は、調査中のドイツ、フランスを含むEUの状況、さらにはカナダのデータ侵害通知規定及びデータ漏えい事案について整理を行い、論文発表を行いたいと考えている。
日本の個人情報保護法にはデータ侵害通知制度は存在せず、名簿屋対策規制としては、2015年の法改正により、データトレーサビリティや個人情報データベース等提供罪が新設された。しかし、特にデータトレーサビリティは、個人データを第三者に提供する際の記録化及び保存を事業者に求める内容であり、オーバースペックな運用にならないよう留意しなければならない。また、この制度は、他国の法制度で必ずしも共通的に導入されている制度ではない。日本は個人情報の漏えいや違法な第三者提供には過敏になりがちである一方で、かかる仕組みを用いても手続的義務に終始する可能性がある。この点は、国際比較を行う上での1つの課題であるため、最終年度の研究調査を進めるに際しては、新たな仕組みが形骸化しないようにするための方策も検討する。
本調査を進める上で、調査事項(情報漏えいの現状、データブローカーの実態、法制度、法執行)のうち、データブローカーの実態を把握することが最も難しいことを認識した。米国では、大手ブローカーが10社ほど存在しており、そのマーケットに入ることのできない事業者は自然淘汰される傾向にあるようだが、欧州や日本のデータブローカーは小規模事業者が多いようであり、事業者数の統計や個人情報売買のマーケットに関する情報が公開されているわけではない。そこで、できる限り関係者へのヒアリングやニュースソース等を駆使することで、データブローカーの実態を把握する必要がある。最終年度の取りまとめを行う際は、この点に留意する。
|
| Causes of Carryover |
2016年度は、英国がEUから離脱することとなったため、同国によるEUデータ保護規則への対応を確認すべく、英国の調査を優先した。また、同年の国際会議の会場がマンチェスターであったことから、会議の機会を用いてロンドンに訪問することができた。そのため、予定よりも訪問調査の旅費が安価となった。航空券代も、サバティカルでの滞在先(カナダ・トロント)からマンチェスター間を購入したため、日本発着よりは安価で移動することになったと考えられる。会議発表の機会を用いて訪問調査を行った関係で、本年度については研究協力者への依頼は行わず、研究代表者のみで調査結果の取りまとめ行った。
|
| Expenditure Plan for Carryover Budget |
2017年度は、安全情勢を見ながらフランス及びドイツへの訪問調査を実施し、研究協力者の協力を依頼する予定である。両国は英語圏ではないため、訪問先で英語対応を拒否された場合には、通訳への依頼を要する可能性がある。2017年度も英語による論文発表を行うことを目指すが、その際には英文校正費用が必要である。また、最終報告書の取りまとめに向けて、data breach、identity and data security、incident response、それらを包含するプライバシー法に関する未購入書籍を購入する。
|
