2017 Fiscal Year Research-status Report
個人情報の不正取得・漏えいに関する法制度及び運用状況の各国比較
| Project/Area Number |
15K03237
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
石井 夏生利 筑波大学, 図書館情報メディア系, 准教授 (00398976)
|
|---|
| Project Period (FY) |
2015-04-01 – 2019-03-31
|
| Keywords | プライバシー / 個人情報 / 情報漏えい / データ侵害通知 / データブローカー |
|---|
| Outline of Annual Research Achievements |
本研究の目的は、個人情報の不正取得・漏えいに関する法制度及び運用状況の各国比較を行うことにある。2017年度の主な成果として、『個人情報保護法の現在と未来』(勁草書房、2017年)と「個人情報の保護をめぐる世界的潮流」(現代消費者法第35号、2017年6月)の一部に、データ侵害通知に関するEUの動向を紹介した。
本研究開始当初は、各国の国内法も調査する予定であったが、EUの一般データ保護規則(GDPR)が2016年4月に採択され、2018年5月に適用開始されるため、EU加盟国は同規則の直接の適用を受けることとなる。そこで、本研究もGDPRを中心にシフトするとともに、GDPRに基づく各国の実施法の調査に注力することとした。現在のところ、他の加盟国に先んじてドイツが実施法を制定しており、その中に、データ侵害通知の規定が盛り込まれている。ドイツの法制は概ねGDPRに沿う内容であるが、一部義務の軽減規定が追加されている。フランスも法案を提出しており、可決が待たれているところである。EUからの離脱が決まった英国も、ほぼGDPRに沿う内容の法案を提出しているが、データ主体への侵害通知に関しては、他の法益を保護する上で必要な場合の例外を設けている。以上のように、2018年度は、GDPRに基づくデータ侵害通知の規定を整理した成果を公表するとともに、各国の立法対応の状況を継続調査した。
2016年度の実施状況報告の中で挙げたカナダについても調査を行った。連邦プライバシー法が2015年に新設したデータ侵害報告制度を整理した結果は、「カナダのプライバシー・個人情報保護法」と題する論文で、情報法制研究創刊号(2017年5月)に掲載した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
2017年度は、予定していたEU-GDPRに基づくデータ侵害通知、カナダのデータ侵害通知に関する各調査結果を成果として公表することができた。また、フランス、ドイツのGDPR実施法(案)、英国の新データ保護法案についても調査を進めることができている。
2018年度は、GDPRのデータ侵害通知に関する解釈指針(第29条作業部会指針)を精査するとともに、各国の法制度及び運用状況に踏み込んだ調査を行い、かつ、2015年度までに調査を行っていたアメリカの動向をアップデートすることで、研究目的に掲げていた①個人情報保護法の先進国であるフランス、ドイツ、イギリス、プライバシー権の提唱国であるアメリカを中心に、ここ数年間に発生した個人情報の不正取得・漏えい事故の状況、データブローカーの実務の実態、②かかる事故及びデータブローカーに対処するための法制度の詳細、③事故発生時の法執行の実態の調査を達成し、日本の法制度に与える示唆を導き出すことができると考えている。
各年度の成果を翌年度につなげることができていることから、おおむね順調に進展していると自己評価している。
課題を挙げるとすれば、フランス及びドイツの情報漏えいに関する事故発生状況の情報が少ない点であるが、この点は、一層の文献調査や各国の関係者に対するインタビュー調査などを通じてカバーしたい。
|
| Strategy for Future Research Activity |
最終年度も可能な限りで訪問調査、国際会議への参加、文献調査等を行い、最終報告をまとめる。特に、EUのデータ侵害通知規制が、加盟国のみならず、第三国にも与え得る影響に配慮し、透明性を担保した侵害通知制度のあり方を考察する。
EUには、安全保護の義務及びそれを侵害した場合のデータ侵害通知制度のほかに、データ・ポータビリティという制度がある。これは、本人の意思によって事業者等が管理する自己データをダウンロードし、また、事業者間のデータ移転を可能にすることを意図した制度であり、日本にはこのような制度は存在しない。しかし、ポータビリティを行う過程で他者が不正に介入した場合には、なりすましや情報漏えいの被害を発生させる危険を孕んでいる。このように、GDPRの他の規定がデータ侵害通知につながり得る場合を含めて調査を進め、俯瞰的視点から、個人情報の不正取得・漏えいに関する法制度及び運用状況の各国比較結果を取りまとめる予定である。
|
| Causes of Carryover |
EU一般データ保護規則(GDPR)の採択及び適用開始により、各国の国内法ではなく、GDPRのデータ侵害通知と各国の実施法を調査する必要が生じたこと、及び、データ・ポータビリティ権の不正行使によるセキュリティ侵害の問題を追加する必要が生じたことにより、次年度使用額が発生した。
2018年度は、GDPRに関する文献をできる限り収集するとともに、国際会議での発表のために経費を支出したい。IFIP TC9 Human Choice and Computers Conference(2018年にポーランドのポズナムで開催)に参加し、報告を行う予定である。
|
