2017 Fiscal Year Research-status Report
新しい個人情報保護法制とグローバル企業の情報法コンプライアンスの研究
| Project/Area Number |
16K03455
|
|---|
| Research Institution | Kansai University |
|---|
Principal Investigator |
高野 一彦 関西大学, 社会安全学部, 教授 (40553128)
|
|---|
| Project Period (FY) |
2016-04-01 – 2019-03-31
|
| Keywords | 個人情報保護法 / コーポレートガバナンス / 内容統制システム / 営業秘密 / 個人データ・コンプライアンス / 匿名加工情報 / GDPR |
|---|
| Outline of Annual Research Achievements |
わが国では、2017年5月に改正個人情報保護法が施行された。EUでは、2018年5月25日、EU一般データ保護規則(GDPR)が施行予定である。GDPRの施行を前に、EUはわが国のデータ保護の十分性認定を行うための交渉を開始した。わが国は、EUデータ保護指令において、1998年から長期にわたってデータ保護の十分性を認められておらず、実質的な経済障壁となっていたため、EUによる十分性認定は悲願であった。
その一方で、GDPRは域外適用され、制裁金は最大2000万ユーロまたは前年世界売上高の4%のいずれか大きい額(79条)と規定されており、わが国のグローバル企業にとっては、グループ横断的な情報法コンプライアンス体制の構築を迫られることとなった。特に、個人データ違反(personal data breach)を発見した場合、72時間以内に監督機関に報告するデータ侵害通知義務(31条)が規定されており、クライシス対応体制の整備は喫緊の課題となっている。
一方、わが国の改正個人情報保護法では、匿名加工情報(第2条9項)が規定された。GDPRでは、前文第23条に「anonymous data」の定義を置き、データ保護の原則を適用しないと規定しているが、具体的な方法論は示されていない。従って、わが国の改正個人情報保護法における匿名加工情報の規定は、世界に先駆けてビッグデータのための情報利活用の指針を示したものと評価できる。わが国の企業は、データ保護の「守り」を固めつつ、ビッグデータを介した新産業の創造のための「攻め」の戦略を描くときであろう。
このような問題意識を持ち、2017年9月27日~30日にホンコンで開催されたプライバシーコミッショナー会議に参加し、各国のコミッショナーやデータ保護機関の関係者らと議論を行った。また、学会での研究報告を2回行い、著書(分担執筆)1本、論考2本を公表した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
2017年9月27日~30日、ホンコンで開催されたプライバシーコミッショナー会議(ICDPPC)に参加し、企業における個人データのビッグデータとしての利用時の適法性判断基準、それを担保する制度の定立、及びグローバルな視点での企業のデータ・コンプライアンスについて、各国のデータ保護機関の関係者らと議論を行った。今年、わが国は正式なICDPPCのメンバーとして承認され、世界におけるデータ保護先進国の仲間入りをすることができた。また一昨年よりEUデータ保護指令第29条作業部会に対してデータ保護の十分性の申請手続きを行っている韓国の取組は、わが国への示唆を与えてくれた。
また、日本経営倫理学会、情報システム学会、日本経営倫士協会及び経営倫理実践研究センターによる共同開催の特別シンポジウム「情報セキュリティ-いま問われる企業力-」を開催し、「改正個人情報保護法、GDPRの概要と企業における課題」をテーマに基調講演とパネルディスカッションを行った。さらに日本経営倫理学会CSR研究部会において「二宮尊徳の至誠、顧客満足」をテーマに先人の研究から企業統治のあり方を研究し、報告を行い、分担執筆にて『二宮尊徳に学ぶ「報徳」の経営』を出版し、関係する論考を2本公表した。
現在、研究協力者とともに、共著『プライバシー・個人情報保護の将来像』の出版に向けて研究を継続している。
|
| Strategy for Future Research Activity |
わが国は、2013年6月14日に閣議決定された「世界最先端IT国家創造宣言」において、国際的に自由な情報流通を促進し、ビッグデータを介した新産業の創造を目標に掲げている。その目的は、EUによるデータ保護の十分制の承認を得て、データの自由な移転を確保することである。現在、EUとわが国は十分制認定に関する交渉過程にあるが、近々に承認されるものと思われる。
一方で、わが国の改正個人情報保護法は、2018年5月25日に施行予定のEU一般データ保護規則(GDPR)からすると、十分なデータ保護と評価されることは困難であろう。従って今後、改正個人情報保護法附則第12条に基づき、2020年に法改正を行うために、さらなる議論が進むこととなろう。
今後は、前年に引き続き、GDPRの全体像の把握と、企業向けのガイドラインの収集、グローバル企業のコンプライアンス対体制の情報を収集し、①企業における個人データのビッグデータとしての利用時の適法性判断基準、②明確な同意取得の要求への具体的対応、③米国企業のEU-U.S. Privacy Shieldへの対応、④データ侵害通知に関するクライシス対応体制のあり方、などを研究する。
そのためには、2018年10月22日~26日にアムステルダムで開催される第21回プライバシーコミッショナー会議(ICDPPC)に出席し、先進諸外国の法執行機関や研究者らと議論を行う。また、共著『プライバシー・個人情報保護の将来像』の出版を行い、本研究の成果として公表したい。
|
| Causes of Carryover |
本助成の研究期間は2016~2018年度の3年間である。この間、国内では2017年に改正個人情報保護法が施行され、2018年にはEU一般データ保護規則(GDPR)が施行される。現在、EUとわが国は、データ保護の十分性承認の交渉を行っており、近々に承認される予定である。その後、わが国の改正個人情報保護法は附則第12条に基づき、2020年に再度改正を行うことになる可能性が高い。このように情報法分野は現在、大きな変革期を迎えている。
本研究は、わが国への立法提言と新たな個人データコンプライアンスの提言を行うことを目的としている。海外の法執行機関、その関係者や研究者との意見交換を行うとともに、わが国の個人情報保護委員会の関係者、国内の情報法研究者との意見交換を行い、2020年の改正個人情報保護法への提言を行う好機である。そのために研究成果を出版し、普及浸透に努める予定である。
|
