個情法3年見直しヒアリング②欧州ビジネス協会編
こんばんは!
今日は12/6に開催された第263回個人情報保護委員会の「いわゆる3年ごと見直し(ヒアリング)」の2回目の内容を見てみたいとおもいます。
🏢ヒアリング事業者: EBC
第2回目のヒアリングは、欧州ビジネス協会(EBC)です。
発表資料はこちら
前回同様、EBCが3年次見直しに向けてどんな意見を述べたか?をスライドに沿って見ていきたいと思います。
💬EBCの意見
意見は、こちらのblogで紹介した個人情報保護委員会公表の3年見直し検討の方向性に沿ってではなく、特にGDPRとの整合性の視点で発表されたようです。
総論
論点の具体は3点、いずれも、曖昧さ回避のために、欧州のGDPRとの制度的調和を求めるものとなっています。
以下、3つの論点ごとにスライドを見ていきましょう!
✏️1.定義
まず、2つの法律の定義について、調和を求めるもの。
欧州の企業さんからすると、定義が同じだと楽という気持ちはわかりますが、日本の方が規範の範囲が狭い場合、改正のハードルは高い気もします。
⚫︎情報の定義
まず、情報の定義について、2つの法令での違いは、以下の通り
日本の個人情報の範囲は、GDPRより狭いので、GDPRのように間接的に識別できる個人広げるべきだ、という意見はよく聞くところです。
事業者の中には、自主的に、守るべき範囲を広げ、GDPR相当のデータを「パーソナルデータ」として、プライバシーポリシーを公表しているケースも見られます。
仮に改正されると、多くの事業者に影響が大きいため、ドラスティックな変更はないだろうという意見も聞きますが、論点のひとつであることは間違いなさそうです。
⚫︎取り扱いの定義
日本の個人情報保護法上、取扱いについての明確な定義が見当たらず、関連して、利用についての解説の中に言及があるのみです。
一方、GDPRのprocessingは以下のように定義されています。
EBCがprocessingを処理と訳している一方、個人情報保護委員会は取扱いと訳しているのですね…
📄2.法的根拠
制度的調和2点目の希望は、日本大きく考え方が違う、「法的根拠」、「同意」の有効性の論点。
日本法の(第三者提供に)「正当な利益」の概念の導入を要望しています。
2つの大きな差異は、日本法が、個人情報は取り扱う前提で、利用目的の特定を前提としているのに対し、
GDPRは、処理して良い場合を限定する方式(つまり、基本は処理しない)という考え方の大きな違いがあります。
加えて、日本法は、第三者提供する場合は、同意を求めていますが、GDPRにおいては、同意は弱い根拠とされ、上記の正当な利益で整理することが多い点が、事態をややこしくしています…
法の根幹に関わる部分なだけに、この点の変更がなされる可能性は低いように思いますが、法の制度的調和をはかる上では、なんらかの整理がされることが望ましい論点とも思います…
両方を立てるのはムズカシイ…😅
🌏3.域外適用
欧州の企業に日本法の域外適用の免除、つまり、(日本の個人情報保護法より厳しい)GDPRに遵守対応していれば、日本の個人にサービス提供をするなどしていても、日本法の追加義務を不要としてほしいという希望。
この気持ちも理解できますね!
域外適用については、令和2年の改正で、問題があった場合、外国の事業者にも報告徴収や命令などが行えるようになりました。
逆に言えば、「日本企業が日本の個人情報保護法を守っていたら、GDPRの遵守を免除してくれますか?」という話。
個人的には、相互に十分性認定的に自国と同等の法制度であると認められた法域については、ある程度の自由度を認めるのはありではないかと思います。但し、あくまで双方向を希望ですけどね!😉
以上、1回目のJIPDECの意見とはまた違った角度の意見でした!
年内に、事業者ヒアリングはまだいくつか予定されているようで、楽しみです!
では、また!
おまけ 今日のDall-E 3
この記事が気に入ったらサポートをしてみませんか?