全1998文字

 自由民主党ルール形成戦略議員連盟の甘利明会長は日経クロステックのインタビューに応じ、中国を念頭に、特定国への経済的依存を解消する国家戦略の策定や、海外へのデータ移転をより厳格にする制度整備を政府に提言する考えを明らかにした。2022年通常国会の法案提出に向けて、経済安全保障の一括推進法や個人情報保護法の再改正を働きかけていく。

 法整備などを前提に、企業にも対応を呼びかけていく。デジタルの分野では、データ処理やIT開発などの業務委託は情報漏えいや突然の取引停止などのリスクを評価して「重要度に応じて取引相手国を選別すべきだ」と訴えた。個人情報や機密データを扱ったり事業継続に影響したりする重要業務については、中国などリスクが高い取引相手国を委託先から除外し、国内に移転させることも検討すべきだという考え方である。

企業のサプライチェーン見直しの重要性を訴える自民党の甘利明衆議院議員
企業のサプライチェーン見直しの重要性を訴える自民党の甘利明衆議院議員
(写真:村田 和聡)
[画像のクリックで拡大表示]

 LINE利用者の個人情報が中国の業務委託先から閲覧できた問題を受けて、データの移転先として認める相手国の条件をより厳しくするよう個人情報保護法の改正を求めていきたいとした。個人データの移転先は、データ保護法制のレベルが日本と同等の国や地域に限るべきだという。

 実際に政府が法改正や新法案提出に動けば、これまで国境を越えたデータ移転の自由化を推進してきた日本の政策が軌道修正されることになる。コストを重視した企業のサプライチェーンもリスク回避を重視して見直される可能性がある。

「現行制度には我々が目指す価値観を反映していない点がある」

 「中国の関連会社で個人データを取り扱っていたLINEに法令上の違反はなかった。だからこそ問題だ」――。甘利氏はLINE問題の現状をこう表現し、問題を契機に現行制度の課題が浮かび上がったと指摘する。

 現行の個人情報保護法では、利用者の同意があれば個人データを海外の委託先事業者に移転できる。本人同意がなくても、委託元が海外委託先の安全管理措置を監督できていれば、中国を含めてどの国にも移転が可能だ。2022年に施行される改正法でも、本人同意がより厳格化されるものの、委託先の安全管理措置を監督できていれば同意が不要な制度は同じままだ。

 実際にLINEの海外での個人データ取り扱い状況を監査した個人情報保護委員会は、委託先の監督体制に不備があったとして行政指導をした一方で、データの海外移転そのものに違法性はないと判断し、本人同意の取り方や利用者への説明責任では行政指導や是正勧告を行わなかった。

 甘利氏は2017年に中国で成立した国家情報法を根拠に、「国民が国家の情報活動に協力する義務がある国で、委託先の安全管理措置が成立するはずがない」と指摘。「現行制度には我々が目指す価値観を反映していない点がある。だから、個人情報保護法の改正を提起していく」と話した。

 現行の個人情報保護法は、海外データ移転で本人同意を省略できる国や地域を定めている。日本と相互に十分性を認定したEU(欧州連合)は移転先の企業に特に制約はない。アジア太平洋経済協力会議(APEC)加盟国では、APECプライバシー原則への適合性を認証する「CBPR(Cross Border Privacy Rules:越境プライバシールールシステム)」を企業が取得した場合に、本人同意を省略できる。

 甘利氏はこれらの既存制度を活用して、EUやCBPR認証の取得企業などに限って海外への個人データの移転を認める制度を想定している。CBPRに参加するのは日米のほかシンガポールや台湾、韓国など9カ国で、現時点で中国は含まれていない。