個人情報保護の潮流は、海外の動向から学べ!
──制度もそうですが、指標も含めて大きな転換期に来ているのですね。どのように予測し、備えていく準備をすればいいのでしょうか。
菊地:こうした流れは、個人情報保護の観点から顧客や企業を守るために欧米を筆頭に存在しています。そのためガバナンスの流れや制度の制定に関しては、国内企業であってもやはり海外の流れを見て予測し、心構えや準備をしておくと良いと思います。
──なるほど。まずはアジアの状況をお伺いしたいのですが、アジア各国の中で、個人情報保護が進んでいる国はどこでしょうか?
菊地:アジアで個人情報保護分野において先行しているのはシンガポールです。個人情報保護法が2012年に制定され、2014年に完全施行されました。以下、シンガポールから学べる個人情報保護に関する取り組みをいくつか列挙します。
プライバシー影響評価(PIA)の実施
シンガポール政府は、公共政策やプログラムの設計や実施にあたり個人情報保護の観点からPIAを実施。個人情報の収集・使用・開示・保管・廃棄に関するリスクを評価し必要な措置を講じるもの。
ガイドラインの作成
シンガポール政府は個人情報保護委員会を通じて、基本的な原則や具体的な実践方法を含むガイドラインを作成。
データ・プライバシー法の導入
シンガポール政府は2020年、データ・プライバシー法を導入。個人情報保護に関する措置を求めるだけでなく、違反に対して企業や組織に厳しい罰則を科すことも可能。
菊地:経済連携の枠組みと個人情報のデータ流通は表裏一体なので、日本を含む連携可能な国との交渉の前進が期待されます。またアジアへの越境ECも増加しており、関わりある企業のマーケターはアジア各国のプライバシー保護に関する事項を、弁護士などに確認しておくとよいと思います。日本の法律事務所はアジア域内でのビジネスを拡充しており、支店開設を着実に進めてきましたので、対象エリアに拠点を持つ法律事務所との連携が肝要です。
米国で見られる、「ポリシーの要約表示」を求める動きとは
──次に米国での個人情報保護に関する状況を教えてください。
菊地:米国は州ごとに個人情報に関する法律があります。現在連邦レベルでのAmerican Data Privacy and Protection Act(ADPPA)が議論されています。
カリフォルニア州では、消費者プライバシー法の改正法案である「カリフォルニア州プライバシー権法/Consumer Privacy Right Act(CPRA)」が2023年1月に施行されました。人種や精緻な位置情報、クレジットカード情報などを「センシティブな個人情報」と定義し、企業の情報取り扱いに関する基準や規制を強化。消費者視点を尊重したプライバシー保護制度です。
菊地:さらに、米国とEUとの間で交わされた個人データの移転を行う枠組みである「プライバシーシールド」について、2020年7月に欧州司法裁判所が無効とする判決を出しました。引き続き協議を続けていますが、対象となり得る米国企業のサービス・プラットフォームは少なくないこともあり、日本企業にとっても見過ごせないトピックスでもあります。
──プライバシーポリシーに関しては、米国ではどのような動きがあるのでしょうか。
菊地:米国では2022年に「Terms-of-service Labeling, Design, and Readability Act(TLDR法案)」という法案が提出されています。法案の内容は、オンラインサービスの利用規約に関する法律案です。一部の小規模なビジネスなどを除きWebサイトやアプリを対象に、プライバシーポリシーのわかりやすい要約表示の義務化を求める法案となっています。
この法案の背景には、オンラインサービスの利用規約が非常に長く理解しにくく、利用者が自身の権利やプライバシーについて誤解するリスクに対し問題視されていることが挙げられます。
法案の内容には、利用規約を短く要約しわかりやすい言葉で記載すること、規約の変更があった場合は明確に通知すること、利用者が同意する前に規約の内容を明示的に示すことなどが含まれています。超党派で立法化を目指しており、今後の議論を注視していきたいところです。
──似た動きは日本国内でもあるのでしょうか?
菊地:日本の企業・組織も、「パーソナルデータ憲章」などの形で、ユーザーにより分かりやすい表記、表現を掲出する動きがあります。私がお薦めしたいのは、官公庁の発表資料時の掲出のノウハウです。長い本文だけを出すのでなく、フレームワークをつかめるよう概要版が添付されているケースが多いです。各省庁の資料作成の方法や発表の仕方は、企業がポリシーをユーザーや取引先に説明する際に大変参考になります。
