あけましておめでとうございます。@_natこと崎村夏彦です。2011年の新春特別企画で「無情社会と番号制度～ビクトル・ユーゴー「ああ無情」に見る名寄せの危険性」と題して当時の「国民ID⁠」⁠，今で言うマイナンバーのプライバシー的側面について寄稿してから9年ぶりに執筆の機会をいただきました。今回は，2019年に起きたプライバシー関連の出来事を振り返り，2020年に出版されるであろうプライバシー関連の標準規格について紹介します。

プライバシー上の大きな転換点となった2019年

2019年は，プライバシーに関して大きな転換点となった年でした。1月23日には安倍首相が「ダボス会議」で「成長のエンジンはもはやガソリンではなくデジタルデータで回っている⁠」⁠，そして「新しい経済活動には，DFFT＝Data Free Flow with Trustが最重要課題である」と提言しました。6月29日のG20大阪サミット首脳宣言においても，「⁠データや情報等の越境流通は，生産性の向上，イノベーションの増大をもたらす一方で，プライバシー，データ保護，知的財産権及びセキュリティに関する課題を提起，これらに対処することにより，データの自由な流通を促進し，消費者及びビジネスの信頼を強化する。DFFTはデジタル経済の機会を活かすものである」と提言しました。これを受ける形で，情報銀行も7月に第一号P認定（事業設計段階でのプライバシー・バイ・デザインが行われていることを確認した認定）を出しました。

また，法制面では，個人情報保護法のいわゆる3年毎みなおしが進められ，12月13日には個人情報保護委員会による『個⼈情報保護法 いわゆる3年ごと見直し 制度改正大綱』の公表及び同大綱に対する意見募集が開始されました。これは，2019年8月に発覚したリクナビ事件なども受けて，現行個人情報保護法の第一条に書いてある個人の権利利益を守ることの重要性を強調したものになっているという印象を持っています。

海外に目を転ずると，8月には，『⁠ISO/IEC 27701 プライバシー情報マネジメントーISO/IEC 27001と27002への拡張としての要求事項とガイドライン』が出版されました（※1⁠）⁠。これはEUのデータ保護評議会（EDPB）が推奨する認証の核をなすとされる国際規格で，EDPB自体が密接に策定に関わった規格です。EUの事情から大変急いで策定されたので荒削りのところが残っていますが，それだけ急いで必要とされた規格とも言えます。

2020年もこれに引き続き重要な規格が目白押しとなっています。

※1

ISO/IEC 27701 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines。なお，出版直前まで，文書番号は27552であったため，解説などはその番号で行われているものも多い。

プライバシー通知と同意

さて，2019年に話題になったリクナビ事件では，学生の同意を取らずにデータの提供が行われたことが，問題点の一つとして挙げられました。この「同意」ですが，エンジニアの方々に限らず，一部法律家の方々まで「同意ボタン」をおさせることだと勘違いしているようです。しかしGDPRを始めとして国際的にそれが「同意」と認められるには，「⁠高いハードル」があります。

このハードルとは，同意が，同意以外の適法性根拠が使えなかった場合にのみつかう「例外処置」だからです。ちなみに，GDPRにおいては適法性根拠は第6条に定義してあり，以下のものが挙げられています。

1. データ主体が，一つ又は複数の特定の目的のための自己の個人データの取扱いに関し，同意を与えた場合。
2. データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合，又は，契約締結の前に，データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
3. 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
4. データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。
5. 公共の利益において，又は，管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
6. 管理者によって，又は，第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし，その利益よりも，個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合，特に，そのデータ主体が子どもである場合を除く。

出所：GDPR第6条（個人情報保護委員会訳。太字下線は筆者）

この「高いハードル」を具体的に要件として定義し，その要件を満たすためにどのようなことをしなければいけないかを説明しているのが，『⁠ISO/IEC 29184 オンライン・プライバシー通知と同意』です（※2⁠）⁠。これは現在，FDIS（Final Draft International Standard）の段階であり，4月のSC27サンクトペテルブルグ会合で，出版への決議がなされる見込みです。

※2

ISO/IEC FDIS 29184 Information technology — Online privacy notices and consent。プロジェクト・リーダーは筆者とインドのInfosysのCPOのスリニヴァス・プーサラ氏およびベルギーの独立系コンサルタントのクリストフ・ステヌイ氏。

ISO/IEC 29184では個人情報を扱うにあたって，以下のことが書かれています（※3⁠）⁠。

• いわゆる「プライバシー・ポリシー」である「プライバシー・ノーティス（通知⁠）⁠」に何を書くべきか，
• それに基づいて同意を取得するには何をすべきか，
• データの取扱を変更するときには何をすべきか

個人情報を扱う上で「同意」を取得しようと考えている方々には必読の書と言えましょう。FDIS版と出版版には，意味を変じない字句修正しか入りませんから，すぐに購入して読み始めても良いくらいだと思います。「⁠同意」を適法性根拠として使う場合のみならず，「⁠通知」への記載事項は，他の適法性根拠を使う場合にも必要となることですから （⁠※4⁠）⁠。

※3

この系統のISOの文書において，プライバシー・ポリシーは，組織の内部で個人情報をどのように扱うべきかのポリシーを定めた文書のことを指します。個人を始めとする外部に公表する文書は「プライバシー通知（privacy notice⁠）⁠」と呼んで区別しています。

※4

日本においては適法性の根拠として(f)の「正当な利益」がありません。産業界は，個人情報の範囲を制限するように要求するのではなく，適法性の根拠としての「正当な利益」を要求すべきであると筆者は考えています。