CDEPガバメントアクセスに関する宣言

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2022年12月15日
• タイトル：CDEPガバメントアクセスに関する宣言
• 発表者：データサイン 代表取締役社長 太田祐一

OECDの委員会で採択された宣言

この日のランチタイムトークでは、2022年12月14日から15日にかけて開催された経済協力開発機構（OECD）デジタル経済政策委員会（CDEP）の閣僚会合で採択された「信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」を話題に取り上げました。日本の個人情報保護委員会が策定に貢献した、７つの原則が宣言の中に盛り込まれています。データサイン 代表取締役社長 太田祐一が概要を紹介しました。

＊本稿は、個人情報保護委員会が公開している「経済協力開発機構（OECD）デジタル経済政策委員会（CDEP）閣僚会合（令和４年12月）」に記された仮訳に基づいて作成しています。本ランチタイムトーク時のプレゼン資料と訳出や表記が若干異なる点があることをご了承ください。

「信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」は、原文の英語表記で「Declaration on Government Access to Personal Data Held by Private Sector Entities」と記されています。前掲した個人情報保護委員会の仮訳の見出しは、「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」となっています。

「この宣言は、国家安全保障や法執行の目的で個人データにアクセスする際、プライバシーやその他の人権と自由を保護するための共通のアプローチに関する『初』の政府間合意、ということです」（太田）

国家安全保障とプライバシーや人権・自由の保護のバランスを強調

宣言のねらいは何でしょうか。仮訳の内容を次のように要約してみました。

OECD加盟国は、国民の安全を保護する主権的義務と責任を有するため、犯罪行為や、公の秩序と国家の安全に対する脅威を防止したり、探知や対処したりすることは認められています。とはいえ、民間部門が保有する個人データにアクセス（ガバメントアクセス）する権限を付与される法執行機関や国家安全保障当局には無制限、不合理、恣意的なアプローチが許されるわけではありません。

そのようなアプローチを許せば、プライバシーやその他の人権と自由を侵害し、国際的な義務に違反して信頼を損なってしまいます。そして自由なデータの流通と世界経済に深刻な損害を及ぼします。

それに対してOECD加盟国は、法執行および国家安全保障を理由とする、1980年に勧告されたOECDプライバシーガイドライン（2013年に最終改訂）の正当な例外を考慮しつつ、民間部門が保有する個人データにアクセスする際に、各国が適用するプライバシーや人権の保護についての共通の理解に基づいて信頼（トラスト）を高めることの重要性を強調します、というのが主旨です。

ガバメントアクセスに関する宣言は、2022年12月14日から15日にかけて、スペインのグランカナリア島で開催されたCDEPの閣僚会合において、42のOECD 加盟国と欧州連合の閣僚および高官代表により採択されました。日本からも複数の政府関係者が参加しています。

今後の個人情報保護法の改正にも影響しそう

ガバメントアクセスに関する宣言では、核となる7つの原則が定められました。ここでは仮訳に記された原則名を列挙するに留めます。

1. Legal basis（法的根拠）
2. Legitimate aims（正当な目的）
3. Approvals（承認）
4. Data handling（データの取扱い）
5. Transparency（透明性）
6. Oversight（監視）
7. Redress（救済）

個人情報保護委員会のページによると、

本閣僚会合において、信頼性が確保された自由なデータ流通（DFFT）を脅かす新たなリスクへの対応としてOECDにおいて当委員会が提唱し、継続して議論が行われた成果として、「信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」が採択されました。

とあり、政府間合意に向けて日本側が積極的に働きかけたことがうかがえます。

「3年ごとに見直される個人情報保護法の議論でも、こちらの宣言や原則が国際的な約束事、前提として進められることが予想されます。その意味でもチェックしておきたい内容です」（太田）