コラム

    • 「情報主権」は誰のものか

    • 2020年03月03日2020:03:03:05:21:24
      • 中村十念
        • (株)日本医療総合研究所
        • 取締役社長

1.GDPR

 
GDPはよく聞く言葉であるが、GDPRという聞きなれない言葉がある。General Data Protection Regulationの略で、EEA(欧州連合+ノルウェー・アイスランド・リヒテンシュタイン)発の個人情報保護法である。
 
ヨーロッパにはユダヤ人の迫害に、個人情報のビッグデータを使っていたという負の遺産がある。この反省から、個人データが国や企業に翻弄されることへの嫌悪感がある。更に18世紀以降の人権宣言の流れがある。このことが個人情報の保護強化に繋がっており、GDPRに反映されている。
 
GDPRの保護の項目は、氏名・住所・写真・メールアドレス・クレジットカード・SNS・クッキー・位置情報など個人を特定できるデータの全てに及ぶ。
 
行使できる権利には「請求権」(集められている情報の開示要求)、「利用停止権」、「消去権」(忘れられる権利)、「拡散防止権」などが認められている。
 
企業の義務には「利用目的の明示」、「本人の明確な同意」、「域外持ち出しの禁止」、「漏洩事故の72時間以内報告義務」、「高額の制裁金」などが定められている。
 
GDPRをなぞる形でタイ・シンガポール・フィリピン・マレーシアなどのアジア諸国にも個人情報保護強化の波が及んでいる。
 
 

2.アメリカの個人情報保護

 
アメリカは国としての個人情報保護法を持たないそうである。建国の歴史・精神から、自由の前提としてのプライバシー権は、当然だとされているからであろう。
 
しかしGAFA等の情報不正流用の頻発を受けて、州レベルでの個人情報保護の流れが起こっている。2020年1月に、カリフォルニア州でGDPRの分身ともいえる、「消費者プライバシー法」が施行された。同様の動きは、マサチューセッツ州・ワシントン州にも伝わりつつあるという。
 
しかし、アメリカの場合、2001年の9.11テロを起源とする愛国者法の流れがある。永続的危険に対する永続的警戒という大義名分のもと、CIA・NSAなどの国家機関による大量監視システムの稼働である。
 
スノーデンの著書によると、国家がアクセスできない情報はないという。つまり国家の安全のためには、保護されるべき個人情報など存在しないということだ。建国の理念とは真逆の状態になっているらしい。
 
思うに、CIA・NSA連合軍には多数のICT企業が参加しているに違いなく、GAFA等との水面下の熾烈な競争が繰り広げられていると想像される。
 
 

3.日本

 
わが国でも個人情報保護法が規制強化の方向で改正される動きにある。事前の検討では見直しの項目は、GDPRを意識して多岐にわたった。
 
ところが中身は、入口から及び腰である。
 
例えば企業が個人情報を利用する場合、GDPRでは個人の明確な同意が必要という事前規制である。ところがわが国では、提供先の個人情報と照合して個人の特定が可能となる場合のみ、本人の同意が義務づけられるという事後的ゆるゆる規制である。また、クッキー(情報の預り証)や位置情報は個人情報とはされていない。
 
さらに忘れられる権利である消去権も見送られた。
 
一方、匿名加工情報は本人同意なく第三者への提供が可能となった。逆に仮名化情報などという、素人には使い方のプロセスすら判然としない新しい措置が創設されている。これらの、日本語としてあいまいにしか定義できない用語は、議論を不可能にすることにも留意すべきである。
 
このゆるさとあいまいさの原因は、個人情報の保護という世界的潮流とデジタル産業育成という経済的利益保護の板挟みにある。地球温暖化へのわが国の対応と相似形に見える。
 
世界的潮流を俯瞰するに、このままではGAFA等の草刈り場は日本という事態になりかねない。
 
 

4.医療個人情報

 
最近医療法を勉強する機会があった。医師法には医師の守秘義務の定めがない。
 
刑法134条によって他の専門職と並びで「……正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を洩らしたときは、6月以下の懲役又は10万円以下の罰金に処する。」と定められている。
 
これは医師個人に対する規制であるが、自治体ごとに条例による規制もある。さらに、法人として守秘義務の規制を策定しているところもある。特に国公立病院などである。これらの規制は設立主体ではバラバラで統一性がない。自治体の数や法人の数、病院の数ほどルールが違うという皮肉まじりに、「2,000個問題」とか「3,000個問題」とか言われている。
 
人によっては「違って何が問題なのか、国民の医療個人情報は二重に管理されていて安心だ。」と思うだろうが、医療個人情報の流通促進を図ろうとする人達からは問題視されている。医療情報の円滑な流通を阻害するという訳だ。
 
つまり、これらの人達は医療個人情報ですら、データビジネス企業の商品対象と考えていることになる。
 
遺伝子治療や遺伝子製剤、AI検査、ロボット手術のテクノロジーにはビッグデータが必要で、そのためには医療個人情報の流通促進が先という理屈である。個人レベルでの「情報主権」の侵犯があってもやむを得ないという考え方だ。医療全体の進歩のためには、そうであるかもしれないし、そうでないかもしれない。
 
遺伝子医療やAI医療の、バラ色の姿は、多くの人には見えていない。
 
今のところ国民全体に、ヨーロッパやアメリカの医療への憧れの気持ちがあるとも思えない。
 
流通化した場合のサイバーリスクも心配だ。政府はこの程、10万人ゲノム解析計画を打ち出した。患者の同意はどうなるのであろうか。
 
個人情報保護法の改正は3年ごとに行われることになっている。特に医療情報は個人情報の核である。その都度拙速とならぬよう、世界を俯瞰した論理的な議論と検討を期待する。
 
 
 
---
中村十念(日本医療総合研究所 代表取締役社長)

コラムニスト一覧
月別アーカイブ