個人情報漏洩にとどまらない深刻な問題も

　「報道に出るのが個人情報漏洩事故ばかりなので、分析の視野が狭くなっている」「セキュリティの本丸は個人情報ではない」――経済産業省審議官で本月例セミナー第1回講師の伊東寛氏は2017年3月、ある講演でこう指摘されました。
　 まさにそのとおりです。
　本日は、個人情報保護とサイバー攻撃との関係、欧米の動向、そして日本の課題についてお話しします。
　まず、サイバーセキュリティや情報漏洩に関して、なぜ個人情報漏洩事故ばかりが報道されるのか。そこには制度的な要因があります。個人情報保護法についてのガイドラインには、個人情報が漏洩・窃取された場合、本人への通知、公表することが望ましい、とあります。情報漏洩があったときには個人情報取扱事業者が公表するので、それをメディアが取り上げるという構図がある。
　それに対して、個人情報以外の情報については、重要な知的財産や機密の情報であっても、漏洩・窃取された場合、通知・公表義務はありません。さらに、不正アクセスがあった場合、大規模にマルウエア感染させられた場合にも、通知、通報する義務はありません。ですから、どれくらい情報漏洩しているのかは不明です。
　個人情報だけがガイドラインで公表義務が定められているので、報道され、個人情報漏洩事故に話題が集中しやすいという制度的な構造になっているわけです。
　しかも、個人情報を漏洩させるのは決していいことではありませんが、サイバー攻撃を受けて個人情報を盗られた側は被害者であるはずなのに、日本では加害者扱いをされる。社会的な制裁、非難を受けるのは、盗った側ではなく、盗られた側という奇妙な構図になっています。
　一方、メディアは個人情報の漏洩があったという事象だけを報じるので、誰が個人情報を窃取したのか、窃取された個人情報が何に使われるのかは不明なままという状況になっています。
　個人情報が大規模に漏洩した事案の中には、経済的目的によるものではなく、実は大きな背景があるのではないかといわれるものがいくつかあります。最初のものが、2009年に自衛隊の鹿児島地方協力本部から陸上自衛隊員ほぼ全員の個人情報が漏洩した事案です。鹿児島地方協力本部のある事務所長が自ら部外者に漏らした事件で、窃取された個人情報がその後、どこに渡ったのかは不明です。それから、2015年の年金機構問題。膨大な量の個人情報が流出していながら、使われた痕跡がほとんど見られません。あれだけ大量の個人情報を使いこなせる組織はいったい誰かということになります。
　こうしたことを考えると、個人情報漏洩の問題は、企業や組織の個人情報漏洩対策を超える国家のサイバーセキュリティの問題といえます。
　アメリカのオバマ政権の時代、米国連邦人事管理局がサイバー攻撃を受け、連邦公務員の身辺調査対象者1,970万人と採用候補者の配偶者や同居人など180万人の個人情報が流出した事案がありました。アメリカでは機密情報を扱うにはセキュリティクリアランス、資格が必要です。公務員はもちろん、国からの発注を受ける民間事業者にもその資格が求められます。この事案が深刻なのは、資格保有者とその勤務先、資格をとることができなかった人などについての情報も漏洩したと見られることです。資格保有者が集中的にサイバー攻撃を受け、そこからさらに個人情報が漏洩するおそれもあります。

EUの新たな動向

　ここで、欧州連合（EU）における個人情報保護の新しい動きをご紹介します。
　EUは新しい個人情報に関する法律、一般データ保護規則（GDPR）を2018年5月から施行予定です。これは非常に厳しい法律です。個人情報保護を超えて、データセキュリティを求めます。データセキュリティについては、日本においても個人情報保護法のガイドラインで、例えば個人情報のファイルを電子メールに添付して送るときには「暗号化またはパスワードロックを行うことが望ましい」とされています。GDPRではそうすることが「望ましい」ではなく、義務です。しかも、侵害発生前には「仮名化・暗号化・システム復元力維持等の措置を実施し、定期的な検査をすること」、かつ、もし侵害が発生してしまったら「個人データ窃盗等の個人の権利・利益侵害の危険性が高い侵害に関する通知」をすることが義務付けられています。「個人データ侵害」とは、「送信、格納、または処理される個人データについて、偶発的または違法な破壊、消失、変更、権限のない公開またはアクセスにつながるようなセキュリティ侵害を意味する」（第4条第12号）と定義されています。
　そのほかに「個人データの侵害が発生した場合、管理者は、不当な遅滞なしに、可能であれば、侵害に気が付いてから72時間以内に（中略）個人データの侵害を管轄監督機関に通知しなければならない」（第33条）と定められています。
　したがって、さまざまなサイバーインシデントのうち個人情報関連については、監督機関、政府機関が強制的に情報収集できるシステムになっているのです。誰の情報が盗られたかだけでなく、起こりうる結果、講じた対策に関する情報も通知されますし、記録を保存しておくことが規定されているので、あとからアトリビューション（攻撃者の特定）することも可能です。
　最も話題になっているのが罰則です。セキュリティ侵害があったにもかかわらず、風評が立つと困るからなどと監督機関に通知することを怠った、あるいは本人に通知しなかった場合の制裁金は「企業の前会計年度の全世界の売上高の２パーセント以下、または1,000万ユーロ以下のいずれか高いほう」です。高額な制裁金が課せられることになります。

さらに厳しいオランダの規制

　さらに、もう一歩進めようとしているのがオランダです。オランダでは、2016年11月に「データ処理およびサイバーセキュリティ通知義務法」が可決されました。英国がEUから離脱し、EUが厳しいGDPRを施行することをふまえて、オランダのサイバーセキュリティの国際競争力強化をねらって、セキュリティに関する新たな国内法制度を定めたのです。
　全部で11条の短い法律です。特徴的なのは、important （重要）よりもう一段階高いイメージのvitalなオペレーター（必須事業者）に対して厳しい義務を課していることです。マルウエアに感染しただけで、国家サイバーセキュリティセンター（NCSC、日本の内閣サイバーセキュリティセンター［NISC］に相当）に届け出ること、かつ、どのように感染したのかなどの関連情報を提供することを義務付けています。
　実は、この法律はよくできています。法律を順守して情報提供した企業は、マルウエアに感染させられたことについては秘密にすることができる。それを公表すると、その企業の評判も株価も下がり、ダメージを受けるからです。さらに、こうした企業に対しては、NCSCがセキュリティ対策を支援することができる。日本では、NISCは基本的には官公庁と独立法人、一部の指定法人を対象としており、重要インフラ事業者であっても、民間事業者は自分で対策を講じなければなりません。オランダの民間企業側からすると、法律に則って届け出をすれば、NCSCが対策を講じてくれるから安心ということになる。
　ただ、先日、欧州の研究者と意見交換したところ、必須事業者の範囲はまだ指定されていないということです。指定するのは政府ですが、指定されると重い義務が課せられるので、企業側がしり込みをしている節があり、まだこの仕組みは動き出していないのが現状のようです。

連邦制国家アメリカの動向

　次に、アメリカの動きです。
　アメリカでは、個人に関する情報の漏洩は、アイデンティティ窃盗を引き起こすという観点から問題視されています。精神的・人格的権利に関わる問題であるからというよりも、経済的に大きな被害を生むアイデンティティ窃盗の原因であるため、プライバシー、個人情報に関する情報の漏洩に対して規制をかけているのです。アメリカにおいては、個人情報保護法に相当するものはなく、特定領域連邦法規制、つまり保健、金融などといった領域ごとにプライバシー保護に関して約30本の連邦法が立っています。他方で、アメリカは連邦制国家なので、州法で包括的に規制をかけています。
　2015年12月、米国議会では官民のサイバー脅威情報共有促進を目的とするサイバーセキュリティ情報共有法（CISA）が賛成多数で可決されました。その流れの延長線上で、いま、EUのGDPRと同じように、インシデント情報の公開を連邦法で義務付けようという動きもあるようです。
　現時点で、連邦法においては、保健、金融情報に関して通知義務が定められています。
　保健分野でいうと、1996年に「健康保険ポータビリティおよび説明責任法(HIPAA)」が制定され、さらに、そのプライバシー基準およびセキュリティ基準を強化した「アメリカ復興・再投資法」が2009年に制定されています。そこでは、健康情報への侵害が発生した場合、または「保護される健康情報がセキュアでない状態になった場合」には、監督機関や本人に通知し、公表する義務が定められています。個人に対する通知に関しては、「セキュリティ侵害の発生を事業者が知ったときから60日以内に原則として書面郵送」することとされています。通知内容は、「侵害が発生した日時等の事案概要、侵害に含まれる項目（氏名、社会保障番号、生年月日、住所など）、侵害を受けた個人が被害に遭わないようにするための対処手段、侵害を受けた個人が被害を調査するための手段など」です。このような通知を行った場合には、保健福祉長官にその旨を報告すること、さらに保健福祉長官は、同省のホームページでセキュリティ侵害の通知に関する情報を掲載することが定められています。
　州法の動向としては、2002年、カリフォルニア州が全米で初めてデータセキュリティ侵害通知法を定め、個人情報の漏洩等のインシデントが発生した場合の公表義務と本人への通知義務を明文で規定しました。連邦法と違うのは、漏洩等のセキュリティ侵害が発生した場合に公表・通知義務を負うものの業種等を問わない、ということです。2017年11月、米ライドシェア大手のウーバーテクノロジーズは、2016年後半に5,700万人分の個人情報が流出したことを隠蔽していたと発表しました。公表しないことは明らかに違法なので、おそらく同社はカリフォルニア州から制裁金が課せられるでしょう。
　2002年に初めてカリフォルニア州が通知に関する法律を制定してから15年経ち、現在ではアラバマ州とサウスダコタ州以外の48州で制定されています。コロンビア特別区、グアム、プエルトリコも制定していますから、事実上、全州で個人データ、プライバシー情報が漏洩したときには、監督官庁に届け出をし、本人に通知することが法制化されている状況です。

プライバシー外交――中ロ対欧米、欧対米の構図

　いま、個人情報やプライバシーに関わるデータの取り扱いが外交問題になってきています。つまり、中国・ロシアと欧米、いわゆる西側圏で、個人に関するデータの取り扱い方に関して対立が生じつつあり、鉄のカーテンならぬ新たなカーテンができつつあります。
　中国・ロシアはデータ・ローカリゼーションで、自国民のデータは自国内に置くことを要求する法制度が既にできています。中国で中国人の個人情報を使ったビジネスをするのであれば、そのデータは中国国内に置くことが法律で定められており厳密に執行されることになります。グーグルが中国に再参入しようとしているという報道がありますが、そうなれば、中国ユーザーのデータは、少なくともコピーは中国国内に置くことになるでしょう。ロシアでも同様の法律が制定されていますが、現時点ではあまり厳密には執行されていないようです。
　個人情報をどう扱うかということについて、欧州とアメリカとの間でも実は大きな認識の差があります。
　欧州は非常に厳格です。それは、個人をプロファイルすることへの反省、畏怖によるところが大きいと思います。かつてのユダヤ人に対する差別、ナチズムのもとで集団虐殺までいってしまったことへの反省。または、冷戦後、特に東欧やドイツにおいては情報機関のスパイだった人が周りに大勢いたわけです。過去を穿り出すと社会生活を営む上で大きな支障になることもあり、個人に関するデータは厳重に保護しなければならないという感覚があるのでしょう。
　一方、そもそも「プライバシー」はアメリカ生まれの考え方です。欧州は、個人に関するデータをもっている人間に対して、それを勝手に第三者に公開するなという利用者を強く規制する考え方です。これに対して、アメリカは、人に知られたくないことを公開されないようにすることが大事。逆に言えば、当人がいいというのなら第三者に知らせていい。プライバシーは当人の自己決定の問題です。ですので、アメリカにおけるプライバシーには、女性が人工妊娠中絶をする権利も含まれています。自己決定の問題だからです。
　アメリカには包括的な個人情報保護法がない一方、欧州では個人データの保護・移転に関して包括的に規制する法律があるため、欧州にはアメリカ企業への強い警戒感があるでしょう。GAFA（ガーファ）という言葉があります。これはグーグル、アップル、フェイスブック、アマゾン・ドット・コムの米４社の頭文字を並べたもので、欧州側からすると、GAFAが欧州人のデータを全部もっていく、インターネットはアメリカに利するだけではないかという警戒感が強い。一方、アメリカは基本的には市場競争、自由競争の結果であり、何も悪いことはないという考え方でしょう。そこで、EUは「十分性認定」、つまりEU並みのデータ保護体制がなければ、データを渡さない、持ち出させない、という考え方で対処しています。
　とはいえ、実は、EUとアメリカは協定を結んで妥協しています。かつては「セーフ・ハーバー」で、2016年8月からは「プライバシー・シールド」でEUの個人情報保護ルールに則った形であれば欧州市民の個人データを米国に移転することが認められているのです。
　個人情報の取り扱いについての規制は、日本企業にしてみれば、一種の外圧と感じられる面もあるかと思います。特にEUからの圧力を大きく感じられるでしょうが、アメリカからの圧力もあります。
　アメリカ通商代表部（USTR）が出した「2015年各国別非関税障壁報告書（2015 National Trade Estimate Report on Foreign Trade Barriers）」に日本についてこのようなくだりがあります。「省庁ごとに内容が異なるガイドラインが複数存在し、個人を識別できる情報とストレージに関する事業に関して、不必要で障壁となる規制環境」「アメリカ政府は、日本政府に対して、ポリシー統一化とガイドラインの統一的運用によってプライバシー法の統一性の実現を主張」「安倍内閣は2015年にプライバシー法の改正法を国会に提出予定」――個人情報保護法は非関税障壁としての側面を持ち合わせているのです。さらに、「改正法案はEU型の第三者機関の創設を予定しているが、第三者機関の規制権限は未確定」「アメリカは、日本政府とともにアジア太平洋経済協力（APEC）の越境プライバシー・ルール・システムへの日本への参加を推進」とある。つまり、アメリカとEUとの微妙な対立関係の中で、日本にはぜひアメリカ側に入ってくださいといっているわけです。日本は2014年4月にCBPRへの参加が認められています。
　個人情報やプライバシーに関する外交の状況（図［国際的な状況］）を見ると、左の青い楕円の範囲がアメリカ中心の枠組みです。APEC加盟国が相互に個人情報の取り扱いを認証し合う枠組みであるCBPRのほか、さまざまな国際標準機関のISO・IECなどです。一方、EU主導の枠組みは赤い楕円の範囲で、経済協力開発機構（OECD）のプライバシーガイドラインやさまざまなセキュリティの勧告、あるいはEUのGDPRの下での「十分性認定」などがあります。日本は現時点では十分性認定がとれていないので、日本企業がEUに進出するとたいへんです。現地法人の現地人従業員の名簿すら簡単に日本に持ち出せません。

　EUはじりじりと動きをとっています。例えば、各国の個人データや個人情報を保護する独立した第三者機関の長からなる会議、データ保護プライバシー・コミッショナー国際会議（ICDPPC）を毎年開催しています。日本はオブザーバーの立場でしか参加させてもらえませんでした。個人情報、個人データの扱いに関する国際的なルールメーキングの場に入れてもらえなかったわけですが、ようやく20017年７月に正式メンバーになることができました。しかし、依然としてアメリカからはこちら側に入れといわれているので、難しいところがあるわけです。

サイバーセキュリティ対策の一環として

　こうした中で、日本は今後どうすればいいか。マイナンバーが漏洩したときにはマイナンバー法（第29条の４）で委員会への報告義務が定められています。しかしながら、個人情報や個人データが漏洩したときには監督機関への通知義務は、現状では、ないわけです。国際的な動向を見ると、データ侵害通知制度を個人情報保護法に入れていいのではないか、入れざるをえなくなってくるのではないかという議論が少しずつ出てきているところです。
　もし入れるとすれば、監督機関への通知重視（EU型）か、本人の権利利益侵害防止重視（アメリカ型）か、どちらを重視するのか検討する必要があります。サイバーセキュリティを重視するのなら前者。いちはやく監督機関、日本ではNISCに通知する。一方で、自己情報コントロール権の保障を重視するのなら後者。まずは本人に通知する。さらに、どのあたりの事業者までを対象とするのか、対象の要件を考える必要がある。サイバーセキュリティ対策でいえば先ほどご紹介したオランダ型がいいのかもしれませんが、厳しすぎるかもしれないので、その実現可能性も検討してみる必要があるでしょう。
　世界の動向、特にEUとアメリカの動きを見ながら、個人情報保護にとどまらず、サイバーセキュリティ政策の一環として、個人情報が漏洩した場合の規制のあり方を検討する必要がある。その規制には、個人情報が漏洩した場合、あるいはマルウエアに感染した場合の通知義務を入れるのか入れないのか。入れるのであれば、通知先は監督機関か本人か。そういったことを具体的に検討していく必要がある。数年来のうちに、なんらかの手を日本は考えなければならないだろうと思います。

　

講演者プロフィール
湯淺 墾道 氏 情報セキュリティ大学院大学学長補佐・情報セキュリティ研究科教授

1970年生まれ。青山学院大学法学部卒業。慶應義塾大学大学院法学研究科博士課程退学。2008年九州国際大学法学部教授。同年9月副学長。2011年情報セキュリティ大学院大学教授。2012年学長補佐。
総務省情報通信政策研究所招へい研究員、情報ネットワーク法学会副理事長、ベネッセホールディングス情報セキュリティ監視委員会委員長代理、日本データ通信協会電気通信個人情報保護推進センター諮問委員長、各自治体の個人情報保護関係の審議会委員などを務める。