イベント
セミナー
法律
海外

【Blockchain EXE Legal #2イベント】「個人情報保護」とはどのようなルールか | 永井 利幸, 高松 志直(片岡総合法律事務所)

Blockchain EXE LEGAL #2「個人情報保護」とはどのようなルールか

高松 志直 Yukinao Takamatsu | 片岡総合法律事務所 / パートナー弁護士
金融機関、信託、流動化取引等の金融法務を中心とする企業法務全般のほか、決済法務(クレジット・電子マネー・送金取引等)、情報関連法務(個人情報・マイナンバー)を手がけている。
これらの業務の流れを受け、直近では、ブロックチェーン及び仮想通貨に関するアドバイスも多数実施している。
永井 利幸 Toshiyuki Nagai | 片岡総合法律事務所 / 弁護士
金融・決済法務を中心に、企業法務全般を取り扱う。
FinTech、金融データの利活用など、金融法と情報法(個人情報・マイナンバー)の両方に関連する案件の取扱いが多い。

高松:日本の個人情報保護法と欧州のGDPRの全体像を概観しながら、ブロックチェーンを用いて個人情報を取り扱う場合の論点を紹介していきたいと思います。ブロックチェーンによる分散型の個人情報の管理が行われることは、個人情報保護法やGDPRでは想定されていないように思います。そこで、個人情報保護法やGDPRをどのように解釈していくべきか、またブロックチェーンを用いたサービスをどのように設計すれば、解釈上の疑義をクリアできるかといったあたりにフォーカスして解説したいと思います。

日本における個人情報保護法とは

永井:日本の個人情報保護法の特徴として、個人情報の保有状況に応じて3つの定義が使い分けられており、適用されるルールも3段階に分かれていることがあります。

  1. 氏名、住所などの「個人情報」について、保有状況にかかわらず適用されるルール
  2. データベース化された個人情報である「個人データ」に適用されるルール
  3. 保有個人データ」に適用されるルール

2つ目の「個人データ」に適用されるルールは名簿のようなものをイメージすると分かりやすいです。

3つ目の「保有個人データ」に適用されるルールは、ざっくり言うと、保有者がオーナーシップを持っている個人データのことです。受託者として第三者から預かっており、自らの権限では開示や消去を行うことができない個人データは、「保有個人データ」に含まれません。

これから説明する個人情報保護法のルールについても、この3つの定義のどの類型についてのルールなのかを意識しておくと分かりやすいと思います。

仮名化したデータ・暗号化したデータは個人情報なのか

永井:仮名化・暗号化したとしても、容易に照合できる他の情報を使って加工前の個人情報に容易に戻すことができるのであれば、個人情報にあたります。このような形で個人情報にあたるとされる情報は、「容易照合性」がある個人情報などと言われています。

ブロックチェーンに記録するでデータをハッシュ化したものは個人情報なのか

永井:ハッシュ化によって、加工前の個人情報に含まれる本人の情報を識別できなくなる、つまり「容易照合性」がなくなることを前提として良いのであれば、ハッシュ化した情報は、基本的には個人情報にあたりません。ただし、ハッシュ化した情報と他の情報とを組み合わせることによって本人を識別できる可能性が仮にあるとすれば、「容易照合性」が認められ、個人情報にあたる可能性があります。

「容易照合性」があるかどうかは、評価概念であり、事業者によって違うというのがポイントです。本人から直接データを取得した事業者は、仮名化・暗号化した情報とは別に、本人の氏名などが記録された名簿やデータベースを保有していますので、仮名化・暗号化した情報も個人情報にあたることとなるケースが多いでしょう。しかし、その事業者から仮名化・暗号化した情報のみを受け取った事業者にとっては、「容易照合性」がなく、個人情報ではないケースが多いと思います。個人情報の定義の相対性と言われることもあります。

ブロックチェーンとの関係でも、本人から直接データを取得した事業者と、他のノードから送信されたデータを受信したノードを管理する事業者とでは、個人情報を取得したのかどうかの評価が異なることとなる可能性があります。そこで、サービス設計に際し、どの情報が誰にとって個人情報なのかを整理していくことが求められます。

個人情報保護法は誰に適用されるのか

永井:個人情報保護法が適用されるのは、「個人情報取扱事業者」とされています。

具体的には、個人情報データベース等を事業の用に供している、つまり個人情報が入ったデータを「事業」に使っている者が個人情報取扱事業者にあたります。

パブリック型のブロックチェーンにおいて、技術的な興味をもってノードを立てた個人についてまで、個人情報取扱事業者として個人情報保護法の法律の適用を受けるのかどうかは、まだ十分に議論されていません。

個人情報をどうやって使うのか

個人情報の取扱いにあたり、利用目的をできる限り特定しなければなりません。また、個人情報を取得した場合は、あらかじめ利用目的を公表するのでなければ、速やかに本人に通知・公表しなければなりません。

ブロックチェーンを使用したサービスについては、どの程度利用目的を特定するかが問題となります。ブロックチェーンの使用は個人情報の取扱いの過程における記録手法にすぎないと考えれば、「XX取引の取引履歴の記録のため」などとサービスにおける最終的な利用目的のみを特定すれば十分であるとも考えることができそうです。もっとも、ブロックチェーンにひとたび記録されると過去のブロックを消去できないという特殊性を踏まえ、「ブロックチェーンを用いてXX取引の取引履歴を記録するため」などと、ブロックチェーンの使用を明示したほうが良いかもしれません。

正確性の担保、消去の努力義務

個人データについては、正確性の確保と消去の努力義務が課されています。

他方、ブロックチェーンは、過去のブロックをチェーンでつないでいくという技術ですので、過去のブロックを消去することができないのが原則です。

個人情報保護法の要求事項とブロックチェーンの技術上の特徴が衝突しているようにも見えますので、事業者の努力義務がどの範囲で求められるかについて、 これから議論を深めていく必要があります。

安全管理措置

個人データの漏えい、滅失などが生じないようにセキュリティ対策を講じることが求められています。個人情報保護法で求められる措置のことを安全管理措置といいます。また、従業者や委託者など、データを取り扱う者を事業者が適切に監督することも求められています。

提供制限

個人情報保護法のルールの中で、もっとも重要なものの一つに挙げられるのが提供制限です。

個人データは、原則として本人の同意を得ないで第三者に情報を提供してはならないとされています。例外として同意が不要となるのは、法令に基づいて提供する場合、委託先に委託の範囲で提供する場合、グループ会社間で共同利用する場合などに限られます。ブロックチェーンの場合、パブリック型なのかプライベート型なのかによっても評価が異なり得ますが、少なくとも2社以上で使うブロックチェーンに個人データが記録され、送信された情報によって他のノードがその内容を認識できる状態になったとすれば、その時点で提供が行われたと評価される可能性があります。

そこで、ブロックチェーンに記録する前に、本人からの同意を取得する必要があります。同意の取得方法について、サービス設計段階で検討しておくと良いでしょう。

第三者提供に係る記録の作成等

また、個人データを第三者に提供したときは、提供元において記録を作成しなければならないのが原則です。また、提供先でも、取得の経緯を確認したうえで、やはり記録を作成しなければなりません。数年前に通信教育の会社で個人情報の漏洩が発生しましたが、その際に、漏えいしたデータがいわゆる名簿業者経由で転々と譲渡されており、漏えい元が通信教育会社だったと分かるまで時間がかかったという問題がありました。そのような問題への対応策として、このような確認と記録の義務が定められています。

国外にノードが存在する可能性がある場合は、外国にある第三者提供の論点も検討する必要があります。個人情報保護法では、個人データを外国にある第三者に提供するにあたり、外国にある第三者に提供を認める旨の本人の同意を得る必要があります。EU域内の第三者に対する提供については、個人情報保護委員会によってこの同意が不要となる措置が講じられる予定ですが、原則としては同意が必要ということになります。

特にパブリック型で外国にノードが存在する可能性のあるブロックチェーンについては、外国提供の可能性が潜在的にあることから、外国にある第三者に提供を認める旨の同意を取得するなどの対応を行う必要が生じることとなります。

訂正等請求

個人情報保護法では、保有個人データについて本人が開示、訂正、消去等の請求を行う権利を持つとされています。

では、ブロックチェーンのノードを管理する事業者がこれらの請求を受けた場合に、どのような対応を行えば良いのでしょうか。この点も、消去の努力義務に関して説明したとおり、過去のブロックを訂正、消去できないというブロックチェーンの技術上の特徴との調整を要する論点です。

ノード限りで消去することが事実上不可能という点を捉えて「保有個人データ」の定義を満たさないと考えるのか、あるいは「保有個人データ」に該当することは前提としつつも、ノードとして可能な限りで何らかの措置を講じれば足りるのかといった点を議論していく必要があります。

域外適用

日本の個人情報保護法の解説として最後に採り上げるのは、域外適用です。

個人情報保護法は、日本の法律ですので、日本国内で行われる個人情報の取扱いに適用されるのが大原則です。しかし、日本向けにサービスを提供している国外の事業者がそのサービスに関連して日本国内の個人情報を取得し、国外でその取扱いを行う場合にも、個人情報保護法の適用があるとされています。このような個人情報保護法の適用を域外適用といいます。

日本の居住者向けに提供されているサービスでブロックチェーンを使用する場合も、国外にあるノードを管理する事業者に個人情報保護法の域外適用がなされる可能性がありますので、注意が必要です。

EUのGDPR

永井:次に、EUのGDPRの話に進みたいと思います。

日本に比べたEUの特殊性として、個人データの保護に対する権利がEU域内の憲法に相当するEU基本権憲章に明文で定められていることがあります。日本国憲法でも、表現の自由に由来する権利としてプライバシーに関する権利があると解釈されていますが、EU基本権憲章に明文規定があることは、個人のプライバシーに対する意識の高さを示しているといえるかもしれません。

GDPRは、このような憲法レベルの権利を具体化し、企業や個人に直接適用されるルールと位置づけたものですので、民間事業者に与える影響も大きいと言えます。

特に、GDPRに違反すると高額の課徴金が課されると定められている点が、事業者にとって脅威ととらえられているようです。

GDPRの個人データ・個人情報の範囲とブロックチェーンとの関係性

GDPRの内容の多くは、日本の個人情報保護法と重なり合うものですが、条文を細かく比べ読みしてみると、微妙に異なる点もあります。

ブロックチェーンとの関係で問題になりそうな点を取り上げると、まず、個人データ、個人情報の範囲が異なるように読めます。

日本では、本人にたどり着けるかどうかというのがポイントで、「容易照合性」のあるなしによって個人情報かどうかの評価が事業者ごとに異なると説明させていただきました。

しかし、EUのGDPRでは、識別された、又は識別されうる自然人に関するあらゆる情報が含まれるとされており、「容易照合性」を事業者ごとに判断するという枠組みが採用されていないように読めます。例えば、IPアドレス、cookie、端末を識別するIDなど、その情報だけでは一般的には誰の情報なのか分からない情報であったとしても、他の情報と組み合わせることでこれらの識別子に対応する自然人が識別されうるのであれば、個人データに該当すると解釈されています。

日本では、IPアドレス、cookie、端末識別IDなどは、単体では個人データに情報でないという考え方が有力かと思いますので、EUのほうが個人データの範囲が広いと言えそうです。

ブロックチェーンを使用したサービスでも、ID類似の情報を記録すると、GDPRとの関係では個人データの提供を行っているとの評価につながる可能性が否定できませんので、注意が必要です。

GDPRの適用範囲

次に、GDPRが適用される地理的範囲と域外適用の論点があります。

まず、EU域内の拠点の活動に関運してなされる個人データの取扱いについては、EU域内で行われるもののほか、EU域外で行われるものについても、GDPRの域外適用がなされます。そこで、EUに拠点を持っている日本の事業者、例えばメーカーや商社などは、EU域内の顧客や従業員の情報を国内で取り扱うことが多いため、GDPRの適用を受けることを前提とした準備を行っているところです。

また、EU域内に拠点がなかったとしても、EU所在のデータ主体(個人)の個人データの取扱いのうち、次の2つのいずれかに関連するものにはGDPRの適用があるとされています。

1つ目は、(a)EU所在のデータ主体に対する商品・サービスの提供に関連するものです。例えば、「EU域内在住のみなさまへの特別キャンペーン」などとして商品・サービスの購入を訴求すると、GDPRの適用を受ける可能性があります。

それから、(b)EU域内で行われるデータ主体の行動の監視に関連するものがあります。EU域内で使用されているコンピューターのブラウザでの閲覧履歴をトラッキングする場合などがこれにあたります。

GDPRの適用下で遵守が求められる事項

GDPR適用下で遵守が必要となる事項としては、例えば、個人データを取り扱うにあたり、本人の同意を取得するか、正当な利益に基づいて行うなどの根拠を有していなければならないとされています。

また、データ主体の権利行使というのが定められており、例えば、「忘れられる権利」として、不要なデータを消去する対応などが求められます。また、「データポータビリティに関する権利」として、他のサービスに乗り換えたいと思った時に、他の事業者にデータを移行する権利があるとされています。

また、EU域内におけるデータ保護責任者の設置、プライバシー影響評価の実施など、これまで必須とされていなかった事項の遵守が求められることとなります。

さらに、EU域外にデータを出すこと(域外移転)についてもEU独自のルールへの対応が求められます。例えば、移転先の事業者との間で、標準データ保護条項と呼ばれる、欧州委員会が定める条項を含む契約を修正することなく締結するなどが必要となります。(注:講演後、欧州委員会が日本に対する十分性認定手続を正式に開始することを決定しました。欧州委員会による十分性認定がなされた場合、移転先となる日本の事業者が個人情報保護委員会が定めるルールに従った取扱いを行うことを条件に、標準データ保護条項などによる対応を不要とすることができるようになります。)

議論の視点

以上、日本の個人情報保護法とEUのGDPRの全体像を駆け足で説明しました。

ブロックチェーンに即した議論にあたっては、ブロックチェーンの利用態様に応じた検討が必要になると思います。

例えば、パブリック型なのかプライベート型なのかもそうですし、ブロックチェーンに記録する情報に個人情報が含まれるのか、ハッシュ化された情報のみが記録されるのかによっても、問題の所在や重要性が異なってくるように思います。

簡単な図を作ってみました。(パワーポイントP29〜32)

・個人情報をブロックチェーンに記載する場合

例えば、個人情報をパブリック型のブロックチェーンにそのまま記録するという設計でサービスを提供するとします。そうなると、個人情報が不特定多数のノードに提供されることになりますので、不特定多数のノードについて、個人情報保護法やGDPRの適用が問題となります。はたしてこういうサービスを提供することが良いことなのかどうか、というのが今日のセッション全体に共通する問題意識です。

・ハッシュのみをBCに記録する場合

これに対し、ブロックチェーンにはハッシュ化した情報だけを記録するということであれば、ノード側では誰の情報かわからないので、個人情報保護法との関係では個人情報を保有していないとの評価ができそうです。そのようなことをイメージしながらサービスをデザインしていただけると、個人情報保護法やGDPRの遵守という観点からも良いサービスが作れるのではないかと思ってご紹介させていただきました。

私からの発表は以上です。ありがとうございました。

この記事を書いた人
Blockchain EXE
最近書いた記事
「【LINE特集 by Blockchain EXE】LINEが展開する国内外のNFT事業の全貌とは?」を開催しました
EXE企業スペシャル
「【LINE特集 by Blockchain EXE】LINEが展開する国内外のNFT事業の全貌とは?」を開催しました
EEA Japan主催「【スクエニ、日立が語る】ゲームxNFT、Web3x分散型IDによるブロックチェーン事業の最前線」を共同開催しました
EEA Japan
EEA Japan主催「【スクエニ、日立が語る】ゲームxNFT、Web3x分散型IDによるブロックチェーン事業の最前線」を共同開催しました
「Web3はインターネットを民主化できない!?識者による徹底討論」を開催しました
SBT
「Web3はインターネットを民主化できない!?識者による徹底討論」を開催しました
「【メルカリ特集 by Blockchain EXE】価値交換は新しい世界に突入するのか?メルカリが取り組むブロックチェーン事業の全貌に迫る!」を開催しました
EXE企業スペシャル
「【メルカリ特集 by Blockchain EXE】価値交換は新しい世界に突入するのか?メルカリが取り組むブロックチェーン事業の全貌に迫る!」を開催しました
おすすめの記事