ガバメントアクセスのルール形成に向けて 〜個人データ・非個人データの国際流通の適正化〜 【2022/02/01】

報告書(暫定公開版):2022年2月1日

ガバメントアクセスのルール形成に向けて

報告 ~個人データ・非個人データの国際流通の適正化~

報告の概要


 民間部門が保有するデータを政府が利用すること(ガバメントアクセス)が不適切に行われた場合、国際間のデータ流通の直接的な阻害要因となるとともに、データの利活用を支える個人や企業の信頼を損なうことになる。必要かつ有益なガバメントアクセスは否定されてはならないものの、その判断基準を明確にし、必要なルールを共有することが求められる。不十分不明確不適切なルール形成はデータに関連する事業の開発や維持拡大に悪影響を与える。

 例えば、政府が民間部門のデータの管理方針に不適切に強制的な介入をすると、他の法的義務や契約、運用方針などの事由からくる安全管理措置や秘匿義務と相容れない対応を強いられることも想定される。また、ガバメントアクセスに正当性がある程度認められていても、民間部門の自発的なデータ提供の限度を超える過剰な要求が行われると、健全な事業活動や適切なデータの管理が困難になりかねない。国際間ではガバメントアクセスの適正範囲に関する判断基準や執行基準が国や地域間で異なることにより、民間部門におけるデータの取り扱いが分断化され、管理コストとリスクを共に増加させる。

 日本の進めるDFFT(信頼性のある自由なデータ流通)の概念はG7、G20、OECDなどでの国際議論に良い影響を与えつつあり、その重要な要素としてガバメントアクセスについても言及が始まっている。国や地域の間で、適切なガバメントアクセスの範囲と条件について立場の違いから生じる国際間の摩擦を低減するために、準備段階として将来の適切な規律形成議論に資する要素(以下「規律要素」)に従って、必要かつ正当なガバメントアクセスと不適切なものとの間の判断基準を共有するための議論を始めるべきである。

 本報告書は国際経済連携推進センター(CFIEC)内に設置された検討会での議論を取りまとめたものであるが、直接ガバメントアクセスのルール自体を提言するものではない。今後議論が進むにつれて明らかになる規律要素の意義と必要性について、現時点での事実関係と考え方の整理を行うことを主眼とする。また、現在先行するガバメントアクセスの議論は個人データを対象としたものが中心であるが、個人データと非個人データの区別は絶対的なものではない。個人情報保護以外の観点、例えば、デジタル分野の通商面や経済を含む安全保障面、知財保護やデータ駆動型イノベーションなどへの配慮も同様に重要である。国際的なデータ流通を支えるという観点からは、個人非個人どちらか一方に限定しない包括的な視点が必要となる。また、複雑化する国際情勢の中では多様な観点が共存することを想定し、特定のイデオロギーや政体の違いを一方的に排除しない整理の仕方を取ることにも留意した。

 ガバメントアクセスの実態は広範にわたる形態をとり、その中には個人情報保護法制の違いからくる正当性の認識議論、データの維持管理に関する国家主権のあり方の違いからくる懸念などが含まれる。既存の議論の対象を拡大し、個人情報だけではないより広い範囲での民間部門保有データに対するガバメントアクセスの分類については、議論の結果以下のような分類軸を想定することで、課題の抽出や規律要素の議論においてなるべく偏りが生じないように配慮できる。


ガバメントアクセスの分類

  • 1. データの種類による分類:データの対象(個人か非個人か:一義的に決まらないことも含めて)、データの性質(例えば3V、volume:量、variety:多様性、velocity:更新頻度)、データの価値(知的財産等)
  • 2. 強制性による分類:罰則等を伴うかどうかにかかわらず強制によるものか、民間側からの任意、自主的な提供によるものか
  • 3. データのライフサイクルによる分類:生じる課題がデータ取得時の行為に起因するものか、取得後の利用や該当する政府以外への提供、改変や削除の要求を想定したものか
  • 4. データの流れによる分類:データ提供の流れが政府部門への直接の提供か、政府部門が指定する組織(特定の民間部門も含む)への提供を想定したものか
  • 5. 課題の越境性による分類:該当する国・地域の内部に閉じた課題か、二箇所以上の国・地域をまたぐ要求からくる課題か
  • 6. ガバメントアクセスの目的による分類:犯罪捜査、安全保障、国内産業振興、自国民の個人情報保護など、ガバメントアクセスにどのような目的が想定されるか

 これらの6つの分類軸により、想定されるガバメントアクセスの課題の広がりについて認識が得られたが、特に、1.データの種類、2.強制性、5.越境性の3つの軸により、ガバメントアクセスの性質を特徴付けることができる。

 この分類軸をもとに広範な事例を分析(※1)し、既存のガバメントアクセスに関する議論を参考にしながらその範囲を拡大し、将来の適切なルール形成に求められる要素(規律要素)として14項目(※2)を示した。このうちの前半の7つは、既存の議論(※3、※4)を元に改めてその意味について議論を加えたもので、8番目以降は今回の検討から追加されたものである。全項目を通じて意味の重複や包含を恐れず、将来の規律議論に資するために多くの論点を提示した。これらの規律要素は、無条件で議論対象とされるべきではなく、目的に応じて対象候補あるいは網羅性の確認のためにのみ必要に応じて参照されることを想定している。

 

非個人データを含むガバメントアクセスで検討されるべき拡大された規律要素の例

  • 1. 法的根拠(legal basis)(※3、※4):ガバメントアクセスが行われる国(要求する政府、要求される民間部門の保有データ所在国など)において、有効な法律上の拠り所があるべき
  • 2. 目的の正当性と手段の必要性・比例性(meet legitimate aims and be carried out in a necessary and proportionate manner)(※3、※4):ガバメントアクセスの目的が正当であり、そのために取られた手段が必要かつその必要性に比例したものであるべき
  • 3. 透明性(transparency)(※3、※4):特にデータを提供する民間部門側にとって、そのガバメントアクセスの内容とプロセスが明示的であるべき
  • 4. 承認及び制約(approvals for and constraints)(※3、※4):ガバメントアクセスは承認を経たものであり範囲の制約を受けるべき
  • 5. 制限(limitations)(※3、※4):データの最小限の取り扱いと維持について明確な制限を持つべき
  • 6. 独立した監督(independent oversight)(※3、※4):独立した機関による監督及び承認を前提とすべき
  • 7. 実効的な救済(effective redress)(※3、※4):違法または不適切なガバメントアクセスに異議を唱え救済を求めるための明確なメカニズムを持つべき
  • 8. 公平性(impartiality)・無差別性(non-discrimination):ガバメントアクセスの対象となる民間部門の選定に不公平や差別的な取り扱いは排除されているべき
  • 9. 運用の一律性(uniformity):ガバメントアクセスにかかる法制度の運用が恣意的にならず、一律な基準と方法で行われるべき
  • 10. 公正性(fair and equitable treatment):恣意的で不公正、不正義または特異なものでなく、人種、民族、文化、宗教、拠点・居住地、ジェンダーなど偏見や差別によらないものであるべき
  • 11. 経済的合理性(economic rationality):ガバメントアクセスの対象とされる民間部門あるいは社会全体に過度なコストや負担を強いるものではないこと
  • 12. 補償(compensation):ガバメントアクセスを受ける企業や経済的な影響を被った個人について、求めに応じて相当な補償が行われるべき
  • 13. 責任制限(limitation of liability):民間部門がガバメントアクセスに応じたことにより生じうるさまざまな責任について、該当する民間部門の責任は不問あるいは限定されるべき
  • 14. 法の抵触(conflicts of law):ガバメントアクセスの根拠となる法律に抵触する別の法制度が該当する国内外にあり、それらが矛盾・対立する場合は事前事後を問わず政府が調整の主体となるべき

 詳細版の報告書の中では、これら14項目の規律要素について一つ一つ分析を行い、判断基準を提示している。各規律要素の判断基準とは、該当するガバメントアクセスに理解が得られるための条件として、政府側に得られる何らかの保護法益と、いずれかの主体(個人や民間部門あるいは社会)の逸失利益を考えるための指標について考察したものである。また、該当する規律要素を組み込むことの意義、他の規律要素との関係、他の国際ルールとの関係についての分析を記し、事例と対照させることで具体化した分析を加えている。

 本報告は、政策立案者や企業実務者を想定読者として、国際的な議論の場において活用されることが期待される。「アクセス」の語の意味する範囲にも注意が必要で、単なる政府あるいは政府機関にだけ利用可能なデータの取得形態のみが問題となるのではなく、他者のアクセスの恣意的な制限や、データそのものの改変、改ざん要求や削除、隠蔽なども広い意味の「アクセス」の中に含めて議論する必要性も指摘された。

 今後引き継がれるであろう、国際ルール形成の活動と並行して、WTO・知的所有権の貿易関連の側面に関する協定(TRIPS協定)などの既存の国際ルールによる対処や、アクセスの生じた国・地域の国内法に基づいてき不当なガバメントアクセスに対処することも重要である。更に、ルール形成議論の基礎となるエビデンス収集としてガバメントアクセスのもたらす経済的な負の影響等を定量的に調査分析することも求められる。

「ガバメントアクセス」が無制限に行き過ぎた場合、民間部門が保有するデータが政府及び政府機関により実効的に支配されることとなる。データの利活用と自由な流通に重要なことは、データガバナンスの主語が誰として考えるべきかである。ここでもマルチステークホルダーの理念を尊重し、政府、民間、データ主体のそれぞれの役割と権限を整理し、分担の明確化を通じて普遍的な理解として共有することが必要である。報告書に示した14項目の「規律要素」を参考にしながら、ガバメントアクセスがデジタル経済とイノベーションの健全な発展、社会的課題の解決に悪影響を及ぼさないようにしなければならない。



 

※1 別添1(暫定版)


個人・非個人データに関わらないガバメントアクセス議論の事例集(抜粋)

 2021年から2022年にかけて行われたCFIEC(国際経済連携推進センター)のガバメントアクセスと貿易ルールに関する検討会において、将来の適切な規律形成議論に資する要素(規律要素)を抽出するために事例を収集し分析を行った。特徴的な事例について、主要な分類軸上の評価とともに以下に示す。記述については情報が提供された当時のものを基準としており、その後、法制度自体が改訂されたり、運用が変更となり問題が解消あるいは軽減された可能性のある事例を含む。また参照した報告者の観測に基づくものもあり、状況によって異なる観測も否定しない点もあるが、できる限り柔軟な視点で記述を加えている。


事例1 中国:行政承認と引き換えの機密技術情報の開示要求
事例2 中国:自動車関連の強制データ取得と国家プロジェクトでの利用
事例3 中国:安全保障目的の強制音声データ取得と特定の民間会社への提供
事例4 インド:付加価値データセット(非個人データガバナンス枠組み)
事例5 米EU間:監視プログラム強制アクセスの懸念(Schrems I/II)
事例6 米EU間:犯罪捜査に係るデータ開示要求(米国SCA)
事例7 中国:国家情報法による無制限のアクセス要求の懸念
事例8 シンガポール:COVID-19感染対策アプリデータの犯罪捜査等の利用

事例1 中国:行政承認と引き換えの機密技術情報の開示要求
 2017年前後において中国政府は、必要な行政承認と引き換えに機密技術情報の開示を事実上要求していた(requires the disclosure of unreasonable amounts of sensitive technical information in exchange for necessary administrative approvals)と報告されているものである。

 中国政府は、ICT・製薬・化学・農業食品・機械・金融サービス等に係る事業を同国内で行う外資企業に対して、機密技術情報の開示を要求していたとされる。具体的には、外資企業の保有する機密技術情報が、中国政府を通じて、製品や役務等の安全性、環境への影響、エネルギー効率等に係る行政承認を行う「専門家パネル」(中国政府・産業界・学術界等の専門家により構成)に開示されている。専門家パネルは、行政手続きの際に、外資企業の事業に関する機密情報を含む詳細な情報の開示を求める傾向にあることが指摘されている。そのため、専門家パネルが得た情報が、自国産業や企業に再提供され、結果的に、情報に基づいた類似商品の開発や販売が起こり得るのではないかという懸念が生じていた。

 ただし、このような専門家パネルに係る慣行は、その後の制度的な是正の結果、少なくとも2022年1月時点の中国の法令とは整合していない。具体的には、専門家パネルによる外資企業の保有するデータアクセスは、2019年の外商投資法で禁止されている。また、「データ安全法」に係る2021年法改正にて、国家安全や犯罪捜査などのために政府がデータの提出を求めるための手続き(調取)に関する規定や、国家機関がデータの収集使用は法律の範囲と手続によるべきであるとの規定、公務員に対するビジネス情報や個人情報の守秘義務の規定が、制定された。


事例2 中国:自動車関連の強制データ取得と国家プロジェクトでの利用
 コネクテッドカー関連政策の下で、中国国内の(内資・外資を問わず)全電気自動車に対して車両の走行状態に係るデータの提供を強制している事案とされる。具体的には、同政策の下、中国政府は、国内の全電気自動車に対して政府が指定する機関である非営利団体に対してデータを提供すること強制している。提供を義務付けられているデータは、約60種類であり、その中には、走行中の位置情報、バッテリーの状態、エンジンの機能等に関する車両の走行状態に係る情報が含まれるとされる。データの取得・利用の目的は、1)公共安全の向上の為の分析、2)産業開発やインフラ計画促進、3)補助金制度の不正防止であるとされている一方、当該データは外資自動車メーカーの競争力の抑制、自国民の監視、警察行為等に使用されているのではないかという懸念の声も一部挙げられている。その理由は、前述の非営利団体が取得したデータを北京工科大学の新エネルギー自動車国家モニタリングセンターに再提供しており、国家プロジェクトである自動運転技術開発へ利用しているのではないかという懸念に基づいている。しかし、本事例も、データ安全法等の制度整備によって懸念は緩和されつつある。


事例3 中国:安全保障目的の強制音声データ取得と特定の民間会社への提供
 テロ対策・治安維持等の国家安全保障を目的とした音声認証データベースを構築するために、安徽省政府が、中国市民の音声認証データ(生体認証データ)を強制的に収集し、高度な音声認証AIの開発の為に当該データをiFlytek社に対してのみ提供し、iFlytek社は安徽省政府に対してAIを活用した音声認識ソフトを納入した後、音声認識ソフトを日本など海外市場に対して展開していたとされる事案である。

 しかし、現状の中国のデータ提供に係る方針は、データはなるべく共有されるべきであり、データのアクセス主体をなるべく差別的にしないという考えに基づいている。また、ビッグデータのマーケットを構築する等の文言は、深セン市の政策(深セン市AI産業促進条例とその立法趣旨説明)にもみられる。また、ガバメントアクセスに係るデータの取り扱いについても、2021年制定のデータ安全法などで制度整備が進められつつある。


事例4 インド:付加価値データセット(非個人データガバナンス枠組み)
 2020年12月に被個人データガバナンス枠組み(NPDF)改訂版の提言がなされ、いまだ検討段階であるものの、高付加価値データセット(HVD)の作成に向けたデータ提供を、インドでデータ収集活動を行う組織に義務づける事案である。まず、インドでデータ収集を行う企業は、メタデータ(どのような種類のデータを収集しているか)を新設される非個人データ庁に提供する義務を負い、HVDの管理者はこのメタデータのデータベースを元にデータの収集者に対して、HVDの作成に必要なデータの提供を強制することができる。データ提供請求を受けた企業等からHVDへのデータ提供は有償でなされるが、この際の対価支払いはデータの加工にかかる費用に限定され、データの収集に係る費用やデータの経済的価値に相当する対価は支払われない。

 また、HVDやメタデータへのアクセスはインドで登録された組織に限られることとされており、この点でデータ提供義務を負う企業等よりも範囲が狭くなっている。本事例は、インド政府の起草委員会において言及されていたモデル事案である。


事例5 米EU間:監視プログラム強制アクセスの懸念(Schrems I/II)
 2015年10月6日、オーストリア在住のFacebookのユーザーであったマクシミリアン・シュレムス(Maximillian Schrems)がアイルランド政府のデータ保護委員に対して訴訟が起こされた。司法判断ではEU市民の個人データがアイルランドの子会社を経由してアメリカのサーバーに移転され、それらのデータがアメリカの政府機関による情報収集から保護されないとされた。それまでの米EU間の個人データ越境移転の根拠であった「セーフハーバー」を認めたEU政府側の決定は、欧州司法裁判所により無効化された。その理由は、米国において国家安全保障、公益、法執行の要件が、必要とされる個人データ保護原則を超越し、政府機関が個人の基本的人権としてのプライバシー保護に介入できると判断されたからである。またセーフハーバーではEUの定める個人の権利のうち、自己データへのアクセスや訂正、消去を求めるための司法的救済措置が十分でないとされた。


 続いて2016年8月からセーフハーバーに代わって米EU間の個人データ移転の枠組みとして発効した「プライバシーシールド」について、再び同人により起こされた申し立てに対する判決(先決裁定)が2020年7月16日、欧州司法裁判所で下された。これがSchrems IIであり、Facebook社の管理下の米国サーバー内のユーザーデータに対して米国の当局がアクセスを行うことを正当化する監視プログラム等が、具体的に不適切なガバメントアクセスの懸念対象なった。米当局の個人情報保護監視体制について、またもやガバメントアクセスの適切な範囲を巡り判断が分かれたものである。具体的には、米国の監視プログラムの根拠となる外国諜報監視法(FISA)702条と大統領令12333(E.O.12333)がEUの求める「比例原則」に違反していると指摘され、監視対象となるデータが要求される必要最小限の範囲に制限されていない、という判断であった。一連の判決による混乱は米EU間の考え方の違いとともに、EU内での行政と司法間の判断の違いも示している。


事例6 米EU間:犯罪捜査に係るデータ開示要求(米国SCA)
 本事例は、犯罪捜査(麻薬犯罪の取り締まり)のため、電気通信サービス等のプロバイダに対するデータの開示手続を定めた米国Stored Communications Act(SCA)に基づき、米政府が、米Microsoft社、在アイルランドサーバーにあるユーザーデータ(個人データ)の開示請求を行ったことが問題となった事案である。ユーザーデータの保管されているマイクロソフト社のサーバーがアイルランドに所在していたため、越境データ移転に係る法の抵触の問題として、SCA上の開示請求に応じることがGDPRの越境移転規制(第48 条)に抵触するとの見解が示された。米マイクロソフト社は上記を不服として米政府に対して訴訟を提起したが、CLOUD法の成立によって立法的に解決されることとなった。


事例7 中国:国家情報法による無制限のアクセス要求の懸念
 国家情報法の下で中国企業に対して事実上無制限のガバメントアクセスを行うことが可能であるとの懸念が指摘された事案である。このような懸念は、国家情報法第7条により生じている。同条は、いかなる組織及び個人も法律に従って国家の情報活動に協力し、国の情報活動の秘密を守らなければならないことを規定しており、国家情報法の下で中国政府は中国企業に対して、国家安全保障に係る事実上無制限の情報を取得可能とする権限を中国政府に付与していると言える。また、国家安全法の定義する国家安全保障の定義が広範で一般的な経済の発展等も含まれることも懸念され、同法第2条は、「国の政権、主権、統一と領土保全、社会福祉、経済社会の持続可能な発展及び国のその他の重大利益」を国家安全保障として捉えている。

 したがって、例えば、諸外国にて通信機器を提供している中国企業は上記の国家情報法上の情報提供義務を負い、同社製通信機器から取得されたデータについても中国政府に対する無制限の提供が義務付けられる可能性がある。そのため、国家情報法は中国国内の市民だけでなく、中国企業の製品を利用している諸外国の市民等に対しても個人/非個人データの取得が事実上可能となっている。


事例8 シンガポール:COVID-19感染対策アプリデータの犯罪捜査等の利用
 本事例は、シンガポール政府管轄のアプリ開発機関が、感染対策を目的として収集したデータを、犯罪捜査目的を理由としてシンガポール警察に共有した事案である。シンガポール政府は、新型コロナウイルス感染症対策の一環として、接触追跡アプリ「トレース・トゥギャザー(TraceTogether)」の運用を2020年3月に開始した。2021年1月には、シンガポール政府高官は、新型コロナウイルス接触追跡システムを通じてシンガポール市民より収集されたデータ(位置情報・接触追跡データ等であるとされる)に警察がアクセスして犯罪捜査に使用する旨を発表した。本発表は、同アプリを運用開始した際に政府が説明したプライバシーポリシーに反していること、また、接触追跡への参加が実質的に強制となった直後に方針を変えたことが批判されている。

 


 


※2 別添2(暫定版)


個人・非個人データに関わらないガバメントアクセス規律要素の例

 2021年から2022年にかけて行われたCFIEC(国際経済連携推進センター)のガバメントアクセスと貿易ルールに関する検討会において、適切なガバメントアクセスの範囲の判断に求められる「規律要素」(将来の適切な規律形成議論に資する要素)について議論を行った。個人情報保護に関連する規律要素ついては先行する議論で公表された範囲の内容を踏まえつつ、新たな独自の解釈を加えて分析を行った結果を示している。(項目1から7まで)

 また項目8以降は、個人データと非個人データ区別を意識せず、データ全般について対象となるガバメントアクセスの規律要素として議論しうるものとして追加された。

  • 1. 法的根拠(legal basis)

判断基準:個人データへのガバメントアクセスを強制する法的根拠が、アクセスを行う政府の側に存在すること。単にアクセスの根拠となる法令等が存在するだけではなく、その内容として実体的なデータ取扱いの根拠となる規定やアクセスに向けた手続きが定められている必要がある。

意義と役割:政府側のデータの取り扱いに係る実体的な法的根拠を明確化することで、政府による恣意的な権限行使を抑止し、また手続きを規定することでアクセスを受ける企業や個人に対して予見可能性を向上させる。政府側のセーフガードが存在しない場合は委縮効果が生じる可能性があり、データ流通を阻害し得る。

他の規律要素との関係:実体的な内容については「必要性や比例性」が、手続的内容は「承認及び制約」(いずれも後述)の要素において規律されることが予定され、これらは本要素と一定の重複が生じうる。しかし、単に内容を問わず法令を整備することでガバメントアクセスが許容されると認識されることを避けるべきとの観点から、本要素においても内容に関するルールを入れ込んでいる。また、ともに予見可能性を担保するルールのため「透明性」との重複も生じることになるが、ここでは政府側の法的根拠を明示することで恣意的な権限行使の抑制に重点がおかれ、「透明性」はアクセスを受けるデータ主体の権利保障により重点が置かれている。

他の国際ルールとの関係性:強制処分について手続き等を法定すべきとの考え方については、例えば、市民的及び政治的権利に関する国際規約(ICCPR)第9条がそれを定めている。

関連する事例:中国:自動車関連の強制データ取得と国家プロジェクトでの利用


  • 2. 目的の正当性と手段の必要性・比例性(meet legitimate aims and be carried out in a necessary and proportionate manner)

判断基準:目的の正当性については、ガバメントアクセスの目的が正当であること(正当性の判断基準は政治体制に依存しないものであるべき点は合意)。手段の必要性に関しては、ガバメントアクセスが政策目的の達成に対して貢献すること。かつ当該ガバメントアクセス以外により非侵害的な取り得る手段がないこと、目的と手段の比例性に関しては、ガバメントアクセスの目的と手段が均衡しており、達成される目的に比して結果(ないし権利利益の侵害の程度)が著しく不釣り合いでないこと。

意義と役割:本要素はガバメントアクセスが適切になされるための中核的な規定であり、目的が不当なものでないことを確保するとともに、仮に正当な目的であったとしても不必要に企業・個人の法的に保護された利益が侵害されることが無いように、その目的を達成するのに必要かつ合理的な範囲に企業・個人の権利侵害を留めるために必要とされる。

他の要素との関係:当初、「データ取得とガバメントアクセスの目的の実現の関係性が厳密に精査され合理的であること」を経済合理性として独立した要素としていたが、このような経済的合理性は、本要素に内包されうるとして統合した。

他の国際ルールとの関係性:目的の正当性、必要性は通商ルールにおいて原則からの逸脱を審査する中核的な要素である(関税および貿易に関する一般協定(GATT)第20条、サービスの貿易に関する一般協定(GATS)第14条等の一般例外における議論を参照)。他方、比例性についてはWTO協定では求められていない。

関連する事例:中国:国家情報法による無制限のアクセス要求の懸念


  • 3. 透明性(transparency)

判断基準:法的根拠となる法令等が公表されアクセス対象にとって利用可能であり、かつその内容が本ルールの諸要素が充足されているか否かを判断できる程度に詳細であるかどうかが判断となる。また、ガバメントアクセスに関する運用状況等(件数や増加減少傾向、内容の内訳)の政府による公表の積極性や、ガバメントアクセスの目的を妨げない範囲で、ガバメントアクセスがあったことがデータ主体等に通知されることも判断対象である。

意義と役割:アクセスされる企業・個人にとって法令が公開され、その内容が、本ルールの諸要素が充足されているか否かを判断できる程度に詳細であることは、自らに対してどの程度のデータの公開が求められるか、どのような救済を受けられるかなどの重要な情報を知る機会を担保する不可欠の要素である。また、国家によるアクセス情報の公開はその濫用の防止に向けた市民による監督等を提供する。データ主体等への通知はデータ主体が自らのデータに対するアクセスを知り、当該アクセスのガバメントアクセス諸要素への適合性や権利救済に向かう機会を保障するものである。

他の要素との関係:「法的根拠」との重複が指摘されたが、両者に重複があることを認めつつ、その差異について述べたため、3.2.1.の記載を参照されたい。
また、当初独立した要素としていた予見可能性とのすみわけについて議論があったが、本要素に統合された。ここでは、ルールの公表やそれに基づいてアクセスを受ける主体が、諸要素が充足されているか否かを判断できる程度に詳細にルールが定められ・公表されることが、予見可能性を担保していると整理している。

他の国際ルールとの関係性:GATT第10条1項が、法令及び行政決定等について、「諸政府及び貿易業者が知ることができるような方法により、直ちに公表しなければならない」と定めている。

関連する事例:中国:自動車関連の強制データ取得と国家プロジェクトでの利用


  • 4. 承認及び制約(approvals for and constraints)

判断基準:ガバメントアクセスを行うときの手続的要件が確立しており、その手続的要件の内容が個人の権利に対する侵害/介入の程度に見合うものであること。特に権利侵害の度合いが大きいときは独立の司法機関または行政機関による承認を得なければならないこと。

意義と役割:アクセスを実施する政府機関と独立した機関による承認があることなど適正手続きを規定することで、要素を充足しないガバメントアクセスによる企業・個人の権利利益の侵害を未然に防止する意義がある。
適正手続の担保によって権利利益の侵害から保護されることが明らかとなることで信頼を担保し、企業・個人にデータ流通を躊躇する不安を払しょくすることができる。

他の国際ルールとの関係性:適正手続きは自由権規約第9条が規定している。

関連する事例:中国:自動車関連の強制データ取得と国家プロジェクトでの利用


  • 5. 制限 (limitation)

判断基準:アクセスされたデータが特定され、当該目的内で取り扱われること(目的内利用)が必要。また、アクセスされたデータの保管について、機密性、完全性、利用可能性の保護措置があるかどうかが判断基準となる。

意義と役割:ガバメントアクセスによって収集されたデータが、承認及び制約によって特定された目的に沿って利用され、また適切な保護措置の元で保管されることを担保する意義がある。
自らのデータが提供後も当初想定した範囲の中で適切に取り扱われることを担保することで、公的機関による恣意的なデータ利用を防止し、企業・個人の不安を払しょくすることでデータ流通を促す趣旨である。

他の国際ルールとの関係性:OECDプライバシーガイドラインの原則4(利用制限),5(安全保護)等が関連事項を規定している。

関連する事例:シンガポール:COVID-19感染対策アプリデータの犯罪捜査等の利用


  • 6. 独立した監督(independent oversight)

判断基準:データのアクセス、利用、保管等について事後に独立した組織による監督がなされていること。

意義と役割:アクセスを実施する政府機関と独立した機関によってガバメントアクセスに関する諸要素が満たされているかが事後に監督され、要素を充足しない不当なガバメントアクセスによる企業・個人の権利侵害を事後的に発見して救済につなげる意義がある。権利利益侵害への事後的な保護を規定することで信頼を担保し、企業・個人の不安を払しょくし、データ流通の確保に貢献する。

他の国際ルールとの関係性:GDPR等が独立した監督機関(データ保護監督機関(DPA)等)による監督を規定している。
事例の分析

関連する事例:米EU間:監視プログラム強制アクセスの懸念(Schrems I/II)


  • 7. 実効的な救済(effective redress)

判断基準:上記のアクセス・利用・保管等の規律について、政府がそれに違反した場合にデータのアクセス対象・データ主体が実質的に利用できる、法的に拘束力のある救済があることが必要。救済としては権利利益に対する損害賠償も含まれうる。

意義と役割:不適切なガバメントアクセスを受けた企業・個人が、処分の取り消し等の適切な救済や補償を受けられる権利を確保できる。

他の要素との関係:「補償」との関係性について議論があった。詳細は後掲「補償」を参照。

他の国際ルールとの関係性:GATT第10条3項は「各締約国は、特に、関税事項に関する行政上の措置をすみやかに審査し、及び是正するため、司法裁判所、調停裁判所若しくは行政裁判所又はそれらの訴訟手続を維持し、又はできる限りすみやかに設定しなければならない」と規定。また、自由権規約第14条も裁判を受ける権利を規定する。

関連する事例:中国:安全保障目的の強制音声データ取得と特定の民間会社への提供


  • 8. 公平性(impartial)・無差別性(non-discrimination)

判断基準:ガバメントアクセスが実施されることで、アクセス対象者に競争上の不利な影響(競争歪曲性)が生じないこと。

意義と役割:ガバメントアクセスが措置の内容(措置の構造・デザイン)や、その結果として競争歪曲を生じさせないことで、市場における内外国企業間又は外国企業間の競争条件の平等を確保する意義がある。競争歪曲が存在する場合、企業・個人がデータ収集のインセンティブを削がれる(自社データが競合他社に不当に流れることを恐れてデータ収集や移転を控える等)可能性があるため、それを防止する意義がある。

他の要素との関係:検討会では「運用の一律性」との重なりを含む関係が指摘された。本要素は、「ガバメントアクセスの制度や結果」つまり、措置の構造・デザイン自体がもたらす競争歪曲効果の防止、あるいは当該措置の適用される結果として生じる競争歪曲効果の防止に着目している一方、「運用の一律性」は、措置の運用過程の適切性に着目している。

他の国際ルールとの関係性:GATTをはじめとする国際通商法は無差別原則を規定する(GATT第1条、第3条他)。

関連する事例:中国:安全保障目的の強制音声データ取得と特定の民間会社への提供


  • 9. 運用の一律性(uniformity)

判断基準:ガバメントアクセスの運用(過程)における一律性が担保されていること。GATT第10条3項を念頭に置いたもので、法制度の運用の仕方が、GAの判断基準となり得る。

意義と役割:ガバメントアクセスが競争歪曲効果をもたらすか否かとは別に、ガバメントアクセスにかかる法制度の運用の仕方が恣意的である場合(法制度の解釈適用が一律でない、公平でない等)、こうした不安定な法制度運用は、企業にとっての予測可能性を著しく害し、その結果、企業の経済活動を萎縮させかねない。とりわけ、外国市場においてかかるリスクが存在する場合、企業は当該市場へのデータ共有や移転を躊躇することとなり、国際的なデータフロー確保にも悪影響を及ぼす。こうした問題に対処すべく、ガバメントアクセスのもたらす競争歪曲効果とは別に、ガバメントアクセスの運用過程の適切性を規律するルールの必要性が指摘された。

他の要素との関係:前掲「公平性・無差別性」を参照。なお、ガバメントアクセスにかかる法制度の運用に関して、対象企業間でそれぞれ異なる解釈適用がなされているものの、競争歪曲効果が発生しているとまでは言えない事案の場合には、「公平性・無差別性」の要素ではなく、本要素において対処することが可能である。

他の国際ルールとの関係性:GATT第10条3項(a)は「各締約国は、1に掲げる種類のすべての法令、判決及び決定を一律の公平かつ合理的な方法で実施しなければならない。」と規定する。また、GATT第20条柱書も同様の趣旨を規定する。

関連する事例:中国:行政承認と引き換えの機密技術情報の開示要求


  • 10. 公正性(fair and equitable treatment)

判断基準: 恣意的で不公正、不正義または特異なものでなく、人種、民族、文化、宗教、拠点・居住地、ジェンダーなど偏見や差別によらないものであるべき。

意義と役割:競争阻害性のみならず、偏見や不公正等、より幅広い要素を規律している。より広範な要素が規律されることで、データの取り扱いに係る信頼を担保し、データの流通を促進する意義がある。

他の要素との関係:「公平性・無差別性」との重なりについて、前者が競争阻害性に着目しているのに対して、本要素は不公正や偏見といったより広範な要素を規律している点で両者が区別される。

他の国際ルールとの関係性:公正衡平待遇(fair and equitable treatment)については、大半の投資保護協定において規定されている(NAFTA 第1105 条)。

関連する事例:中国:安全保障目的の強制音声データ取得と特定の民間会社への提供


  • 11. 経済的合理性(economic rationality)

判断基準:企業・個人にデータ提供に係る過度なコスト・負担を強いないこと。

意義と役割:アクセスを受ける企業・個人に対してデータ提供に関して過度なコスト・負担を強いないことで、当該企業・個人の事業の阻害や権利侵害等を防止する。また過度なコスト・負担を強いられるリスクを低減することで、当該リスクによって生じるデータの収集や移転に関する委縮効果を緩和し、データの流通を促進する意義がある。

他の要素との関係:検討会では「補償」との関係性が指摘された。「補償」と「経済的合理性」は、ガバメントアクセスは適法的である場合においても、企業や個人に過度な負担を課して経済的な損失を生じさせている場合には政府による手当を行うという点で、類似の要素内容であることが指摘された。

関連する事例:中国:自動車関連の強制データ取得と国家プロジェクトでの利用


  • 12. 補償(compensation)

判断基準:データの経済的価値の対価として、データ提供元の企業・個人に対して相当な補償を行うこと。ただし、補償により他の規律要素により制限される不適切なガバメントアクセスが認められる訳ではない。

意義と役割:財産的価値を持ったデータに対して、政府にその利用に対する対価を支払わせることで、財産権に対する補償と同様、企業や個人の利益への補填を行う趣旨である。このような補償がなされない場合、当該国におけるデータ収集のインセンティブが低下するとともに、内資企業にデータが共有される場合には安価にデータの利用が可能になるため競争阻害も生じる。結果として、事業者の事業展開が困難になり、データの流通自体が阻害されることとなるため、これを防止する意義がある。また、事業者の経済的利益が損なわれる(本来有償で売れるようなデータを無償で提供しなければいけなくなる)懸念を防止する意義もある。加えて、「相当な補償」の内容については議論があり、例えば常に補償を行う必要があるか(補償が不要となる場合もあるのではないか)といった要否の判断や、あるとしてどの程度の水準か(例えば、市場価格、要したコスト等)といった点についてはこの文言の解釈に委ねられている。

他の要素との関係:「実効的な救済」との関係性について以下の通りである。
「補償」は、適法的なガバメントアクセスであったとしても相当の補償がなされることを規定している一方、「実効的な救済」は、違法行為に対する損害の補填が想定されている、という指摘がなされた。

他の国際ルールとの関係性:国際慣習法上、企業・個人の財産等に対する政府による収用については、公共政策上の目的があり、無差別であり、かつ十分・実効的かつ迅速な補償を行うことが義務づけられている。また、EUではデータ法の改正の中でもB2Gデータ共有の論点の1つとして補償が議論されている。

関連する事例:インド:付加価値データセット(非個人データガバナンス枠組み)


  • 13. 責任制限(limitation of liability)

判断基準:データ提供者及び提出されたデータ内容に対する法的根拠による責任制限(提出データの信頼性・品質と、データ主体の権利侵害に対する責任制限)が存在すること。ただし、ガバメントアクセスの目的が責任を問わないと達成できない場合(課税のための適切な財務関連情報の提供など)についてはこの限りではない。

意義と役割:データの提供を行った企業・個人が政府のアクセスによって不当な責任を負わされることを回避する意義がある。
仮に上記の不当な責任を負わされるとすれば、事業者はデータを仲介(媒介)しない、あるいはデータを移転させないといった選択肢をとることとなり、データ流通が阻害されるため、このような事態を防止する意義が認められる。

他の国際ルールとの関係性:EUのB2Gデータシェアリング要素では、免責について「提出データの信頼性、品質に対する免責だけでなく、データ主体の権利を政府要求によって損なう形で提出することに対する免責(プロバイダ責任制限)が規定されている。

関連する事例:米EU間:監視プログラム強制アクセスの懸念(Schrems I/II)


  • 14. 法の抵触(conflicts of law)

判断基準:ガバメントアクセスから生じる法の抵触(他の法制度との矛盾)に対処するため、ガバメントアクセス実施国での法令遵守がその国あるいは他国での法令違反とならないように、国内外法制度の矛盾・対立について問題提起し解決するメカニズムを構築すること。

意義と役割: ガバメントアクセスの根拠法に基づくデータ提供義務と自国他国の法令上のデータの第三者提供の禁止義務等が抵触する場合、その調整を企業・個人が行う負荷をあらかじめ軽減する意義がある。
仮にこのような法の抵触の問題を生じさせる法制度が存在する場合、企業が進出を躊躇する、抵触の結果事業展開が阻害されるなどの事業上の制約が生じ、それを回避するためにサーバーの所在地を変更する、事業展開を断念する等の事態が生じうる。結果、データ流通を阻害することとなるため、それを回避する意義がある。

他の国際ルールとの関係性:EUのデータガバナンス法案は第30条国際アクセスにて、公的機関や企業・個人は、自らの保有するデータの越境移転がEU法やその加盟国法との抵触が生じる場合、それを回避すべく可能なあらゆる技術的、法的並びに組織的な措置を取るべきことを規定している。この際、刑事共助条約に基づく場合や外国で適切な保護がなされる場合など、一定の条件が満たされる例外的な場合には、外国政府等の要請に基づいてデータを移転し得ることを規定している。

関連する事例:米EU間:犯罪捜査に係るデータ開示要求(米国SCA)