知的財産とプライバシーは一体。

つまり知的財産が発明者・著作者の人格(プライバシー)の延長であることから、将来的には知的財産権保護の国際的な促進を目的とした国連の専門機関(WIPO)のような仕組みに組み込まれていくと感じます。

World Intellectual Property Organaization

We bring stakeholders together to develop global IP agreements. Follow policy discussions and negotiations on the future development of IP in our standing committees and meetings.

www.wipo.int

なお、15世紀のフィレンツェで生まれた近代的な知的財産権制度の歴史を振り返ると、プライバシーも規則功利主義、つまり総合的にみて,プライバシーを合意の元で利用することが社会全体にとって利益があるから,この利益が出るように法律や規則を整備しようという考え方が適用できると思います。
知的財産権は時代と共に様々な条約が作られてきました。例えばパリ条約特許協力条約マドリッド協定議定書ハーグ協定欧州特許条約TRIPS 協定などがあります。理由としては特許権、商標権等のいわゆる産業財産権については属地主義が採られ、ある国で登録された権利はその圏内にしか及ばないことが原則とされていましたが、インターネットの発達や取引の国際化に伴い、知的財産権の侵害行為が複数の国にまたがって行われる場面も生じております。すなわち知的財産に国境は作れないという性質からくるものです。

プライバシーもまた知的財産権と同様に、国境を超えて条約を作る段階に入ってきました。これは近年のGAFA規制の動向からも明らかに、プライバシーの配慮が立ち遅れてしまっている事が顕在化しつつあります。

例えば、公正取引委員会では「プラットフォーマー型ビジネスの台頭に対応したルール整備の基本原則」によりサービスの対価として自ら関連するデータを提供する消費者との関係で優越的地位の濫用規制等の適用等、デジタル市場における公正かつ自由な競争を確保するための独占禁止法の運用や関連する制度の在り方を検討しており、優越的地位の濫用に関する独占禁止法上の考えから行為類型として、プライバシーの配慮が整理されております。

(1) 個人情報等の不当な取得
 ア 利用目的を消費者に知らせずに個人情報を取得すること。
【想定例①】 デジタル・プラットフォーム事業者A社が,個人情報を取得するに当たり,その利用目的を自社のウェブサイト等で知らせることなく,消費者の個人情報を取得した。

 イ 利用目的の達成に必要な範囲を超えて,消費者の意に反して個人情報を取得すること。
【想定例②】 デジタル・プラットフォーム事業者B社が,個人情報を取得するに当たり,その利用目的を「商品の販売」と特定して消費者に示していたところ,商品の販売に必要な範囲を超えて,消費者の性別・職業に関する情報を,消費者の同意を得ることなく取得した。

 ウ 個人データの安全管理のために必要かつ適切な措置を講じずに,個人情報を取得すること。
 【想定例③】 デジタル・プラットフォーム事業者C社が,個人データの安全管理のために必要かつ適切な措置を講じずに,サービスを利用させ,消費者の個人情報を取得した。

 エ 自己の提供するサービスを継続して利用する消費者に対して,消費者がサービスを利用するための対価として提供している個人情報等とは別に,個人情報等その他の経済上の利益を提供させること。
 【想定例④】 デジタル・プラットフォーム事業者D社が,提供するサービスを継続して利用する消費者から対価として取得する個人情報等とは別に,追加的に個人情報等を提供させた。

(2) 個人情報等の不当な利用
 ア 利用目的の達成に必要な範囲を超えて,消費者の意に反して個人情報を利用すること。
 【想定例⑤】 デジタル・プラットフォーム事業者E社が,利用目的を「商品の販売」と特定し,当該利用目的を消費者に示して取得した個人情報を,消費者の同意を得ることなく「ターゲティング広告」に利用した。
 【想定例⑥】 デジタル・プラットフォーム事業者F社が,サービスを利用する消費者から取得した個人情報を,消費者の同意を得ることなく第三者に提供した。

 イ 個人データの安全管理のために必要かつ適切な措置を講じずに,個人情報を利用すること。
 【想定例⑦】 デジタル・プラットフォーム事業者G社が,個人データの安全管理のために必要かつ適切な措置を講じずに,サービスを利用させ,個人情報を利用した。

公正取引委員会など、こうした規制を独禁法に照らし合わせて作られておりますが、国境をまたがって適用可能な共同条約の道のりはまだ始まったばかりです。

GAFA のプライバシー保護問題
―日本における規制のあり方―

judai-official.info

なお、DBSC春のセミナーの、越境プライバシールール(CBPR)の展開と展望 で、板倉陽一郎氏は以下のようにまとめられていました。

  • CBPRが一定の保護レベルを示す認証であることは間違いなくこれを推進していくこと自体は正しい。企業の取引コストも下がる。
  • APEC域内で日本においてCBPR認証を得ている企業への移転がスムースになるように積極的に働きかけていくことも正しい(DFFTにも資する)。
  • 他方で、APEC域内を越えてDFFTの前面に出していくには欧州に嫌われ過ぎている。BCRとの相互運用についても数年間動きがない。EDPBの「追加的措置」勧告や行動規範の認定の調査が欠かせない。
  • CBPRに「追加的措置」に相当するものを加えた上で、欧州のどこかの国の行動規範との相互互換が得られる、というあたりが最大成果ではないか?

越境プライバシールール(CBPR)の展開と展望 スライド

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ