世界のプライバシー法の源流にある「OECD8原則」

OECD8原則とは

現代の多くの国で採用されているプライバシー法の起点となったのは、1980年に経済協力開発機構（OECD）が策定した「プライバシーの保護および個人データの国際流通に関するガイドライン」（OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）です。このガイドラインは、個人データの保護に関する国際的な枠組みを提供し、その後の各国のデータ保護法やプライバシー法の基礎となりました。

＜OECD8原則＞

1. 収集制限の原則（Collection Limitation Principle）：個人情報は、本人への通知または同意を得た上で、適法かつ公正な手段で収集すること。

2. データ品質の原則（Data Quality Principle）：個人情報は、その利用目的に沿った必要な範囲内で正確、完全、最新の状態に保つこと。

3. 目的明確化の原則（Purpose Specification Principle）：個人情報収集の目的を明確にし、目的外利用を防止すること。

4. 利用制限の原則（Use Limitation Principle）：収集した個人情報は、明確化された目的以外には使用しないこと。

5. 安全保護の原則（Security Safeguards Principle）：個人情報は、紛失・破壊・改ざん・開示などのリスクに対して合理的な保護措置を講ずること。

6. 公開の原則（Openness Principle）：個人情報に関する方針や施策を一般に公開し、透明性を確保すること。

• データ保護に関する方針や実践は、透明性が保たれ、個人が自分のデータがどのように管理されているかを知ることができるようにするべきです。

7. 個人参加の原則（Individual Participation Principle）：情報主体が自己の情報を確認し、適宜訂正・削除を求めることができる権利を保障すること。

8. 責任の原則（Accountability Principle）：これらの原則を確実に実行する責任を情報管理者が負うこと。

OECD8原則の背景に、情報化社会への急速な変化

1980年にOECDガイドラインが登場した背景には、いくつかの重要な社会的・技術的な要因がありました。

まず、1960年代から1970年代にかけてのコンピュータ技術の発展が、個人データの収集・処理・保存方法に大きな変化をもたらしました。企業や政府は、コンピュータを使って大量のデータを効率的に管理できるようになり、それまで手作業で行われていたデータ管理が大規模に電子化されました。これにより、個人情報が集中管理されるようになり、プライバシーの侵害に対する懸念が高まりました。人々は、自分のデータがどのように扱われているかを不安に思い、データ保護の必要性が強く意識されるようになりました。

さらに、グローバル化の進展に伴う、個人データが国境を越えて移転される機会の増加があります。多国籍企業や国際機関は、異なる国や地域でデータをやり取りする中で、各国のプライバシー保護の基準が一致していないことに直面しました。この不一致は、データが一部の国では保護されない可能性を生み、個人情報の安全性を脅かす要因となりました。このため、データの越境移転に関する国際的なルールを設定し、各国間でのデータ保護を調和させる必要性が浮上しました。

加えて、1960年代から1970年代にかけて、世界的に個人の権利に対する意識が高まりました。市民権運動や女性の権利運動が活発化する中で、個人の自由やプライバシーが重要視されるようになりました。これに伴い、個人データの保護が社会的な課題として認識され、法的な枠組みが求められるようになりました。

また、1970年代には、ドイツ（当時の西ドイツ）やスウェーデンなどの国が、すでに国内でデータ保護法を制定していました。これらの国々は、個人データの取り扱いに関する基本的な規制を導入し、プライバシー保護の先駆者となりました。しかし、各国の法律が異なるため、国際的に統一された基準が存在しないことが課題となってきました。OECDは、各国が共通の課題に直面していることを認識し、特にデータ保護の分野で国際的な協力が必要であると判断しました。OECDは、主に経済協力を促進するための国際機関ですが、1970年代後半には情報技術の発展が経済や社会に与える影響があるものとして、議論が始まりました。

最後に、1970年代後半には、個人データの不正使用やプライバシー侵害の事例が増加し、これがプライバシー保護に関する国際的な枠組みの必要性をさらに強調しました。政府や企業が個人のデータを無断で収集・利用するケースが報告される中で、プライバシーの保護が急務とされました。

これらの要因が重なり、OECDは1980年に「プライバシーの保護および個人データの国際流通に関するガイドライン」を策定し、発表しました。このガイドラインは、個人データの保護に関する国際的な基準を提供するものであり、各国が国内でプライバシー法を整備する際の指針となりました。その結果、OECDガイドラインは、後に世界各国で制定されたデータ保護法やプライバシー法の基盤となり、現代のデータ保護制度の発展に大きな影響を与えました。

＜OECD8原則が生まれた背景＞
1. コンピュータ技術の発展
2. 国際的なデータ移転の増加
3. 個人の権利に対する意識の高まり
4. 初期のデータ保護法の制定
5. 国際機関や団体の影響
6. プライバシー侵害の事例の増加

欧米･日本など、世界の法制度に影響

OECDの8原則の公表後、各国でデータ保護法が整備されていきました。その中でも特に影響力の大きい法制度として、欧州連合（EU）のGDPRやカリフォルニア州のCCPAがあります。

1. 欧州連合(EU): GDPR (2018年施行)

GDPRの成立は、欧州連合（EU）におけるデータ保護の歴史的な流れの中で重要な位置を占めています。GDPRの前身である「データ保護指令（Directive 95/46/EC）」は1995年に制定され、EU加盟国全体で個人データの保護を統一するための初の包括的な枠組みを提供しました。この指令は、当時の技術的・社会的な背景に対応しており、各国で国内法に反映されました。

しかし、インターネットの普及とデジタル技術の進展に伴い、個人データの扱いがますます複雑化し、既存の法律では対応しきれない新たな課題が生じました。具体的には、SNSの普及やクラウドコンピューティング、ビッグデータの活用などが進む中で、データ主体の権利保護が不十分であるとの懸念が高まりました。

このような背景から、EUはデータ保護指令を全面的に見直し、新たにGDPR（General Data Protection Regulation:一般データ保護規則）を策定することを決定しました。GDPRは、2012年に欧州委員会が提案し、長い議論と交渉を経て、2016年4月に正式に採択されました。この規則は、指令とは異なり、EU加盟国全体で直接適用されるものであり、すべての加盟国に統一的なデータ保護基準を課しました。

GDPRの主な目的は、データ主体の権利を強化し、データ処理を行う企業や組織に対して厳しい義務を課すことにありました。特に、データ処理の透明性、データ主体の同意の取得、違反に対する厳しい罰則などが特徴です。GDPRは、2018年5月25日に施行され、違反した場合には高額な罰金が科されることもあり、世界中の企業に大きな影響を与えることになりました。

2. 米国･カリフォルニア州: CRPA(旧CCPA) (2020年施行)

アメリカでは、州レベルでのデータ保護法が先行して整備されてきましたが、カリフォルニア州におけるCCPA（California Consumer Privacy Act：カリフォルニア州消費者プライバシー法）は、特にGDPRの影響を受けた重要な法律です。アメリカには連邦レベルでの包括的なデータ保護法は存在しません（2024年8月現在）が、カリフォルニア州はデジタル産業が集積する州であり、プライバシー保護に関する先進的な取り組みが求められていました。

CCPAは、カリフォルニア州の不動産開発業者であり、プライバシー擁護派でもあるアラスター・マクタガート（Alastair Mactaggart）氏が発案した市民発議として始まりました。彼は、自分のデータが企業によってどのように扱われているかについての懸念から、この法律の草案を作成しました。マクタガート氏の市民発議は、広範な支持を受け、カリフォルニア州議会が法制化のプロセスを加速させることになりました。

この結果、CCPAは2018年6月28日にカリフォルニア州議会で可決され、州知事によって署名されました。CCPAは、カリフォルニア州民に対して、自分の個人データがどのように収集・利用されているかを知る権利や、データの削除を求める権利、そして自分のデータの売却を拒否する権利を与えることを目的としています。

CCPAは2020年1月1日に施行され、アメリカにおける最も包括的なデータ保護法の一つとなりました。その後、2020年11月にはCCPAをさらに強化する新たな規則「CPRA（California Privacy Rights Act:カリフォルニア州プライバシー権および執行法）」が承認され、2023年から施行されています。この法改正により、CCPAの保護範囲が拡大し、消費者の権利が一層強化されました。

3. 日本：個人情報の保護に関する法律 (2005年施行)

OECD8原則は、日本国内における個人情報保護の法制度にも大きな影響を与えています。

1990年代に入ると、インターネットの普及とともに情報技術が急速に発展し、企業や政府が個人情報を大量に収集・利用するようになりました。このような状況下で、個人情報の漏洩や不正利用に対する懸念が社会的に広がり、個人情報の保護に関する法的な枠組みを整備する必要性が強く認識されるようになりました。

1998年には、政府が「国民総背番号制」の導入を検討しましたが、プライバシー侵害の懸念からこの計画は見送られました。この議論を通じて、国民の間で個人情報保護の重要性に対する認識がさらに深まり、法的な対策が求められるようになりました。

2000年になると、政府は「個人情報保護法制に関する基本方針」を策定し、具体的な法案の準備が進められました。この背景には、国際社会において個人情報の保護が重要な課題として取り上げられるようになったことや、欧州連合（EU）のデータ保護指令が強力な影響を与えたことがありました。日本も、国際的な基準に合わせた法整備を急ぐ必要があると認識しました。

こうした一連の動きを受けて、「個人情報の保護に関する法律（個人情報保護法）」が2003年に成立、2005年に施行されました。この法律は、日本における個人情報の取り扱いを包括的に規制する初の法律であり、企業や政府機関に対して個人情報の適正な管理を求めるものです。個人情報保護法は、個人のプライバシーを守るための重要な法律として、日本社会におけるデータ管理の基準を確立しました。

法律の施行後、デジタル技術の進展やグローバル化に伴い、法の改正が求められるようになりました。特に、2017年にはEUの一般データ保護規則（GDPR）に対応するための改正が行われ、個人情報の国外移転に関する規定が強化されました。この改正では、個人データの利用目的を明確化し、本人の権利を強化するなど、より厳格なデータ保護が求められるようになりました。

その後も、情報社会の進展に伴い、個人情報保護法は改正を重ねてきました。2020年には、データの利活用を促進しつつ、個人情報の保護をさらに強化するための新たな規定が導入されました。この改正では、個人データの漏洩が発生した場合の報告義務や、データの匿名化に関するルールが新たに設けられています。

このように、日本の個人情報保護法は、国際的な動向と国内の技術的・社会的な変化に対応しながら成立し、その後も現代社会の複雑な情報環境に適応する形で進化してきました。この法律は、個人情報を保護し、情報社会における安心と信頼を支える重要な基盤となっています。

4. その他：各国のプライバシーに関する法律 (2005年施行)

その他、各国・地域ごとに以下の法律が制定されています。

4. 国際的なデータ保護法（例えば、GDPR）

現代のプライバシーの概念は、多くの国で制定されたデータ保護法によっても強く影響を受けています。特に欧州連合の一般データ保護規則（GDPR）は、個人情報の保護を強化するための詳細な規定を提供しており、プライバシーを「個人データの取り扱いに対する個人の権利」として明確に定義しています。

5. アメリカ法学協会（American Law Institute）のRestatement of the Law, Second, Torts

この文献には、プライバシー侵害の4つの主要な形態が定義されています（侵入、開示、虚偽のライト、専用の権利の侵害）。これにより、プライバシーの法的概念が詳細に整理され、具体的な状況でどのようにプライバシーが保護されるべきかについての指針が提供されています。

AI･データ活用におけるプライバシー懸念

プライバシーとは、個人が他人に知られたくない情報や、その情報が漏れることによる不安や嫌悪感を感じることを指します。この概念は、ただ単に名前や住所といった法令上定義される「個人情報」に限らず、他人に知られたくないと感じるすべての情報を含みます。

このようなプライバシーの保護は、現代のデジタル社会でますます重要になってきています。私たちは、自分の情報がどう扱われているのかを知り、それをコントロールする権利を持つべきだという考え方が強まっているからです。プライバシーは、私たちが安心して生活するために欠かせないものです。

例えば、私たちが日常的に利用するインターネットやスマートフォンを通じて、どんなウェブサイトを見ているのか、どこに行ったのか、何を買ったのかといった行動の記録も、プライバシーに関わる情報です。これらの情報が第三者に知られることで、「知られたくなかった」と感じたり、「何か不安だ」と思ったりすることがあります。

このようなプライバシーの保護は、現代のデジタル社会でますます重要になってきています。私たちは、自分の情報がどう扱われているのかを知り、それをコントロールする権利を持つべきだという考え方が強まっているからです。プライバシーは、私たちが安心して生活するために欠かせないものであり、その保護が今後も大切にされるものであります。

プライバシーは必ずしも法令ではカバーされない

出典：DX 時代における 企業のプライバシーガバナンスガイドブック ver1.2（総務省・経済産業省、2022年2月、P15）

従来の法務部やセキュリティ部門との違い

プライバシー、コンプライアンス、セキュリティは、いずれも情報の管理や保護に関連する重要な概念ですが、それぞれに異なる目的や役割があります。

コンプライアンスは、企業や組織が法令や規制を遵守し、適切な行動を取ることを指します。コンプライアンスは、法令だけでなく、業界のガイドラインや社会的な倫理基準に従うことも含まれます。企業がコンプライアンスを遵守することで、法的なリスクを回避し、企業の信頼性や社会的評価を維持することができます。プライバシー保護もコンプライアンスの一環として扱われることが多く、個人情報保護法やGDPRなどの規制に従って、個人データの取り扱いが管理されます 。

セキュリティとは、情報やシステムを不正アクセスや攻撃、情報漏洩から保護することを指します。セキュリティ対策は、データの機密性、完全性、可用性を確保するために不可欠であり、具体的には、ネットワークの防御、暗号化、アクセス制御、監視などの技術的手段が含まれます。セキュリティはプライバシーを保護するための一つの手段であり、プライバシーと密接に関連していますが、その主な焦点は情報やシステム自体を守ることにあります 。

プライバシーとは、個人が自分の情報を他者に知られないようにする権利や、その情報を自己のコントロール下に置く権利を指します。具体的には、個人が他者に公開したくない情報を保護し、他人がその情報にアクセスすることを防ぐことを目的としています。プライバシー保護は、個人の自由や人権を守るために不可欠なものであり、特に個人データが広く収集され利用される現代社会において、その重要性が増しています 。

プライバシーは個人の情報保護、コンプライアンスは法令遵守、セキュリティは情報システムの保護を指しており、それぞれが異なる側面から組織や個人の情報を守るために機能しています。これらは互いに補完し合いながら、組織全体のリスク管理やガバナンスに寄与しています。

◆ 関連記事
プライバシーとはなにか(1)〜歴史的背景
プライバシーとはなにか(2)〜OECD原則の登場とその影響←この記事
プライバシーとはなにか(3)〜AI･DX時代における定義

===

＜＜前へ：プライバシーとはなにか(1)〜歴史的背景

＞＞次へ：プライバシーとはなにか(3)〜AI･DX時代における定義

===