- Log in to post comments
以下に訳出したのは、JCA-NETが加盟しているAPCのウエッブサイトに掲載されていた最近のアジア各国における個人情報保護法制の現状についてのレポートです。一般には個人情報保護の法律は市民のプライバシーの権利などを保護する法制度という建前を持ちますが、以下にあるように、この法制度を転用して情報の隠蔽や市民運動、社会運動の弾圧に用いるなど様々な問題が生じてきています。
日本については言及がありませんが、日本も同様の問題を抱えています。たとえば、東京オリンピックを口実に首都圏のJRの全ての車両と駅に顔認識付きの監視カメラが大量に導入されたケースでは、国の個人情報保護委員会が、この公共空間での監視カメラ設置を承認しました。しかも、この件での情報公開の開示請求について、ほぼ全ての文書を黒塗りにし、鉄道会社の利益を優先し、利用者のプライバシーの権利を守りませんでした。その一方で、個人情報保護委員会は、国際的な会議の場面では、あたかもプライバシーの権利を保護しているかのようなポーズをとりつづけています。また、より深刻な問題として、マイナンバー制度があります。この制度についても個人情報保護委員会は、これがプライバシーを侵害する網羅的な監視のシステムになりうることを知りながら、むしろ放置しているのが現状です。こうした現状を念頭に置きながら、アジア各国で起きている事態は、決して他人事ではなく、アジアの人々とも一緒に政府や企業による人権侵害と闘う連帯の運動を作ることが重要だと思います。(小倉利丸:JCA-NET理事)
アジア太平洋地域の個人データ保護法は専制政治に悪用されている
「Surveillance" by Aaron Guy Leroux via Flickr (CC BY-NC-ND 2.0)
Shalom Gauri
公開日: 2023年9月20日
最終更新日:2023年9月21日
Covid19の大流行によってデジタル化が加速し、私たちは今、>データの収集は日常生活の既定の部分となっており、データ使用を規制することがプライバシーの権利の中心課題となっている。過去10年間で、個人データ保護(PDP)は世界中で新たな喫緊の立法分野として浮上してきた。アジア太平洋地域では、日本、マレーシア、韓国、フィリピンが最初にPDP法を制定し、中国、タイがそれに続いた。過去2年間では、ベトナム、インドネシア、インド、パキスタン、スリランカ、バングラデシュが初めて包括的なPDPの枠組みを起草するなど、急速な発展を遂げている。しかし、これらの法整備が実際に市民のプライバシー権や民主的価値観に役立っているかどうかは、まだ未解決の問題である。
バングラデシュとネパールの新しいPDP法に対して、インドネシアのAPCメンバーであるEngageMediaのシニア・コミュニケーション・マネージャー、サラ・パシアは、「デジタル上のツールと法律を人権侵害に使用する傾向」に注意を促している。EngageMediaの南・東南アジア6カ国におけるデジタル上の権利に関する最新レポートの調査結果にも裏付けられ、彼女は各国が「市民的自由の擁護よりも国家安全保障の優先を優先し続けている」と主張している。
この最近の傾向は、最近のAPrIGFのセッション「保護のためなのか、危害を加えるためなのか?個人データ保護法におけるプライバシーと市民の自由の間の緊張は、市民社会にとって何を意味するのか」では、アジア太平洋地域全体の事例が、権威主義的な政府や企業による、情報への一般市民のアクセスを抑制し、大量監視や個人データの悪用を可能にするためのPDP法の戦略的かつ選択的な使用を指摘した。
メディア、反対意見、説明責任
報道の自由、表現の自由、一般市民の情報への権利(RTI)は、民主主義を機能させるための相互にリンクしたメカニズムである。これらは、ガバナンスの透明性、腐敗の防止、反対意見や積極的な市民参加のための民主的な場の創出にとって極めて重要である。アジア太平洋地域の経験から、PDP法は権威主義政府がこれらの基本的権利を攻撃するための最新の武器に過ぎないことがわかる。
PDP法が最も露骨に悪用されているのは、独立したメディアと報道の自由を取り締まるために使用されている国々である。フィリピンでは、2023年8月2日、ラジオレポーターのホセ・リザル・パハレスがイリガ市警に拘束された。同警察は、ニュース記事のために警察の記録簿をスキャンする行為は2012年データプライバシー法違反だと主張した。パハレスは1万ペソの保釈金で数日後に釈放された。バングラデシュでは、特にソーシャルメディア上の反対意見を抑制するためにデジタルセキュリティ法が使用されており、医師、学生、ジャーナリストなど、わずか2年間で800人以上の人々が逮捕されている。これはスリランカでも起きており、市民的及び政治的権利に関する国際規約(ICCPR)法とコンピュータ犯罪法によって、今年ユーチューバー、セパル・アマラシンゲが逮捕され、2020年にはラムジー・ラズィークが5ヶ月間拘留されるなど、市民の恣意的な逮捕が可能になっている。
あまり目立たないが、情報への権利に関する法律を無効化するためにPDP法が使用されている。フィリピンのLIGHTS Instituteのシニアアソシエイトであるマリステラ・ミランダは、APrIGFで、ロドリゴ・ドゥテルテ前大統領のSALN(資産・負債・純資産の明細書)への一般公開を求める長い闘いと、フィリピンにおける汚職を許すためにデータプライバシー法が使用されている方法について語った。
同様に、インドの新しいデジタル個人データ保護(DPDP)法(2023年)は、既存のRTI法を改正し、資産やサービスに関連するデータを含む「個人情報」を政府が保持できるようにするものである。APCのメンバーであるDigital Empowerment Foundationのマネージャー、ジェニー・スルファスは、「RTI法は人々に公共データを調査する絶大な権限を与えています。例えば、全国農村雇用保証法(NREGA)のウェブサイトには、この制度によって雇用された人々の日数が表示されていますし、PM Awaz Yojnaのような制度によって給付を受けた人々の名前も公開されています。これは、汚職や縁故主義をチェックするための市民社会運動によって勝ち取られた説明責任のメカニズムです」と述べている。PDP法では曖昧な表現が使用されているため、RTI法に抵触した場合、何が行われるのかが都合よくあいまいにされている。
矛盾した施行は専制政治を助長する
PDP法はしばしば市民社会組織(CSO)を厳しく取り締まるが、政府の活動そのものを規制するために使用されることはほとんどない。マリステラやインドネシアのCRI(Combine Resource Institution)のFerdhi Fachrudin PutraがAPrIGFで指摘したように、CSOをデータ受託者(大量の公共データを処理する主体)に分類することが、公益のために活動する非営利団体の財政的・官僚的負担を高めるために、フィリピンやインドネシアで戦略的に使用されている。コンプライアンス違反に対する不釣り合いな高額の罰則、十分な法的研修の欠如、膨大な文書の義務付け、データ保護責任者の任命などは、PDP法制のますます一般的な性格となってきている。
スルファスは、先月データ・プライバシー法が可決されたばかりのインドも、それほど遅れをとってはいないと付け加えた。「私たちのような組織は、いくつかの資格サービスを提供しているため、受給者データを取り扱っています。私たちは、政府プログラムの実施の成否を把握するために調査を行うこともあります。この調査には、収集されデータが不利に利用されるかもしれない人々へのインタビューも含まれます。私たちはこのデータを公共の利益のために収集し、説明責任を果たしています。大手ハイテク企業に適用されるルールが私たちにも適用されるかどうかは不明です」。
実際、インドのDPDP法は、公共意識が高いCSOの利益を保護するどころか、新興企業のデータ受託者を一部の規定から免除するなど、民間部門に都合の良い抜け穴を提供している。また、ローン滞納者のデータを処理する企業にも適用除外が設けられている。デジタル化の研究者であるスリニヴァス・コダリは、「これはインドの社会から疎外された人々をさらに経済的に排除するために使用されるローン滞納者データベースの作成につながる」と最近書いている。
インドネシアでは、PeduliLindungiアプリがCovidパンデミックの際に使用され、公共施設やサービスとワクチン接種状況をリンクさせ、免疫不全者のアクセスを著しく制限した。バングラデシュでも、パンデミックは政府による野放図な集団監視を悪化させた。2021年4月から7月にかけてMovement Passアプリへの登録が義務化されたことで、スマートフォンやインターネットサービスを利用できない市民を含む知識を持たない市民に対して、不当な拘束、処罰、罰金だけでなく、個人データの収集が広まった。2023年に施行される予定のDP法では、法執行機関や国家安全保障エージェンシーを免責する規定があり、このような悪用がさらに可能になっている。2021年2月のクーデター後、ミャンマーは同様の悪用を経験した。一方、Telegramを通じた個人データの無制限な共有は、反軍のスタンスをとる市民や企業に対する致命的なDoxingキャンペーンを可能にした。
私たちはデータ収集をもっと厳しく監視する必要がある。特にポリシー協議に一般市民がほとんど参加せず、影響を受けたコミュニティに効果的な救済手段を提供できていない国々ではなおさらだ。このような場合、十分な監視防止法がないため、何百万人もの市民の個人データが第三者の悪用にさらされやすくなる。インドネシアでは、2023年の最初の半年だけで35件のデータ流出が起きている。ジェイコブ「自分の権利を主張できるのは、十分な資源を持つ人だけであり、それ以外の人たちは、自分の力に頼るか、運命に身を任せるしかないのです」と語っている。
国境を越えた移転とデータのローカライズ
データのローカライゼーションと国境を越えたデータの流れもまた、この地域のPDP法が扱う重要な問題である。欧州連合(EU)が2016年に一般データ保護規則(GDPR)を策定した際、「設計およびデフォルトによるデータ保護」を導入し、ユーザーによる別段の承認がない限り、または公共の利益によって覆されない限り、システムはデータをプライベートに保つことを意図した。ビッグ・テックとグローバル・ノース諸国からの圧力により、いくつかの国がPDP法のこの側面を改正することになった。例えば、バングラデシュに駐在する米国と英国の両特使は、次期DP法における厳格なデータローカライゼーションの規定によって、外国企業が市場から撤退せざるを得なくなり、2,000社以上の新興企業のビジネスに影響を与える可能性があると発表した。2022年にインドのDP法案に対する同様の反対運動が起こり、草案が撤回され、法律の規定が差し替えられ、別段の定めがない限り国境を越えたデータ移転が認められるようになった。
反面、厳密なデータローカライゼーションへのこだわりが、支配的な政府体制の権威主義的な関心に動機づけられる危険性もある。パキスタンでは、2023年個人データ保護法案(PDPB)草案が、ローカルデータ保存を義務付ける条項によって、政府がソーシャルメディア・プラットフォーム上の反対意見を検閲したり、心理的な有権者プロファイルを作成するためにユーザーデータにアクセスしたりすることを可能にするかもしれないという懸念を提起している。2016年の米国大統領選挙キャンペーンや、2022年の選挙におけるハンガリーの政党フィデスのデータ主導型キャンペーンに見られるように、このことは選挙民主主義に深刻な結果をもたらす可能性がある。
エヴァン・ファイゲンバウムとマイケル・ネルソンは、インドと韓国のPDP法に関する2022年の研究の中で、「保護のための措置とコントロールのための措置を区別するのは難しい」と指摘している。彼らは、欧米の市場支配に対抗しようとするアジア太平洋諸国の試みが問題をさらに複雑にしており、国内企業を後押しする「逆差別」が政府のさらなる動機になっている可能性があると論じている。
APrIGFのセッションで、Tifa Foundationのプロジェクションマネージャーを務めるデボラ・クリスティンは、アジア太平洋地域のPDP法について、GDPRの「ブリュッセル効果」だと言及した。世界標準と考えられているGDPRは、それ自体が、市民の自由を抑制するためにPDP法がいかに深刻に悪用されうるかの一例である。ハンガリーでは、製造業大手がフォーブスと独立系週刊誌マジャール・ナランチの両社に対して勝訴し、プライバシーの名において報道の自由を制限するという危険な前例を作った。ギリシャでは2017年、金採掘会社による環境破壊をレポートしたジャーナリストのStavroula Poulimeniに対してPDP法が使用され、ルーマニアでは汚職スキャンダルを報道したジャーナリストに対して初のGDPR訴訟が起こされた。
したがって、アジア太平洋地域の経験は、より大きな文脈の中に位置づけられなければならない。このような国々から浮かび上がってくる懸念は、個人データ保護に関する包括的な世界的枠組みと、それが最終的に果たす利益について、厄介な疑問を投げかけている。
著者について。シャローム・ガウリ(彼女/彼女)は法と正義に強い関心を持つライター。歴史とジャーナリズムを学び、SFと反資本主義的想像力をこよなく愛する。
出典:https://www.apc.org/en/news/personal-data-protection-laws-across-asia-p…