一部のメディアは「骨抜きになった」などと報じていますが、改正が実現すれば、欧州連合(EU)との「十分性認定」の交渉が可能になります。EUは「個人データの保護措置が十分」と認めた国にしか域内の個人情報の移転を許していません。日本は未認定で、欧米企業との競争で障害になっていました(※1)。昨年12月の骨子案に滑り込んできた「利用目的の制限緩和」は国際標準から逸脱しており、そのままでは改正の目的の一つだった「十分性認定」の取得は困難でした。原案のまま改正案が成立すれば、国際協調に弾みがつきます(ただし3月4日現在、自民党内で意見が割れており、原案をさらに見直し、「利用目的の制限緩和」を再度滑り込ませようという動きもあり、予断を許さない状況です)。
原則論として、ビッグデータ時代においては日本だけで特殊な規制を法制化しても、結果的に実効力を失う恐れがあります。個人に関するデータは世界中を自由に飛び回ります。いくら「個人情報」の定義を広げても、海外にサーバーを置く事業者は取り締まれません。国内の事業者が規制に縛られているうちに、海外事業者がシェアを伸ばすことは容易に考えられますし、すでに一部ではそうなっています。
たとえばスマートフォン向けのアプリでは、アップルやグーグルなど海外の事業者がプラットフォームを提供しているため、国内法の範囲外で日本向けのマーケットが運営をされるケースが増えています。
さらに今後は、個人に関する情報が積極的に海外へ持ち出されることも考えられます。グレーゾーンが広がるばかりの日本にデータを置くよりも、適切な法制度に守られている海外で管理したほうが、より安全だと考える事業者もいるからです。
医療機関の「電子カルテ」や遺伝子検査サービスなど、デリケートな情報も、中国や台湾、インドで行われるケースが増えてきています。誰が、誰の、どういう情報を持っているのか。利用者どころか、日本政府でさえ把握できなくなっています。