パキスタンのデータ保護法案がもたらす国家監視の強化

数年に及ぶ遅延を経て、パキスタン情報技術通信省（MoITT）は個人データ保護法案（PDPB）の新草案を公開し、パブリックコメントを募集している。この法案は長らく待ち望まれていたプライバシー保護と同意要件を約束するものとされている。しかし、法律用語の奥に隠されているのは、個人データへの支配権を確立し、無制限の監視活動を合法化し、政府のデジタル権威主義を強化しようとする国家の本質的な意図である。

「個人データ保護法2025」と名付けられたこの法案は、国内外の企業に新たなコンプライアンス義務を課す一方で、国家機関の多くを適用対象から除外している。世界的なデータ保護法に準拠していると謳いながらも、一部の側面では改善を図る一方で、他の部分ではこれまで以上に厳しい統制を強めているのだ。

この法案の真の目的は個人データの保護ではなく、データに対する国家権力の強化にある。これは、データ保護法を市民の自由を抑制するための手段として利用するという、世界的な権威主義の潮流を反映したものだ。

選択的なプライバシー保護

個人データ保護法案2025は、パキスタンのデータ保護基準を強化する様々な規定を導入している。しかし、その効果は実際の執行にかかっている。「センシティブデータ」の定義をカーストや民族にまで拡大したことや、子どものデータに関する保護措置、特に年齢確認と親の同意要件は、デジタル環境における弱者搾取から守るための重要な一歩となる。

法案が強化した同意撤回に関する規定は特に注目に値する。同意を一度きりの手続きではなく継続的な権利として位置づけることで、ユーザーに個人情報管理の主導権を理論上は与えている。また、有害なデータ処理に異議を唱える権利の拡充は、差別的なプロファイリングやデータ悪用からの保護として機能しうる。

しかし、これらの同意規定は現実のデジタルプラットフォームの実態に直面すると大きな課題が生じる。FacebookやInstagram、Twitterなどの主要SNSが「利用規約に同意するか、サービスを使わないか」という二者択一を強いる状況では、法案の掲げる同意の枠組みは根本的に機能しない。細分化された同意オプションがなく、これらのプラットフォームが社会的・職業的な交流において不可欠な存在となっている現状では、ユーザーはデジタル社会への参加か、実質的なデータプライバシーかの選択を迫られる。これは法案が保護しようとする「自由意思による同意」という概念そのものを損う。

さらに、この法案は同意形成における力関係の不均衡を見逃している。雇用契約や、データ処理要求を拒否・撤回する自由がない状況にあっては、同意は形骸化し、法案が想定する「自発的な同意」とは程遠いものになる。

「消去の権利」または「忘れられる権利」の強化も重要な進展だ。第三者のデータ管理者に対しても削除要求に従うことを明確に義務付けている。この規定はデータポータビリティの権利と合わせて、個人がデジタルフットプリントをより自律的に管理し、特定のサービス提供者への依存を減らす助けとなる。

データアクセス要求への応答時間短縮も、データ管理の効率化を示唆している。しかし、これらの規定が国際基準に沿っているとはいえ、その実効性は執行機関の独立性と有効性に大きく左右される。これはパキスタンのデータガバナンスと規制監視の複雑な歴史を考えると特に重要な問題だ。

こうした表面的な改善は、パキスタンのデジタルガバナンスの全体像の中で評価する必要がある。同国では立法意図と実際の執行の間に大きな隔たりがあり、真のデータ保護改革には常に疑問符が付きまとう。

構造的欠陥とリスク

パキスタンのデータ保護への野心と実績の乖離は深刻な懸念を生み出している。その核心にあるのは国家データベース登録機関（NADRA）の巨大なバイオメトリックデータベースだ。これは世界最大級の中央集権型システムで、2億2000万人の市民の機微情報を保管している。こうした大規模なデータ収集にもかかわらず、新法案は国家安全保障を理由に、個人情報取扱いにおける国家機関の免除を規定している（第34条(2)）。

この規制の抜け穴は、パキスタンの重大なデータ侵害の歴史を考えると特に危険だ。NADRAのデータベースは過去に複数のセキュリティ侵害を受け、市民の機微情報が公開ウェブサイト上に暗号化されていない状態で流出した。同様に、2021年には連邦歳入局のデータ侵害により、数百万人の納税者情報と膨大な財務データが漏洩している。

データ侵害の影響は抽象的なプライバシー懸念をはるかに超え、被害者に具体的で、時に壊滅的な結果をもたらす。象徴的な例として、パキスタンで最初に記録されたCOVID-19患者のケースがある。この患者の医療情報が無断で公開されたことは、単なる医療プライバシー侵害を超え、パンデミック初期の不安な社会状況の中で深刻なハラスメントを引き起こした。

この事案はプライバシー侵害と社会的パニックが交差する危険性を浮き彫りにした。センシティブな健康データの無断拡散は即座に深刻な影響をもたらした。患者の個人情報が拡散され、主要メディアまでもが倫理観を放棄し、患者の自宅を取り囲む過剰な報道合戦に加担した。この事案は患者とその家族に精神的苦痛を与えただけでなく、強固なデータ保護の枠組みがなければ、個人情報が社会的迫害の道具に変わりうることを示した。

しかし、こうした脆弱性に対処するどころか、この法案は政府機関をコンプライアンス要件から除外するという逆行した措置を取っている。大規模データ収集、実証済みのセキュリティ欠陥、そして監督の欠如が組み合わさることで、危険な状況が生まれる。国家機関はわずかな保護措置しかないまま個人データの収集・保存・処理を継続でき、「国家安全保障」や「公共の利益」という広範な免除条項の下で、体系的な監視と政治的統制を強化することになるだろう。これは本来、強固なデータ保護法が防ぐべき事態である。

欧州連合の一般データ保護規則（GDPR）は世界的なスタンダードとして広く認められているが、公的機関と民間企業の両方に同等の義務を課している点に留意すべきだ。しかしパキスタンのPDPBはこの国際基準から明らかに逸脱している。

政府のデジタル統制拡大の動きは目に見える形で進行している。最近制定された電子犯罪防止法改正案（2025年）は、デジタル空間における市民の自由に対する国家統制を強化するものだ。この改正は意味のある公開協議なしに成立し、「フェイクニュース」とされるものに対して最長3年の禁固刑や罰金を科す厳しい罰則を導入した。これはすでに制限的なデジタル環境をさらに締め付け、オンライン表現の全面的な犯罪化へと一歩踏み出すものである。政府はデジタルの自由を制限するため、以下のような追加措置も講じている：

• 厳しい検閲下での安全な通信と情報アクセスを制限するVPNへの積極的な取締り
• 合法的傍受管理システム（LIMS）の導入による、通信事業者を通じたユーザー活動への当局のリアルタイムアクセスの許可

VPNが禁止され、大規模監視が日常化し、言論の自由が犯罪とされるこの状況下で、データ保護法案が国家機関を適用対象から除外すれば、権利を抑圧し、犯罪化を通じて支配が強化されるデジタル監視社会の構築へと、さらに歩を進めることになる。

このアプローチは必然的に萎縮効果をもたらし、法案の越境データ移転制限によってさらに悪化する。この制限は事実上、データの国内保存を強制する。市民社会組織はこうしたデータローカライゼーションの試みに一貫して反対してきた。国内保存されたデータは政府がより容易にアクセスできるようになり、現在の政治状況では活動家、ジャーナリスト、人権擁護者、政治的反対派、反体制派にとって特に危険だからだ。テクノロジー企業もコンプライアンスコストとインフラ整備の負担から、こうした要件に抵抗している。

さらに、データ保持期間と目的制限に関する規定はパキスタンの法的枠組みの中で矛盾を生じさせている。表面上は個人データを目的達成後に保持すべきでないと定めているが、この原則は既存の電子犯罪防止法（PECA）2016と根本的に矛盾する。PECAではサービス提供者に対して最長1年間のデータ保持を義務付けており、両法の有効性を損なう規制上の矛盾を生じさせている。

この法的矛盾は単なる手続き上の混乱を超えた問題をはらんでいる。組織的なデータ悪用を可能にする危険な規制のグレーゾーンを創出しているのだ。パキスタンのデータローカライゼーション要件という大きな文脈の中で、この曖昧さは長期的なデータ保持と処理のために、これらの矛盾する義務を悪用しようとする組織に絶好の機会を与えかねない。

厳格で独立した執行がなされれば市民データは保護されうると考える向きもあるが、規制監督における権威主義的傾向を踏まえれば、この楽観論は揺らがざるをえない。提案されている個人データ保護委員会（PDPC）は連邦政府の管理下で運営されるため、独立性に疑問が残る。国際基準が要求する自律的な監視機関とは異なり、この従属性は選択的な法執行を可能にし、批判者を標的にしたり、政府寄りの機関を事実上免責したりするかもしれない。こうした状況はパキスタンの立法環境では珍しくない。

結果として、この法案は国家主導のプロファイリングに対する実効性のある保護措置を欠く。すでに高度にセキュリティ化されたデジタル環境において、これはジャーナリスト、活動家、そして社会的弱者への政治的抑圧と監視強化に関する正当な懸念を提起する。

危険な空白地帯

2024年11月のサイバー脅威インテリジェンス会議で、パキスタン政府は2025年初頭に導入予定の人工知能（AI）政策指針を発表した。IT省はこの政策をサイバーセキュリティを重視したデジタル経済成長の原動力として位置づけるが、市民保護における重大な欠落が露呈している。

パキスタンの現行AI規制議論は偏っている。経済的機会と、おなじみの国家安全保障という大義名分の下での政府機関のサイバーセキュリティを過度に強調する一方で、ユーザーの権利、保護、データセキュリティに関する包括的な検討が著しく欠如している。これらは個人データ保護法案2025の多くの条項も対処できていない重要な盲点である。

2025年2月5日に発効した欧州連合のAI法、特にセクション5は、AIの導入に明確で強制力のある境界を設定することで、パキスタンのアプローチと鮮明な対比を成している。パキスタンの枠組みが経済成長と国家安全保障を優先する一方、EU法は基本的権利と市民的自由を脅かすAIアプリケーションを明示的に禁止している。

社会的信用スコアリングシステム、職場や教育現場での感情認識技術、予測的犯罪プロファイリングを禁止することで、EU法はAIが体系的な差別と社会的統制をいかに可能にするかを認識している。同様に、生体認証による分類やオンライン顔認識データベースの大規模スクレイピングに対する制限は、パキスタンの提案枠組みが大部分見過ごしているプライバシーの懸念に直接対処している。

これらの禁止事項は市民保護を中核に据えた規制哲学を反映しており、パキスタンの経済中心アプローチとは本質的に異なる。EU法がAI導入に関する具体的で実行可能な境界線を設ける一方、パキスタンの提案枠組みは個人の権利とアルゴリズム被害に関する重要問題を大部分未解決のままにしている。この規制優先順位の相違は、新興技術的脅威から市民を保護するパキスタンのAIガバナンス戦略の妥当性に関して深刻な疑問を投げかける。

個人データ保護法案は自動化された意思決定に異議を唱え、人間の介入を要求する権利を個人に付与しているが、重要な領域での不備が目立つ。AIシステム、自動監視、アルゴリズム的意思決定での個人データ使用に関する明確な保護措置の欠如は、規制されないAI乱用の危険な余地を残している。

効果的な立法は、基本的権利を脅かし、社会的弱者を差別するおそれのある行為に対する明確な規制を確立すべきだ。法的枠組みは既存の不平等を強化するのではなく、解消するために機能しなければならない。

これらのシステムが個人データをどう処理するかを規制しないことで、パキスタンは説明責任のメカニズムなしに、強力で侵襲的な技術の無制限の拡大を許容している。必要な保護措置を導入する機会を活かすどころか、この法案は現代の最も重要なデジタルライツ課題の一つを放置している。

国際データ保護基準への違反

この法案は国際的なベストプラクティスに達していないだけでなく、GDPRで概説されている基本原則を含む、主要なデータ保護原則に直接違反している：

• 合法性、公正性、透明性：政府機関への適用除外は無制限のデータ収集を可能にし、透明性と公正性を損なっている
• 目的制限：曖昧な国家安全保障と公共の利益の例外により、ユーザーの同意なしにデータが別目的で使用される可能性があり、GDPRの厳格な処理制限に反している
• データ最小化：特にバイオメトリックデータや監視データに関する過剰収集を制限する明確な規定がない
• 保存制限：政府機関によるユーザーデータの無期限保持を防止する保護措置がない
• 完全性と機密性：国家に対するサイバーセキュリティ責任が弱く、バイオメトリックデータや個人データの誤用・漏洩リスクを放置している
• 説明責任：PDPCは独立性を欠き、GDPRが要求する中立・独立した執行機関の条件を満たしていない

市民の権利への影響

法案における政府の主要なコンプライアンス義務からの免除は、無制限の国家主導データ収集を正当化し、プライバシーと異論表明にとって一層敵対的なデジタル環境を生み出している。VPN制限、インターネット通信監視、匿名性に対する法的障壁の増加により、市民のオンライン保護は急速に侵食されつつある。NADRAによる市民の機微情報漏洩から、監視ツールによるジャーナリストや活動家の標的化まで、パキスタンのデジタル取締りの歴史はデータの武器化を示しているが、この法案はそうした悪用に対する保護を提供していない。さらに、AIによるデータ処理に対する保護導入を怠ることで、この法案は無規制のアルゴリズム被害を許容し、AIが高度化・商業化するにつれ、社会的弱者、活動家、脆弱な人々に不均衡な影響を与える恐れがある。

パキスタンの市民社会、デジタル権利活動家、法律専門家は、データ保護が偽装された国家監視ではなく真のプライバシーを意味するよう、これらの条項に対して抵抗を続ける必要がある。また、無規制の国家主導AIシステムが差別を固定化し、デジタル権威主義を深め、説明責任を完全に消し去る前に、AI規制の緊急課題にも対処しなければならない。

ヒジャ・カムラン（she / her）はGenderITの編集者であり、APCの女性の権利プログラム（WRP）のコンテンツコーディネーターを務めている。デジタル権利活動家として、グローバルサウスにおける政策と人権擁護の重要課題に10年以上取り組んできた経験をAPCとWRPの活動に活かしている。

Between Privacy and Power: The Fine Line in Pakistan’s Data Protection Bill | GenderIT.org