PAGE TOP

english
個人情報保護委員会
G20 2019 JAPAN

開催報告

※掲載内容は要約です。

開催概要

 IT(情報技術)の飛躍的な発展に伴い、グローバルに流通するようになった個人情報の保護に関して、各国で法制度の整備等が進められている。個人情報保護委員会が都内で開催した本セミナーは、今年、我が国が初めて議長国となったG20における個人データ保護の議論を活性化することを目的とし、主要G20加盟国の、個人データ保護の当局者らがプライバシー保護に関する最先端の知見を共有する場となった。

開会あいさつ

嶋田 実名子

嶋田 実名子

個人情報保護委員会委員長

 国内外から大勢の方々にお集まりいただき、心より御礼申し上げる。また、本年はわが国が初めてG20の議長国となり、大阪においてG20サミットが開催されるが、当該G20の関係各国からも多数の方にご参加いただいている。
 情報技術の飛躍的な発展に伴い、グローバルに流通するようになった個人データの保護に関しては、各国において法制度の整備等が進められている。文化や価値観の異なる国・地域が個人データの保護に関して特色ある制度構築を進める中、本セミナーは、G20サミットが日本で開催される貴重な機会を捉え、グローバルな視点に立ち、個人データを保護しつつ、信頼ある自由なデータ流通を創造することの意義や、関連する課題等に関する情報を共有して認識を深めることを目指している。
 本日のセミナーが、G20加盟国間における国際的な連携と、相互に信頼が確保された自由なデータ流通を促進するための議論の一助となることを期待している。

基調講演 信頼あるデジタルデータ流通実現のための前提条件

マリー・ロール・ドゥニ

マリー・ロール・ドゥニ

情報処理と自由に関する国家委員会(仏CNIL)委員長

 データ保護の信頼醸成に向けて

 世界はデジタル化し、国際貿易はデータ流通や個人データ移転にますます依存している。消費者のプライバシーの取り扱い方が、消費者行動やデジタルサービス、市況に影響を与えることは不可避である。では、自由なデータ流通においてどのような信頼が期待されているのか。世界的自由なデータ流通には三つの保証が必要である。一つ目は、個人データが保護されること。EUでは、個人データはEUの基準に基づいて保護されることになっており、この保護は個人データと共に移転する。これがGDPR(一般データ保護規則)である。二つ目は、グローバルな自由なデータ流通が依存できるツールがあること。EUは長年、データの国際移転のツールに関して取り組み、最近はBCR(拘束的企業準則)と越境データ流通に関するガイドラインをアップデートしている。EUと日本は今年、相互の十分性認定を行った。これは、われわれと個人情報保護委員会との協力強化にもなる。三つ目は、規制当局同士が自由なデータ流通イニシアチブを協調して導入・執行することである。
 もう一つ重要な要素は、当局がそのミッションを完遂するためのリソースを持っていること。ここにおいてもGDPRは、その目的を追求するためのツールとなる。現在、欧州のデータ保護当局は、GDPRの第50条の規定に基づいて国際協力を具体的に進めている。これによって当局間の友好裏な法的協力が進み、個人データの保護が国際的に確保されることを願っている。

ジェームス・サリバン

ジェームス・サリバン

米商務省次官補代行

 相互運用性が重要な一歩

 世界はデジタル化が進み、40億人のインターネットユーザーが存在し、毎日2.5百京バイトというデータがつくられている。さらに、これが2025年には10倍に増えるといわれている。越境データはグローバル経済の産出高の22%を占め、大規模な多国籍企業だけでなく、中小企業にとっても非常に重要である。それと同時に、国際的なデータ流通ではプライバシー保護やデータ保護が中核的な問題でもある。
 アメリカを含む多くの国の政策当局は、EUがデータ保護について28カ国間で協調しようとしていることに歓迎している。諸外国を見ると、個人データ保護に関する政策や法律などは、まだ国によってかなり差があるが、越境データ移転を制約する方向性に向かっているように思われる。EUのGDPRを基に自らのデータ保護法を設立している国も多い。GDPRは、多くの国にとって最も包括的で先進的な法律であるとされているからだ。GDPRから学ぶべきことは非常に多い。
 ただ、それぞれの文化や法制度、経済発展、テクノロジーの革新のペースが違うから、単にGDPRをコピーすればいいというものではない。プライバシーやデータ保護に関する単一の世界基準はできないだろう。だからこそ、プライバシーやデータ保護に対して革新的な枠組みを持って当局間の違いを埋めて相互運用性を高めていく必要がある。アメリカは現在、国によって異なり得る個人データ保護制度の違いを埋めるために二つの認証メカニズムを持っている。プライバシーシールドとAPEC(アジア太平洋経済協力)のCBPR(越境プライバシールール)である。これらがグローバルな認証メカニズムへとつながっていくものと期待している。

ブルーノ・ジャンカレリ

ブルーノ・ジャンカレリ

欧州委員会司法総局データ移転・保護課長
(欧州委員会委員ベラ・ヨウロバ(司法・消費者・男女平等担当)代理)

 EU・日本は相互認証で協調を

 EU・日本の相互認証、十分性認定の採択が行われて数カ月、プライバシーの保護が重要視されている中、私たちはビジョンを共有し、しっかり法律の枠組みで個人データ保護の仕組みをまとめていくことの重要性を共有している。日本では古くからプライバシーマークが使われており、これは私どもも学ぶところが多い。
 相互の憲法的枠組みと人権を尊重しつつ、同時に民主主義における一貫性や選挙システムを守り、一方で経済面での必要性にも応えていかなければならない。消費者の信頼を得ることができなければ、データ主導型の経済を持続可能な形で成長させていくことは不可能である。その意味では、日本もヨーロッパも、それぞれのデータ保護の規則を改革してきた。
 次の課題は、規制の要件をクリアした上でどうビジネスとして良い形にしていくかだ。どのようなデータを所持するべきか、そして顧客や商業上のパートナーと信頼関係をより強く築いていくために何をすべきか。ビジネスをけん引する要素として、それらを戦略的に活用することも重要だろう。ツールをしっかり開発することにより、企業が新しいルールを順守できるようにし、行動規範などのさまざまな基準・標準を示していきたい。EUは日本と協力して、プライバシーのガバナンスシステムをしっかりと実施しようとしている。

パネルディスカッション① データ流通の担い手相互の信頼醸成のために

パネリスト

ジョシュ・ハリス

ジョシュ・ハリス

TrustArc国際政策部長

 CBPRは各国間の橋渡し

坂下 哲也

坂下 哲也

一般財団法人日本情報経済社会推進協会(JIPDEC)常務理事

 安全なデータ流通のために認証がある

別所 直哉

別所 直哉

一般社団法人日本IT団体連盟専務理事

 TPDMSの導入を目指して

アンナ・プーリユ

アンナ・プーリユ

欧州委員会GDPRマルチステークホルダーグループエキスパート、ビジネスヨーロッパ代表、ヨーロッパ国際法連盟(FIDE)プライバシー報告者、シャネル プライバシー責任者

 法律を超えて国同士の協力が必要

片山 建

片山 建

日本マイクロソフトデジタル政策部長

 全ての人にData Subject's Rightの提供を

ローラ・J・ミカス

ローラ・J・ミカス

Facebook プライバシーポリシーディレクター

 説明義務は常に改善すべき

モデレーター

ボヤナ・ベラミー

ボヤナ・ベラミー

情報政策リーダーシップセンター(CIPL)代表

 さまざまな認証という橋渡しを

(ベラミー) 本日のパネルディスカッションでは、ステークホルダー間でいかに相互信頼を醸成することが出来るかという点について話し合いたい。今デジタル社会に起きていること、第4次産業革命、日本ではSociety5.0と呼ばれているが、これは非常に心が躍る。しかし、同時に信頼醸成が不十分との指摘もある。企業がデータを共有するに当たっての信頼の欠如が業界内でも存在する。どのようにして信頼の輪を各国間でしっかり構築できるか議論したい。

(ハリス) CBPRは、APECでつくられた企業認証のネットワークである。APECメンバーがCBPRに参加するには、まずCPEA(越境執行協力協定)に参加する必要がある。次に、CBPRに参加を希望するという意向表明書をAPECに提出する。その表明書の中には、少なくとも一つはAA(アカウンタビリティ・エージェント)を使用する意向がある旨などを記載する必要がある。そして、最も重要なのが、「執行マップ」を作成することにより、CBPRが認証事業者に遵守を求める要件について、国内法の適用により執行可能であることを証明することである。
それらの提出が終わると、JOP(APECの共同監視パネル)が審査し、APECメンバーの全会一致で認められれば、CBPRへの参加が認められることになる。
 事業者がAA(TrustArcやJIPDECなど)からCBPRの承認を得ると、AAは認証の証としてシールやスタンプを発行する。これらは、消費者からすれば、その事業者を執行当局がきちんと監視していること意味する。CBPRで最も重要な点は、異なる法制度下であっても、要件を満たすことで、一定の保護水準が担保されるということである。元々、CBPRは各々の国内法に取って代わるように作られたものではない。従って、CBPR認証を進めていく中では、ギャップを補完する法整備をしなければいけないこともある。国内法とCBPRの共通点あるいは相違点を認識することで、各国の法制度のギャップを埋めることができるのである。

(坂下) JIPDECは1967年に設立された。プライバシーマークは1998年4月1日から運用している。日本には個人情報保護法があり、企業における個人情報保護のマネジメントを行う規格がJIS Q 15001である。JIS Q 15001に基づき事業者がマネジメントを行っていることを私たちが独自に確認して、プライバシーマークを付与し、使用権を与えるというビジネスをしている。プライバシーマークを取得した事業者は現状1万7000社ほどあり、今も増え続けている。私たちは個人情報保護委員会と共にCBPRのプロモーション活動もしている。ホーチミン、香港、台北などにおいてデータの流通・トラストに関するプレゼンテーションし、CBPRへの参加を募っている。私たちの仕事は認証が目的ではない。安全なデータ流通をしてもらうための支援の一つに認証があると考えている。私たちは、プライバシーマークの付与やCBPRの認証を通じ、事業者が消費者や従業員からの信頼度を高めていくための支援をこれからも継続していきたいと考えている。

(別所) 私どもIT連盟は日本最大のIT産業組織である。日本のデータ利用に関する法律を前提に今、TPDMS(Trusted Personal Data Management Service)の導入を考えている。利用者にTPDMSへデータを預けていただき、適切な会社にそれを提供するサービスだ。適切でないと判断した会社には提供しないし、集めたデータの中から必要なものだけを提供する。TPDMSのコンセプトの一つは、利用規約の中にプライバシーポリシーを入れ込んでいること。もう一つは、データ倫理審査会(Data Ethics Board)をつくるよう求めていること。私たちはたくさんのデータを日々の生活から生み出し、データの海にいるようなものだ。そのデータの海に、何もないまま飛び込めと言われているのが今の状態である。そこにはスイミングコーチのような存在が必要であり、その役割をするのがデータ倫理審査会である。安心して海で泳ぐための存在だ。これを一つの会社でやってもなかなか信頼されないので、IT連盟が信頼できるTPDMSを認証する仕組みをつくろうと考えている。

(プーリユ) EUには28カ国あり28の異なる法律があった。プライバシー法も必ずしも整合していなかった。さらに、一つの国の中でも相反する法律があった。私はドイツで8年間働いたが、州毎に規制当局があった。私がフランクフルトにいて、お客様がミュンヘンやベルリンにいるとなると、私のところではOKが出ているプロジェクトでもお客様のところの規制当局は駄目と言うかもしれない。この問題解消に当たりどれだけコストを掛けてきたかと思うが、GDPRの導入によって、一貫性が確保された。
 GDPRは現在、グローバルスタンダードになりつつある。ただ、まだ少し行き過ぎている国やローカル化し過ぎているところもある。厳格なルールが見られる国もある。では、われわれはどのように力になれるのか。越境データ流通を無視して、単独の法域の中だけで見ることは適切ではない。国によって相反する法律があるが、より調和の取れた存在になりつつある。少なくとも世界で最も強い国々、最も重要な国々は、ここでしっかりと手に手を取り、データの流通や移転に関して協力しなければならない。

(片山) 弊社は、12万人の社員と160カ国でビジネスさせていただいている。日本には約2000人の社員がいる。「地球上の全ての個人、全ての組織がより多くのことを達成できるように」が企業ミッションである。GDPRはヨーロッパの人々の法律だが、弊社は、data subjects’ rights、プライバシーダッシュボード、ということで、自分たちの情報の管理、データの削除、プライバシーの管理をヨーロッパの人々のみならず、世界中の人々に提供している。非常に特徴的で面白いのは、GDPRの施行後何らかの形で自分たちの情報を管理、チェックした人は、ヨーロッパではなくアメリカが一番多いことだ。アメリカの670万人に対しヨーロッパは400万人。日本は140万人だった。今年1月、欧州委員会はヨーロッパと日本の十分性認定を決定した。個人情報保護法の3年の見直しということで、個人情報保護委員会の考え方が発表されているが、その中でも説明義務つまりプライバシー影響評価に触れられている。企業が自ら説明義務を持った形でプライバシーについてどう透明性を持ってやっていくかについて、GDPRの中でもDPIA(データ保護影響評価)は法律上認められている。日本は個人情報保護法、EUはGDPRで、実はアメリカだけ連邦法がない。アメリカのプライバシー連邦法はグローバルなプライバシーフレームワークの中の一つの必要性として提言されているし、弊社も2005年から必要性を主張している。

(ミカス) ユーザ-のプライバシーを守るために、事業者は継続的に説明義務の改善を図るべきである。我々は、常に新しい管理手法を開発し、関係者に明確に説明し、研究に投資し、プライバシーのコミュニティとも連携しながら改善を図っている。現在、数多くの関連プロジェクトやキャンペーンを走らせている。また、トップからの説明義務が果たされることも重要である。我々のCEOであるマーク・ザッカーバーグは、政府に対しプライバシーに関する規制を呼び掛けると共に、プライバシーやポータビリティの規制について、GDPRが出発点であり、インスピレーションになると言っている。
 ユーザーからの信頼を強化していくため、我々の組織には三つの柱がある。一つ目は、先ほど述べたように、我々がどのような施策を打ち出し、ユーザーとインタラクトするかという事業者内部の取り組みに関するものだ。二つ目は、政策策定への協力的関与であり、企業外の組織と連携している。例えば世界中でDesign Jamというワークショップを政策立案者や専門家と共に行っている。三つ目として、プライバシーの専門家にコンサルティングも受けている。これからも最善を尽くして改善を続け、ユーザーやステークホルダーとの信頼を醸成したい。

(ベラミー) さまざまな方法・ツールが提供されていることが分かった。越境データ移転の方法は既に いろいろ存在しているが、我々一人一人や各国がそれらを認識し合っていかなければならない。そして、認証という橋渡しをさらに開発しなければいけない。GDPR、CBPR、日本のプライバシーマーク、その他から学べることがある。

パネルディスカッション② データ流通における政府の役割

パネリスト

アンドレア・イェリネク

アンドレア・イェリネク

欧州データ保護会議(EDPB)委員長

 EUと日本は主要なパートナー

アン・カブラン

アン・カブラン

経済協力開発機構(OECD)デジタル経済政策課長

 データ流通の可能性を追求

ゴパラクリシュナン・S

ゴパラクリシュナン・S

インド電子情報技術省局長

 越境データ流通に信頼性を

ヨン・ジー・キン

ヨン・ジー・キン

シンガポール個人情報保護委員会(PDPC)副委員長

 トラストマークの導入を実現

其田 真理

其田 真理

個人情報保護委員会事務局長

 安全かつ円滑な越境データ流通を目指して

クラリス・ジロー

クラリス・ジロー

アジアビジネス法研究所(ABLI)データプライバシープロジェクト長

 国を超えた枠組みづくりを

ボリス・ウォイタン

ボリス・ウォイタン

GSMアソシエーション(GSMA)プライバシー担当課長

 GDPRの枠組みがつなぎ役に

モデレーター

加藤 隆之

加藤 隆之

博士(法学)、亜細亜大学教授

 国による法制度の違いを超えて

(加藤) 国によって個人データ保護の法制度は異なる。本日はG20の国々の素晴らしい専門家たちをお呼びし、最近の状況や課題について、それぞれのお立場からお話ししていただく。

(イェリネク) GDPRについては昨年5月25日に適用開始となって1年が経った。EUとしては、数カ国に対してユニラテラルな十分性認定は既に行っているが、相互に十分性認定を行うという意味でのEUと第三国間の合意は日本が初めてである。今後のこの種の合意の方向性を示すものであり、成功裏な国際協力のモデルになると考えられる。ヨーロッパには約5億人の消費者がいて、各国での認識も高まっている。GDPRにはさまざまなデータ移転の状況に応じて適用できる規定があり、BCRをはじめとするさまざまなものも包含している。そして、十分性認定はまさに原則であり、セーフガードでもある。EUは日本について、日本独自の社会、文化、歴史的背景を反映した形での十分性認定が可能だと考えた。ヨーロッパでは、GDPRによって個人の間で個人データ保護に関する認識が高まったと同時に、企業における、本格的なプライバシーを遵守する文化の始まりをもたらしたと考えている。

(カブラン) OECDプライバシーガイドラインは、1980年代にOECD加盟国間で合意された初めてのプライバシー指針である。その目標は、プライバシーを守ると同時に、自由なデータ流通を促進させるというものである。この二つの要素はそもそも極めて高い関連性を有している。プライバシー保護が自由なデータ流通を阻害するようになってはならないということだ。2013年にOECDプライバシーガイドラインは改正されたが、その中で三つの主要なメカニズムについて言及しており、これによってデータ流通が可能になるとしている。一つは、越境データ流通については最低要件だけ求めること。二つ目は、制約は状況やリスクの程度に相応していなければいけないということ。三つ目は、データ管理者が説明義務を果たさなければいけないということだ。OECDは積極的に国際的なデータ保護政策の議論に参加してきた。そしてメリットを最大限にするとともに、個人のリスクを最小化にするように取り組んできた。個人データの流通が良い方向に進んでいくように支えなければいけない。OECDは、国際的なグッドプラクティスを共有できるように取り組んでいく。

(ゴパラクリシュナン) インドでも、国際的なデータ流通にはプラスの面とマイナスの面がある。越境データ流通は極めて高い価値を持つ。しかし同時に、ここ数年間、インターネットの世界が広がるに伴い、そのダークサイドも明らかになってきている。例えば監視社会や監視経済につながり、データを持っている市場が他のマーケットプレーヤーに影響を与えるようになっている。そして、オンラインにいる消費者がその影響を受ける事態も認められている。インドにおいては、デジタル化は進んでいるが、電子取引はまだ0.2%程度で極めて低い。識字率もまだ低い。デジタル知識もまだ低い。だからこそ、我々はデータ流通の問題に対処しなければいけない。
 同時に注目されるのは、ローカライゼーションである。一部の国は、ローカライゼーションによって政府だけがアクセスできる形にしようとしている。これはインドの視点からは受け入れられない。インドは法制で、プライバシーをしっかり守り、その一方で適正な範囲でのローカライゼーションを取り入れようと考えている。

(ヨン) シンガポールは2019年1月、DPTM(データ・プロテクション・トラストマーク)を導入した。これは、組織の中に、健全なデータガバナンスの構造・政策があることを保証するものだ。この認証を得るために、組織は個人データ保護に関する実務をオープンにしなければいけない。このような実務を組織の中にしっかりと定着させることによって、消費者からの信頼が醸成されていく。個人データについても、消費者は「この会社はデータをしっかりと保護している」と感じることができる。そして、法律を超えたところでは個人データを使用されないということで安心できる。DPTMは、データ保護に関するシンガポール国内の法律だけでなく、CBPRやOECDプライバシーガイドラインを指標にしてつくられている。DPTMは、将来的に越境データ流通における信頼の確保にも貢献できると思っている。

(其田) 個人情報、個人データなどの用語は、新聞の見出しで毎日のように目にする。しかし、プライバシーおよびその考え方は国によってかなり異なっている。歴史、文化、常識など、さまざまなものに依拠するからだ。ただ、やはり何らかのグローバルスタンダードは必要である。そういう意味で1980年のOECDプライバシーガイドラインの策定は歴史的に非常に重要な一歩であった。OECDプライバシーガイドラインには八つの原則がある。これらは日本を含めた多くの国のプライバシー法の基になったものであり、個人データ保護の基本を成している。また、国際適用に関する原則もあり、自由な流通の政策が書かれている。この政策とともに、当委員会はアジア太平洋地域及び欧州地域といった各地域において諸外国と協力させていただいている。
 個人データをグローバルで保護した上で自由な流通を促進するための措置について、三つのアイデアがある。一つ目は、既存の二国間枠組みにおける相互運用性を高める取り組みだ。これは個人データの越境移転を現在のシステムの下で進めようとするものである。二つ目は、個人データの越境移転のためのグローバルな企業認証制度を導入するということだ。相互運用性のあるグローバルな企業認証は、事業者にとっても大いにメリットとなると思う。当委員会は、米国および欧州委員会と3極の会合を始めている。三つ目として、OECDプライバシーガイドラインを見直し、望ましくないリスク要因に対処するためOECD事務局と専門家の方々も含めて現在、協議を進めている。

(ジロー) 私たちはABLIというところで、法律の統合のために活動している。現在はデータプライバシーのプロジェクトを行っているが、これは14のアジアの法域をカバーしている。その中で類似点・相違点を見ながら、法律をできるだけ近づけようとしている。消費者の法律、サイバーセキュリティ関係の法律、データ保護の法律は、グローバルなデジタル経済の一翼を担うものである。一方で、法的な分断化も進んでいる。そこで当局が負うべき義務は、明確さをもたらすことだと思う。確実性、一貫性を確保し、実際の越境活動を可能とすることだ。システムの一貫性を保つことを、ABLIでは法的な統合の中で行っている。例えば国を超えた枠組みをつくり、それを地域で実施することができる。OECD、APEC等々で枠組みがあるので、それを基にCBPRのようなものをつくるというやり方だ。もう一つの私たちの取り組みは、法的制度でより互換性をもたらすということだ。企業側の不必要なコンプライアンス負担を減らそうとしている。同時にプライバシーをビジネスモデルやシステムの中核に位置付ける。これはアジアにおいても競争優位性になり得るからだ。さまざまな領域で、さらなる互換性をもたらすデータ保護の枠組みが必要とされている。UNCTAD(国際連合貿易開発会議)も既に越境データ流通、国の法律整備の面で活動を行っている。

(ウォイタン) GSMAはモバイル通信業者の協会で、日本ではKDDIやソフトバンクなどが加盟しており、世界中で800社ほどに加盟していただいている。我々の業界において、越境データ流通は極めて重要な要素だ。携帯電話・スマートフォンを皆さんが通常使用するときには、大変複雑なデータ処理が、皆さんの見えない所で行われている。それは1カ国だけでなく、複数の国をまたいで処理されていることもよくある。我々が携帯電話やスマートフォンを操作する時だけに限らず、携帯電話は個人識別認証、モバイルマネーの機能もあり、越境データ流通は極めて重要となっている。特に途上国では、銀行口座がなくても取引できるということは重要だ。また、コネクテッドカー、IoT、ドローン、ビッグデータも同様で、こういうもの全てがしっかり機能するためには、データ流通が必要となる。そして5Gの世界が来る。今は一部のみだが、最終的には全てが5Gになるので、より広範囲にデータが流通しなければいけないことになる。だからこそ、モバイル通信業界にとってはデータ流通が重要となる。それでは、GSMAとしては何をしているかというと、GDPRの効果を世界中に有効なものにしていくということだ。APECでもASEAN(東南アジア諸国連合)でも枠組みを構築しようとしていると聞いている。枠組みがあれば、その地域の国々が同調を図れる。しかし、それでもまだ欠けている要素はあると思う。結合組織、つまりつなぎ役である。これをどう訳すかだが、「接着剤」のようなものだと思ってほしい。つまり、それぞれの地域を密着させ、実務的なことは全てやっていこうという存在である。G20は、アジェンダの中で、それをうたっていると思う。

(加藤) 世界的に初めてとなる日本とEUとの相互認証の意義、安全かつ円滑なデータ流通の重要性、データのローカライゼーション、DPTM、グローバルなデータ流通の促進など、様々な考え方、課題が共有された有益なセッションとなった。

総括討議 各ステークホルダーの役割(自由で信頼できるデジタルデータ流通の実現にむけて)

ゲストスピーカー

アンジェリーナ・フォーク

アンジェリーナ・フォーク

オーストラリア情報委員会(豪州OAIC)委員長

 信頼構築のモデルづくりを

 個人データの取り扱い方法について、我々は個人データ保護への国民の信頼を強化しなければならない。これはデジタルプラットフォームではなおさらのことだ。Facebook、ケンブリッジ・アナリティカの問題のようにデジタルプラットフォームに関わるプライバシーの問題が増えていることによって、世界中で規制当局による調査件数も増えている。オーストラリアでの調査で、消費者の73%は自身の個人データに関し、最も信頼するブランドを選ぶことが分かった。オーストラリア政府はプライバシーの問題発生を予防することを念頭に置き、オーストラリアのプライバシーのオンライン保護強化を図る新たな規則の策定に係る任務を私に課した。今年はオンラインに脆弱な児童などの保護強化を図る規則の策定に注力している。消費者心理に関する調査では、人々はデジタル社会の中で、自己管理できる関係に信頼を置くようになっており、プライバシーについても自己管理できる能力を求めている。プライバシーの自己管理については、個人は個人データがどう扱われるかを理解することによってコントロールが可能となる。しかし、それは事業者がどの程度、データをアクセス可能なものにするか、理解可能なものにするかにかかっている。消費者が公正に選択を行うためには、消費者に意味のある形で情報提示する方法が必要となる。
 我々のデータはもちろん巨大な潜在価値を個人や企業、政府に提供するものであり、これはもはや国境で止まるものではない。強力なプライバシー保護が含まれるデータ流通の中に国民の信頼、消費者の信頼がきちんと構築されるモデルが必要となる。

モデレーター

ボヤナ・ベラミー

ボヤナ・ベラミー

情報政策リーダーシップセンター(CIPL)代表

 説明義務の議論を重ねることから

 データは私たちの経済の中核であり、これを基に経済成長や社会の進展があり、世界がフラットになってきて貧しい国をより豊かな国へと近づけている。持続可能性があり、活用されている。ただ、他方では法的な分断化、不確実性の増大、デジタルデータ主権の隆盛等の問題もある。これらの問題にどのような解決策を見いだせばいいのか。
 パネル(1)では、企業が説明義務を果たすことが、法的な分断化を埋める「懸け橋」となるという話があった。確かに国によってルールは違っているかもしれないが、それでも説明義務という同じルールの下、行動しているからである。また、説明義務を示すことができるという事例の紹介があった。例えばヨーロッパではBCRがある。APECではCBPRがあり、日本のプライバシーマークと同様に示すことができる。また、個人にとっては透明性が重要という話があった。説明義務は反復的なプロセスであるという話もあった。1回つくれば終わりというものではなく、常に構築し続ける必要がある。私たちCIPLでも説明義務が一つの解決策となり得ると思っている。本日はアジア太平洋、欧州および米国を含めた多くのG20関係各国から、データ保護当局の方にご参加いただいている。まさにそうしたところで議論が必要である。

加藤 隆之

加藤 隆之

博士(法学)、亜細亜大学教授

 事業者の自主性も活かして

 国際的な個人データの移転について考慮すべきポイントを述べたい。高いレベルのデータ保護を失うことなく、データ流通を担保していくための取り組みには、二つのアプローチがある。国が主導するアプローチと自主的なアプローチだ。国が主導するアプローチは、国の法、個人データ保護については国レベルで行い、国外でもそれを実現させようということだ。この目標を達成するためには、域外適用条項を入れるか、第三国にも同様の法制度、あるいは法制度でなくても同等性を求めることになる。一方で、自主性を重んじるアプローチは、個人データの保護に重点を置く事業者がしっかり従う規格・基準を策定するということだ。この目的を達成するためには、国際的あるいは国家ベースのソフトロー、あるいは何らかのプライベートセクターのルールづくりが必要である。国家の拘束力ある法律とは異なるものになるだろう。これを私は「ボランタリーアプローチ」と名付けている。両方のアプローチのどちらも並行してやっていくことが大切だ。

総括

エリザベス・デンハム

エリザベス・デンハム

情報コミッショナーオフィス(英ICO)委員長

 相互運用性の達成に向けて

 法、文化などの様々な多様性をつなぐ橋を構築し、プライバシーは守られるという国民共通の期待に焦点を当てることが重要である。では、いかにして個人データの適切な保護の下で、データ流通を可能とする相互運用性を見つけられるのか。相互運用性は制度間の共通性と相違の理解から始まる。これによって信頼のあるデータ流通を可能とするツールを考案できる。EUの十分性認定はこの相互運用性を達成するための一つの手法であり、その成功裏の活用によって、ニュージーランドやイスラエルや日本ほどに大きく違う国との間で共通点を見つけてきた。GDPRはデータ保護の水準を高く設定している。その一方で、説明義務を果たし信頼を醸成することも、相互運用性の道筋だと思う。EUのBCR、APECのCBPRは、どちらも説明義務の例である。また、我々コミッショナーも、相互運用性の一部として信頼醸成において大きな役割を果たす。一つ目は規制活動の協力である。調査、執行、監査、苦情処理、制裁を行い、国民・市民の安全を守っているが、効果的に連携するためにはお互いの問題や事例に関する見解を理解し合わなければならない。二つ目は、政策の合理化である。コミッショナーは、信頼あるデータ流通のために政策活動を合理化し、共通する真の社会リスクに対する作業を共有し、企業や国民のためになるよう行動すべきだ。
 データ保護法は各法域で異なるが、信頼は世界を巡ることができる。そして、国際協力や貿易やデータ流通の土台となり得る。重要なのは、我々がグローバルコミュニティとして協力し、信頼を醸成できるかどうかだ。G20加盟国には、その大きな機会が与えられている。

閉会あいさつ

嶋田 実名子

個人情報保護委員会委員長

 本日はエキサイティングな一日であった。御参加いただいた皆さまには、主催者を代表して厚く御礼申し上げる。
 モデレーターのお二人からパネルディスカッションを統括して頂いた。また、OAIC委員長のフォーク氏からは、当局の果たすべき役割とプライバシーにおける信頼の重要性について、ICO委員長のデンハム氏からは、本日の締めくくりとして相互運用性や国際的な連携の重要性などについて詳しくお話を頂いた。
 本セミナーにおいて行われた有意義な議論を受けて、この会場にいらっしゃる個人データ保護に関わるさまざまなステークホルダーの方々には、それぞれの役割の重要性を再認識していただいたと考えている。
 また本日は、日本、米国、EUの3極が集まり、個人データの適切な保護と円滑な流通に向けた議論を進めていくことに関して意見の一致を見ることができた。今後さらにこの取り組みを加速させていくとともに、G20関係各国とも議論を進めていきたい。
 本セミナーは閉会するが、本日の議論自体はまだ始まったばかりである。これを機に、信頼ある自由なデータ流通を創造することの意義や、個人データ保護の大切さ、それらを巡る課題に対する議論などが一層深まっていくことを祈念する。