第2回Ｇ７データ保護・プライバシー機関会議でのDFFT・国際データスペース議論

DFFTに関する国際状況について大変興味深い文書が出ていました。個人情報保護委員会のHPに9月7日〜8日にドイツでBfDI主催で開催された「第２回Ｇ７データ保護・プライバシー機関ラウンドテーブル会合」のことが出ていて、その下に会合成果としての「DFFTと国際データスペースの知識共有の促進（Promoting Data Free Flow with Trust and knowledge sharing for International Data Spaces、英語のみ）」というコミュニケが出ています。

令和４年９月「第２回Ｇ７データ保護・プライバシー機関ラウンドテーブル会合」 ｜個人情報保護委員会

おそらく5月のG7デジタル大臣会合宣言の附属書1「DFFTの促進のための G7 アクションプラン」の5番目に入っていた「国際データスペースの展望に関する知識の共有」の個人データ側面の活動の一環、という位置付けなのかなかと思います。来年のG7に向けて「DFFT」が段々具体化してきている動きの一つと見ることができるかもしれません。

総務省｜報道資料｜G7デジタル大臣会合の開催結果

各国が準備して議論したというテーマは以下です。

１．「Certificationを含む国際データ移転ツール」（仏CNIL、独BfDI）
２．「プライバシー強化技術（PETs）」（英ICO）
３．「非識別化（de-identification）の標準とデータ保護・プライバシー法における非識別化データの所在」（カナダOPC）
４．「データ最小化原則の再活性化と商業的監視に対応した目的・利用制限」（米FTC）
５．「AIガバナンスの倫理的・文化的モデルを設定し促進する上でのプライバシー・データ保護当局の役割」（伊Garante）

それぞれ各国の現在進行形の関心事と大きく対応しているようで、上記に関連する各国の動きとして捕捉しているものを書いておきます。

●２について、9月7日に英国ICOがPETsについてのガイダンス草案を公開しています。PETsの利用や開発・提供についての行動規範・認証制度など業界主導ガバナンス構築の呼びかけも行うとのことで、自主・共同規制的にも少し注目です。
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/09/ico-publishes-guidance-on-privacy-enhancing-technologies

●３については、カナダの連邦プライバシー法改革案（C-11→C-27）で非識別データの位置付けが一つの論点になっていることと関連するのかなと思います。日本の仮名加工情報に近い議論なのかと思いきや、21条（内部利用）の他39条1項（公益系利用）、75条（再識別）など、なかなか複雑な構想のようです。
https://www.parl.ca/DocumentViewer/en/44-1/bill/C-27/first-reading
https://www.teresascassa.ca/index.php?option=com_k2&view=item&id=356:anonymization-and-de-identification-in-bill-c-27&Itemid=80

●４については、現在審議中の連邦プライバシー法案ADPPAの101条、Duty of Loyaltyの一番最初がData minimizationなので、その関係かと思います。それとリナカーンが進めているFTCの商業監視規則制定の両方と関わるのかなと思います。
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/07/post-fb6418.html https://www.ftc.gov/legal-library/browse/federal-register-notices/commercial-surveillance-data-security-rulemaking
なおGDPRで言えば5条1項(c)のデータ最小化原則は日本法だとあまり明示的に議論になってこなかった気がするのですが、5月にPPCが出した「個人情報等の適正な取扱いに関係する政策の基本原則」の1番目がData minimizationなのを最近少し注目しています。
https://www.ppc.go.jp/files/pdf/kihongensoku.pdf

●5については、イタリアのGaranteが3月にEUのAI規則案についてコメントを出したりしていることと関わるのかなと思います。
https://www.dataguidance.com/news/italy-garante-publishes-statement-proposed-ai

●そして１が一番「元々のDFFTらしい」テーマなのですが、あまり背景は把握しておりませんでした。各国・地域で構築が進む認証メカニズム等の将来的な相互運用も視野に入れた議論のようで、フランスとドイツが共同で準備というのは面白いです。どこまで具体的になってくるのか注目してみたいと思います。