エストニア政府はどのようにデータプライバシー対策を行なっているのか?
コロナの影響もあり日本国内で行政手続きの電子化に関して注目が集まっています。
ハンコや書面手続きなどこれまで引き継いでいた取り組みを変化させる必要性に迫られています。エストニアは参考例として日本からも注目が集まっており、電子化を進める上で参考にできる点が多いのではないかと考えられます。
そんなエストニアですが欧州域内の国であるため欧州のデータ保護法に基づいて一般市民のデータプライバシーを保護する形で取り組みを進めています。
今回はエストニアでの電子政府に関する取り組みの推進とデータプライバシーの両立、そしてスタートアップなど新しい動きに関して現地専門家のRisto Hübnerさんにお伺いしました。
NORDX Legal Partner, Attorney at Law Risto Hubner氏
Tartu大学 IT法客員講師
特にIT関連、データプライバシーに関する豊富な知識、経験を持つ弁護士として、バルト諸国最大のテクノロジー企業の1つであるNortalをはじめ多くのクライアント企業に対し、ビジネスを取り巻くさまざまな分野について
アドバイスを行っている。また、Legal Hackersのエストニア主導者として、スタートアップ企業の支援等に力を注いでいる。
Kohei: インタビューにお越し頂きありがとうございます。エストニアのデジタル政府の取り組みやデータプライバシー分野の専門家で、日本でも話題になっているエストニアの電子政府とデータ保護に関するトピックを是非お話しできると嬉しいです。
まずは自己紹介宜しくお願い致します。
Risto: ご紹介ありがとうございます。インタビューに招待頂きありがとうございます宏平さん。私の名前はRisto Hübnerです。エストニアのタリンで弁護士をしていて、Nordics Legalという法律事務所を経営しています。
小規模の法律事務所なのですが、特にGDPRのデータ保護とプライバシー関連の法律相談を行なっています。クライアントはエストニアだけでなく、日本を含めた世界中にお客様がいます。
日本企業とGDPRに関するトピックで考えるとオンライン通販やビデオゲーム開発、通信、ソフトウェアサービス系は対象になるかと思います。これまでITに関連した法律相談に乗ってきましたが、最近は日本からもGDPR関連の対策相談を頂くことも増えてきましたね。
日本企業でも欧州の基準にどのように準拠すればいいのかは非常に面白いテーマだと思うので掘り下げて話して見たいですね。
GDPR後のスタートアップ業界の変化
Kohei: そうですね。とても良いトピックだと思います。私の周りでもGDPRに対する関心は高まってきていますし、エストニアといえば電子政府の分野で世界的にもリードしていると日本でも話題になっています。
特にコロナなどの有事が起きた際には利便性の観点から政府のデジタル化がより注目を集めるようになってきているのですが、デジタルサービスを通じた企業連携なども一つのテーマになりそうですね。
まずはエストニアと北欧のスタートアップ事情に関してお聞きしたいのですが、GDPR関連でデータ保護法が施行されてから新しいスタートアップなどは数多く誕生していますか?
Risto: それはGDPRがスタートアップにどのような影響を与えたかということですか?その場合インパクトとはという事ですか?
Kohei: そうですね。GDPRがスタートしてから新しいスタートアップトレンドが生まれてきているなど、何か新しい変化は起きているのでしょうか?
Risto: 変化といえば、一般的にはソフトウェア製品やサービスを展開する際にはデータ保護法に準拠する必要が出てきていますが、エストニアではこの辺りを展開する企業は数社くらいしか出てきていないです。
私たちの法律事務所の場合は法的手続きの自動化の仕組みを始めていて、GDPRに自動で準拠できるようなワークフローを展開できればと思っています。
これで今までやっていた手作業での手続きが必要なくなるので便利になると思っています。ただ、スタートアップ業界全体で見るとGDPRが与える影響は非常に重要です。私の経験からVCなどの投資家は必ず法律事務所に確認をとって、事前にGDPRに準拠しているか確認した上で投資などの意思決定を行います。
特にデータを集めてスケールするようなビジネスにとっては死活問題ですからね。明らかにGDPR規定からかけ離れたデータの取り扱いを行なっている場合は投資を見送られることもあります。時には100万人以上の個人データを取り扱うスタートアップもいるため、個人データへの対策は最優先事項ですね。
これは大きなトレンドの変化で、スタートアップ側では十分に認識していないこともあるので投資家側で確認するというのがよくあります。一方で、GDPR対策がしっかりされているスタートアップは投資家から非常に好意的に受け止められることが多く、クライアント獲得においても有効に働きますね。特に多国籍企業などの大手企業はGDPR対策に非常に敏感なのでスタートアップに対して要求してきます。
例え現在ビジネスを展開しているスタートアップだったとしても、クライアントサイドからデューデリジェンスが行われて十分にコンプライアンス対策できてない場合は継続して関係性を作ることが難しい場合もあります。
これまで数々のスタートアップを見てきてこういった事例はよくある話なので、双方でデータ連携する際などはプライバシーポリシーの確認などがより重要になってきます。
この変化は徐々に当たり前になりつつあって、評判リスクなどにも直結するのでGDPRへの対応を優先的に行うことで信頼構築するという例も徐々に出てきています。ただ、まだまだ多くの企業はGDPRへの対応ができていないんですが。この辺りは大きなインパクトですね。
"一方で、GDPRによってビジネストレンドが徐々に変化してきていると思います。スタートアップにも利点はあって、大手企業だと社内の仕組みを大きく変化させようとすると非常に大きなコストがかかりますが、スタートアップの場合はそうではありません。"
GDPRに準拠した仕組みを構築することはそこまで難しくはないですし、大手企業ほどコストがかかるものでもありません。初期に対応を上手くできれば大手企業に対して競合優位性を作ることもできます。
テクノロジーに精通する法律家コミュニティ
Kohei: 確かにその点は新しい変化ですね。日本でも大手企業の個人データに対する対応は問題になっていて、特にデータを多く取り扱う企業にとってはビジネス上リスク要因でもあります。スタートアップ視点で考えると、柔軟にシステムを変えていくことができる点は優位に働くと思いますね。
これまでの話の中で新しく何かに取り組む際に個人データは必要不可欠なように感じたのですが、現在取り組まれているLegal Hackersのコミュニティもそういった背景からスタートしたのですか?法律とテクノロジーの融合を目的としたもの?
Risto: Legal Hackersはエストニアだけではなく、世界的なコミュニティでアメリカで2015年に始まった取り組みですね。
当初はあまりチャプター活動が盛んではなくヨーロッパでも数カ国で展開しているレベルでした。現在は少しずつ大きくなってきていて世界中にチャプターが広がっています。日本にもあるのかはわからないですが、いくつかの国ではボランティアで数多くの人が参加していて法律家だけでなく、法律に関心のあるビジネスや技術系の人たちが新しいイノベーショントピックを議論するために集まっています。
ミートアップも定期的に開催していてハッカソンやカンファレンスなどの活動を行っています。エストニアではこれまではあまり法律家と技術者が一緒になって活動する機会がなかったので数年前に始めたのがきっかけですね。データ保護関連だけでなく、AIやブロックチェーンなど新しい技術をテーマにディスカッションも行っています。
Kohei: それはすごくいいですね。法律の専門性だけでなくて、技術など他の専門性を持った人たちが一緒になってディスカッションする場所はこれから重要になってくると思っています。
Risto: そうですね。別々のバックグラウンドを持った人が集まることも一つのテーマとしていて、ビジネスをテーマにした際にも法律部門や営業、マーケティングなど異なる職種の人たちが集まることで新しい発見につながったりすることがあります。
これまで法律家はソフトウェアを開発する人たちと話し合う機会がなかったのでお互いに刺激になっています。バックグラウンドや専門性が違う人が集まって一つの目標に向かって走り出すとこれまでになかったアイデアや視点でプロダクト開発が進んでいくようになります。法律的にはデータのアクセスや取り扱い、利用などがテーマに上がることが多いですね。
もし日本でまだチャプターが展開されていないのであれば、新しい取り組みとして是非進めて欲しいと思いますね。
電子政府と個人データプライバシー対策
Kohei: そうですね。日本でも必要な取り組みだと思います。次に電子政府に関してお伺いできればと思います。エストニアは世界でもいち早く電子政府が進んでいる国で日本を始めとして諸外国で参考にされている方も多いのではないかと思います。
気になるのはGDPRが施行されてからエストニア政府はどのような対応をされているのかという点です。国民IDなど個人データを国が保有するとなると大きなリスクに晒されるのではないかと思っているのですが、この点はいかがでしょうか?
Risto: そうですね。この点に関してはいくつかポイントがあるかと思います。エストニアでは社会全体でデジタル化を進めているので、データ保護とセキュリティの問題は非常に重要なポイントです。
(動画:enter e-Estonia)
大きく分けると二つの大きなポイントがあります。一つはこれはデジタル社会を支えるバックボーンで行政や民間のITシステムを結び付けています。
エストニアでは中央にデータベースを集中させるわけではなく、複数でバラバラのデータベースで管理しています。それぞれのデータベースがX-Roadの仕組みでつながるわけです。
通常は発信されたデータを暗号化し記録します。この際にデータは認証されログとして記録に残ります。透明性を担保するためにエストニア市民はデータシステムにログインし、誰がデータを見ている確認することができます。
例を挙げると、国民の誰からがあなたの情報を問い合わせたとしましょう。例えばお医者さんがあなたの医療データにログインした場合はそのログが記録されます。このように自分のデータに誰がアクセスしたのかがわかる透明性のある仕組みになっています。
透明性のポイント以外にセキュリティの視点からもX-Roadは非常に優れている仕組みです。KSIと呼ばれる仕組みをシステムを導入して、ここではブロックチェーンの技術を活用しています。
Guardtimeと呼ばれる企業が開発し、現在は全世界の政府のサービス構築などもになっています。
このように複数の情報システムが接続する仕組みを提供することに加えて、セキュリティを担保した仕組みを同時に実現しています。加えて、エストニアではデジタルIDと電子署名を採用しています。
今では数多くの国で当たり前の考え方になりつつありますが、エストニアでは2002年からスタートし、20年近く電子契約の手続きを進めてきています。
モバイルでのスマートIDを活用してデジタル署名を発行し、署名から安全にID認証を行います。これを国全体で義務化することで社会全体で利活用が進んでいます。私の知る限りフィンランドでも同様のシステム提供が進んでいますが、まだ義務化はされていないみたいですね。
"エストニアではこういったシステムの活用を義務化することによって幅広く社会でデジタル化が進んできています。オンラインバンキングや行政サービスなどもオンラインで利用できます。システムの安全性や透明性を保つことは非常に重要で、それがあってデジタル社会の普及につながっています。"
こういった背景があってエストニアでは電子政府の仕組みが機能しています。
電子政府とハッキング対策
Kohei: 素晴らしい仕組みですね。システムでデータ保護を実現している素晴らしい例だと思います。次の質問はエストニアで起きたハッキング関連の事件に関してお伺いできればと思っています。2000年代後半に大きな転換期があったと思うのですが、特に市民の個人データに関しても大きな影響があったのではないかと思います。
こういったデータプライバシーに関連した事件では犯罪組織含め頻繁にエストニアでは起きているのでしょうか?
Risto: 実際はデジタル社会を実装していく中でセキュリティ関連の話は日々議論されています。クラウド上で管理されたデータはシステムで処理されるためこのような議論はたびたび行われます。
例えば最近ではエストニアのIDカードのチップに関して一部問題が発生しました。これは国民全体としても大きな問題だったのですが、政府の対応で直ぐに修正が行われています。デジタル社会へ変化していく上でデータの透明性だけでなく、効率性も求められていきます。一方で、データを管理するリスクは増加しセキュリティ対策は非常に重要です。
そのため常に新しいテクノロジーの開発と改善を行っています。2007年に起きたロシアからと装填される電子政府システムへの攻撃は国全体への攻撃に近いものです。ただ、この件から国全体でのセキュリティに対する意識は非常に高くなり、事件の後にNATOのサイバーセキュリティセンターがエストニアに設けられました。
エストニアは欧州でサイバーセキュリティに関する議論が行われる一つの主要都市になり、様々なセキュリティ課題の議論が行われています。同時に、セキュリティ対策投資なども幅広く行っており、オンライン上での取引においてデータの取り扱いには費用に警戒しています。
他にはデジタル政府を押し進める上でデータエンバシーと呼ばれる取り組みを採用していて、エストニアの市民データはルクエンブルクのデータセンターにバックアップをされています。これはエストニアが物理的に攻撃を受けたとしても、他国のデータセンターに次国民のデータがバックアップされている仕組みで常に動き動き続ける狙いがあります。
例えばエストニアではオンラインで土地登録を行った際に、土地のデータと、登録記録は別々にバックアップを取る仕組みを採用しています。もしエストニアで戦争が行われた際にも他国にバックアップを取ってあるデータを活用すれば良いという仕組みです。
これはサイバーセキュリティの仕組みとは少し違う観点ですが、データの分散化は非常に重要なポイントだと思っています。
政府に求められる個人データプライバシー対策
Kohei: 自分もエストニアはこれまでデータインフラへの投資を中心に行っていたと聞いていましたが、今の話はセキュリティの観点からも非常に重要なポイントだと思いました。こういった考え方は日本を含めた国でも参考になるかもしれません。
次の質問はGDPRに関して法律家の観点からお伺いできればと思います。実際に施行前と後で大きく変化したことはありますか?民間企業だけでなく、政府なども対象になるためデータ保護は一つのトピックになるのではないかと思っています。
Risto: そうですね。GDPRは民間企業だけでなく、政府にも求められるデータ保護の枠組みです。面白いことにEU各国によって認可に大きな違いがあるというのが正直なところです。これまでとは違い民間か公か関係なくデータ保護が求められる点は非常に大きなポイントですね。
全てのセクターで対応が必要で、日本企業でも対策が必要だと思いますが域外企業であれば特別な対策が必要になるかと考えられます。
GDPRへの対応はEUに設立された企業がデータをどこで処理しているのか関係なく求められます。GDPRにどれくらい準拠しているか、データに関して同意取得できているかなど日本の会社でも関係することは多いと思います。
EUに住んでいる個人に対して日本の企業がサービスを提供する際はGDPR対応が必要になります。例えば、オンラインクッキーやトラッキング技術なども関係してくることになります。
日本でオンラインショッピングを運営しているとして、全てのトラフィックを分析して、位置情報やIPアドレスなど分析した場合は日本の企業に関してもEUからのデータを取得する際にはGDPR対応に関して確認が必要だと思います。
いくつか例外は含まれるにしてもクッキーやトラッキング、フィンガープリントなどは例外に含まれません。日本企業がGDPR対策を行う上では、様々な視点から検討していく必要がありますね。
日本企業に向けたメッセージ
Kohei: 現在は多くの企業がGDPRなどの個人データ保護に関して関心、及び対策を検討している状況だと思います。2年経って欧州では多くのケースなども出てきていると思うので、この辺りは引き続きデータ保護の仕組みからチェックしていきたいと思います。
テクノロジー以外の分野でも今後対応が進む可能性も考えるとさらにインパクトがありそうですね。最後にGDPRやエストニアに関して興味のある視聴者の方に向けてメッセージをお願いします。
Risto: 日本の企業の方にはGDPR対策において是非検討してみて欲しいと思います。対応は非常に複雑なのですが、今後データビジネスを行う上で非常に需要な取り組みだと思います。
GDPRがどこまで適応されるかに関する分析によると、特に大手企業で幅広く事業を行っている場合は大きなインパクトがあると考えられます。
まずは実際にどこまでGDPRに適応させるかのゴールを決める必要があり、その後にこれまで企業が対策できている現在地に関して考えます。最終的には徐々に社内の仕組みをGDPRに対応させていく事になります。
特に大手企業の場合は欧州地域でGDPRへの全体最適を考えるのか、部分最適を考えるのか意思決定が必要で、自社の事業に対する影響から判断する事になると思います。
"実際に取り組む際はデータがどのように活用されるのかをまずは見える化する事が優先順位になり、それそれどのような目的でデータを活用しているのか整理します。整理したのちに次にどのような対策を行うのか、投資をするのかを決めていく形になります。"
Kohei: ありがとうございます。GDPRと電子政府など非常に大きなテーマでしたが、今後非常に重要なトピックだと思います。日本でも個人データ関連の動きは活発になりつつありますが、データ社会へと変わっていく中で個人データ保護に関しては考えていくべきテーマですね。
Risto: はい。今回はありがとうございました!
※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。
引き続きCOMEMO記事を読んで頂けると嬉しいです。
↓↓↓
Zoomで次のデータプライバシートレンドやスタートアップ同行などカジュアルにオンラインチャットしているので、気になる方はコメントかFBメッセージでいつでもご連絡ください!
ブロックチェーン技術は世界中の人たちが注目している新しいビジネスのタネの一つです!気になったら気軽にメッセージください!