アブダビグローバルマーケットのデータ保護制度と政府に求められる役割とは
データ保護の取り組みは欧州に限らず、世界各国で新たなルール設計が進んでいます。
今回はアブダビグローバルマーケットでデータ保護コミッショナーでオペレーションのトップを務める、サイードさんにお話をお伺いしていきたいと思います。
Kohei: 皆さん。本日もプライバシートークにお越し頂きありがとうございます。本日はアブダビよりサイードさんにご参加頂いております。サイードさん、本日はプライバシートークにご参加頂きありがとうございます。
Sayid: インタビューにご招待頂きありがとうございます。アブダビからプライバシートークに参加させて頂く事ができ、非常に光栄です。
Kohei: ありがとうございます。早速サイードさんのプロフィールを紹介したいと思います。
サイードさんはアブダビグローバルマーケット (ADGM)でデータ保護コミッショナーの運用責任者を務めています。10年以上データ保護とプライバシー業界で活躍し、現在はマネジメントとして、組織運営に携わっています。アラブ首長国連邦での仕事に移る前には、英国情報コミッショナーオフィス(ICO)で執行部門を率いていました。
それ以前には、データ保護コンプライアンスの専門家として、複数の英国政府組織で活動していました。ノーザンブリア大学ロースクールで情報権利法の修士号を取得し、IAPPでは情報プライバシーのフェローも務めています。
本日は、色々なテーマでお話しさせて頂けるのを楽しみにしております
Sayid: ありがとうございます。
Kohei: ありがとうございます。早速本日のアジェンダに移っていきたいと思います。先ずは、サイードさんのお仕事についてお伺いしたいと思います。
公共サービスが信頼されるために必要な情報の透明性
サイードさんはこれまでにデータ保護に関連した様々なご経験をされていると経歴を拝見して感じました。なぜこの分野で活動を始めようと思ったのかきっかけを教えて頂けませんか?
Sayid: もちろんです。本音で言うと元々はデータ保護やプライバシー分野で働くことは考えていませんでした。私はサウサンプトンにある大学を卒業した後に、イングランド北西のストックポートという街に引っ越すことになりました。これをきっかけにイングランドの南から北西に移動することになったのです。
引っ越した先では、初めて市民向けのサービスに従事することになりました。英国政府の児童養護・支援委員会(CMEC)にある法律委員会でのお仕事です。私はCMECのコンプライアンス支援スタッフとして働き始め、子供たちの権利を守ることを職務として行っていました。住民に対するサービスでは無く、家族や両親を対象とした子育てに関する仕事です。
私はこの仕事を通して、ケースワーカーとして問題に向き合いながら情報の透明性が非常に重要な仕事であることが徐々にわかっていきました。英国でケースワーカーとして公共の仕事に携わる場合は、意思決定を行うために情報を透明性を持って開示していくことが必要になるのです。
図:意思決定を行うための情報開示
職場のトレーニングを積んでいく中で、市民が自ら情報を自由に請求できる権利の下で、ケースワーカとして持っている情報は請求を要求した市民には開示する必要があると言うことを学びました。
情報を適切に開示するために、日々の仕事内容を記録しておいて毎日どんなことがあったのかわかりやすいように残しておくことが必要になります。ただ、長年ケースワーカーとして仕事をやってみて、日々個人の私生活に関するデータに触れることになるため、時にはプライバシー性が高く個人の生活に影響があるような情報を知る機会もありました。
職員が行った判断によっては、法律の下で問題なく行われた支援であっても、情報を開示することでそのご家族や子供たちに何か影響を与えることもあります。
これは職員が個人の権利を尊重せずに判断を行っていると言う意味ではありません。私はケースワーカーの仕事を通して、データ保護とプライバシーが重要であると気づき、個人の権利について考えるようになりました。
職員として約2ヶ月たった頃には、データ提供者からご自身のデータへアクセスしたいという要望を頂く機会も増えるようになりました。今思うとケースワーカーの仕事を通じて、データ保護やプライバシー、そして個人の権利について考える非常に貴重な経験をすることができました。
情報にアクセスする権利とプライバシー権の重要性とは
この経験を通してデータ保護やプライバシーの重要性を理解したのですが、残念ながらプライバシーの権利に関する法的な知見が当時の私にはありませんでした。ケースワーカーの仕事に従事していく中で、個人のデータに関する権利についての知識を学ぶ必要性を感じました。
実際の現場で対象となる個人は自分のデータに自由にアクセスできる権利を持ち、ファイルのコピーを渡してもらうこともできるようになることが理想です。データが作成された日から、自らデータを管理できるようになるのです。
図:個人のデータを自ら管理する
実際の現場で得た教訓から、私はデータ保護とプライバシー分野に関心を持つようになり、この経験は現在の活動にも繋がっています。
Kohei:ありがとうございます。サイードさんはこれまでに英国政府のデータ保護部門でもお仕事されていたとお伺いしています。英国政府でのお仕事内容をお伺いしても宜しいでしょうか?
特に英国情報コミッショナーオフィス(以下ICO)での活動もお伺いできれば嬉しいです。
Sayid: ありがとうございます。児童養護・支援委員会での活動を経て、英国の市民サービス部門に移り、英国政府の労働・年金省でコンプライアンスオフィサーとして活動するようになりました。
行政サービスを円滑に運用するために求められるデータ保護の役割とは
それから、政府の歳入関税庁へ移動し、英国とマンチェスター州の税に関する仕事をするようになりました。
歳入関税庁では、データを提供者が自身のデータへアクセスする場合のデータ管理に関する内容を検討する仕事も含まれていたので、個人の権利を守ることを中心に活動されている弁護士の方々と協力し、対象となる方の権利を保護するために第三者カウンセルを設置するなどの業務を行っていました。
これまでに労働・年金省や歳入税関庁、ケースワーカーで得たことは、先程お話ししたケースワーカーの経験に加えて、歳入庁での税の徴収にまで広がり、データの利用にも関わるお仕事も含まれていました。
そこから数年間は市民サービスの仕事に従事し、その後偶然にもICOで仕事ができる機会に巡り合うことができました。働き始めるまではICOがマンチェスターの近くにあることを知らなかったのですが、これをきっかけにICOについて初めて知ることになりました。
ICOのオフィスはウィンズロウのストックポートという都市から少し行ったところにあります。ストックポートからは車で10〜15分ほどのところに私は当時住んでいました。
ICOに入ってわかったことは。ICOでの私の業務が執行に関わるお仕事であったということです。市民調査チームというところに配属されて、調査関連業務に取り組むようになりました。
私の主な役割は企業調査がメインで、調査結果を確認して対象の企業がデータ保護法に違反していないかどうかを確認する業務を担当していました。特に7項の違反定義に私は注力して活動していました。その定義は、1998年に英国データ保護法で定められたセキュリティに関する定義の内容です。
業務の中で私が担当する部門はある程度限られていました。担当していたのは、金融と地方政府、医療に関する内容です。ICOでは3年間仕事に従事し、英国でデータ保護オフィサーとしての役割を担う前に、Turning Pointという大きなチャリティ団体でお仕事をすることになりました。
チャリティではメンタルヘルスとデータ利用の業務に従事していました。仕事の中ではセンシティブなデータを取り扱うことも多く、地方政府や他の分野の方々とも仕事する機会が多かったため、これまでの政府の仕事とは離れて、民間でデータ保護のフレームワークに関する業務を行っていました。
そこで数年間働いたのちに、アブダビに移ることになりました。英国でデータ保護の業務に関わっていたこともあり、2018年の暮れにアブダビで新しい仕事に携わることができるようになりました。アブダビではエディハド航空グループで全世界のデータ保護プログラムの統括として仕事を行っていました。
エディハド航空グループは中東地域で最も大きな航空会社の一つで、私のチームはエディハド航空の全世界のオペレーションを管理することが仕事でした。世界60ヵ国で10の規制当局との連携が私の役割で、グループ全体にデータ保護対策で求められる内容のアドバイスを行っていました。
例えば、日本を例に考えると東京からカリフォルニアへ渡航し、カリフォルニアからまた別の地域へ渡航するなど各国の時差を考慮した対応等も検討する必要がありました。そういった民間企業での経験も経て、現在はアブダビグローバルマーケット(以下ADGM)で活動しています。
Kohei: 素晴らしい経験ですね。ここまで幅広くデータ保護に関連したお仕事に関わる経験をされた方は非常に珍しいのではないかと思います。ご紹介頂いた経験を経て現在はADGMでお仕事をされていると思います。現在、ADGMではどういった役割を担われているのでしょうか?
アブダビグローバルマーケットのデータ保護制度と政府に求められる役割とは
データ保護組織のトップとしてご活躍されていると拝見しておりますが。
Sayid: はい。ありがとうございます。私の役割を説明するためにスクリーンシェアをさせて頂いても宜しいでしょうか?
ADGMでデータ保護を統括する部門がどういった役割を担っているのかご紹介させて頂きたいと思います。ADGMはアラブ首長国連邦の首都アブダビの中にある金融分野の自由化地域として設立されました。
アブダビグローバルマーケット(ADGM)は金融の自由取引の区域として、ローマのバチカンのような位置付けで、現在は運営されています。ADGMが担っている自由化区域とは国の一部の管轄として位置付けられたものになります。
アラブ首長国連邦の法律はADGMには適用されず、ADGMでは大陸的商業法をもとに独自の法律を制定しています。制定された法律は裁判所によって統治されることになります。しかし、ADGMは2013年の第三次政権で設立され、金融自由地域に設置されました。
ADGMはアルマリヤ島の管轄として運用され、アルマリヤ島はアブダビ地域の中心の島に位置しています。島全体の規制はADGMによって管轄されているということになります。
ADGMではアラブ首長国連邦とは異なる政府機関と裁判所が設置されています。アラブ首長国連邦の首都であるアブダビの中に設置されたADGMは、独自に制度を設計することができ、現在は3つの独立した政府機関によって運用されています。登録局、金融サービス規制局、そしてADGMの裁判所です。
ADGMの委員会トップは島全体の統治を担っており、島内における制度設計の責任者です。私はデータ保護機関で仕事をしていて、データ保護機関で行った業務はデータ保護委員のSami Mohammed氏へレポートを行っています。
私たちとは別の政府機関とも連携しながら、ADGMの運営を行っています。では、ADGMで登録された政府機関がライセンスビジネスへどういった責任を負っているのか説明します。
現在はADGMの管轄内で4500社近くのビジネスが稼働しています。私たちは金融サービスの政府機関なので、銀行を始めとした区域内での金融活動を監督しています。
ADGMの裁判所は区域内で制定された法に基づいて判断を行っています。独立した裁判所では、苦情の申し立て等があった際に正当性の判断を行います。区域内での市民活動や商業活動で発生した論争に対する意思決定に責任を持っています。
データ保護機関はADGM内で法の監督を行っています。管轄内で起きる企業活動に責任を持ち、大手企業を中心とした企業に対しても、ADGM域内の規制に従って対応を行います。
Kohei:ありがとうございます。金融分野での新たなデータ保護の仕組みづくりは非常に進んでいると感じました。ADGMの取り組みから学ばせて頂くことが非常に多いと感じています。
ここからは次の質問に移りたいと思います。ADGMは金融サービスを展開する事業者にとって有望な地域だと思いますが、ADGM域内でデータ保護活動を啓蒙するような取り組みは行っているのでしょうか?
〈最後までご覧いただき、ありがとうございました。続きの中編は、次回お届けします。〉
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?