ポーランドが抱えるデータ保護の重要性についての理解と対策のギャップ
※このインタビューは2024年3月11日に収録されました
私たちのプライバシーを社会全体で守る動きと共に、表現の自由についても考える必要性が高まってきています。
今回はポーランドを拠点とする法律事務所GP Partnersでパートナーを務めるマチェさんに、これまでのデータ保護法の歴史と表現の自由を含めた権利についての考え方についてお伺いしました。
前回の記事より
マチェさんの法律事務所では広く法的なサービスをお客様に提供されていると思います。法律事務所で展開されているユニークなサービスがあれば教えていただけませんか?
コミュニケーションを軸とした法的サポート
Maciej: ありがとうございます。私たちは広く対立軸が生まれないような活動を主として取り組んでいます。私たちは国際的な経験もある独立した法律事務所として、ビジネスに必要な対策や英語での対応を大手のファームとは違った形で提案しています。
私たちの法律事務所では主に4から5つの重要テーマについてクライアントをサポートしています。この辺りのテーマについては一般的な法律事務所でも対応されていますが、私たちの場合はテクノロジーを主軸に提案しています。
企業買収案件や企業法務、紛争解決にも関わっています。法律対策は金融関連だけでなく、広く産業に関連した対応も行っています。ここまでの企業関連法務だけでなく、現在注目が集まっている人的資源の調達や移民関連の問題にも関わっています。
非常に幅広い領域があります。ウェブサイト上にも公開しているのですが、今後も見やすく改善していく予定なのでぜひご覧ください。
私たちの特徴として、法やテクノロジーの知見とビジネスの観点を組み合わせて提案することが挙げられると思います。ビジネスのお客様とも定期的にコミュニケーションを行うようにしています。
先程コミュニケーションの書籍を出版したとお伝えしましたが、私は法律家としてコミュニケーションを重要なミッションとしています。
私たちの法律事務所はデータ保護対策において広く評価を頂いているのですが、最近はIT分野にも注力しています。
2週間前に実施されたサイバーセキュリティカンファレンスにパネルとして参加したのですが、法律家でありながら、ITへの理解がある事務所として知って頂いている側面もあります。
安全か否かを自分たちの意見として解釈するのではなく、事実をもとに検討することが必要です。昨今は法律の分野でもクラウドコンピューティングやオンライン商取引等のテクノロジーについての知見が求められるようになって来ています。
紛争についても同様ですね。紛争とテクノロジーについては非常に興味深いのですが、今は仮想通貨やマネーロンダリング等が該当する分野です。
最近ステークホルダー(関係者)間での紛争に関わることがありました。ステークホルダー間での紛争について検討するためには、様々な側面から物事をみて、より深く理解することが必要になります。ここでは深く触れませんが、私たちが得意な分野でもあります。
私たちが出版物を改訂した理由としては (裁判所とのコミュニケーションに関する内容を新たに出版)、 これからの法務では論争や紛争について議論することが必要であり、出版物を通して世の中に紹介したいと考えていたからです。
本を通して学ぶことは沢山あるので、この機会を通じて多くの方に方法論を知っていただくことは非常に有益なことだと考えています。
具体的なケースについての例を法廷から学んでいくことも非常に重要です。対立構造が生まれる際には、自分がどのような立場に立っているのかを理解し、相手について学びながら広く応用していくことに繋がっていくと思います。
私たちの弁護士事務所には、4人のパートナーと12、13人の弁護士が在籍しています。事務所のメンバーとのコミュニケーションを闊達に行っていくことで、情報がサイロ化していくことを防ぐことは非常に重要です。今後事務所の活動領域が広がるにつれて、情報共有の問題はより重要になっていきますね。
本を出版することによって、コミュニケーションの中心となる役割を担うことができます。組織内で議論を進めていく中で何を中心として議論を進めていくのか、物事の善悪についての線引きを設定したり、正規分布を通して整理するようにわかりやすい方法も必要になります。
特定のケースについても、物事の善悪を判断する上で活用することもあります。Facebook(現Meta社)に対して、表現の自由の問題を求めた際の訴訟でも活用しました。
最近はOpenAI社の不十分なデータ保護への対策についての申立ても行なっています。OpenAI社の不十分な対応については、私たちがポーランドデータ保護監督局に対して申立て行いました。
ここ数ヶ月は特にアップデートがないため、今後の進捗についてはもう少し時間をかけつつ対応状況について確認していきたいと思います。私も丁度ポーランドに戻ってきたので、OpenAI社に今後の対策についてコミュニケーションを取って行きたいと思います。
ポーランドが抱えるデータ保護の重要性についての理解と対策のギャップ
Kohei: コミュニケーションは非常に重要な手法ですね。弁護士事務所には、法務に限らずクライアントに必要な様々なソリューション提供が求められるようになってきていると思います。マチェさんの事務所でも試行錯誤しながら、様々な対策を実施されていると思います。では次の質問に移りたいと思います。
マチェさんはデータ保護において、ポーランドデータ保護監督局を始めとして広く活動されていると思います。ここからは欧州データ保護規則が制定されてから、ポーランドのデータ保護環境はどのように変化したのか教えてください。
Maciej: そうですね。ポーランドデータ保護監督局と連携しながら、欧州データ保護規則が制定されてから5年間取り組んできました。私からこれまでの経緯をポーランド語でお話しすることは難しいと思うので、ポーランド視点でのヒントをお伝えしたいと思います。
第一にポーランドでは欧州データ保護規則が非常に深刻なものに変わりつつあるということです。多くの企業がデータ保護法で求められる項目の全てに対応できている状況ではありません。勿論、どの企業も100%対応することはできないと思うのですが、欧州データ保護規則については特に厳しいものとなります。
規制への対応はまだ出来ていないものの、データ保護の重要性に対する理解は非常に高まってきています。まだ、2018年に施行されたばかりなので、社会全体のデータ保護に対する理解は初期段階です。ポーランドでもデジタル省や専門家から広くデータ保護に対する意見表明が行われてきています。
とにかく、企業が対応すべき規制が多く誕生してきています。組織や行政、もしくは誰が何を管理するのかによっても規制への対応が変わってきています。法律が施行された当初は中小企業への適応はあまり議論されてきていませんでした。特に対応るリソースがなかったことが原因です。
私はこれまでにクラウドコンピューティング関連サービスでの自動化、自発的実装、自発的証明プログラムについての標準化にも取り組んできました。今後は中小企業やスタートアップでもクラウドサービスを利用する際に、データ保護標準を導入する必要が出てくる思います。
これまではリソースが足りない中小規模企業に対してデータ保護対策を擁護する動きもありましたが、徐々に中小規模企業についてもデータ保護コンプライアンスを強化する動きが見え始めてきています。
いずれにせよ、デジタル化が進んでいく中でのサイバーセキュリティへの重要性は高まりつつあります。データ保護法への対策は、サイバーセキュリティを実装する上でも重要であり、欧州域内でのインターネット構築に大きな影響をもたらすことになると思います。
最近欧州で施行されたデジタルサービス法(DSA)のことをインターネットの再構築と呼ぶ方がいることも知っています。DSAを含めたデジタル関連法案よりも、私にとっては欧州データ保護規則(GDPR)の方がインターネットを構築する上での意味合いが強く、特に個人の権利利益を保護することが非常に重要なポイントだと考えています。
データ保護法の中では、私たちはデータサブジェクト(対象)と呼び、目的ではなく、より具体的な対象を表すことになります。ポーランドでもデータを管理するための対象を明確にして対応を進めています。
また、GDPRを執行するためのリソースが明らかに不十分であることもわかってきています。ビジネス責任者はデータ保護法によって変化しつつある現在のビジネスゲームのルールについて知りながらも、ルールに沿った形での運用をお座なりにすれば、最終的に規制に反したことによって警告が行われることになると思います。
私たちはGDPRによって起きている新しい不条理なルールの変化を理解し対応していくことが必要になります。実際はポーランドでもチェックボックスを確認しながら対応しているのが現状ではありますが。
社会の変化によって生まれた新しいテクノロジーと規制の関係性
まだデータ保護に関する全ての対策をチェックリストとして管理しているのが実情なのです。GDPRが施行されてから5年経っても、まだまだ成長できていません。
我々は少しづつデータの流動化について理解し始めたところで、情報責務による弊害はすでに広く浸透してきてはいません。どの国でも、まだ自分のデータを管理できるようにはなっていません。
私が現在の状況を誰かに伝える場合には、いつも同じアナロジーを使っています。バットマンダークナイトの映画を見たことがあれば、あるシーンでバットマンがジョーカーを捕まえて、引っ張っているシーンを思い出して欲しいと思います。
お互いに揉み合ったのちに、ジョーカーは自らのモノローグを語り、彼は逆さの状態になります。逆さの状態のままカメラは彼を撮影し続ける(180度の角度で)ことになります。
そして彼は「止められない力で生み出されたものによって、このようなことが起きるのである」と言います。彼は「バットマンが私を手なづけることはできない」と言い放ちますが、ジョーカーもまたバットマンを殺すことはできないのです(彼はバットマンの大ファンだったのでしょう)。
このアナロジーを引用したのは、「テクノロジーと規制の関係性」を「バットマンとジョーカー」に投影して考えてみたかったからです。テクノロジーは私たちの力で止められるものではありませんが、一定の方法によって規制することができます。ただ、規制があるからと言ってテクノロジーを適切に管理することはできません。これは一種のゲームに近いものです。
ただ、世界中のどこでも物理的に我々のデータを人として管理することは難しく、デジタル化が進んでいく中で、我々が目指していくユビキタス社会では一種の監視が広がっていくことになると思います。
私たちが監視社会に対してできることがあるとすれば、生み出されたテクノロジーをどのように利用するかという点について考えることだけに限られるのではないかと思います。データへのアクセスや保持もここに該当します。
今世界ではこのような大きな変化に注目が集まっています。私が住んでいるポーランドではまさにこのような議論が進んできています。私たちが理解し始めたように、世界中でも同様のことが起きています。
個人のデータ保護へ関心が高まっていく中で、昨年からAIという新しい波が訪れました。AIが愚かなものであるか否かにかかわらず、人工知能と共存していく社会へと変化しつつあります。
自動的に意思決定が行われる社会においては、これまでのとは異なるゲームのルールが当たり前になっていきます。そのルールとは私たちにとって恐ろしいものである可能性もあります。少しコーヒーを飲みながら一旦休憩したいと思います。
Kohei: ありがとうございます。おっしゃる通り、ステークホルダーを含めた個人データの取り扱いに対する関係性については少しづつ変わってきているという実感があります。データ保護やプライバシーは私たちの基本的な権利であり、全ての人が守られる必要があります。
マチェさんの弁護士事務所での経験から教えて頂いた通り、クライアントにとって紛争やその他の解決策を検討していくことは非常に重要になると思います。
では次の質問に移りたいと思います。表現の自由は我々の基本的な権利の一つとして、守られるべきであると私も考えています。マチェさんがこれまでに表現の自由について、プラットフォーム企業と争ったケースについて教えて頂いてもよろしいでしょうか?このケースは非常に参考になると思うので、教えていただけると嬉しいです。
〈最後までご覧いただき、ありがとうございました。続きの中編後半は、次回お届けします。〉
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?