GDPR施行後に変化したデータ保護に対するリスクの考え方
※このインタビューは2023年8月7日に収録されました
法が執行されるにあたり市民団体やNGOの役割がより重要になってきています。
今回は非営利団体noybで活動され、現在はベルギーデータ保護監督局で訴訟関連の担当をされているロマンさんに、市民団体の役割とGDPRの下での執行に関する歴史と背景についてお伺いしました。
Kohei: 皆さん。本日もプライバシートークにお越しいただきありがとうございます。本日はロマンさんに欧州からお越しいただき、プライバシーやデータ保護のテーマについてお話ししていきたいと思います。
ロマンさん。本日はインタビューにお越し頂きありがとうございます。
Romain: ご招待頂き有難うございます。
Kohei: 早速ロマンさんのプロフィールを紹介したいと思います。ロマンさんはテクノロジーと法の専門家で2002年から2011年までブリュッセルに拠点を置く複数の法律事務所で務めていました。
2007年から2011年にかけてはネムル大学の法と社会研究所で研究員としても活動していました。2011年からはベルギーデータ保護監督局にリーガルアドバイザーとして入所されます。2015年からは欧州データ保護監察機関の政策とコンサルティング部門に参画し、2018年5月からは欧州データ保護委員会の事務局で働いています。
2020年4月にロマンさんはデジタル上の権利を保護するために戦略的に訴訟等を実施する非営利団体noybへ参画し、2023年7月まで活動していました。現在はベルギーデータ保護監督局で訴訟関連の業務を担当し、ベルギー国内でのGDPR執行に向けた活動を行っています。
本日はインタビューにご参加頂き有難うございます。
Romain: どういたしまして。
データ保護に取り組むキャリアを選んだ理由
Kohei: 早速本日のアジェンダに移っていきましょう。ロマンさんがデータ保護分野で経験されてきたことについて一緒にお話しできることを楽しみにしています。始めになぜ第一のキャリアに弁護士を選んだのか教えていただいてもよろしいでしょうか?
データ保護分野で活動しようと思った理由も教えて頂けると嬉しいです。
Romain: わかりました。私が弁護士になろうと思ったのは12歳の時ですね。当日 “コートルーム” を始めとしていくつかの法律に関する映画を観ていて、全ての内容は覚えていないのですがとても好きな映画だったことを覚えています。
映画の中で登場する俳優が裁判に立ち会う場面があるのですが、被告を守る姿勢や原告に対して正当性を主張して賠償を求める場面にとても感銘を受けました。そういったきっかけを通して弁護士になることを決め、ロースクールを卒業後に弁護士になりました。
弁護士になることはそれほど難しいことではありませんでした。司法試験の勉強中に、通信やオンラインショッピング等に関するIT法についての議論が始まったタイミングだったので、大学を卒業後にIT法で修士を獲得することにしました。
そしてネムル大学の研究所に所属することになります。修士のクラスでは、ITやプライバシー、オンラインショッピング、契約法、競争法等について学びました。
その後に法律事務所で務めることになりますが、私が務めることになった法律事務所はビジネス案件を扱うことが多く、オンラインショッピングやIT法、アウトソーシングや知的財産権に関連する分野を扱っていました。
こういった分野は直接訴訟に関わるわけではありません。オンラインショッピングやアウトソーシング関連での訴訟はあまりなく、法律に適応するための対応方法をアドバイスする仕事が大半を占めていました。
それから訴訟に関連した事務所を探すために、いくつかの法律事務所を渡り歩きましたが、従業員コンプライアンスとプライバシーやデータ保護に関するアドバイス等に従事するようなケースもありました。
こういった案件は当時のクライアントが求めているケースが多く、従業員のコンプライアンス対応を実施する上でのエビデンス収集は大きなテーマになっていました。私が務めていた法律事務所ではプライバシーとデータ保護法に準拠するためのコンプライアンス対策に多くのリソースを割いていました。
こういった経験を通して、プライバシーやデータ保護法に詳しくなり実務的な経験を積んでいくことになりました。ただ、私の業務は従業員の制裁問題等に関する案件が中心だったので、コンサルティングを提供していました。
ただ、従業員の情報については原則として違法に収集した情報が正確性を持っているとは限らないため、収集することも利用することも禁じられています。
それ故に、クライアントにとっては従業員に対して制裁を実施できるような具体的な情報だったとしても、データ保護の下で適切に対応することが必要になります。私はこういったクライアントに向けての法対応コンサルティングやアドバイス業務に従事することになりました。
GDPR施行後に変化したデータ保護に対するリスクの考え方
GDPRが施行される前はクライアントからどういったリスク対策が必要になるかと問われることが多かったのですが、GDPR施行前のベルギーではデータ保護に関するリスクはあまり重要ではありませんでした。
そのため、私たちは調査を実施したり意見書をクライアントへ提供することがメインで欧州各国のデータ保護監督政府機関の権限も限られて制裁が難しかったこともあり、データ保護リスクについてはあまり懸念されることはありませんでした。
当時はnoybのような市民団体もなく、データ保護法違反で企業を訴えるようなケースも稀でした。いくら素晴らしい調査報告書やドキュメントを準備したとしても、クライアント側で具体的に実行されることはなかったのです。
(動画:#InvestInPrivacy [ENGLISH])
私は当時の状況を理解していました。そうこうしている中で2011年にベルギーデータ保護監督局が新しくリーガルアドバイザーを採用するためのコンペティションを実施するという話が入ってきました。
私は募集内容に興味があったので応募してみることにしました。運よく選考を通過してからは、政府側の立場でデータ保護に関わるようになり、これまでとは異なる仕事に従事することになりました。私が描いていたとても充実した機会に挑戦することができるようになりました。
政府機関で働いたことがなかったので、ベルギーデータ保護監督局に関わるまではどういった仕事をしているか全く理解していなかったのですが(データ保護監督局は独立した組織で政府機関ではありませんが)、働いていく中でデータ保護法についての話とデータ保護法の執行についての話を双方で考えるような機会に関わることできました。
ベルギーデータ保護監督局で働き始めて以来、法律の執行や訴訟を起こさずに解決にあたる方法について関心を持つようになり、データ保護法の具体的な適応事項等についても調べるようになりました。
私が弁護士として関わった始めの仕事は多くのドキュメントを作成し調査も実施することがありましたが、実際の執行に携わることはなかったのでデータ保護監督局での仕事は非常に重要な経験であると思いました。
データ保護監督局で働きながらも具体的な執行ケースについて関わってみたいと思うようになりました。消費者やデータ保護監督局、データ管理者や企業が求めるものを執行するか否かに関わらず検討することが必要だろうとも考えていました。デジタル環境では適正な競争が行われ、執行に関連するいくつかの要素を明確にしていくことが必要です。
少し長くなってしまいましたが、ここまでが私とIT法の20年間になります。このお話が回答になっていれば幸いです。
非営利団体noybでの活動と役割
Kohei: ありがとうございます。とても面白いお話でした。ロマンさんは非常に素晴らしいキャリアを歩んでこられるとともに、業界の中で重要な役割を担われていたと思います。
ご経験の中でも非営利団体noybでの活動やデータ保護環境を整える上でも重要な取り組みだと考えています。ここからはnoybについてもお伺いしたいと思うのですが、noybとはどういった団体でロマンさんがどういったお仕事をされていたのか教えていただいてもよろしいでしょうか?
Romain: 分かりました。ここまで紹介してきた私の経歴の続きになるのですが、私はGDPRが施行される以前からGDPRが適切に執行されることが大切だと考え、ベルギーデータ保護監督局で働き始めました。当時はデータ保護監督局によって執行が行われることはありませんでした。
そこで私は欧州データ保護監察機関に移り、ベルギーの政府機関から欧州の機関で働くことにしたのです。当時はGDPRについての議論が行われていた時期でした。私は所属機関を通して、ベルギーデータ保護監督局や欧州データ保護監察機関の人間として交渉に参加していました。
政府機関の中の人として直接GDPRに関わることができました。この経験を通して、GDPRが施行されるまでの一連の流れに関わることができました。ただ当初私が求めていた欧州データ保護監察機関でも執行に関わることが難しいとわかったので、欧州データ保護委員会へ移ることにしました。
ただ、欧州データ保護委員会の事務局でも直接執行に関わることはありませんでした。欧州データ保護委員会が執行を行う際には入念に事前準備を行う必要があり、事務局として人材管理を行なったり法律の分析や手続き等のメールでの調整作業を行う等の裏方の仕事が多くなりました。
欧州データ保護委員会が執行にあたるには、事前に法的な手続きを踏んで対応する必要があるため法的手続きに則した対応が求められていたのです。
当時のGDPRへの準拠については具体的な対策が見えなかったタイミングで、2019年の末にnoybの創業者であるマックス・シュレム氏から連絡をいただきました。丁度1年前に彼と会う機会があったため、改めて一緒に活動しないかと誘いを頂いたのです。
彼から誘いを頂いたこともあり、私は別の領域で新しい活動に取り組む時期だなと考えるようになりました。当時は法の執行が実施されていなかったこともあり、市民団体を通じて執行に取り組む方法がより活発になるのではないかと考えていました。
こういった背景もあって私は2020年にnoybへ参画します。noybについて詳しくない方に向けてnoybについて紹介させて頂くと、noybはNGOで5年前に創業者のマックス・シュレム氏が立ち上げました。
マックス・シュレム氏はオーストリアを拠点とするプライバシーを専門とする法律家であり、社会活動家でもあります。2つの重要なケースについて欧州司法裁判所に申立てを行った後、”none of your business” の略称でnoybを創業します。
noybは消費者団体であり、デジタル権利を主張する組織でもあります。特にGDPRに注力してデジタル上の権利を保護するための執行に向けた活動を行っています。noybでは基本的にデータ管理者による不当な点についての追求を行っています。
私たちはGDPRを執行する立場ではありませんが、裁判所等の機能を活用してGDPRが執行されるような取り組みを行い、弁護士資格を持っているメンバーであればクライアントへデータ保護監督局と連携しGDPRが執行されるような活動を行います。
GDPRの執行を行うための第三の選択肢としてnoybのような市民団体の活動がとても重要なのです。noybのサイト上では団体のミッションステートメントが公開されているのですが、理論と実践のギャップを埋めることが団体としての重要な活動になります。
GDPRで明記されていることと、実際の執行が行われる過程で足りない部分を埋めることが大切な役割です。
データ保護監督局単体で執行を行うことはリソースが足りないため、優先順位が下がったり、専門性を持った人材が少ないという点も課題になっています。noybが第三の選択肢を提供することによって、欧州域内の一団体としてだけでなく主要団体としてもデータ保護監督局へ執行を行うような働きかけを行うことが必要なのです。
私が2020年にnoybへ加わることを決めたのは、リーガルチームとマックス氏の考えを加速させ、申立てに対して執行を行うための戦略的な訴訟に取り組むことを考えていました。
欧州域内でGDPRの執行を行うためには戦略的に考えることが必要であり、どの地域でどういった言語を使用して申立てが行われ、誰が対象者で主要な争点は一体何かを理解し、どういったことは避けるべきかを考える必要があります。
具体化を進めるだけでなく、訴訟方法や執行の手順についても理解し、具体的に足りていない要素についても探りながら準備する必要があります。私がnoybに関わり始めたのは、こういった背景があったからです。
Kohei: ありがとうございます。データ保護分野においてNGOは個人の基本的な権利を守るために重要な役割を担っていると思います。NGOは欧州のデータ保護環境でどういった役割を実施しているのでしょうか?
例えば、執行を行う方々に向けて対象者の声を届けたりするなど特別な役割として実施していることはありますか?
〈最後までご覧いただき、ありがとうございました。続きの中編1は、次回お届けします。〉
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?