見出し画像

民間企業がデータ保護対策を行うことで得られる便益とは

Privacy by Design Lab(プライバシーバイデザインラボ)

※このインタビューは2022年6月20日に収録されました。

GDPRが施行され数年が経過し、欧州の政府機関の役割も当初より徐々に変化してきています。

今回はGDPRの運用で中心的な役割を担っている欧州データ保護委員会で事務局のトップを務める、イサベルさんにGDPRのこれまでと、これからについてお話をお伺いしていきたいと思います。

前回の記事より

特にテクノロジー大手企業に対する制裁は、各国のデータ保護機関が単独では対応が難しいと思います。大手企業は国を越えてビジネスを展開しているため、境界線を引くことも難しいのではないでしょうか?

大手テクノロジー企業に対する制裁を実現する方法

Isabelle:まさにおっしゃる通りですね。世界中のどの地域でも考えるべき重要なテーマで、世界プライバシーコミッショナー会議でも議論の中心になると思います。大手テクノロジー企業に限らず、世界中の企業が検討すべきテーマになっていくと思います。

欧州ではこれまでデータ保護についての意見や提案を中心に取りまとめてきました。GDPRが制定されて以降、法に関する内容もいくつか変更があり、個人データ保護機関が制裁を行うことができる範囲を含めていくつかの変化が生まれています。

今取り組んでいることはデータ保護法の条文を一つ一つ明確にしていくことで、条文内容が明確になれば事業者にとってもデータ保護対応を進めていきやすくなると思います。この動きは競争法の動きとも少し似ています。

競争法に関しては、これまでに70年の歴史があります。私たちが関わっているデータ保護法の下で判断した制裁内容に関して、裁判所で認められることが必要です。そのため、裁判所で申し立てを行うことができるように、十分に精査した上で制裁するか否かの判断を行っています。

Kohei:素晴らしいですね。では最後の質問に移りたいと思います。最後は未来についてのお話しです。カンファレンスに参加させて頂いた際に、多くのステークホルダーの方が参加されていたことにとても感銘を受けました。

日本でも同様の場を作る必要があると考えており、GDPRが施行されてから欧州で行われてきた議論を通して学ぶことが沢山あると考えています。

最後の質問は、欧州データ保護委員会の今後についてお伺いしても宜しいでしょうか?認証制度を始め、欧州各国のステークホルダーと連携した効果的な取り組みを進めているともお伺いしておりまして、今後の展望をお伺いできれば幸いです。

欧州データ保護委員会が見据える今後の方向性

Isabelle:わかりました。GDPRが施行された当初には、欧州データ保護委員会からGDPRの重要なコンセプトを伝えるガイドラインが数多く公表され、対象となる特定の領域に対してGDPRが求める範囲の説明を行ってきました。

継続的にGDPRの説明を行いつつも、現在はデータ保護機関により執行の支援やアカウンタビリティに必要なツールの開発を行い、コンプライアンス対策を充実させていくように変わってきています。

私は主に各国のデータ保護機関が基準を設定する拘束的企業準則(BCR)について取り組んでいます。BCRは企業が各個人データ保護機関とミーティングを実施し、コンプライアンス対応できているかを確認した上で最終的に承認するかどうかの判断を行う制度です。

こういったGDPRへの対応を行うための新たなアカウンタビリティツールの開発を進めています。“Code of Conduct” や認証制度も該当することになります。GDPRの条項では具体的な対策フレームワークの詳細には触れていないので、委員会内で議論を行い条項で求められる内容に沿って必要な情報を決定していきます。

図:法律に対応する様々な制度

一般的にはあまり知られていませんが欧州データ保護委員会ではこのような取り組みを初期から行っており、”Code of Conduct” や認証制度のような対策ツールが上手く機能するように取り組んできています。

既にいくつかのガイダンスを出していることに加えて、各国の個人データ保護機関が準備した基準のレビューも行っています。個人データ保護機関や関連組織は民間企業の認定や、”Code of Conduct” 等で掲げた内容が遂行されているのかモニタリングを行う役割も担っています。

欧州域内で機能する認定制度の仕組み

私たちは各国の個人データ保護機関は国の代表として民間企業の認定を行い、企業に求められる認定基準の発行も行っています。各国の個人データ保護機関は委員会に決定内容を送ることになっています。

委員会では欧州各国から認証や認定に関して決定したドラフトを受け取り、対象となる企業が欧州域内の国々で統一したルールのもと一貫した対応を行うことができているのかを確認します。

私たちはBCRや “Code of Conduct”、認証制度に適正な基準を準備し、制度上のフレームワークとして準備しているのです。

開発したフレームワークは民間企業が欧州域内で利用できるようになっています。GDPRの対象となる民間企業が認証を受けたい、もしくは越境データ移転の文脈で “Code of Conduct” への適応を行う場合にも活用する場合が考えられます。

最後に、”Code of Conduct” のガイダンスを最近発行し、認証制度を含め国際的な越境データ移転への対応を行うことができるような準備も行っています。

私たちは対応方法の変更を進めており、民間企業もこういったツールを活用した対策を進めることで円滑に事業を進めていくことができるようになると思います。既に始まっている議論にある程度めどが立つことには、”Code of Conduct” や認証システムに関するドラフトを欧州全域で精査していくことになります。

民間企業がデータ保護対策を行うことで得られる便益とは

ここまで紹介してきた内容を推進するためにはやることが沢山残っていますが、民間企業が自社の利益のために、コンプライアンス対応で取り組むべきことを具体的に整理していくことは良いことだと考えています。

トレーニングプログラムや不服申し立てを行う仕組み等が企業内で確立できるようになれば、とても良いことだと思いますね。

Kohei:ありがとうございます。

Isabelle:勿論、欧州データ保護委員会では執行を強化していくために包括的な意思決定は引き続き進めていく計画です。各国の個人データ保護機関も制裁を行っていくと思いますし、対応リソースが追いつかない場合は欧州データ保護員会でも協力していきたいと思います。こういった取り組みを推進していくことで、さらに包括的な意思決定が推進できるようになるような環境づくりを行っていきたいと思います。

Kohei:ありがとうございます。多くの民間企業が対策を検討していると思いますが、今日のお話を通じて、各企業が其々消費者の利益やデータ保護に取り組んでいくことが非常に重要であると感じました。企業がデータ保護に取り組むために実施した有用なケースについては他の企業が参照できるように共有していくことも必要ではないかと思います。

欧州データ保護委員会がこれまで行ってきた活動に加えて、今後の動きも非常に期待したいですね。民間企業にとって参考になる情報があると非常に助かるのではないかと思います。

Isabelle:データ保護に民間企業が取り組むことは、他社との競争においても有効に働くと思います。実際にBCRに取り組んだ企業が該当します。 例えば、製薬企業や石油関連企業がBCRの採用を決めて推進していますが、こういった企業は取引先や消費者に対して自社の取り組みを紹介していくことで、データ保護に取り組んでいることを知ってもらうような動きも始まっています。

図:データ保護対策が企業の競争戦略になる

最終的に信頼を構築できない企業は生き残っていくことができないので、信頼構築を行っていくことが非常に重要なのです。デジタル化が進んでいく中で、ビジネスにおいても信頼がより重要視されていくと思います。消費者から信頼を得るために、倫理的な判断を行っていくことが必要になります。

プライバシーへの投資が未来につながるわけ

Kohei:まさにそうだと思います。最後にイサベルさんの視点からメッセージを頂いても宜しいでしょうか?プライバシーやデータ保護に取り組む企業にとってはデジタル化に伴って、どういった方向性で考えていくべきか検討している人たちもいると思うので、メッセージを通じてお伝え頂けると嬉しいです。

Isabelle:わかりました。本日はこういったインタビューの機会を頂き、ありがとうございます。日本と欧州で十分性認定を結ぶことができていることは、非常に素晴らしいことだと思います。

初めて十分性についての決定が行われたことは、非常に良いことだと思っています。十分性認定によって、国ごとのデータ移転はより簡潔になることに加えて、一定の線引きが行われることは良いことだと思います。

プライバシーへの投資を行うことは、無駄な投資ではありません。データ保護違反によって罰則を受ける可能性があるリスクを回避するために投資を行うのではなく、他社との差別化を行い、未然にデータ漏洩を防ぎ消費者との信頼関係を構築するために必要なのです。消費者から信頼を失ってしまうことによって、企業は突然収益源を失ってしまうこともあるため事前に重要事項として考えておくことが必要です。

Kohei:イサベルさん。本日は改めまして貴重なお時間を頂きありがとうございました。これから私たちのデータが保護される新しい未来を連携しながら作っていけることを楽しみにしています。

Isabelle:本日は貴重な機会をいただきありがとうございました。データ保護に関する動きが世界各国に広がっているので、世界中の皆さんとも一緒に協力していきたいと思います。

Kohei:ありがとうございました。

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫


この記事が気に入ったらサポートをしてみませんか?