欧州米国間のデータ保護の議論とPrivacy Shieldの次の選択肢
※インタビューは2021年2月17日時点の内容です。インタビュー記事であり、法的なアドバイスを提供するものではありません。
欧州と米国ではデータ保護に関する議論が加熱しています。
日本にも影響がある越境データ移転のこれまでの動きを米国のプライバシーシンクタンク Future of Privacy Forum のディレクター Gabriela さんにお伺いしました。
Kohei: Privacy Talk へようこそ。今回はアメリカのミシガンから Gabriela さんにお越しいただいています。彼女は欧州のデータ保護政策に携わっていたデータプライバシーの専門家です。現在はワシントンD.C.のシンクタンク Future of Privacy Forum で Senior Council として数多くのプロジェクトを進めています。Gabriela さん、本日はありがとうございます。
Gabriela: ありがとうございます、Kohei さん。視聴者の皆さんとお話しでき光栄です。
Kohei: ありがとうございます。まずは彼女のプロフィールを紹介します。
Gabriela さんは現在、米国ワシントンD.C.に拠点を持つシンクタンク Future of Privacy Forum で、各国のプライバシー政策、特に欧州のデータ保護政策の研究調査をしています。匿名化やAI、モビリティ、アドテク、教育を担当しています。
Future of Privacy Forum で働く前は、ブリュッセルにあるベルギーの欧州データ保護監察機関(EDPS)と共にチーム(Gabriela さんの他にアドバイザーとリーガルオフィサー)で働いていました。博士課程ではデータ主体に関する論文を発表しています。Gabriela さん、改めて本日はよろしくお願いします。
Gabriela: よろしくお願いします。
Kohei: では早速、今回のインタビューアジェンダに移りたいと思います。
家族がプライバシーを侵された過去をきっかけに始まった Gabriela 氏の法科大学院での経験
Kohei: まず、Gabriela さんがプライバシー分野に関わるようになった経緯をお聞きします。
プライバシー分野で活躍する人たちは徐々に増えています。みなさんそれぞれが異なる理由でプライバシーに関心を持っています。そこで、Gabriela さんにもプライバシー分野の仕事を始めた理由をお伺いできると嬉しいです。
Gabriela: もちろんです。プライバシー分野に関わり始めた経緯をお伝えしますね。
私がプライバシー分野に興味を持ったのは、法科大学院に通っていた頃です。当時は憲法の基本的な権利を学んでいました。その中にプライバシー権と情報の秘密に関する権利もありました。
私の両親と叔父叔母は、1989年まで社会主義国だったルーマニアの話をよくしてくれました。法科大学院での学びと両親の話に繋がりを感じたことを覚えています。特に、祖父の話はまだ記憶にあります。
図 秘密警察の活動によるプライバシーが制限される空間
祖父によると、近所の人たちが祖父の会話をいつも盗み聞いていました。祖父が日々聞いていたラジオのプログラムも秘密裏に誰かに伝わっていました。当時は秘密警察が街中にいる時代です。秘密警察は秘密裏に聞いた会話内容を記録しておきました。
私はその話を聞いて、自分が生きるこの社会で秘密裏の監視が起きないために何かできないか考えました。法科大学院で様々な文献を調査しました。そうして研究を始めたことをきっかけに欧州のデータ保護分野に関わり、欧州の法規制の仕組みにも関わることになりました。
憲法を含め色々な文献でデータ保護を調べてみると、基本的な権利であるプライバシーとデータ保護は異なるとわかりました。プライバシーとデータ保護の考え方は関連がありますが、保護に違いがあります。
欧州連合基本権憲章にはこう記されています。
第7条 個人の生活を尊重し、会話や家族での生活を秘密にする権利(プライバシーの権利)
第8条 個人データ保護に関する権利(データ保護の権利)
私はその違いに興味を持ち、監視環境が私たちの社会に与える影響を調べました。様々な文献から分かったのは、監視社会は複雑で、私たちの生活のプライバシーに大きく影響することでした。そして、社会にはデータ保護と個人データ保護があることを知りました。
私がプライバシー分野に関心を持ったのは、祖父の体験がきっかけです。大学院では模擬法廷に参加する機会がありました。模擬法廷でのデータ保護をテーマにした議論でさらに興味を持ちました。私は典型的な法科大学院の学生だと言えますね。
模擬法廷は、法科大学院の学生が実際の法廷争いに近い体験をするものです。弁護士の役になり裁判を争います。原告と被告の双方の代理人(弁護士)となってEUデータ保護指令で定める規定に沿って争いました。模擬法廷を重ねるうち、私はデータ保護に関心を寄せて多くの文献と書籍を読みました。それはたしか2008年あたりです。データ保護の議論が活発な時期でした。学ぶにつれて、私たちの暮らす社会に影響を及ぼす可能性に気づいていきました。
法科大学院の修士論文でもデータ保護をテーマにし、博士課程でもデータ保護を研究しました。少し長くなりましたね。私がプライバシー分野で働き始めたのは大学院での学びが大きかったです。
Kohei: 面白いですね。Gabriela さんがプライバシーについて話す動画をいくつか拝見しました。プライバシーに関心を持つ動機は過去の経験にあったんですね。私もプライバシー分野に関わる理由がいくつかあります。互いのきっかけを共有することは大切だと感じました。
GDPRを起点に広がる世界各国のデータ保護と Gabriela 氏のキャリア
Kohei: ここからは Future of Privacy Forum での活動についてお伺いします。プライバシー産業を盛り上げながら、そこに参加する人を増やすことも重要です。弁護士や政治家、官僚だけでなくテクノロジーやビジネスを推進する人たちも巻き込む必要性を感じています。 今働いている Future of Privacy Forum で働くようになった経緯はどういうものでしたか?また、そこではどのような仕事をしていますか?
Gabriela: そうですね。私は Future of Privacy Forum で2016年から働き始めました。その前に住んでいたベルギーのブリュッセルから米国に移る個人的な事情があり、そのときに Future of Privacy Forum と出会いました。当時は米国で仕事を探していて、私のキャリアの展望を踏まえても最適な場所だと思ったのです。
2016年から今日まで Future of Privacy Forum で働いています。私の選択はよかったと思います。素晴らしいメンバーから米国の仕組みを学び、私が経験した欧州の仕組みも活かせる場所だからです。欧州の法的な視点を理解していることが役立っています。
私が米国に移る前はちょうど欧州で GDPR(一般データ保護規則)が採用される時期でした。私は欧州でデータ保護監察機関(EDPS)を通じて欧州議会(European Parliament)や欧州委員会(European Comission)、欧州理事会(European Council)と関わっていました。その経験が今の場所で必要とされています。
(欧州では)欧州データ保護監察機関(EDPS)のアドバイザーと共に新しいデータ保護法への移行とデータ処理を検討しました。欧州データ保護監察機関(EDPS)が作成した GDPR のドラフトを法案にまとめる議論に参加しました。ブリュッセルでのこの経験は幸運だったと思います。
議論に加わるだけでなく、GDPR を法案にまとめるチームにいたことはさらなる幸運でした。素晴らしいチームメンバーと共にドラフトの内容を分析・調査し、私たち独自の視点で(先ほど紹介した)欧州の様々な組織に進言しました。これはよい経験でした。
GDPR が法案として審議・施行される手続きに関わったのち、欧州の経験と知識を活かして米国に移りました。米国で個人データ保護の議論が進み始める時期でした。欧州のデータ保護の動向に関心が集まっていたのは、私にとってまたもや幸運でしたね。どの企業も二年後の2018年に GDPR が施行されることを知って GDPR がどう審議されたかを適切な人に聞きたがっていました。
図 欧州のデータ保護法の動きに米国企業は関心を寄せ始める
私は自分が適任だと Future of Privacy Forum に説明しました。 GDPR が制定された経緯と施行によって生まれる変化を論理的に伝えることが求められました。私は欧州のプライバシーとデータ保護の動向を解説することで、欧州のデータ保護の専門家として活動の幅を広げました。
欧州のデータ保護は、特定の産業だけでなく全産業へと適応範囲を広げています。テクノロジーと産業の両視点から取り組む必要があり、デジタル広告や生体認証、人工知能、子供のプライバシー権はデータ保護の対象となる代表例です。今後、データ保護の要求は一層強まります。
私は前職の同僚とこうしたケースを研究・調査し、GDPR が制定されるまでの支援を引き受けていました。今は、全世界のプライバシー保護のトレンドの調査を担っています。各国のプライバシー保護機関とデータ保護機関は、国内のデータ保護法の成立に向けて動いています。日本もその一つです。米国や欧州以外でも、国内の議論が活発です。私はそうした各国の動向分析をしています。
図 各国で進むデータ保護法規制の動き
ブラジルは代表例です。インド、韓国、シンガポールもですし、アフリカ各国でもデータ保護の動きが始まっています。アフリカでは、南アフリカとナイジェリアは代表的です。ケニアもアフリカを代表する国ですね。ケニアはアフリカ以外の国と連携できるデータ保護の枠組みのもと動いています。
Kohei: なるほど。世界各国でデータ保護の動きが始まっていますね。世界全体のデータを取り巻く環境がプライバシーを守る環境に変わることは素晴らしいです。そのためには各国の組織が連携する必要がありますね。
これまでは Gabriela さんの経験のうち欧州から米国に移動した話を伺いました。ここからは、 実際の取り組みについてお伺いしたいと思います。
欧州米国間を移動する越境データのフレームワークPrivacy Shieldの懸念
Kohei: 昨年、欧州と米国は両国間でのデータの越境移転(国を越えてデータを移動させること)について大きな発表をしました。それまでは、あるフレームワーク(ここでは Privacy Shield のことを言っています)を活用したデータの越境移転が主流でしたが、今後はフレームワークではない方法を選ぶ動きが広がると考えられています。
次の質問は、データの越境移転のフレームワークについて米国と欧州間でどのような議論がこれまでなされたかについてです。昨年 Privacy Shield(データの越境移転に関する米国EU間のフレームワーク)が無効になると発表されましたが、現在は両国間にどのような動きがあるでしょうか?
Gabriela: いい質問ですね。米国と欧州間でのデータの越境移転はプライバシー業界で最も注目されているトピックです。昨年の夏に欧州司法裁判所が Privacy Shield を無効とする判決を下したことが発端です。
私の記憶が正しければ、2015年からデータの越境移転の議論は続いています。データの越境移転の当時の議論を、欧州司法裁判所は今も引き継いでいます。この議論は欧州と米国間のセーフハーバー協定と呼ばれるデータの越境移転の取り決めを軸に進んできました。
欧州司法裁判所が昨年の夏に Privacy Shield の無効判決を下した理由は、米国企業による個人データの監視を懸念したことが大きいです。
比例原則(権利・利益の制約との間に均衡・公平を要求する原則。幅広い分野の法律で用いられます)に則ると、個社の監視活動(監視に対するProportionality)に懸念が残ります。欧州から米国に転送される個人データを(個社が)電子通信手段を用いて収集することへの懸念です。欧州域内の個人データの収集が比例原則に則さないことも危惧され、欧州の市民が懸念するところでもあります。欧州から米国にデータが移転された後も、司法を通じた救済措置が必要です。
欧州司法裁判所が懸念しているのは、Privacy Shield で示されたフレームワークが欧州連合基本権憲章の基準に満たないことです。Privacy Shield に代わるフレームワークの合意に向けた議論は、欧州委員会と米国政府が中心に進めています。欧州司法裁判所が懸念する欧州連合基本権憲章の基準を満たすことを前提に検討しています。両国政府の検討が前進すれば、新たな交渉が始まるでしょう。
今年一月にバイデン新政権に変わり、データの越境移転の交渉についてよいニュースが飛び込んできました。政権が変わった初日、米国政府はトランプ前政権とは異なる担当者を任命し、欧州委員会と交渉を進めると発表しました。議論が継続されることはよい兆候です。両政府間の議論の進展を待ちながら、今後の動きを注視しようと思います。
欧州米国間でデータが移動するための新たな選択肢
Kohei: ありがとうございます。欧州と米国でフレームワークが有効になるまで、米国企業は標準契約条項(Standard Contractual Clauses)を活用することと思います。昨年 Privacy Shield が無効になって、それを利用していた5000社以上の米国企業に影響があったとニュースで見ました。
Privacy Shield が無効になって標準契約条項を用いたデータ移転が必要になる場合、どのような影響が米国と欧州の企業にもたらされるでしょうか?
Gabriela: 大きな影響がありますね。GDPR の罰則対象にならないためのリスク対策として、コンプライアンスを重視する組織づくりは少なくとも必要です。米国から欧州へデータを越境移転させる場合、標準契約条項のような契約を締結する必要があります。逆に欧州から米国にデータを移転する場合も同じです。
フレームワーク Privacy Shield が無効とされたことは、データの越境移転を検討していた事業者にとってリスクです。別の方法で法的に問題ないデータの越境移転をする必要があります。
データを越境移転させる方法は現在限られています。一つは標準契約条項を利用する方法ですが、これは複雑で取り扱いが難しいです。欧州司法裁判所が Privacy Shield を無効とした際、欧州から米国へデータを越境移転させるには、欧州の個人データが十分に保護されることを追加で精査する必要があると発表したためです。
標準契約条項の優先事項として求められるのは、この部分です。
“契約内容に関わらず、基本的には欧州から移転されたデータが技術的、組織的に確実に保護される必要があります”
昨年に Privacy Shield が無効になってから、データを越境移転させるための対策が少し複雑になりました。もちろん他にも方法がありますが簡単には実行できないため、十分な検討が必要です。
たとえば、Binding Corporate Rules(以下、拘束的企業準則)の承認を欧州の監督当局から取得する方法があります。
同じグループ企業の間で、同じイントラネットを利用している環境でデータを越境移転させる方法です。ただ、拘束的企業準則の承認を取得するには時間がかかります。2、3年、もしくは4年以上かかる場合もあります。数年の期間をかけて承認を取得できるまで、法律準拠できないまま脆弱性の高い環境でデータの越境移転をすることになります。
それ以外には、GDPR の49条に記されている Derogation(以下、法律の部分的撤廃)を選択することができます。
ただ欧州データ保護会議(EDPB)は、法律の部分的撤廃が適用されるのは限られた場合のみと発表しています。たとえば、繰り返しデータを越境移転させる場合は認められない可能性があります。企業が法律の部分的撤廃を選んだ場合、差し留めを含めて企業リスクを検討するのがよいです。現時点で私が知る限り、欧州のデータ保護監督当局(DPA)から法律の部分的撤廃に関する動きがあった例を知りません。私が思うに、彼らはこの件について注意深くあろうとしています。
欧州データ保護会議(EDPB)は(標準契約条項と部分的撤廃に関して)ガイドラインを発表するでしょう。データの越境移転に対応した新しいフレームワークが出来るまで、企業がどのように対応すべきかを示すガイドラインのドラフトを公開しています。企業や消費者、NGOから幅広くコメントが寄せられて、コメントを反映しているところです。近いうちに最終版のガイドラインが発表されることに期待しています。
つまり、(データの越境移転の)状況は不確実なのです。
Kohei: なるほど、ありがとうございます。米国の友人とデータの越境移転の話をすると、Privacy Shield の昨年の無効判決の影響を気にする人が多かったです。Gabriela さんから具体的な話をお伺いできて参考になりました。
フレームワークが無効になり、クラウド系のサービス事業者は米国と欧州間のビジネスに大きな影響が出ると思います。日本は現時点では GDPR の十分性認定を受けていますが、今後ガバナンスが見直されることで両国間で認定が継続されるかはポイントになるでしょう。米国と欧州の動きを見ると、フレームワークが無効になった際の民間企業への影響が大きいと予想できます。ですので、十分性認定を継続できるような対策が必要になります。
インタビューは後編に続きます。
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translator 栗原宏平
Editor 今村桃子
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?