欧州で議論されている戦略的な執行対象計画
※このインタビューは2022年6月20日に収録されました。
GDPRが施行され数年が経過し、欧州の政府機関の役割も当初より徐々に変化してきています。
今回はGDPRの運用で中心的な役割を担っている欧州データ保護委員会で事務局のトップを務める、イサベルさんにGDPRのこれまでと、これからについてお話をお伺いしていきたいと思います。
前回の記事より
GDPRのガイドラインについてお伺いしたいのですが、欧州データ保護委員会ではどのようにガイドラインを取りまとめて発行されているのでしょうか?
Isabelle:ありがとうございます。私たちが発行するガイドラインは欧州データ保護委員会の中にある “Extra-サブグループ” というところで準備が行われます。
データ保護委員会のワーキンググループで議論されるテーマ
欧州データ保護委員会では各ワーキンググループごとに異なるテーマを取り扱っています。例えば、あるサブグループでは越境データ移転に関するテーマを取り扱い、別のグループでは執行に関するテーマを取り扱っています(警察による)。
さらに別のグループではGDPRへの対応に求められる認証や “Code of Conduct” のようなアカウンタビリティツールについて議論を行っています。
サブグループでの活動を紹介したいと思います。サブグループではガイドラインのドキュメントを作成するにあたり、技術的な議論を行います。グループ内での議論の末に、各国の個人データ保護機関のトップによって運営されるプレナリーミーティングでさらに議論が行われます。
この手続きは各国のメンバーが協力して行います。各国のメンバーが協力してドラフト化を進めていきます。私たちの活動は、ドラフト内容を取りまとめていくことです。例えば、欧州データ保護委員会では、各グループでの活動が一貫したものになるよう働きかけを行います。
包括的な決定やGDPR第64条の委員会に対するBCR、認証に対する意見の取りまとめが該当します。包括的な決定やデータ保護法の下での一貫性のある対応についての意見に関しては、私たちが執行に関わることのない独立した機関としての役割を担うことになります。
図:議論を行いながらドラフトを取りまとめる
加えて、私たちは全てのドラフトを確認して対応するため、全てを理解した上で一貫した内容を提供することができるからです。
一貫した対応に関するドラフトを取りまとめるために、私たち事務局が重要な役割を担うことになります。ガイドラインを取りまとめる際には、より情報を共有する機会が増えることになります。
追加の審査が必要な場合等に関しては、事務局が中心となって提案を行ったりすることもあります。ただ、多くの場合は各国の個人データ保護機関のメンバーが中心となってドラフトをまとめ文書として発行できるように進めてくれています。
この手続きの初期段階から、新しいガイダンスを発行するまでに異なる国のデータ保護機関が議論に参加するかどうか決定することができるようになっています。
議論に参加する場合も、ドラフトの取りまとめを行う代表的な立場で参加するか、準備されたドラフトへコメントを行うだけであるか役割を選ぶことになります。
時々、小さなグループでドラフトをまとめる場合は、委員会が初期の取りまとめに参加することもあります。その後、サブグループで議論を行い、プレナリーグループで取りまとめを行うという流れです。
サブグループには50人近くの人たちが参加し、議論を行っています。プレナリーミーティングはより公式な場として、各国のデータ保護機関の代表が参加し文書についての最終意思決定を議論しています。
図:サブグループを作って議論を進める
欧州データ保護委員会の取り組みを紹介すると、昨年一年で400件のミーティングを開催しています。稼働日で計算すると、毎日最低一回はミーティングを開催している計算になります。同時並行でいくつかのミーティングが開催されることもあります。こういった委員会活動を通して、連携したガイダンスや文書の発行が行われています。
ウィーン会合で話し合われた方針とは
Kohei:素晴らしいですね。欧州データ保護委員会では各国のデータ保護機関を取りまとめるだけでなく、データ保護についての議論を進めていくために重要な役割を担っていることがわかりました。ここから次の質問に移りたいと思います。
6月にEDPS(欧州データ保護監督機関)主催のカンファレンスに参加させて頂き、非常に興味深いトピックに出会うことができました。各国のデータ保護機関が参加するディスカッションの中で、”ウィーン宣言” について議論されることが多かったと思います。
オーストリアのウィーンで開催された会議でどういった議論が行われ、何が決定し、欧州データ保護委員会の視点から見た新たな変化があれば教えて頂けませんか?
Isabelle:ありがとうございます。欧州データ保護委員会のチェアの計らいで、プレナリーミーティングを通じて、各国のデータ保護機関を招待して実施する会議が開催されました。プレナリーミーティングでは主に文書作成等に関わる内容や、様々なテーマについて議論しています。
会議ではGDPR下での執行問題について議論を行い、私たちが執行を円滑に進めていくためにどのような支援が可能であるのか、そして困っていることは何かをテーマに話し合いを進めていきました。
各国の個人データ保護機関のトップが今年の4月にオーストリアのウィーンへ招待され、2日間に渡って執行を行うための協力体制や、改善点について話し合いました。
各国の個人データ保護機関から参加している方々にとっても非常に良い機会だったと思いますし、いくつか合意に至ったテーマもあります。執行を円滑に進めていくために、以下の三つのテーマを中心に取り組みを進めていくことになっています。
図:ウィーン会合で話し合われた内容
一つ目が戦略的に重要なケースに注力して、協力しながら推進していくということです。各国のデータ保護機関がワンストップショップ制度の考え方や制度に対応するためのフレームワークをもとにして議論を行いました。GDPR第60条に関連した内容です。
参加者の方々と議論を深めていく中で、GDPRで明記されている内容以上のことを考える必要性に気付くことができました。既に公表されている文書に沿って各国のデータ保護機関が協力するだけでは、既に現場で求められていることに対して遅れが出てしまっているということです。
各国のデータ保護機関の間でより早く情報交換を行う必要性があり、執行に当たるデータ保護機関がより幅広く情報交換を行うためには事前の調査段階から協力体制を組む必要があることもわかりました。
ウィーンで開催された会議の中では、戦略的に重要なケースをいくつか選択して、小規模のデータ保護機関のグループが円滑に調査や報告活動できるように、それぞれに対してのアクションプランを取りまとめることが決まりました。
7月12日に開催されたプレナリー会議では、欧州データ保護委員会からウィーンで合意した内容に対してさらなる具体的な取り組みを発表し、戦略的に取り組む執行ケースに関してのクライテリアを作成しました。
二つ目に戦略的に取り組む始めるためのケースを決定しました。9月か10月には追加のケースが発表されると思いますが、現在はそのうち3つのケースを対象にしています。
欧州で議論されている戦略的な執行対象計画
私たちの考えでは、欧州レベルでの活動が活性化し、欧州全域での執行戦略を明確にしていきたいと思っています。既に欧州全域での戦略について議論を進めている部分もあり、協調した執行のフレームワークというものを発表しています。ここまで紹介してきたことは私たちが既に取り組んでいる内容で、委員会レベルでも共同調査や対策を実施していきたいと思っています。
まず初期に実施する活動としては、20のデータ保護機関が協力して公共分野でのクラウドコンピューティング利用について精査したいと思っています。欧州全域で執行を行うための調査は、各国のデータ保護機関が単体で実施するよりも大きな規模で取り組むことになります。
各国のデータ保護機関は、このような欧州レベルでの年間の執行を優先順位を高めて執り行うことになります。
ウィーンで議論された最後の内容は、各国の法律によって異なる手順を踏まえる必要がある場合の救済措置に関する内容です。
GDPRでは協力するための一般的なルールが定められているのですが、実務的には各国の個人データ保護機関が対象の国の法律に従って監督を行うことが求められます。ウィーンでの議論を通してわかったことは、国ごとに異なるテーマを扱っているため調整することが難しい場合もあるということです。
GDPRの下で協力する体制を整えていくことで、より円滑に推進できる体制を作っていこうと考えています。10月には欧州委員会を招いて、合法的に円滑な協力体制を作ることができるような提案を行いたいと思っています。
Kohei:ありがとうございます。ウィーンで議論された内容は、これからの執行を強化していくきっかけになるだろうと思います。カンファレンスに参加して、現在の取り組み状況がよくわかりました。
カンファレンスでは、多くのデータ保護専門家が未来に向けた議論を行っており、非常に示唆に富んだ内容でした。次にイサベルさんがカンファレンス内で紹介されていた話を深掘りしていきたいと思います。セッションの中で、WhatsAppに対する制裁のケースを紹介されていたと思うのですが、詳しい内容をお伺いしても宜しいでしょうか?
WhatsAppの制裁問題へ欧州データ保護委員会が介入した理由
Isabelle:もちろんです。WhatsAppへの制裁は包括的な意思決定を実施したケースの一つです。セッションで話した内容は、昨年夏に実施したGDPR第65条に基づく包括的な意思決定のケースです。欧州データ保護委員会が各国のデータ保護機関で行われている議論に介入して実施しました。
WhatsAppのケースはアイルランドの個人データ保護機関(DPC)が代表となり、WhatsAppのプライバシーポリシーの内容に基づいて透明性が担保されているのか否かを調査していました。
アイルランドのデータ保護機関は調査内容をもとに作成した提案書を各国の個人データ保護機関に提出していましたが、各国の個人データ保護機関から反対意見が上がり、提案したドラフト内容の修正が求められていました。
協力して取り組みを推進していこうと試みましたが、最終的に合意には至りませんでした。そこで、欧州データ保護委員会が仲介に入り、事務局が対応することになりました。
まず私たちは各国の個人データ保護機関が反対した理由を精査し、正当な理由を持ってGDPRで求められる内容に関連したものであるのかを把握するように努めました。
その後に意思決定内容の利点について把握しました。最終的な結果についてお話しします。欧州データ保護委員会からアイルランドのデータ保護機関へ、追加でGDPR違反が確認されたため提案ドラフトの修正を依頼し、アイルランドのデータ保護機関による調査で発覚した一つの違反項目だけでなく、他の項目についても違反しているだろうと追加の制裁を依頼しました。
図:欧州データ保護委員会による追加の制裁
GDPR第5条の内容と透明性に関する条項違反がいくつか見受けられたので、当初アイルランドのデータ保護機関から提案があった制裁金についても再度議論を行いました。
WhatsAppのケースではこれまでに無い制裁金額がデータ保護違反によって課されることになりました。欧州データ保護委員会では制裁金を計算する際に、当初想定されていなかった違反についても考慮に入れることになりました。
私たちはアイルランドのデータ保護機関に対してこれまでとは異なる方法で計算し、追加の侵害についても把握したのちに、決定内容の変更を依頼しました。
当初提案されたドラフトでは、WhatsAppに対して5000万ユーロの制裁金が課される予定でしたが、ドラフト内容を見直した後にアイルランドの個人データ保護機関は2億2500万ユーロの制裁金を発表することになります。
WhatsAppはこの決定に対して、欧州裁判所の前にアイルランドの裁判所へ申立てを行いました。
私たちは現在もWhatsAppのケースに取り組んでおり、一部の手続きに関しては確定する予定です。このケースで初めて欧州データ保護委員会による決定が行われることになりましたが、これからも委員会が介入するケースが出てくるのではないかと考えています。
Kohei:WhatsAppのケースは非常に新しい試みでしたね。データ提供者の課題へ取り組むための新しい挑戦だと思います。欧州レベルで紹介頂いた活動が行われていることは非常に興味深いですし、欧州域外の地域にとっても非常に興味がある分野です。
特にテクノロジー大手企業に対する制裁は、各国のデータ保護機関が単独では対応が難しいと思います。大手企業は国を越えてビジネスを展開しているため、境界線を引くことも難しいのではないでしょうか?
〈最後までご覧いただき、ありがとうございました。続きの後編は、次回お届けします。〉
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?