スノーデン事件とインターネット空間でのデータの権利が残したもの
国を越えたデータ移転の問題は世界各国へと波及しています。
今回はドイツ銀行のシニアカウンセルとして法務業務に携わり、ブロックチェーン等の法制度にも詳しいマティアスさんに今後の動向をお伺いしていきたいと思います。
Kohei: 皆さん。本日もPrivacy Talkにお越し頂きありがとうございます。本日はドイツからマティアスさんにお越し頂いています。
マティアスさんはデータ保護の現場で長年活動されています。改めまして、マティアスさん。本日はインタビューのお時間を頂き有難うございます。
Matthias: ご招待頂きありがとうございます。
Kohei: ありがとうございます。先ずはマティアスさんのプロフィールを紹介します。
マティアスさんは弁護士として1999年からドイツ銀行のシニアカウンセルの役割を担っています。ドイツ銀行の前はドイツのシュトゥットガルトの弁護士事務所で勤務していました。
長年ドイツ銀行内でのデータ保護の実装に取り組んできました。全世界の社内向けに複雑なデータ保護下での国際的なアウトソーシング業務に関する法的なアドバイスを行ってきました。大学では法律の博士号を取得し、国際プライバシー専門家協会 (IAPP)の欧州情報プライバシー専門家認証を2018年1月に取得し、2020年1月からはIAPPの欧州アドバイザリーボードとして活用もされています。
マティアスさん。改めまして本日は宜しくお願い致します。
Matthias: ありがとうございます。こうやって欧州のデータ保護に関する動きをお話しできてとても光栄です。
Kohei: はい。早速始めのテーマの話をできればと思っています。マティアスさんのこれまでの経歴がとても気になっていて、なぜデータプライバシー分野に関わろうと思ったのかお伺いできればと思います。
以前データプライバシーカンファレンスでご一緒してから、マティアスさんのご知見やご経験にとても感銘を受けたのですが、データプライバシーにはどういった経緯で関わるようになったのでしょうか?
社内弁護士としてデータ保護に取り組み始めた理由
Matthias: そうですね。ご紹介頂きありがとう御座います。私はデータプライバシー部門に移る前に、いくつかの法律部門で働いていました。投資に関する法務や信用に関する法務全般ですね。丁度、フランクフルトとロンドンでリスクマネージャーとして働いていた時に、データプライバシー関連のテーマを扱うことになり、それでデータプライバシーにも興味を持ち関わることになりました。
私がフランクフルトのデータ保護部門に移るまでは、誰もデータ保護の役割をになっていなかったので、私が唯一の担当者としてチームの中で役割をになっていました。当時、データプライバシーに関わるを決めたことは全く後悔していないですね。2018年にGDPRが施行され、データ保護対策がより重要になっていくと考えられるようになっていたからです。
今日では多くの人がデータ保護法を知り、企業活動の中でとても重要な役割を占めることにもなりました。データ保護は2018年までのIT法や知財法とは違います。データ保護法の動きに加えて、私はブロックチェーン法も独立した法制度として今後出てくるだろうと思っています。
データ保護の話に戻すと、今では多くの法律事務所が社内にデータ保護チームを設けて対策を進めています。今となってはプライバシーの専門家であると社内外に説明せずとも、データ保護法に取り組むことができるようになったことはとても良い動きだと思います。
私は社内弁護士として、新しいビジネスを立ち上げる際にデータ保護上問題ないかどうかを審査することが必要だと伝えています。審査を行うためには社内外の専門家、及びステークホルダーに参加してもらい助言や専門的な視点を取り入れることが求められます。宏平さんの質問に端的に答えると、データ保護は一取り組みの範囲を越えて、重要な社内のステップとして導入が始まっています。
図:社内弁護士として新しいビジネスの審査を実施
私はデータ保護分野に関わることができることをモチベーションに今働いているので、引退後も関わっていきたいと考えています。
Kohei: 素晴らしいですね。マティアスさんが公開している記事をいくつか拝見したのですが、専門的な内容でとても勉強になりました。日本人の視点から見ると欧州の動きはわかりずらいことも多いので、欧州でどういった動きが生まれているのかをもっと知りたいと思いました。
スノーデン事件とインターネット空間でのデータの権利が残したもの
次の質問はこれまでのデータ保護の動きに関して聞いてみたいと思います。今はデータプライバシーに関するテーマが毎日のように議論され、特にシュレムⅠ、シュレムⅡの動きがあったここ5、6年はより変化が激しくなっているように感じます。
外部環境の変化はどの産業にとっても大きな変化だと思います。特に金融や銀行業界もそうではないかと思っています。特に金融、銀行業界でシュレムⅠ、シュレムⅡの動きはどういった影響をもたらしているのでしょうか?
Matthias: 良い質問ですね。シュレムⅡによって大きな影響を受けているのは金融や銀行業界のみならずデータを他国(第三国)に輸出(移転)して、輸出先の国でデータを処理している多くの企業が影響を受けています。 もう少し視点を広げると、皆さんが名前を知っているようなこれまでの歴史を作ってきたような企業は非常に難しい決断を迫られているところです。
シュレムの話はマックス・シュレムというオーストリアのアクティビストからの要望をアイルランドのデータ保護監督局が拒んだことから始まっています。彼はアイルランドのデータ保護監督局にFacebook社(現在はMeta)がアイルランドの支社を通じて米国に彼のデータを移転することを止めるように促すよう要求しました。
彼が要求した理由は、スノーデン事件で米国政府が個人データへアクセスしていたことを懸念し、自身のプライバシーの権利が犯されるリスクを感じたからです。
(動画:Snowden | Official Trailer [HD] | Open Road Films)
当時、Facebook社はセーフハーバーと呼ばれえるフレームワークを利用して、欧州と米国間でのデータ移転を行っていました。その時はフレームワークを利用してデータ移転することが合法(当時は欧州データ保護指令の下)だったのです。
アイルランドの高等裁判所は2015年に欧州司法裁判所が下した欧州委員会が認めているセーフハーバーフレームワークは不当であるとの判決を参照ました。その後、セーフハーバーフレームワークはプライバシーシールドと呼ばれる新たなデータ移転のフレームワークを欧州、米国間で導入することになります。
その後、シュレムⅡと呼ばれている判決が欧州司法裁判所によって2020年7月に下され、欧州委員会が十分と認定していたプライバシーシールドを不当であると判決を下します。この判決が銀行業界にとってはとても大きなインパクトを齎すことになりました。
国を越えたデータの移転に企業が頭を悩ませる要因
シュレムⅡは国を越えてデータを移転している欧州域内に拠点を持つ企業にとって大きな分岐点となっています。一言で言えば、プライバシーシールドを利用したデータ移転ができなくなり、代わりに欧州で定められている標準契約条項を利用して法的に問題ない形でのデータ移転が求められるようになったのです。
図:プライバシーシールドの代替手段として個別の契約条項を選択
データ移転元の事業者(輸出者)とデータ移転先の事業者、サービス(輸入者)は協力して、個人のデータ移転に関する審査を行う必要があります。これは第三国で政府機関等によって個人のデータを監視するようなことが行われていないかどうかを個人データを移転するケースごとに確認するために必要な作業です。これをデータ移転影響度評価と呼びます。
第三国に拠点を置いているデータ輸入者(サービス提供者)へデータ移転する際にはリスク評価が必要になります。このリスク評価はケースごと審査を行う必要があり、データ移転に当たって実施した決定内容をドキュメントとして残しておく必要があります。
欧州データ保護委員会(EDPB)が2021年6月に公表したガイドラインでは、データ移転対策で利用した対策方法以外にも、データ移転先の国で懸念がある場合は状況に合わせて評価を実施する必要があります。
この動きが企業にどういった影響があるかというと、我々ドイツ銀行が実施しているように独自のガバナンスモデルをゼロから設計して、データ保護当局からデータ移転評価に関する調査が入った際に対応できるようにしておく必要があります。
Kohei: ありがとう御座います。とても動きが早く、よりデータ保護対策が複雑になってきている印象があります。先程話していたSCCも新しいモデルが発表されるということで、国際的にデータを移転している企業は新モデルへの移行も必要になると思います。新しいSCCのモデルに関してお伺いしたいのですが、現在のSCCと比較して新しくどういった項目が増えたのでしょうか?
インタビューは中編に続きます。
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?