見出し画像

GDPRが生まれた背景と未来へのデジタル政策

Privacy by Design Lab(プライバシーバイデザインラボ)

GDPRが施行されて以来、データを取り巻く環境は大きく変化し始めています。

今回は欧州データ保護監察機関(EDPS)でディレクターを務め、欧州のデータ保護制度を現場で推進しているレオナルドさんに、これまでのデータ保護法の歴史とデジタル世界の尊厳に関して、お伺いしていきたいと思います。

画像1

Kohei: 皆さん。今回のPrivacy Talkはベルギーブリュッセルにある欧州データ保護監察機関(EDPS)からレオナルド・セルベラ・ナバスさんにお越し頂いています。

本日は未来のプライバシーとデータ保護について、私たちは協力して何ができるのかお話しできれば嬉しいです。本日はインタビューのために貴重なお時間を頂き、とても光栄です。

Leonardo: こちらこそご招待頂きありがとうございます。

Kohei: ありがとうございます。始めにレオナルドさんのプロフィールを紹介したいと思います。

レオナルドさんは、欧州機関である欧州データ保護監察機関でディレクターを務めています。マラガ大学で法の学士、グラナダ大学で欧州法の修士を取得しています。欧州委員会のフェローシッププログラムで、ノースカロライナのデューク大学のフェローも務めています。

キングストン大学でHRマネジメントのポストグラデュエート・ディプロマを取得し、マラガサイエンスアカデミーのメンバーでもあります(ブリュッセルでは特派員を務めています)。

1999年から欧州委員会の機関でデータ保護関連業務に従事し、2010年にHR、予算管理のトップとして欧州データ保護監察機関で働き始めました。2018年にディレクターに任命され、現在はEDPSの戦略の実行や調整、政策活動に取り組んでいます。

改めまして、本日はご参加頂きありがとうございます。

Leonardo: ありがとうございます。

Kohei: 早速本日のアジェンダに入っていきたいと思います。始めに、プライバシーとデータ保護の領域に取り組み始めた理由を教えてください。

欧州への加盟と欧州法との出会い

Leonardo: ありがとうございます。沢山の偶然が重なって、私の今があります。第一歩目のキャリアは、母国スペインの南に位置するマラガで法律家として働き始めたことです。

90年代当時、欧州法を習得することはとても珍しかったのですが、私は学び始めました。

スペインが欧州に加盟して直ぐの時期だったので、航空学のように数少ない人が学ぶような少し変わった感覚だったと思います。

そんな状況でも、募集していた欧州委員会の職員試験に合格することができ、当時はとても小さかった欧州委員会のあるチームで、データ保護に関する仕事に従事するようになりました。

今思い返すと、当時は今ほどデータ保護が重要だと認知されていませんでしたね。その時に、データ保護に関する規律を組み立てる仕事に従事できたことは、とてもラッキーでした。

Kohei: そういった背景があったのですね。データ保護のお仕事を長年続けられていると思うのですが、モチベーションの源泉はいったい何なのでしょうか?

そしてもう一つ、レオナルドさんが過去にインタビューを受けている動画の中で話していた、データ保護とイノベーションのバランスが大切であるという話に感銘を受けました。どのようにバランスを保てば良いか教えて頂けませんか?

データ保護とデータ活用が共に栄えるにはどうすればよいか

Leonardo: そうですね。私が欧州委員会で仕事を始めた当初は、ローテーションで政策に関わっていました。何年かお仕事をした後に、別の政策関連のテーマを扱う機会がやってきました。

その際、私は欧州委員会の域内市場部門に配属されました。域内市場部門では著作権を扱うことになり、数ヶ月私は著作権関連の仕事をすることになりました。配属されてみると、実際はお金や貿易のことばかりで、あまり好きな仕事ではありませんでした。

しかし直ぐに、EDPSが立ち上がるタイミングでデータ保護と人権に関するテーマのお仕事に戻ることができました。初期のEDPSはPeter Hustinx氏が代表でGiovanni Buttarell氏が副代表だったのですが、Buttarell氏は私が著作権の仕事が好きではないと知っていたので、EDPSが立ち上がるタイミングで誘って頂き、元々関心があった仕事に戻ることができたのです。

私がデータ保護に取り組んでいるのは、法律だけでなくソーシャルエンジニアリングが求められる分野だからです。テクノロジーが発展する中で、私たち一人一人の尊厳が実現できる未来を作っていく仕事にとても魅力的を感じています。おそらく引退までデータ保護の仕事をやっていると思いますよ。

図:データ保護が関連する分野

画像2

Kohei: そういった背景があったのですね。レオナルドさんは現在EDPSでディレクターを務められていますが、EDPSという組織、レオナルドさんのお仕事をもう少し詳しく教えてください。

欧州データ保護監察機関の歴史と役割

Leonardo: EDPSは欧州のデータ保護を司る機関組織の一つです。欧州域内のベルギーのブリュッセルに、特定のテーマを取り扱う政府機関が設置されています。扱うテーマは、欧州全体のテーマから、フランスやドイツ、スペイン等の欧州の加盟国のテーマまで多岐にわたります。

EDPSもその機関の一つで、ブリュッセルを拠点にして、欧州全体のデータ保護に関するテーマを取り扱う組織として活動しています。代表は政治的に任命され、現在はWiewiórowski氏が2019年から5年間務めています。

Wiewiórowski氏含めて、これまでに3人が代表を務めており、初代はHustinx氏、2代目がButtarell氏、そして現在のWiewiórowsk氏です。政治的に任命されたメンバーに加えて、スタッフや欧州職員、個人事業主の人たちが働いています。私はスタッフ部門の責任者を務めています。

EDPSでの仕事は120名近くのスタッフマネジメントと共に、代表に最も近い立場で仕事を行っています。代表が掲げるビジョンを達成するために、必要な政策アドバイスや調整を行っています。

Kohei: ありがとうございます。欧州のデータ保護を運営するために、とても重要な役割を担われているんですね。

次の質問は、2019年にレオナルドさんがデューク大学で講演された内容に関してです。

(動画:GDPR and Cambridge Analytica: What is the Future of Transatlantic Privacy?)

動画の中で、GDPRが誕生するまでの話に触れていましたが、GDPRが誕生した背景と今後の戦略に関してお話をお伺いできますでしょうか?

GDPRが生まれた背景と未来へのデジタル政策

Leonardo: わかりました。欧州のデータ保護の歴史はとても長く、数十年前に遡ることになります。データ保護の議論が始まったのは、1980年代のフランスで始まったデータ保護監督官がきっかけです。

当時は欧州各国で異なるデータ保護法があり、欧州域内でデータ移転を行う際に問題になることが多く、欧州域内のデータ移転リスクが高まっている時期でした。

リスクを和らげるために、欧州データ保護指令が1995年に制定されることになります。丁度、私がデータ保護の仕事を始めた時期なので、正しいと思います。

図:欧州域内でのデータ移転を推進するための保護指令

画像3

欧州域内の国々(スペイン、ポルトガル、ギリシャ等)へ指令を適用していく必要があったので、私のような欧州法を学んでいる職員が雇われることになりました。指令が制定されたことで、欧州各国が協調してデータ保護の動きを90年代に推進し始めることなります。

当時制定された指令はインターネット技術に適応したものではなかったので、それから数年の月日が経って見直す必要が出てきました。2012年に欧州委員会がGDPRを提案したのは、こういった背景があります。GDPR案は最終的に2016年に採択され、2018年に施行されることになります。

現在はGDPRが施行されて4年の月日が経とうとしています。GDPRは新技術の発展に法制度が対応できるようにアップデートしており、各地域のデータ保護監督官が効果的に執行できるような権力を認めています。

加えて、GDPRの元ではデータ保護指令の時代に各地域の監督官がそれぞれ執行決定していた仕組みを、より調和のある形で運用できるように変更しています。

つまり、欧州の規制内容が直接適用されるため、規制の解釈を変えられないということです。よく”ブリュッセル・エフェクト(効果)”と表現されることがありますが、私たちは人権を軸として、欧州各国にデータ保護対応を依頼しています。この考え方を取り入れて、国際的なデファクト標準を準備する計画を進めています。

ここまで話したことが、GDPRを通じて実現していく計画です。ここからは未来の戦略に関して話をしたいと思います。GDPRが制定されたことで全てが終わった訳ではなく、テクノロジーの変化に合わせて、法制度も変化していくことが必要だと考えています。

データ保護法は、新しいテクノロジー発展の鏡のようなものです。GDPRで定めた内容を、より明確に定義していくことが必要です。日本でも、日本版GDPRの下で同様の問題を抱えていると思いますが、日本の場合は個人情報保護委員会が私たちのような役割を担い、活動されているのでしょう。

欧州では次世代の法規制の完成図も描いているところです。デジタルサービス法やデジタル市場法、データガバナンス法の制定を進めています。これらの法はGDPRを補完する内容で設計され、制定後に運用していくことになります。

図:欧州のデジタル法案が織りなすデジタル環境整備

画像4

私たちはより効果的な制度設計を進めていく必要があると考えています。さらに、執行を効果的に実施するために、2022年6月22日、23日にブリュッセルで開催する国際カンファレンスを開催し、参加者の皆さんと議論を深めていきたいと思っています。

執行を効果的に行うためには、欧州だけに留まらず、各国の法規制に合わせて、各地域の監督機関が運用できる方法を探していくことが必要です。解決策の探索は、まだまだ時間がかかりそうです。今話題に上がっているテーマとしては、米国とのデータ移転の問題があります。

欧州と米国は強力な関係が既に出来ているので、直面しているデータ移転はとても大きな問題であると考えています。現在は長期的に持続可能な解決策を見出すことができていないので、目の前にある問題解決がとても重要だと考えています。

Kohei: なるほど。国を越えた非常に大きな課題ですね。第三国へのデータ移転に関する動向は私も注目しています。欧州と米国の両政府で連携することが必要になると思います。国ごとの規制だけでなく、国を越えてどのように協力できるかが、より重要になっていきそうですね。次にお伺いしたい質問がデジタル主権に関する質問です。

拝見した動画で “デジタル主権” という言葉を紹介されていたのですが、”デジタル主権”とはどういった意味を持っているのでしょうか

インタビュー後編へ続く

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫             Editing support  坂上真美

この記事が気に入ったらサポートをしてみませんか?