マネーロンダリング対策とデータ保護が共存するために必要なものとは
データ保護の取り組みは欧州に限らず、世界各国で新たなルール設計が進んでいます。
今回はアブダビグローバルマーケットでデータ保護コミッショナーでオペレーションのトップを務める、サイードさんにお話をお伺いしていきたいと思います。
前回の記事から
ブロックチェーンやメタバースを始めとして新しいテクノロジーへの取り組みも進めていると伺っています。こういった新技術に対してADGMではどのようにデータ保護を行っていく計画でしょうか?
新領域テクノロジーの発展とデータ保護が共存するために必要なものとは
Sayid:とても重要な質問ですね。ADGMで活動している企業の30%はテクノロジー企業ですので、テクノロジー企業が利用するデータ保護は重要なテーマの一つです。
ADGM域内にはテクノロジー企業の中でもフィンテック、レグテック分野で活躍する企業が非常に多いです。バーチャル資産等を取り扱う企業に対して幅広く活用できる法制度を開始したのは、ADGMが世界で初めてだと思います。
現在は国際間取引やブローカー、カストディアン、アセットマネジメント等への制度展開も行っています。
ADGMでは新しい技術領域を広範囲にカバーする法律を制定しています。ただ、私が現在所属している部門の管轄領域はデータ保護部門ですので、新しい技術領域の中でデータ保護に関連する監督業務を担っています。
私たちは新しいテクノロジーが実装されていく中で、どのように個人データが処理され、個人に対して影響があるのかを把握し、個人の権利を保護するために活動を行なっています。
図:新しい技術と規制の関係性
ブロックチェーン技術はこれから様々な分野で活用されると考えています。特に金融分野では既存の金融の枠組みとは異なり、全く新しい方法で金融サービス開発を進めている企業が数多くADGMで活動しています。これまでの金融サービスよりも、より透明性があり、効率化を進める可能性があるため注目が集まっています。
金融だけでなく、データ処理の透明性が求められるヘルスケア領域でも活用が期待されています。患者さんの診断データの活用等はわかりやすいユースケースになると思います。
私たちの役割は、新しいテクノロジー分野に関しても事業者が個人に対して責任を持つ必要性を理解してもらうことです。
一方的に企業がテクノロジーを活用して個人を監視するのではなく、企業がデータの利用方法を伝え、個人が利用方法に対して関わることができる設計が必要になると思います。
例えば、個人がデータの削除依頼を行うことができる権利が挙げられます。合成データと呼ばれる技術を利用したり、データを活用する目的に対して必要以上に個人を特定できるデータを削除することも一例として考えられます。
メタバース空間のデータ保護とリスク評価の必要性
メタバース空間を例に取ると、私の兄弟がのめり込んでいるようなケースが考えられます。
ポケモンGoやマインクラフトに代表されるように、新しいテクノロジーを利用した拡張型のゲームも次々に出てきており、ゲームをプレイする際に個人のデータを幅広く収集して利用するケースも多々見られます。
そして、一つの大きなゲーム企業が個人のデータを集約して管理する場合には、データの取り扱いに問題が起こったときにすぐに責任を追求して対処を依頼することができますが、複数の企業でメタバースを運営する場合などはそうはいきません。
誰がデータの管理者で、データの処理者であるかどうかを決めることは、我々ADGMに限らず世界全体で考えていく必要があるテーマです。
メタバース空間でのデータ処理の問題に関しては、どこがデータの終着点になるのかを見つける必要があり、誰の管轄によって執行が行われるのかを検討する必要があると思います。
図:メタバース空間でのデータ保護の問題
私たちは個人の権利と安全性を守るために、データ保護法をもとにして管轄する必要があると考えています。
データ保護法があることで、個人が自らのデータを保護される権利について理解し、自らデータ保護法のもとで個人の権利がどのように保護されるのかどうかを理解できることが重要です。
技術的な観点から解決策を模索するためにも、技術開発に取り組む企業を後押しすることが必要で、法の観点からもどのような取り組みができるのか考えていく必要もあります。
どういったケースであったとしても、事前にリスクを把握するためのデータ保護影響評価は必要になるため、リスク評価の観点から私たちが協力してデータ保護に取り組んでいくことが良いのではないかと考えています。
新しいテクノロジーが生まれると同時に、新しいテクノロジーの利用者である個人へのリスクもより高まっていくと思うので、GDPRで求められるようにリスクの高い個人のデータが十分に保護されるようなリスク影響評価を行うことが必要になります。
もしデータ保護影響評価を実施して、特定のサービスではどうしてもリスクを下げることが難しいことがわかった場合には、私たちも一緒になってリスクを下げるための方法を考えていくように取り組んでいきたいと思います。
データ活用によるリスクを下げるために企業が取り組むべきこと
加えて、データ保護に取り組むために、常にプライバシーバイデザインを実現できるような取り組みを行う必要があります。
サービス開発段階の初期からプライバシー対策に取り組むためには、プロジェクトの初期からプライバシーバイデザインの考え方を取り込み、データ利用の目的を限定することが必要です。
サービスを実装するに当たっては、個人の権利を考慮しデータの安全性にも目を向ける必要があります。技術的、組織的に安全性を確保できているのかを事前に精査する必要があります。
エンドツーエンドで暗号化処理を実施しているか、2段階認証を導入しているのか、なりすまし防止対策を行っているのか等も重要な対策になります。メタバース空間ではブロックチェーンのような技術要素を安全対策として検討しているかどうかも重要です。
組織内でデータを利用する際には、どういった場合にデータを利用し、偽情報等を考慮して逆にどういった場合にデータを利用するべきではないかをポリシーで定め、組織内で周知しておくことが必要です。
多くの組織や、政府機関でも取得したデータの利用方法を定めていないことによって、個人やコミュニティへ悪影響を及ぼしてしまっているケースがあると思います。
具体的なケースについては触れませんが、非常にセンシティブな情報に関わる場合も多いため、データの活用方法によっては人々を攻撃し、コミュニティから阻害されてしまうケース等も考えられるのです。
私たちは法を基準としてリスクを下げるために企業と協力し、利用者にとって不利な条件の場合は適切なタイミングで執行できるような対応を進めています。
Kohei:新しいテクノロジー領域に関しては、一つの国や地域に限定せず各国が協力して推進していくことが必要だと思います。アブダビでは他の国と協力するような動きは始まっていますか?
例えば、暗号資産や金融分野がわかりやすいと思うのですが、マネーロンダリング問題等で犯罪収益対策の法的な対応が重要なテーマになりつつあると思います。
データ保護と個人の金融取引記録データを利用した個人の信用調査の実施については常に是否の議論が行われていると思います。犯罪収益対策に関しては各国で協力していくような動きが必要になると考えています。
マネーロンダリング対策とデータ保護が共存するために必要なものとは
Sayid:とても良い質問で、非常に重要なポイントですね。ADGMでは国際金融センターとして多くの地域と協力し、国レベルの条約に関する取り決めから、国ごとの制度に至る動きにまで参加しています。
データ保護を担当する部門はGlobal Privacy Assembly(GPA)のメンバーとしても活動しており、世界中の100近くあるプライバシーコミッショナーのメンバーと協力して活動を進めています。
私たちは国ごとに異なるルールの中で、データ共有を実現する方法を議論しています。国際的な執行に関わるワーキンググループでは、個人データに限らず情報を共有する際に法を犯した場合は。各国の政府機関がどのように連携して対処すべきか議論を行っています。
このパートナーシップを通して、多くの国際的なフォーラムやグループが、議論の場を通じて法や制度を理解した上で協力していくことが重要になります。
特に個人の表現の自由に関しては国ごとの管轄に関係なく、データ提供者にどのような影響があるのかを考慮した上で、世界各国の政府機関が協力して調査を行う必要があります。日本や米国の政府機関等、他国の政府機関とも協力して積極的に取り組みを推進していくことが必要になります。
金融テロに直結している資金洗浄の問題は、非常に難しいテーマですが、重要なテーマでもあります。ADGMは金融センターとして資金洗浄対応にも関わっており、金融インテリジェンスユニット(FIU)を設けています。
ADGMでは取引記録データを共有する場合も多く発生するため、資金洗浄対策を円滑に進めるためにデータ保護規制が大きな壁になっていないか検討する必要があります。
図:資金洗浄対策とデータ保護のバランス
政府機関がデータの流れを把握する際に、個人の権利を前提にした対策を実施していくことが必要になります。もし、犯罪が国を越えて行われている場合には、対策を強化するにあたってデータ保護法のもとでは情報公開を差し止めることはできません。
個人の権利は重要であると理解しつつも、政府機関や企業は法的な責任のもとで情報提供が求められるのです。
例えば、犯罪の原因を調査する場合や裁判所で証拠となる情報を確認する場合に、個人の権利が知らず知らずに侵害されている場合があります。
それ以外には、第三者が表現の自由のもとで特定の個人のデータを共有し、個人の権利に大きな影響を与える場合もあります。
私たちはこういった問題へ対処するために協力関係を構築することが重要なテーマであると考えています。国際的なデータ共有における連携を進めながら、個人のデータ保護と安全性に向き合っていくことが必要であると考えています。
Kohei:お話くださった内容はとても重要なテーマだと思います。金融のエコシステムをより安全なものにしていくためには、協力関係を結んでいくことが重要であると思います。同様に、新しいテクノロジーを導入する際の安全な環境づくりも非常に重要であると思います。
私たちの基本的な権利を保護しつつ、より良い体験を共有することが必要だと思います。消費者の安全を守りつつ、お互いに良い方法を生み出していくことが必要だと思います。
今日は非常に参考になるお話をお伺いできました。最後に視聴者の皆さんへメッセージを頂いても宜しいでしょうか?
サイードさんはこれまでにデータ保護分野で様々な活動をされてきたと思います。是非皆さんへメッセージを頂けると幸いです。
データ保護のこれからと未来への期待
Sayid:わかりました。そうですね。とても難しい質問ですが、視聴者の皆様へはデータ保護やプライバシー分野が非常にエキサイティングで重要なテーマであるとお伝えしたいと思います。
今私たちが直面しているリスクは、10年経てば大きく形が変わっているだろうと思います。
個人の表現の自由や権利については、新しいテクノロジーやイノベーションがこれからも広がっていくと思います。私が子供だった頃には、ここまで大量の情報やテクノロジーに触れることはなかったのですが、今では少しづつ環境も変わってきています。
今持っているデバイス等を利用して撮影する写真の取り扱い等に関する問題は、子供のプライバシーを気にしながら利用することもリスク対策として重要であり、特定の国に限定された問題ではなく、世界中で考えるべきテーマになりつつあります。
子供のデータがどのように利用されているのかは真剣に考える必要があります。ICOでは "Children's code" と呼ばれる取り組みを始めており、子供をターゲットにした問題行為に対する取り組みも始まっています。
(動画:What is the UK Children's Code and Why are Businesses worried about it?)
加えて、視聴者の方がデータ保護の分野に関心があるということであれば、好奇心を持って様々なことに取り組んで行ってほしいと思っています。この分野はこれから何十年も続いていく分野であり、新しく学ぶべきことが次々に生まれてきています。
私は規制側の立場として、民間企業と関わりながら規制の内容やリスクについて考えつつ、どうすればリスクがより小さくなるのかを考えています。
私たちの役割は、そのような活動を通して民間企業へ選択肢を提供し、プライバシーの権利が保護されるエコシステムにつなげていくことだと考えています。
プライバシーバイデザインを当初から実現することも私たちの役割であり、GDPRのような規制に対応するような対策という点でも重要であると考えています。
実務を考慮した法解釈に取り組みながら、各国の制度で調整が必要な点に関しては、協力関係を作りながら進めていきたいと思っています。
特定の問題が問い合わせで発覚した場合には、問題に向き合い、問題が発生した原因を調査を実施し、手続きに沿って合理的な対応を実施していくことが必要です。私たちも協力体制を整備することで、個人にとっても良い環境を作っていくことができると思います。
Kohei:素晴らしいメッセージをありがとうございます。データ保護分野はまだ新しく、テクノロジーとともに新しい動きも生まれてきているので引き続き連携していきましょう。
本日は貴重な時間を頂きありがとうございました。サイードさん。
Sayid:ありがとうございます。宏平さん。視聴者の方もありがとうございます。
Kohei:ありがとうございます。
〈最後までご覧いただき、ありがとうございました。続きの後編は、次回お届けします。〉
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?