見出し画像

欧州データ保護委員会が取り組むミッションとは

Privacy by Design Lab(プライバシーバイデザインラボ)

GDPRが施行され数年が経過し、欧州の政府機関の役割も当初より徐々に変化してきています。

今回はGDPRの運用で中心的な役割を担っている欧州データ保護委員会で事務局のトップを務める、イサベルさんにGDPRのこれまでと、これからについてお話をお伺いしていきたいと思います。

Kohei: 皆さん。Privacy Talkにお越し頂きありがとうございます。本日はベルギーからイサベルさんにお越し頂いております。イサベルさんはデータ保護の中心人物として活動されています。本日はお時間を頂きありがとうございます。

Isabelle:どういたしまして.

Kohei:ありがとうございます。始めにイサベルさんのプロフィールをご紹介したいと思います。イサベルさんは欧州データ保護委員会(EDPB)で事務局のトップを務められています。

欧州データ保護委員会の事務局では主にドキュメントの作成や各国のデータ保護機関が円滑に連携するためのコミュニケーションツールの提供などを行い、メディア対応や欧州データ保護委員会における会議運営等を担っています。

イサベルさんは委員会の設立当初から事務局チームを率いています。委員会に加わる以前には10年間ベルギーのデータ保護機関でリーガルアドバイザーを務めていました。アドバイザー時には越境データ移転に関する責任者として、第29条のワーキングパーティの活動にも貢献しています。

ベルギーデータ保護機関での活動後には、欧州一般データ保護規則(GDPR)に関する欧州委員会からの提案についての交渉にも携わっています。ベルギーのナミュール大学コンピューターと法に関する研究センターで研究者としてキャリアをスタートし、データ保護や知的財産権、デジタル取引問題について研究されていました。

ルーヴァン・カトリック大学で法学修士を取得し、ナミュール大学ではICT法の大学院を卒業されています。

本日は貴重なインタビューの機会を頂き、ありがとうございます。

Isabelle:どういたしまして。

Kohei:ありがとうございます。早速始めのアジェンダに移っていきたいと思います。イサベルさんはこれまでにデータ保護の分野でキャリアを積まれてきたと思いますが、なぜデータ保護分野に関心を持ったのか教えて頂けますか?

ICTと法律への関心からデータ保護領域へ

Isabelle:わかりました。きっかけは幼いことから家庭内でコンピューターに触れる機会があったことでした。1983年か84年だったと思います。その後、私が大学で法を学んでいた際にICTと法の関係性に興味を持つようになり、そこから法の分析を始めるようになりました。

当時分析していた内容としては、メールを法的な証拠として取り扱う必要性等を分析していましたね。それ以外には、ドメインネームの解決策や欧州の通信マーケットの自由化などをテーマとして取り扱っていました。

法律について学んだ後にICT法の法学修士を新たに学ぶことを決めました。大学院では1979年に研究所を開設したイヴ・ポウレット教授の下で学ぶ機会を頂くことができました。

先生の研究所は欧州域内で2番目に開設された研究所で、教授はデータ保護を専門としていたこともあり、この分野のリスクと検討の必要性についてもよく理解されていました。

大学で数年の研究期間を経て、彼と一緒に研究所で働き始めました。そこから私のデータ保護のキャリアが始まり、同時に電子取引や知的財産法についても取り組むようになりました。当初は今のGDPRで議論されている内容と比べて、データ保護分野は非常に対象が限られていました。

データ保護について研究していく中で、議論されている内容が非常に不明瞭であることがすぐにわかりました。そして対象とする分野によってはデータ保護についての内容が異なることもわかってきました。

ここまで研究所での経験を経て、ベルギーのデータ保護機関へ移り欧州のデータ保護構想について10年間議論を行なってきたことがデータ保護分野に関わるようになった経緯です。

Kohei:とても興味深いお話しですね。イサベルさんは現在欧州データ保護委員会で非常に重要な役割を担われていると思います。欧州データ保護委員会でのイサベルさんのミッションについてお伺いしても宜しいでしょうか?

欧州データ保護委員会が取り組むミッションとは

Isabelle:わかりました。聞いて頂きありがとうございます。欧州データ保護委員会が目指しているのは、欧州域内でデータ保護法の一貫した解釈が浸透していくことにあります。欧州域内の国々で活動する個人データ保護機関(DPA)がそれぞれ一貫した指針をもとに活動できるようにすることですね。

私たちは目指す方向性に向けて、4つの大きなテーマを掲げています。一つ目が欧州データ保護法(GDPRに限らず、法による執行指針を含む)が一貫した解釈で浸透するように、ガイダンスや推奨資料を準備することです。

図:欧州データ保護委員会が取り組むミッション

ガイドラインを通して一般組織や民間企業、データ保護機関を含めた公共機関に対して組織の意思決定や国ごとに公表するガイドラインで参考になる情報を提供しています。これまでに57のガイドラインと6つの推奨内容を発表しており、GDPRへ対応した法的な指針に貢献するように取り組んでいます。

例えば、昨年には14のガイドラインを発表していて、個人データ漏洩時についての内容や越境データ移転対策である “Code of Conduct” についての内容、さらには音声アシスタントサービス対策クレジットカードのデータ保管等について紹介しています。

最近は各国のデータ保護機関が協調して実施するワンストップショップ制度についてのガイドラインを発表し、罰則金の計算等についても記載しています。

二つ目は各国のデータ保護機関が一貫した対応を行うために必要なアプリケーションについてです。この取り組みは主に欧州経済圏、欧州域内のデータ保護機関の意見や意思決定を採用するものです。

法的な要求の中で、各国のデータ保護機関が単独で承認することができず、欧州データ保護委員会に意見を求める必要がある場合があります。

例えば、拘束的企業準則(以下BCR)や “Code of Conduct”、認証制度、さらにはデータ提供者へ与えるリスクが大きいと考えられる際のデータ保護影響評価が該当します。

このようなケースでは、最終的な意思決定を各国の個人データ保護機関が承認する前に、欧州データ保護委員会へ作成したドラフトを送る必要があります。作成してもらったドラフトは一貫した決定内容であるかどうかの意見を欧州データ保護委員会から募り評価することになります。

例えば、欧州域内の国に適用したBCRや “Code of Conduct” を実施する場合に、各国で同レベルの規則の適用が行われているのかを評価し、データ処理を実施することによってデータ提供者へ与えるリスクが許容できる範囲であるかどうかの判断を行い、さらにデータ保護影響評価(DPIA)を実施すべきかどうか含めて判断を行います。

昨年だけで、私たち欧州データ保護委員会では35のケースに対して一貫性ついての意見を述べています。欧州データ保護委員会はオーケストラで例えるとマエストロのような役割を担っていて、各国のデータ保護機関で一貫した対応が行われるように別々の専門組織を導いていく役割を担っています。

先ほど説明した内容に加えて、包括的な意思決定についての役割も担っています。これは、意見を表明するのではなく法に基づいて執行を行う際に、各国のデータ保護機関を束ねる役割を担うということです。

国を越えたデータ移転を違法に行っていた場合に、個人データ保護機関が執行に当たるケースが該当します。例えば、企業が欧州域内の複数の国でデータ処理を行った場合や、欧州域内に居住するデータ提供者が別の国で実施されたデータ処理によって物理的に影響を被り、違法な越境データ移転であると判断される場合が該当します。

欧州域内の複数の国で違法な越境データ移転が実施されていた場合、ワンストップショップと呼ばれる制度のもとで各国のデータ保護機関が協力して執行に当たります。

ワンストップショップ制度のもとでは、一つの個人データ保護機関が代表となり(リードデータ保護機関)、他の個人データ保護機関は代表が行った意思決定に対して意見を述べたり、協力することができます。その他の個人データ保護機関は代表がドラフトで公表した決定事項に反対の場合は異議申し立てを行うことができます。

関係する個人データ保護機関で合意が取れない場合には、代表が欧州データ保護委員会へ持ち込み包括的な意思決定を行うように促していきます。欧州データ保護委員会は公表されたドラフトによる意思決定内容の変更要求を行うことができます。

実際には、ワンストップショップ制度のもとで各国の個人データ保護機関が協力し合意に至るケースが多く、欧州データ保護委員会が介入する必要はありません。

これまでにデータ保護機関で2000件以上の越境データに関する案件を取り扱い、380件が最終的な合意まで至っています。これまでに合意した内容では委員会による介入が行われていません。

ただ、数少ないケースで委員会が介入する場合があります。これまでに3件委員会が介入して包括的な意思決定を行ったケースがありました。一つがTwitterのケースで、残り二つがWhatsAppに関するケースです。これまでの数少ないケースを除くと、委員会が介入するようなケースは特段ありません。

三つ目は欧州委員会に対して法的なアドバイスの実施です。欧州委員会は欧州議会欧州理事会を通過した法律文書と法の運用に責任を持っています。

法律文書で記されていることはデータ保護制度において非常に重要であるため、文書に対して委員会から意見を述べる必要があります。

これまで意見を述べてきたものの中で有名なテーマであり、関連性が高いものは十分性認定についての内容であり、欧州と日本は文書の内容をもとにして十分性認定を締結しています。それ以外には、欧州委員会が設計した越境データ移転で用いられる標準契約条項のフレーム内容が該当します。

私たちは新しい制度に対しての意見表明も行っており、新たに推進しているデータ戦略も一つの重要なテーマになります。

最後の四つ目は各国の個人データ保護機関による執行を支援するための活動です。この活動はより重要性が高まってきています。欧州のデータ保護法の下で執行を行うことが各国の個人データ保護機関や規制当局に求められており、対象となる機関は違反内容の調査や制裁を行います。

データ保護法に沿ったガイドラインを生み出す手順

各国の機関が単独で執行を進めていくことが困難であることがわかったので、円滑に執行を進めていくために欧州データ保護委員会は各国の執行機関を支援することを決定しました。

Kohei:活動は多岐に渡りますね。イサベルさんのチームは消費者の権利を保護するために様々な活動に取り組まれてきたこともわかりました。とても興味深いお話です。

データ保護専門家界隈の人たちは、欧州データ保護委員会が公表して下さるガイドラインを参考に活動することも多いため、いつも非常に参考になっています。ガイドラインを通して欧州政府の取り組みを知ることもできますし、日本を始めとしたアジアの専門家にとっても役に立つ情報だと思います。

次にGDPRのガイドラインについてお伺いしたいのですが、欧州データ保護委員会ではどのようにガイドラインを取りまとめて発行されているのでしょうか?

〈最後までご覧いただき、ありがとうございました。続きの中編は、次回お届けします。〉

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫

この記事が気に入ったらサポートをしてみませんか?