ペンギンでもわかる「DFFT（信頼性のある自由なデータ流通）」

おはようございます。
世界No.1の偉大なプライバシーテックカンパニーを目指すAcompany広報のはまだ🐧です。全国制覇まであと3県（大分・宮崎・鹿児島）です。

さて、最近「DFFT（Data Free Flow with Trust：信頼性のある自由なデータ流通）」という単語をよく見る・聞くようになりました。
2023年はDFFT実現に向け、大きく動いた年。1月の世界経済フォーラム年次総会2023（ダボス会議）にはじまり、4月のG7群馬高崎デジタル・技術大臣会合、5月のG7広島サミット2023と、このDFFTについて公で何度も議論されました。
そして12月、このDFFTを具体的にアクションしていくため、日本主導でOECD傘下の組織が発足しました、と日本経済新聞の12月4日の報道。点で追っていると、「結局DFFTってなんだ？」となりました。

DFFT具体化へ向けた新たな国際枠組みがOECDで承認(12/4)

信頼性のある自由なデータ流通(DFFT)の具体化に向け、日本が主導してきた新たな国際枠組み(IAP)がOECDで承認されました。G7デジタル･技術大臣会合(議長:河野大臣)で取りまとめたIAPに対するG7の期待も踏まえIAP稼働に向けた動きが加速します。

— デジタル庁 (@digital_jpn) December 5, 2023

このDFFT。一体どういったものなのでしょうか？
今回は、DFFTとは何か、ペンギン🐧でもわかる方式でわかりやすく、面での理解を広げたいと思います。

この記事は#アカンクリスマスアドベントカレンダー2023 27日目の記事となります。

💡この記事の目的
- DFFTを自分の言葉で語れるようにする

DFFTとは

定義：DFFTとは

まずは定義から確認しましょう。
デジタル庁によれば、DFFFTとは「プライバシーやセキュリティ、知的財産権に関する信頼を確保しながら、ビジネスや社会課題の解決に有益なデータが国境を意識することなく自由に行き来する、国際的に自由なデータ流通の促進を目指す」コンセプトです。

💡DFFT（Data Free Flow with Trust：信頼性のある自由なデータ流通）
「プライバシーやセキュリティ、知的財産権に関する信頼を確保しながら、ビジネスや社会課題の解決に有益なデータが国境を意識することなく自由に行き来する、国際的に自由なデータ流通の促進を目指す」というコンセプトです。DFFTは、2019年1月にスイス・ジュネーブで開催された世界経済フォーラム年次総会（ダボス会議）にて、安倍総理（当時）が提唱し、2019年6月のG20大阪サミットにおいて各国首脳からの支持を得て、首脳宣言に盛り込まれました。

https://www.digital.go.jp/policies/dfft

ざっとDFFTの流れを時系列に並べるとこんな感じ。

ここからは、時系列でDFFTを追っていきます。

2019年ダボス会議でDFFTのコンセプトを紹介

DFFTが初めて明るみになったのは、2019年の首脳宣言です。
安倍元首相がDFFTに言及したことがことの始まり。データは石油になり得る。全世界でデータを活用することができるよう、「自由に国境をまたげるようにしないといけない」と宣言しました。

当時の報道：

データ「自由に越境を」　首相、ダボス会議で国際ルール提案 - 日本経済新聞

2021-22年は、ロードマップの作成、アクションの作成

その後、「DFFTに関する協力のためのG7ロードマップ」や「DFFT促進のためのG7アクションプラン」などを作成。ここからDFFTを通じて解決したい課題やそのためのHOWが言語化されました。

詳細は：[仮訳]附属書:「DFFT 具体化のための国際枠組み (Institutional Arrangement for Partnership :IAP)の 設立及び G7 の期待に関するコンセプトペーパー」

2023年にDFFTの実行部隊として、IAPが承認される

その後、4月に開催されたG7群馬高崎デジタル・技術大臣会合にて、DFFTを運用するためのパートナーシップのための制度的取り決めとして、IAP（Institutional Arrangement for Partnership）が登場。

そして先日、このIAPがOECD傘下の国際組織として発足することが決定しました（日本経済新聞）。

ではここからは具体的に、DFFTを達成するにあたり、どのような課題が存在しているのかまとめてみました。

DFFTが解決したい4つの重要課題

DFFTは何を解決するのでしょうか。
その答えは今年4月に開催されたG7群馬高崎デジタル・技術大臣会合のG7デジタル・技術トラック 附属書1 DFFT 具体化のためのG7ビジョン及びそのプライオリティに関する附属書に記載されています。
この宣言による重要課題は、①データローカライゼーション ②規制協力 ③信頼された政府のデータベース ④データ共有の4つです。

①データ・ローカライゼーション

先述の附属書によれば、データ・ローカライゼーションの課題について、下記のように記載されています。

経済成長やイノベーションのために、データの越境移転や保護をできるようにすることは重要である。DFFT に関する協力のための G7 ロードマップや 2022 年の DFFT 促進のための G7 アクションプランでの我々のコミットメントを具体化すべく、データガバナンス や正当な公共政策の目的のために様々なアプローチがあることを考慮にしつつ、データ・ローカライ ゼーション対策による経済社会への影響を踏まえた上で、具体的な進捗を目指すべきである。（仮訳）

G7デジタル・技術トラック 附属書1 DFFT 具体化のためのG7ビジョン及びそのプライオリティに関する附属書

そもそもデータ・ローカライゼージョンとは何かよくわからないですね。まずはここから。

💡データ・ローカライゼーション
国境を越えたデータ移転に関する制限

通商白書2018 2-1-1 デジタル貿易の現状 より

例えば、EU圏の場合だとGDPR内、アジア太平洋経済協力会議（APEC）の場合だと越境プライバシー規則（CBPR）がその例です。
いわゆる「越境データ規制」と呼ばれているものですね。
※詳細は総務省情報通信白書へ

では、データ・ローカライゼーションの問題は何なのか。

ITIFの"How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them"によれば、データ・ローカライゼーションがその国で進むことにより、中期的に国内GDPが下がるとされています。

ITIFは、OECDの市場規制データに基づく尺度を用いて、ある国のデータ制限性が1ポイント上昇すると、5年間で貿易総生産が7％減少し、生産性が2.9％低下し、川下価格が1.5％上昇することを明らかにした。（DeepL訳）

"How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them"

現に、データ・ローカライゼーションの筆頭の1つインドネシアでは、「この5年間で、より重大なデータ規制がGOV（Gross Output Volume）を7.8％減少させ、生産性を3.2％低下させ、物価を1.6％上昇させたと推定される」とのこと。

"How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them"より

ここから、データ・ローカライゼーションを緩和すること、つまり（秩序のある範囲で）越境データ流通を許容することは、自国のGDP上昇につながるといえます。

②規制協力

国内アプローチの相違は、政府、ビジネス、個人に対して、法的なものを含む不確実性を発生させ、越境データ流通に影響を与える可能性がある。我々はデータを越境移転させ、デ ータの保護要件に対する規制アプローチの共通点を特定するために作業を促進するとともに、プラ イバシー強化技術（PETｓ）やモデル契約条項などのアプローチ、透明性の向上などにより規制情報へのアクセスや優れた規制慣行を促していくなどの協力を促進すべきである。（仮訳）

G7デジタル・技術トラック 附属書1 DFFT 具体化のためのG7ビジョン及びそのプライオリティに関する附属書

国により法規制は様々です。EU圏はGDPRと厳しい法律が既に存在する一方、アメリカはデータブローカーが合法であり、かなり緩い状態です。
昨今では、アイルランドでMetaが12億ユーロ（約1800億円）の制裁金を科すといった報道がありました（日本経済新聞）。そのほかにも、EU圏でGAFAMサービスがGDPRの制裁金対象になるといった話はよく聞きます。

個人情報保護に関する法制度と展望-パーソナルデータの利活用は推進されるのか？ より

なぜGAFAMに制裁金が科されるのか。その一つには、規制が均一ではないといった理由があるでしょう。とはいえ、アメリカがGDPRに準じた法律を定めるということは無理がある。一方で、各国政府が相互に共通のプライバシー、セキュリティ、IP原則等の基準を導入することは一考の余地があります。

例えば定められた一定基準以上のプライバシーテック（PETs）を含むサービス、そもそもの技術を取り入れることだったりが考えられます。

プライバシーテックとはなにか、なぜ私たちは重視しなければいけないのか 

③信頼された政府のデータへのアクセス ④データ共有

越境データを使えないことは、企業にとって成長阻害要因となりえます。国にとっても、サイバー犯罪などの解決で他国のサーバーにデータがある場合、解決を諦めざるをえない場合もある。
そういったケースは今後、より増加していくと思われます。

③信頼された政府のデータへのアクセス
我々は、国家安全保障に関わる機関や法執行機関が 個人情報にアクセスする際に適用される共通のプライバシー保護措置を特定することにより、主要 な阻害要因や課題への対処を求める「OECD の民間が保有するデータへの政府のアクセスに関する宣言」を歓迎する。民間企業による宣言への認知を促進すべく、他の国にもこの原則への署 名を奨めるべきである。また、IAP は、さらなる共通の理解を民主主義的な価値と法の支配と矛盾する個人データへの政府アクセスを防止すべく、適切なリスクベースアプローチに関する共通の理解をさらに深めるように努めるべきである。（仮訳）

G7デジタル・技術トラック 附属書1 DFFT 具体化のためのG7ビジョン及びそのプライオリティに関する附属書

④データ共有
コロナ危機と最近のグローバル情勢は、イノベーションと成長を促進するために、ヘル スケア、グリーン／気候変動、モビリティ（自動走行のための地理空間情報プラットフォームなど） といった優先分野におけるデータ共有アプローチについて、志を共にするパートナーが合意を見出すことの価値と必要性を示している。我々は DFFT具体化に向けた取り組みの一環として、データ 共有を促進すべく、デジタル証明書やデジタル・アイデンティティに係る技術やユースケースの役割 を支持する。データの利用促進は、経済成長のための戦略的な機会でもある。（仮訳）

G7デジタル・技術トラック 附属書1 DFFT 具体化のためのG7ビジョン及びそのプライオリティに関する附属書

例えば、日本とEU圏の場合はどうでしょうか。
日本の場合、「十分性認定」を受けているため、日本の個人情報保護法と一定の条件を満たしている場合であれば、個人データを越境移転することが可能です。

【ワタナベ先生に聞くシリーズ④】「越境データ」を取り扱うときに注意すべきこととは？

いわゆる、EU圏から見て日本はホワイトリストに入っている状態といえます。しかし、世界から俯瞰して見るとこのホワイトリストを設けている国・地域は案外少ないのが現実。"How the G7 Can Use “Data Free Flow With Trust” to Build Global Data Governance"によれば、現在は74カ国・地域がホワイトリストを設けていると言います。

"How the G7 Can Use “Data Free Flow With Trust” to Build Global Data Governance"

プライバシー保護とデータ活用の両立

DFFTで達成したいことは何か。この質問に今一度立ち返ってみると、プライバシー保護とデータ活用の両立を世界で実現することなのではないでしょうか。

2019年の安倍元首相の宣言にもある通り、データ量は年々増え続け、使えることが望ましいとされるものの、国家安全保障上の機密を含んでいたりするデータやパーソナルデータは慎重な保護のもとに置かれるべきです。
この相反する2軸を両立できる方法の一つに、プライバシーテックがあります。

Acompanyは、このプライバシーテックをコアに、「2035年までに世界No.1の偉大なプライバシーテックカンパニーになる（1,000億規模の売り上げを目指す）」と旗を掲げています。

共にプライバシー保護とデータ活用の両立の二項対立を解消したい方ぜひ、Acompany採用サイト覗いてみてください〜💪

Acompany Careers // 採用情報

ではでは🖐️

参考文献

DFFT｜デジタル庁

How the G7 Can Use “Data Free Flow With Trust” to Build Global Data Governance

Operationalizing Data Free Flow with Trust (DFFT)