GDPRと米国連邦法から考える国際協調の課題
※インタビューは2021年2月17日時点の内容です。インタビュー記事であり、法的なアドバイスを提供するものではありません。
欧米を始めとして、個人のプライバシー保護の機運が高まっています。
米国と欧州のデータ保護法に関する動きをシンクタンク Future of Privacy Forum のディレクター Gabriela さんにお伺いしました。
Kohei: 国を越えるデータ移転の話と合わせて、GDPR が施行した以降の話をお伺いしたいと思います。
GDPR の違反企業を制裁する欧州の仕組み One-Stop-Shop
Kohei: GDPR が施行されてから二年半以上経ちます。この期間に、500件以上のインシデントケースが報告されました。しかしながら、Facebook やTwitter、Google といった欧州の複数国で事業を展開している大手テクノロジー企業への法的制裁は当初の想定に及ばないという指摘があります。
そこで、ここからは GDPR による企業の制裁の課題をお伺いします。日本やアジア圏の人たちには伝わりづらいでしょうが、欧州各国のデータ保護監督当局(DPA)は One-Stop-Shop という仕組みのもと制裁と調査をしています。
Gabriela さんの昨年のツイートを拝見すると、One-Stop-Shop の仕組みを改善する必要性の指摘がありました。課題と効果的な改善はどのようなものになるでしょうか?
Gabriela: そうですね。GDPR 違反に対して制裁を課すためのガバナンスは複雑です。視聴者の皆さんに理解してもらえるように説明しますね。
データ保護に関する政府組織の話から始めます。
まず、欧州各国にはデータ保護監督機関(DPA)という政府組織がデータ保護を統括しています。日本の個人情報保護委員会に近い役割だと思います。ちなみにドイツは特殊です。州ごとにデータ保護監督機関(DPA)がいて、それら16の組織と別にドイツ全体を統括する連邦データ保護監督機関があります。
図 欧州のデータ保護法の執行体制
欧州全体を統括するのは欧州データ保護会議(EDPB)です。欧州各国のデータ保護監督機関(DPA)のメンバーで構成されます。欧州データ保護会議(EDPB)は GDPR を制定するにあたり欧州委員会(EU の政策執行機関)から独立した組織です。欧州委員会と各国のデータ保護監督機関(DPA)の代表が集まり、設立までに数多くの議論をしてきました。
先ほど紹介された One-Stop-Shop の仕組みは GDPR に適用され、いくつかの目的に沿って運用されています。 One-Stop-Shop の仕組みのポイントは誰をデータ管理者(Data Controller)にするかです。 One-Stop-Shop が適用されるのは、欧州域内で複数の国に跨って市民や個人のデータを利用する企業が対象になります。(その企業のことをデータ管理者(Data Controller)と言います。)
(編集部)Data Controllerを一意に決めるのは難しいです。たとえば、Googleがフランスのデータ保護監督機関と揉めたケースが有名です。
One-Stop-Shop の話を進める前に、GDPR が施行される前の話をしたいと思います。
GDPR 施行前は、たとえば4カ国で事業を展開する企業は、4カ国それぞれのデータ保護監督機関(DPA)にデータ保護の説明をしていました。そして、4カ国それぞれの国のデータ保護法に沿う必要がありました。
GDPR 施行後は、事業展開している複数の国のデータ保護監督機関(DPA)の中から Lead Data Protection Authority(以下、主導データ保護監督機関)が選ばれます。企業は、主導データ保護監督機関(LDPA)に対してデータ保護の報告をし、データ保護違反の実態調査や罰則も主導データ保護監督機関(LDPA)が実権を担っていました。
図 One-Stop-Shopの仕組み
ただ、One-Stop-Shop の導入によってデータ保護監督機関(DPA)の運用は複雑になりました。各国のデータ保護監督当局(DPA)は、データ管理者である企業の精査を国を越えて運用するためです。データ提供をするサービス利用者からの要求やデータ処理に関する精査をします。GDPR 施行前は、国を越えてデータ保護を監督する方法が欧州域内にありませんでした。
GDPR が施行して欧州データ保護会議(EDPB)が設置されたのちに、主導データ保護監督機関(LDPA)を中心に国を越えて事業展開する企業の運用方法を One-Stop-Shop の仕組みで確立しました。
One-Stop-Shop の課題は国を超えて協調すること
Gabriela: One-Stop-Shop の仕組みで指摘される問題点は、データ管理者である企業に対する調査と制裁に時間がかかることです。欧州27カ国に広く事業展開している企業の対応に時間がかかります。欧州域内の個人データ保護が十分でないと指摘されるのはこれが理由です。
時間を要するのは、主導データ保護監督機関(LDPA)を中心とした運用で合意形成をすることです。
GDPR のもとで One-Stop-Shop が新たなガバナンスの仕組みとして適用されました。GDPR 施行から二年半ほど経過し、制裁事例は徐々に増えています。しかし、One-Stop-Shop の仕組みから生まれた制裁事例はありません。先ほど紹介したように、時間がかかるのは大きな要因です。
他方で、One-Stop-Shop が機能しないと言い切るのは早計です。運用を続けるうちに問題は解決するでしょう。各国のデータ保護監督機関(DPA)の人たちが国を超えて協力することに慣れる必要があります。One-Stop-Shop は複数国の協力体制があることが前提です。複雑な仕組みのための体制を整えることが必要です。
欧州が取り組むこのガバナンスは世界で初めての試みです。欧州司法裁判所の陪審員は、この制度が適切に機能するか注目しています。ドイツのデータ保護監督機関からはOne-Stop-Shopの制度を見直す必要性が提案されています。
Kohei: ありがとうございます。Gabriela さんが紹介してくれたデータ保護ガバナンスの仕組みは、欧州のみならず世界各国に適用されるのではないかと思います。国を越えてデータを移転するには、移転先の国と協力してデータ保護が実装されていることの確認が必要になるためです。
データが越境移転するための組織内のデータ利用の調査は国際協力が必要な分野ですね。企業が国を越えるデータ移転を推進するにつれ、データ保護のガバナンスは複雑性を増しそうです。データ保護のガバナンスが適切に運用されるには、十分な対話と議論が事前に必要になるでしょう。データ保護法は国によって考え方も定義も異なります。ですので、データ移転先の国々のことを理解できるような教育機会も必要ですね。
お聞きした話は、勉強になる内容ばかりでしたね。最後のトピックに移りたいと思います。
米国連邦法としてプライバシー法は制定されるのか
Kohei: Gabriela さんは現在米国で活躍しています。米国では今年新たな大統領が就任し、米国政府のデータ保護に対する考え方も民主的な方向へ大きく変化すると思っています。
昨年 Gabriela さんが寄稿した記事は「なぜバイデン政権が米国連邦プライバシー法の制定に意欲を示しているのか」がテーマでした。米国のプライバシー法の動きが、大きく三つの理由で政権移行後に変化すると紹介していましたね。政権が移行して数ヶ月が経ちます。今後、バイデン政権で米国連邦プライバシー法の議論はどう進むでしょうか?
Gabriela: そうですね。大切な質問だと思います。昨今、米国ではプライバシー法に関する様々なことが起きています。ここ3、4年は顕著です。この動きはどれも重要です。具体的にお伝えしましょう。
まず、州ごとに具体的な動きが始まっています。
例を挙げると、カリフォルニア州は分わかりやすいですね。カリフォルニアでは CCPA(カリフォルニア消費者保護法)という消費者保護の法律が2018年に制定されました。
それに続いてカリフォルニアでは2020年11月に消費者保護法を新たに制定するための住民投票が実施されました。ここでは住民投票という言葉を使いましたが、正確には国民投票でした。法律を制定するための国民投票という投票機会でした。この投票は、 CCPA を制定するときも実施されました。カリフォルニアの投票で可決した法律は、CCPA よりも内容が複雑で、消費者のプライバシーを保護するように厳しく企業に要求する内容です。投票で可決した法律は CPRA(カリフォルニア州プライバシー権法)と呼ばれる法律で、2023年の1月に施行予定です。
カリフォルニアの国民投票は米国の他の州の刺激になりました。各州で住民のプライバシーを保護する動きが始まっています。似た動きは連邦議会でも起きています。米国全土に適用される連邦プライバシー法の議論がされています。
米国には、特定の領域のプライバシー関連法があります。
たとえば、HIPPA(医療保険の相互運用性と説明責任に関する法律)という法律です。HIPPA は健康データのポータビリティとそれに付随する医療情報の保護に関する法律です。HIPPA は病院やヘルスケアサービス提供者が取得する健康医療データに適用されます。
HIPPA 以外には FCRA(公正信用報告法)という法律があります。この法律は信用報告業界に適用されます。
二つの例を紹介しましたが、米国にはプライバシーを保護する連邦法はまだありません。連邦法がないため、取得するデータカテゴリーごとに適用することになります。これは各州で起きている大きな問題です。
ここからは州ごとの動きを紹介します。
バージニア州では、包括的なプライバシー法をつくる方向で議論が進んでいます。
私の知る限り、米国の住人たちは特定の状況で(データ規制が)免除される法律よりも、包括的なプライバシー法を望む声が多いです。
バージニア州の法律は、特定の領域のデータに限らず、ビジネスで取得される様々なデータに適用される予定です。企業規模によらず、中小企業にも適用されるのではないかと思います。この変化はカリフォルニア州で CCPA が採用された消費者保護の強化と近しい動きです。
欧州で GDPR が既に施行しているので、こうした動きは今後も起きるのではないかと思います。
バージニア州のほかには、ワシントン州でも新たな提案があります。米国の西部で州北部にシアトルという地域があります。この地域では新たな法制度の議論が三年も続いていました。私たちはそれが実現するか、それとも現行の法制度が継続されるかに注目しています。
米国連邦プライバシー法の制定に向けて、去年、いや過去二年で法案がいくつか提出されました。その中からなにか動きが生まれて米国全体で包括的もしくは基本的なプライバシー法が成立するでしょう。
Kohei: ありがとうございます。各州のプライバシー法制度の議論は興味深いですね。新政権が今年発足し、新体制の政権もスタートしました。データを取り巻く米国内の環境も変化しそうですね。テクノロジー企業だけでなく、データを使うほか全ての組織体に法制度が適用されるかは大きな議論です。
国際社会で日本がリーダーシップを示すことへの期待
Kohei: 最後に、Privacy Talk を見てくださる方に向けてメッセージを頂けませんか?プライバシー分野で活動している人や個人情報保護の動きに注目している日本の方にも読んで頂いています。Gabriela さんからメッセージを頂けると嬉しいです。
Gabriela: もちろんです、ありがとうございます。
まずお伝えしたいことがあります。欧州と日本で十分性認定がなされているのは素晴らしいです。欧州と日本間で自由にデータを移転できることは、世界のデータ保護の動向を見ても日本のリーダーシップを発揮しています。日本政府が発表した DFFT(データフリーフローウィズトラスト)のフレームワークも重要な取り組みだと思います。
人々の声をきちんと集め、民主主義の国がデータ移転の標準化に向けて共に進むことが必要です。データを提供する市民からの信頼を集めるようなデータの越境移転の環境を整える必要がありますし、そのために政府間の信頼も必要です。
日本がデータ移転のリーダーシップを国際社会に示すことは、今後ますます重要になると思います。 そうなることを楽しみにしています。そうした動きが継続し、日本からデータ保護の環境に関する新たな取り組みが生まれるのを願っています。
日本の個人情報保護法が昨年改正されたと発表がありましたね。日本から新しいリーダーシップが生まれることを楽しみにしています。
Kohei: Gabriela さん、ありがとうございます。素晴らしいメッセージですね。データ移転やプライバシーの問題は一つの国の問題として捉えるのではなく、複数の国で協力して向き合うものだと思います。安全なデータ社会を作るために、対話を通じて連携を深めていきたいですね。本日はありがとうございました。
Gabriela: ありがとうございました。
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translator 栗原宏平
Editor 今村桃子
Headline Image template author 山下夏姫