欧州と米国から見た最新のデータプライバシー・AI議論

IAPP(International Association of Privacy Professional)が2024年の2月に英国・ロンドンで行ったカンファレンス「IAPP Data Protection Intensive: UK 2024」及び同4月に米国・ワシントンD.C.で行ったカンファレンス「IAPP Global Privacy Summit 2024」にそれぞれ参加してきました。

欧州(英国)での議論と、米国での議論は、それぞれが同じプライバシーという問題を扱っているものの、そこへのアプローチ方法や温度感、考え方等が異なる部分もあり、大変興味深いものでした。

今回は、①英国の「IAPP Data Protection Intensive: UK 2024」で議論されたものの概要と、②米国の「IAPP Global Privacy Summit 2024」で議論されたものの概要、そして③両地域における私が感じた違い、というものをテーマにご紹介いたします。

 

①「IAPP Data Protection Intensive: UK 2024」で議論された概要

・メインキーノート

 スピーカー:John Edwards(ジョン・エドワーズ)

  Information Commissioner, U.K. Information Commissioner’s Office(ICO)
  英国情報局・情報コミッショナー

 メインキーノートには英国の個人情報保護委員会とも言えるICOのコミッショナーであるジョン・エドワーズ氏が講演をされました。

ここでは、英国ICOがデータプライバシーにおける一つの核となる考え方と、2024年に考える重要な3つの論点が語られました。

核となりうる考え方は、「while still championing innovation and privacy respectful practices」と表現されていました。こちらは、「イノベーションとプライバシーを尊重した慣行を推進する」という意味合いで、ICOというデータプライバシーの規制当局が、プライバシーの尊重を伝えるだけではなく、正面切って「イノベーションを尊重」という表現をしているのが非常に興味深いものでした。

また、2024年に考える重要な3つの論点は、1つ目がAI、2つ目が子供のプライバシー、3つ目がCookieバナー等のあり方について、というものでした。一つずつ、見ていきます。

1、AIについて。英国ICOはAIについての特別な規制は不要、との立場でした。既存のUK-GDPRに準拠したパーソナルデータの利用をすることで、AIについては対応することができるという立場でした。

2、子供のプライバシーについて。英国では、16歳未満のパーソナルデータの扱いについて、今年重点的に議論をしていくという表明をされていました。保護すべき年齢を明確に16歳未満と定めている根拠はこの場面では明らかにはされておりませんでしたが、どの年齢未満をより重点的に守るのかという論点は、国や文化や地域によって異なる部分があり、画一的に年齢を定めるのは困難ではありますが、英国が16歳未満というアプローチを明確にしていることは、日本を含め他国への影響もあることかと推測されます。

3、Cookieバナーについて。英国やEUは、GDPR、UK-GDPR、e-Privacy指令等によって、いわゆるブラウザCookieへの規制が厳しい地域です。そして各企業やウェブサイトはその規制に対応するために、Cookieの同意等を管理するバナーを表示しているのですが、今回ICOは100のサイトに対してこれらのCookieバナーが法的な要件を満たしているものなのか調査を行いました。結果、53のサイトが要件に準拠しないバナーであったという結果でした。つまり、単にCookieのバナーを出すことが求められているのではなく、当然ではありますが、要件に準拠したCookieのバナーを出すことが求められているとのことです。

また一方で、ICOとしてはウェブサイトについてのプライバシーの問題は改善がされていっているが、スマートフォンアプリケーションについてはまだまだ足りないと考えている模様で、アプリケーションについても今後様々な検討をしていくということを伝えていました。

・UK Data Protection Post-Brexit

 スピーカー:
 Rita Flakoll(リタ・フラコル)
  Global Head of Tech Group Knowledge, Clifford Chance
 Kirsten Mycroft(キルスティン・マイクロフト)
  Chief Privacy & Data Ethics Officer and International CDO, BNY
 Simon Persoff(サイモン・パーソフ)
  Partner, Clifford Chance
 Owen Rowland(オーウェン・ローランド)
  Deputy Director, Head of Data Protection Policy,
  UK Department for Science, Information and Technology
 Evelien Visser(エヴェリーナ・ヴィッサー)
  Group Data Privacy Senior Legal Counsel, Group Privacy Office, Shell

もう一つの注目のセッションは、今、英国で議論されている新しいプライバシー法、英国データ保護・デジタル情報法案(UK DATA PROTECTION AND DIGITAL INFORMATION BILL)です。

こちらは、ブレグジットによってEUを離れることでGDPRの対象から外れることとなった英国が、ほぼほぼGDPRと同じUK-GDPRを制定し、国内法として運用をしてきたものを、更にリプレイスする法案になっています。
ここでは、個人データの定義の見直し、データの国際移転のあり方の再定義、科学研究目的でのデータの利用に関する再定義など、様々な変更が議論されています。特に、UK-GDPRでは厳しすぎた内容を、より現実的な運用となるような議論もされており、特に様々な点において、コミッショナーがリスクベースアプローチを取っていくという点が興味深かったです。

 

②「IAPP Global Privacy Summit 2024」で議論されたものの概要

・メインキーノート

 スピーカー:Anu Bradford(アヌ・ブラッドフォード)

  Author, Professor of Law, Columbia Law School
  コロンビア法科大学教授、作家

メインキーノートでは、コロンビア法科大学の教授及び作家でもあるAnu Bradford(アヌ・ブラッドフォード)氏が、最近の世界のプライバシーアプローチについて語っていました。

現在は世界が大きく3つに分かれていて、それは米国、欧州(EU)、中国となっており、それぞれが、データプライバシーについて異なるアプローチを取っている。

米国は自由経済主義的なアプローチ、EUは権威・レギュレーション主義的なアプローチ、そして中国は国家主導によるインフラ整備によるアプローチ。

それぞれが戦いを引き起こしていて、それは国・地域による争い(例:米国 vs EU、米国 vs 中国・・・etc.)だけでなく、国・地域対企業(例:Google vs EU・・・etc.)などもある。

米国の自由主義的アプローチは、色々問題もはらみながら、例えばFacebookというサービスを生み出した。世界に何億ものユーザーがいるサービスであり、雇用も生み出している。

一方でEUのアプローチはどうかというと、その地域からはイノベーションが生み出されていない。テック企業もほとんど存在していない。果たして、これから私達はどのようなアプローチを取るべきなのか、真剣に考えるべき時に来ていると疑問を投げかけていました。

・Global Employee Data Management

スピーカー:Andrea Blander(アンドレア・ブランダー)

  Workday, Legal&Privacy Director

  Caroline Parks(キャロライン・パークス)
  Expedia Group, Legal Privacy Director

もう一つ、私が興味深く聞いたのがこちらの「Global Employee Data Management」というセッションでした。こちらは、従業員、特にグローバルで従業員を雇用する際に気をつけるべきことについてのセッションでした。

私達が「プライバシー」を考える時に、どうしてもエンドユーザーのプライバシーにフォーカスしがちです。それは当然のことではあるのですが、一方で、企業や組織に雇用されている従業員のデータもまた、プライバシーデータであり、語弊をおそれず言うのであれば、エンドユーザープライバシーよりも軽視されがちですが、こちらもまた非常に重要な論点があるものと考えます。

今回のセッションはグローバルで従業員を雇用する場合の注意点がメインで、特に雇用する地域(大きく分けると米国アメリカのみ、北アメリカ、ラテンアメリカ、UK/EU/スイス、中東アフリカ、APACなど)によって法域が異なるため、注意が必要とのことでした。

また、従業員のデータを処理する場合の、従業員本人からの同意の取り方も注意するべきであって、同意は強制的なものになっていないか、拒否することができるものであれば選択肢を与えているかどうかの確認が重要。更に、従業員のモニタリングについては、透明性を持って行う必要があるとの議論がされておりました。

 

③米国と欧州のプライバシーに対する考え方やアプローチの違い 

最後にまとめますと、米国、英国、EUと、それぞれがプライバシーのアプローチには相当の違いが生まれています。

米国は、テクノロジーの力で、イノベーション、プライバシー、セキュリティとAIへ対応しようとしています。一方、英国は、少し現実的な規制の力で、イノベーションを求めつつ、同時にプライバシーとAIへの対応をしようとしています。また、EUは規制の力で、プライバシーとAIへの対応をしようとしています。

日本がこの領域において、議論をリードしきれていない部分があると思いますが、私達が今後どのアプローチを選択していくのか、独自のアプローチを選択していくのか、非常に高い関心を持って、携わっていく必要があると考えます。

(中井 博)