DFFTとデータの越境移転ルール

DFFTとは

DFFT(Data Free Flow with Trust)とは、「プライバシーやセキュリティ・知的財産権に関する信頼を確保しながら、ビジネスや社会課題の解決に有益なデータが国境を意識することなく自由に行き来する、国際的に自由なデータ流通の促進を目指す」というコンセプトです。

DFFT(Data Free Flow with Trust)は、2019年1月に当時の安倍首相によってダボス会議で最初に提案され、DFFT は 2019 年 6 月のG20大阪サミットにて G20 グループのメンバーによって承認されました。

DFFT実現に向けた課題

現在、DFFT を進める上でのブロッカーとなる課題がいくつかあります。

その中でも最大の課題として、各国でデータプライバシー保護とデータの信頼に対するアプローチが異なるため、国際的な調和が非常に難しいことです。特に、セキュリティとプライバシーに関するルールについて合意に達するのが困難とされていました。

たとえば、民間企業のデータへの政府アクセスの問題が、典型的な例として挙げられます。政府のアクセスには、民間企業からのデータの購入から、国家安全保障上の理由による情報の要求まで、さまざまな活動が含まれます。

こうした課題に対し、OECD はG20の要請を受けて、「信頼できるデータの自由な流れ」というテーマに取り組み始め、2022年12月には「Declaration on Government Access to Personal Data Held by Private Sector Entities」を採択するなど着実に前進しています。

DFFTと国際的なデータの越境移転ルールの現状

1月に行われたIAPPのWebカンファレンス「Data Privacy Day and 2023 Predictions」においてIAPPのボードメンバーであるDenham氏は、アメリカとEU間のデータ移転に関する枠組みが2023年夏頃に採用される見込みであるものの、それが訴訟に耐えうるかどうかは欧州委員会でさえも100%の確信はないとの懸念を示したものの、国際的なデータ移転の見通しにおいてポジティブなポイントとして、以下をあげています。

  1. データの越境移転に関するプライバシールール(CBPR:Cross-Border Privacy Rules) のグローバルでの広がり 
  2. OECDの民間企業が保有する個人データへの政府アクセスの原則の採択
  3. G7は、信頼性のある自由なデータ流通(DFFT)を実現するための実質的なタスクに集中している。

1のCBPRについては、APEC(アジア太平洋経済協力)の取り組みとしてスタートしましたが、APECの枠にとらわれないグローバルな取り組みとして、今後APEC外の国にも拡大していこうとしています。(2023年4月には英国がCBPRフォーラムへの参加を表明しています。)

また、3のDFFTについてG7の一国である日本をはじめ、各国で協調して取り組みが行われているようです。

DFFTに関する最近のニュースとしては、今年4月末に開催されたとG7群馬高崎デジタル・技術大臣会合と先日開催されたG7広島サミットについて紹介します。

G7群馬高崎デジタル・技術大臣会合

今年4月29日、30日に群馬で開催されたG7デジタル・技術大臣会合では、DFFTの具体化のための国際枠組み(IAP:Institutional Arrangement for Partnership)の設立とDFFTの運用において具体的な進展を実現することに関するコミットメントに合意しています。(G7デジタル・技術閣僚宣言 「Facilitation of Cross-Border Data Flows and Data Free Flow with Trust 」13項)

  1. 越境データ流通と信頼性のある自由なデータ流通(DFFT)の推進
    DFFTの具体化のための国際枠組み(IAP:Institutional Arrangement for Partnership)の設立のDFFTの具体化及びそのプライオリティに合意。
出典:「G7群馬高崎デジタル・技術大臣会合の開催結果」デジタル庁, 2023年4月30日公開

G7広島サミット

今年5月19日から21日にわたり開催されていたG7広島サミットでも議題の1つとして挙げられ、広島サミットの成果文書によると、OECDのガイドラインを歓迎するとともに、先述のG7デジタル大臣会合でのコミットメントを承認し、進めていくということが確認されました。

<Digital>

39 We reaffirm that cross-border data flows, information, ideas and knowledge generate higher productivity, greater innovation, and improved sustainable development, while raising challenges related to privacy, data protection, intellectual property protection, and security including that of data and cloud infrastructure. We reiterate the importance of facilitating Data Free Flow with Trust (DFFT) to enable trustworthy cross-border data flows and invigorate the digital economy as 29 a whole, while preserving governments’ ability to address legitimate public interest. We stress our intention to operationalize this concept and our support for cooperation within the G7 and beyond to work towards identifying commonalities, complementarities and elements of convergence between existing regulatory approaches and instruments enabling data to flow with trust, in order to foster future interoperability such as through supporting multi-stakeholder engagement, leveraging the role of technologies, and clarifying domestic and municipal policies and due processes. In this regard, we endorse the Annex on G7 Vision for Operationalising DFFT and its Priorities from the Digital and Tech Ministers’ Meeting, and the establishment of the Institutional Arrangement for Partnership. We task our relevant Ministers to continue working to deliver substantive outcomes and subsequently report back to us. We welcome the OECD Declaration on Government Access to Personal Data Held by Private Sector Entities as an instrument to increase trust in cross-border data flows among countries committed to democratic values and the rule of law.

以下、仮訳(PDF)より抜粋

39 我々は、越境データ流通、情報、アイディア及び知識は、プライバシー、データ保護、知的財産保護、データ及びクラウドインフラに関するものを含む安全性に関連する課題を提起する一方で、より高い生産性、より大きなイノベーション、より良い持続可能な開発を生み出すことを再確認する。我々は、正当な公共の利益の追求にかかる政府の能力を維持しつつ、信頼できる越境データ流通を可能にし、デジタル経済全体を活性化するために、「信頼性のある自由なデータ流通(DFFT)」を促進することの重要性を改めて表明する。我々は、この概念を具体化するという我々の意思及び、マルチステークホルダー・エンゲージメントの支援、技術の役割の活用、国内及び自治体の政策と適正手続きの明確化等を通じて、将来の相互運用性を促進するために、信頼性のあるデータの流通を可能にする既存の規制アプローチや手段の間の共通性、補完性及び収斂の要素の特定に向けた取組のためのG7内外の協力に対する我々の支持を強調する。我々は、デジタル・技術大臣会合における「DFFT具体化のためのG7ビジョン及びそのプライオリティに関する附属書」及び「DFFT具体化に向けたパートナーシップのためのアレンジメントの設立」を承認する。我々は関係閣僚に対し、実質的な成果を実現するための作業を継続し、その後、我々に報告するよう指示する。我々は、民主的価値及び法の支配にコミットした国家間の越境データ流通における信頼性を高めるための手段として、「OECDの民間が保有する民間部門が保有するデータへの政府のアクセスに関する宣言」を歓迎する

出典:G7 Hiroshima Leaders’ Communiqué No.39より一部抜粋

ちなみに文中に出てくる 「multi-stakeholder engagement(マルチステークホルダー・エンゲージメントの支援)」ですが、意思決定プロセスや政策策定、プロジェクト実施において、様々な関係者(マルチステークホルダー)が参画し、協働するという意味があるそうです。マルチステークホルダー・エンゲージメントでは、特定の課題に関連するステークホルダーや関心を持つ複数の個人、グループ、組織、またはコミュニティの意見や貢献が重要であり、それらを通じて効果的かつ持続可能な成果が達成されるとされています。

データの越境移転については、規制当局、プライバシーオフィサー、DPO、法律顧問など多くの人がフラストレーションをかかえ、その合意書の締結に多くの時間とエネルギーを割いています。DFFTやCBPRの進展はこうした課題を解決する手段として期待されています。

DFFTやCBPRフォーラムなど新しいニュースがあれば、今後もこのブログで取り上げたいと思います。

追記:Meta社、GDPR違反で12億ユーロの制裁金

5月22日、Meta社の事業を監督するアイルランドの個人データ保護機関であるDPC(Data protection Commission)は、Meta社に対し12億ユーロもの巨額の制裁金を課したと発表しました。このニュースは、政府による民間データへのアクセスがデータの越境移転において大きな課題であることを改めて再認識させられました。

詳細は、IAPPの「Meta fined GDPR-record 1.2 billion euros in data transfer case」に経緯も含め、まとまっているので、ぜひそちらもお読みください。

この件は、アメリカの監視法や救済措置に関してDPRC(Data Protection Review Court)の 手続きの透明性の欠如と独立性に対する懸念など、規制当局がEUの個人の権利が十分に保証されていないと判断したことで、新SCC(SchremsⅡにより欧州委員会が採択)を適切な保護措置としてEU・EEAから米国の移転を実施してきた米国ハイテク企業のデータ転送に影響を及ぼすことなりそうです。

欧州委員会の広報担当者によると「EUと米国間のこのDPF(Data Privacy Frameworkの略)が夏までに完全に機能することを期待している。」とあるので、こちらについても今後の推移を注視していこうと思います。

この記事をシェアする