「個人データの取引」が「公正かつ自由」であること-G7 データ保護・プライバシー機関ラウンドテーブルのコミュニケ( 2021 年9月7日-8日)

G7 データ保護・プライバシー機関ラウンドテーブル2021 年9月7日-8日のコミニュケが公表されています。日本語訳は、こちらです。興味深い論点がふれられているので、詳しくみてみます。

プライバシーと競争の交差―強健なグローバル・デジタルエコノミーをサポートするための規制連携

  1. デジタル市場の規制に関して、G7 のデータ保護・プライバシー機関と国内の競争分野におけるカウンターパートとの連携を強化する。
  2. 個人の権利を保護し、競争力のあるデジタル市場を維持するという目的を相互に達成するために、合意の形成、規範の設定及び実践的な行動を育成することを目的とし、G7 のデータ保護・プライバシー機関間で経験や情報を共有する。
  3. 世界プライバシー会議(GPA)と国際競争ネットワークとの間のより緊密な対話を通じたものを含め、世界的なプライバシー及び競争規制に係るフォーラム・ネットワークにおけ
    るデータ保護・プライバシー機関と競争規制機関との間のより緊密な連携関係を提唱する。

「データ保護・プライバシー機関と国内の競争分野におけるカウンターパート」に関していえば、それぞれ国内で、データ保護機関と競争当局との連携強化ということかと思います。

日本だと、

公取委の「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」

個人情報保護委員会の「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」に関する個人情報保護委員会の考え方について 

あたりの関係でしょうか。あと、いうまでもありませんが、「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」もチェックする必要があります。

公正取引委員会のディスカッションペーパー(「オンラインプラットフォームにおける搾取型濫用行為規制の理論 ~フェイスブックケース(ドイツ連邦カルテル庁決定)を手掛かりとして~)」で、ドイツのフェースブック事件を取り上げており、

カルテル庁の決定では、従来の判例に基づき、Facebook のデータ取扱い条件が市場力の表出として GDPR に違反する場合には、最終消費者の保護をも含む GWB19 条 1 項に基づき濫用に当たるとすべきであるとして、データ保護法違反と GWB 上の搾取濫用を結びつけた点が特徴

とされています。そして、最高裁は、基本的にカルテル庁と同様の趣旨を説示している。(同ペーパー32頁) このドイツ最高裁の趣旨は、

ソーシャルネットワークのユーザーにとって、オフ Facebook のデータ取扱いによりネットワークの拡大機能を受け入れるかどうかについては、これを受け入れない場合にも、デメリットがなく、法的かつ事実上の同意の自由が認められるべきである。支配的なソーシャルネットワークのオペレーターが、このようなユーザーの自由な判断を認めないことは、データ保護法違反に当たるだけでなく、GWB 違反を構成する

ということだそうです(ペーパー35頁)。EUにおける個人データは、「デメリットがなく、法的かつ事実上の同意の自由が認められる」ものというのは、「個人データ」が経済的価値を有するという取引実態からするとき、事実に反する仮定というのか私の考え方です。本当は、どうせ、だれも、個人データを主張しないよねという実際上のフィクションの上に、枠組を作っているということになります(取引の価格が法定されるので、サービスは、提供されにくくなるという原理を否定するのでしたら、それはそれでいいですけど)。

それはさておいて、個人データ保護法における個人の利益と競争法において保護される個人の利益とは、どのような関係になるのかということになるか思います。図にすると

というのが全体像になります。この図は、個人データの情報主体が、ネット上で、とあるプラットフォームと個人情報を含んだ取引をしている状況を示しています。この「個人データの取引」が「公正かつ自由」であるためにクリアすべき条件があるわけです。まず、ここで、「公正かつ自由」というのを考えると、

個人の自由意思を前提に

  1. 個人データの価値を個人が正確に把握することができる(cf プライバシーパラドックス)
  2. 取扱者がどのような目的・条件で取り扱うかがはっきりしていること(以下、便宜的に取扱条件という)
  3. 取扱者が、取扱条件を遵守すること
  4. もし、遵守がない場合には、取扱をなかったことにできること、もしくは、法的な回復がコストなしでできること
  5. データ主体が、取引について、相手方を選択しうること

が条件になると思われます。逆に言うと、この公正かつ自由な取引が脅かされる場所と状況を図で示すとこんな感じです。

要するに、個人からみたときに、個人は、そのプライバシの利益との関係で、情報の非対称性があるわけで。それは、(1)そもそも、個人データのデータ主体が、自らコントロールしているデータであるにもかかわらず、その価値を正確にはなくできないこと(プライバシーパラドックス)/その情報を処理する取扱者において、(2)データを取り扱う者が取り扱う条件が明確ではないこと (隠された情報)(3)保持したあとにどう取り扱うかわからないこと(隠された行動-モラルハザード)があるわけです。

これらのリスクを社会的にどうコントロールするかということを考えれば、ひとつは個人データの取引条件を定型化して、また、そのールを遵守しない場合の政策を決めるという方法と、いまひとつは、データの取扱に関する市場の競争によって確保する方法とがあることになります。なので、この個人データの取引市場が競争市場であれば、問題はあまりありません。しかしながら、取扱者がプラットフォームといわれる者になると、とくに個人データの取引部分について競争市場でなされるということがなかなか困難になります。

上のようなリスクについて心配しないでいい状態をトラストがある状態ということができますね。

この後者の場合に、優越的地位の濫用ってなになのか、ということだと、結局、情報の取得コスト・違反の是正コストによって、契約関係の修正・離脱が容易にできない状態なのかと思います。そうだとすると、「プライバシー」の利益を自由な取引環境のもとで公正に譲り渡すということに対して、制限されているような気がするという要素は、それを、静的にみる(誰と、どのような条件で契約するか)か、動的にみる(いやならば、他に移ればいい)か、という違いだけで、内実は変わらないということになるだろうと思います。

日本法の優越的地位の濫用を情報の非対称性と取引コストから整理したいなあと考えていたりします。

これは、上のコミュニケの原語が、”intersection”となっていて、セクションをまたいでいるという語感なように思えるところです。

オンライントラッキングの未来形成

この問題は、広告のターゲティング機能を維持しながら、プライバシーに配慮されたインターネットの世界を実現するための動きということなります。グーグルの動きについては、「サードパーティ Cookie 廃止に関するタイムラインの変更について」があり、解説としては「いまさら聞けない「サードパーティCookie排除」の問題点–グーグルとアップルの違いも解説」とかがあります。

とくに、英国の競争当局と調整しながら、進行しているところで、今後とも動向に注目という感じです。というか、ここでは、情報コミッショナーではなくて、競争当局なんですね。なるほど。

データ保護に即した人工知能の設計

人工知能という用語になっていますが、画像認識等において、データ保護等とどのように考えるかということかと思います。この論点は、既に出ていますし、また、「「顔認証で出所者検知」JR東日本が撤回 駅カメラ巡り」 などでも議論されているところです。

デジタル時代における法執行の再設計

個人情報保護法に関して、

法執行が技術の変化と歩調を合わせたものになり、管轄権を超えた十分な公平性の維持が確保されるよう立法当局に対して提唱する

とのことです。が、具体的なイメージがよくわからないところです。さらにウォッチしたいと思います。

パンデミックよる技術イノベーション:データ保護の権利に係るストレステスト

この部分は、よくわかりませんでした。

国際的レベルのガバメント・アクセスとデータフロー:真の信頼を確保するための規制協力の役割

ガバメント・アクセスという用語自体の定義は

GPA、欧州評議会、G20、そしてこの重要なテーマを統べ得る各国により合意された原則を見出す主要な機会を提供する、

とのことがうたわれています。

OECDの「OECDにおけるガバメントアクセスにかかわる原則策定に向けて」については、Action(活動) 週刊 経団連タイムス 2021年9月2日 No.3512 個人情報保護に関する国際的な取り組み-デジタルエコノミー推進委員会企画部会 によると

個人情報保護委員会は、個人の権益の保護等の観点から、無制限なガバメントアクセスについてOECDの場で議論することを提案するとともに、その議論を主導してきている。

とのことです。そして、それによると、2020年12月20非、OECDのデジタル経済政策委員会(CDEP)は、民間セクターの保有する個人データへのガバメントアクセスについて声明を公表しました。(なお、この論点については、米国FTCは、権限外との断り書きがあります)

デジタル経済が世界的に相互につながっていることを踏まえ、委員会は、民間企業が保有する個人データへのアクセスを強制する政府による制約のない、不合理な、あるいは不均衡な要求など、信頼を維持できない政府の慣行について懸念を示した。また、信頼できる政府による個人データへのアクセスに関する共通原則がない場合、データの流れが不当に制限され、経済的に悪影響を及ぼす可能性があると懸念しています。

委員会は、民間企業が保有する個人データへの信頼できる政府のアクセスに向けた取り組みは、さらなる国際的な協力を必要とする緊急の優先事項であると結論づけた。委員会は、志を同じくする国々の間で議論と協力を促進するフォーラムとしてのOECDの強みを指摘した。

このことを念頭に置き、委員会は、そのマンデートと専門性に沿って、OECD加盟国におけるアプローチの理解を深めるためのさらなる作業を行い、優先事項として、民間部門が保有する個人データへの信頼できる政府アクセスのためのハイレベルな原則または政策ガイダンスを定めた文書を策定する可能性を検討することを決定した。このような作業は、法執行や国家安全保障上のデータの必要性と個人の権利保護とを最善の形で調和させるための、OECD加盟国全体に共通する首尾一貫したグッドプラクティスや法的保証をまとめ、精緻化するものである。これらには、政府が個人データへのアクセスを強制することができる法的根拠、アクセスが正当な目的を満たし、必要かつ適切な方法で実行されるという要件、透明性、政府のアクセスに対する承認と制約、機密性、完全性、可用性の保護措置を含む取得した個人データの取り扱いに関する制限、独立した監視、効果的な救済措置などに関する保障措置が含まれる。このようなセーフガードとその適用により、信頼性のあるデータの自由な流れの促進と保護が促進されます。 この目的のために、委員会は、指名された政府代表と法執行機関および国家安全保障機関を含む専門家で構成される草案作成グループを招集することに合意しました。草案作成グループは、2021年の早い時期に作業を開始し、他の関連するOECD委員会との協議を経て、さらなる精緻化を視野に入れた委員会の検討用の提案を作成し、その後できるだけ早く理事会に提出する予定です。

 

これについては、2021年7月に法執行機関による「義務づけられた」アクセスについての原則を定めるべきという議論に対して、欧州共同体は、すべての政府によるアクセスを定めるべきとして議論が分かれているたという記事があります

なお、ICCの企業のコメントもあります。「Joint Business Statement on the OECD Committee on Digital Economy Policy’s work to develop an instrument setting out high-level principles or policy guidance for trusted government access to personal data held by the private sector」

ということで、非常に重要な論点ですが、それだけに調整が難しいのだろうとういことが伺われるところです。

個人データの越境移転と G7 各国のデータ保護機関間の協力のための枠組構築

これについては、

G7 データ保護・プライバシー機関間での執行協力を強化するための機会を決め、手始めとして管轄権を跨る法的枠組みや執行慣行(域外適用の範囲を含む。)についての共通理
解を深める。

とされているのは、興味深いです。

関連記事

  1. 無線通信干渉とサイバー兵器(?)
  2. アクティブサイバー防禦に関するSECCON2022の講演資料をア…
  3. デジタル庁って何? 概要発表記事から探る
  4. 脅威インテリジェンスサービスの利用とコンプライアンス(2)
  5. 安全なIoTシステムのためのセキュリティに関する一般的枠組
  6. 米英のデータアクセス協定-法執行機関への直接情報提供要請
  7. プラットフォーマーと個人情報プラス
  8. タリン・マニュアル3.0パネル@CyCON2022
PAGE TOP