DFFT
2023.02.20
安倍元首相、トランプ元大統領、習近平主席の三人が他の国のリーダーと一緒に、小さな机に並んで座っている写真を見たことがありませんか。
大阪で開催されたG20サミットだねという人がいるかもしれませんが、正解は、G20サミットの直前に開催された大阪トラックと呼ばれるデータの国際流通に関する会合でした。
2019年のダボス会議で、当時の安倍首相が初めてDFFTと呼ばれるコンセプトを提唱しました。
DFFTとは Data Free Flow with Trust の略で、セキュリティやプライバシーを守りながら国境を越えた自由なデータの流れを保障しようという考えです。
20世紀には食料や石炭、石油、繊維製品をはじめあらゆる「もの」が国境を越えて貿易されていました。
それが21世紀に入って、「データ」が「もの」と同じように国境を越えて行き来するようになったのです。
例えばあなたがオンラインショッピングをしたときにあなたが登録した名前や住所、生年月日、クレジットカード番号などのデータは、海外のデータセンターで処理されているかもしれません。
あるいはそうしたデータの処理は国内で行われていても、災害などの万が一に備えるためのバックアップが国外におかれているかもしれません。
企業は大量のデータを扱います。
海外に製造拠点や販売網を持っている企業ならば、部品の調達に始まって、製造工程の状況や注文や販売先の情報をデータとして持っています。
機械メーカーは、販売した製品の使用状況をインターネットを使ってモニターして、故障が起きたことを速やかに検知したり、そろそろ部品の交換が必要だと顧客に知らせたりしています。
海外に販売された製品のそうしたデータは、国境を越えて本社のサービスセンターでモニターされているかもしれません。
海外に研究開発拠点を持っている企業ならば、研究開発のデータも国境を越えてやりとりしていることでしょう。
21世紀ならではのデータ収集の必要性も出てきました。
自動運転のソフトウェアを創るためには、莫大な走行データを集め、解析することが必要になります。
そのためには日本だけでなく海外での走行データも必要になるでしょうし、氷点下何十度という寒さの中や灼熱の砂漠地帯やジャングルを走るデータなど日本では取れないデータも必要です。
AIの精度を高めるためには学習が必要ですが、それには質のよいデータを大量に投入することが必要になります。
そのためのデータは世界中から集めてくる必要があるでしょう。
ありとあらゆるデータが国境を越えて集められ、処理されて、蓄積されています。
データを移動することなしに経済は成り立たなくなっています。
その一方で、データに関する規制をつくる動きも加速しています。
EUを中心としたヨーロッパでは、人権やプライバシーを最大限に尊重しようという考え方が強く、それが守られないような場合には、個人情報の取扱いを制約すべきだという規制を打ち出しています。
他方、アメリカは、データの自由な流通をより重視しているとも言えます。
さらに中国では、共産党政府が必要と認めた場合には、企業などが持っている個人情報を含むさまざまなデータ、情報を強制的に政府に提供させることができるなど、共産党政府の都合を優先させるような枠組みが作られてきています。
このようにさまざまな国や地域でデータに関する独自の規制がつくられるようになりました。
また、プライバシーの保護やデータのセキュリティなど、一見正当な目的のための規制であっても、国によっては、法の解釈適用が恣意的だったり、規制違反に関する救済や情報公開などの適正手続きが存在しなかったりします。
さらに、法の目的も適用も正当な規制であっても、データの越境移転に係る規制が急速に増加するに伴い、データに関する法の乱立や重複、当局側のデータの国境を越えた移転や実際の利活用の実務に対する理解不足などにより、企業などの法令遵守が困難になる国が出ています。
一部の国では、規制の対象や基準が不透明であったり、次々に新しい規制が定められるため、その全てに対応することがもはや不可能に近くなっています。
さらにデータの越境移転以前に、データの収集自体が禁止され、その規制の対象範囲が広く、かつ規制の内容が常に変わり続けるため、データの収集と分析がサービスの提供の前提となっているカスタマー向けサービスやセキュリティ診断の提供などのサービスを停止せざるを得ない状況に、突然追い込まれるリスクがあります。
データ規制に関するいくつかの例を挙げてみましょう。
今日の自動車は巨大なIoT機器であり、かつソフトウェアの塊です。
自動車の運行をつかさどるソフトウェアの開発や改善のため、車両の運転を通じた車両および周辺環境データの採集が不可欠になっています。
例えば、ある国が国境を越えたデータ移転に規制をかけた結果、その国内での車載カメラで撮影した自動車周辺の映像や、センサーで収集される路面情報など自動車の走行情報、空間座標情報、車体固有のIDに関連付けられたデータの殆どすべてに、収集およびデータ越境移転に厳しい規制がかかるようになると、外国の自動車メーカーは、国外にデータを持ち出すことができなくなり、今後の事業展開に影響が出てしまいます。
当局の解釈判断によって、恣意的に、広範の範囲のデータに規制がかかり、かつ適切な救済手段もない状況では、データの保存や分析も含めて、その領域内で完結させるか、その市場での展開を諦めるかの判断をせまられる企業もでてくるかもしれません。
また、当局側にデータへの保護主義的、権威主義的な意図がなかったとしても、結果として企業などのデータの越境移転が困難になる事例もあります。
企業向けに実施したインタビューやアンケート調査だと、このような事例のほうが多いかもしれません。
通信サービス企業などが、申請書類からのデータ入力作業や認証、確認などの業務を海外の事業者に業務委託する際に、提供する顧客や自社の個人情報について、その業務委託先企業が、自社と同等レベルの管理を行っていることの確認が法令上求められることがあります。
しかし、他社内部の管理状況を細かに把握することは実質的にはかなり困難です。
また、データ管理の多くは、各社が利用しているクラウドのサービスの機能と設定に依存しています。
委託先企業が、法令に則って業務をやっていたとこちらで思っていても、何らかの不備があった場合、ある日、法令違反を指摘され、場合によっては処罰されることがあり得ます。
大企業、中小企業を問わず、クラウドを活用した業務が一般化しつつあり、また、優秀な人材を確保するため、世界中から採用して、それぞれの国からリモートで勤務をさせることが増えています。
そのような場合に、メールやバーチャル会議室内で資料を配付したり、議論や情報交換をしたりする場合はどうでしょうか。
実は情報は「移転」しているのではなく、単にさまざまなところからアクセスしているだけなのですが、それに規制がかかる場合があります。
もし各々の所在地から社員が社内情報にアクセスするような場合も規制がかかるなら、根本的な人材戦略が崩れてしまいます。
企業の人事管理システムに社員の個人情報を登録する場合はどうでしょうか。
各国のデータ保護基準に従えば、同じ人事管理ツール上で一括管理ができないかもしれません。
あるいは個人情報保護に一番厳しい国のルールに統一しなければならないかもしれません。
電機機器や機械のメーカーは、販売した自社の機器や機械等の IoT プラットフォームを介して、海外から日本国内にリアルタイムで機器の稼働環境データ及びセンサーによる計測データを収集し分析しようとしています。
それにより、故障を事前予測し、必要に応じてメンテナンスや部品交換を実施したり、天気や外気温・室温、ビルの人口などを分析することによる省エネ運転への自動切り替えなどを行うことができます。
しかし国ごとに個人情報などの規制対象となるデータが異なるだけでなく、定義が不明瞭であったり、データが規制対象に該当するか判断が難しい場合には、データの確認や加工が必要となってしまい、それらのデータを自動的に越境移転できなくなるため、IoT のリアルタイム性の利点を発揮できなくなることがあります。
あるいは研究開発に参加することに伴う「データの越境移転」はどう扱ったらよいのでしょうか。
医療データなど個人データとの切り分けが難しい情報を幅広く集めなければならない場合に、個人情報の越境移転の制度の違いへの対応が大きな課題になっています。
また、厳しい競争の中で、企業が、時差のある複数の研究拠点間で情報共有を行い、24 時間開発を続けようとするなかで、越境移転規制が乱立し、データ規制への対応が困難になると、研究開発を地域で閉じなければならなくなります。
セキュリティや災害対応の観点から、世界の異なる地域や複数サーバーに情報を分散し、常に最新情報を送信・複製し続けることが求められる中で、各国のデータ規制の制定や更新が企業にわかりにくい形で、常に繰り返されると、そうした運用が難しくなります。
あるいは海外のホテルの宿泊予約サービスを展開するケースのように、データを移転しなければならない国が多数あると、データの規制に関する最新情報への更新のため継続的に法律事務所などに調査を依頼しなければならず、高額な費用がかかることになります。
日本企業が海外の子会社が所有する広告マーケティング用の情報システムに、顧客住所、メールアドレス、広告識別子、IP アドレス、ウェブ閲覧履歴、商品購入履歴、ログイン履歴等を保管することがあります。
その際、例えば APEC プライバシーフレームワーク基準のような国際枠組みがあれば、データを移転しやすくなります。
国際的な枠組みがあるか、データの国内保管を義務づけるデータローカライゼーションの規定が存在するかなど、データに関する規制が海外への進出の可能性を大きく左右するようになりつつあります。
これまでにもいくつかの企業に越境移転に関するリスク事案が発生して社会的に問題となったことがありました。
越境して個人情報をやりとりするビジネスを行うことについて、各国法令の正確な理解・順守のハードルが高いため、法的には問題がないケースであっても万が一のレピュテーションリスクを心配し断念するといった事業者における委縮効果も懸念されています。
こうした課題を解決し、DFFTの実現に向けての最初の一歩として、G7がリーダーシップを取って国際的な枠組みを作ることを日本は提唱しています。
政府によるパネルと企業や研究者、関連する団体などの民間パネルの二本立てで議論し、事務局を設置して作業していくことを想定しています。
この枠組みは、データの国際的な移転についての初めての一般的な国際制度で、企業や研究機関などが直面する問題に対して、マルチステークホルダーの国際協力による具体的な解決を導き出すことを目的としています。
まず、この国際的な枠組みでやるべきは、各国のデータに関する規制の透明化です。
データに関する各国の規制は、法律、政省令、ガイドラインなど重層的になっていることが多く、さらに裁判所の判決など、司法によるものもあります。
そして、データに関する規制は頻繁に改正されることも多く、なにが最新の規制なのかを調べるためにコストがかかる状態になってしまっています。
EUのように各国の規制の上に地域の規制がかかっていることもあります。
大企業ならば、社内に専門の弁護士がいたり、法律事務所に頼むこともできるかもしれませんが、中小企業やスタートアップ企業が海外に進出する際に、データに関して何が自社に求められているかを正確に知ることはだんだんと難しくなっています。
そのため、国際的な枠組みでまず、各国、各地域の最新のデータに関する規制を集め、データベースにして公開し、常にこれを最新の状況にしておくことを提唱しています。
このデータベースを参照することで、中小企業もその国、地域の最新のデータの規制を知り必要な対応を自ら検討することができるようになります。
データの分析や処理を他国にある企業に委託をする際に、その企業が規制にあった形で処理をしていることを委託元企業が担保することが求められます。
しかし、他者の業務に関してそれを確認するのは簡単ではありません。
そこで、データの取扱いについての認証要件を明確にしていく必要があります。
その際には、CBPRなどの既存の認証制度と連携しながら、その下で認証を受けている企業ならば問題はないとすることが考えられます。
または、データを収集したり、処理したりする時に、個人を特定できる情報を処理に影響を与えないように置き換えたり、データを合成したりする技術を使って、個人情報を守りながらデータを利活用することが考えられます。
このようなことができるソフトウェアやアプリ、あるいはこれらを組み込んだブラウザーなどは、PETs(Privacy Enhancing Technologies)と呼ばれる技術の一つとなります。
このようなPETsが、それぞれの国が定める個人情報の保護ルールを満足させるものであるかどうかを実証する必要があります。
その際に、複数国の規制当局が一緒に実証を行って、いずれの国のルールにも合致することが確認できれば、対象国の企業同士でデータのやりとりをするにあたって、承認されたPETsを使っていれば問題はないということを認定することができます。
このようなPETsなど、お互いの規制をクリアする実証を行う場を「規制のサンドボックス」と呼びます。
このサンドボックスでは、それぞれの国の規制を満たすための条件がつくられ、それをクリアできれば、対象国が相互に認証することができます。
日本が提唱する国際的な枠組みでは、データ規制の透明性を高めるためのデータベースの作成に次いで、このデータ規制のためのサンドボックスをつくり、各国の規制当局がPETsの評価を協力して推進するための仕組みをつくることにしたいと思います。
4月29日、30日に群馬県の高崎市で行われるG7のデジタル技術大臣会合でこのDFFTの推進に向けての作業を行う国際的な枠組みの設立に関して合意をし、5月の首脳会議でそれを決定することを目標としています。