- 2024年 12月 4日
弊社ビジネスリスクコンサルティング本部シニアコンサルタント井澤は、2022年11月16日・17日にベルギー・ブリュッセルで開催されたIAPP Europe Data Protection Congress (以下「EDPC22」)に参加しました。本記事では、EDPC22の状況について、複数回に分けてご紹介します。
EDPCとは?
EDPCは、プライバシー保護専門家の国際組織IAPP(International Association of Privacy Professionals)の欧州支部であるIAPP Europeが、毎年11月にベルギー・ブリュッセルで開催する国際カンファレンスです。IAPPは、データ保護やプライバシー保護の分野で活動する法律専門家、企業のプライバシー保護担当者、IT技術者などが会員となり、データ保護やプライバシー保護に関する研究、情報交換、政策提言などの活動を行っています。
データ保護やプライバシー保護は、GDPR(欧州一般データ保護規則)、個人情報保護法(日本)、米国・カリフォルニア州消費者プライバシー保護法(CCPA)等のデータ保護・プライバシー保護法がベースとなっています。データ保護やプライバシー保護が注目を集めるようになったのは、2018年に施行された欧州GDPRが契機だといえるでしょう。その中心地であるベルギー・ブリュッセルで開催されるEDPCには、欧州各国に加え、米国や中東の国からも、500名を超える会員が参加しています。一方、日本を含むアジアからの参加者はそれほど多くはありませんでした。
欧州におけるEDPCの影響力の大きさは、イベントに参加するゲストやパネリストにも現れています。EDPC 22では、オープニングセッションで、コペンハーゲン大学教授による欧州プライバシー保護の歴史に関する講演に加え、アイルランド監督機関コミッショナーのヘレン・ディクソン氏をモデレータとし、サッカーワールドカップが開催されるドーハから中継で、FIFA(国際サッカー連盟)DPOが加わったパネルディスカッションが実施されました。2日目は、米欧データ移転枠組(プライバシーシールド)を欧州司法裁判所が無効と判断した、いわゆる「シュレムス2判決」の原告である、オーストリアの弁護士マックス・シュレムス氏が参加し、本年10月の米国大統領令と新たな米欧データ移転枠組み協議の問題に関するパネルディスカッションが行われました。シュレムス氏が参加したパネルディスカッションは、メイン会場に聴講者が入りきらず、急遽ストリーミング配信会場2カ所が設けられる盛況さでした。
EDPCは、全体会であるオープニングセッションとクロージングセッションの他、数多くのサブセッションが設定されています。参加者は、これらのセッションの中から、自分の関心に応じたセッションを自由に選び聴講します。各セッションの最後には、質疑応答の時間も設けられ、講演者と聴講者の間で活発な議論が交わされることも少なくありません。
また、EDPCは欧州を中心とするデータ保護やプライバシー保護の専門家の重要な交流の場としての役割を担っています。EDPCのプログラムでは、Socialといわれる参加者の交流セッションの時間が組み込まれ、朝食や昼食をとりながら参加者が意見を交換したり、人脈を広げることができます。初日の夜には、会場近くの王立美術館でレセプションパーティーが開催されました。EDPCにはデータ保護やプライバシー保護の分野には、法律関係者(弁護士やパラリーガル)だけでなく、企業の法務・コンプライアンス、経営企画、広報、人事、ITなどの各部署部門、ソリューション開発、専門コンサルタントなど、さまざまなポジションの関係者が存在します。そうした分野や職域の枠を超えた交流を実現できるのも、EDPCの魅力の一つといえるでしょう。
※写真は、IAPPのCEO J. Trevor Hughes氏
EDPC 22の特徴
前回参加のEDPC19(2019年開催)では、2018年のGDPR本格施行や、CCPA(カリフォルニア州消費者プライバシー法)の審議が進められていたという時期であったことから、セッションのトピックはほとんどが法律の解説といった内容でした。一方EDPC22では、データ保護・プライバシー保護法そのものの解説に関するセッションは激減した一方、AIや画像認識などの新技術、子どもや社会的弱者、プライバシー関連技術(プライバシーテック)に関するトピックが主流となっていました。
こうした流れは、EDPC 22に出展しているスポンサー企業のブースにも現れています。前回参加したEDPC19では、ブースの多くが欧米系の法律事務所(ローファーム)やコンサルティング会社でした。ところがEDPC 22では、ブースのほとんどがデータマネジメントやデータマッピングソリューションを提供するプライバシーテック企業が占めていました。
欧州では、今やデータ保護法を理解・遵守するという段階から、企業経営における諸課題をデータ保護の観点からどのように解決するかに関心が移行しているという情勢変化が表れているように思えます。すなわち、欧州ではGDPRなどのデータ保護法令遵守の段階を超え、立法時には想定されていなかった社会的・経営的課題にどのように対処するかという段階にあるといえるでしょう。データ保護の先進地域である欧州の一端を見る思いがしました。
次回は、EDPC 22のセッションの内容についてお伝えします。