- 2022年12月28日
IAPP Europe Data Protection Congress 2022参加報告2回目は、全体セッションの内容をご紹介します。
セッションの概況
オープニングセッション
EDPC22はオープニングセッションとクロージングセッション、並びに多くのサブセッションで構成されています。
オープニングセッションでは、はじめに欧州プライバシー保護の歴史について、コペンハーゲン大学神学部教授でデンマーク国立研究財団プライバシー研究センター所長のMette Birkedal Bruun氏が、キリスト教の普及と拡大、それに伴う欧州の人権意識の進化の視点から解説しました。データ保護というと、いきおい法令そのものへの対応に関心が向かいがちになりますが、データ保護やプライバシー保護を広く社会的・経営的課題への対応と捉えると、その歴史的・文化的背景を理解することが必要になります。今後、多様化するプライバシー課題への対応が求められるようになると、そのような背景知識がないままでは本質的な議論ができません。この講演は、特に欧米からの参加者に新鮮に映ったようで、EDPC22終了後、LinkedInなどのSNSで講演内容を賞賛する投稿が見られました。
オープニングセッションの二つ目のトピックは、スポーツにおけるデータ保護でした。アイルランド監督機関DPCの委員長であるHelen Dixon氏がモデレータとなり、FIFA(国際サッカー連盟)データ保護・サイバーセキュリティ部門責任者のJorge Oliveira e Carmo氏、FIPRO(国際プロサッカー選手会)グローバル・ポリシー&ストラテジー・ディレクターのAlexander Bielefeld氏、スポーツ法に関する世界有数のナレッジハブとグローバルコミュニティであるLawInSportの 共同設立者でCEOのSean Cottrell氏、DPC副委員長兼企業・メディア・コミュニケーション部門責任者のGraham Doyle氏をパネリストとしたパネルディスカッションが開催されました。
スポーツ業界が非常に多くの個人データを取り扱う業界であることは、一般的にはあまり知られていません。スポーツ選手については、走力や筋力などの運動能力、睡眠時間などの生活データ、身体的特徴などの生物学的データが常に収集・分析されています。それらの蓄積により、データに基づくトレーニング計画や試合の戦術・戦略が作られています。スポーツ界で収集されるデータの多くは、いわゆるGDPR上の「特別カテゴリーデータ」に該当することから、取得や利用に当たって選手個人からの同意の取得が必要となります。そのようなスポーツ選手の個人データやプライバシーの保護について、欧州スポーツ界はこれまで十分な体制をとってこなかったと総括し、欧州におけるプロ選手を対象としたプライバシー保護への取り組みが説明されました。また、スポーツに関わる子どものデータ保護、SNS上での選手に対する誹謗中傷などに対する、スポーツ界の問題意識や課題についても議論されました。
クロージングセッション
クロージングセッションの一つ目の講演は、ディープフェイク、サイバーセキュリティ、テクノロジー地政学の専門家Nina Schick氏による「Deepfakes: The Coming Infopocalypse(ディープフェイク:今後の情報黙示録)」でした。講演でSchick氏は、最近のAIの進化について、DALL-EやStable Diffusionなど、プログラミングなどのスキルがなくても広く一般に利用できるAI技術が普及している現状を紹介するとともに、生成系AI(Generative AI)によって、社会に存在しないにも関わらず、人の目ではその真偽が判断できないコンテンツが自動的に作成される時代が近い未来に到来することを、生成系AIを使って作成した画像を用いて解説しました。生成系AIが普及すると、悪意をもって生成物と個人情報と結びつけられた場合、個人がいわれのない誹謗中傷を受けたり、尊厳が損なわれるなど、人権に対する新たな脅威が生み出されるとしています。このような個人のプライバシーに対する新しい形の脅威への対応は、世界レベルでもまだ十分だとはいえず、AI規制の重要な一課題と捉えるべきであり、データの真正性を遡及的に確保するような手段が求められるとしています。
2つ目の講演は、米国カーネギー・メロン大学のAlessandro Acquisti 教授による、プライバシーのルーツとデジタル時代の政策への教訓でした。プライバシーには「行動としてのプライバシー」と「権利としてのプライバシー」があると指摘した上で、「行動としてのプライバシー」は人類の歴史にわたってその痕跡が見られると説明しました。また、プライバシーは個人の身体的羞恥心が基本にあり、その例は旧約聖書のアダムとイブの例だけでなく、チンパンジーのような動物においても観察されます。
また、プライバシーは脅威と機会、敵と味方を区別する能力の一端であり、また他者と何かを共有したり交流したりするため、人類の進化上必要なものでしたが、人類と社会が進化するにつれて、外的刺激への反応手段としてのプライバシー意識が低下するようになり、特にオンライン化が進んだ現代社会ではその特徴が顕著になっていると指摘しています。その結果、オフラインとオンラインで、人がプライバシーの侵害を気にするレベルが異なる「ミスマッチ(オフラインではプライバシーの侵害を意識する一方、オンラインでは意識の程度が下がる)」が起きているとしています。
Max Schrems氏参加のパネルディスカッション
EDPC22のセッションの中でも、特に参加者の注目を集めたのが、オーストリアのプライバシー保護活動家で弁護士のMax Schrems氏が参加したパネルディスカッションでした。Schrems氏は、欧米間の十分性に基づく二国間データ移転枠組みであった「Safe Harbor」と「Privacy Shield」について、欧州から米国に移転される個人データに対する政府アクセス(特に情報機関による米国内個人データへのアクセス)が、GDPRが求める欧州と同等の安全管理措置の基準を満たさないとし、Safe HarborとPrivacy Shieldの無効を求める訴えを起こしました。欧州司法裁判所がそれぞれについて無効とする判決を下したことから、判決はそれぞれ「Schrems I」「Schrems II」とよばれています。その中心人物が参加するパネルディスカションということで、会場には入りきれないほどの参加者が集合し、急遽ストリーミング配信会場が設けられるほどでした。
パネルディスカッションでシュレムス氏が問題にしたのが、欧米間のデータ移転における比例性と救済手段でした。比例性については、個人データの処理は処理目的の必要性に比例したものでなければならないとしていますが、Schrems氏は欧州と米国の比例性の考え方は異なり(米国の法体系には比例性の概念がない)、欧米間の比例性テストは均衡しないと批判しました。
救済手段についてSchrems氏は、本年10月の信号情報活動のセーフガードに関する米国大統領令で設置が言及されている米国データ保護権利裁判所は、EU法(GDPR)が求める個人データ侵害の真の救済機構ではないと評価しました。また、同氏は、大統領令は法的強制力を持つものではないとも指摘しましたが、この点に関しては、パネリストのHogan Lovellsのパートナー弁護士Eduardo Ustaran氏との間で激しい議論が展開されました。Schrems氏は、欧米間の個人データ移転に関する新たな十分性認定と移転メカニズムが開始されても、訴訟を通じてそれらに挑戦するとしました。
※ パネルディスカッションの動画はこちらでご覧いただけます。
次回は、サブセッションの様子をご紹介します。
