- 2024年 12月 4日
Future of Privacy Forum(以下、FPF)は、米国ワシントンDCに本拠地を置く非営利団体であり、グローバルなプライバシー、データ保護およびAI規制に関して専門的な知識を有する専門家の集団です。FPFは特定の党派の利益や主義主張に影響されることなく、専門家としての知見を米国や欧州の立法機関に専門家証人として提供してきているところに特徴があり、いわゆるロビー活動は行いません。最近では、原則として、世界プライバシー会議(GPA)のクローズドセッションという、GPAのメンバーである独立の第三者機関としてのデータ保護監督当局であり、かつGPAによって正式なメンバーとして承認された当局だけが出席を許される会合にも、FPFが招かれパネルディスカッション形式での報告を行った実績があります。主に、米国、欧州、シンガポールにおいて、各国のデータ保護監督当局のコミッショナー級の幹部と定期的にパネルディスカッション等のコラボレーションを行っており、各国のデータ保護監督当局はFPFとの議論に進んで参加するような活動を展開しています。
今般、G7データ保護・プライバシー機関ラウンドテーブル会合が東京で開催された機会に来日された先進国の主要なデータ保護監督機関の責任者など、下記の方々が本シンポジウムのスピーカーとして参加されました。
(ゲストスピーカー)
個人情報保護委員会委員 大島周平 氏
欧州データ保護監察官(EDPS) ヴォイチェフ・ヴィエヴィオロフスキー 氏
イタリアデータ保護監督当局(GARANTE)副委員長 ジネーヴラ・チェリーナ・フェローニ氏
カナダデータ保護監督当局(OPC)プライバシーコミッショナー フィリップ・デュフレーヌ 氏
米国連邦取引委員会(FTC)委員 レベッカ・ケリー・スローター 氏
英国情報コミッショナーオフィス(ICO)情報コミッショナー ジョン・エドワーズ 氏
フランスデータ保護監督当局(CNIL)委員長 ベルナール・デュ=マリア 氏
(主催者(モデレータ))
FPF最高経営責任者 ジュールズ・ポロネツキー 氏
FPFグローバルプライバシー部門担当副社長 ガブリエラ・ザンフィル=フォルトゥナ 氏
S&K Brussels 法律事務所代表パートナー弁護士、FPFシニアフェロー 杉本武重 氏
シンポジウムは、主催者の歓迎の辞に続き、大島氏の基調講演では、上記G7ラウンドテーブルで議論を深めた重要な 3 本柱であるDFFT、先端技術、執行協力などについてコメントされた。内容については、下記リンクをご参照ください。
https://www.ppc.go.jp/enforcement/cooperation/international_conference/g7_roundtable_202306/
前半の、AIガバナンスをテーマにしたセッションでは、欧州EDPS、伊GARANTE、加OPCの各氏をスピーカーとして、パネルディスカッションが行われ、FPFのザンフィル=フォルトゥナ氏がモデレータとして議論を進行しました。
冒頭、伊GARANTEがOpen AI社のChat GPT事案について、情報提供不足、適法根拠の欠如、正確性の問題、こどもの年齢確認不在といったイタリアでの個人データ処理を一時中止させた理由やその後のOpen AI 社の伊GARANTEに取った協力的な姿勢や措置の内容などの経緯を概説しました。その後、欧州EDPSがEU自体のデータ保護を監督する役割で加盟国のデータ保護機関やEDPBとの情報交換を通じた多様な観点で物事を見る立場で、生成AIに関しては、目的限定の原則を軸に、透明性、正確性、データ最小化などのデータ保護基本原則に照らして事実確認することが肝要であることを述べ、加OPCは生成AIなどのイノベーションの進展の中での基本的人権の確保が最優先されるべきとしつつ、カナダ法の下では適正な本人同意取得が鍵であり、そこから、公開の原則、容易なアクセス、正確性、アカウンタビリティの確保といった要請を充足させることの必要性に繋がることなどを説明しました。
次に、AIに対処するための新たな立法に関して、欧州EDPSは立法プロセスにあるEU AI Actについて触れ、現状、AIに対処するルールが現存しないわけではなくプライバシー基本原則、GDPRとの相互作用の下での新法の制定であり、競争法、民法、刑法などの他の関連法もあるといった考え方を交え、リスクベースト・アプローチを容認しつつも、それがAI利用を合法であることを公認するものではない点など、欧州EDPS・EDPB共同意見書5/2021(下記リンク)のエグゼクティブサマリにある諸観点を概説されました。なお、EU AI Actは、諸事情から成立までに今少し時間がかかるが、来年5月までに施行が見込まれるとされました。
https://edpb.europa.eu/system/files/2021-06/edpb-edps_joint_opinion_ai_regulation_en.pdf
伊GARANTEは、AI規制はリスクプロファイルによって規律する必要性に関して、GDPR22条に規定される個人に対する自動化された意思決定や生体認証システムなど、規制当局は一般にリスクが認識される前からそれを検討する必要があるとされました。一方、加OPCは、連邦プライバシー法PIPEDAの近代化が継続的に審議されており、加OPCと新規創設予定のPersonal Information and Data Protection Tribunalによる執行強度が増すことなどに期待を寄せているとされつつ、AIの透明性の確保、上記同様にGDPR22条の観点などを含め、新設予定のAI and Data Commissionerの協力を得てイノベーション・科学経済開発省が国際標準などとの整合などを図るようにしていきたいといったコメントがありました。
後半の優先執行分野のこどものプライバシーなどをテーマにしたセッションでは、米FTC、英ICO、仏CNILの各氏をスピーカーとして、パネルディスカッションが行われ、FPFのポロネツキー氏がモデレータとして議論を進行しました。
冒頭、米FTCが制定後20年経過したCOPPA等のセクトラル法からなる連邦のプライバシー法制の現状を概説した後、こどものプライバシー侵害に対する積極的な執行姿勢を強調されました。執行事案として、Amazon Alexa、Meta、MicrosoftのXboxの違反事例やオンライン教育への問題意識を紹介し、不公正な取引方法、親の関与不在、ダークパターン、過剰なデータ収集、他人からこどもへの容易なアクセス許容といった観点について触れました。続いて、ICOは、2021年に発効したChildren‘s code design guidanceについて触れ、これが米加州に広がりを見せていることも紹介しつつ、オンラインサービスにおけるユーザの年齢相応の対応、リスク評価、位置情報を収集しないなどの初期設定、親の適切な関与、権利行使を容易にするツールの重要性といった切り口で解説され、ICOの限りあるリソースでビデオ監視、ゲームなど一定分野にターゲットを絞って業界動向をウォッチしており、ゲーム開発業者へのガイダンスを出すなどしているとしました。仏CNILは、こども向けの特別な執行プログラムはないとしつつ、2020年には関連3原則を出しているほか、2021年にこどものデータ保護に関する親の関与、オンライン上の年齢確認、それに、戦略的な優先事項であるデジタル教育など8つの推奨事項(下記リンク)を公表していることに触れられました。
次に、AIに関して、米FTCが、これはLaw Free Zoneではないとし、クレジット・住宅詐欺、不公正な利用の禁止など、既存の一般法で規制できるとしたほか、英ICOもUKGDPRで大枠規制できているとの立場を取りつつ、ガイダンスの更新やFAQでフォローする考えを示しました。仏CNILは、自動意思決定などに関する長い判例の積み重ねがあり、それがEU AI Actに繋がっている面があるとされつつ、カメラ監視に関心があるなどとしました。英ICOはG7の監督機関の協調とともに、国内の関係機関との連携も重視しているとしたほか、法令順守を容易にすることに注力して言い訳の余地を少なくするとともに、法令順守に関する問合せに10日以内に回答するといった迅速な対応に心がけているとし、これに米FTCも同調しました。そして、米FTCは、AD Tech、ソシアルメディアや位置追跡に関して、Commercial Surveillance and Data Securityに関する法律の立法化の動きがあることにも触れられました。なお、Amazon PrimeのFTC法違反事案が今日リリースされたが、会員の解約が容易にできない仕組みになっているなどの問題点を指摘され、ビジネス寄りでありつつ、法令順守を重視し、国際協調にも力を入れるスタンスであることを述べられたところで、セッションを終了することになりました。
質疑応答では、Amazon Prime事案の他国のデータ保護監督当局に与えるインパクトについて問われ、MoUによる二国間協力などの協力の選択肢が広がる中、Cambridge AnalyticaやClearview事案という過去の実績も踏まえ、当局者間で協力してこれにあたるといったことをそれぞれの立場で表明されていました。
最後に、日本での本シンポジウムの定期開催を期して、杉本氏が閉会の辞としました。