【音声あり】AIガバナンスとデータ保護の最前線──世界の専門家が語る規制とベストプラクティス

Regulatory Trends and Best Practices for AI Governance and Privacy Compliance
IAPP Asia 2025: Privacy Forum + AI Governance Global 現地レポート[Vol.4]　

この記事は、IAPP Asia 2025: Privacy Forum + AI Governance Globalにおける講演内容をもとに、AIによる自動音声認識および自動翻訳技術を用いて作成されたものです。その性質上、実際の講演内容と異なる表現や解釈が含まれる可能性があり、一部の情報が省略または不正確である場合があります。また、この記事は音声でもお楽しみいただけます（Notebook LMの音声概要機能を利用しています。記事の内容との齟齬や文字の読み方が正確でない部分がありますので、予めご了承ください）。

本セッションでは、AI技術の急速な発展がもたらす機会と、既存のデータ保護やプライバシー原則との間に生じる課題について議論が交わされました。シンガポールの先進的な協調型モデルや、EU AI Actに対する産業界の反応など、各地域の動向を比較しながら、企業が実践すべきベストプラクティスについて議論がなされました。セッションの後半では、リスク管理だけでなく「機会損失」の視点も持ち、説明責任や透明性を重視した信頼されるAI活用こそが、企業の競争力に繋がるという結論が示されました。

◆ この記事でわかること
===
・世界のAI規制に関する最新動向と、国によるアプローチの違い。
・既存のデータ保護体制をAIガバナンスに応用するための、実践的な方法。
・法令遵守以上に「信頼」の獲得が、AI時代のビジネス成功に繋がる理由。
===

登壇者

Bojana Bellamy, CIPP/E, President, Centre for Information Policy Leadership
Bojanaは、ワシントン DC、ロンドン、ブリュッセルに拠点を置く、世界有数のプライバシーおよびデータ政策のシンクタンクである Hunton Andrews Kurth LLP の情報政策リーダーシップセンター(CIPL)のトップを務めています。CIPLでは、グローバルなビジネスおよびテクノロジーのリーダー、規制当局、政策立案者、立法者と協力し、グローバルなデータ政策と実践の形成、第4次産業革命における責任ある信頼性の高いデータ利用のためのソートリーダーシップとベストプラクティスの開発に取り組んでいます。

25年以上にわたる経験と、グローバルなデータプライバシーおよびサイバーセキュリティに関する法律、コンプライアンス、ポリシーに関する深い知識を持つBojanaは、戦略の立案、データプライバシーコンプライアンスプログラムの構築および管理において、業界で確かな実績を残しています。Bojanaは、プライバシーおよびデータ保護の分野における卓越したリーダーシップ、知識、創造性を評価する、2019 年の国際プライバシー専門家協会(IAPP)のヴァンガード賞を受賞しました。2021年、ポリティコはBojanaを欧州およびその先でデジタル政策とテクノロジーを形作るトップ28人のテクノロジー専門家として、初のリストに選出しました。彼女はまた、2014年から2015年にかけて欧州と米国のプライバシー制度のギャップを埋める実践的な解決策を開発する目的で実施された大西洋横断「プライバシー•ブリッジ•プロジェクト」に参加した20人のプライバシー専門家の一人でした。

現在は複数の諮問委員会や業界団体に所属しており、メルセデス•ベンツの「誠実性と持続可能性に関する諮問委員会」、インターネット委員会の諮問委員会、OECDのプライバシーガイドライン専門家グループ、トムソン•ロイターの「実践的法データ保護諮問委員会」、およびアメリカ大学ワシントン法科大学院の「テクノロジー、法、セキュリティプログラム(TLS)」の諮問委員会などに名を連ねています。また、グローバル•プライバシー•アセンブリーの参照パネルのメンバーにも選出されています。多くの業界団体に参加し、企業や政府主催のイベントやカンファレンスで定期的に講演を行っています。

CIPLに加入する前はアクセンチュアで12年間グローバル•データプライバシー•ディレクターを務め、イギリス国内外の民間•公共セクターのクライアントを対象に、プライバシー法とビジネスに関するコンサルティングと監査プロジェクトを担当するプリンシパル•コンサルタントとして8年間働いていました。

Taeuk Kang, Partner, Bae, Kim & Lee
Taeukは、2002年から裁判官として勤務した後、2007年にBae, Kim & Lee LLC(BKL)に入社しました。BKLでは、主に以下の3つの分野における法的助言と訴訟業務に注力しています。
1. IT企業の各種法的事務（eコマースやオンラインゲーム業界を含む）
2. データプライバシー
3. 知的財産権

現在は、韓国商業仲裁委員会における仲裁人、eスポーツ公正委員会委員、個人情報保護委員会顧問としての立場から、知的財産、データ保護、eコマース、ゲームなどに関する様々な専門委員会において委員を務めています。

Sandra Liu, Former Global Head of Privacy, London Stock Exchange Group
Sandraは以前の役職において、ロンドン証券取引所グループ(LSEG)全体でデータプライバシーに関する戦略的助言を提供してきました。彼女は、異なる地域にまたがるLSEGのデータプライバシーチームを率いてきました。そのチームは、データプライバシーに関する助言を提供し、グローバルなコンプライアンスの枠組みの、構築と実施を担当してきました。彼女はLSEG内の主要な上級ステークホルダーやビジネス部門と密接に連携してきました。

データプライバシーと保護、リスク管理の分野で規制当局の経験を有するベテラン弁護士であり、現在はデジタルアイデンティティ、金融業界、データ、テクノロジーに焦点を当てています。AIガバナンスとデータプライバシーリスクの軽減に関する助言を提供しています。香港特別行政区(SAR)の個人データ保護委員会(PCPD)事務局、国際プライバシー専門家協会(IAPP)アジア諮問委員会、およびIAPP試験委員会で役職を務めてきました。

Laura Sherren, Head of Policy Strategy, Data & Innovation Products, Meta
Lauraは、メタのデータとイノベーション製品における政策戦略責任者です。彼女は、技術が人々にとって具体的な価値を提供し、より広範な社会的つながりと経済的機会を創出するための実践的な政策解決策を推進する同社のイニシアチブを率いています。

2020年にメタに入社し、同社の新たなプライバシーガバナンス問題に関する戦略を推進してきました。現在はデジタル政策課題の交錯点に焦点を当てたチームを率いており、これらの政策課題がテクノロジーの価値を人々にどう支えるかを探求し、同社の「ラマ•インパクト•プログラム」や「AIアクセラレーター」などのイニシアチブを推進しています。

メタ入社前は金融サービスとテクノロジーの分野で10年間活動し、包括的なテクノロジーとデータリスクガバナンスプログラムの構築に従事してきました。直近の役職では、データリスクガバナンスを率い、データがグローバルな銀行システムに与える影響に焦点を当てていました。

Adeline Tung, Director, Policy & Technology, Personal Data Protection Commission
IAPPアジア2025：プライバシーフォーラム＋AIガバナンスグローバルにおける講演者。
IAPPアジアプライバシーフォーラム2024における講演者。
IAPP ANZサミット2023におけるLBS講演者。
IAPPアジアプライバシーフォーラム2023における講演者。

はじめに

Bojana: 皆様、こんにちは。私の名前はBojana Bellamyです。私は、法律、政策、テクノロジー、そしてベストプラクティスの交差点で活動する、グローバルなデータポリシーとプライバシーのシンクタンク兼実行部隊である「情報政策リーダーシップセンター(Center for Information Policy Leadership)」を率いています。

昨日私が参加したパネルディスカッションでは、保健省のCIO兼最高データ責任者が、皆でこうして直接顔を合わせて集まることの素晴らしさについて語っていました。彼は、現代社会における最大のメンタルヘルスの問題は、孤独であり、友人を持たないことだと指摘していました。

本日のこの場所は、友人を作り、同じ志を持つ仲間と共に過ごすには本当に素晴らしい場所だと思います。普段なかなか話を聞く機会のない専門家たちの貴重な意見に耳を傾け、そして私自身にとっても、多くの新しいアイデアに触れて知的な刺激と糧を得る絶好の機会です。

私たちの使命は、まず第一に、社会的な信頼を築き、プライバシーやその他の重要な利益を尊重する方法で、デジタルおよびデータ主導のイノベーションとその恩恵を実現することです。そして第二に、地理的に異なる地域、それぞれに存在する政策、法律、そしてその具体的な実施方法の間に橋を架けること。最終的には、規制当局と、私たちが生きるこの世界の基盤となるテクノロジーソリューションを創造している産業界との間に、建設的で前向きな関係を築くことです。

本日は、この分野の真のリーダーである素晴らしいパネリストの方々をお迎えしました。彼らは規制当局、民間企業、学術界の代表であり、それぞれの立場から深い洞察をお持ちです。皆様が気になっているであろう、AIの規制やガバナンスの最新トレンドについて議論しますが、特に「ベストプラクティスとは具体的にどのようなものか」という点に焦点を当てていきたいと思います。

AIとデータ保護における課題

Bojana: 私たちは今、テクノロジーが私たちの社会活動やビジネス、個人の生活のあらゆる側面に挑戦を突きつける、歴史的な「転換点」に生きています。各国政府は、この急速な技術的成長の恩恵を国民が最大限に受けられるよう、いかにして国の競争力を維持し、適切に対応していくかを必死に考えています。それは同時に、特定の分野を規制するよう社会から求められている規制当局にとっても、前例のない大きな課題となっています。

ここにいらっしゃるデータ保護規制当局の皆様の仕事は、単に個人のプライバシーを保護するという従来の枠組みに留まるものではありません。むしろ、エコシステム全体の中で、「責任ある形で、かつ社会から信頼されるデータの利用をいかにして可能にするか」というより能動的な役割が求められているのです。

そしてそれは企業とそのリーダーたちも同様です 。彼らもまた、「良い状態」とは何かを自問し続けなければなりません。新しいテクノロジー、新しいプロジェクト、そして次々と生まれる新しい法律に対して、単にリスクを予測して回避するだけでなく、そこに眠る機会をいかにして最大限に活かすか。そのために、ベストプラクティスを組織の日常業務にどう落とし込み、運用可能にするかが問われています。

本日、私たちはAIについて話しますが、AIは古代における「火」のようなものです 。火が文明のあらゆる側面にエネルギーを与えたように、AIもまた、あらゆる産業やサービスに力を与えるでしょう。そして、AIと量子コンピューティングが融合することで、これまでの常識を覆すような新たな計算能力が生まれ、物理的なハードウェアとデジタルテクノロジーが完全に一体化した世界が訪れるでしょう。

このような未来においても、私たちがこれまで築き上げてきたデータ保護のルールが有効であり続けるために、私たちは何ができるでしょうか？ 法的な側面からだけでなく、日々の具体的な運用の側面からも、真剣に考えなければなりません。

転載：IAPP Global Privacy Summit 2025（プライバシーテックにて翻訳を追加）

私たちのセンターでは、AIの活用と既存のデータ保護原則の間に存在するいくつかの具体的な「緊張関係」を特定し、論文として発表しました。例えば、AIシステムの堅牢な機能を開発•維持するために不可欠な大量の学習データをどう確保するのか、そのための適切な法的根拠は何か、といった根本的な問題です。

この新しい技術の世界で、「同意」はどのような役割を果たすべきでしょうか？もし、データ利用の全てを個人の厳格な同意に依存するなら、果たしてバイアスのない質の高いデータセットを得ることはできるのでしょうか？ 科学、特に医療分野におけるAIの力について、私は強い情熱を持っています。

例えば、新しい診断技術や画期的な新薬の開発のために私の医療データが使われることを、個人として拒否する絶対的な権利はあるのでしょうか？もちろん、それが責任ある形で厳格に管理されるという前提ですが、社会全体の利益につながる可能性を前に、なぜ個人が「ノー」と言う権利を持つべきなのでしょうか？同様に、国境を越えたデータの自由な流通も、多様なデータを学習させる上で極めて重要です。

また、「目的制限」の原則についても再考が必要です。多くの人々にとって有益な価値を持つデータを保有しているにもかかわらず、法律が「当初の目的Xにのみ使用せよ」と定めているために、そのデータを活用できない。私たちは本当にそのような世界に生き続けるべきなのでしょうか？もちろん、透明性やセキュリティが確保され、リスクが適切に管理•軽減されるのであれば、他の有益な目的にもデータは使われるべきではないでしょうか。

では、その「透明性」とは具体的にどのようなものでしょうか？ 私たちは、飛行機に乗る際にその飛行原理やエンジンの仕組みを詳細に知りたいとは思いません。私たちは、専門家によって安全性が保証されていることを信頼しているからです。私たちが知りたいのは、万が一の時のために出口がどこにあるか、ということです。

Laura: 乱気流が起きたときとかですね。

Bojana: まさにその通りです。私たちは、利用シーンやリスクのレベルに応じて、最適化された異なる種類の透明性を示せるようになる必要があります。大手AI企業であるAnthropic社は、特にリスクの高いフロンティアモデルなどについては高度な透明性が必要だが、全てにおいて同じレベルの透明性を求めるのは現実的ではない、というリスクベースのアプローチを提唱しています。今後5年もすれば、チャットボットとの対話は日常の風景となり、今日ほどその内部の仕組みを知りたいとは思わなくなるかもしれません。

ヨーロッパでは現在、欧州データ保護会議(EDPB)でこのテーマについて大きな議論が交わされています。フランスのCNIL（データ保護機関）や英国のICO（情報コミッショナーオフィス）などは、非常に実践的で先進的なガイダンスを次々と発表しています。そしてアジアでも同様の動きがあり、韓国やシンガポールでも実践的な規制ガイダンスが見られます。

法律やルールが整備された後、AIのための優れた運用上のアカウンタビリティ（説明責任）とガバナンスは、最終的にどのような姿になるべきでしょうか？私たちは、あらゆるデジタル分野に適用可能な、効果的かつ実践的なガバナンスとアカウンタビリティの枠組み（アカウンタビリティ•ホイール）を開発しました。本日は、この分野のリーダーであるパネリストの皆様と共に、それぞれの組織における具体的なベストプラクティスについて議論していきたいと思います。

転載：IAPP Global Privacy Summit 2025（プライバシーテックにて翻訳を追加）

各国の規制動向とアプローチ

Bojana: それでは、パネリストの皆様に、規制の現状についてご意見を伺いたいと思います。まず、シンガポールのAdelineさんからお願いします。シンガポールでの先進的な取り組みは世界中から非常に注目されています。

Adeline: シンガポールには2013年に設立された個人データ保護委員会(PDPC)があり、2021年に改正された個人データ保護法(PDPA)は、OECDのプライバシーフレームワークに基づいています。AIが登場した当初から、資源の限られた小国であるシンガポールは、テクノロジーを国家の成長の鍵として積極的に活用しようと考えてきました。

そこでシンガポールは、具体的な禁止事項を列挙するような厳格な法律ではなく、まずAIに関する「モデルAIガバナンス•フレームワーク」を公表しました。これは、特定のルールをトップダウンで課すのではなく、企業が遵守すべき「原則」を示すことを目的としています。

このフレームワークには9つの重要な側面があり、データ保護の枠組みでも重視される「説明責任」「透明性」「公平性」といった原則が含まれています。 私たちはこの国内フレームワークを基礎として、さらにASEAN地域全体でも生成AIに関する共通の枠組みを構築するための議論を主導しています。

Bojana: 非常に実践的ですね。トップダウンでルールを押し付けるのではなく、関係者と共にルールを創り上げていくというアプローチは、受容性を高める上で非常に素晴らしいと思います。次に、LauraさんとSandraさんに、グローバルに事業を展開する上での複雑な規制の迷路についてお聞きします。Lauraさん、いかがでしょうか。

Laura: かつてプライバシー保護が中心だった我々の議論は、今やより広範な「AIガバナンス」のレベルへと明確に移行しています。これは、私たちが長年にわたってプライバシーやデータ保護の分野で培ってきたアカウンタビリティという強固な基盤を、AIという新しい領域に応用•活用しているということです。

ヨーロッパでは最近、スウェーデンの首相が「EUのAI法はイノベーションを阻害する」と懸念を表明し、大きな話題となりました。米国、英国、そして日本でも、厳格な規制よりもイノベーションを促進する方向へと舵を切る動きが見られますが、これはシンガポールが数年前から先導してきた産業界との協調的な規制モデルの影響を強く受けていると思います。

Bojana: まさに世界的なトレンドですね。既存のデータ保護法を土台としながら、AIという新しいテクノロジーをどう規制していくか、各国が最善の方法を模索している段階です。ローラさんが触れたように、スウェーデンの首相だけでなく、SAPやメルセデス•ベンツなどヨーロッパを代表する企業のCEO45名も、EU AI Actに対して一時停止（モラトリアム）を求める声明を発表しました。これは、まず技術を発展させ、その恩恵を社会が享受できるようにしてから規制を考えるべきだという強いメッセージです。Sandraさん、香港の視点からはいかがでしょうか。

Sandra: 香港では、2024年に入ってからデジタル企業としての発展がさらに加速しています。情報技術効率化を推進する政府機関とプライバシー当局が共同で、原則ベースの柔軟なガイドラインを発表しました。そこでは、リスクベースのアプローチや、リスクレベルに応じた階層的な分類など、他の国や地域のフレームワークとも共通するテーマが多く見られます。複雑化する規制の状況に効果的に対応するには、結局のところ、このような基本的な原則に立ち返ることが非常に重要です。

特に多くの金融機関では、すでに非常に成熟したリスク管理のフレームワークが整備されています。全く新しいものをゼロから構築するのではなく、既存の枠組みを活用し、そこにAI特有のリスク要因を差分として加えていくアプローチが現実的かつ効果的だと考えています。

Taeuk: 韓国では現在、社会に与える影響が大きい「高影響AI(high-impact AI)」に対して、データ取扱者に追加の義務を課す法案が国会で議論されています。 これには、透明性、安全性、信頼性の確保や、人権への影響を評価する「人権影響評価」の実施などが含まれる予定です。しかし、この法案は市民社会や産業界から「イノベーションを過度に萎縮させる」といった多くの批判を受けており、1ヶ月前に発足した新政権は、その施行を延期または内容を修正することを慎重に検討している段階です。

転載：IAPP Global Privacy Summit 2025（プライバシーテックにて翻訳を追加）

実務におけるベストプラクティスと今後の展望

Bojana: 規制の導入について多くの類似点があることがわかりました。では、これをAIガバナンスの日常的な実践において、どのように実装すればよいのでしょうか？Lauraさん、お願いします。

Laura: 私たちは、長年かけて構築してきた既存のプライバシーガバナンスプログラムを、より広範な関連分野、特にAIガバナンスへと拡張•活用する方法を以前から議論してきました。企業として、私たちはデータ保護プログラムに80億ドルという巨額の投資をしてきましたが、これは今やAIガバナンスも含めた、全社的な意思決定の中央ハブとして機能しています。

プライバシー、セキュリティ、コンテンツモデレーション、AI倫理といった、これまで個別に議論されがちだった様々なデジタルイシューを、一つのテーブルで統合的に考え、リスクを包括的に評価することが極めて重要です。

Adeline: シンガポールでは、具体的な取り組みとして、今年「グローバルAIエクスチェンジ」というパイロットプログラムを開始しました 。 このプログラムには30社の先進的な企業が参加し、金融やヘルスケアといった特定の産業分野におけるAIの潜在的リスクを体系的に洗い出し、分類することを試みました。

この目的は、AIのテストを行う専門家と実際にAIを導入する企業が協力することで、ハルシネーション（AIが事実に基づかない情報を生成する現象）やデータの偏り、敵対的攻撃への脆弱性など、業界横断で共通するリスクに対する実践的なベストプラクティスを体系化し、共有することです。

Bojana: 企業にとっての最大のデジタルリスクとは一体何でしょうか？プライバシーの専門家に聞けば「プライバシー侵害」と答えるでしょう。しかし、企業の経営層に尋ねれば、おそらく「サイバーセキュリティ」、そしてAIなどの新製品開発に必要なデータを確保できないことによる「機会損失」を挙げるかもしれません。

Laura: まさにその通りです。特に多くの新興国にとっては、自国の文化や言語、社会課題に合わせてAIモデルを微調整（ファインチューニング）するためのデータが使えないこと、それこそが最大のリスクなのです。

私たちのチームでは、ニュージーランドのオークランド大学と協力し、太平洋諸島の希少な言語に焦点を当てたプログラミング教育を、私たちのAIモデルを用いて支援するプロジェクトを行っています。このようなイノベーションの機会を逃すことは、彼らのコミュニティにとって計り知れない損失となります。

まとめ

Bojana: 最後に、パネリストの皆様から、聴衆の皆様へのメッセージをお願いします。

Laura: まず、私たちがこれまで時間をかけて築き上げてきた規制運用モデルや、各種フレームワーク間のマッピングなど、既存の資産を最大限に活用することが鍵です。 そして何よりも、私たちが社会として、組織として達成したい「成果」に常に焦点を当て続けることが重要です。

Sandra: 私からお伝えしたいポイントは2つあります。1つ目は、Lauraさんがおっしゃったことと共通しますが、データ保護であれ生成AIであれ、様々な分野に応用可能な、柔軟で原則ベースのフレームワークを持つことです。2つ目は、規制当局として、特にリソースの限られた中小企業などが、この新しいテクノロジーの恩恵を安全に受けられるよう、積極的に支援することです。

私たちは、中小企業が生成AIを導入する際に、「何から始めるべきか」「どのようなツールを選ぶべきか」「どのような管理体制を築くべきか」といった具体的な疑問に答えるためのリソースやガイドを開発•提供しています。

Taeuk: 韓国はまだ第二段階の模索中ですが、新しいリーダーシップの下で、イノベーションと規制のバランスを取った、より良いフレームワークを構築していくことを目指しています。

Adeline: 自分が組織の中で「何をしているのか」、そして「どこで（どの業務プロセスで）それをしているのか」を正確に把握することが全ての出発点です。そして、自社のビジネスにとってのベースラインとなるセキュリティは何か、顧客やサービス利用者に対してどのような要件を課すべきか、といった点について、組織内でより多くのオープンな議論が必要です。

Bojana: 世界的に規制緩和の流れがあるかもしれませんが、企業はこれまで以上に説明責任を果たし、責任ある形でテクノロジーやデータを活用する姿勢を強めるべきです。なぜなら、それは単なるコンプライアンスの問題ではなく、良いビジネスに直結するからです。

結局のところ、誰も使わない、あるいは誰も信頼しない製品を作りたいと思う企業はありません。この「信頼がビジネス価値になる」という点を、BtoB（企業間取引）とBtoC（対消費者取引）の両方の文脈で、より明確に社会に伝えていく必要があります。

本日は皆様、本当にありがとうございました。

以上

===

◆ 関連記事
[Vol.1]世界のAI・プライバシー専門家が語る未来──IAPPアジア2025 開会セッション
[Vol.2]企業において実現するプライバシー対応の自動化──グローバル視点での実践と戦略
[Vol.3]グローバルプライバシーの実装――最前線からの教訓
[Vol.4]AIガバナンスとデータ保護の最前線──世界の専門家が語る規制とベストプラクティス←この記事
[Vol.5]AIにおけるプライバシー・バイ・デザインとデフォルト：プライバシー保護技術の役割
[Vol.6]AIにおけるデジタル信頼の構築──アジア太平洋の視点から
[Vol.7]進化する子供のプライバシー法──遵守するための実践的戦略
[Vol.8]AIは「死の谷」を越えられるか？歴史に学ぶ、次世代ガバナンス
[Vol.9]あなたのビジネスは大丈夫？アジアAI規制の最新マップ
[Vol.10]アジアにおけるグローバルプライバシー管理──中国･インド･東南アジア最新データ保護法マップ
[Vol.11]AI時代のリスクと機会──インシデントへの備えと対応
[Vol.12]AIガバナンス最前線──アジア各国の戦略
[Vol.13]自律型AIの台頭──プライバシーと次世代AIの緊張関係をどう乗り越えるか(前編）
[Vol.14]自律型AIの台頭──プライバシーと次世代AIの緊張関係をどう乗り越えるか(後編）

===

＜＜前へ：グローバルプライバシーの実装――最前線からの教訓
＞＞次へ：AIにおけるプライバシー・バイ・デザインとデフォルト：プライバシー保護技術の役割

===

IAPP公式サイト：https://iapp.org/conference/global-privacy-summit/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP　#プライバシーガバナンス　#データガバナンス　#データ保護　#デジタルイノベーション　#AIガイドライン　#AI開発　#生成AI　#アカウンタビリティ　#規制　#リスクベースアプローチ　#テクノロジー倫理　#EUAI法　#個人データ保護法　#透明性　#サイバーセキュリティ　#中小企業