アジアにおけるプライバシーの課題を克服する

Sugar and Spice but Not Everything Nice: Overcoming Privacy Challenges in Asia
IAPP Global Privacy Summit 2024 現地レポート[Vol.4]
公開：2024/04/17　執筆：株式会社プライバシーテック

世界中のプライバシー専門家が集う国際会議「IAPP Global Privacy Summit 2024」が、2024年4月1日〜4日の日程で、東京よりも一足早く桜が満開を迎えた米国ワシントンD.C.で開催されました。株式会社プライバシーテックは2年ぶりに現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。

◆ この記事でわかること
・インド、日本、シンガポール、フィリピン、中国におけるプライバシー保護法の要点

登壇者

Jon Bello, CIPP/E, CIPM, FIP, Partner, Medialdea Bello and Suarez Law
Leandro Aguirre, Deputy Commissioner, National Privacy Commission, Philippines
Charmian Aw, CIPP/A, CIPP/E, CIPP/US, CIPM, FIP, Partner, Squire Patton Boggs
Barbara Li, CIPP/E, Tech/Data Partner, Reed Smith, Beijing China
Shivangi Nadkarni, Co-Founder, Chief Executive Officer, Arrka
Takaya Terakawa, CIPP/E, CIPM, CIPT, FIP, CEO, Technica Zen

概要

アジア市場は、サプライチェーンの重要な構成要素である。そのため、事業で個人に関する情報を扱う者にとって、アジアのプライバシー保護法規制の理解は極めて重要である。

しかし、プライバシーに関する法律はすべての国において同じように作られているわけではない。EU一般データ保護規則（GDPR）はアジアにおける特効薬ではない。GDPRへの過度な依存は、アジアのプライバシーを遵守する上で間違いである可能性さえある。

近年、プライバシーに関する法律はアジア全域で制定されており、既存の法律もまた、新しいテクノロジーの出現に対応するために更新されている。

本講演では、中国、日本、ASEAN地域それぞれの実績ある専門家が、AIガバナンス、データのローカライゼーション、違反通知、国境を越えたデータ移転、データセキュリティ、データ処理の根拠など、さまざまなテーマについて「現場の」ガイダンスを提供する。

アジアにおけるプライバシーの課題を理解し、克服するためのグローバル・プライバシー・リーダーのガイドとして、以下の点に焦点を当てる。

・アジアにおける規制の状況
・アジアにおけるデータプライバシーとセキュリティのトレンド〜特にビジネスに最も影響する事柄について
・アジアにおけるプライバシーの課題を克服するために必要な知識。

インド：新しいパーソナルデータ保護法(DPDPA)とその影響

インドでは約6年もの時間をかけて、デジタルパーソナルデータ保護法（DPDPA: Digital Personal Data Protection Act, 2023）を成立させた。重視すべきは、データ処理において同意取得に重きを置いている点である。ただし、雇用目的のためのあらゆるデータ処理や、命の危険がある時など、同意を不要とする例外も規定されている。

また外国企業にとって重要な問題となるデータの越境移転に関して、ブラックリスト方式（中央政府が個人データの移転制限を設ける）のアプローチを取るため、制限対象国や地域に指定されなければインド国外への越境移転が可能となった。規制が緩和されたと評価できる。

データ主体者（Data Principal）、データ受託者（Data Fiduciary）という新しい用語も制定された。データはデータ主体者のものであるという考えに焦点を当て、両者の間には信頼関係が構築されるものとする。情報漏洩時には規制当局と、影響を与えるデータ主体に対して通知する義務がある。情報漏洩に関して、更なる規則については総選挙の後に新政権が制定するものと見られる。

なお、18歳未満を子どもと定義し、子どものトラッキングや子どもに対するターゲティング広告は制限されている。

違反時の罰則も厳しく設けられている。その他項目における追加要件等、詳細な規定の制定が待たれる。

日本：限定的なシーンにおいて同意取得が必須

日本においては、データ処理の目的を開示すれば、データ処理を行うことは基本的に問題ない。ただし機微の高い情報を扱う場合や、データを第三者に開示する場合、また日本国外にデータを転送する場合には同意取得が必要とされる。

個人データを扱う企業が、第三者であるアウトソーシング企業に対して自社企業と同レベルの安全対策を課した契約をしている場合、日本国外であってもデータの移転は可能である。また個人データ取得の同意を得ている場合は、契約は必須ではない。ただし、プライバシーに関する通知で、当該国の法律について説明しておく必要がある。

情報漏洩に関しては、個人情報保護委員会（PPC）への報告件数が倍増している。漏洩したデータが1000件を超えた場合は、以下の通り決まったタイムラインでPPCへ報告することが義務付けられている。

速報（新規）：発覚日から3-5日以内
確報（続報）：発覚日から30日以内
※ランサムウェア攻撃等、不正な目的で行われた恐れがある場合は、60日以内

日本政府は、アメリカやEUとともにAI管理のベストプラクティスを作ろうと、2023年にAI安全研究所（AI Safety Instutite）を設立した。

シンガポール：データ企業の競争とプライバシー保護を推進

シンガポールのパーソナルデータ保護法（PDPA: Personal Data Protection Act）は多くの適用除外を提供しており、データ処理を行う企業にとって魅力的で競争力のあるハブとなっている。しかしながら、GDPRに準拠すればシンガポールの法律を全てカバーできるとは限らないため、注意が必要。

見落とされがちな事項の例として、「みなし同意」がある。「みなし同意」とは、個人が自主的に情報を提供し、その個人情報の提供が合理的である場合に認められる。また「みなし同意」には通知による方法も導入されており、一定のオプトアウト期間が定められている等の条件がある。

また特徴的な点に、事業改善（Business Improvement）のための共同利用が挙げられる。これは、顧客の嗜好や行動に対応するためのカスタマイズなど、製品やサービスを向上させるために、企業グループが個人データを処理し、企業間で共有することを認めるものである。

シンガポールは、ASEANモデルの先頭に立って信頼されるデータの促進を提唱し、それぞれの条項がどのように整合するかについて、EU標準契約条項との共同ガイドを設けている。

さらに、現在のAPEC越境プライバシールール（CBPR: Cross Border Privacy Rules; ）およびAPECプロセッサー向けプライバシー識別（PRP: Privacy Recognition for Processors）システムから、新しいグローバルCBPR認証スキームを策定するグローバルCBPRフォーラムへの移行を主導するメンバーでもある。

違反に関しては、シンガポールのデータプライバシー要件はGDPRよりも厳しい可能性がある。特定のデータタイプ（純資産、信用度など）による被害が推定される場合、GDPRの閾値を満たしていない場合でも、シンガポールでの報告義務が発生するかどうかを確認することが重要となる。

シンガポールではパーソナルデータを扱う企業に対し、データ保護責任者（DPO）の選任が義務付けられている。また国民IDやパスポート番号等の身分証番号の取得については、原則として禁止されているため注意が必要。

2019年に行われた世界経済フォーラムにおいて、シンガポールは国家AI戦略を発表した（現在では第2版に改訂）。その他、AIが国際的な倫理基準に則って運用されているか検証するソフトウェアツールとして、「AI Veryfy」を導入している。

フィリピン：GDPRに倣ったデータプライバシー法

　フィリピンのパーソナルデータ保護法（DPA: Data Privacy Act）は、GDPRにほぼ倣ったものであり、同意行為、法的契約、法的義務、重要な利益、正当な利益が設けられている。2023年、国家プライバシー委員会（National Privacy Commission; NPC）が以下の2つの重要なガイドラインを発表した。

1. 同意取得
規定された形式での同意取得が必要。違反すると罰金が課される場合がある。

２． 正当な利益
データ主体の基本的自由を損なわない限り、データ管理者は正当な利益に依拠することができる。その妥当性については自ら評価を行う必要がある。

データの越境移転についてフィリピンは寛容であり、同国のパーソナルデータ保護法に匹敵する法律を備え、かつフィリピンの法律等を遵守する旨の契約を結んだ国に対してはデータ移転を認めている。機微の高い情報については同意取得が必要。

情報漏洩については、GDPRと同様に、機微の高い情報や、データ主体の権利と自由に対する重大な損害につながる可能性のある情報の漏洩が発覚した場合、72時間以内に規制当局へ報告するよう義務付けられている（オンラインフォームによる報告）。

中国：一部ではGDPRより厳しい規制も

中国では個人に関する情報を収集する際、同意が主要な法的根拠となるが、GDPRで定められる「正当な利益」は含まれないため注意が必要。

データの越境移転は多国籍企業にとって重大かつ困難なコンプライアンス上の課題となる。中国のパーソナルデータ保護法では、個人に関する情報の取り扱いについて、GDPRより厳格な規制が設けられている。国家の安全評価に合格、または専門機構からパーソナルデータ保護の認証を得る等の対応が求められる。

2023年9月、中国当局はデータの越境移転を促進し、緩和しようとする規制案を発表し注目が集まっている（2024年3月22日施行）。ただし規制の複雑さは残存しており、データマッピングとリスクアセスメントを行うこと、移転戦略を設計し必要なコンプライアンス措置を講じることが肝要である。

（以上）

※本記事はプライバシーテック（ウンリュエル愛友美）が翻訳、編集しています。

当社では、今回のカンファレンスの詳細版レポートと勉強会を有償（10万円〜）にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。

一覧はこちら（IAPP Webサイト）↗

＞＞次へ：[Vol.5]技術的プライバシーレビューのプロセスを解明

＜＜前へ：[Vol.3]医療技術とマーケティングにおける新たなベストプラクティス： 潮目の変化

◆ 関連記事
[Vol.1]IAPP Global Privacy Summit 2024 とは？
[Vol.2]米･欧･中が競合する、世界のテクノロジー規制 (Opening Session)
[Vol.3]医療技術とマーケティングにおける新たなベストプラクティス： 潮目の変化
[Vol.4]アジア各国におけるプライバシー規制の違いとは←この記事
[Vol.5]技術的プライバシーレビューのプロセスを解明
[Vol.6]PETs： プライバシー保護技術の発展を促進するには？国家戦略と規制当局の視点

===

IAPP公式サイト：https://iapp.org/about/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP