データ保護機関(DPA)の新規設立と制度化

Parallel Session 1-A: Newly Establishing and Institutionalizing DPAs (led by the APPA)
GPA 2025 SEOUL: 47th Global Privacy Assembly 現地レポート[Vol.7]　

この記事は、GPA 2025 SEOUL: 47th Global Privacy Assemblyにおける講演内容をもとに、AIによる自動音声認識および自動翻訳技術を用いて作成されたものです。その性質上、実際の講演内容と異なる表現や解釈が含まれる可能性があり、一部の情報が省略または不正確である場合があります。

この度、株式会社プライバシーテックは、2025年9月に韓国ソウルで開催された国際会議「GPA Seoul 2025」に参加いたしました。本会議では「日常生活における人工知知能(AI)：データとプライバシーの課題」をテーマに、AI時代のデータガバナンスについて活発な議論が交わされました。弊社が聴講した主要セッションの内容を、皆様の実務に役立つ形でお届けします。

◆ この記事でわかること
===
・新設されるデータ保護機関(DPA)は、資金、人材、経験が全くないゼロの状態から組織を構築するという大きな課題に直面する。　
・DPAが実効性を保つためには、政府からの「独立性」と、官民双方を監督する明確な「権限」を確保することが極めて重要である。
・資金不足などの課題を克服するためには、国際協力と、問題発生を防ぐ「事前予防」へと役割を転換する戦略的な視点が不可欠である。
===

登壇者

転載：GPA SEOUL 2025

Moderator: Denise Wong (Deputy Commissioner, PDPC, Singapore)
Deniseは現在、情報通信メディア開発庁（Infocomm Media Development Authority）のデータイノベーション＆保護グループのアシスタント･チーフ･エグゼクティブを務めている。また、個人データ保護委員会の副委員長でもあり、個人データ保護法の運用と執行を監督している。彼女の主な職務には、個人データの保護に関する政策の策定と実施、ならびに民間組織に対する執行措置が含まれる。

Janghyuk Choi (Vice Chairperson, PIPC, Korea)
2022年9月に個人情報保護委員会(PIPC)の副委員長に就任。ソウル大学で経営学の学士号を取得し、同大学の環境大学院でも課程を修了している。
副委員長に就任する前は、PIPCの事務局長を務めていた。1995年から2001年にかけては、監査検査院で副検査官の職にあり、2010年から2014年にかけては、2014年仁川アジア競技大会組織委員会のゼネラルマネージャーを務めた。
過去の役職には、大統領直属の自治･分権委員会の自治･分権管理責任者、仁川広域市の行政担当副市長、内務安全部の電子政府局長、蔚山広域市の企画調整室長などがある。また、在米大韓民国大使館で公使参事官として海外勤務の経験もある。
管理者としての豊富な経験、特に電子政府およびデータ･個人情報保護政策における経験は、現在のPIPC副委員長としての職務遂行に貢献している。

Michael Webster (Privacy Commissioner, OPC, New Zealand)
2022年7月5日にニュージーランドのプライバシー･コミッショナーに就任。この任命以前は、8年間にわたりニュージーランドの内閣官房長官および執行評議会書記官を務めていた。
就任以来、個人のプライバシーを保護し、各機関が自身の目的を達成し、自由で民主的な社会を守るために、プライバシーを各機関の核となる焦点とさせるというプライバシー委員会のビジョンを実現できるよう、組織の体制を整えることに注力してきた。
その結果、コンプライアンスおよび執行機能が強化され、委員会の規制スチュワードシップ責任の遂行に焦点が当てられ、デジタル時代に適合した規制の枠組みとプライバシー法の提唱が進められている。

Pansy Tlakula (Chairperson, IRSA, South Africa)
北部大学（現リンポポ大学）で法学士号(B.Proc)を、ウィットウォーターズランド大学(Wits)で法学士号(LLB)を取得した後、ハーバード大学で法学修士号(LLM)を修了した。また、バール工科大学から法学の名誉博士号も授与されている。
彼女は数々の要職を歴任してきた。1995年から2002年まで南アフリカ人権委員会の委員であった。2002年には南アフリカ選挙管理委員会の最高選挙管理責任者に任命され、2011年まで務めた。2011年には同委員会の委員長に任命され、2014年までその職にあった。
2005年にはアフリカ人権委員会(ACHPR)の委員に任命された。ACHPRに12年間務め、2017年11月に退任した。その間、表現の自由と情報へのアクセスに関する特別報告者を務め、2015年から2017年の間はACHPRの議長を務めた。
現在は、国連の人種差別撤廃委員会の委員であり、最近では南部アフリカ開発共同体(SADC)の選挙諮問委員会の委員にも任命された。

Taylor Reynolds (Practice Manager, World Bank)
世界銀行のデジタル･セーフガード担当グローバル･プラクティスマネージャーであり、データガバナンスとサイバーセキュリティに関するグループの業務を率いている。
直近では、MITのインターネット政策研究イニシアティブのテクノロジー政策ディレクターを務め、研究グループの運営を監督し、プライバシー強化技術、サイバーリスク測定のための暗号ツールの活用、サイバーリスクモデリング、国際的なAI政策に関する研究ラインを主導した。
以前は、OECDの上級エコノミストとして情報経済ユニットを率いていた。OECDに加わる前は、国際電気通信連合、世界銀行、および国家電気通信情報庁（米国）で勤務した。
MITでMBAを、ワシントンDCのアメリカン大学で経済学の博士号を取得している。

はじめに

皆様、本日のセッションへようこそ。このセッションでは、現代社会においてますます重要性を増している「データ保護機関(DPA)の設立と制度化」というテーマについて、深く掘り下げてまいります。

ご存知の通り、データ保護の重要性は、私たちの生活のあらゆる側面にデジタル技術が浸透するにつれて、日々高まっています。その対象範囲もまた、かつてないほど拡大を続けています。統計によれば、2021年から2024年というわずか3年の間に、包括的なデータ保護法を持つ国の数は10%も増加しました。

現在では世界160カ国、実に世界人口の約80%をカバーするまでに至っています。この世界的な潮流に伴い、各国で法の番人となるべきデータ保護機関(DPA)の設立が急ピッチで進んでいるのです。

しかし、DPAを新たに設立し、社会に根付いた実効性のある機関として運営していくことは、決して容易な道のりではありません。戦略的な方向性、法的な権限の範囲、執行方針の策定、そして政府内の他機関との関係性といった、根源的な制度設計上の課題が存在します。

それに加え、安定した資金の調達、組織としての能力構築、そして何よりも専門知識を持った適切な人材の確保といった、日々の運用上の課題も山積しています。本日は、これらの複雑で多岐にわたる課題について、世界各国の多様な視点から光を当て、共に解決の道を探っていきたいと思います。

DPA設立初期におけるゼロからの挑戦

新しいDPAを設立する際には、想像を絶する多くの困難に直面します。例えば、南アフリカの情報規制当局は2016年に法律上は設立されましたが、その当初は、活動の基盤となるべき予算も、それを動かす人員も全くない、まさにゼロからのスタートでした。委員は任命されたものの、互いに面識もなく、手元にあるのはこれから解釈していかねばならない法律の条文だけ、という極めて厳しい状況でした。

まず私たちが取り組んだのは、英国、カナダ、ドイツといった、データ保護の分野で長い歴史と経験を持つ先進的なDPAの事例を学ぶことでした。しかし、活動資金が文字通りゼロだったため、海外の知見を持ち帰った後、自分たちで組織の体制をゼロから構築し、CEOの公募から始まり、職員一人ひとりの採用まで、その全てを自前で行わなければなりませんでした。組織の顔となるロゴの制作一つをとっても、外部に委託する資金はなく、内部でアイデアを出し合うところからのスタートだったのです。

特に大きな課題として立ちはだかったのは、データ保護に関する専門的な経験を持つ人材が、国内に事実上誰もいなかったことです。法律の条文も非常に難解で抽象的であり、何度も議論を重ねて解釈を深め、ようやくその本質的な理解の糸口をつかむ、といったありさまでした。苦労して職員を採用しても、彼らに具体的な業務を指導できる前例はなく、皆で手探りをしながら進めていくしかありませんでした。

DPAの生命線：独立性と明確な権限

DPAの設立モデルを考える上で、絶対に譲ることのできない、極めて重要な要素が「独立性」です。DPAは、時の政府の大臣などからの指揮命令を受けない独立した機関として、予算の編成や人事において、最大限の自律性を確保することが強く求められます。

設立当初、私たちは司法省のICTシステムを利用していましたが、ある時、その司法省が大規模なデータ侵害の被害に遭い、私たちのシステムも全てダウンしてしまうという事態が発生しました。この苦い経験から、たとえ政府からの支援があったとしても、DPAは政府の一部局や付属機関ではなく、完全に独立した組織として自らの業務を遂行する必要性を痛感しました。

また、DPAがどの範囲を監督するのかという「権限」の問題も、その実効性を左右する重要な論点です。監督対象は民間部門だけなのか、それとも公共部門も含むのか、あるいはその両方か。

当初、公共部門は政府の一部であるため、厳格に規制される必要はないという意見もありました。しかし、個人のプライバシーを保護するという観点からは、官民の区別なく、社会全体に対して一貫した基準と規制が適用されるべきです。

世界共通の悩み：資金調達とリソース不足

世界中のDPAが、その規模や発展段階に関わらず共通して直面している最も根本的な問題が、慢性的な資金とリソースの不足です。最近行われた国際的な調査では、DPAの70%以上が深刻な資金不足に陥っていると回答しています。多くのDPAは、法律によって課せられた本来担うべき広範な責任に対して、あまりにも小規模な組織と限られた予算で運営せざるを得ないのが、偽らざる現状です。

この深刻な問題に対処するため、世界銀行などの国際機関は、特に発展途上国におけるDPAの設立を支援するプログラムを提供しています。最も貧しい国には返済不要の無償資金援助を、その他の国には低金利の融資を提供し、設立から最初の数年間の基盤整備を支えています。

しかし、国際機関による一時的な資金提供はあくまで起爆剤にすぎません。最終的には、各国が自国の国家予算の中で安定した財源を確保し、DPAが持続的に活動できる恒久的な体制を築くことが不可欠です。

執行からコンプライアンス文化の醸成へ

DPAが果たすべき役割は、寄せられた苦情を処理するだけの、受動的な機関にとどまるものではありません。個別の事案に真摯に対応するだけでなく、その背景にあるより広範な社会的な課題に対処し、社会全体でのコンプライアンス文化を推進するという、戦略的な視点が求められます。

ニュージーランドのDPAは、その好例です。設立初期の苦情対応が中心の段階から、プライバシー侵害に関する独自の調査権限を行使したり、政府が新たに導入しようとする政策に対してプライバシーの観点から積極的に提言を行ったりと、より能動的で積極的な役割へと戦略的な転換を遂げました。

これは、有名な比喩で言えば、「崖の下で怪我人を待つ救急車であるだけでなく、そもそも人が崖から落ちないように、崖の上にしっかりとした柵を築く」という考え方です。つまり、問題が発生してから対処する「事後対応」ではなく、問題が起きないように予防する「事前予防」こそが、DPAの真に価値ある役割なのです。

そのためには、国民や企業に対する地道な意識啓発活動が不可欠となります。なぜプライバシーが重要なのか、それが個人の尊厳や社会の信頼にとっていかに価値あるものかを伝え、信頼関係を築くことで、組織が自主的にコンプライアンスに取り組む文化を社会全体で醸成することができます。

国境を越える連携：国際協力の重要性

DPAが直面する課題の多くは、もはや一国だけで解決できるものではありません。特に、データが瞬時に国境を越える現代において、国際的な枠組みを通じた緊密な協力が極めて重要です。GPA（グローバル･プライバシー会議）やAPPA（アジア太平洋プライバシー当局者会議）のような国際的なフォーラムは、各国のDPAがそれぞれの経験や貴重な知見を共有し、互いに学び合うための、かけがえのないプラットフォームです。

例えば、複数の国にまたがる大規模な情報漏洩が発生した場合、関係国のDPAが共同で調査チームを組織するといった協力体制が非常に有効です。オーストラリアとニュージーランドのDPAは、実際に共同調査を実施し、各国の法的な権限を相互に尊重しつつ、効果的に事案に対応したという成功実績があります。

また、多くのDPAが共通して直面する、増え続ける苦情対応に限られたリソースを奪われてしまうといった構造的な問題についても、国際的な協力によって解決の糸口を見出すことができるはずです。私たちが結束すれば、個々のDPAが単独で対応するよりも、はるかに強くなれるのです。

社会の信頼を築くDPAが目指すべき未来

DPAを新たに設立し、社会に制度として根付かせるまでの道のりは、多くの困難を伴います。しかし、慢性的な資金不足や深刻な人材難といった課題を乗り越え、戦略的な視点を持って活動することで、DPAは単なる法律を執行する規制機関ではなく、デジタル社会における信頼を醸成し、責任あるイノベーションを推進する、極めて重要な役割を果たすことができます。

そのためには、国際的な連携をこれまで以上に深め、互いの成功と失敗の経験から学び、そして何よりも、国民一人ひとりのもとへ赴き、対話を重ね、彼らの声に耳を傾けることが不可欠です。そうすることで初めて、私たちはデータ保護という、この時代における最も重要な基本的人権の一つを守り、デジタル社会の健全な発展に真に貢献することができるのです。

以上

===

◆ 関連記事
[Vol.1]GPA 2025 ソウル 開会セッション ── 基調講演
[Vol.2]AI時代のグローバル･データガバナンス 
[Vo.3]実践における合成データ──機会と課題
[Vol.4]AIが医療サービスとプライバシーに与える影響
[Vol.5]基調講演──EUにおけるAI規制とデータ保護の調和
[Vol.6]AI時代のデータ保護法と法的根拠──世界の規制当局が語る最前線
[Vol.7]データ保護機関(DPA)の新規設立と制度化←この記事
[Vol.8]基調講演──ヒューマン･フラッキングとプライバシーの未来
[Vol.9]AIは「エージェント」の時代へ──未来のプライバシーを考える
[Vol.10]AI時代のルールメイキング──規制とイノベーションの共存
[Vol.11]プライバシーは「人間性の未来」──OpenAIが描くAIとの共存
[Vol.12]越境データ移転における相互運用性の強化
[Vol.13]データ保護における救済と相互運用性──消費者の視点から
[Vol.14]AI時代の健康データ活用とプライバシー──イノベーションと社会的信頼の両立
[Vol.15]AI医療とプライバシー──健康データ「二次利用」の最前線
[Vol.16]AI医療と規制当局──いかにして「公衆の信頼」を築くか

===

＜＜前へ：AI時代のデータ保護法と法的根拠──世界の規制当局が語る最前線
＞＞次へ：基調講演──ヒューマン･フラッキングとプライバシーの未来

===

GPA 2025公式サイト：https://gpaseoul.kr/

#AIガバナンス　#AI利活用　#プライバシー　＃GPA　#プライバシーガバナンス　#データガバナンス　#AI　#プライバシー保護　#データ保護機関 (DPA)　#DPAの設立　#国際協力　#コンプライアンス　#データ保護　#デジタル社会　#リソース不足　#資金不足　#事前予防　#APPA (アジア太平洋プライバシー当局者会議)　#戦略的転換　#世界銀行