越境データ移転における相互運用性の強化

Panel Session 7: Enhancing Interoperability in Cross-Border Data Transfers
GPA 2025 SEOUL: 47th Global Privacy Assembly 現地レポート[Vol.12]　

この記事は、GPA 2025 SEOUL: 47th Global Privacy Assemblyにおける講演内容をもとに、AIによる自動音声認識および自動翻訳技術を用いて作成されたものです。その性質上、実際の講演内容と異なる表現や解釈が含まれる可能性があり、一部の情報が省略または不正確である場合があります。

この度、株式会社プライバシーテックは、2025年9月に韓国ソウルで開催された国際会議「GPA Seoul 2025」に参加いたしました。本会議では「日常生活における人工知知能(AI)：データとプライバシーの課題」をテーマに、AI時代のデータガバナンスについて活発な議論が交わされました。弊社が聴講した主要セッションの内容を、皆様の実務に役立つ形でお届けします。

◆ この記事でわかること
===
・越境データ移転の最大の脅威は、技術的な問題だけでなく、その根幹をなす「法の支配」が世界的に脅かされていることである。　
・民主主義国家はAI競争で協力する必要があり、画一的なルールを押し付けるのではなく、異なる制度を繋ぐ「アダプター」のようなツールが求められる。
・複雑で高価な既存ツールは中小企業などの実情に合っておらず、今後はよりシンプルで、世界中の誰もが利用できる仕組みが必要である。
===

登壇者

転載：GPA SEOUL 2025

Moderator: Philippe Dufresne (Privacy Commissioner, OPC, Canada)
2022年6月27日にカナダのプライバシー･コミッショナーに任命された。人権法、行政法、憲法に関する第一人者の法律専門家であり、以前は庶民院の法務書記官兼議会法務官を務めていた。その職務において、彼は庶民院の最高法務責任者として、庶民院、その議長、議員、委員会、内部経済委員会、および庶民院事務局に法律および立法起草サービスを提供するオフィスを率いていた。2015年に庶民院の法務書記官に任命される前は、カナダ人権委員会のシニア法務顧問として、法務サービス、訴訟、調査、調停、雇用均等、情報公開およびプライバシーを担当していた。その間、彼は20年間にわたり、多くの主要な人権および憲法訴訟において、カナダ最高裁判所を含むあらゆるレベルのカナダの裁判所で委員会を代表し、成功を収めてきた。彼は、アクセシビリティや同一価値労働同一賃金から、人権と国家安全保障の均衡に至るまで、15回にわたり最高裁判所に出廷している。画期的な議会特権事件において委員会の主任弁護士として、庶民院および議会に適用される国の基本的な憲法原則の一部を強化し、明確化することに貢献した。
ケベック州、オンタリオ州、マサチューセッツ州（米国）の弁護士資格を持ち、カナダ弁護士協会（ケベック支部）の憲法･人権法セクションの会長や、カナダ企業内弁護士協会のCCCAマガジンの編集委員など、様々な立場で専門職とコミュニティに貢献してきた。2014年には、カナダおよび国際社会における法の支配と司法の独立の保護に専念する組織である国際法律家委員会の会長を務めた。マギル大学法学部で普通法と民法の学位を取得しており、オタワ大学普通法学部およびクイーンズ大学法学部で非常勤教授として、国際刑法、人権、ならびにカナダにおける上訴プライバシー法、憲法、議会法を教えた。

Immaculate Kassait (Data Commissioner, ODPC, Kenya)
ケニアのデータ保護コミッショナー事務局(ODPC)のデータ･コミッショナーであり、データ保護機関ネットワークの第一副議長を務めている。公共部門で23年の経験を持ち、ガバナンス、コンプライアンス、研修、戦略計画における複雑なイニシアチブを主導してきた。 彼女はケニアのデータ保護環境の形成に重要な役割を果たし、特に2019年のデータ保護法を運用可能にした3つの規則を策定したタスクフォースの議長を務めた。

Yuji Asai (Commissioner, PPC, Japan)
2021年2月より日本の個人情報保護委員会(PPC)の委員を務めている。PPCに参加する前は、日本および米国で長年にわたり消費者向けビジネスのマーケティング活動に従事していた。2004年から2017年にかけては、ブシュロン･ジャパンの最高経営責任者を務め、その後2020年まではポメラート･ジャパンのシニアアドバイザーを務めた。

Alexander Joel (Professor, American University’s Washington College of Law)
アメリカン大学ワシントン法科大学院のシニア･プロジェクト･ディレクター兼常駐非常勤教授であり、「国境を越えるプライバシー」イニシアチブを率いている。2005年から2019年まで、彼は国家情報長官室の初代市民的自由保護官を務めた。 それ以前は、CIA、マリオット･インターナショナル、およびピルズベリー･ウィンスロップ･ショー･ピットマン法律事務所で弁護士として勤務していました。 彼は米陸軍法務科(JAG)からキャリアをスタートさせた。IAPPの名誉フェローであり、FPFの諮問委員も務めている。

Christopher Kuner (Professor, University of Copenhagen)
コペンハーゲン大学のアフィリエイトプロフェッサーであり、ウィルソン･ソンシーニ･グッドリッチ＆ロサーティ法律事務所のブリュッセルオフィスでシニア･プライバシー･カウンセルを務めている。彼は30年間にわたりデータ保護法務に携わり、ケンブリッジ大学や欧州大学院大学などで教鞭をとってきた。欧州委員会のGDPRに関するステークホルダーグループのメンバーであり、オックスフォード大学出版局から刊行されたGDPR解説書の主要編集者の一人である。また、日本の消費者庁からメダルを授与されている。

はじめに：AI時代の越境データ移転という課題

Philippe: このパネルディスカッションで、越境データ移転という困難な課題について議論できることを大変光栄に存じます。主催者の皆様、そして韓国のチームが、このような重要な問題について議論する場を設けてくださったことに深く感謝申し上げます。また、この場は、私たちを結びつけ、学び、改善し、共に協力して変革をもたらすという、GPAが果たす重要かつ不可欠な役割を改めて認識させてくれます。

越境データ移転は、私たちコミュニティが長年取り組んできた課題です。プライバシー権を含む基本的人権の保護という観点から、これは極めて重要です。近年では、国家安全保障や主権といった文脈においても、その重要性はますます高まっています。そして今、私たちはAIの登場という新たな文脈で、この問題を議論しているのです。

私は今年6月にカナダでG7データ保護･プライバシー機関ラウンドテーブル会合を主催する栄誉に浴しました。そこでは、G7首脳が表明した「信頼性のある自由なデータ流通(DFFT)」の重要性を再確認し、信頼できるAIの開発と利用を可能にする上でのその価値を指摘しました。これはG7のDPAが継続して取り組むべきテーマであり、ワーキンググループを通じて、さらなる具体化に向けた取り組みを続けてまいります。

それでは早速、この件に関する考察と所見を共有してくださるプレゼンターのKuner教授にマイクをお渡しします。

データ移転と相互運用性の現状と根本的な脅威

Kuner: ご招待いただいたGPA、そして準備にあたられた韓国の皆様に感謝申し上げます。与えられた時間は短いですが、このテーマについて、長期的かつ高次元の視点から、興味深く、そして適度に挑戦的な内容となるようお話ししたいと思います。私は1990年代から弁護士、著者、学者として、このデータ移転の問題に様々な角度から関わってきました。

まず、相互運用性とデータ移転の現状についてです。ここ数十年で、国境を越えたデータ移転を円滑にするための手段は大きく進歩しました。各国のデータ保護機関(DPA)は、十分性認定、標準契約条項(SCCs)、認証といった多様な「ツール」を開発してきました。これらはデータ保護原則に基づき、異なる法域間でのデータ移転の基盤となっています。

日本政府が提唱しG7やOECDで採択された「DFFT」イニシアチブをはじめ、欧州評議会の条約、アフリカ連合の取り組みなど、こうしたツールを支える重要な国際的イニシアチブも多数存在します。これらのツールが適切に実施されれば、現場レベルでの保護に大きく貢献するでしょう。

しかし、重大な課題も残されています。第一に、これらのツールはしばしば、チェックリスト形式の対応や書類ベースのコンプライアンスに陥りがちです。第二に、多くの法域では、国際的に開発されたツールを自国の法制度に導入することに懸念を抱いています。第三に、多くのツールは、移転先の国における保護水準を、データを移転する当事者が自ら評価することを前提としていますが、その評価のための国際的に承認された手法は存在しません。

さらに、AIやデータ移転に関する新たな法律が爆発的に増加する「規制バブル」も、既存の法体系との調整が不十分なまま、新たな課題を生み出しています。

そして、最も根本的な脅威は、世界中で「法の支配」そのものが脅かされているという事実です。司法の独立性への侵害、偽情報キャンペーン、政府によるデータの大規模な悪用などが見られます。明確に申し上げると、法の支配なくしてデータ保護は成立しません。

では、AIはこの文脈にどう適合するのでしょうか。一部には、AIの活用を促進するためにデータ保護原則を大幅に緩和すべきだという声もありますが、私は懐疑的です。AIがもたらす主な影響は、データ処理の強化とデータ移転のさらなる普遍化にあります。

一方で、経済ナショナリズムやAIに関するデータ主権への懸念から、世界的な傾向はむしろデータの自由な流通を制限する方向に向かっているように見えます。特定の国への機密データの移転を禁止したり、国内でのデータ処理を義務付けたりする規制はその例です。近年のデータ移転の円滑化は世界貿易の成長と密接に関連してきましたが、地政学的な動向が逆風となる中で、AIのためのデータ流通を促進することは大きな課題となるでしょう。

結論として、今後のデータ移転の保護には、単なる技術的な解決策や新たなツールの開発だけでは不十分です。法の支配が直面する脅威の多くは、データ保護上の脅威でもあります。法の支配が崩壊すれば、AI関連を含むあらゆるデータ移転の保護が危険に晒されます。ゆえに、データ保護当局は、狭義のデータ保護だけでなく、民主主義への広範な脅威についても声を上げ、裁判所やジャーナリストといった、法の支配を支える機関と連携すべきです。

GPAは2021年の決議で、国際的なデジタル政策議論における発言力強化を目標として掲げました。今こそ、その使命を遂行する時です。

民主主義国家の結束と新たなツールの必要性

Philippe: Kuner教授、ありがとうございました。法の支配と民主主義の重要性、そしてそれがデータ保護の根幹であるというご指摘は、私たちが常に心に留めておくべき本質です。

それでは、パネリストの皆様からのご意見を伺います。まず、Joel教授、お願いします。

Joel: Kuner教授のご意見の多くに同意します。私は、特に安全保障の観点から、教授が指摘されたいくつかの点を強調したいと思います。

第一に、私たちは常に全体像を心に留めるべきです。民主主義国家同士を分かつ些細な差異に目を奪われがちですが、それらの差異以上に、私たちを結びつけ、強さの源泉となる共通の価値観が存在します。そして、その結束を損なおうとする敵対的な体制との間には、はるかに広範な差異があるのです。

これはAIの世界において特に真実です。各国政府は「AI競争で勝利しなければならない」と主張しています。なぜなら、AIは悪意ある政府がシステムへのアクセスを容易にし、脆弱性を見つけ出し、偽情報キャンペーンをより速く、より効果的に実行することを可能にするからです。これは現実の競争であり、民主主義国家は少なくとも競争力を維持し、優位に立つ必要があります。

この議論を行う上で、韓国ほど適した場所はないでしょう。1950年、この国が侵略された時、米国の主導のもと、16カ国の民主主義諸国が結束し、共に戦いました。その成功例が、今日の活気に満ち、繁栄し、開かれた民主主義国家としての韓国の姿です。民主主義国家の結束したネットワークがなければ、今日の韓国は存在しなかったでしょう。

第二に、新たなツールの設計も必要ですが、まずはデジタル障壁を是正し、データの自由な流通を促進することが重要です。もちろん、相手国が民主主義の原則を尊重すると信頼できない場合には、データ移転を制限する正当な理由があります。しかし、画一的な解決策は通用しません。「ハンマーを持っていると、あらゆる問題が釘に見える」と言いますが、各国はそれぞれ異なる釘であり、全てを同じハンマーで解決することはできません。むしろ、私たちが開発すべきなのは、多様なシステムを繋ぐ「アダプター」のようなツールです。

最後に、私は楽観的に考えているということをお伝えしておきます。直面する課題を通じて、民主主義国家として結束し、相違を埋める道を見出すことの重要性を、私たちは認識していると確信しているからです。AIは、この重要な橋渡し役となるでしょう。EUと米国間の新たなプライバシー枠組みや、十分性認定の追加など、すでに見られる進展がその証です。

Philippe: ありがとうございます。「アダプター」という比喩、そして共通点を思い出すことの重要性、素晴らしい指摘です。では、Kassait委員、ご意見とご感想をお聞かせください。

Kassait: Kuner教授が提起されたように、私たちは一歩引いて「自分たちは正しいことをしているのか」と自問すべきです。特に、私たちが議論している内容が、アフリカのような地域の文脈でどう受け止められるかを考える必要があります。

問題は、AIがこれまでの課題を全て変えてしまうのか、それとも課題は依然として存在するのか、という点です。AIの導入にあたっては、地域ごとのデジタル格差や、公平な競争条件の確保といった点を考慮しなければなりません。人間がAIを育む以上、その基盤となるデータが多様な人々を反映していることを保証する必要があります。

Philippe: ありがとうございます。この議論が非常に興味深いのは、マクロな哲学的衝突を提起すると同時に、非常にミクロで具体的な実践の問題も提起する点です。

続きまして、Asai委員に発言をお願いしたいと思います。 日本は「DFFT」という課題を牽引してこられた国であり、G7においてもご尽力いただいております。

Asai: 本日はこのような場にお招きいただき、大変光栄です。 現在、私たちは地政学的な状況や技術の発展において、世界規模での大きな変化に直面しています。法制度もそれに適応していく必要があります。

私は、企業が自身のビジネスに適したデータ移転の枠組みを選択できるような国際的な環境を作ること、すなわち「DFFT」のアプローチが解決策になると考えています。 AIの発展には大量のデータが必要です。だからこそ、さらなるイノベーションを促進するために、私たちは国境を越えたデータの流通を奨励しなければなりません。

日本政府はDFFTを推進するイニシアチブにおいてリーダーシップを発揮してきました。G7やGPAにおいても、このコンセプトを具体化するための取り組みを進めています。 次の課題は、「信頼」という概念を、どのようにして機能的なメカニズムとして確立するかです。私たちは複雑な状況下で解決策を模索しています。

既存ツールの課題と拡張可能なメカニズムの模索

Philippe: それでは、皆様に具体的な質問をしたいと思います。現在、実際に活用されているデータ移転ツールにおける課題は何でしょうか。そして、データの相互運用性を促進するために、より拡張可能なメカニズムにはどのようなものがあるでしょうか。

Kassait: 我々が利用しているツールの一つは、企業に対する透明性の要求です。複数の国に拠点を置く企業に対し、どのようなデータを扱っているのかを文書で提出するよう求めています。また、標準契約条項も活用しています。しかし、特にアフリカのネットワークに新たなアプリケーションを導入するような場合、投資家は単一の国だけでなく、地域全体への投資を考えます。その際、各国の規制が異なれば、投資の障壁となり得ます。

Philippe: 産業界の現実と課題を理解すべきだというご意見、同感です。Asai委員、日本の視点からのお考えをお聞かせいただけますか？

Asai: これはデータの流通と保護を両立させるために重要なことで、私たちはベンダーや企業が受け入れられる仕組みを考える必要があります。現在、グローバル越境プライバシールール(CBPR)の枠組みについても議論を進めており、構築に向けた作業を続けています。各国の法制度の違いがある中で相互運用性を見出し、国際的な連携のための最適な方法を探し続けています。

Philippe: 企業からよく聞くのは、こうした認証などの仕組みは高価で、リソースを投入する必要があるという点です。取締役会にその必要性を説明するのは難しい場合があります。

Joel教授、米国で機能している事例はどのようなものでしょうか。

Joel: 米国政府は、グローバル越境プライバシールール(CBPR)システムを非常に歓迎しており、最近ではその支持を改めて表明しています。また、EUとのデータプライバシー枠組みへの支援も継続しています。

ここで、OECDの「信頼性のあるガバメントアクセスに関する宣言」に触れておきたいと思います。この宣言は、民主主義国家として私たちを結びつける慣行と法的原則についての共通認識に基づき、政府によるデータアクセスへの信頼を高める方法を示した、画期的な成果です。各国の法制度を詳細に分析するアプローチが拡張可能かという点については議論がありますが、この宣言は、信頼できる越境データ流通を実現するための重要な一歩だと考えます。

Philippe: OECD宣言に言及いただきありがとうございます。G7データ保護･プライバシー機関ラウンドテーブル会合の一環として、この宣言を支持することが私たちの明確な作業手順であることを改めて強調します。

Kuner教授、欧州の法制度についてはいかがでしょうか。

Kuner: EUにおける問題の一つは、データ移転に求められる法的基準が、他国の法制度の評価に基づいている点です。比較法に携わった者なら誰でも知っている通り、これは非常に困難な作業です。専門知識と言語能力、そして実務経験が必要であり、謙虚な姿勢で行われるべきものです。しかし、私たちが常にその謙虚さを持ち合わせてきたとは確信できません。

この理由から、私は「十分性認定」の概念自体には賛成ですが、その認定が常に詳細な方法論に基づいてきたとは言えず、政治化するリスクを懸念しています。

また、EUだけでなく他国にも共通して欠如しているもの、それは特に小規模組織が活用できる、極めてシンプルなデータ移転ツールです。例えば「これら10項目を実行すれば問題ない」と明確に示された、実現可能な手順書のようなものです。大企業ほど心配はしていませんが、中小企業やNGOにとっては、導入のスピードとコストが大きな懸念材料です。

結論：市民社会の視点と謙虚さの重要性

Philippe: 先ほど、会場から非常に重要なご指摘がありました。「この議論には、市民や消費者グループの視点が欠けているのではないか」という点です。まさにその通りで、私たちの議論の最終目的が、常に市民一人ひとりの権利保護にあるということを、決して忘れてはなりません。

また、データの現地化（ローカライゼーション）が、プライバシー保護の解決策として単純に語られがちですが、これがかえって政府によるデジタル統制を強化するリスクをはらんでいるというご意見も、私たちが真摯に受け止めるべき警告です。

最後に、Kuner教授、本日の議論全体を締めくくる、最終的なご見解をいただけますでしょうか。

Kuner: 長年にわたり、EUと米国の間のデータ移転問題は、時に二国間の「心理劇」のような様相を呈してきました。しかし、もはやこの問題は二国間のものではありません。真に国際的な課題となっています。

もし、アフリカのような地域で、中小企業が簡単に利用できる、シンプルで実用的なデータ移転の仕組みが構築されたとしたら、それは単にその地域の成功にとどまらず、世界中が感謝し、そこから学ぶべき成果となるでしょう。私たち欧米諸国も、他地域から学ぶという謙虚な姿勢を持つことが、今まさに求められているのです。

本日はありがとうございました。

以上

===

◆ 関連記事
[Vol.1]GPA 2025 ソウル 開会セッション ── 基調講演
[Vol.2]AI時代のグローバル･データガバナンス 
[Vo.3]実践における合成データ──機会と課題
[Vol.4]AIが医療サービスとプライバシーに与える影響
[Vol.5]基調講演──EUにおけるAI規制とデータ保護の調和
[Vol.6]AI時代のデータ保護法と法的根拠──世界の規制当局が語る最前線
[Vol.7]データ保護機関(DPA)の新規設立と制度化
[Vol.8]基調講演──ヒューマン･フラッキングとプライバシーの未来
[Vol.9]AIは「エージェント」の時代へ──未来のプライバシーを考える
[Vol.10]AI時代のルールメイキング──規制とイノベーションの共存
[Vol.11]プライバシーは「人間性の未来」──OpenAIが描くAIとの共存
[Vol.12]越境データ移転における相互運用性の強化←この記事
[Vol.13]データ保護における救済と相互運用性──消費者の視点から
[Vol.14]AI時代の健康データ活用とプライバシー──イノベーションと社会的信頼の両立
[Vol.15]AI医療とプライバシー──健康データ「二次利用」の最前線
[Vol.16]AI医療と規制当局──いかにして「公衆の信頼」を築くか

===

＜＜前へ：プライバシーは「人間性の未来」──OpenAIが描くAIとの共存
＞＞次へ：データ保護における救済と相互運用性──消費者の視点から

===

GPA 2025公式サイト：https://gpaseoul.kr/

#AIガバナンス　#AI利活用　#プライバシー　＃GPA　#プライバシーガバナンス　#データガバナンス　#AI　#プライバシー保護　#G7データ保護・プライバシー機関ラウンドテーブル会合　#信頼性のあるガバメントアクセスに関する宣言　#CBPR　#ローカライゼーション　#越境データ移転　#民主主義　#相互運用性　#OECD　#十分性認定　#標準契約条項　#認証　#DFFT