データ保護における救済と相互運用性──消費者の視点から

Parallel Session 2-B: Redress and Interoperability of Data Protection: The Consumer Perspective (led by the Asia Pacific Digital Consumer Dialogue)
GPA 2025 SEOUL: 47th Global Privacy Assembly 現地レポート[Vol.13]　

この記事は、GPA 2025 SEOUL: 47th Global Privacy Assemblyにおける講演内容をもとに、AIによる自動音声認識および自動翻訳技術を用いて作成されたものです。その性質上、実際の講演内容と異なる表現や解釈が含まれる可能性があり、一部の情報が省略または不正確である場合があります。

この度、株式会社プライバシーテックは、2025年9月に韓国ソウルで開催された国際会議「GPA Seoul 2025」に参加いたしました。本会議では「日常生活における人工知知能(AI)：データとプライバシーの課題」をテーマに、AI時代のデータガバナンスについて活発な議論が交わされました。弊社が聴講した主要セッションの内容を、皆様の実務に役立つ形でお届けします。

◆ この記事でわかること
===
・データが国境を越えると、罰金の未払いなど、各国のデータ保護当局が自国の法律を外国企業に執行することが極めて困難になる。　
・多くの国では、集団訴訟制度の不備や、紛争解決に時間がかかりすぎるなど、消費者のプライバシー侵害によるとして被害を効果的に救済する仕組みが整っていない。
・問題発生後の救済だけでなく、企業が設計段階からプライバシーを組み込む「予防」と、消費者・企業・規制当局・市民社会の協力が不可欠である。
===

登壇者

転載：GPA SEOUL 2025

Moderator: Amy Kato (Consumers Japan)
Consumers Japan理事、Consumer Rights Japan代表理事。以前は日本の消費者庁で政策企画官を務めた。

Guido Scorza (Member of the Board, Garante, Italy)
イタリアデータ保護庁の委員。弁護士、ジャーナリストであり、テクノロジーおよびプライバシー法の教授。AIやインターネットガバナンスに関して、国および欧州レベルでデジタル政策における主要な役割を担ってきた。複数の大学で教鞭をとり、プライバシー、デジタル権、人工知能に関する多数の著書がある。

Hiroshi Miyashita (Professor, Chuo University)
中央大学の法学教授。専門は憲法および情報法。以前は、日本の内閣府にて個人情報保護室に勤務。一橋大学で法学博士号を取得し、ハーバード･ロースクール、ブリュッセル･プライバシー･ハブ（ブリュッセル自由大学）、ナミュール大学情報･法･社会研究センター（CRIDS）、ゲオルク･アウグスト大学ゲッティンゲン校にて客員研究員としてデータプライバシーの研究を行った。プライバシーとデータ保護に関する単著を6冊出版している。

Byungil Oh (Executive Director, Jinbonet)
情報社会における人権、特にコミュニケーション、言論の自由、プライバシーの権利を擁護する韓国の市民社会組織であるKorean Progressive Network Jinbonetの代表。近年は、巨大テック企業の独占や人工知能の危険から人権を保護する活動に注力している。また、知的財産の強化を批判し、知識へのアクセスを推進してきた非政府組織であるIPLeftの理事であり、Institute for Digital Rightsの研究員でもある。

Javier Ruiz Diaz (Advisor, Consumers International)
アジア太平洋消費者対話のアドバイザーであり、サセックス大学の包摂的貿易政策センターのアソシエイト。デジタル権、消費者保護、デジタル貿易、越境データガバナンスを専門とする。以前はOpen Rights GroupのポリシーディレクターおよびConsumers Internationalのグローバルデジタル権リーダーを務め、ヨーロッパおよびアジア太平洋地域の救済メカニズムや公益技術政策の開発に関する豊富な経験を有する。

Natascha Gerlarch (Director of Privacy Policy, Centre for information Policy Leadership)
ブリュッセルにある情報政策リーダーシップセンター(CIPL)でプライバシー政策ディレクターの職にある。彼女の業務は、越境データフロー、AI、プライバシー強化技術、子どものデータプライバシー、データ倫理、データガバナンスなど、プライバシーとデータに関する幅広いトピックに焦点を当てている。
CIPLに参加する前は、Cleary Gottlieb法律事務所のブリュッセルオフィスでシニアアトーニーを務め、米国のeディスカバリーにおける経験を活かして新しい技術を導入し、チームを運用することで、同事務所の欧州eディスカバリーグループを率いていた。また、Clearyのデータプライバシーグループのシニアメンバーでもあり、国際的な証拠開示とデータ保護の交差点に特に焦点を当て、幅広いデータプライバシー問題についてクライアントに助言した。
The Sedona Conferenceの国際電子情報管理･証拠開示･情報公開に関するワーキンググループ6(WG6)運営委員会の名誉議長。ジョージタウン大学法科大学院AEDIの諮問委員であり、2017年の設立以来、ABA CBI運営委員会にも参加しており、IDLFの創設メンバーでもある。データ保護に関するトピックで定期的に出版しており、関連する会議で頻繁に講演を行っている。

はじめに：消費者が直面する越境データ時代の課題

Amy: 皆様、こんにちは。ようこそお越しくださいました。本セッションでは「データ保護における救済と相互運用性」という、現代の消費者にとって極めて重要なテーマについて、その名の通り「消費者の視点」に焦点を当てて議論を進めてまいります。日本の消費者団体を代表し、本日司会を務めさせていただくことを大変光栄に存じます。

データが国境を意識させることなく、よりシームレスに、そして大規模に流れる現代において、私たち消費者は自らの権利を行使する上で、これまでにない多くの困難に直面しています。自分のデータがどこに保存され、どの国の法律の下で、どのように利用されているのかを正確に把握することは、もはや個人の努力だけでは不可能です。

本パネルでは、このようなグローバルなデータ環境を前提とし、消費者中心の視点から、実効性のある救済措置の仕組みをいかにして確保し、異なる法制度を乗り越える相互運用可能な枠組みをいかにして実現できるか、その具体的な道筋を探ってまいります。

国境を越える「執行」という高い壁

Guido: イタリアデータ保護庁のGuido Scorzaです。本日は皆様と、この差し迫った課題について有意義な対話を始められることを嬉しく思います。

私がデータ保護の世界に本格的に足を踏み入れたのは、欧州司法裁判所がプライバシーシールドに関する有名な判決を下す、わずか2日前のことでした。当時、欧州と米国間の個人データ移転がいかに複雑で、社会の根幹に関わる困難な課題であったか、今でも鮮明に覚えています。新たな十分性認定が下りるまでの間、イタリアの学校、行政、銀行、そして市場といった社会のあらゆる機能が、米国へのデータ移転なしには成り立たないという厳しい現実に直面したのです。そして、この状況は今も本質的には変わっていません。

国際レベルで個人の権利を実質的に保護するには、統一されたルールが不可欠ですが、それだけでは全く不十分です。ルールは、それを強制し、違反に対して責任を問うことができる、効果的な「執行」の仕組みを伴わなければ、絵に描いた餅に過ぎません。

その具体的な例として、Clearview AI社の事例をお話しさせてください。この企業は、インターネット上から世界中の人々の顔写真を無断で収集し、強力な顔認識サービスを法執行機関などに提供していました。

私たちはイタリアの多数の市民からの苦情を受け、2021年に本格的な調査を開始しました。同社は、イタリア国内でサービスを提供しているにもかかわらず、欧州の規制は自社に適用されないと主張しました。そこで私たちは、イタリア国内の個人に関連するデータを全て消去し、2000万ユーロという高額な罰金を支払うよう命じる決定を下しました。

しかし、その決定を通知した後、同社は一切応答せず、罰金も支払われることなく、事実上私たちの前から姿を消してしまったのです。私たちは決定を執行するためにあらゆる法的手段を試みましたが、最終的に、イタリアと米国の間に行政当局の命令を相互に執行するための協力条約が存在しないという、非常に高い壁に突き当たったのです。

この問題はイタリアと米国間に限りません。中国に拠点を置く企業に対しても、私たちは同様の執行上の課題に直面します。私たちデータ保護当局は、グローバルな規模で真の保護を保証できないという無力感に、あまりにも頻繁に直面しており、この状況は持続不可能であると確信しています。

この根本的な問題を解決するためには、新たな国際的な法体系、いわば「Lex Informatica（情報法）」とでも呼ぶべき、グローバルな執行力を持つ枠組みが必要です。しかし、その壮大な目標の実現を待つ間に、私たちに何ができるでしょうか。

私たちは、企業に対して「プライバシーの尊重は競争上の弱点ではなく、長期的な成功の原動力である」と粘り強く説得しなければなりません。そしてそのためには、消費者自身にプライバシーの価値を啓発し、彼らが日々の選択において、データ保護を真摯に実践する企業を積極的に支持するよう促す必要があります。それこそが、企業が自発的にコンプライアンスを重視するようになる、最も効果的で、市場原理に根差した道だと私は考えています。

データ移転メカニズムと消費者の救済：二つのアプローチ

Hiroshi: データ移転を可能にする仕組みには、歴史的に様々なアプローチが存在します。APEC地域で発展してきた越境プライバシールール(CBPRs)や、多国籍企業がグループ内で利用する拘束的企業準則(BCRs)、そして広く使われている標準契約条項(SCCs)といった枠組みがあり、これらの異なる地域や制度間での相互運用性が長年にわたり議論されてきました。また、EUの「十分性認定」は、特定の国がEUと同等の十分な保護水準にあると公式に認める、非常に強力なメカニズムです。

しかし、一人の消費者の視点から見ると、これらの仕組みは極めて複雑です。例えば、日本のグローバル企業が、ある顧客の個人データを海外の拠点に移転する場合を考えてみましょう。その移転先がEUの十分性認定を受けている国なのか、あるいはCBPRsに参加している国なのかなど、移転先の法制度によって異なる評価と対応が必要になります。消費者がこの全体像を理解し、自らの権利を行使することは非常に困難です。

消費者の「救済」という観点では、大きく分けて「リスクベース」のアプローチと「損害ベース」のアプローチという、二つの考え方が存在します。

EUのGDPRは、前者のリスクベースのアプローチを採用しており、個人データが不正に利用される具体的な「リスク」が存在するだけで、当局が調査に乗り出し、差し止めなどを命じることができます。これに対し、米国では、後者の損害ベースのアプローチが主流です。これは、消費者がプライバシー侵害によって具体的な「損害」を受けたことを自ら証明しなければ、裁判で救済を得ることが難しいという考え方です。

プライバシー侵害における損害は、金銭的なものとは限らず、精神的苦痛や社会的信用の失墜といった形のないものも含まれますが、それを法廷で客観的に立証するのは、極めて困難な作業となります。

韓国における救済制度の現実と集団訴訟の不在

Byungil: 韓国の具体的な事例を通じて、消費者が救済を求める上で直面する制度的な課題についてお話しします。韓国には、個人情報紛争調停委員会や、裁判外の行政救済手段といった制度が設けられていますが、これらが常に消費者の期待通りに、効果的に機能しているわけではありません。

私たちは以前、国内の通信大手3社が個人情報を不適切に処理しているとして、紛争調停を申し立てました。最終的に、委員会は私たちの主張を認め、企業側に是正を命じましたが、最初の申し立てから最終的な回答を得るまでに1年以上を要することもあり、これを「タイムリーな救済」と呼ぶことは到底できません。

訴訟は、ユーザーが自らの権利を主張し、救済を求めるための重要な手段ですが、ご存知の通り、多くの時間と費用がかかり、必ずしも有利な結果に終わるとは限りません。私たちは、ある企業に対して個人情報の匿名化処理が不十分であるとして、その停止を求める訴訟を起こし、一審では勝訴しましたが、最終的に最高裁判所でその判決が覆されてしまいました。

韓国の制度における最も深刻な欠陥は、多くの被害者がそれぞれ少額の損害を被る典型的な個人情報侵害事件において、効率的に被害者を救済するための「集団訴訟制度」が存在しないことです。消費者団体などが被害者に代わって訴訟を起こせる「代表訴訟」という制度は存在しますが、その利用要件が厳しすぎる上に、損害賠償の請求には利用できないという致命的な制約があるため、これまで一度も活用されたことがありません。

韓国において、消費者のための効果的で実効性のある損害賠償制度を確立するためには、集団訴訟または代表訴訟制度の抜本的な改善が不可欠です。

グローバルな救済メカニズムの複雑性と消費者保護の原点

Javier: 企業も消費者も、国境を越える自由なデータの流れから、計り知れない利益を得ています。しかし、問題が発生した際に、一人の消費者がどこに助けを求めればよいのかが非常に分かりにくいというのが、グローバルなデジタル社会の偽らざる現状です。

私たちは、世界中の様々な救済メカニズム（仲裁、行政への苦情申し立て、訴訟など）を調査しましたが、そこには多くの共通した課題が見つかりました。情報へのアクセスが制限されていること、高額な訴訟費用、言語の壁、そして何よりもデータ保護当局の権限やリソースが不足していることなどです。EUが導入した先進的な「ワンストップショップ」制度でさえ、実際には複数の国の当局間での複雑な調整が必要となり、必ずしも消費者にとって簡単で迅速な解決策にはなっていないのが実情です。

このような複雑な状況の中で、私たちが立ち返るべきは、国連が40年以上前に採択した「消費者保護に関する指針」という基本原則です。この指針は、効果的な消費者救済へのアクセスが、国籍を問わず全ての消費者に保証されるべきであると明確に述べています。

私たちは、この普遍的な原則に基づき、よりグローバルな視点から、誰もが利用しやすく、実効性のある救済メカニズムを構築していく必要があります。例えば、少額の被害を迅速に解決するための裁判外紛争解決手続(ADR)の活用を国際的に推進したり、あるいはカナダの先住民データのような、個人を超えたコミュニティ全体の権利をどう保護していくかといった、新たな視点も重要になります。

企業の取り組みと信頼構築に向けたテクノロジーの活用

Natascha: 多くの先進的な企業は、単に法律を遵守するという最低限のレベルにとどまらず、消費者からの長期的な信頼を構築するために、プライバシー保護に真摯に取り組んでいます。その一つの具体的な現れが、透明性の確保です。消費者が、自身のデータがどのように、そしてなぜ利用されているのかを知り、万が一苦情を申し立てたい場合にどこに連絡すればよいのかを、可能な限り分かりやすく示すという取り組みが進められています。

GDPRの下では、消費者はまず企業（データ管理者）に直接、データの訂正や削除を求めることができます。私たちの経験上、多くの場合、問題は事業者との誠実な対話によって解決します。なぜなら、消費者の多くは、何年も裁判で争うことよりも、迅速かつ納得のいく形での問題解決を望んでいるからです。

企業側も、この権利行使のプロセスをより効率的かつ円滑にするために、テクノロジーの活用を積極的に進めています。例えば、世界中の異なる法制度（EUのGDPR、米国のカリフォルニア州法など）に横断的に対応し、消費者が簡単なウェブフォームからデータ開示請求などを直感的に行えるツールや、AIを活用して膨大なデータの中から個人の情報を正確に特定し、安全に削除するソリューションなどが導入されています。

テクノロジーは、消費者が自らの権利をより簡単に行使できるよう支援し、企業が説明責任を果たす上で、今後ますます重要な役割を担っていくでしょう。

結び：使いやすさと予防、そして市民社会との連携

Guido: 私たちは、「データ保護」という概念を、一つの製品やサービスのように捉え直し、その「使いやすさ（ユーザビリティ）」について真剣に考える必要があります。人々がFacebookやTikTokを日常的に利用するのは、それらが非常に使いやすいからです。データ保護も同様に、人々が複雑な手続きなしに、ワンタップで自らの権利を守れるような、シンプルで直感的なユーザー体験を設計すべきです。

Natascha: 救済措置は、問題が起きてしまった後の対応であり、それでは遅すぎます。私たちは、事後対応だけでなく、問題が起きる前の「予防策」、つまり組織の説明責任の明確化や、製品開発の初期段階からプライバシーを組み込む「プライバシー･バイ･デザイン」の原則に、より一層焦点を当てるべきです。

Javier: 消費者団体やNGO、市民社会が、データ保護当局とより緊密に協力し、パートナーとして連携することが不可欠です。市民社会からの情報提供は、当局が水面下で起きている新たな問題を発見し、調査を開始する上で、非常に有益な情報源となります。

Amy: 本日の示唆に富む議論では、真の消費者保護を実現するためには、規制当局、学術界、産業界、そして市民社会といった、全てのステークホルダー間の継続的な協力と対話が不可欠であることが、改めて明らかになりました。皆様の貴重なご意見に、心より感謝申し上げます。

以上

===

◆ 関連記事
[Vol.1]GPA 2025 ソウル 開会セッション ── 基調講演
[Vol.2]AI時代のグローバル･データガバナンス 
[Vo.3]実践における合成データ──機会と課題
[Vol.4]AIが医療サービスとプライバシーに与える影響
[Vol.5]基調講演──EUにおけるAI規制とデータ保護の調和
[Vol.6]AI時代のデータ保護法と法的根拠──世界の規制当局が語る最前線
[Vol.7]データ保護機関(DPA)の新規設立と制度化
[Vol.8]基調講演──ヒューマン･フラッキングとプライバシーの未来
[Vol.9]AIは「エージェント」の時代へ──未来のプライバシーを考える
[Vol.10]AI時代のルールメイキング──規制とイノベーションの共存
[Vol.11]プライバシーは「人間性の未来」──OpenAIが描くAIとの共存
[Vol.12]越境データ移転における相互運用性の強化
[Vol.13]データ保護における救済と相互運用性──消費者の視点から←この記事
[Vol.14]AI時代の健康データ活用とプライバシー──イノベーションと社会的信頼の両立
[Vol.15]AI医療とプライバシー──健康データ「二次利用」の最前線
[Vol.16]AI医療と規制当局──いかにして「公衆の信頼」を築くか

===

＜＜前へ：越境データ移転における相互運用性の強化
＞＞次へ：AI時代の健康データ活用とプライバシー──イノベーションと社会的信頼の両立

===

GPA 2025公式サイト：https://gpaseoul.kr/

#AIガバナンス　#AI利活用　#プライバシー　＃GPA　#プライバシーガバナンス　#データガバナンス　#AI　#プライバシー保護　#LexInformatica　#情報法　#執行　#コンプライアンス　#越境データ移転　#消費者保護　#相互運用性　#CBPRs　#十分性認定　#標準契約条項　#BCRs　#SCCs　#裁判外紛争解決手続