一般社団法人Privacy by Design Lab
JIPDEC　客員研究員
代表理事　栗原 宏平氏

• PDFファイル

本年はわが国で4月1日に施行された改正個人情報保護法に限らず、各国でデジタル規制の進展が著しい一年だった。特に欧州のデータ保護規制については、GDPR（欧州一般データ保護規則）の下で執行件数が大幅に増加している。IT-Report 2020執筆時にはGDPR施行後の2年半で435件（2020年11月8日時点）の制裁が行われていると紹介したが、2022年には1,439件（2022年10月16日時点GDPR Enforcement Trackerより）まで拡大しており、約2年間で1,000件近くの制裁事例が増加したことになる。

デジタル規制については、欧州に限らず、米国、英国でも2年前のレポート寄稿以降に大幅な議論の進展があり、各国が新しい制度設計に向けて議論を進めている。今回のレポートでは2020年以降からの欧米各国の動向も踏まえつつ、2023年に向けて事業者が注目すべきポイントを整理してお伝えする。

欧州では2022年に入るまで主に4つの重要なデジタル関連の制度設計について議論が行われてきた。1つ目が2018年に施行されたGDPRに関する内容、2つ目が主にDSA（デジタルサービス法）、3つ目がDMA（デジタル市場法）、そしてAI法案についてである。

GDPRに関しては、2021年以降各国のデータ保護機関による制裁内容よりも、主に欧州域内の越境データ移転における適切な執行が議題に上がることが多く、GDPR第56条に定められている、代表のデータ保護機関（LSA）による執行（ワンストップショップ制度）が法の下で適切に行われているのかを検討する議論がさかんに行われている。

特に大手テクノロジー企業に対する制裁に関しては、税制上の理由からアイルランドにテクノロジー企業の欧州本社が集中していることもあり、アイルランドのデータ保護機関に対して適切な制裁を行うように、他国のデータ保護機関から強く要求が行われるケースも数多く見られるようになった。

代表のデータ保護機関による執行が適切に行われないケースに対して、各国のデータ保護機関が参加し意思決定を行う機関である欧州データ保護委員会は、アイルランドのデータ保護機関に代わって制裁を要求するような動きを見せている。具体的には2021年の夏のWhatsAppに対する制裁である。この手法は包括的な制裁と呼ばれ、欧州データ保護委員会が各国のデータ保護機関で行われている議論に介入して制裁を実施するケースである。

GDPRに加えてDSAおよびDMAが欧州委員会から提案されている背景としては、大手テクノロジー企業に対する欧州域内での執行が適切に実施されていないのではないかという懸念が大きく関わっている。GDPRとの執行体制を両法案で比較すると、各国のDPAに執行を依存する分散型の体制をもとに設計されたGDPRに対して、DSAおよびDMAに関しては欧州委員会が域内での紛争解決に当たる中央集権型の体制の整備を進めている※1。
AI法案に関しても同様の方向性で議論が進められており、今後はデジタル規制がそれぞれ相互に連携し、適切な執行を行うための体制と制度作りに注力することを念頭に置いている。

• 1　16 June - Breakout 3 - Less OSS? Learning from the recent Commission proposals

米国では2022年に入るまで、連邦プライバシー法を軸にした議論が継続して行われてきた。加えて、米国内の各州で独自のプライバシー法が数多く制定され、特にカリフォルニア州では2020年に施行されたCCPA（カリフォルニア州消費者プライバシー法）に加えて、2020年に住民投票で可決したCPRA（カリフォルニア州プライバシー権法）が2023年に施行されることから、施行に向けた準備が進められている。CCPAの下での執行事例も数多く報告されるようになってきており、施行から8月24日時点のアップデートで40件が紹介※2されている。

さらに、これまでプライバシー事案については慎重であったFTC（連邦取引委員会）による制裁件数も徐々に増加し始めており、米テキサス州の中絶禁止法に関する議論が始まって以降、デジタルサービスに対するプライバシー強化の声が高まってきており、政府による民間企業への要請がより強く求められるように変わってきている。

越境データ取引に関しては、2020年に欧州司法裁判所によって不当であると判決が下された米欧のプライバシーシールドの問題を受け、バイデン政権へ移行して以来、両国の代表者が水面下で交渉を進めており、円滑に越境データ移転を行うことができる対策を足元で検討してきている。

• 2　CCPA Enforcement Case Examples

英国では2020年のブレグジット以降、英国と欧州間でデータ移転を行うための十分性認定の取付けと、英国内でのGDPRに類似した法律をもとに運用を進めてきている。一方で、英国事業者からはGDPR基準が事業者へ過度な負担を強いることになるという声もあり、欧州基準のデジタル規制に対して独自の改革案提出の検討を進めている。

2022年は欧米各国のデジタル規制がより強化され、具体的な法律の解釈も含めて大きな進展があった年になった。

欧州では前段で紹介したようにGDPRの下での制裁が引き続き各国で行われている。2021年まで問題視されていたアイルランドデータ保護機関による制裁は、欧州データ保護委員会による包括的な決定通知により、メタプラットフォーム社に対する580億円の制裁金を9月に発表した。2021年から問題に上がっている欧州域内の越境データ移転への適切な執行を行うため、各国のデータ保護機関は欧州データ保護委員会の呼びかけの下でオーストリアのウィーンで開催された“ウィーン会議”と呼ばれる会合に出席し、今後の執行体制について議論を行った。

欧州各国のデータ保護機関によって“ウィーン会議”で話し合われた内容は“ウィーン宣言”※3として4月28日に発表された。宣言内容を要約すると、3つのテーマに注力していくことがうかがわれる。

①戦略的な執行ケースに注力するために協力体制を推進
②効率的かつ実効性のある執行のための戦略的なケースの決定
③国ごとの異なる法制度を前提とした執行実務における救済措置

これまでは巨額の制裁金を始めとして、GDPR自体を広く周知するような動きを中心に進めていたが、データ保護戦略を周知から実務的な執行体制へと転換したことが2022年に決定された最も大きな動きである。

ウィーン会議で話し合われた執行手続きに関する課題は、10月10日に欧州委員会のディディエ・レンデルス司法委員へ、欧州委員会より一覧リストとして通達され※4、欧州データ保護委員会（EDPB）が、現存の課題を踏まえつつ欧州全域での執行体制の強化を欧州委員会に報告している。欧州委員会に通達された執行手続きの課題は以下の5つの点について言及している。

①関連組織による管理手順
②手続きの締切り
③申立てに対する認可および拒否の要求範囲
④執行機関による調査能力
⑤実務的な協力手順

この決定に加えて、欧州データ保護委員会および欧州データ保護監察機関（EDPS）は9月12日に欧州議会、および欧州評議会に対して追加人員に対する予算要求※5を行い、以下の3点の強化を行うと公表している。

① 欧州データ保護委員会の人員を現在の40人から8名増やして、より強固な執行体制を強化する
② テクノロジー領域での執行のための十分な知見を強化する
③ GDPRに適応するための法的なガイダンスの発行を強化する

欧州全域の動きとしては、2022年は“ウィーン会議”を起点とし、域内での執行および協力体制の強化へと戦略を大きく変化させ始めている。

2020年12月に欧州委員会によってデジタルパッケージ法案として提出されたDSA、DMAについては、DMAが3月24日、DSAが4月23日に欧州議会および欧州評議会によって暫定合意に至った※6,7。
この暫定合意によって、大規模プラットフォーム事業者および、大規模検索エンジン提供事業者への要求がより厳しくなる動きが進んでいる。今後は、欧州議会および評議会の代表者によってそれぞれ署名が行われたのちに欧州連合官報が発行され、15カ月の期間を経て有効化される予定である。

• 3　Statement on enforcement cooperation
• 4　edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0
• 5　22-09-12_edps-edpb-open-letter-budget-2022_en
• 6　Digital Markets Act (DMA): agreement between the Council and the European Parliament
• 7　Digital Services Act: Council and European Parliament provisional agreement for making the internet a safer space for European citizens

• 8　Deal on Digital Markets Act: EU rules to ensure fair competition and more choice for users
• 9　Digital Services: landmark rules adopted for a safer, open online environment
• 10　Digital Services Act: agreement for a transparent and safe online environment
• 11　The Digital Markets Act: ensuring fair and open digital markets
• 12　The Digital Services Act: ensuring a safe and accountable online environment
  

2021年4月に欧州委員会によってAIパッケージとして提出されたAI法案は、欧州議会内で2020年9月に発足した「デジタル時代の人工知能に関する特別委員会」（AIDA）からの最終提案内容を欧州議会が3月5日（土）に採用を発表※13し、9月末にAI法案に関するとりまとめを内部市場および消費者保護に関する委員会（IMCO）および市民の自由・司法・内務委員会が共同で実施すると発表している。欧州委員会は欧州議会からの要請を受けて、9月28日に「AI責任指令」※14のホワイトペーパーを公開しており、指令の中では、想定されるAIによって発生した問題に対する被害者救済の観点や法規制の対象を明確にすることを前提に、法的責任を求めることが発表されている。

• 13　Artificial intelligence: MEPs want the EU to be a global standard-setter
• 14　Proposal for a Directive on adapting non contractual civil liability rules to artificial intelligence

米国では2022年に入り連邦プライバシー法に関する議論が活発に行われている。6月14日に下院エネルギー・商業委員会で実施されたヒアリング※15で、非公式なディスカッション用ドラフトとして米国データプライバシー保護法（ADPPA）案が委員メンバーによって連邦法への提案として支持されたことが発端になり、連邦プライバシー法に関する議論がさかんに行われるようになった。
連邦法への提案に関しては、上院および超党派の委員から支持※16を受け、消費者保護を中心として以下の3点を軸に議論が行われた。

①簡潔でわかりやすい英語を用いたプライバシーポリシーやプライバシー通知の採用
②米国データプライバシー保護法の専占規定
③私的な権利行使の範囲

米国データプライバシー保護法案はフランク・パロン下院議員を議長とし※17党派議員からの支援を受けながらも、一部民主党議員からは提案に対して反対する意見も上がっている。カリフォルニア州選出のナンシー・ペロシ下院議長は自身のHPで9月1日にステートメント※18を発表し、提出されている法案はカリフォルニア州のプライバシー関連法と比較すると消費者保護を保証できるものではないと反対する意見を述べている。
子供や金融等の特定の分野に囚われない一律の連邦プライバシー法の制定のためには、各州で異なるプライバシー州法の基準を一定数揃えていくことが必要になるため、各論で議論が止まっている状況である。

一方、2020年に欧州司法裁判所で不当であると判決が下された欧州と米国間での越境データ移転フレームワークであるプライバシーシールドに関しては、バイデン政権へ変わった後に水面下の交渉が始まり※19、新たな進展があった。
3月25日に米国ホワイトハウスはプライバシーシールドに代わるTrans-Atlantic Data Privacy Frameworkについて、欧州委員会とともに両国間で事業者が円滑にデータ移転を行うことができるように協力して取り組むと発表※20した。ホワイトハウスが発表した内容では、以下の3点について米国政府は積極的に取り組むと明言している。

①米国政府による通信などの傍受に基づく諜報活動（SIGINT）※21を統制し、プライバシーと市民の自由を強化
②独立して包括的な是正の仕組みを設置
③既存の通信などの傍受に基づく諜報活動に対する階層型で厳格な監督体制をより強化

10月７日にはバイデン大統領によって米国による通信などの傍受に基づく諜報活動への安全性強化に対する大統領令に署名が行われたとホワイトハウスが発表※22した。この署名によって、米国欧州間でのデータ移転のフレームワークに対する米国の姿勢が明確になり、欧州委員会は米国に対する十分性認定に向けたドラフトの発行を進めると公表※23した。今後は、欧州データ保護委員会および各国のデータ保護機関、そして欧州議会による審査を経て欧州委員会による十分性認定の発行が認められることになる。

米国国内各州の動きに目を向けると、CPRA（カリフォルニア州プライバシー権法）の施行を2023年に控えたカリフォルニア州では州独自の取組みが活発に議論されている。中でも子供のプライバシーに関する議論が進展し、9月15日にカリフォルニア州知事ギャビン・ニューサム氏の署名※24により年齢適正デザインコード法（Age-Appropriate Design Code Law）が成立※25した。
この法律は英国GDPR内の規定で2021年9月に有効になったAge-Appropriate Design Codeを参考に設計されており※26、CCPA（カリフォルニア消費者プライバシー法）を拡張するものであるとされている。米国内では2022年までに5つの州でプライバシー法が制定され、6つの地域で法制度について議論が行われており※27、引き続き各州でプライバシー法に関する議論が続いていくと考えられる。
FTCは、5月19日に声明を発表※28し児童オンラインプライバシー保護法（COPPA）※29による執行を昨今の状況を鑑みて、強化する方針であると発表した。特にデジタル広告市場ではあたり前になりつつあるターゲティング利用に対する制限等の動きが強化されるのではないかと考えられる。さらに、医療情報や正確な位置情報等に関しても強固な姿勢を見せて対応していくと発表しており、来年にかけても具体的な執行例が出てくるのではないか※30と考えられる。

• 15　House and Senate Release a Bipartisan U.S. Federal Privacy Bill
• 16　Proposed Federal Privacy Law Hearing Reveals Progress and Sticking Points
• 17　Bipartisan E&C Leaders Hail Committee Passage of the American Data Privacy and Protection Act
• 18　Pelosi Statement on Federal Data Privacy Legislation
• 19　Biden appoints Christopher Hoff to oversee Privacy Shield talks
• 20　FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework
• 21　デジタル・フォレンジック研究会　第382号コラム：佐々木 良一　会長（東京電機大学　未来科学部　情報メディア学科　教授）題：「3つのインテリジェンス」
• 22　FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework
• 23　Questions & Answers: EU-U.S. Data Privacy Framework
• 24　Governor Newsom Signs First-in-Nation Bill Protecting Children’s Online Data and Privacy
• 25　California Age Appropriate Design Code Bill (AB 2273)
• 26　Keeping Children Safe Online: the California Age-Appropriate Design Code Act vs the UK Age-Appropriate Design Code
• 27　2022 State Privacy Law Tracker
  A comprehensive resource for tracking U.S. state privacy legislation.
• 28　Statement of Chair Lina M. Khan
  Regarding Policy Statement on Education Technology and the Children's Online Privacy Protection Act
  Comm'n File No. P155401
• 29　15 USC Ch. 91: CHILDREN'S ONLINE PRIVACY PROTECTION
• 30　Location, health, and other sensitive information: FTC committed to fully enforcing the law against illegal use and sharing of highly sensitive data

英国ではICO（情報コミッショナーオフィス）の代表に、ニュージーランドで2014年2月から2021年12月までプライバシーコミッショナーを務めたジョン・エドワード氏が就任し、1月4日より新代表として活動※31を行っている。各国との連携に関しては、7月にはICOと韓国個人情報保護委員会との連携に関する覚書を締結※32したことに加えて、英米2国間での犯罪抑止の観点からデータアクセスへの合意が7月21日に声明として発表※33され、10月3日に有効となった。この合意内容に関しては、英国と米国2国間でのデータ取引の合意が、英国を経由して米国へとデータが流通するオンワードトランスファーに該当するのではないかという懸念※34も表明されており、英国と欧州間での十分性認定に関しては引き続き議論が行われていくと考えられる。

英国内では英国デジタル・文化・メディア・スポーツ省を中心として、2020年12月に公表された英国の国家データ戦略※35をもとに2021年9月10日から同年11月19日まで英国のデータ保護法の見直しについて議論が行われており※36、研究開発でのデータ利用等より開かれたデータ利用※37に向けた内容を軸に検討が進められている。2022年9月のトラス政権発足後に、欧州の規制との整合性を踏まえて一時的に議論が中断している※38が、現スナク政権において、今後の英国データ保護法制度がどう進んでいくのか、欧州との十分性認定に対する影響を含め、注目が集まっている。

• 31　New UK Information Commissioner begins term
• 32　Memorandum of Understanding between the Information Commissioner for the United Kingdom of Great Britain and Northern Ireland - and -
  the Personal Information Protection Commission of the Republic of Korea
  
• 33　Policy paper
  Data Access Agreement: joint statement by the United States and the UK
• 34　The UK-US Data Access Agreement and EU adequacy decision 8.8.2022
• 35　Policy paper
  National Data Strategy
• 36　Consultation outcome
  Data: a new direction - government response to consultation
• 37　New data laws to boost British business, protect consumers and seize the benefits of Brexit
• 38　UK pauses data reform bill to rethink how to replace GDPR

2022年は欧米各国でデジタル関連規制について大きな動きがある1年であった。特に欧州政府による戦略変更は欧州域内で事業を展開する事業者にとっては大きな動きの一つであると考えられるため、引き続き注視していく必要があると考えられる。ここからは各地域の状況に合わせて、2023年度に事業者が取り組むべきポイントについて解説していきたい。

2023年は引き続きGDPRの下で欧州域内での執行が積極的に行われるであろうと考えられる。各国のデータ保護規制への対応に加えて、越境データ移転への制裁強化をウィーン会議では発表し、欧州データ保護委員会イサベル・ベレッケン氏への弊社インタビュー内では公共分野でのクラウドコンピューティング利用について調査も実施していくと回答している。欧州域内でのクラウド利用は拡大する一方、フランス政府がMicrosoft365の利用を禁止する等※39、国独自のクラウドサービスを採用する等の動きが来年度も加速するのではないかと考えられる。一方でドイツでは、サイバーセキュリティ法の下でクラウドサービスへの認証制度※40を検討する等の動きも出てきており、事業者としては欧州全域での動きと国ごとの対応を並行して理解する必要性が高まってきている。さらに欧州域内での認証制度に関しても議論が始まっており、欧州データ保護委員会は6月22日に越境データ移転の認証ツールに関するガイドラインを発表※41しているので、十分性認定の範囲外で越境データ移転を実施している事業者については、欧州データ保護委員会の動向に関しても注視することが望ましい。
DSAに関しては、15カ月の期間もしくは2024年1月※42に欧州全域で施行されることになるため、2023年は対象となる事業者の施行までの対策や動向が大きなテーマになると考えられる。対象事業者のサービス仕様やポリシーの変更等の動きが出る可能性もあるため、すでにDSAの対象になる事業者との取引がある場合は動向に注目する必要がある。
その他のデジタル法案に関しては引き続き動向を注視していく形になると思うが、9月22日に欧州委員会フォン・デア・ライエン委員長より発表された“STATE OF THE UNION 2022※43”の中で、メタバース等のデジタル空間における新しい取組みを推進していくとも発表されているため、データ保護規制を含めた動きに関しては、メタバース関連の事業を取り組む事業者も注視していく必要があると思われる。

• 39　French Government has banned the use of Microsoft 365
• 40　Germany calls for political discussion on EU’s cloud certification scheme
• 41　Guidelines 07/2022 on certification as a tool for transfers Version 1.0
  
• 42　The Digital Services Act package
• 43　STATE OF THE UNION
  LETTER OF INTENT

2023年は欧州との越境データ移転フレームワークおよび十分性認定についての具体的な回答が出ると考えられるため、日本の事業者への直接的な影響は少ないと考えられるが、米国政府による諜報活動を容認する法律へどこまで影響があるかは今後注目される。欧米越境データ移転フレームワークが欧州政府、もしくは欧州司法裁判所によって再度不採用になる可能性もある。その場合に、米国政府が代替案として何を交渉材料にするのかは注目である。
米国国内では引き続き各州でプライバシー法についての議論が進んでいくと考えられるが、中でもカリフォルニア州に関してはより厳しい制裁が行われると考えられる。8月24日にはフランスのLVMHモエ・ヘネシー・ルイ・ヴィトン傘下セフォラに対し、CCPA違反による和解がカリフォルニア州司法長官より公表され120万ドルの支払いで合意する※44ことになった。今回は利用者の要求に基づいて情報公開を行うオプトアウト権に反して個人データを販売したことが問題になったケースであり、司法長官のロブ・ボンタ氏はカリフォルニア州の事業者に対してCCPAへの対応を強く求めると発表している。
各州での制裁はカリフォルニア州だけに止まらず、イリノイ州のBIPA（生体情報プライバシー法）を下にした集団訴訟ケースも増加しており、各州で行われている集団訴訟の判決内容について調査しておくことも事業者にとっては重要である。
年齢適正デザインコード法については2024年7月1日施行予定であるが※45、公表された法案では子供の利益（18歳以下）を守るデータ保護影響評価を求めており、児童オンラインプライバシー保護法（COPPA）で定められている13歳未満※46よりも対象が広いため注意が必要である。日本の個人情報保護法での対象とは異なる要素が求められる点もあるため、ゲーム系の事業者を始めとして、子供のデータを取り扱う事業者は事前対策が必要になると考えられる。FTCの対応に関しても、医療や正確な位置情報に関する利用に対してこれまで以上に対策を強化していくと発表しており、個人データを取り扱うことを前提としたビジネスモデルを米国全土で展開する際には、これまで描いていたプライバシーコンプライアンス対策を見直していくことも必要になると考えられる。

• 44　Attorney General Bonta Announces Settlement with Sephora as Part of Ongoing Enforcement of California Consumer Privacy Act
• 45　AB-2273 The California Age-Appropriate Design Code Act.
  
• 46　15 USC Ch. 91: CHILDREN'S ONLINE PRIVACY PROTECTION

英国国内のデータ保護法の改正案が、欧州の十分性認定を満たすものになるのか否かが非常に重要なポイントである。データ保護制度に加えて、英国内ではプライバシー強化技術に関する調査も積極的に行っており、9月7日に情報コミッショナーオフィスはプライバシー強化技術に関するガイダンスを発表※47した。ガイダンスの中では、プライバシー強化技術を導入することによる影響を事前に評価することを求めており※48、導入ケースに合わせて適切な技術評価を実施することが必要になる。

• 47　ICO publishes guidance on privacy enhancing technologies
• 48　Chapter 5:Privacy-enhancing technologies (PETs)

2022年は欧米各国で新たな動きが始まる重要な1年になった。事業者にとっては、データ保護法の下で求められる対応がより厳しくなることに加えて、国ごとの対応は依然として異なるため、コンプライアンスコストが増加することが見込まれる。
2020年に不当であると判決が下ったプライバシーシールドに関しても、ここに来て新しい動きが始まってきている。各国の法制度に加えて、越境データ移転の問題はより深刻になっていくと考えられるため、事業者内でデータマッピング等の施策を行い適切なデータ管理が実施されているかどうかを早期に把握することが必要になる。
さらに今年からデータ保護規制の強化に加えて、プライバシー強化技術の導入に向けた議論も前進しつつある。9月8日にドイツのボンで開催されたG7プライバシー機関ラウンドテーブル※49では、プライバシー強化技術についても議論※50が行われ、各国のデータ保護機関の連携のもと技術的な対策についても具体的な指針が示されていくのではないかと考えている。

• 49　令和4年9月「第2回G7データ保護・プライバシー機関ラウンドテーブル会合」
• 50　G7データ保護・プライバシー機関ラウンドテーブル－コミュニケ－
  2022年9月8日
  信頼性のある自由なデータ流通の促進及び国際データスペースの展望に関する知識の共有