一般財団法人日本情報経済社会推進協会
電子情報利活用研究部　調査研究グループ　グループリーダ　松下　尚史

• 「IT-Report2025 Spring」全文はこちらから別ウインドウで開く

Institutional Arrangement for Partnership（略称：IAP）という取り組みをご存じでしょうか。少々月日は遡りますが、2023年12月１日、G7群馬高崎デジタル・技術大臣会合をデジタル庁・総務省・経済産業省が共同で開催したことは記憶にある人も多いのではないでしょうか。その会合において、G7構成国・地域のほか、関係国際機関が参加し、広島AIプロセスおよびDFFT（Data Free Flow with Trust：信頼性のある自由なデータ流通）について議論した結果、閣僚声明および附属書が採択され、DFFT具体化のための国際枠組みとしてIAPが設立されることになりました。枠組みは図1のとおりです。

G7は、IAPが個人情報および非個人情報の越境データ流通の促進を実用的かつ実質的に支援する、という独自の価値を提供することを想定し、

• データに関する既存の規制要件に完全に準拠したデータフローを可能にするための互換性のあるポリシー、ツール、およびプラクティスの開発
• DFFTの主な障害と課題に関する共通知識と解決策を開発し、提案する
• PETs（Privacy enhancing technologies：プライバシー強化技術）や国際プライバシーフレームワークなど、DFFTに関連する技術開発
• モデル契約条項や国際プライバシーフレームワークなどの認証メカニズムなど、DFFTを可能にする法的慣行

などについて議論を行うことが付属書¹に示されています。

さらに、2024年6月のG7プーリアサミットにおいては、DFFTの具体化およびIAPが歓迎されるとともに、機微データの保護や安全に関する論点も提起されました。

2024年9月3日に自民党政務調査会経済安全保障推進本部が公表した「技術流出防止など経済安全保障上の重要政策に関する提言」では、データセキュリティの確保として「DFFTの提唱国としてIAP及び二国間・多国間の様々な機会をとらえ、データの越境移転を前提としたデータガバナンスにおける国際協調を図りつつ、日本企業のニーズを踏まえた上で、今後のデータセキュリティに関する国際的な議論を主導すべきである」とIAPを含めたさまざまな機会でデータガバナンス・データセキュリティについて主導していく旨が言及されています。

データガバナンスについては、すでに国際規格であるISO/IEC38505-1:2017が発行されており、JIPDECの過去のレポートでも規格の概要について紹介²されていますので、そちらのレポートをご参照ください。

他方、データセキュリティとはどのようなものでしょうか。2024年11月25日に開催された第１回データセキュリティワーキンググループ（デジタル庁）の事務局資料によると「自社が取得・保有するデータに付随する法益を実効的に保護していくために、焦点を“情報システム”から“データそのもの”に移し、システムの設計や調達準備段階で、適切な技術の実装やデータの取り扱いに関する手順・プロセス実装を評価すること」³と記載されています。イメージは図2のとおりです。

• 1　［仮訳］附属書：「DFFT具体化のための国際枠組み（Institutional Arrangement for Partnership: IAP）の設立及びG７の期待に関するコンセプトペーパー」（2023年12月１日、デジタル庁）別ウインドウで開く
• 2　「データガバナンスの背景と新規格ISO/IEC38505-1「データガバナンス」について」（2017年11月29日、JIPDECセミナー講演レポート）別ウインドウで開く
• 3，4　「データセキュリティワーキンググループ」（デジタル庁）別ウインドウで開く

データセキュリティについては、デジタル庁が策定を進めている「データガバナンス・ガイドライン（案）」においても記載される予定となっています⁵。

データセキュリティの実装ということを考えると、データそのものを暗号化／秘匿化するなどの技術が想起されますが、その代表的なものとしてよく耳にするものがPETsではないでしょうか。

国内では、2024年5月21日に自民党政調調査会デジタル社会推進本部より公開された「デジタル・ニッポン2024－新たな価値を創造するデータ戦略への視座－⁶」では、「ビジネスと制度の対立関係を解消し、我が国の国民生活や経済社会の発展に大きく貢献する可能性がある」としてPETsが言及されており、個人情報保護法における3年ごと見直し検討の充実に向けたヒアリングでは、一般社団法人日本経済団体連合会より「PETsの社会実装の促進に向けた運用体制・基準・法制度の在り方等に関する検討を進めるべき」との意見⁷も出ています。

国外では、OECDが2025年2月5日に公表した「Enhancing Access to and Sharing of Data in the Age of Artificial Intelligence⁸」において「プライバシー及びデータガバナンスの枠組みに従ったPETsの適切な利用などは、信頼を強化できる場合において、個人データ及び非個人データの国境を越えたアクセス及び共有の条件を改善することに役立つ」とも記載されており、個人情報保護委員会が実施した調査報告書⁹でもさまざまな国・地域で検討が進められています。

• 5　 データセキュリティワーキンググループは、国際データガバナンスアドバイザリー委員会および国際データガバナンス検討会の下に設置されているが、同じ形で設置されている産業データサブワーキンググループが2025年1月27日に公表した「産業データの越境データ管理等に関するマニュアル」において、データガバナンス・ガイドライン（案）とそこにデータセキュリティが記載される旨が記されている。別ウインドウで開く
• 6　「 デジタル・ニッポン 2024」（2024年５月21日、自由民主党政務調査会デジタル社会推進本部）別ウインドウで開く
• 7　「3年ごと見直しの検討の充実に向けたヒアリングにおける意見」（2024年12月5日、一般社団法人日本経済団体連合会産業技術本部）別ウインドウで開く
• 8　「Enhancing Access to and Sharing of Data in the Age of Artificial Intelligence」（2025年2月5日、OECD）別ウインドウで開く
• 9　「欧米主要国におけるプライバシー強化技術（PETs）の利用に関する法制度に関する調査」（2023年３月31日、渥美坂井法律事務所・外国法共同事業）別ウインドウで開く

OECDが2023年3月8日に公表した「EMERGING PRIVACY ENHANCING TECHNOLOGIES CURRENT REGULATORY AND POLICY APPROACHES¹⁰」には、「PETsは、収集制限、利用制限、セキュリティ対策といったOECDプライバシー・ガイドラインの基本的なプライバシー原則を実施する上で役立つ新たな機能を提供します。 また、PETsは、ある程度は個人の参加および説明責任の原則もサポートすることができます。しかし、PETsは、特定の基本的なプライバシー原則の実施を妨げる可能性もあります。

例えば、暗号化されたデータ処理ツールを使用するデータ管理者は、モデルに供給されるデータを“見る”能力を失う可能性があります。これは、個人データが使用目的に関連していること、および、その目的に必要な範囲において正確、完全、最新の状態に保たれていること（データ品質の原則）という必要性に反する可能性があるからです。PETsは『万能薬」的な解決策とはみなされるべきではありません。法的枠組みに取って代わることはできず、その枠組み内で運用されるものであるため、プライバシーおよびデータ保護の権利を保護するためには、法的拘束力および強制力のある義務と組み合わせる必要があります。」と記載されています。

例えば、シンガポールのIMAD（INFOCOMM MEDIA DEVELOPMENT AUTHORITY：情報通信メディア開発庁）は、信頼性の高いデータ共有を促進するための新たなアプローチを模索しており、PETsに特化した二つのプログラムを立ち上げています。シンガポールでは、PETsは大手テクノロジー企業の間で広く使用されています。ユースケースとPETsの適合に関する知識不足、テクノロジー標準やベンチマークの欠如、PETsの使用に関する政策上の不確実性などの障壁があるようですが、これらの障壁の本質を理解し、PETsのさらなる試験運用を通じた解決策を模索しています。

OECDの指摘も踏まえ、このシンガポールの例のように、PETsも含めたデータセキュリティを確保するために政府機関が積極的に関わっていくことは、DFFTの提唱国であるわが国でも今後求められていくのではないでしょうか。デジタル庁が進める国際データガバナンス検討会の取り組みを今後も注目したいと思います。

• 10　「Emerging privacy-enhancing technologies Current regulatory and policy approaches」（2023年3月8日、OECD）別ウインドウで開く