« 経済産業省 「インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク」を実施 (2023.10.16) | Main | 米国 ホワイトハウス 行動への呼びかけ国家が 必要と するサイバー人材の育成 (2023.09.29) »

2023.10.22

カナダ プライバシーコミッショナー C-27(略称2022年デジタル憲章実施法案)についての議論

こんにちは、丸山満彦です。

カナダでは、2022.06.16に消費者プライバシー保護法(Consumer Privacy Protection Act; CPPA)、個人情報およびデータ保護審判所法(Personal Information and Data Protection Tribunal Act; PIPEDA)、人工知能およびデータ法(Artificial Intelligence and Data Act;AIDA)を制定するC-27(the Digital Charter Implementation Act; 2022年デジタル憲章実施法案)が議会に提出され、議論が続いていますが、プライバシーコミッショナーのフィリップ・デュフレーヌが、議会で法案についての説明をしたようですね。。。カナダの個人情報、プライバシー法制の今後の方向性が理解ができるような気がします。。。

法案C27への15の提言の中では、子供のプライバシーとか、AIとかも含めて議論がされていますね。。。

 

The Office of the Privacy Commissioner of Canada;OPC

リリース

・2023.10.19 Privacy Commissioner appears before Parliament to discuss proposals to modernize federal privacy law

Privacy Commissioner appears before Parliament to discuss proposals to modernize federal privacy law プライバシーコミッショナー委員、連邦プライバシー法の近代化案を議論するため議会に出席
Ottawa, ON, October 19, 2023 – Privacy Commissioner of Canada Philippe Dufresne discussed ways to improve and strengthen a Bill to modernize the federal private sector privacy law during an appearance before Parliament today. オンタリオ州オタワ、2023年10月19日 - カナダのフィリップ・デュフレスヌプライバシーコミッショナー委員は本日、国会に出席し、連邦民間プライバシー法の近代化法案を改善・強化する方法について議論した。
Commissioner Dufresne was speaking before the House of Commons Standing Committee on Industry and Technology (INDU) with respect to Bill C-27, the Digital Charter Implementation Act, which would enact the Consumer Privacy Protection Act (CPPA), the Personal Information and Data Protection Tribunal Act, and the Artificial Intelligence and Data Act (AIDA). デュフレーヌ委員は、消費者プライバシー保護法(CPPA)、個人情報およびデータ保護審判法、人工知能およびデータ法(AIDA)を制定する法案C-27「デジタル憲章実施法」に関して、下院産業・技術常任委員会(INDU)で発言した。
“I welcome the opportunity to assist the Committee with its study to help ensure that this legislation will protect and promote Canadians’ fundamental right to privacy, including in the context of artificial intelligence,” said Commissioner Dufresne. デュフレーヌ委員は、「この法案が、人工知能の文脈も含め、カナダ人のプライバシーに対する基本的権利を確実に保護・促進するために、委員会の調査に協力する機会を得たことを歓迎する」と述べた。
Commissioner Dufresne also appeared before the Committee on September 28, 2023, and presented opening remarks. His appearance this week follows recent details that have been provided to the Committee by the Minister of Innovation, Science and Industry about amendments that he plans to propose to the Bill. デュフレーヌ委員は2023年9月28日にも委員会に出席し、冒頭の挨拶を行った。今週の出廷は、イノベーション・科学・産業大臣が法案に提出する予定の修正案について、同委員会に提供した最近の詳細を受けたものである。
Commissioner Dufresne said that he welcomed the Minister’s stated position on the amendments with respect to the proposed CPPA, which address four of the 15 key recommendations of the Office of the Privacy Commissioner (OPC) to strengthen the Bill. These include the Minister’s stated plans to explicitly recognize privacy as a fundamental right; strengthen the protection of children’s privacy; provide more flexibility for the OPC to use compliance agreements to correct privacy behaviours, including through the use of financial penalties; and allow greater cooperation between regulators. デュフレーヌ委員は、CPPAの改正案に関して大臣が表明した立場を歓迎すると述べ、法案を強化するためのプライバシーコミッショナー(OPC)の15の重要勧告のうち4つに対処するものであると述べた。これには、プライバシーを基本的権利として明示的に認めること、子供のプライバシーの保護を強化すること、金銭的罰則の使用を含め、プライバシーの行動を是正するためにコンプライアンス協定を使用するためのOPCの柔軟性を高めること、規制当局間のより大きな協力を可能にすること、などが含まれる。
In his remarks, the Commissioner also highlighted several other ways in which the Bill should be strengthened: また、同委員は、この法案を強化すべき他のいくつかの点にも言及した:
・Require Privacy Impact Assessments for high-risk activities, including AI, to ensure that privacy risks are being assessed and addressed proactively. This is critically important in the case of AI systems that could be making decisions that have major impacts on Canadians. ・AIを含むリスクの高い活動にはプライバシー影響評価を義務付け、プライバシーリスクが評価され、プロアクティブに対処されるようにする。これは、カナダ国民に大きな影響を与える決定を下す可能性のあるAIシステムの場合、決定的に重要である。
・Allow fines for violations of the appropriate purposes provisions under the legislation, which require that organizations only collect, use and disclose personal information in a manner and for purposes that a reasonable person would consider appropriate in the circumstances. ・合理的な人がその状況において適切と考える方法と目的でのみ個人情報を収集、使用、開示することを組織に義務付ける、本法律の適切な目的の規定に違反した場合、罰金を科すことができるようにする。
・Avoid a lengthy and expensive review process by having decisions of the proposed Personal Information and Data Protection Tribunal reviewed directly by the Federal Court of Appeal; or provide the OPC with the authority to issue fines and have the OPC’s decisions reviewable by the Federal Court instead of the tribunal. ・個人情報・データ保護審判法の決定を連邦控訴裁が直接審査することで、長くて費用のかかる審査プロセスを回避する; または、OPCに罰金を科す権限を与え、OPCの決定を審判所ではなく連邦裁判所が審査できるようにする。

・Amend the Bill’s current drafting, which allows the government to make exceptions to the law by way of regulations without the need to demonstrate that those exceptions are necessary – this provides too much uncertainty for industry and for Canadians. ・現行法案の草案では、政府は規制によって法律の例外を設けることができるが、その例外が必要であることを証明する必要はない。- これは、産業界とカナダ国民に不確実性を与えすぎる。

・Ensure appropriate transparency in the way in which organizations are required to explain the predictions, recommendations or decisions that are being made about individuals using automated decision systems, like AI. ・AIのような自動意思決定システムを用いて個人について行われる予測、推奨、決定について、組織が説明することを求められる方法について、適切な透明性を確保する。
These recommendations support the Commissioner’s three strategic priorities for the OPC: addressing privacy impacts of the fast-moving pace of technological advancement, especially in the world of AI and generative AI; protecting children’s privacy; and maximizing the OPC’s impact in fully and effectively promoting and protecting the fundamental right to privacy. これらの勧告は、OPCの3つの戦略的優先事項を支持するものである。技術進歩、特にAIと生成的AIの世界における技術進歩の速いペースがプライバシーに与える影響に対処すること、子供のプライバシーを保護すること、プライバシーに対する基本的権利を完全かつ効果的に促進し保護する上でOPCの影響力を最大化することである。

 

ディフレーヌ・コミッショナーの議会での冒頭陳述内容...

・2023.10.19 Appearance before the Standing Committee on Industry and Technology (INDU) on the Study of Bill C-27

Appearance before the Standing Committee on Industry and Technology (INDU) on the Study of Bill C-27 産業技術常任委員会(INDU)にて法案C-27の調査について発言
Good afternoon, Mr. Chair, Members of the Committee, 議長、委員の皆様、こんにちは、
I am pleased to be back to assist the Committee in its study of Bill C-27, the Digital Charter Implementation Act, which would enact the Consumer Privacy Protection Act (CPPA), the Personal Information and Data Protection Tribunal Act, and the Artificial Intelligence and Data Act (AIDA). I am accompanied by Michael Maguire, Director of PIPEDA Investigations, and Lara Ives, Executive Director, Policy, Research & Parliamentary Affairs. 消費者プライバシー保護法(CPPA)個人情報およびデータ保護審判所法(PIPEDA)、人工知能およびデータ法(AIDA)を制定する法案C-27(デジタル憲章実施法)について、委員会の調査を支援するために再び出席できることを嬉しく思う。私は、PIPEDA調査ディレクターのマイケル・マグワイアと、政策・調査・議会担当エグゼクティブ・ディレクターのララ・アイブスと共に出席する。
When I previously appeared before the Committee three weeks ago, I delivered opening remarks about Bill C-27 and my 15 key recommendations to improve and strengthen the Bill. 3週間前に委員会に出席した際、私は法案C-27に関する冒頭の挨拶と、法案を改善・強化するための15の重要な提言を行った。
Today, I want to briefly highlight and respond to the Minister of Innovation, Science and Industry’s letter to the Committee of October 3, 2023, and to answer any questions that you might have. 本日は、2023年10月3日付の同委員会宛ての革新・科学・産業大臣の書簡を簡単に紹介し、それに回答するとともに、皆様からのご質問にお答えしたい。
I welcome the Minister’s stated position on the amendments being developed with respect to the proposed CPPA, where he seems prepared to agree with four of my Office’s 15 key recommendations. Namely, by explicitly recognizing privacy as a fundamental right; by strengthening the protection of children’s privacy; by providing more flexibility for my Office to use “compliance agreements”, including through the use of financial penalties; and by allowing greater cooperation between regulators. 私は、CPPA案に関して作成されている修正案に関する大臣の立場を歓迎する。大臣には、私の事務局が提案した15の重要勧告のうち4つに同意する用意があるようだ。すなわち、プライバシーを基本的権利として明確に認識すること、子供のプライバシー保護を強化すること、金銭的罰則の使用を含む「コンプライアンス合意」の使用について、より柔軟性を私の事務所に提供すること、そして規制当局間のより大きな協力を可能にすることである。
I also note and commend his statement of openness to further amendments following the study by this committee. また、本委員会での検討後、さらなる修正に前向きであるとの発言にも留意し、高く評価したい。
I would like to take this opportunity to highlight other ways in which the Bill should be strengthened and improved in order to better protect the fundamental privacy rights of Canadians, which are addressed in our remaining recommendations to the Committee. I will briefly highlight 5 of our recommendations that stand out in particular in light of the Minister’s letter, and would be happy to speak to all of our recommendations in the discussion that will follow. この機会に、カナダ人の基本的プライバシー権をよりよく保護するために、法案を強化・改善すべき他の方法を強調したい。これらは、委員会に対する私たちの残りの勧告で取り上げられている。大臣の書簡に照らして、私たちの勧告のうち特に注目すべき5つのことを簡単に紹介する、この後の討論で、私たちの勧告のすべてについてお話しできれば幸いである。
First, Privacy Impact Assessment (or PIAs) should be legally required for high-risk activities, including AI. This is critically important in the case of AI systems that could be making decisions that have major impacts on Canadians, including whether they get a job offer, qualify for a loan, pay a higher insurance premium, or are suspected of suspicious or unlawful behaviour. While AIDA would require those responsible for AI systems to assess and mitigate the risks of harm of high impact AI systems, the definition of harm in the Bill does not include privacy. This means that there would be proactive risk assessments for non-privacy harms, but not for privacy harms. This is a significant gap given that in a recent OECD report on generative AI, threats to privacy were among the top 3 risks recognized by G7 members. In my view, responsible AI must start with strong privacy protections. 第一に、プライバシー影響評価(またはPIA)は、AIを含むリスクの高い活動に対して法的に義務付けられるべきである。これは、内定を得るかどうか、ローンの資格を得るかどうか、高い保険料を払うかどうか、疑わしい行動や違法行為が疑われるかどうかなど、カナダ人に大きな影響を与える決定を下す可能性のあるAIシステムの場合、決定的に重要である。AIDAは、AIシステムの責任者に対し、影響力の大きいAIシステムの危害のリスクを評価し、軽減することを求めるが、法案における危害の定義にはプライバシーは含まれていない。つまり、プライバシー以外の危害については事前にリスク評価が行われるが、プライバシーの危害については行われないことになる。OECDの生成的AIに関する最近の報告書では、プライバシーへの脅威がG7メンバーによって認識されたリスクのトップ3に入っていたことを考えると、これは重大なギャップである。私の見解では、責任あるAIは強力なプライバシー保護から始めなければならない。
Second, the Bill does not allow for fines for violations of the appropriate purposes provisions, which require organizations to only collect, use and disclose personal information in a manner and for purposes that a reasonable person would consider appropriate in the circumstances. This omission would leave the federal private sector privacy law as a standout when compared with the European Union (EU) and the Québec regime, which allow the imposition of fines for such important privacy violations. If the goal is, as the Minister has indicated, to have a privacy law that includes tangible and effective tools to encourage compliance and to respond to major violations of the law in appropriate circumstances, surely this shortcoming needs to be addressed for such a critical provision. 第二に、この法案では、適切な目的の規定に違反した場合に罰金を科すことを認めていない。この規定は、合理的な人がその状況において適切と考える方法と目的でのみ個人情報を収集、使用、開示することを組織に義務付けている。このような重要なプライバシー侵害に対して罰金を科すことを認めている欧州連合(EU)やケベック州制度と比較すると、この省略によって連邦民間部門プライバシー法は際立っていることになる。大臣が示したように、コンプライアンスを奨励し、適切な状況で重大な法律違反に対応するための具体的かつ効果的な手段を含むプライバシー法を持つことが目標であるならば、このような重要な条項について、この欠点に対処する必要があるのは確かである。
Third, there remains the proposed addition of a new tribunal, which would become a fourth layer of review in the complaints process. As indicated in our submission to the Committee, this would make the process longer and more expensive than the common models used internationally and in the provinces. That is why we have recommended two options to resolve this problem. The first option would be to have decisions of the proposed tribunal reviewed directly by the Federal Court of Appeal, and the second option would be to provide my Office with the authority to issue fines and to have our decisions reviewable by the Federal Court without the need to create a new tribunal, which is the model that we most commonly see in other comparable jurisdictions. 第三に、苦情処理プロセスにおける第四の審査層となる新しい法廷の追加案が残っている。委員会への提出文書で示したように、これは国際的にも地方でも一般的なモデルよりもプロセスが長くなり、費用も高くなる。そこで我々は、この問題を解決するために2つの選択肢を提案した。1つ目の選択肢は、提案されている法廷の決定を連邦控訴裁判所で直接審査してもらうことであり、2つ目の選択肢は、新たな法廷を設けることなく、罰金を科す権限を私の事務所に与え、連邦裁判所で審査できるようにすることである。
Fourth, the Bill as drafted continues to allow the government to make exceptions to the law by way of regulations without the need to demonstrate that those exceptions are necessary. This needs to be corrected as it provides too much uncertainty for industry and for Canadians and it could significantly reduce privacy protections without Parliamentary oversight. 第四に、草案通りの法案では、政府が規制によって法律の例外を設けることを引き続き認めており、その例外が必要であることを証明する必要がない。これは、産業界とカナダ国民にとってあまりにも不確実であり、議会の監視なしにプライバシー保護を著しく低下させる可能性があるため、是正される必要がある。
Fifth, and finally, the Bill would limit the requirement for organizations to explain, upon request, the predictions, recommendations or decisions that are being made about Canadians using AI, to situations that have a “significant impact” on an individual. At this crucial time in the development of AI, and given the privacy risks that have been recognized by the G7 and around the world, I would recommend more transparency in this area rather than less. 第五に、最後に、法案は、AIを使用してカナダ人について行われている予測、推奨、決定について、組織が要求に応じて説明する義務を、個人に「重大な影響」を与える状況に限定する。AIの発展におけるこの重要な時期に、そしてG7や世界中で認識されているプライバシー・リスクを考慮すれば、私はこの分野での透明性を低下させるのではなく、むしろ高めることを推奨する。
With that, I would be happy to answer any questions that you might have. 以上、ご質問があれば喜んでお答えしたい。
Thank you. ありがとう。

 

 

今回にさきだって、3週間前における議会での説明。内容的にはこちらの方が重要かも...

ニュースリリース

・2023.09.28 Privacy Commissioner discusses proposals to advance privacy law reform and better address children’s privacy, risks of AI

Privacy Commissioner discusses proposals to advance privacy law reform and better address children’s privacy, risks of AI プライバシーコミッショナー委員、プライバシー法改革を進め、子供のプライバシーやAIのリスクによりよく対処するための提案について語る
Ottawa, September 28, 2023 – Privacy Commissioner Philippe Dufresne appeared before Parliamentarians today to discuss Bill C-27, the Digital Charter Implementation Act, 2022, and proposals to modernize Canada’s federal private sector privacy law. オタワ、2023年9月28日-フィリップ・デュフレスヌプライバシーコミッショナー委員は本日、法案C-27(2022年デジタル憲章実施法)およびカナダの連邦民間プライバシー法を近代化する提案について議論するため、国会議員の前にいます。
Speaking before the House of Commons Standing Committee on Innovation and Technology (INDU), Commissioner Dufresne called the government’s proposed new private sector privacy law an improvement over both the existing law, the Personal Information Protection and Electronic Documents Act (PIPEDA), as well as an earlier version of the reform bill which died on the Order Paper when the last election was called. デュフレーヌ委員は、下院イノベーション・テクノロジー常設委員会(INDU)で演説し、政府が提案する新しい民間部門プライバシー法は、現行法である個人情報保護および電子文書法(PIPEDA)や、前回の選挙で廃案となった改革法案の前バージョンよりも改善されていると述べた。
“The Bill addresses a number of concerns that were previously raised by my Office and others. For example, it requires that information used to obtain consent be in understandable language; it provides my Office with order-making powers; and it includes an expanded list of contraventions to which administrative monetary penalties may apply in cases of violations,” Commissioner Dufresne told Committee members. 「この法案は、私の事務所や他の事務所が以前から指摘していた多くの懸念に対処するものである。例えば、同意を得るために使用する情報は理解しやすい言語であることを要求し、私の事務所に命令を下す権限を与え、違反の場合に行政罰が適用される違反の拡大リストを含んでいる」とデュフレスヌ委員は委員に語った。
The Commissioner’s submission to the Committee on Bill C-27 sets out 15 key recommendations. This includes a recommendation to strengthen the preamble and purpose clause of the Bill to explicitly recognize privacy as a fundamental right, as well as the need to protect children’s privacy and the best interests of the child, so that these important principles inform the interpretation of all aspects of the legislation. He also called for organizations to be required to conduct Privacy Impact Assessments to ensure that privacy risks are identified and mitigated for high-risk activities including where artificial intelligence (AI) is used to make impactful decisions about individuals and where other technologies could adversely impact privacy. 法案C-27に関する委員会へのコミッショナーの提出文書には、15の重要な勧告が記載されている。その中には、法案の前文と目的条項を強化し、プライバシーを基本的権利として明確に認識すること、また、子供のプライバシーと子供の最善の利益を保護する必要性を強調し、これらの重要な原則が法案のあらゆる側面の解釈に反映されるようにすることが含まれている。また、人工知能(AI)が個人に関する影響力のある決定を行うために使用される場合や、その他のテクノロジーがプライバシーに悪影響を与える可能性がある場合など、リスクの高い活動については、プライバシー・リスクを特定し、確実に軽減するために、組織にプライバシー影響評価を実施することを義務付けるよう求めた。
These recommendations support the Commissioner’s three strategic priorities for the Office of the Privacy Commissioner of Canada (OPC): addressing privacy impacts of the fast-moving pace of technological advancement, especially in the world of AI and generative AI; protecting children’s privacy; and maximizing the OPC’s impact in fully and effectively promoting and protecting the fundamental right to privacy. これらの提言は、カナダプライバシーコミッショナー(OPC)の3つの戦略的優先事項を支持するものである。それは、特にAIと生成的AIの世界において、目まぐるしく変化する技術進歩のペースがプライバシーに与える影響に対処すること、子供のプライバシーを保護すること、プライバシーに対する基本的権利を完全かつ効果的に促進し保護する上でOPCの影響力を最大化することである。

 

議会での冒頭陳述。。。

・2023.09.28 Appearance before the Standing Committee on Industry and Technology (INDU) on the Study of Bill C-27

Appearance before the Standing Committee on Industry and Technology (INDU) on the Study of Bill C-27 産業技術常任委員会(INDU)にて法案C-27の研究に関して発言する。
Good afternoon, Mr. Chair, Members of the Committee, 議長、委員の皆様、こんにちは、
I am pleased to be here today to assist the Committee in its study of Bill C-27, the Digital Charter Implementation Act, which would enact the Consumer Privacy Protection Act (CPPA), the Personal Information and Data Protection Tribunal Act, and the Artificial Intelligence and Data Act (AIDA). I am accompanied by Michael Maguire, Director of PIPEDA Investigations and Lara Ives, Executive Director, Policy, Research & Parliamentary Affairs. 本日は、消費者プライバシー保護法(CPPA)、個人情報およびデータ保護審判所法人工知能およびデータ法(AIDA)を制定する法案C-27(デジタル憲章実施法)に関する委員会の調査に協力するため、ここに来れたことを嬉しく思う。私は、PIPEDA調査ディレクターのマイケル・マグワイアと政策・調査・議会担当エグゼクティブ・ディレクターのララ・アイブスと共に出席する。
I would like to begin by saying that I welcome and am encouraged by the introduction of this Bill. まず、この法案の提出を歓迎し、勇気づけられたことを申し上げたい。
My Office has long advocated for a modernization of both PIPEDA and the Privacy Act because Canadians expect and deserve modern privacy laws that will protect their fundamental right to privacy while supporting the public interest and innovation. In many ways, Bill C-27 is an improvement over both PIPEDA and the former Bill C-11. というのも、カナダ人は、公共の利益とイノベーションを支援しつつ、プライバシーに対する基本的権利を保護する近代的なプライバシー法を期待し、またそれに値すると考えているからである。多くの点で、法案C-27はPIPEDAと旧法案C-11の両方を改善するものである。
The Bill addresses a number of concerns that were previously raised by my Office and others. For example, it requires that information used to obtain consent be in understandable language; it provides my Office with order-making powers; and it includes an expanded list of contraventions to which administrative monetary penalties may apply in cases of violations. 法案C-27は、以前から私の事務局や他の人々が指摘していた多くの懸念に対処している。例えば、同意を得るために使用される情報は理解しやすい言語であることを要求し、私の事務所に命令制定権を与え、違反の場合に行政罰が適用される違反のリストを拡大している。
The introduction of the AIDA would make Canada one of the first countries to regulate AI, which is important given the technology’s potential risks. Although the AIDA does not specifically address privacy risks, the CPPA would apply to the processing of personal information within AI systems. AIDAが導入されれば、カナダはAIを規制する最初の国のひとつとなり、この技術の潜在的リスクを考えれば重要である。AIDAはプライバシーのリスクを特に取り上げていないが、CPPAはAIシステム内での個人情報の処理に適用される。
Bill C-27 is a step in the right direction, but it can and must go further to protect the fundamental privacy rights of Canadians while supporting the public interest and innovation. We have tabled with the Committee our written submission setting out 15 key recommendations with the changes needed to improve and strengthen Bill C-27. These are based on the three themes of my vision for privacy, which are: 法案C-27は正しい方向への一歩であるが、公共の利益とイノベーションを支援しつつ、カナダ人の基本的プライバシー権を保護するために、さらに前進することが可能であり、また前進しなければならない。我々は、法案C-27を改善し、強化するために必要な15の主要な提案事項を記載した提出文書を委員会に提出した。これらは、プライバシーに関する私のビジョンの3つのテーマに基づいている:
1. Privacy is a fundamental right; 1. プライバシーは基本的権利である;
2. Privacy supports of the public interest and innovation; and 2. プライバシーは公益と革新を支える;
3. Privacy is an accelerator of Canadians’ trust in their institutions and in their participation as digital citizens. 3. プライバシーは、カナダ国民の制度に対する信頼と、デジタル市民としての参加を促進するものである。
I will highlight a few of our recommendations in this opening statement but would invite Committee Members to also consult the full submission. この冒頭陳述では、私たちの提言のいくつかを紹介するが、委員会のメンバーには、提出書類の全文も参照していただきたい。
Under the theme of privacy as a fundamental right, we recommend strengthening the preamble and purpose clause to explicitly recognize privacy as a fundamental right, and highlight the need to protect children’s privacy and the best interest of the child, so that these important principles inform the interpretation of all aspects of the legislation. We also recommend that an organization’s purposes for collecting, using or disclosing information be specific and explicit, and that penalties be available in cases where the personal information of Canadians is collected, used or disclosed for inappropriate purposes. The requirement to have appropriate purposes is a core requirement of the Bill and effective remedies should be available to ensure that it is respected. 基本的権利としてのプライバシーというテーマの下、我々は、前文と目的条項を強化し、プライバシーを基本的権利として明確に認識し、子供のプライバシーと子供の最善の利益を保護する必要性を強調し、これらの重要な原則が法律のあらゆる側面の解釈に反映されるようにすることを提言する。また、情報を収集、使用、開示する組織の目的を具体的かつ明確にし、カナダ人の個人情報が不適切な目的で収集、使用、開示された場合には罰則を設けることを提言する。適切な目的を持つという要件は法案の中心的な要件であり、それが尊重されるよう効果的な救済措置が利用できるようにすべきである。
Under the theme of privacy in support of the public interest, we recommend that organizations be required to implement privacy by design and that Privacy Impact Assessments be prepared in high-risk cases. This would be an important protection that would apply to high impact AI systems. We also recommend that the definition of “de-identified information” be modified to include the risk of re-identification, and that the government’s authority to issue certain regulations be more narrowly defined. On this last point, I would note that the Bill currently gives the government the unduly broad ability to completely remove activities from the scope of the Act, and to allow new exceptions to the consent requirement for business activities without having to show that those activities are necessary. We also recommend that Canadians be given the right to request an explanation when an AI system makes a prediction, recommendation or decision that affects them. 公共の利益を支えるプライバシーというテーマのもと、私たちは、組織がプライバシー・バイ・デザインを実施することを義務付け、リスクの高いケースではプライバシー影響評価を作成することを推奨する。これは、影響度の高いAIシステムに適用される重要な保護となるだろう。また、「非識別化情報」の定義に再識別化のリスクを含めるよう修正し、特定の規制を発する政府の権限をより狭く定義することを提言する。この最後の点については、法案が現在、政府に対して、この法律の適用範囲から活動を完全に除外する不当に広範な権限を与えていること、また、事業活動に対する同意の要件に対して、その活動が必要であることを示すことなく新たな例外を認める権限を与えていることに留意したい。また、AIシステムが自分に影響を与える予測、推奨、決定を行った場合、カナダ人に説明を求める権利を与えることを提言する。
Under the theme of privacy as an accelerator of Canadians’ trust, and in order to ensure that most cases can be resolved quickly and without the need for lengthy legal processes, we recommend that my Office have more flexibility in negotiating and enforcing compliance agreements and in cooperating and communicating with other regulators. This is important in many areas but will be crucial when dealing with AI and generative AI. We also recommend that challenges to decisions of the proposed new Data Protection Tribunal be brought directly to the Federal Court of Appeal in order to ensure timely and cost-effective resolutions for all parties. We note that, as an alternative solution to achieve these goals, reviews of my Office’s decisions could be done by the Federal Court instead of the Tribunal. カナダ人の信頼を加速させるものとしてのプライバシーというテーマの下、ほとんどのケースが長期の法的プロセスを必要とせずに迅速に解決できるようにするため、我々は、コンプライアンス協定の交渉と執行、および他の規制当局との協力とコミュニケーションにおいて、私の事務局がより柔軟性を持つことを提言する。これは多くの分野で重要であるが、AIや生成的AIを扱う際には極めて重要となる。我々はまた、全ての当事者にとってタイムリーで費用対効果の高い解決を確実にするため、提案されている新しいデータ保護法廷の決定に対する異議申し立てを連邦控訴裁判所に直接持ち込むことを推奨する。これらの目標を達成するための代替案として、私の事務局の決定に対する見直しは、法廷の代わりに連邦裁判所が行うことも可能であることに留意する。
In the last budget, the government proposed temporary funding for my Office of $6 million over two years to undertake more in-depth investigations of privacy breaches and improve response rates to privacy complaints, as well as $15 million over five years to operationalize new processes required to implement the proposed CPPA. Should Parliament adopt Bill C-27, it will be essential that my Office be properly resourced to fully and effectively take on important new responsibilities, especially those focusing on prevention. Otherwise, these costs will be borne by Canadians and by businesses themselves. 前回の予算で政府は、プライバシー侵害のより詳細な調査とプライバシー苦情への対応率向上のために、2年間で600万ドル、またCPPA案の実施に必要な新しいプロセスを運用するために5年間で1,500万ドルの臨時資金を私の事務所に提供することを提案した。国会が法案C-27を採択した場合、重要な新たな責務、特に予防に重点を置いた責務を十分かつ効果的に果たすためには、私の事務所に適切な資金を供給することが不可欠となる。そうでなければ、これらのコストはカナダ国民と企業自身が負担することになる。
While our recommendations focus on the CPPA, some of them would also apply to AIDA. For instance, I note that AIDA provides significant authority to the government to define key aspects of the law by way of regulation. This would include, for example, determining what does and does not constitute justification to a discriminatory AI decision for the purposes of the definition of biased output. The government could also establish criteria through regulation for the purposes of defining a high impact system, or determining measures with respect to the way that data is anonymized, and how that data can then be used and managed. Given that all of these could potentially have privacy implications, it will be important to ensure that there is a formal mechanism for my Office to be consulted in the drafting of these regulations. Our recommendation to allow for greater coordination and collaboration between my Office and other regulators would also be essential in dealing with the privacy impacts of AI. 私たちの提言はCPPAに焦点を当てたものであるが、その一部はAIDAにも当てはまる。例えば、AIDAは、規制によって法律の重要な側面を定義する重要な権限を政府に与えている。これには、例えば、偏ったアウトプットの定義において、何が差別的なAIの決定に対する正当な理由となり、何が正当な理由とならないかを決定することが含まれる。政府はまた、影響度の高いシステムの定義や、データの匿名化方法に関する措置、データの利用・管理方法に関する基準を規制によって定めることもできる。これらすべてがプライバシーに影響を及ぼす可能性があることを考えると、これらの規制の草案作成において、私の事務局が協議を受けるための正式なメカニズムが確実に存在することが重要であろう。また、AIがプライバシーに与える影響に対処するためには、私の事務局と他の規制当局との間の調整と協力の強化が不可欠である。
In conclusion, privacy law reform is overdue and must be achieved. Our recommendations aim to ensure that Canadians have privacy laws that recognize their fundamental right to privacy, while allowing them to participate fully in the digital economy, support innovation, and position Canada as a leader in this important and evolving area. I note that many stakeholders are also putting forward submissions and I thank the Committee in advance for the critical work that it will do in its review of this important Bill and in ensuring the protection and promotion of the privacy of Canadians. 結論として、プライバシー法改革は期限を過ぎており、達成されなければならない。我々の提言は、カナダ人がプライバシーに対する基本的権利を認めるプライバシー法を確実に取得することを目指すと同時に、カナダ人がデジタル経済に全面的に参加し、イノベーションを支援し、カナダをこの重要かつ発展途上の分野におけるリーダーとして位置づけることを可能にするものである。多くの関係者が提出書類を提出していることに留意し、委員会がこの重要な法案を審査し、カナダ人のプライバシーの保護と促進を確保するために行う重要な作業に、あらかじめ感謝する。
Thank you for your time. I would now be happy to answer any questions that you might have. ありがとう。ご質問があれば、喜んでお答えしたい。

 

話題の中心。。。法案C27に対する15の提言

・2023.04.26 Submission of the Office of the Privacy Commissioner of Canada on Bill C-27, the Digital Charter Implementation Act, 2022

 

15の提言内容...

OPC’s 15 key recommendations on Bill C-27

OPC’s 15 key recommendations on Bill C-27 法案C-27に関するOPCの15の重要提言
The OPC’s Submission on Bill C-27, the Digital Charter Implementation Act, 2022 provides further details about each recommendation. 2022年デジタル憲章実施法案C-27に関するOPCの提出文書には、各提言の詳細が記載されている。
Privacy as a fundamental right 基本的権利としてのプライバシー
1. Recognize privacy as a fundamental right. 1. プライバシーを基本的権利として認める。
2. Protect children’s privacy and the best interests of the child. 2. 子供のプライバシーと子供の最善の利益を保護する。
3. Limit organizations’ collection, use and disclosure of personal information to specific and explicit purposes that take into account the relevant context. 3. 組織による個人情報の収集、利用、開示は、関連する状況を考慮した上で、具体的かつ明確な目的に限定する。
4. Expand the list of violations qualifying for financial penalties to include, at a minimum, appropriate purposes violations. 4. 金銭的罰則の対象となる違反のリストを拡大し、少なくとも適切な目的の違反を含める。
5. Provide a right to disposal of personal information even when a retention policy is in place. 5. 保持方針がある場合でも、個人情報を廃棄する権利を提供する。
Privacy in support of the public interest and Canada’s innovation and competitiveness 公益とカナダの技術革新と競争力を支えるプライバシー
6. Create a culture of privacy by requiring organizations to build privacy into the design of products and services and to conduct privacy impact assessments for high-risk initiatives. 6. 組織に対し、製品やサービスの設計にプライバシーを組み込み、リスクの高い取り組みについてはプライバシー影響評価を実施することを義務付けることにより、プライバシーの文化を創造する。
7. Strengthen the framework for de-identified and anonymized information. 7. 非識別化・匿名化情報の枠組みを強化する。
8. Require organizations to explain, on request, all predictions, recommendations, decisions and profiling made using automated decision systems. 8. 自動化された意思決定システムを使用して行われたすべての予測、推奨、決定、およびプロファイリングについて、要求に応じて説明することを組織に義務付ける。
9. Limit the government’s ability to make exceptions to the law by way of regulations. 9. 政府が規制によって法の例外を設ける能力を制限する。
10. Provide that the exception for disclosure of personal information without consent for research purposes only applies to scholarly research. 10. 研究目的のために同意なしに個人情報を開示する例外は、学術研究にのみ適用されることを規定する。
Privacy as an accelerator of Canadians’ trust in their institutions and in their participation as digital citizens カナダ人の制度に対する信頼とデジタル市民としての参加を促進するものとしてのプライバシー
11. Allow individuals to use authorized representatives to help advance their privacy rights. 11. 個人のプライバシー権を促進するために、個人が認定代理人を利用できるようにする。
12. Provide greater flexibility in the use of voluntary compliance agreements to help resolve matters without the need for more adversarial processes. 12. より対立的なプロセスを必要とせずに問題を解決するために、自発的な遵守協定の利用をより柔軟にする。
13. Make the complaints process more expeditious and economical by streamlining the review of the Commissioner’s decisions. 13. コミッショナーの決定に対するレビューを合理化することにより、苦情処理プロセスをより迅速かつ経済的にする。
14. Amend timelines to ensure that the privacy protection regime is accessible and effective. 14. プライバシー保護体制が利用しやすく効果的であることを保証するために、スケジュールを修正する。
15. Expand the Commissioner’s ability to collaborate with domestic organizations in order to ensure greater coordination and efficiencies in dealing with matters raising privacy issues. 15. プライバシーの問題に対処する際の調整と効率性を高めるため、国内組織と協力するコミッショナーの能力を拡大する。

 

・[PDF

20231022-64835

 

提出文書(詳細な説明)

・2023.04.26 Submission of the Office of the Privacy Commissioner of Canada on Bill C-27, the Digital Charter Implementation Act, 2022

 

・[PDF]

20231022-65536

 

 


話のおおもと...法案C27

● Innovation, Science and Economic Development Canada(イノベーション、科学、経済開発)

デジタル憲章

Canada’s Digital Charter

 

要約...

・2022.08.18  Bill C-27, the Digital Charter Implementation Act,

 

法案自体は議会のウェブページ...

LEGIS Info

・2021.11.22 C-27 An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts

44th Parliament, 1st sessionNovember 22, 2021, to present

 

法案全文

・[HTML] BILL C-27

・[PDF

20231022-65057

 

 


 

参考

カナダのプライバシー保護法制

The Office of the Privacy Commissioner of Canada;OPC

プライバシー保護法制

Summary of privacy laws in Canada

プライバシー法

The Privacy Act

個人情報保護・電子文書法

The Personal Information Protection and Electronic Documents Act (PIPEDA)

 

 

日本の個人情報保護委員会のページ

2021年調査時の情報なので、少し内容は古いですけどね。。。

● 個人情報保護委員会

外国制度(カナダ)




 

カナダのプライバシー、AI関係...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.16 カナダ プライバシーコミッショナー 意見募集 バイオメトリクス指針案 (2023.10.11)

・2023.09.14 カナダ 連邦政府 生成的AI活用ガイド (2023.09.06)

・2023.09.05 カナダ 機械学習対応医療機器 (MLMD) の市販前ガイダンス(案) (2023.08.30)

・2023.07.16 カナダ サイバーセキュリティセンター 生成的人工知能(AI) - ITSAP.00.041

・2023.06.02 カナダ プライバシーコミッショナー 職場におけるプライバシーガイダンス

・2023.06.01 生成的AIとプライバシー当局(カナダ ニュージーランド)

2023.04.08 カナダ プライバシーコミッショナー ブログ:アルゴリズムによる公正さの可能性と限界

・2023.04.06 カナダ プライバシーコミッショナー ChatGPTに対する調査を開始

・2022.08.22 カナダ サイバーセキュリティセンター 人工知能 - ITSAP.00.040

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.24 カナダ プライバシーコミッショーナー事務局 政府機関が機関の長の判断によって個人情報を公開する場合のガイダンス

・2021.08.14 カナダ プライバシー保護委員会が機微情報に関するガイダンスを改訂

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.10.10 カナダ プライバシー法、個人データ保護と電子文書法に関する議会への報告書

・2020.05.08 カナダ 連邦、州、地域のプライバシー委員会委員によるコンタクト・トレーシング・アプリに対するプライバシー原則についての共同声明

・2020.05.04 カナダ アルバータ州のコンタクト・トレーシング・アプリ ABTrace Togehter

2020.04.25 COVID-19 トラック・トレーシング・アプリについて米国・カナダ関連

 

 

|

« 経済産業省 「インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク」を実施 (2023.10.16) | Main | 米国 ホワイトハウス 行動への呼びかけ国家が 必要と するサイバー人材の育成 (2023.09.29) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経済産業省 「インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク」を実施 (2023.10.16) | Main | 米国 ホワイトハウス 行動への呼びかけ国家が 必要と するサイバー人材の育成 (2023.09.29) »