個人情報保護委員会 個人情報保護委員会の国際戦略 (2024.03.27)

こんにちは、丸山満彦です。

個人情報保護委員会が国際戦略を公表していますね...

DFFTを強調していますが、G７国でもDFFTいいねとなったのですが、プライバシーに関するデータや安全保障データについてはDFFTというわけにはいかないのは、多くの人が理解しているところですが、個人データが直ちにDFFTに馴染まないというわけではないのですが、具体的にデータを眺めていくと、個人データに当たらないデータというのが少ない（例えば、工場の機械からでてくるログとかは大丈夫そう...）、ので、どのような落とし所になるのか、興味深いところはあります...

あと、各国との整合性という意味では、

・ガバメントアクセス（特に捜査機関）

・子供の個人データの取り扱い

は重要であると思うので、国内でも議論を深める必要があるのではないかと思っています...

(子供の個人データの取り扱いは個別内容なので、記載されていないのだろうと思いますが...)

 

 

● 個人情報保護委員会

・ 2024.03.29 「国際戦略」を更新しました。

・[PDF] 

 

参考...

・2024.03.27 第278回個人情報保護委員会を開催しました。

 

 

 

• 資料１－１ 令和６年度個人情報保護委員会活動方針（概要）（案）

 

 

 

 

• 資料１－２ 令和６年度個人情報保護委員会活動方針（案）

 

 

---

個人情報保護委員会の国際戦略

令和６年３月 27 日個人情報保護委員会

１．背景

デジタル社会の進展に伴い、個人情報を含むデータの安全かつ円滑な越境流通の重要性が更に増す中、我が国は政府全体として、信頼性のある自由なデータ流通（ＤＦＦＴ：Data Free Flow with Trust）を推進している。特に、個人情報保護及びプライバシーの分野におけるＤＦＦＴの推進及び具体化については、日本では、個人情報保護委員会（以下「委員会」という。）が中心となって取り組んでいる。

そうした中、委員会は、令和５年度に「第３回Ｇ７データ保護・プライバシー機関ラウンドテーブル会合」において議長国を務め、Ｇ７各国のデータ保護・プライバシー機関の委員長級とＤＦＦＴ、先端技術及び執行協力の議論を行った。その成果文書として、コミュニケ及び行動計画が採択されている。

また、特に先端技術については、生成ＡＩの急速な開発及び普及を受け、個人情報保護及びプライバシーへのリスクに対する懸念が急速に高まったことを背景に、信頼性の確保が先端技術の拡大及び利用の基本になるとの認識の下、委員会が上記Ｇ７ラウンドテーブルにおいて議論を取りまとめ、追加の成果文書である「生成ＡＩに関する声明」が採択された。同声明は国際的に影響を与え、例えば、令和５年 10 月の世界プライバシー会議（ＧＰＡ: Global Privacy Assembly）において、同声明が歓迎され、その内容をＧ７の枠を越えて広く世界に向けて発信する「生成ＡＩシステムに関する決議」の採択へと繋がった。

委員会は、令和６年度も引き続き、排他的なアプローチには与せず、関係各国及び地域の多様な個人情報保護制度や国際枠組みを尊重しながら、相互運用性のある国際環境の実現を目指す。また、その取組に際しては、「民間企業における個人データの越境移転、海外法規制対応に関する実態調査」（令和５年12月６日）を通じて把握した事業者のニーズを適切に勘案する。

以上を踏まえ、令和６年度以降の委員会の国際戦略について、次のとおり定める。

２．個人情報を安全・円滑に越境移転することができる国際環境の構築

委員会は、ＤＦＦＴの推進及び具体化のため、事業者が個人情報を安全かつ円滑に越境移転することを支援し、また、そのニーズ等に応じて複数の選択肢から最適な越境移転スキームを選ぶことができる国際環境の構築を推進していく。同時に、グローバル規模の越境データ移転ツールの開発を目指し、グローバルスタンダードの形成に取り組む。

（１） 相互認証の枠組みの更なる発展

我が国と実質的に同等の水準にあると認められる個人情報保護制度を有する関係各国及び地域との相互の円滑な個人データ移転枠組みである相互認証の更なる発展について、引き続き委員会の最優先課題として取り組んでいく。

• 日ＥＵ間及び日英間の相互認証の枠組みについて、令和３年の個人情報保護法改正を踏まえた学術研究分野及び公的部門への対象範囲拡大協議の早期妥結を目指す。
• その上で、相互認証の対象国及び地域の拡大に向けて、基本的な価値観を共有する他

の関係各国及び地域との間で、新たな相互認証に向けた協議を開始する。

（２） 国際的な企業認証制度の普及促進

グローバル越境プライバシールール（ＣＢＰＲ：Cross Border Privacy Rules）フォーラムを中心に、国際的な企業認証制度に係る議論を主導するとともに、同フォーラムへの参加促進に積極的に取り組む。

• グローバルＣＢＰＲフォーラムによる企業認証制度（グローバルＣＢＰＲシステム）について、稼働後の認証基準の充実等に関する議論を主導する。
• 米国等と共同開催するワークショップといったアウトリーチ活動を通じて、関係各国及び地域並びに企業のより一層の参加拡大に向けた取組を進める。
• 国内におけるグローバルＣＢＰＲシステムの普及を目的として、新たな認証機関の参加、認証取得による利点の明確化等、企業による認証取得を促進する環境を整備する。

（３） グローバルなモデル契約条項の導入

グローバルなモデル契約条項の導入を目指し、価値観を共有する関係各国及び地域との既存のモデル契約条項についての共同調査や、Ｇ７、ＧＰＡ等多国間及び地域間の枠組みにおける発信等を通じて、段階を踏みながらグローバル規模での相互運用性の実現に向けて取り組んでいく。

（４） 個人情報保護を取り巻くリスクへの対応

無制限なガバメントアクセスやデータローカライゼーションについて、ＯＥＣＤプライバシーガイドラインへの反映に向けた議論を継続する。また、ＯＥＣＤ加盟国等により採択された「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」について、非加盟国等への普及に向けて取り組む。

３．執行協力を含む関係各国及び地域との国際的な協力関係の強化及び構築 

関係各国及び地域との枠組みにおいて、個人情報保護に関する法制度及び執行状況に関する情報交換並びに協力関係の強化に関する議論等を行うことで、グローバルな政策立案の議論に参画するとともに、国境を越えた執行協力体制を強化する。また、事業者による越境事業活動の展開や同データ移転の増加に対応するため、二国間及び地域間協力関係の強化及び構築を進めていく。

（１） 多国間及び地域間の枠組みにおける協力関係の強化

• Ｇ７ラウンドテーブルで得られた成果をＧ７の統一的な意見（Unified Voice）としてとりまとめ、その影響力を活かして、ＧＰＡ、ＡＰＰＡ（Asia Pacific Privacy Authorities：アジア太平洋プライバシー機関）フォーラムといった他の国際会議において展開し、新たな決議等として共通の視点を拡げていく。
• 令和６年後期のＡＰＰＡフォーラムを委員会が主催することで、アジア太平洋地域における我が国のプレゼンスを更に向上させ、協力関係を強化する。
• 上記の国際フォーラムのほか、民間団体主催の会合等にも積極的に参画し、引き続き多方面において委員会の取組を発信するとともに、それらに参加する関係各国及び地域のデータ保護機関、政府機関、事業者及び研究者等との間で、国際的な個人データ保護の促進や強化等についての議論や情報交換を実施する。

（２） 二国間及び地域間協力関係の強化及び構築

• 個別の執行事案について、関係機関等との連携を推進し、協力が必要な時に得られるよう協力関係をより強化する。
• 令和５年 10 月に英国との間で締結した個人情報保護に関する協力覚書（ＭＯＣ： Memorandum of Cooperation）を参考に、ＭＯＣ締約国及び地域の拡大に向けて、価値観を共有する関係各国及び地域との間で、新たなＭＯＣ締結を進める。
• アジア太平洋地域等を優先対象とし、個人情報保護法制の整備に係る支援等の技術協力を含む個別具体的な二国間及び地域間協力の可能性を追求する。

４．国際動向の把握と情報発信

関係各国及び地域の個人情報保護機関及び個人情報保護関連の専門家とのネットワークの構築及び発展を目指すとともに、技術革新及び社会的課題等への対応について、関連情報又は問題意識について共有を図りつつ、世界の潮流を踏まえた上で、我が国の政策立案に活かしていく。

また、委員会が収集した情報については広く発信し、国境を越えて活動する事業者が活用できるようにする。特に、企業のニーズを把握した上で、海外の個人情報保護法制に関する情報を発信する。

５．国際業務体制の基盤強化及び国際業務に従事する職員の人材育成

上記の国際戦略の実現に向けて、委員会では国際業務体制の基盤強化を進めるとともに、国際業務に従事する職員の人材育成として、以下の能力に着目し、その向上を図っていく。

（１） 国際業務体制の基盤強化

• 引き続き先端技術や国際執行協力等の業務を適切に実施するための人員の確保を図る。
• 関係各国及び地域のデータ保護機関や国際機関等と対面での定期的なコミュニケーションや情報収集等のため、既に派遣している国際機関に加え、在外公館やデータ保護機関等海外への職員派遣を検討する。

（２） 国際業務に従事する職員の人材育成

• 委員会の施策を世界に向けて正しく発信できるプレゼンテーション力の強化
• 国際会議等において議論をリードできるファシリテーション力の強化
• 生成ＡＩ・プライバシー強化技術（ＰＥＴｓ：Privacy Enhancing Technologies）等先端技術をはじめとする個人情報保護に関する最新の動向についての情報収集力の強化 等

（以上）

---

 

ちょうど、FTCもプライバシー情報の方針をだしているので、比較してみてくださいませ...

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.04.02 米国 連邦取引委員会 プライバシーとデータセキュリティの2023年更新版 (2024.03.28)

・2024.04.02 個人情報保護委員会 個人情報保護委員会の国際戦略 (2024.03.27)