信頼性を確保したデータ流通の促進── EUデータガバナンス法によるデータガバナンス

はじめに

DXの推進、Society5.0、デジタルツイン、メタバース経済など、社会における経済活動の中心が徐々にサイバー空間に移りつつあります。Society5.0が実現した社会においては、サイバー空間と物理空間が融合され、データの存在なしには経済活動が成り立たなくなるでしょう。

こうした状況の中、特定の企業が収集したデータを独占的に用いて利益を得ることに対する批判も強くなり、公平で公正かつ安全なデータ利用を求める声も高まっています。2019年のダボス会議とG20において提唱されたDFFT（Data Free Flow with Trust）も、こうした安全で自由なデータ流通の重要性を背景とした重要な概念の1つと言えます。

一方、プライバシー保護の観点からは、データ流通量の増加が漏洩リスクの増加につながることから、なし崩し的にデータが流通することに対する懸念も大きくなっています。そのため多様なステークホルダー間でのデータ流通がなかなか進展していません。

本稿では、信頼性を確保したマルチステークホルダー間のデータ流通の促進の枠組みの例として、EUにおけるデータガバナンス法（Data Governance Act）を取り上げ、内容を確認するとともに、今後のデータガバナンスのあり方について考察します。なお、本稿における見解は、筆者の私見であることをあらかじめ申し添えておきます。

1 データ流通の促進における課題

冒頭に記したとおり、今後の経済発展の重要な役割を担うのがデータ流通であることは論をまたないのですが、現状、必要なデータが簡単に誰でも利用できる形で十分に流通しているとは言えません。これについて、少し掘り下げて検討してみます。

データを共有する主体側の視点からは、データが流通しない原因を以下のように分析できます。

①データを自社で保持し、利用することにメリット（インセンティブ）がある

いわゆるプラットフォーマー企業と呼ばれる一部の企業が収集したデータを収益の源泉としていることからも、データを収集し、保持することで得られる金銭的対価を代表とするメリットが大きいことは周知の事実であると言えます。

②データを提供し、共有することにメリット（インセンティブ）がない

データを提供することに対する金銭的な見返りが短期間で得られなければ、一般的なビジネスを遂行している会社においては、データを共有することの経済的合理性を見いだせません。もちろん中長期的な視点で考えることが可能な体力のある企業が率先してデータを提供することもありますが、現状こうした事例は多くはありません。

③データを提供することによるデメリット（コンプライアンス上の制約や追加の対応事項の存在など）がある

例えば個人情報保護法を順守することを前提とした場合、収集した個人情報を二次利用するためには、情報提供者の同意を得ることが必要となります。近年プライバシーデータの取り扱いに対しては規制が強まる傾向があることにも鑑みると、データを提供することによるメリットが、コンプライアンス上で求められる対応によるコストやリスクといったデメリットを上回ることは難しいと考えられます。

また、提供したデータの正確性に対する責任や、不正確なデータを流通させることによって生じる不利益に対する保証や訴訟リスク、データ伝送におけるリスクへの対応等、他にもデメリットを挙げればきりがありません。

このように、データを保持する主体がそれぞれの立場でそれぞれの利益を得ようとすれば、データを流通させることに対して後ろ向きになる理由ばかりが見つかり、流通させることによる将来的な自社の利益や社会全体の利益について検討する方向には向かわないことになります。データ流通を促進させるためには、データの生成、保管を行っている主体のみを対象とした枠組みの整備だけでは不十分で、主体間を横断する取り決めが必要であることは明白だと言えます。

また、一般的なビジネスを遂行している企業が保有するデータを流通させることが難しい状況を踏まえると、個人情報を含むプライバシーデータを多く保有する公的機関が、データ流通のプラットフォーマーとして機能する可能性についても検討する必要があります。

こうした背景もあり、各国において国家レベルでデータ戦略の策定が進められています。そしてその実効性を担保するために、法令などにより主体間のデータ流通の枠組みを定義することで、ガバナンスを構築する動きが加速しています。日本政府による「包括的なデータ戦略」の公開、DFFTの推進によるデータ流通に向けた取り組みといった動きは、こうした背景に呼応するものと理解することができます。

こうした動きの中でもEUにおける取り組みは、特定の企業によるデータの独占的利用に対抗すべく、主体間におけるオープンなデータ流通を志向するものとして先進的であると言えます。その詳細を次節で見ていきます。

2 データ流通の促進および信頼性の確保

2.1 EUデータ戦略

まず、データガバナンス法（DataGovernanceAct）の成立に向けた動きの前提として、「EUデータ戦略」について触れておきます^※1。

EUデータ戦略は2020年2月19日に公表され、その中で以下の課題が示されています。

データの可用性
市場の不均衡
データの相互運用と品質
データガバナンス
データインフラと技術
個人の権利行使、スキル、セキュリティ

これらの課題に対応するために、以下の戦略が掲げられています。

A.データアクセスおよび再利用のための法的枠組みなどの構築

B.投資など

C.中小企業を含む能力開発

D.戦略的個別分野でのデータスペースの構築

2.2 データガバナンス法の概略

この戦略における「A.データアクセスおよび再利用のための法的枠組みなどの構築」のために、EU圏内におけるデータ流通の法的枠組み、およびデータアクセスと再利用のための分野横断的な措置を行うための法的枠組みとして、2020年11月25日にデータガバナンス法案が提示されました。この法案は、2021年11月30日には欧州議会とEU加盟国で合意に至り、今後、欧州議会と欧州理事会による法文の最終承認を経て、その15カ月後に規則の適用に至る予定です。またEUデータ戦略の構成要素の1つとして位置づけられ、当該戦略の下で制定される初の法案となります。

データガバナンス法は、データプラットフォーム企業によるデータの独占に対抗し、EU経済圏の発展と市民の利益確保を目指した法律です。この法律により、信頼性を確保した上でデータ流通を促進し、経済発展を目指すとともに、データに基づく方針決定を可能とすることも目標となっています。

信頼性を確保したデータ流通の促進のため、特に特徴的な仕組みが4つ提示されています^※2。

公的機関内にある機密性の高いデータを二次利用できる仕組み
データ共有やデータの保存を担う「データ共有サービスプロバイダー」の信頼性を確保する仕組み
市民や企業が社会の利益のためにデータを提供できるようにするための仕組み
目的に合ったデータを業界や国境を越えて利用できるようにするための仕組み

データガバナンス法の各章の概要を図表1に示します。

2.3 データガバナンス法によるデータ流通の促進と信頼性の確保

データガバナンス法によるデータ流通の促進と信頼性確保に関して、特に重要な項目として、第二章の「公的機関が保有するデータの二次利用」、第三章の「データ共有サービスプロバイダー」、第四章の「データ利他主義」があります。以降、これらについて詳細に確認していきます。

なお、各章の中で引用した条文は、データ流通の促進や信頼性の確保の目的に資するものを中心に紹介しており、その全てを網羅しているわけではないことをお断りしておきます。また今後日本におけるDFFTの推進を含め、信頼性を確保したデータ流通促進の取り組みの進展とともに、国境を越えたデータアクセスに関する規定（CHAPTER Ⅷ Article 30等）の重要度が高まることが予測されますが、この点についての詳説は別の機会に譲ることとします。

第二章：公的機関が保有するデータの二次利用

本章では、公的機関が保有するデータの二次利用を可能とするための枠組みについて規定されています。これにより、公的機関がデータプラットフォーマーとして機能することで、中長期的な視点に立った、公益に資するデータ流通の促進を目指しています。

第三条：対象とするデータおよび対象外とするデータ

本章は公的機関が保有する、下記によって保護されたデータに適用される。
- 営業機密
- 統計上の機密
- 知的財産権
- 個人データ保護
下記のものは対象外。
- 公共事業のためのデータ
- 公共放送のためのデータ
- 文化施設や教育機関が保有するデータ
- 国の安全、防衛、治安のために保護されたデータ

第四条：データの独占的な利用の禁止

公的部門が保有するデータを独占的に利用することを禁止する。
公的な利益のための利用においては独占的な利用を認めることがある。
データの独占的な利用の期間は3年を超えてはならない。

第五条：データの二次利用のための要件

データのカテゴリー、二次利用の目的、性質が、非差別的で相応のものであり、客観的に正当化できるものでなければならない。
知的財産権を順守すること。
営業機密を保持すること。

第六条：報酬

第七条：監督機関

第八条：情報提供窓口

第三章：データ共有サービスプロバイダー

本章では、データ共有サービスプロバイダー（データ提供者とデータ利用者の間に位置し、データ共有手段を提供することを主たるサービスとする主体）が規定されています。

データ共有サービスプロバイダーの登録制度や課せられる要件の明示により、データ共有サービスの信頼性を高めています。データ共有サービスプロバイダーには、データに対する中立性、目的外利用の禁止など、さまざまな要求事項が課されています。

これらの枠組みは、データ共有サービスがオープンで協調的な形で機能することで、個人や法人が多くの便益を享受できるよう設計されています。

第九条：データ共有サービスプロバイダー

データ共有サービスとは、データ提供者とデータ利用者の間の仲介サービスであり、当該サービスの提供を可能とする技術的な手段を提供するものである。
サービス提供には、データの交換又は共同利用を可能にするプラットフォームまたはデータベースの作成、データ提供者とデータ利用者の相互接続のためのインフラストラクチャの確立なども含まれる。

第十条：データ共有サービスプロバイダーの届出

データ共有サービスプロバイダーは、そのサービスの提供を行うにあたり、監督当局に届け出なければならない。

第十一条：データ共有サービスの提供条件

データ共有サービスプロバイダーは、提供するデータをデータ利用者のための処理以外の目的で利用できず、法的に独立した法人でなければならない。
サービスへのアクセス手段は、データ提供者、データ利用者双方にとって公正であり、透明性を保ち、かつ優劣をつけない形で提供する必要がある。
データへの不正なアクセスを防止する手段を講じなければならない。
財政状況が悪化したとしても、サービス提供の継続性を確保しなければならない。
違法なデータの転送またはアクセスを防止する措置を講じなければならない。
データの保管および伝送に関する高度なセキュリティ対策を講じなければならない。

第十二条：監督当局

第十三条：監視

第十条および第十一条の順守状況について、監督当局による監視および監督が行われる。
違反があった場合には、金銭的な罰則やサービス提供の停止や中断が求められることがある。

第十四条：例外事項

第四章：データ利他主義

本章では、「データ利他主義」として、個人や企業が自発的に社会の利益のためにデータを提供することを促進し、その信頼性を高めるための規定が示されています。具体的には、データ提供者の信頼性を高める目的での当局への登録やその要件、監視などのガバナンスのほか、データ利用に関する同意を効率的に取得するための、EU圏域内共通の同意書についても規定されています。

「データ利他主義」という概念はこれまであまり馴染みのない概念であり、自組織の利益の最大化を目的とする行動原理に立つと、簡単には理解しにくいものかもしれません。しかし、中長期的に社会全体の利益を目指す観点からは、マルチステークホルダー間で公益に資することを目的としたガバナンスを構築するための新たな仕掛けとして、これまでの資本主義経済での常識に一石を投じる取り組みと言うことができます。今後運用の中でどこまで実効性を高められるか、引き続き動向が注目されます。

第十五条：データ利他主義組織の登録

監督当局はデータ利他主義組織の登録簿を整備しなければならない。
登録簿に登録された組織は、自らを「認定データ利他主義組織」と称することができる。

第十六条：登録要件

公的な利益に沿う目的で設立された法人でなければならない。
非営利ベースで運営され、営利目的で運営されている組織からは独立していなければならない。
データ利他主義に基づく活動が、他の活動とは切り離され、法的に独立した構造で行われなければならない。

第十七条：登録

登録要件を満たす組織は、監督当局が管理する登録簿への登録を要請することができる。

第十八条：透明性要件

認定データ利他主義組織は、以下の事項の完全かつ正確な記録を保持しなければならない。
- 保有データの処理を行う者
- データ処理の日付と期間
- データ処理の目的
- データ処理者によって支払われた費用
認定データ利他主義組織は、以下の事項を含む報告書を用いて、当局に年次活動報告を行わなければならない。
- 組織の活動情報
- 公的な目的でのデータ収集がどのように促進されたか
- 以下の記述を含む、保有データの利用が許可されている者のリスト
  - 当該データ利用によって得られる公的な利益の概要
  - プライバシーおよびデータ保護技術を含めた、データを利用する際の技術的手段
  - データの利用結果の概要
- 収入源（特にデータの使用許可に関するものはすべて）と支出に関する情報

第十九条：データ主体および組織の権利保護のための要件

認定データ利他主義組織は、データ主体に対して、分かりやすい方法でデータ処理の公的な目的を伝達しなければならない。
公的な目的のための処理以外にはデータ利用が行われないことを保証しなければならない。

第二十条：監督当局の設定

第二十一条：監視

監督当局は、認定データ利他主義組織が本章に定める要件を順守しているかを監視し、監督する。
データ利他主義組織が要件を順守していないことを通知された後も改善対応を行わない場合、自らを「認定データ利他主義組織」と称する権利を失い、データ利他主義組織の登録簿から除外される。

第二十二条：欧州データ利他主義同意書

データ利他主義に基づくデータの収集を容易にするために、欧州データ利他主義同意書を整備する。これにより、EU加盟国間で統一された様式により同意を取得することが可能となる。

これまで詳細に見てきたように、データガバナンス法では、次の4つの取り組みを整備することで、信頼性を確保したデータ流通を促進することを目指しています。

公的機関のデータ二次利用の促進
データ共有サービスプロバイダーによるデータ共有の促進
データ利他主義の導入による公益に資するデータの強化
上記における信頼性を確保する仕組み（登録要件の設定や監視の実施）の導入

これにより、データ空間（さまざまなデータが集積される場）の中心を特定の企業の中から社会全体で利用できる場所に引き戻し、データの利用によって得られる利益を広く社会全体に還元することが志向されています。

図表2にデータガバナンス法で定められている主体別の信頼性確保のための要件を、図表3に同法における信頼性確保の構造を示します。

3 信頼性を確保したデータ流通促進のために

データ空間全体のエコシステムにおけるガバナンス

これまでステークホルダー間のデータ流通におけるガバナンスの例として、データガバナンス法を取り上げて詳細を見てきました。一方、本稿では取り上げなかった観点として、データ生成・保管主体内におけるデータの信頼性の確保の観点があります。

これについては、例えばISO27001シリーズによる認証制度（ISMS認証）やクラウドベンダーの信頼性評価の仕組みであるISMAP、さらには主体内におけるリスクに対する管理策（コントロール）の評価の枠組みであるSOCレポートなど、日本でもすでに一定の効果を上げている枠組みがあります。これらは主にデータ生成・保管主体の信頼性を確保するための枠組みであると言えます。

今後日本国内でもデータ流通におけるガバナンスの検討を深めるにあたり、ステークホルダー間のデータ流通におけるガバナンスに、主体内における信頼性確保の枠組みをつなげて考えることが求められるようになります。重要なのは、データスペースを1つの大きなシステム（系）として捉え、そのエコシステム全体におけるガバナンスを構築していくという視点であると言えます。

日本社会の特徴を踏まえたガバナンスの構築に向けて

Society5.0が目指す社会においては、サイバー空間とフィジカル空間が融合し、データ通信がシステム間で直接やりとりされる割合が増えていくことも想定されています。こうした想定も踏まえ、Society5.0が目指す社会におけるガバナンスについては経済産業省で検討が行われており、検討会（Society5.0における新たなガバナンスモデル検討会）の報告書「GOVERNANCE INNOVATION Ver.2: アジャイル・ガバナンスのデザインと実装に向けて」が公開されています^※3。

この中で、変化し続ける社会におけるガバナンスとして、マルチステークホルダー間で「ゴール設定」「システムデザイン」「運用」「説明」「評価」「改善」を継続的かつ高速に回転させていく「アジャイル・ガバナンス」の実践や、何層にも折り重なるガバナンスのメカニズムを整理する「ガバナンス・オブ・ガバナンス」の概念が提唱されています。

EUにおけるデータガバナンス法のような法整備を中心としたガバナンスでは、こうした継続的な変化に対応することが難しい側面があります。また日本においては法整備によるいわゆるハードローによるガバナンスよりも、ガイドラインなどの利用によるソフトローによるガバナンスのほうが実効性が高いとの見方もあります。

このため、法整備によるガバナンスの構築の効果や、アジャイルにガバナンスを変化させていくための仕組みの検討など、実効性を伴う仕掛けをどのように現実社会に合わせて実装していくか、広く深い考察が必要となります。さらには、プライバシーに関する規制の動向やAIの発展に伴うAIガバナンスの動向に関しては、国際的なルールとの整合性についても考慮する必要があります。

マルチステークホルダー間のデータ流通の促進は、まずガバナンスの整備によって信頼性を確保することから始まります。なぜなら、安心して社会全体で重要なデータを流通させることが、さまざまなステークホルダーのビジネス上のチャレンジの機会を増やす礎となるからです。

まずビジネスが実行され、そのあとでガバナンスを考えるという世界から、まずガバナンスによる信頼が構築され、そしてビジネスが発展するという世界へのシフトに向け、本稿で取り上げたデータガバナンス法における信頼性確保の枠組みが少しでも参考になれば幸いです。

※1 European Commission「A European Strategy for data」
https://digital-strategy.ec.europa.eu/en/policies/strategy-data
内閣官房情報通信技術（IT）総合戦略室「世界のデータ戦略」2020年10月23日https://www.kantei.go.jp/jp/singi/it2/dgov/data_strategy_tf/dai1/gijisidai.html

※2 European Commission「European data governance act」
https://digital-strategy.ec.europa.eu/en/policies/data-governance-act

※3 経済産業省「GOVERNANCE INNOVATION Ver.2: アジャイル・ガバナンスのデザインと実装に向けて」2021年7月30日
https://www.meti.go.jp/press/2021/07/20210730005/20210730005-1.pdf

執筆者

PwCあらた有限責任監査法人
システム・プロセス・アシュアランス部
パートナー三澤伴暁