英国版の情報銀行構想:データトラストの法律・ガバナンス検討レポート

「データトラスト:法律及びガバナンスの考察」レポート表紙より

 日本で情報銀行の議論が色々と盛り上がる昨今ですが、実は諸外国でも同様の検討が進められてきており。特に英国のODI(Open Data Institute)が4月に英国版の情報(信託)銀行構想である(と言っても大きくは間違っていないと思います)データトラストについての3つのパイロットプロジェクトに基づく包括的なレポートを出していて、特にそれと合わせて出されたロンドン大クイーンメアリーと法律事務所(BPE Solicitors、Pinsent Masons)による法律・ガバナンス側面の検討レポートが大変興味深かったので内容についてのメモです。

 基本的に日本の情報銀行と発想はかなり似ていて(とはいえ僕自身日本の情報銀行の現状をそんなに深くは存じ上げているわけでもないのですが)、しかしやはりGDPRの存在など法的環境の相違に起因するものはじめ、さまざま微妙に異なる点も見えてきます。

 

法律・ガバナンスレポート(今日はこちら):Data trusts: legal and governance considerations

全般レポート:Data trusts: lessons from three pilots

 

●13p、データトラストは大体どういうものであり得るか。「to enable data to be shared;」、「for the benefit of those sharing the data, and possibly also for some, broadly conceived, public benefit purpose;」「respecting the interests of those with legal rights in the data;」ことなどを共通の念頭に、特定の情報信託銀行は、「collective management of individual rights and interests (including any sharing of benefits received by the data trust);」や、「custodian/steward makes decisions on behalf of data providers/ data users; 」などをするとしている。(追記)ただデータを預ける主体は主としてデータセットを保有する企業等の組織を想定しており、今日本で注目を集めている個人が直接個人データを預けるタイプの情報銀行とは少し構造が異なるようです。

●上記通り日本の情報銀行と発想は近いように見えますが、戻って12p、信託法がそのままではなぜ使いずらいかのところでその違いが微妙に見える。そもそもデータが信託財産として位置付けられないことの他、(1)委託者の利益だけに資すること前提なのでより広い公共的利益のために運用できない、(2)受託者の利益のために運用することが制約されることが挙げられる。公共的利益のためのデータ活用を強く押し出している感じが日本の情報信託銀行と比して結構興味深い感じです。

●14p以降、それをどのようなストラクチャーで実現するか。以下イメージのように、Traditional legal trust model、Contractual framework model、Corporate model、Public model、Community interest companies modelという5つのオプションを検討。どれかに絞るというよりは、様々なモデルがあることを念頭に、その可能性と法的限界等を検討しています。

Data trusts: legal and governance considerations, p14より
Data trusts: legal and governance considerations, p14より

●21p以降、データ保有者からデータトラストへのデータ提供。まずGDPR6条のどの法的根拠を用いるかが問題になる。向こうの場合GDPRで「本人の意思に基づく」個人データ活用は所与の前提なので、それをどういう法的根拠でやるかが中心的な課題になる。同意も限界があり、契約根拠や正統利益根拠もどこまで使えるか不確実性が高い。その他匿名データじゃダメなんです問題、英国法ですからコンフィデンシャリティ問題、知財権の問題など。

●26p以降、データトラストからデータ利用者へのデータ提供。当然GDPRへの対応やセキュリティなど含めどういう契約条件を作るかが中心となり、ファイナンス・ファンディングのあり方、競争法とステイトエイドの問題などにも言及。

●36p以降、トラストルールへのコンプライアンスをどう担保するか。GDPRのエンフォースメントのほか、ブリーチオブコンフィデンシャリティ、ライセンス違反、データトラストによるエンフォースメントや監査、ADRの活用など。

●42p以降、改めてデータトラストのガバナンスストラクチャー。ここでODIのデータトラストの定義が出てきて、「a legal structure that provides independent stewardship of data(データの独立したスチュワードシップを提供する法的構造)」。データ提供者、データ利用者、データトラスト、データトラストのオーナー、第三者などのステイクホルダーの関係性のあり方。基本的な統治構造としては以下イメージのように、直接的なステイクホルダー統治型と専門コミッティ統治型の2種類を提示。

Data trusts: legal and governance considerations, p51
Data trusts: legal and governance considerations, p51

●54p、データトラストの経営危機や破綻時の対応について。データを消去したり本人に返したりすることを含め、なるほど金融機関に要求される“living wills”(生前遺言)を参考に、つまり健全経営の時から破綻計画を作っておく必要があると。これは確かに日本の情報銀行も考えておく価値があるかもしれない。

●そして58p以降結論では、どういう制度設計が望ましいか。色々なデータトラストの姿があり得るので一つに絞るのが不可能であるが、いずれにせよ関連するステイクホルダーの関係性を統御し、フィデューシャリー・スチュワードシップ(どちらも日本語にしづらい単語)を組み込んだBespoke legal structuresが必要だとする。

 その上でデータトラストを促進する法改正のあり方について、まずデータ保護法。前述のようにGDPRの同意も契約根拠も正統利益根拠も十分に対応できるか不確実なので、「superficially attractive way」として、GDPRを改正して、データトラストを通じたデータ共有を可能にする新しいデータ処理根拠を作ったり(!!)、公的任務の実施根拠や正統利益根拠で読み込めるようにしたりするという方法が考えられるが、データトラストの単一・厳密な定義ができない限り無理だろうとする(というかGDPR改正自体英国主導では無理でしょう。。。汗)。なのでおとなしく現行の同意以外の根拠の解釈を念頭に、ICOがデータトラストのガイダンスを作ることでその不確実性を本質的に低減するのが良いだろうとする。ロジックは違えど日本の情報銀行のやり方に結局は近い結論になる。

 あとは信託法を改正して、データを扱えるようにしたり公共利益目的での運用を可能にすることも。

 

 うーん面白かったです。英国でこういう仕組みが本当に広がってくるなら、情報銀行認証制度でも参考とされたシェアリングエコノミー認証ISO化に向けた取り組みのように、日本の情報銀行認証制度も、そのうち国際標準を作るような道が開かれてくるのかもしれません。

 

 

 

 ところで本レポートのベースになってる3つのパイロットプロジェクトはこちら。野生動物違法取引対策、フードロス対策、そしてロンドンのシェアリングシティデータ活用。確かに非常に公共利益に焦点を当てていることが見て取れます。レポートの方でも触れられていた通り、政府のOffice for Artificial Intelligenceと協力してマシンラーニングの活用に力を入れている。

UK’s first data trusts to tackle illegal wildlife trade and food waste

 そのうち、シェアリングシティPJの詳細はこちら。データトラストはやはりスマート(シェアリング)シティにおけるデータ活用に相当程度関連の高いものとして取り組まれている模様。日本におけるスマートシティ情報銀行はどこが主導してどうなっていくのだろうか気になります。

UK FIRST 'DATA TRUST' PILOTS IN PARTNERSHIP WITH CENTRAL AND LOCAL GOVERNMENT

 というのも、各国のスマートシティデータ活用はグーグル先生はじめグローバルなプラットフォーム企業をはじめとする民間企業と政府の協業・競争がかなり活発に繰り広げられていて。特にトロントではグーグル先生の親会社アルファベットの子会社Sidewalk Labsが「Quayside(キーサイド)」というコミュニティを作っていることが注目を集めていますが、以下日本語記事のように、そこでもデータトラストの導入が提案されている(それでもアン・カブキアン先生がコメントしているようにデータ活用について色々議論がある)。

2018年10月16日にはデータ使用のための新しいモデルが提案されました。この中でSidewalk Labsは「キーサイドの物理的な環境から収集された情報を所有する権利は誰にもない」「都市データは独立した市民データ・トラスト(データ信託機関)の支配下にあるべき」と述べています。この提案によると、Sidewalk Labsや他の会社がキーサイドの市民をトラッキングするハードウェアやサービスを用いる際には、その影響を評価し責任を負うための書類をデータ・トラストに提出しなければなりません。提出されたデータは公開され、自己認証が行われたり即座に承認されたりするものもあれば、専門家によって慎重に検討されるものもあるとのこと。

例えば、公園にビデオカメラを設置する(PDFファイル)場合は個人情報が含まれるため自己認証ではなくデータ・トラストの承認が必要で、「ビデオは公園の改善のため」「データは7日ごとに破棄される」という条件付きになるとみられます。また、カメラの近くに標識を設置したり、カメラの場所を公的に登録する必要性なども検討する必要があります。

Sidewalk Labsは、全ての申請はプライバシーバイデザインに基づくと述べていますが、一方でデータ・トラストはソースが匿名化されない申請であっても承認することができるとしています。しかしCavoukia氏は市民のプライバシーのためにキーサイドのデータは全て匿名化すべきだと主張。非匿名化されないデータを許してしまうと、キーサイドが「埋蔵金」となり、匿名化されないフォームを用いて企業がより多くのデータを得ようと考えることが予想されるためです。

出典:Googleの目指す未来都市「スマートシティー」はなぜ「プライバシーの悪夢」と化しつつあるのか? - GIGAZINE

 第4次産業革命時代のスマートシティで、もう本当に物理空間の日常生活含めたデータが集約・管理されるようになってくると、そのデータ管理は、まさに市民統治以外の方法でうまくいくはずもない。おそらくそれは、データ保護でいう「本人管理」を超えた議論にならざるを得ない。ここで紹介したODIレポートがデータトラストのガバナンスストラクチャーを非常に強調しているのはそういう背景だと理解する必要がある。日本でもそろそろこういうことを本格的に議論していきたいところです。