筆者の手元に5月13日付けの英国大手ローファームPinsent Masons LLPのレポート“French GDPR blockchain guidance useful for UK businesses”が届いた。すなわち、英国のブロックチェーン・ユーザーは、EUの一般データ保護規則(GDPR)や英国の1998年データ保護法の遵守を支援するためにフランスで開発された「よく書かれかつ有用な」ガイダンスとして2018年9月24日にCNILが公表した“Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ?”(同年11月6日に英語版が公表)に対し保護当局である情報保護コミッショナーズ事務局(ICO)は大手ローファームである Masons LLPのOut-Law編集者に語ったとある。
つまり、英国ICOは「他国(フランス)の規制当局のガイダンス」を正式に承認するものではないが、英国は「近い将来」のブロックチェーンおよびデータ保護法の使用に固有のガイダンスを公開する予定はないとし、フランスのデータ保護機関であるCNILが作成した英文ガイダンスは、「この分野で働く人々に役立つ」と説明した。
一方、ブロックチェーンとGDPRの関係に関する研究は欧州議会STOA研究報告が2019年7月に公表されているほか、世界的企業コンサルタント会社であるOneTrust DataGuidance Limited.などが解説を試みている。
他方、わが国でブロックチェーン技術とGDPRについて正面から取り組んだレポート(注1)は皆無に近いが、欧米では研究者の専門論文(SSNR)(注2)かなりのレポートが見られる。その意味で今回のブログではCNILガイダンス概要を概観するにとどめるが、後日改めてSTOA報告やSSRNの詳しい内容について解説を試みたい。
1.Pinsent Masons のCNILのブロックチェーンの使用時のGDRP遵守の関するガイダンスの解説要旨
ブロックチェーン技術の使用が「一般データ保護規則(GDPR)」に準拠していることを確認するためのCNILガイダンスは、フランス情報保護当局(CNIL)によって英語に翻訳(2018.11.6:Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data)された。(注3)
Out-Lawサイトの運営法律事務所であるPinsent Masonsのデータ保護法の専門家であるRif Kapadi氏は、次のように述べている。「ICOはCNILのブロックチェーン・ガイダンスを正式に承認していないが、それが多くの異なる組織がブロックチェーン・テクノロジーを使用することは、データ保護コンプライアンスの問題に対処するのに役立つものである。このガイダンスは、コア・コンプライアンス・ガバナンスの質問を含む、ブロックチェーン開発に中心的なGDPR要件がどのように適用されるかについての歓迎の意思と分析を提供する。また、ビジネスが直面している主な落とし穴にフラグを立てます個人データが関係するブロックチェーンを使用する」
パリのPinsent Masonsオフィスのアナベル・リシャール(Annabelle Richard)とポーリン・ビネリ(Pauline Binelli)は、ブロックチェーンに関するCNILのガイダンスは、保健機関や金融機関を含む多くの組織・団体からの要求によって促されたと2018年10月に説明している。
すべてのブロックチェーンプロジェクトが個人データの処理に関与するわけではないが、個人データに関与するブロックチェーン・プロジェクトの場合、CNILはデータ保護のリスクに対処するために「設計によるプライバシー」の原則を提唱している。
また、CNILは、ブロックチェーンを使用している企業は、データ管理者が誰であるかを特定し、データ主体のさまざまな権利を提供し、処理に関する適切な保護手段を確立し、データセキュリティに関する義務を果たす必要があると述べ、下請契約に関連するGDPR義務の実施と個人データの国際転送を管理するルールは、特にパブリック・ブロックチェーンが使用されている場合は特に注意が必要であると述べている。
****************************************************************************
(注1) 西村あさひ法律事務所「ヨーロッパニューズレター」2018年11月号 の該当箇所を以下、引用する。
(2)BlockchainとGDPRに関するガイドラインの公表 2018年9月24日、CNILは、ブロックチェーンとGDPRの関係に関するガイドラインを公表した20。その中では、どのようなブロックチェーンであればGDPRに抵触するリスクが生じ得るのか、ブロックチェーンに参加するどの主体がGDPR上の責任を負い得るのか、どのようにGDPRに抵触するリスクを低減できるか等について検討がなされている。欧州委員会でも2018年2月1日にEU Blockchain Observatory and Forumが設置され21、2018年6月8日にはブロックチェーンとGDPRとの関係等についてのWorkshopが開催されるなど、議論が進んでいる22。 EUに限らず、特定の主体が個人情報を管理することと、個人データの訂正・削除を求めることができることとを特徴とする各国の個人情報保護法制と、分散管理とデータの削除を認めないこととを特徴とするブロックチェーンとの間には相容れないように見える点がある。両者の間でどのような調和が目指されるべきかについては、今後世界各国で議論が活発化するものと思われる。
(注2) Pinsent Masons LLPのレポートにspelling errorがあった。以下の赤字箇所である。同事務所には筆者は連絡する予定である。
The CNIL guidance, which seeks to ensure the use of blockchain technology complies with the General Data Protection Regulation (GDPR), has been translated into English by the French authority.
(注3) SSRNはオープンアクセスのオンライン前刷りコミュニティで、主要な学術団体や政府機関に貴重なサービスを提供している。SSRNは主に経済学、法学、コーポレートガバナンス、人文科学などの社会科学を専門としていたが、他の科学分野も対象とするようになっている。学者に対して、初期の研究を掲載し、理論や発見についてコラボレーションし、査読前にアイディアに対して評価を受けられる機会を提供している。
SSRNは博士号過程履修者、教授、機関職員が、学術ジャーナルに出版する前に、初期段階の研究を掲載する開始地点として役に立っている。
********************************************************************
Copyright © 2006-2022 宮沢俊雄(Toshio Miyazawa).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
