Policy(提言・報告書) 科学技術、情報通信、知財政策  DFFT推進に向けたデータ流通政策

2021年11月16
一般社団法人 日本経済団体連合会

はじめに

今回のパンデミックにより、生活のあらゆる場面における人々の行動が変容し、企業を取り巻く事業環境が一変した。今後、持続的な成長を目指すうえでは、経団連が「。新成長戦略」で指摘したように、マルチステークホルダーが求める多様な価値を包摂・協創することが求められる。

そのためには、社会課題を可視化するとともに、全体最適・部分最適の両立を通じ多様な価値創造を可能とする、データのさらなる利活用が不可欠である。こうしたなか、EUの欧州データ戦略、米国の連邦データ戦略をはじめ、各国・地域ではデータ利活用促進に向けた戦略の策定が進んでいる。わが国でも、本年6月に「包括的データ戦略」が「デジタル社会の実現に向けた重点計画」とともに閣議決定され、去る9月に発足したデジタル庁においてその具体化が進められているほか、本年12月には「新重点計画」の策定が予定されている。

データが「21世紀の石油」と呼ばれて久しいが、コロナ禍で明らかになったとおり、わが国におけるデータ利活用は未だ十分でない。情報社会に続く新たな「創造社会」Society 5.0をマルチステークホルダーとともに実現すべく、データがもたらす価値を最大限に引き出すうえでは、行政のデジタル化やデータ流通基盤の整備といった当面の課題はもとより、データに関する権利のあり方、越境データの保護と流通のバランスといった根源的な問題に向き合うことが不可欠である。それによりはじめて、信頼性のあるデータ流通、国境を越えた自由なデータ流通の促進に向けた「包括的」取組みが可能となる。

そこで本提言では、Society 5.0実現に向け、信頼性のある自由なデータ流通、すなわちDFFT(Data Free Flow with Trust)推進に向けた政策の方向性と官民が果たすべき役割について、経団連としての考えを示す。

Ⅰ.データ流通全般に関するルール

1.データ流通の基盤

(1)データ流通促進に関するルールおよび民間提供データの取扱い

民間で流通するデータについては、包括的データ戦略を踏まえ、政府において、分野横断・分野別のプラットフォームにおけるデータ取扱いルールの実装が図られている。各分野における既存のルールとの整合性を確認するとともに、個人データ・非個人データそれぞれの取扱いを明確にすることはもとより、ユーザーの視点を十分に取り入れたうえで、プラットフォームの利用を促進するルールを検討することが不可欠である。わが国における取組みを早急に進め、関連するルール形成に向けた各国の議論をリードすることが求められる。

研究データの流通は、研究開発における国際競争力の確保をはじめ、経済安全保障・イノベーション創出等の観点から重要な課題であり、わが国としての対応や国際的な利活用推進に関する検討を進める必要がある。その際、個人情報保護法第4章の規定が適用されない#1「学術研究」について、学術研究機関と民間事業者による共同研究の該当性判断基準を明確化することが重要である。

民間から行政に提供するデータについては、官民データ活用推進戦略会議官民データ活用推進基本計画実行委員会EBPM推進委員会データ利活用ワーキンググループにて、「行政とデータを提供する民間の間で合意すべき内容の考え方」が整理されており、今後、「合意文書の雛形」の作成が検討されている#2。「雛形」を含む枠組みが実際に活用されるよう、企業の視点を十分に取り入れたうえで、政府によるデータ管理体制の整備等、企業が安心してデータを提供できる環境構築を進めるべきである。その際、政府へのデータ提供が強要されないことを担保するための要件・枠組みを検討するとともに、検討結果と後述のガバメントアクセスに係る国際ルール検討の整合性を確保することが重要である。

また、平時のみならず、自然災害やパンデミック等の有事の際、個人情報の保護やサイバーセキュリティへの適切な対応を図りつつ、データを迅速に利活用できるような備えが必要である。各主体が連携し、有事のデータ提供ルールや仕組みを整備することはもとより、国民や産官学等の様々なステークホルダーを交えた議論を継続的に行い、コロナ禍の経験も踏まえ、公益目的を含むデータの利活用と個人情報保護のバランスに関する社会的なコンセンサスを形成することが重要である。

国際的には、WEF(World Economic Forum)が、合意された特定の公共目的のため、医療情報等のデータを流通・活用するコンセプトとしてAPPA(Authorized Public Purpose Access)を提案している。こうした議論も参考としつつ、公益目的のための個人情報の取扱いに関するルール形成に関する国際的な議論を日本が主導すべきである。

このほか、データ流通をこれまで以上に促進するうえでは、ルールや基盤の整備のみならず、データを提供する主体の理解が不可欠である。デジタル庁発足を契機として、データ活用に関する国民の信頼獲得・理解醸成に官民で協力して取り組むべきである#3。経団連では「個人データ適正利用経営宣言#4」に基づいて、個人データ活用に対する社会的な理解の醸成を目指している。引き続き、「個人データの適正利用に向けたシンポジウム#5」のようなイベントの開催等を通じ、多様なステークホルダーとの対話に努める。

(2)トラストの構築

DFFTとは、「プライバシーやセキュリティ・知的財産権に関する信頼を確保しながら、ビジネスや社会課題の解決に有益なデータが国境を意識することなく自由に行き来する、国際的に自由なデータ流通の促進を目指す#6」とのコンセプトである。ここにあるとおり、DFFTにおける「トラスト」は「信頼」であるが、意味することについての共通認識は形成されていない。

政府の包括的データ戦略においては、「トラスト」が「誰が(主体・意思)、何を(事実・情報)、いつ(時刻)」というフィジカル空間の構成要素に置き換えられている#7。しかし、DFFTのコンセプトを踏まえれば、わが国としてDFFTの実現に必要な「トラスト」の要素・考え方を改めて整理したうえで、国際的な議論を主導すべきである#8。その際、内閣官房デジタル市場競争本部Trusted Web推進協議会が提唱する“Trusted Web#9”のコンセプトに関する議論を参照しながら検討することが重要である。

トラストサービスに係る個別論点としては、適合性評価やトラストサービス事業者の監督において、政府がどの程度関与すべきかが検討課題となっている。EUでは、法的拘束力をもつeIDAS規則#10によりトラストサービスについて包括的に規定しているが、わが国においては、実情に沿ったトラスト基盤の構築に向けて官民の役割分担を明確化する必要がある。その際、企業をはじめトラスト基盤を活用する主体のニーズを十分に踏まえつつ、諸外国の仕組み・制度との整合性を確保することが不可欠である。同時に、トラストサービスのあり方を検討するうえでは、個別プロセスの単純な電子化のみを目指すべきでない。利便性を向上するための一貫した枠組みのもと、リスクの程度に応じた各種サービスの柔軟な連携を実現し、人の介在無しに効率的なやり取りを可能とするという視点が不可欠である。

地方公共団体情報システム機構・法務局・GPKI・LGPKI・HPKIが発行する電子証明書については、現在、証明書発行機関の技術基準・運営基準・設備基準等が明確化されていない。今後、これらを整理することが重要である。

近年、従来の当事者型電子署名だけでなく、立会人型電子署名も実施され、電子署名実施方法の適切な選択が難しい状況にある。各実施方法の法制度上の位置づけ、区分、法的効果を明確化すべきである。

(3)分野間データ連携ツール

内閣府の戦略的イノベーション創造プログラム(SIP)において、多分野のデータを連携・利活用するための「分野間データ連携基盤技術」が研究開発されている。データ社会推進協議会(DSA)は、「分散連邦型」データ基盤の実現に向け、SIPの研究開発成果を「コネクタ」として社会実装するための検討を行っている。分野間データ連携ツール普及による価値創造に向け、こうした取組みの加速が必要であり、膨大な投資に裏打ちされたグローバルベンダーや各国による取組みに伍するためには、わが国政府としての支援が不可欠である。

また、DATA-EXが国内外のデータ連携のハブを目指すうえでは、ツールのみならずルールの相互運用について、わが国が主導して検討すべきである。その際、欧州におけるGAIA-Xをはじめとする取組みによってデータ連携のルール・ツールが先行して整備され、わが国がそれらを一方的に受け入れざるを得ない状況に陥ることを避ける必要がある。

(4)データに関する権利

データ利活用を促進するうえでは、データに関する権利について整理することが不可欠である。データ主体・データ作成者・データ利用者といったステークホルダーの権利のあり方を明確にすることなしに、わが国におけるデータ利活用を進めることはできない。また、EUのGAIA-Xをはじめ各国の取組みとの連携に向けた議論を主導するうえでも、データに関する権利のあり方をわが国として整理しておくことが不可欠である。

現行の法律に照らせば、個人データの適正な取扱いに関する措置は個人情報保護法等において規定されているものの、データは民法上の無体物であり所有権の対象とはならないため、所有権の概念に基づいてデータに関する権利の有無を定めることはできない#11。「データは誰のものか」という議論を脱したうえで、国際的な議論を踏まえながら、DFFTの大前提としてデータに関する権利の体系をわが国として整理すべきである。

データ流通によって社会・個人が利益を享受する「データによる自由」、自身のデータにアクセスできる「データへの自由」、他者から勝手に自身に関するデータを作成されない「データからの自由」を守るため、データに関する権利については、基本権、人格権、財産権、契約に基づく権利等の観点から複合的なアプローチが求められる。法律上の権利や各種制度を組み合わせ、データの保護と流通の適切なバランスを担保しながら、データ主体・データ作成者・データ利用者それぞれが一定の権限を持つ状態を実現することが望ましい。個人データに限らず、産業データ等の非個人データについても、不正競争防止法上の営業秘密や限定提供データといった枠組みと、当事者間の契約に基づくアプローチを補完的に組み合わせ、ステークホルダーの権限を保証すべきである。

これらを実現するためには、有識者やステークホルダーが参画する議論の場を設け、社会的コンセンサスを前提に、現行法制に基づく各種権利や制度からデータに関する部分を切り出し一元的に整理する必要がある。経団連としては、データに関する権利についての考え方を検討するとともに、議論の場へ積極的に参画する。

2.行政におけるデータの整備

(1)ベース・レジストリ

「電子政府」を実現した例として名前の挙がるエストニアでは、情報連携プラットフォームX-Roadのもと、行政システムにおけるあらゆるデータの書き込み・検索を可能としたことにより、99%の行政手続が電子化され、「844年分の労働時間を短縮した」とされている。わが国においてもこうした例に倣い、デジタル3原則を貫徹したうえで、データがリアルタイム・確実に更新される環境・データベースの構築が求められる。

わが国政府の包括的データ戦略では、「公的機関等で登録・公開され、様々な場面で参照される、人、法人、土地、建物、資格等の社会の基本データであり、正確性や最新性が確保された社会の基盤となるデータベース」を「ベース・レジストリ」として整備することとし、その整備方針である「ベース・レジストリ・ロードマップ」を策定している。ベース・レジストリ整備の目的の一つである「新しいサービスの創出」につなげるべく、サービス提供開始までの具体的なマイルストーンを関係省庁が連携して設定することが重要である。

また現時点では、ベース・レジストリの整備のみでは、データの目的外利用禁止が壁となり、データを組織横断的に共有・活用することができない。今後は、指定データの拡充に関する検討を進めるとともに、プライバシー保護やリスク管理を前提に、例えば、行政機関がデータを収集する際、ベース・レジストリとして整備・更新されることを明示することにより、データ共有を促進することが求められる。同時に、長期的なビジョンのもと、柔軟な拡張を視野に入れながら、構築の過程で陳腐化することのないよう取組みを進めるべきである。

(2)利用者ニーズに合ったオープンデータの推進

国および地方公共団体は、誰もが利用しやすい形で公共データにアクセスできるようにするオープンデータの取組みを推進してきた。しかしながら、データの種類・所在が一元的に把握されておらず、政府が運用する「DATA.GO.JP」も十分に活用されていない。データのさらなる利活用に向け利用者のニーズに合った質の高いオープンデータがタイムリーに提供されるよう、デジタル庁が中心となって、データの標準化やカタログのUI改善、周知活動はもとより、データの更新・連結・分析やシステムの広域連携等に取り組み、網羅性・一覧性のあるカタログを構築することが重要である。政府・地方公共団体においては、データガバナンスに加え、データの有効な活用を支援するためのデータスチュワードシップに関する人的・組織的対応力の強化も必要である。

これまでわが国においては、データに対するニーズの吸い上げと、オープンデータ利活用による価値創出との好循環を目指し、様々なステークホルダーの努力がなされてきた。諸外国では、IoT等によるリアルタイムデータも含めた公開・活用が進められており、準公共サービスを提供する民間事業体と政府間のデータ連携も行われつつある。わが国としても、全国レベルで共有すべき方向性#12やガイドライン#13を周知・広報しつつ、マルチステークホルダーによる協力を得ながら、データによる価値創造に向けた体制を強化する必要がある。

経済界としても、オープンデータの活用に係る具体的ニーズを政府・地方公共団体と共有できるよう積極的なコミュニケーションに引き続き努める。

3.越境データの保護と流通に関する国際ルール

(1)データローカライゼーション規制のあり方

本年4月に行われたG7デジタル・技術大臣会合では、DFFTに関する協力のためのロードマップが策定され、データローカライゼーションによる影響やデータローカライゼーションに代わる政策措置に関する分析を各国が協調しながら実施することとなった。また同10月のG7貿易大臣会合で採択された付属文書では「データローカライゼーションの要求が、表現の自由を含む、開かれた社会や民主的価値観を損なうだけでなく、保護貿易主義及び差別的な目的に用いられる状況を懸念する」とされた。国境を越えてデータが自由に流通することは、世界の持続的成長に向けデータがもたらす価値を最大限引き出すうえでの大前提である。わが国としては引き続き、越境データ流通の価値を共有する国・地域と協力しつつ、OECDをはじめとする場においてリーダーシップを発揮し、現存する過度なデータローカライゼーション規制の緩和・撤廃並びにアジア諸国をはじめとする新興国等への拡大の抑止に努めるべきである。

(2)ガバメントアクセス

OECDのデジタル経済政策委員会(CDEP)は、2020年12月に表明した声明#14で、民間が保有する個人データへのガバメントアクセスに関する共通原則がない場合、データの流れが不当に制限され、経済に悪影響を及ぼす可能性があるとの懸念を表明した#15。ガバメントアクセスに関する議論は、上述のデータローカライゼーションに関する議論とも関係が深く、注視する必要がある。

わが国としては、非個人データに対するものを含め、信頼性のあるガバメントアクセスに係る国際ルール検討の議論をリードすべきである。その際、上述の民間提供データ取扱いに関する国内での検討を参照しつつ、企業を含む多様なステークホルダーの意見を取り入れる必要がある。また今後、非個人データに対するガバメントアクセスのあり方について、上記声明で示された個別要素#16の他に考慮すべきものがないか検討し、円滑な越境データ移転に資するガバメントアクセスのあり方を示すべきである。

Ⅱ.個別分野における課題

今般の新型コロナウイルスの感染拡大により、とりわけ健康・医療分野と教育分野におけるデジタル化の遅れが顕在化した。Withコロナの時代が一定程度続くことを念頭に、さらなる感染拡大による負担増を避けるうえでも、健康・医療分野と教育分野におけるデータ活用に向けた環境整備が急務である。

1.健康・医療分野

健康・医療分野においては、取り扱うデータの多くが要配慮個人情報を含む機微なデータであるほか、医療機関で取得されたデータは医療機関において管理されており、本人であってもアクセスが容易でないことが多く、十分なデータ活用がなされていない。しかしながら個人のヘルスケアに関するライフコースデータをIDで連携し、本人同意のもと、医療機関間で情報連携することにより、適切な医療の提供や、民間PHRの蓄積情報を活用したアプリによる健康管理、個人に合わせた予防行動が可能となる。政府が推進しているデータヘルス改革を工程表に沿って着実に実行するとともに、電子カルテ情報を含む医療情報をマイナポータルで閲覧できる仕組みを整備し、APIを通じて民間PHRへ早急に連携することで、自身の健康・医療情報に障壁なくアクセス・利活用できるようにすべきである。電子カルテデータの標準化については、政府において社会実装の見通しを明らかにするとともに、普及施策について早急に検討する必要がある。

また、健康・医療分野においても情報銀行の活用が促進されるよう、情報銀行における要配慮個人情報の取り扱いに関する議論を進めるべきである。なお、ライフコースデータの連携にあたっては、データの標準化が不可欠である。

保健医療分野の公的データベースに関しては、2020年10月よりNDBと介護DBとの連結解析および民間利用が可能となり、データ利活用に向けた環境整備が着実に進められているが、連結されるデータを難病・小児DB等へ拡大するとともに、オンサイトセンターではなくクラウドで利活用できる仕組みを整備し、データ利活用が促進されるようさらなる環境整備を進めるべきである。産学官医連携のもと、厚労省で進めている全ゲノム解析等実行計画を着実に進めて全ゲノムデータベースを整備し、新たな治療法の開発や個別化医療に向けた取組みを進めることも重要である。

データ利活用の重要性が増すなか、わが国では、データに関する各倫理審査委員会の知識・経験の差や、法律等の解釈の違いによって、個人情報取り扱いやインフォームドコンセントを受ける手順に関する各委員会の判断が分かれることがある。このような判断の違いにより、研究の機会損失やデータ利活用の障壁とならないよう、倫理審査の質の向上や、倫理審査の審査結果への異議申し立て等の環境整備に向けた対応が必要である。

2.教育分野

個人のライフコースにわたる学校内外の学習データを連携・活用することによって、個別最適化された学びや、学びとキャリアの連結等を実現すべきである。既に、GIGAスクール構想の実施が前倒しされ、本年3月末までにほぼすべての小中学生に一人一台端末が配布された。今後、これら端末の積極的な活用によるデータの収集が期待されており、収集されたデータの連携・活用のために、早い段階から必要な準備を進める必要がある。

第一に、学習データの利活用に向けて、学習データ活用のグランドデザインおよび目的・原則の明確化に向けた議論を進めるべきである。その際、学校内外を含むデータ連携のキーとなる学習者IDについての考え方を整理するとともに、公教育における学習者情報を個人情報に配慮した形でEBPMや公的な研究に活用できるよう、個人が特定されない形で基礎自治体からデータ収集するための仕組みを検討する必要がある。同時に、学習データ利活用が学習者の成長に資することはもとより、データの不当な利用や囲い込みにより本人のアクセスが妨げられないことについて、そのための具体的な方策を示すとともに広く説明・発信することで、学習データ利活用に対する社会的な理解を得ることが求められる。

第二に、学習データ連携のためには、学習データの標準化が不可欠である。文部科学省において学習指導要領のコード化を行い、教育データの標準(第1版)が公表されている。学校内外の教育データの連携に向けてさらなる標準化が求められる。

第三に、統一した教育情報セキュリティポリシーを策定すべきである。文部科学省は、急速な学校ICT環境整備の推進を踏まえ、本年5月に、各教育委員会・学校が情報セキュリティポリシーの作成や見直しを行う際の参考とする「教育情報セキュリティポリシーガイドライン」を改訂した。しかし、その内容はセキュリティ対策の「考え方」を示すに止まっているため、各地方公共団体でその解釈に差が生じている。その結果、一部の地方公共団体では導入可能なサービスが、他の地方公共団体では導入できない実態がある。地方公共団体の基準の差によって、効果的な教育サービスの普及が妨げられることのないよう、国は全国的な統一ルールを定めるべきである。

おわりに

Society 5.0の実現に向けてデータがもたらす価値を最大限に引き出すうえでは、DFFTのコンセプトのもと、国境を越えた自由なデータ流通を促進することが求められる。

そのためには、本提言で述べたように、ルールや基盤の一貫した整備はもとより、データを提供する主体の理解が不可欠である。データ利活用を迅速に進めるうえでは、セキュリティやプライバシーの確保を前提として、当初から完璧を求めるのではなく、試行錯誤を繰り返しながら環境変化に柔軟に対応する必要がある。政府においては、社会変革に関する明確なビジョンのもと、デジタル庁を中心に各省庁が一体となって面的な活動を行うとともに、データ利活用に関するメッセージを国民に対して直接発信すべきである。

経済界としては、データの利活用を通じた新たな製品やサービスの開発・実装を加速することで、具体的な利便性・生活者価値を目に見える形で提示し、データ利活用への理解や、信頼獲得に貢献していきたい。

経団連は今後も国内外の多様な主体と協働して、DFFT推進に向けた具体的な取組みやデータ流通をめぐる国際的な議論に貢献していく。

以上

  1. 令和3年改正個人情報保護法(施行:2022年~)では、GDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定において、一律の適用除外ではなく義務ごとの例外を規定。
  2. EUにおいても、政府や研究機関等が公益目的で民間データを活用するためのB2Gデータ共有枠組みの構築が進んでいる。(European Commission, "A European Strategy for data")
    https://digital-strategy.ec.europa.eu/en/policies/strategy-data
  3. 本年より「デジタルの日」が創設され、「デジタルについて、定期的に『振り返り』『体験』『見直し』をするための機会」として官民による取組みが行われている。(https://digital-days.digital.go.jp/
  4. 経団連は2019年10月、個人データの適正利用に関する3つの原則を実践することを宣言。
    https://www.keidanren.or.jp/policy/2019/083_sengen.html
  5. https://www.keidanren.or.jp/journal/times/2021/0422_05.html
  6. 「デジタル時代の新たな IT 政策大綱」(2019年、高度情報通信ネットワーク社会推進戦略本部官民データ活用推進戦略会議)より。
    https://www.kantei.go.jp/jp/singi/it2/kettei/pdf/20190607/siryou1.pdf
  7. 「包括的データ戦略」(2021年6月18日閣議決定)より。
    https://www.kantei.go.jp/jp/singi/it2/kettei/pdf/20210618/siryou3.pdf
  8. ビジネス上の観点からは、コストやリスク低減、消費者からの信頼獲得が重要である。
  9. 特定のサービスに依存せずに、データのコントロールや合意形成の仕組みを取り入れ、検証できる領域を拡大し、Trust(相手が期待した通りに振る舞う度合い)を高めていくことを目指すもの(「Trusted Web ホワイトペーパー Ver1.0」より)。
    https://www.kantei.go.jp/jp/singi/digitalmarket/trusted_web/pdf/documents_210331-2.pdf
  10. Electronic Identification and Trust Services Regulation(EU圏内市場における電子商取引のためのトラストサービスに関する規則)。
  11. 経済産業省「AI・データの利用に関する契約ガイドライン 1.1 版」においても、「著作権等の知的財産権が発生する場合は別として、わが国の現行法上、データに所有権その他の物権的な権利を観念することはできない」とされている。
    https://www.meti.go.jp/press/2019/12/20191209001/20191209001-2.pdf
  12. 内閣官房高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議により、オープンデータに関わる施策の基本指針をまとめた「オープンデータ基本指針」が公表されている。
    https://cio.go.jp/sites/default/files/uploads/documents/data_shishin.pdf
  13. 内閣官房情報通信技術(IT)総合戦略室により、地方公共団体による取組を促進するための「地方公共団体オープンデータ推進ガイドライン」が公表されている。
    https://cio.go.jp/sites/default/files/uploads/documents/opendata_guideline.docx
  14. "Government access to personal data held by the private sector"
    https://www.oecd.org/digital/trusted-government-access-personal-data-private-sector.htm
  15. このほか、GPA(Global Privacy Assembly)は、ガバメントアクセスに係る共同決議を採択している。
    https://globalprivacyassembly.org/wp-content/uploads/2021/10/20211025-GPA-Resolution-Government-Access-Final-Adopted_.pdf
  16. 同声明では、共通原則に含まれ得る内容として①政府がデータへアクセスしうる法的根拠、②アクセスが正当な目的を満たすとともに合理的かつ比例的な方法で実施されるという要請、③透明性、④ガバメントアクセスへの承認と制約、⑤取得されたデータの取扱い制限、⑥独立した監督、⑦効果的な救済、が示されている。