2021年6月22日の報告です。GDPRはビジネスの障壁だ、というのは多くの企業の本心かもしれません。英国のイノベーション、成長、規制改革に関するタスク・フォースはこの点を明確に述べています。ビジネスの観点、データ利用をして競争優位を得たいという観点からは自然な意見といえそうです。EUを離脱し、タガが外れたということかと思いますが、共同体の理念とは何かを少々考えさせられてしまう発表です。

[yuryowaku]

有料会員になって頂くと、以下のコンテンツをご覧いただけます。

  • 【Background Facts】 ・・・発生した事象の概要
  • 【ビジネスとの関係】・・・本事例に関連してビジネス上留意すべき点
  • 【情報ソース】・・・本情報のソース
[/yuryowaku]

【Background Facts】

  • イノベーション、成長、規制改革に関する英国タスク・フォースが、EU離脱によってもたらされた規制や貿易に関する自由を活かす方法について報告しています

【執行措置について】

  • コンプライアンス戦略の開発について:
    • データ保護フレームワーク:
      • UK GDPR:
        • 規範的で柔軟性がなく、特に中小企業や慈善団体にとって対応が重荷となっている
        • 処理している大量のデータを管理するために必要なプロセスを実装することは、組織にとって容易なことではない
        • データの所有権は市民にあるという原則で作られており、組織が市民のデータを処理するためには一般に同意をとる必要がある
          • 同意以外を根拠としてデータ処理を実施する方法についての定義は不十分であり、理解されていないため、管理者及び処理者の間に混乱を生じている
          • 大規模テクノロジー企業は、取得したデータを販売して利益を得る前に、消費者にプラットフォームを使用することに同意するよう義務付けている
            • 消費者は自身の個人データにコントロール権があると誤って信じている
      • GDPRを改正することでデジタル・エコノミーにおける成長を加速することができ、慈善団体や中小企業(SMEs)、ボランティア組織の負荷を軽減することができる
    • 推奨事項:
      • GDPRを次の点で改正しなければならない
        • 市民が自身のデータの使われ方をより細かく管理できるように、新たな規制インフラストラクチャを創造する
        • より侵害的でない方法で、情報提供をされた上での意味のある同意(informed consent)を可能とする
      • 法律の精神ではなく文面を遵守した、法律尊重主義で企業が取得する同意ではなく、データ処理の正当性が本当にデータ所有者と社会の利益になるかにより重点を置く必要がある
      • 消費者が自身のデータに関する承認と交渉を委任する、データ信託者又はデータ受託者の存在を許容する規制アーキテクチャを作成するべきである
  • データ処理の定義について:
    • 人工知能(artificial intelligence, AI)
      • GDPRの要件:
        • 目的の制限の原則及びデータ最小化の原則を順守するよう要求している
          • これはAIを制限するものとなる
            • 組織は潜在的な価値を理解するまで新たなデータを取得できない
            • 既存のデータを新規の目的のために再利用できない
        • 法的、又は同様に重大な影響を及ぼすような自動化された意思決定に個人が従わないように要求しているが、ルーチン・プロセスを自動化するためにAIを使用する組織にとっては負荷が大きく、コストがかかり、非現実的である
          • 自動化処理からopt outした個人に対してマニュアルで作業を行うプロセスを用意しなければならない
          • 人間による意思決定より優れた決定を行える自動化された意思決定の使用を妨げるものとなる
      • 自動化された意思決定に個人が従わない権利は削除すべきである
        • 自動化されたプロファイリングが正当性の要件、または公益性の要件を満たすかに焦点を当てるべきである
        • 同意は理解されることなくされる、または容易に拒否しがたい契約の要件の一つとしてされるため、これらの決定に対して明確な同意を使用すべきではない
    • 健康データ:
      • 英国医療システム全体で医療データを流通させることに対して多数の障壁がある現状は、臨床試験部門の競争力を育む上での最大の障壁となっている
        • GDPRは正当な利益または公益がない場合、自身のデータを処理するために、データ主体の同意を取得するように要求している
          • しかし、民間ヘルスケア団体及び民間研究団体にとっては、処理によって得られる利益がデータ主体の権利を上回ると示すことは困難である
      • 公益のためのデータ使用に対する障壁は次の領域で取り除くべきである:
        • 患者の安全
        • 薬物検査
        • 健康に関する研究
        • NHSのパフォーマンス及び治療水準の向上
      • 何が公益にあたるかを定義すべきである
        • 公共の利益のために公的機関、医療および研究組織による処理および共有を含むように
    • デジタル・ヘルス:
      • 以下について、障壁を取り除くべきである:
        • 明確なデジタル相互運用スタンダードと、統合された消費者ヘルスケア・アプリを開発する規制整備の道筋を確立する新たなデジタル・ヘルス規制ユニットを作ることで健康アプリへの障壁の適用を除外すべきである
        • 企業から消費者へのデジタルヘルスの統合
          • 遠隔の(hard-to-reach)患者を集め、診断し、治療するツールを企業が開発することを支援するために、シンプルな規制の枠組みを作成すべきである
      • 医療データの使用を改善するには、部門をまたいだデータ共有モデルを作成すべきである
        • ICOと健康規制庁とで合同のサンドボックスを作成すべきである

【情報ソースのタイトルと文書】

A Bold New Regulatory Framework for the UK – Taskforce on Innovation Growth and Regulatory Reform

https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/994125/FINAL_TIGRR_REPORT__1_.pdf