AI時代のデータ活用はどこまでOK？個人情報保護委員会／デジタル庁の視点から学ぶ、企業が今すべきこと

活用と保護を両立させる「データセキュリティ」実現に向け、政府はどう動くのか

　国際的なデータ流通の枠組みも、大きく進化している。デジタル庁の石井純一氏は、DFFT（Data Free Flow with Trust：信頼性のある自由なデータ流通）について解説した。これは2019年に安倍元首相が提唱した、「単なるデータの自由流通ではなく、“信頼”が確保される範囲内でのデータ流通」を目指すものだ。

　DFFTはG20大阪サミットで首脳宣言に盛り込まれた後、様々な場でその存在が認識されてきた。2023年には、日本が議長を務めたG7において『DFFT 具体化のための国際枠組み（Institutional Arrangement for Partnership：IAP）』の設立が承認され、同年、OECD（経済協力開発機構）の中にDFFT実現に向けたコミュニティ「DFFT Expert Community」が設置された。

　当初DFFTの推進は、日EU相互の個人データ流通枠組みをはじめとして、独自に展開した個人情報保護分野のほか、通商ルールとしてDFFTを定義しようとする試みを中心に行われていた。しかし、WTOにおける一律のルール化が困難という事情もあり、ルールに限らず原則や指針などを含めて政策を打ち出すためのエコシステムを確立すべく、IAPが設立されたとのことだ。これは、より柔軟で実効性のあるアプローチへの転換を意味する。

　DFFT Expert Communityでは2025年6月時点で、以下3つの主要プロジェクトが進行中だ。

• 透明性：各国のデータ規制をデータベース化し企業の国際展開を支援するプロジェクト
• PETs（プライバシー強化技術）：プライバシーを保護しながらデータ活用を可能にするプロジェクト
• 国際送金：金融犯罪対策とデータ保護の調和を図るプロジェクト

　上記以外にも、法制度の一貫性確保、医療データの越境取り扱い、クラウドの信頼性といった新プロジェクトも提案されており、活動範囲は着実に拡大している。

　こうしたDFFTの枠組みの中で、新たに重視され始めた領域が「データセキュリティ」だ。データセキュリティは、安全保障の観点から、一定のデータが懸念国の手に渡るのを防止するという考え方として登場したもの。2023年のG7プーリアサミットにおける首脳コミュニケーションでは、「機微データの保護および安全についての最高水準の確保」という形で合意された。

　たとえば、データを完全に保護するだけなら金庫のような場所に入れておけばよいが、そのような対応はDFFTの考え方に反する。そこで、データが流通することを前提としながら、信頼性が担保された形でデータが流通するために必要な防護に関する施策を議論・検討するために、デジタル庁では「データセキュリティワーキンググループ」が立ち上げられた。

　従来の情報セキュリティがITインフラに注目していたのに対し、データセキュリティはデータそのものに視点を置き、ライフサイクル全体で防護するという考え方を採用している。これは単一の対策ではなく、制度、技術、運用の組み合わせによる総合的なアプローチを意味する。

　ワーキンググループでは、データのライフサイクルに応じたリスクポイントを特定し、その対処法が議論されており、まもなく中間取りまとめが公表される予定だ。データ活用と保護の両立に向けた、新たな指針となることが期待されている。