技術の発展とデータ保護について

近年、ビットコインやイーサリアム等のデジタル通貨(暗号通貨)のブームにより、ブロックチェーン技術が注目を集めています。ブロックチェーン技術は、不変、透明、分散という性質上、暗号通貨、公的記録の管理、金融サービス等の様々な分野において利用が増加しています。インドでは、不正の抑制、効率化、セキュリティ、透明性等の観点から、ブロックチェーン技術を最大限活用できるという意味で、金融サービス業界での利用が特に多くなっています。

銀行および金融機関は、コマーシャルバンキング、トレードファイナンス、決済システムにおいて、ブロックチェーン技術の利用を開始しました。また、インド大手ノンバンクBajaj Finservは、旅行保険等のサービスにブロックチェーン技術の利用を開始しています。インドステイト銀行、HDFC銀行、ICICI銀行、ドイツ銀行、UAEエクスチェンジを含む37の銀行およびパートナーから成るBankChain組合は、顧客確認(KYC)データおよび調査報告書の統合および共有が可能なブロックチェーン「Clear-Chain」を創成しました。さらに、インド国内の11の銀行が、ブロックチェーンを活用した中小企業向けの資金調達業務を開始するため、Blockchain Infrastructure Companyを設立しています。

一方で、各主要国においては、個人データを保護するために厳格なデータ保護法を制定しています。現在インドでは、情報技術に関するデータ保護は、2000年データ技術法、2011年合理的な保護手段及び手続き並びにセンシティブ個人データに関する情報技術規則に準拠することになっています。2019年12月、インド政府は、事業体に個人データを収集され・処理される対象となる自然人(「データ主体」)のプライバシーの保護を目的として、2019年個人データ保護法案(「法案」)を議会に提出しました。法案の主な趣旨は、データ主体のデータを収集、保存、および処理する際に事業体が遵守すべき技術的・組織的なフレームワークを提供することです。

ブロックチェーン技術について

ブロックチェーン技術は、各ブロックがデータを保存および送信し、これらのブロックがデジタルチェーンで互いに接続されている分散台帳ネットワーク上で動作します。各ブロックには、ネットワーク内のあるブロックと別のブロックを区別する一意のコード「ハッシュ」が割り当てられます。ネットワークに情報ブロックのコピーを保存し、新しいブロックの検証と追加に参加するシステムは「ノード」と呼ばれます。

ブロックチェーンには次のような種類があります。

(i)パブリックブロックチェーン

公開、分散化されているブロックチェーンです。ブロックチェーンを単独で制御できるノード/参加者はいません。��ロックを追加するには、ブロックチェーン内の他のすべての既存のノード/参加者の同意が必要です。パブリックブロックチェーンの代表例として、ビットコイン、イーサリアムが挙げられます。

(ii)プライベートブロックチェーン

許可制をベースにしたブロックチェーンです。新規参加者は、ブロックチェーンネットワークの既存の参加者から招待された場合にのみ参加できます。このブロックチェーンは、パブリックブロックチェーンと比較すると、集中管理されています。プライベートブロックチェーンの代表例として、オープンソースのブロックチェーンと関連アプリケーションを構築するためのフレームワークを提供している、ハイパーレジャーが挙げられます。

(iii)コンソーシアム/ハイブリッドブロックチェーン

ノードの一部がパブリックであり、他のノードはプライベートといった形態のブロックチェーンです。一部のノードは任意に参加が可能で、一部のノードには参加制限があります。コンソーシアム/ハイブリッドブロックチェーンの代表例として、ピアツーピアの資金調達を促進するためのブロックチェーンである、ジンフィンが挙げられます。

ブロックチェーン技術と法案の整合性について

ブロックチェーン技術と法改正手続きは同時並行で進んでいるため、ブロックチェーン技術の利用と法案との整合性について理解することは不可欠です。法案は、様々な目的でデータを収集されるデータ主体に対して、一定の権利を付与するとしています。データ主体の主な権利は、次の2つです。

(i)データを修正・削除する権利

誤った個人データを修正し、不要になった個人データを削除することができる権利です。

(ii)忘れられる権利

データの収集がその目的を達成した場合や必要性がなくなった場合、同意が取り下げられた場合、または法律に違反してデータの収集が行われた場合に、個人データの継続的な開示を制限または防止する権利です。

ブロックチェーンのコアとなる概念は、「不変性」です。従って、ブロックチェーン技術の利用に関しては、上記権利との整合性について考慮することが重要です。ブロックチェーンが持つ不変性は、特に単一のノード/参加者によるデータの一方的な変更を制限するように設計されたパブリックブロックチェーンの場合、データの削除/変更を困難にします。

また、法案における他の重要な概念として、「データ受託者」「データ処理者」があります。「データ受託者」とは、「データ処理の目的と手段を単独または他者と組み合わせて決定する、国、法人、個人」を意味し、「データ処理者」とは、「データ受託者に代わって個人データを処理する、国、法人、個人」を意味します。法案の観点からは、ブロックチェーン上のデータ受託者およびデータ処理者を特定し、法案の下定められている義務(個人データの収集または処理に関する通知や実装、システムセキュリティ保護のレビュー 等)を確立させることが重要となります。

パブリックブロックチェーンでは、コントロールが分散化されているため、データ受託者とデータ処理者の特定が困難となる可能性があります。プライベートブロックチェーンでは、一般に、データ処理の手段と目的を決定する特定の事業体/参加者が存在し、そのような場合、当該事業体/参加者はデータ受託者またはデータ処理者として扱われます。ただし、データを処理しているプライベートブロックチェーンに複数の事業体/参加者が存在する場合、各々がデータ受託者またはデータ処理者となる可能性があり、特定が困難になることが考えられます。また、法案の規定を遵守すべき責任を負う事業体/参加者の特定は困難になることが予測されます。

プライベートブロックチェーンまたはハイブリッドブロックチェーンネットワークにおいては、データ受託者とデータ処理者の特定および義務の遵守とデータ主体が法案の規定に則って権利行使を行うことはどちらも可能でしょう。しかしながら、パブリックブロックチェーンにおいては、保存データが不変性を持ち、明確な中央機関が存在しないことから、権利義務の特定と行使は困難となることが予測されます。

これは、ブロックチェーン技術と法案との非整合性につながる可能性を示唆しています。同様の問題は2018年5月25日に施行されたEU一般データ保護規則に対しても提起されており、議論が続いています。現状、ブロックチェーンとデータ保護法との整合性に関する問題がどのように解決されるか不明確であり、ケースバイケースで確認していく必要があります。

総評

インドでは、金融取引やデータストレージ等のビジネス分野において、ブロックチェーンの勢いが日々増しています。インドを世界におけるブロックチェーン業界の主要なビジネス先とするには、データ保護とブロックチェーン技術の双方を発展させていけるようなバランス関係の構築が求められます。