(2)越境データに関する規制等の法制度の動向 企業における事業活動がグローバル化し、国境を越えて多くのデータが流通している一方で、諸外国の一部では、@プライバシーの保護、A自国内の産業保護、B安全保障の確保、C法執行/犯罪捜査などを目的として、越境データ流通を規制する動き、いわゆる「データローカライゼーション」に関する法制度の制定・施行が進行している。データローカライゼーションとは、例えばインターネット上のサービス等について、当該サービスを実行する物理的なサーバーはサービスを提供する国内で運用しなければならない、すなわちサービス提供に必要なデータはすべて当該国内に存在しなければならないという考え方に基づくルールであり、その対象はパーソナルデータや産業データなど、目的や理由に応じて整理されるものである。 データローカライゼーションには、@データの移転そのものを制限するもの、A自国内に顧客などから収集したデータ(企業保有データ等も含む)を保有・保管するために制限するものの2種類が存在する(図表2-3-1-4)。 図表2-3-1-4 データローカライゼーションの例 (出典)総務省「安心・安全なデータ流通・利活用に関する調査研究」(平成29年) @の代表例として、EUの「一般データ保護規則(GDPR:General Data Protection Regulation)」が挙げられる。GDPRは、従来の「EUデータ保護指令」に代わって2016年4月に制定され、2018年5月25日から施行されるルールである。主にEU域内に居住する個人のプライバシー保護を目的として、EU域内で収集される個人データ保護に関する規則であり、またEU域内のデータ保護法制を一本化した規制の枠組みである。具体的には、EU域内で取得した「個人データ」を「処理」し、EU域外の第3国に「移転」するために満たすべき法的要件を規定したものである。 GDPRでは、データ主体(Data Subject)、すなわち本人の基本的権利を保護するという基本理念が根源にある。そのため、GDPRの求めるデータ保護に関する要件は、個人の権利の明確化や、違反した際の高額な制裁金の設定など、事業者への要求事項として173項目の前文及び99条にわたる規制が厳格に定められている。GDPRはEUで定められたルールであるものの、国内企業であっても、その適用を受けることは十分に想定される。例えば、EUに子会社・支店・営業所を有している日本企業や、日本からEUに商品やサービスを提供している日本企業、EUから個人データの処理について委託を受けているデータセンターを有する日本企業なども適用対象となる。具体的な制約としては、日本企業・グループのEU支社で働く従業員の人事情報を日本国内で管理することができない、あるいはEUでのサービス提供に際してはサービス利用者の顧客情報を日本国内で入手し、分析・管理することができないことなどが挙げられる。 EU域内から第3国へのデータ移転を行うには、第3国が十分なレベルの保護を確保していると欧州委員会が認めた場合に限り可能である(十分性認定 2 )。十分性認定を受けていない第3国に個人データを移転する場合には、1)本人の明確な同意の取得、2)グループ企業を包括したデータ移転を可能とする「拘束的企業準則(BCR)」、3)個別契約を交わした企業間に適用される「標準契約条項(SCC)」、4)行動規範、5)認証メカニズムのいずれかを満たすことが求められる。(図表2-3-1-5)。 図表2-3-1-5 EUのGDPRのポイントと第3国へのデータ移転条件 (出典)総務省「安心・安全なデータ流通・利活用に関する調査研究」(平成29年) 2 EUから見て十分なレベルの保護措置を確保しているとの認定を得ることで、EU域内から個人データを第三国に移転可能となる(十分性認定)。欧州委員会の政策文書「グローバル化する世界における個人データの交換と保護」(2017年1月10日)によれば、十分性認定に関しては、「(略)2017年は、日本及び韓国を始めとして、他の東アジア及び東南アジアの重要な貿易相手国、ラテンアメリカ諸国及びEUの近隣諸国等と、十分性認定の可能性を探るため積極的に連携する」と日本への言及がなされている。