令和３年度我が国におけるデータ駆動型社会に係る基盤整備(データの越境流通に関連する諸外国の規制制度等調査事業)概要版

この報告は、データの越境流通に関連する諸外国の規制制度について書かれた報告書である。

本報告書では、EU、中国、シンガポール、タイ、インド、ベトナム及びインドネシアにおける域外移転規制とローカライゼーション規制について包括的に調査し、整理している。域外移転規制は個人情報保護が不十分な国への個人データ移転を防ぐ観点からの規制であり、ローカライゼーション規制は国内産業保護や安全保障の観点からデータを国内にとどめるべきという観点からの規制である。

各国の規制状況を比較すると、EUではGDPRに基づく域外移転規制が存在するが、ローカライゼーション規制は存在しない。中国では両方の規制が存在し、サイバーセキュリティ法とデータセキュリティ法により重要情報インフラ運営者に対して個人情報及び重要データの国内保存義務が課されている。シンガポールとタイでは域外移転規制のみが存在し、インドでは現行法上両規制とも存在しないが、法案において両規制の導入が検討されている。ベトナムではローカライゼーション規制のみが存在し、インドネシアでは公共部門における電子システム提供者のみを対象とした限定的なローカライゼーション規制が存在する。

域外移転規制については、EUのGDPRが最も体系的であり、十分性認定、標準契約条項（SCC）、拘束的企業準則（BCR）、本人の同意などの複数の移転根拠を提供している。中国では安全評価と本人同意を組み合わせた手続が必要とされ、シンガポールではCBPR認証やAPEC認定が利用可能である。これらの規制は貿易協定における電子商取引章やデジタル貿易章においても規律されており、CPTPPやRCEPなどでは域外移転規制及びローカライゼーション規制に対する規律が設けられている。