令和３年度我が国におけるデータ駆動型社会に係る基盤整備(データの越境流通に関連する諸外国の規制制度等調査事業)

この報告は、令和3年度における我が国のデータ駆動型社会基盤整備の一環として、諸外国におけるデータ越境流通に関連する規制制度について調査した報告書である。データ流通は今日のグローバルに相互接続された世界を支えており、クラウドコンピューティングやビッグデータ分析の技術革新により国境を超えたデータ移転がますます増加している。一方で、各国においてデータの域外移転に関する規制が存在し、GDPR登場前後でグローバルの潮流が大きく変化し、2020年時点で累計200を超える規制が世界各国で立法整備されている状況にある。

本調査では、日本企業にとって重要性の高いEU、中国、シンガポール、タイ、インド、ベトナム、インドネシアを対象として、域外移転規制とローカライゼーション規制の両面から分析を行った。域外移転規制は個人データ保護を目的とし、個人情報保護が不十分な国への移転を防ぐための規制である。一方、ローカライゼーション規制は国内産業保護や安全保障の観点から、データを特定の法域内で保管または処理することを義務付ける規制となっている。

各国の規制状況として、EUではGDPRに基づく十分性認定や標準契約条項等による域外移転の枠組みが確立されている。中国では個人情報保護法案、サイバーセキュリティ法、データセキュリティ法により複層的な規制が構築され、重要情報インフラ運営者に対するデータの国内保存義務等が定められている。シンガポールでは個人データ保護法に基づく域外移転規制があり、タイでも個人データ保護法により同様の規制が適用される。インドでは2019年個人情報保護法案において、センシティブ個人データの域外移転規制と重要個人データの国外移転原則禁止が規定されている。ベトナムでは個人情報保護に関する政令案により新たな規制枠組みの導入が検討されている。

これらの規制に対する日本企業の対応として、域外移転規制については十分性認定の活用や適切な移転メカニズムの選択が重要である。ローカライゼーション規制については、国内でのデータ保存体制の整備や業務プロセスの見直しが必要となる。国際ルールとしては、GATS、CPTPP、RCEP等の貿易協定におけるデータ流通規律や、OECDプライバシーガイドライン、APECプライバシーフレームワーク等の国際的枠組みが存在する。「信頼性のある自由なデータ流通」の促進に向けて、各国法制度の正しい理解と適切な対応が求められている。