令和４年度規制改革推進のための国際連携事業（データ保護ないし越境移転に関連する諸外国の企業認証制度等に係る動向調査）調査報告書（英語版）

この報告は、データ保護及び越境データ移転に関する企業認証制度の各国動向について書かれた報告書である。デジタル時代においてデータが付加価値の源泉となる中、個人の権利と経済活動のバランスを考慮した関連規制が1990年代以降世界各国で発展してきた背景のもと、越境データ移転に関する多様なツール（認証、標準等）の実態調査と、新たなグローバルCBPRフォーラムの運用改善に資する情報収集を目的として実施された研究である。

調査では越境データ移転の概念整理を行い、国際ルール、各国・地域の規制、及び企業が日常業務で利用する各種ツールの詳細な分析を実施した。日本を含む22の国・地域と関連国際機関を対象とし、越境移転規制、データローカライゼーション要件、個人データ保護ツール、一般データ保護ツールについて包括的に調査した。企業インタビューを通じて実際の運用状況と課題を把握し、現行ツールの問題点と事業ニーズを特定した。

調査結果として、多くの規制では特定要件を満たせば越境個人データ移転が可能であるが、要件は規制により異なることが判明した。一般的要件はデータ主体の同意と移転先国での十分なデータ保護レベルであり、GDPR類似規制を持つ国では法的拘束力のある文書、特定認証、行動規範も承認される。中国やロシア等一部の国ではデータローカライゼーション要件も存在する。グループ外企業との越境移転は個別対応が一般的でSCCが最も普及しており、グループ内移転では汎用的データガバナンス構築を目指す企業はBCRを、そうでなければSCCを標準的に使用する。CBPRは企業のデータガバナンスの信頼性獲得によく利用される。

企業の主要ニーズは最低限・適切レベルの保護要件を満たし、容易に信頼性を獲得することであり、今後の政策議論では各国・地域の規制・ツールの制度設計意図を考慮しつつ、データを適切に保護し各種規制に容易に準拠できる新たな枠組みの検討が必要である。