データ主権とはなにか？〜越境データ移転規制の現在地〜その１

Data Sovereignty: Nebulous and Evolving, But Here to Stay in 2024?
IAPP Asia Privacy Forum 2024 現地レポート[Vol.2]
公開：2024/07/30　執筆：ウンリュエル愛友美（株式会社プライバシーテック）、取材・撮影：山下大介（株式会社プライバシーテック）

世界中のプライバシー専門家が集う国際会議「IAPP Asia Privacy Forum 2024」が、2024年7月17日〜18日の日程で、シンガポールで開催されました。株式会社プライバシーテックは、今年4月にワシントンD.C.で行われたカンファレンスに続いて、今回も現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。

◆ この記事でわかること
・データローカライゼーション、データ主権の微妙な違いを理解する。
・データ保護法が義務付けている、越境データ移転に関する主な要件について理解する。
・急速に変化している、アジア太平洋地域での越境データ移転の情勢を把握する。

登壇者

Charmian Aw, CIPP/A, CIPP/E, CIPP/US, CIPM, FIP, Partner, Squire Patton Boggs
Darren Grayson Chng, AIGP, CIPP/A, CIPP/C, CIPP/E, CIPP/US, CIPM, CIPT, FIP, Regional Data Protection Director, Asia Pacific, Middle East, and Africa, Electrolux
Josh Lee Kok Thong, Managing Director (APAC), Future of Privacy Forum
Wei Loong Siow, CIPP/E, CIPM, CIPT, FIP, Legal Counsel & Data Protection Officer, Changi Airport Group
Denise Wong, AIGP, Deputy Commissioner, Personal Data Protection Commission, Singapore

転載：IAPP Asia Privacy Forum 2024

概要

このパネルディスカッションでは、広大で多様な国々から成るアジア圏においてガバナンス体制が発達する中、データ主権（Data Sovereignty）、データローカライゼーション、越境データ移転（CBDT: Cross Boarder Data Transfer）といった、誤用、誤解されがちな概念について掘り下げられた。

世界で最も人口の多い4か国のうち3か国があり、また地域経済として最も急成長する可能性を秘めているアジアにおいて、デジタル世界におけるデータおよびプライバシー法の役割は重要なものとなってきている。

1.  越境データ移転（CBDT）について

この図（上記）は、ひとつの司法（法令やガイドライン）が管轄する区域を超えたデータ転送をする際に、大きく２つのルール（考え方）があることを概念的に表したものである。

左側（Free flow of data）は、データの自由な流通を認めている区域であり、一部制約があるものの、ほぼ自由なやり取りができる。

右側（No flow of data）は、データの移転を認めていない区域であり、データローカライゼーション（後ほど詳説）に関する制約が多い区域を示している。

あくまで、この図は単純化したものにすぎず、実際の状況はもっと複雑なものとなっている。

グローバルでデータ移転が発生するビジネスにおいては、対象となる国・地域のルールが、複数同時に存在するため、データの種類や送信先国によって、異なるポリシーを採用しなければならない。

司法が、この図で示されるどの範囲に管轄権を設定することが適切であるかは、さまざまな政策上の考慮事項や目的によって異なる。

具体的には、「データ主権」の定義、外国からの干渉の防止、プライバシーや個人情報の保護、想定される競争上の優位性を備えた国内市場の提供、または他管轄権による措置への対抗などを考慮し、設定される。

概念について

データローカライゼーションとは

データローカライゼーションとは、データをローカル（国・地域内）で保存および処理することを義務付ける政策、法律、および規制のこと。（編注：データローカライゼーションの規制が強い国・地域は、EU・中国・ロシア・インドをはじめ、数多く存在する。）

データローカライゼーション規制の例は以下の通り。

• 条件により厳しく制限する（データを国外に移転できるのは、受信側の管轄区域または組織が特定の条件を満たした場合のみ、など）。

• 企業がデータのローカルコピーをローカルサーバーまたはデータセンターに保存することを義務付ける。

• 個人データの保存、送信、処理をすべて国内で行う。一般的に他国へのデータ転送が禁止されている。

データ主権(Digital Sovereignty)とは

データ主権とは、一般的には、国家や地域が自国の領土内で生成されたデータに対して持つ主権を指す。これは、データがどのように収集、保存、処理、利用されるかについて、その国や地域が主導権を持ち、管理する権利を意味する。

ただし、比較的新しい概念であるため、統一的な定義は存在せず、思想や立場によって複数の見解が存在する。

• データ主権を「デジタル主権」という広義の概念の一部分であると捉える人もいる。デジタル主権とは、サイバー空間の活動を規制する力であり、デジタル領域における戦略的自主性を実現する力である。

• デジタル主権は、「データ主権」と「技術主権」で成立する。データ主権がデータ保存、処理、アクセスといったデータ関連分野に焦点を当てるのに対し、技術主権は主要技術、デジタルインフラ、イノベーションに焦点を当てている。

https://atos.net/en/lp/digital-sovereignty-cybersecurity-magazine/what-is-sovereignty-and-why-it-does-matter

2.  越境データ移転（CBDT）に関する規制当局の対応

今日の相互接続された世界において、越境データ移転（CBDT）は、グローバルなデジタル経済を推進し、デジタル貿易を促進する上で極めて重要な役割を果たしている。

国境を越えて個人データをシームレスに転送できるため、企業は国際的な規模でサービスを提供することが可能になり、個人には幅広いデジタルサービスやプラットフォームへのアクセスが提供されている。

しかし、そういった利点がある一方で、越境データ移転は個人のプライバシー保護、データセキュリティ、および個人データの悪用可能性に関して、さまざまな懸念を引き起こす。

そのため、データ保護法によって、越境データ移転の円滑化と個人の権利および利益の保護のバランスを取る必要がある。

データ保護法は一般的に、組織が個人データを保管している管轄区域から合法的に個人データを転送する前に、特定の要件を満たすことを義務付けている。これらの要件の目的は、特別な事情がない限り、個人に関する情報が管轄区域外に移転される際に適切に保護されるようにすることである。

一般的には要件には以下のものがある。

• 十分性認定（移転先の管轄区域における個人情報の保護水準の評価）
  送信先の法域における法的枠組みが、送信元の法域が評価した送信元と同等の水準で個人情報を保護する場合に、国境を越えたデータ移転を許可する法的メカニズム。法令によって十分性認定がされている国・地域間では、データの移転が可能になる。
  
  例：GDPR第45条（編注：日本（個人情報保護法）はEU（GDPR）の十分性認定を2019年1月に、アジアで初めて受けている。）
  

• 当事者間の契約
  移転元と移転先との間で交わされる法的拘束力のある契約で、移転先がデータ移転後に特定の措置を講じて個人情報を保護することを規定するもの。管轄区域ではこのような合意を締結しやすくするために、標準化された条項（ASEAN MCCs、EU SCCsなど）が策定されている。

  　

• 認証の取得
  CBPR（Cross Border Privacy Rules：APEC越境プライバシールール）や、PRP（ Privacy Recognition for Processors：プロセッサ向けプライバシー認証）などの認証制度を取得していること。
  または、親会社および／または子会社組織間で内部的にデータ転送を許可する内部規則で、BCRs（Binding Corporate Rules：拘束的企業規則）を策定していること。データ処理契約（DPA: Data Processing Agreement）が必要。

  　

• 個人からの同意
  世界的に多くのデータ保護法では、データ対象者（個人）が同意した場合、他の管轄区域への個人データの越境移転が許可されている。つまり、個人からの同意は、データ転送における中心的な要素と言える。
  一部の法律では、個人からの同意が得られている場合でも、移転者（事業者）による安全対策（個人に関する情報の保護）の実施を義務付けている場合がある。そのため、「有効な同意」の要件は、管轄区域によって大きく異なる可能性があることに留意する必要がある。

  　

• 必然性
  一部のデータ保護法では、以下のような例外的な状況において、他管轄区域への個人データの移転を許可している。

  　・個人の生命や健康など、重要な利益の保護。
  　・公衆衛生や安全に対する重大な脅威の防止または対策。
  　・法執行に必要な場合。
  　

多くの課題が残存

データの越境移転には、未だ、以下に示すような多くの課題が残っている。それぞれのテーマに、どのような意義があり、どのように実運用されていくのか、今後の動向を注視する必要がある。

・EUと米国間のデータ保護に関する枠組み
・日本がG7で提唱した、信頼性のある自由なデータ流通（DFFT: Data Free Flow with Trust）
・グローバルCBPRにおける主導権
・地域標準契約条項またはモデル条項
・EUの十分性認定

3. アジア太平洋地域における国境を越えたデータ移転

アジア太平洋地域（APAC）における越境データ移転の情勢は、APAC の複数の管轄区域で新たなデータ保護法が制定されたり、既存のデータ保護法や規制の大幅な見直しが行われたりするなど、急速に変化している。

2021年以降に制定、改正、施行された6つのデータ保護法（中国、日本、韓国、インドネシア、タイ、ベトナム）を調査したところ、日本、韓国、インドネシア、タイは、越境データ移転の法的根拠についてある程度整合性があることが示された。一方、中国とベトナムは独自の要件を持つ例外的な存在である。

日本、韓国、インドネシア、タイはいずれも、越境データ移転の有効な法的根拠として、十分性認定および個人からの同意を認めている。認証スキームの認定についても、ある程度の整合性が見られる。しかし、これらの法律の多くはごく最近制定または改正されたばかりであるため、どの管轄区域が相互に十分であると認められるのか、最終的にどの認証スキームが認められるのかについては、依然として不確実性が残る。

中国とベトナムは、調査対象となった他の法域とは大きく異なる。両国はいずれも、個人データの移転に関して独自の条件を設けており、移転を行う組織は関連規制当局に対して詳細な評価を行い、提出することが義務付けられている。

国境を越えたデータ移転の規制に対するアプローチの相違は、各司法管轄区域における異なる政策上の考慮事項、および個人情報の価値に対する異なる概念を反映していると考えられる。

特に、GDPRのような影響力のあるデータ保護フレームワークに合わせるよう求める声と、国家安全保障や主権の保護、外部リスクや競合他社からの地元経済の保護といった地元での考慮事項の尊重との間で、緊張関係が生じている。

場合によっては、この緊張関係からGDPRに類似しているものの、GDPRとは互換性がない構造が生み出される可能性もある。その場合、複数の法域で事業を展開する組織にとって、GDPRに基づくコンプライアンスプログラムをAPAC地域の要件と整合させる取り組みが非常に複雑になることが予想される。

以上

※本記事は山下大介（株式会社プライバシーテック）が取材、ウンリュエル愛友美（株式会社プライバシーテック）が翻訳、編集しています。

当社では、今回のカンファレンスの詳細版レポートと勉強会を有償（20万円〜）にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。

◆ 関連記事
[Vol.1]IAPP Asia Privacy Forum 2024が開催
[Vol.2]データ主権とはなにか？〜越境データ移転規制の現在地〜その１←この記事
[Vol.3]データ主権とはなにか？〜越境データ移転規制の現在地〜その2

===

＜＜前へ：[Vol.1]IAPP Asia Privacy Forum 2024が開催

＞＞次へ：[Vol.3]データ主権とはなにか？〜越境データ移転規制の現在地〜その2

===

＜公開予定＞

プライバシー強化技術: PET 導入への道を開く(Privacy-enhancing Technologies: Paving the Way for PETs Adoption)

プライバシーと AI プログラムにおける説明責任の運用(Operationalizing Accountability in Privacy and AI Programs)

CBPR：信頼に基づく自由なデータ流通の実現(CBPR: Bringing Data Free Flows with Trust to Life)

IAPP公式サイト：https://iapp.org/about/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP