データ主権とはなにか？〜越境データ移転規制の現在地〜その2

Data Sovereignty: Nebulous and Evolving, But Here to Stay in 2024?
IAPP Asia Privacy Forum 2024 現地レポート[Vol.3]
公開：2024/08/02　執筆：ウンリュエル愛友美（株式会社プライバシーテック）、取材：山下大介（株式会社プライバシーテック）

世界中のプライバシー専門家が集う国際会議「IAPP Asia Privacy Forum 2024」が、2024年7月17日〜18日の日程で、シンガポールで開催されました。株式会社プライバシーテックは、今年4月にワシントンD.C.で行われたカンファレンスに続いて、今回も現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。

◆ この記事でわかること
・データローカライゼーション、データ主権の微妙な違いを理解する。
・データ保護法が義務付けている、越境データ移転に関する主な要件について理解する。
・急速に変化している、アジア太平洋地域での越境データ移転の情勢を把握する。

登壇者

Charmian Aw, CIPP/A, CIPP/E, CIPP/US, CIPM, FIP, Partner, Squire Patton Boggs
Darren Grayson Chng, AIGP, CIPP/A, CIPP/C, CIPP/E, CIPP/US, CIPM, CIPT, FIP, Regional Data Protection Director, Asia Pacific, Middle East, and Africa, Electrolux
Josh Lee Kok Thong, Managing Director (APAC), Future of Privacy Forum
Wei Loong Siow, CIPP/E, CIPM, CIPT, FIP, Legal Counsel & Data Protection Officer, Changi Airport Group
Denise Wong, AIGP, Deputy Commissioner, Personal Data Protection Commission, Singapore

転載：IAPP Asia Privacy Forum 2024

概要

このパネルディスカッションでは、広大で多様な国々から成るアジア圏においてガバナンス体制が発達する中、データ主権（Data Sovereignty）、データローカライゼーション、越境データ移転（CBDT: Cross Boarder Data Transfer）といった、誤用、誤解されがちな概念について掘り下げられた。

世界で最も人口の多い4か国のうち3か国があり、また地域経済として最も急成長する可能性を秘めているアジアにおいて、デジタル世界におけるデータおよびプライバシー法の役割は重要なものとなってきている。

世界で最も人口の多い4か国のうち3か国があり、また地域経済として最も急成長する可能性を秘めているアジアにおいて、デジタル世界におけるデータおよびプライバシー法の役割は重要なものとなってきている。

1. 越境データ移転(CBDT)を円滑に進めるための枠組み

グローバル越境プライバシールール（CBPR: Cross-Border Privacy Rules）システムは、個人データの越境移転に関して、企業等が一定の保護条件を満たしていることを国際的に認証する制度。CBPRは、当初APECにおける制度として実施されていたが、データの保護と自由な流通をグローバルに促進するため、2022年4月に、世界中の国および地域が参加可能な新たな枠組みとして立ち上げられることが宣言された。

2024年6月時点で、APEC CBPR認証取得企業はわずか5社、またシンガポールの個人情報保護認証（DPTM: Data Protection Trustmark）取得企業は252社にとどまっている。そのため、これら認証取得のメリットが疑問視される中で、グローバルCBPR認証が解決策となるのではないかと注目されている。

グローバルCBPR認証を取得することにより、事業者はCBDT要件に対応するための時間と労力を大幅に削減でき、また該当する法律や規制に準拠していることが保証される。データ移転に関して、顧客との交渉円滑化にも繋がると考えられる。

2. ASEANのデータ保護に対する取り組み

ASEAN は、デジタル経済の成長と統合において重要な岐路に立っている。デジタル経済の持つ巨大な可能性を最大限に活用するためには、ASEAN が域内のデジタル統合を推進することが不可欠である。

2021年1月、ASEAN加盟国間のデータ移転における信頼を促進することを目的として、ASEANデータ管理フレームワーク（DMF: Data Management Framework）、ASEANモデル契約条項（MCCs）という2つの基本原則が策定された。ASEAN DMFとMCCsは、ASEANの企業がデータ関連の事業運営に活用するための重要なリソースおよびツールである。

ASEAN データ管理フレームワーク（DMF)

ASEAN データ管理フレームワーク（DMF）は、データガバナンス体制や保護対策を含むデータ管理システムの導入手順を、中小企業を含む企業向けに段階的にガイドするものである。データライフサイクル全体にわたる6つの基盤的要素で構成されており、企業が保有するデータや資産に対して、適切なレベルでの保護対策を見極めるのを支援する。

ASEAN モデル契約条項（MCCs）

ASEANモデル規約条項は、すべてのASEAN加盟国のデータブローカー（流通事業者）が使用できる、データ移転に関する契約条項の基本概念。

ASEAN 個人データ保護枠組みの原則の範囲内で、柔軟性を提供することを目的としている。

2023年7月、ASEANとEUが標準データ保護条項で協力することが発表され、シンガポールの個人情報保護委員会が主導し策定された。

個人データを国境をまたいで相互に連携する企業間で締結される、拘束力のある法的合意書に盛り込むことができる契約条件が雛形化されている。

特に中小企業にとっては、越境データ移転にあたって、個人情報の保護を確保しながら、交渉や法令遵守対応にかかるコストと時間を削減できるメリットがある。

このガイドは、ASEAN MCCsとEU SCCsの主な類似点と相違点を特定した「参照ガイド」と、両契約条項で求められるセーフガードを運用するために企業が導入を検討できる事例が含まれる「実施ガイド」の2部で構成されている。

この共同ガイドが、ASEAN加盟国とEU加盟国のビジネスパートナー間の共通理解の形成や、国境を越えたデータ移転に関する当事者間の契約交渉の円滑化に役立つ参考資料となり、企業にとっての実践的な指針へと発展することが期待されている。

以上

※本記事は山下大介（株式会社プライバシーテック）が取材、ウンリュエル愛友美（株式会社プライバシーテック）が翻訳、編集しています。

当社では、今回のカンファレンスの詳細版レポートと勉強会を有償（20万円〜）にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。

◆ 関連記事
[Vol.1]IAPP Asia Privacy Forum 2024が開催
[Vol.2]データ主権とはなにか？〜越境データ移転規制の現在地〜その１
[Vol.3]データ主権とはなにか？〜越境データ移転規制の現在地〜その２ ←この記事
[Vol.4]プライバシー保護技術：PETs導入への道

===

＜＜前へ：[Vol.2]データ主権とはなにか？〜越境データ移転規制の現在地〜その１

＞＞次へ：[Vol.4]プライバシー保護技術：PETs導入への道

===

＜公開予定＞

CBPR：信頼に基づく自由なデータ流通の実現(CBPR: Bringing Data Free Flows with Trust to Life)

IAPP公式サイト：https://iapp.org/about/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP