無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

世界的に越境ECなどの利用が進み、個人情報を始めとした、重要なデータの扱いに関する規制整備が進められています。なかでも「データローカライゼーション規制」は、重要データの保護と産業発展のバランスを考える上で、無視できないものです。

この記事ではデータローカライゼーション規制、概要や世界における現状、そして日本における規制の今後について徹底解説します。

データローカライゼーション規制とは

政府や企業におけるITの活用が進み、個人情報や重要情報の適切な管理が求められるようになりました。個人の人権保護や、自国の産業の保護、国家の安全維持を目的とし、重要なデータを自国に留めるための規制が、「データローカライゼーション規制」です。

データローカライゼーション規制の詳細

データローカライゼーション規制は、言ってみれば”国境を越えたデータ移転”に関する制限です。個人情報や重要情報などの保存を国内に存在するサーバーに留めたり、国外への情報の移転に制限をかけたりする規制、さらに国内においてのみデータの加工を認めるなど、データローカライゼーション規制は国によって、さまざまな形があります。

データローカライゼーション規制が必要となる背景

データローカライゼーション規制は、自国における事業活動を行う場合に、その事業活動に必要なサーバーやデータを国内に設置、あるいは保存させるための規制です。

同様の規制に「越境個人データ移転規制」がありますが、こちらは個人データの越境移転行為に焦点をあてた規制であり、対象となるデータは個人情報のみです。さらに本人の同意があれば、海外への移転も可能です。

一方、データローカライゼーション規制が対象とするデータは個人データに限られません。またデータの越境移転も、本人の許可ではなく、当該国政府の許可等が必要です。

データローカライゼーション規制による規制の強さは、政府によってさまざまです。建前では、自国の産業の保護や、個人情報漏洩への対策であるとアナウンスしつつ、実際には、自国のセキュリティ情報や重要情報を、ほかの国へ収集されないことを真の目的としている国もあります。

またグローバルに活動している民間企業の中には、データローカライゼーション規制は、産業の発展を阻害すると認識している企業もあります。

政府がデータローカライゼーション規制を実施する目的をまとめると以下のようになります。

• 自国の産業の保護
• 安全保障の確保
• 法の執行や犯罪捜査対策

大きな目的は上記3つですが、実際にはそれぞれの目的は複雑に絡み合っており、国によっても目的が異なるため、データローカライゼーション規制の背景を明確に説明することは難しいのが現状です。

データローカライゼーション規制の現状（世界の状況）

これから世界各国のデータローカライゼーション規制の現状についてご紹介します。

EU

EU加盟国の中にも、データローカライゼーション規制が実施されている国があることが明らかになっています。欧州委員会は、このような状況を、データの自由な流通拡大を阻害するものとして、2017年9月に「非個人データのEU域内自由流通枠組規制」の草案を公表しています。

この草案によると、EU加盟国は、公共の安全という理由がなければ、原則としてデータローカライゼーション規制を設けることはできず、すでにデータローカライゼーション規制が実施されている場合は、撤廃する必要があるとしています。

中国

データローカライゼーション規制を世界的に知らしめたのが、中国におけるサイバーセキュリティ法（中華人民共和国網絡安全法）の第37条です。同法の第37条では、ネットワーク運営者のうちの重要情報インフラストラクチャーの運営者が保有する、個人情報および重要データを中国国外へ移転させる場合は、国が定める基準に従って安全評価を行う必要があると定められています。

このような規制はデータローカライゼーション規制とは明記されていませんが、同規制として機能することが懸念されています。実際にサイバーセキュリティ法の施行後に、Appleは中国国内にデータセンターを設置することを発表しています。

ベトナム

ベトナムにおいては、2013年9月に「インターネットサービスとオンライン情報コンテンツの管理、提供、使用に関する法令」が制定されています。これは政府を批判したり、治安や社会秩序を乱したりするような目的でのインターネットの使用を禁止し、当局が必要とした際には、データにアクセスできるように、全てのデータを国内のサーバーに保存することをISPに義務付けています。

インドネシア

インドネシアでは、2014年1月に、ほかの国よりも強いデータローカライゼーション規制を提案しています。この規制案では、情報技術を活用したサービスを提供している全ての会社は、国内にデータセンターを設置することを求めており、これにはGoogleやYahooを含めた、すべてのユーザー企業も含まれるとしています。今後の成長が見込まれているインドネシアにおいて、このような規制は産業の発展を阻害しかねないと懸念されています。

ロシア

ロシアでは2013年に「インターネットなどのデジタル情報に関する独立主権」の強化を宣言しました。これにより、ロシア人の顧客データは、国内のサーバーに保存することを義務付ける法律が2015年9月1日に施行されました。

この法律では、ロシア国内の事業者に加えて、海外の事業者であっても、ロシア国内向けのWebサイトにより取得された個人情報は、ロシア国内で保存、管理されることを求めています。また、ロシア国民のものに限らず、個人情報を処理するサーバーの場所を含む通知を、通信・情報技術・マスコミ監督庁へ提出しなければならないケースもあるとされています。

日本におけるデータローカライゼーション規制の今後

日本においては、クラウドコンピューティングの活用が進んでいますが、国内企業の多くは、データの所在があいまいなパブリッククラウドではなく、自社でコントロールできるプライベートクラウドを選択することが多い傾向があります。そのため日本においてデータローカライゼーション規制が進んでも、他国ほどの産業に与える影響は少ないと考える方もいます。

また2019年1月には、当時の首相であった安倍晋三はダボス会議にて、個人情報などの機微のデータについては慎重な保護が必要であるとしたものの、非個人的な匿名データについては、産業や社会の発展のために、自由に行き来させ国境などを意識させないようにするべきだと主張しています。

このように、日本におけるデータローカライゼーション規制は、他国ほど厳しくなく、政府としても、データの自由なやり取りが阻害されるような規制は、今後、進めないものと思われます。

まとめ

各国でデータローカライゼーション規制が実施されていますが、国際的には、データローカライゼーション規制は産業の発展の障壁と捉えられることが多く、規制に反対する意見も目立ちます。

特に非個人的なデータについては、必要以上に保護するのではなく、グローバルに流通させて活かすことで、各国の国民への利益となることもあるでしょう。各国政府には、データローカライゼーション規制に関する思惑がありますが、自由なデータ流通のために足並みをそろえて取り組むことが、グローバルな経済の発展につながると言えるでしょう。