越境データ流通の拡大と データローカライゼーションの動き | InfoComニューズレター
2018年5月29日掲載 法制度 InfoCom T&S World Trend Report

越境データ流通の拡大と データローカライゼーションの動き


イメージ

 国境を越える流通では、人・モノ・カネの流通に加えて、最近ではデータの流通に注目が集まっています。越境データ流通には、情報、検索、通信、取引、企業間データなどさまざまな種類が含まれていて、国・企業・個人を結ぶウェブの構築によって爆発的な拡大をみせています。世界的には北米とEU間のデータ流通が大きく、世界の越境データをリードしています。日本でも特に国外ISPと交換されるトラフィックが急増していて、2016年11月には1222Gbpsのレベルに達しているとの報告があります(平成29年版 情報通信白書第Ⅰ部、図表2-3-1-2「我が国から国外ISPと交換されるトラヒック」89-90頁;2004年から2016年の間で約50倍に増加)。

 こうした国境を越えて膨大なデータが流通する一方で、一部の国では越境データを規制する、いわゆる「データローカライゼーション」の法制定・施行もまた進行している実態があります。その目的として、(1)プライバシーの保護(個人の権利保護)を始め、(2)自国の産業保護・育成、(3)安全保障、(4)法執行・犯罪捜査、などがあげられていて、これは例えば、インターネット上のサービスについて、サービス実行上の物理的サーバーは当該国内で運用しなければならない、即ちサービス提供に必要なデータは当該国内に留置するとの基本ルールを定めて、対象をパーソナルデータから産業データまで目的・理由によって分別しようとするものです。

 こうしたデータローカライゼーションには、(1)データの移転自体を制限するものと、(2)自国内におけるデータを保有・保管するために制限するものと2つの形があります。

 前者の代表例は、EUの「一般データ保護規則(GDPR)」で、EU域内に居住する個人のプライバシー保護を目的としてEU域内で取得した個人データをEU域外に移転するために満たすべき法的要件を規定しています(施行は本年5月25日)。EUの考え方にはデータ主体の基本的権利を保護するという基本理念があり、普遍性を持つものであるだけに、本音ベースでは米国の巨大ITサービス企業(ex. GAFA)からの産業保護的な色彩が見られても、違反者への高額な制裁金の設定など大きな影響力を持っています。EU域内から第三国へのデータ移転には、パーソナルデータに関し第三国が十分なレベルの保護を確保していると欧州委員会が認定した場合に限り可能(十分性認定)というのが原則となっています。高額な制裁金(2,000万ユーロか前年度の総売上の4%までのいずれか高い方)が課されるだけに、日本を含め世界中の企業がこのEUのGDPRへの対応を進めています。IT・通信事業者も例外ではないので慎重な取り組みが必要です。 

 さらに加えて、注意を要するデータローカライゼーションの動きとして中国のサイバーセキュリティ法(中国網絡安全法、2017年6月1日施行)があります。この法律は2013年に米国の監視プログラム(PRISM)が暴露されたことを契機として立法化が進み、中国国内機関でバラバラに点在していた法令をまとめて制定されました。適用範囲は広く、ネットワーク製品・サービスの提供者、重要情報インフラを含むネットワークの運営者、いかなる個人及び組織、電子情報の送信サービスプロバイダーとアプリケーションのダウンロードサービスプロバイダー、海外の組織・個人、と適用範囲にほとんど制約が見られません。特に重要情報インフラ運営者(公共通信・情報サービス、エネルギー、交通、水利、金融などのほか、国家安全、国の経済と人民の生活、公共利益に重大な危険をもたらす可能性のあるもの)には多くの義務が課されていて、例えば中国国内の運営で収集、発生した個人情報や重要データを中国国内で保存することを義務付けています。違反した場合には、この法律が国策や国防を目的としていますので、業務停止や営業取消しの可能性があるところが制裁金中心のEUのGDPRとは大きく異なっています。また、データの中国国外への越境移転には業界主管または監督部門の安全評価が必要となるので、特に細心の注意が求められます。現在「個人情報及び重要データ国外持出安全評価弁法」等の策定が進んでいますので、さらに動向の注視が必要です。

 中国のサイバーセキュリティ法に見られるデータローカライゼーションの動きは世界でも起きていて、ロシア、インドネシア、ベトナム、インド、ナイジェリアなど結構多くの国で見られます。導入目的は中国のサイバーセキュリティ法に定めるところとほぼ同様ですが、対象データは個人情報に限定されない、それ故に本人同意に基づく移転はできず、当局の許可等が必要となるなどの特徴があります。この結果、ICTサービスの提供に必要なサーバー設備等の当該国設置を義務付ける規制強化が拡大しています。こうなるとデータセンターの設置が経済的理由だけでなく、政治的・規制対応上の理由からも世界の多くの地域で進められていて、業界的には一見好ましい状況となっています。

 しかし、このようなデータローカライゼーションの流れでよいとはとても思えません。米国の巨大IT企業の手の内に世界のデータ流通が押さえられてしまい、パーソナルデータばかりでなく、各種の社会的データ(交通、医療、人の流動、気候、地図、金融、物流など)や産業の基盤となるAI開発に必要なデータが米国企業に握られてしまっている現状への不安・不満は大きいものの、だからといって逆に国境を閉ざして自国内のデータは他国に移転させないとなれば、結局ICTがもたらしたデータエコノミー時代における新たな貿易障壁となるだけです。国際社会は長い期間かけて、貿易とサービスの門戸開放(自由貿易)の理念に取り組んできました。この普遍的理念により、世界各地の相互依存が進み、国家間の根本的な利害対立(戦争)から回避できた現実があると思います。もちろん自由経済の進展が格差や貧困、環境破壊や基本的人権の侵害など負の側面も生み出していますが、大きな基本原則は認められるところです。

 私は単純に情報の自由な流通だけがインターネットの本質とは考えていません。個人情報の漏洩やサイバーセキュリティの脆弱性からデータの物理的管理のためにデータローカライゼーションが主張される傾向にありますが、こうした一国だけの囲い込み発想ではなく、国際的な取り決めの下での制度的・技術的協力(例えば、データ流通の双務主義やブロックチェーン技術による分散処理など)こそ、何より重要であると考えます。国防(安全保障)や犯罪捜査などについても、デジタル化した世界ではもはや一国だけで完結できるものでなく、国際協調の下で進めなければ目的の達成ができない時代です。自国産業の保護のため自国内にサーバー等の設置・運用を求めることは長期的には外国投資の減少を引き起こすことになりかねません。

 こうしたデータローカライゼーションの潮流のなかこそ、G7やTPP等での抑止(情報の自由な流通の支持)に向けた国際連携の動きに注目が集まります。このままでは、これまでの米国の巨大IT企業のやりたい放題のあり様に加えて、今度はデータローカライゼーションによるいいとこ取りにも苦しむ多くの国が生まれて、世界のICTの発展に翳りが生じてしまいます。まずはEUの動きを見定めて、データローカライゼーションに対してEU等と協力・協調して対応(情報発信・意見表明)する方途の検討が必要です。

 

※この記事は会員サービス「InfoCom T&S」より一部無料で公開しているものです。

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

ICR|株式会社情報通信総合研究所 情報通信総合研究所は情報通信のシンクタンクです。
ページの先頭へ戻る
FOLLOW US
FacebookTwitterRSS