西村あさひ法律事務所 「データの越境流通に関連する諸外国の規制制度等調査事業」(METI 報告) を読む

2021年6月の「インドのデータローカライゼーション-データ移転規制 実態調査」というエントリで、日経新聞の2021年5月31日の「データ移転規制 実態調査」という記事

経済産業省は東南アジアなどの約10カ国・地域を対象に、データの持ち出し禁止やサーバーの設置要求といったデータ移転規制の実態を調べる。

というプロジェクトがあったことはふれました。そこでは、

コンサルティング会社や在外公館、日本貿易振興機構(ジェトロ)に依頼する。

ということだったようで、わが社に、残念ながら、そのような打診はなかったところですが、経済産業省(METI )から「データの越境流通に関連する諸外国の規制制度等調査事業」(令和 3 年度我が国におけるデータ駆動型社会に係る基盤整備)という報告書が公開されているのを教えていただきました。公開されている報告書はこちら。

請負者は、西村あさひ法律事務所です。調査対象の法域は、欧州経済領域、中国、シンガポール、タイ、インド、ベトナム、インドネシアです。

特徴としては、データ越境流通に関する国際ルールとして、貿易協定とプライバシールールをあげるにとどまっていること、国家主権という観点から一切ふれられていないこと、があるかと思います。


具体例として、インドの報告をみたいと思います。同報告書47頁以下においては、データローカライゼーションを個人情報保護の問題として考えています。もっぱら、2019年個人情報保護法案を論じるだけです。

しかしながら、上の「インドのデータローカライゼーション-データ移転規制 実態調査」というエントリでも強調したように、むしろ、国のデータについてのローカルデータセンターに保存する必要があることを効果的に意味する「国家データ共有およびアクセシビリティポリシー(National Data Sharing and Accessibility Policy)」 を制定しているのです。これは、むしろ、ネットワーク主権の確保を念頭においてものであって、データ保護規定の文脈とは別個のものです。

また、2014年2月、インドの国家安全保障理事会は、すべての電子メールプロバイダに、インドの事業のためにローカルサーバーを設置し、インドの2人のユーザー間の通信に関連するすべてのデータを国内に残すよう要求することによりデータローカライゼーションを開始する方針を提案したと報道されていたことはふれました。

これが、 国家安全保障理事会からなされているということはネットワークにおける主権の確保という観点が念頭に置かれていたということです。

私の観点からは、この西村あさひの報告書は、何故に2021年にデータローカライゼーションが議論になっていたのか、LINE事件を背景にした経済安保の文脈・背景というものと切り離された時代との関連性のない残念な報告書であるといわざるをえないと思います。この点については、もし、議論できるのであれば、議論したいところです。

現在、好評発売中のシン・経済安保(アマゾンはこちら)においては、国家主権の経済的側面、社会のネットワーク化による重要技術を中核としたシン・経済安保という観点を強調させていただきました。そこでは、個人情報の保護とは別のリスクとしてのデータの保護場所としてのリスクを別個のものとして取り上げています。普通の法律家にとって、国家が前面にでる安全保障・国際法との関係などのセンスがないのは、仕方がないことではありますが、しかしながら、政府の報告書というのは、まさに生ものであって発注のなされる背景・文脈にフィットした報告書をあげることが如何に難しいかというのをこの報告書は示しているのかもしれません。

----

追記1 上の案件は、公示日:2021年04月04日です。なので、公示は、LINE 事件後です。入札日は、4月26日、で落札日は、5月11日です。LINE事件は、3月17日発表なので、入札の準備は、ガバメントアクセスのリスクとは別の懸念からなされていた可能性があります。そうはいっても提案書については4月中にかけるので、ガバメントアクセスを提案書にいれてかいたほうが良い、というレベル感だと思います。

ということで、この報告書の関係者には、「シン・経済安保」をかって読んでもらいたいと思います。

追記2 でもって、良く考えてみたら、仕様書をダウンロードしていました。

---------

データ流通に関する規制制度調査及び分析
個人データ及び非個人データの「域外移転制限」及び「ローカライゼーション要求」に関連する規制制度について、以下の調査・分析を行う。
(ア)対象国(P):EU、中国、インド、タイ、インドネシア、ベトナム
(イ)対象制度:個人データ及び非個人データについて、データの「域外移転制限」及び「ローカライゼーション要求」に関連する規制制度(法案段階のものなど、検討中の規制制度を含む)。
ただし、原則として特定の分野における業法などは対象とせず、分野横断で適用される規制制度(例:個人情報保護法制、サイバーセキュリティ法制 等)を優先的に調査。
※調査・分析の対象国、対象制度については、委託契約締結後に経済産業省と協議の上で最終的に確定するものとする。調査手法は文献・WEB等のデスクトップリサーチを想定する。
(ウ)調査・分析の内容
・規制制度担当省庁:
規制制度の担当省庁・部局を明らかにする
・規制制度の目的:
プライバシー保護、消費者保護、サイバーセキュリティ、安全保障、自国産業保護・育成など、当該規制制度導入の政策的意図を整理
・規制制度の対象となるデータの種類・定義:
個人データ、重要データ等、当該規制制度の対象となるデータ種類及びその定義を整理
・規制制度の対象となる者:
個人データ管理者、重要インフラ事業者、ネットワーク運営者等、当該規制制度が対象とする者を整理
・データの域外移転制限に係る規定の詳細:
域外移転の定義、域外移転の可否、域外移転が認められる場合その条件、移転方法、移転先での域外適用の有無等を類型化して整理
・データローカライゼーション要求に係る規定の詳細:
データのコピーの移転の可否、国内でのデータ処理要件の有無等を類型化して整理
・企業活動上の留意点:
上記で整理した規制制度の内容について、企業活動の観点から配慮すべきリスクを整理
・その他、別途経済産業省の指示によるもの:
上記で整理した規制制度の既存国際協定(GATS、CPTTP等)との整合性の確認など、委託契約締結後に経済産業省と協議の上、必要がある場合は追加の調査・分析を実施
---------
明確に「安全保障、自国産業保護・育成など、当該規制制度導入の政策的意図を整理」と記載しています。また、重要インフラ防衛とかも意識されたです。
なので、このエビデンスからは、仕様書における「安全保障、自国産業保護・育成など」の部分を読みきれていなかったというのが私の評価になります。
この入札は、インドネシアは、ルートがないなあ、ということで応募しなかったことを思い出しました。

 

関連記事

  1. SDGs対 DEET -自由な市場とInstitutional …
  2. 域外適用と対抗措置、国家安全保障審査、提供禁止-成立した中国デー…
  3. RFC9116 セキュリティ脆弱性開示支援のためのファイルフォー…
  4. 情報ガバナンスの考え方と検討のポイント
  5. デジタル法務の実務Q&A 宣伝用ちらしです
  6. 「接触確認アプリ」の仕様書について (1)
  7. 脅威インテリジェンスにおけるIPアドレスの取扱 GDPR対個人情…
  8. 経済安保、官民で協議会 自民議連提言、機密情報の流出防ぐ
PAGE TOP