データ・ローカライゼーション

 この中で、近年国際的な話題となっているのが、新興国を中心とする「データ・ローカライゼーション」(data localization)の動きです。

 その詳細は導入する国によって異なる点もありますが、大まかに言えば、自国民のデータの処理や保管を行うサーバーを自国内に設置するよう、法律で義務付けるものです。この動きは中国(2017年サイバーセキュリティ法)やインドネシアなど、いくつかの新興国に拡がりつつあります。これを導入する理由としては、自国民のデータが不正・不当に使われたり盗取されないようにすることが挙げられています。もっとも、実際にはさらに、自国の産業保護や安全保障、犯罪捜査や徴税などの意図もあるとの見方が多いように思います。

欧州のGDPR(一般データ保護規則)とデータ・ローカライゼーションの違い

 これらとある程度共通点を持つ規制として、欧州連合(EU)では2016年に、GDPR(一般データ保護規則、General Data Protection Regulation)が成立し、2018年から施行されています。GDPRは、欧州で取得した個人データを欧州の外側に持ち出すことを原則として禁止するものであり、その目的としては、EU域内に住む人々が、自らの個人データをコントロールできるようにすることが掲げられています。

 しかし、これは狭義のデータ・ローカライゼーションとは異なります。GDPRの場合、「国内にサーバーを置け」とまで求めておらず、海外企業などがEUの人々の個人データを全く取り扱えなくなるわけではありません。EUから、個人データを保護する対応が十分になされている国としての認定(十分性認定)を受けるか、あるいは対象となる個人からの同意を得ることなどにより、データを活用できる余地は残されています。

 これに対し、「データ・ローカライゼーション」は、データの取り扱いに、より厳しい制約を課すものです。この規制の下では、本人の同意があっても、データを国外に移転することはできなくなります。その国の人々のデータを使いたければ、その国の中にサーバーを置き、データを保管しなければならないわけです。