前回の記事で説明したように、「信頼性のある自由なデータ流通(Data Free Flow with Trust、DFFT)」のコンセプトそのものは各国で好意的に受け止められている。ただしプライバシーやデータに関する考え方や利害状況などの相違もあり、包括的なDFFTの実現は必ずしも容易ではない。
一方で、個別の国・地域ベースでは、産業データなども含めたデータ越境移転を推進するための自由貿易協定やデジタル経済協定が整備されつつある。その中では各国の個人情報法制の順守を求めることが通例であり、個人情報法制に沿った移転枠組みの整備も改めて重要となっている。個人情報の越境移転については、様々な国・地域において、認証制度、標準契約条項など各種越境移転の仕組み(越境移転ツール)の整備が進められている。
今回はこのような越境移転の枠組みを見ていきたい。
越境移転に関する国・地域ごとの考え方
国境を越えてデータ(特に個人情報を含むデータ)を移転する場合、データ移転元の国において、越境データ移転規制が課せられていることが多い。例えば、日本の個人情報保護法では、(1)から(3)のいずれかの追加要件を満たす場合に、国内での第三者提供などの移転要件も満たすことを前提に越境移転を認めている。
| (1)本人の同意がある場合 |
|---|
| (2)移転先事業者が日本の個人情報保護法の趣旨に沿った相当の措置を講じる体制がある場合(外国の事業者に適切な内容の委託を行う場合や、提供元の事業者がAPEC CBPR認証を受けた場合などが含まれる) |
| (3)日本と同等の保護水準と認められる外国(個人情報保護委員会が十分性認定を行っているEU加盟国および英国)に所在する事業者への移転等の場合 |
また、データ移転先国から他国へとさらにデータを移転させる場合には、データ移転先国の規制が求める要件を満たすことが必要になることも多い。
このように、データを自由に流通させるには、各種の適用規制上クリアランス(公式の許可)を確保する必要があるが、その規制は、大きくは、オープンセーフガードと事前承認セーフガードとに区分される[1] 。
オープンセーフガードとは、越境移転に関する具体的な状況が様々であることを踏まえて、越境移転の要件を具体化せず、状況に応じて、データ移転者に適切な対応を求めるものだ。ただし、オープンセーフガードの下では、データ移転が適法となるかの予見可能性は必ずしも高くない。そこで、多くの国では、事前承認セーフガードが用いられている。事前承認セーフガードは、越境データ移転を実現するため、事前に公的部門がより深く関与する枠組みだ。それぞれの例は以下の表に挙げた通りである。
