国際的なデータ移転ルールどう作るか？「DFFT」を各国がいま議論するワケ

渥美坂井法律事務所・外国法共同事業プロトタイプ政策研究所

スマートガバナンス

2022.12.19

有料会員限定

全6804文字

　国際的なデータ移転に関する「DFFT」という言葉をご存じだろうか。「信頼性のある自由なデータ流通（Data Free Flow with Trust）」という意味だ。2019年の20カ国・地域首脳会議（G20大阪サミット）や、2022年にドイツで開催された主要7カ国（G7）デジタル相会合などで重要なアジェンダとして取り上げられ、データ流通について議論する際のグローバルな共通言語となっている。データエコノミーが本格的に到来し、社会課題の解決や経済成長に質の高いデータの流通が不可欠となった今、国際的なデータ移転ルールを主要国の間で取りまとめる意義は極めて大きい。そこで本連載では、このDFFTを巡る国内外の議論をひもといていく。

本連載で取り上げる主なテーマ

データの越境移転における各国政府関与によるアクセス、越境制限のリスク
認証などの越境移転の枠組み整備と、技術的対応の意味づけ
データ流通環境の整備と企業活動でのデータ利用の現状について

（出所：筆者作成）

新型コロナ禍とLINE問題で課題が浮き彫りになった「越境データ移転」

　DFFTは、日本が世界でリーダーシップをとって進めているデータポリシーといえる。DFFTという言葉を最初に提唱したのは日本だ。2019年1月に開催された世界経済フォーラム年次総会（ダボス会議）で、安倍晋三首相（当時）が、世界の政界や財界のトップの前でDFFTの実現に向けた国際協力が必要だとして提言した。以来、G20、G7、世界経済フォーラム、経済協力開発機構（OECD）など、世界の主要国・地域政府や国際機関がDFFTの実現に向けた取り組みや分析を進めている。

　国境を越えるデータ通信量は、2002年から2014年までの間に約45倍となり、2018年から2022年の間でさらに約3倍になったといわれる^[1]。電化製品や車など様々な製品の自由貿易が、第2次世界大戦後のグローバル経済の成長と日本の高度経済成長期に大きく寄与した。同様に、国境を越えたデータの自由な流通は、データがけん引する第4次産業革命の時代における国内外での新たな製品・サービスの提供を加速させるだろう。とりわけ、国内の人口が減少傾向にある日本では、海外での生産活動や消費者行動、臨床試験（治験）などに関するデータを国外から国内に自由に移転できることの意義は大きい。

　例えば新型コロナウイルス感染症治療薬の開発では、海外製薬企業の有効性を示す海外での臨床試験（治験）の結果を、国内の製造販売承認で利用推進すべきだという議論があった。2022年11月に国内製薬企業として最初に新型コロナワクチンの製造販売承認申請を行った塩野義製薬も、国内向けワクチンを開発するために、国内実施に加えて、東南アジアでも有効性を確認するための臨床試験（治験）を行った。新たなワクチンの開発には国際的な取り組みが有用であり、製造販売承認のための国内治験の実施要否以前に、そもそも海外での治験データを国内で使えるようにするための「越境データ移転」が可能でなければ海外治験の情報を日本で利用する余地はない。

　越境データ移転に際しては、プライバシーや知的財産権、各国政府によるアクセス、越境制限をはじめとする様々なリスクが伴うので、これらに適切に対処して「信頼（Trust）」を確立する必要がある。2021年3月にLINEが海外拠点でLINEアプリ利用者の個人情報を扱っていた問題が記憶に新しい。LINEサービスに関するシステム開発・運用の一部が中国企業や日本企業の中国拠点に委託されたことなど、越境データ移転に関する事案が発覚した。LINEの親会社であるZホールディングス（HD）が設置した特別委員会の最終報告^[2]でも、中国グループ企業への業務委託の決定過程で、ガバメントアクセス（政府によるデータへのアクセス）を焦点とした検討が不十分とされており、移転先国の状況も考慮しての判断枠組みが重要となることが分かる。

　このように、DFFTというスローガン自体はいたってシンプルだが、具体的な政策レベルで考えると様々な複雑な問題が含まれている。

各国で規制強化が進む個人情報保護と越境データ移転

　ここで、DFFTの歴史を簡単に振り返ってみたい。DFFTという言葉は前述の通り2019年にダボス会議で安倍元首相が提唱したものだが、国境を越えた情報やデータの自由な流通については、それ以前から国際的な合意の中に盛り込まれていた。2016年に署名された環太平洋経済連携協定（TPP、米国の脱退を受けて後に包括的・先進的環太平洋経済連携協定＝CPTPP）では、情報の自由な流通、データローカライゼーション要求の禁止、ソースコード開示要求の禁止といった原則が合意された^[3]。また2017年には、G7の情報通信・産業相会合や、G20サミットにおいて、国境を越えた情報の自由な流通を支持することが各国間で合意された。

　他方で、DFFTが提唱された2019年ごろには、そうした自由な越境データ移転がもたらすリスクへの懸念も大きくなっており、各国がデータ保護主義的な制度を導入し始めていた。

　中国では、2017年にサイバーセキュリティー法が施行され、個人情報に限らない重要データの国外移転を制限した。欧州連合（EU）では、2018年に厳格なプライバシー保護法である一般データ保護規則（GDPR）が施行され、十分な保護水準を確保していると認められた「十分性認定」や個人情報をEU域外に移管するための「標準契約条項（SCC）」などの例外自由がない限り、原則として個人データの域外移転が違法とされた（後述するが、2020年には、欧州司法裁判所が、EUから米国に個人データを移転する枠組みであるプライバシーシールドを無効とする、通称「シュレムスII判決」も下している）。インドが2018年に公表した個人情報保護法案においても、広範な個人情報について国内サーバーへの保存が義務付けられていた。

　このように、越境データ移転に対する規制が各国で強化される中、「データ移転vsデータ保護」という二者択一ではなく、これらを同時に達成することを目標にしたのが、DFFTという概念なのである。