前項で述べた越境個人データ移転規制と並行して、ここ数年来、特に新興国を中心に、ICTサービスの提供に用いられるサーバー設備等の国内設置を求める、「データローカライゼーション(data localization)」規制が拡大しつつある。
このデータローカライゼーション規制は、個人データの越境移転行為に焦点を当てる越境データ移転規制と異なり、ある国において(あるいは外国から当該国を対象に)特定の事業活動を営む場合に、当該事業活動に必要なサーバーやデータ自体の国内設置・保存を求める規制である。また、越境個人データ移転規制では原則として本人の同意があれば海外への移転が可能であるが、データローカライゼーション規制では、対象データが個人データに限られないため、本人の同意による移転は行い得ず、データの越境移転にあたっては、当該国政府の許可等が必要となることが多い。なお、米国の業界団体であるITIF(Information Technology and Innovation Foundation)が公表している、データローカライゼーション規制の対象になっているデータの種別内訳は以下のとおりである(図表1-2-2-3)。
データローカライゼーション規制に関して、国際的に広い関心を集めるきっかけとなったのが、2017年6月に中国で施行された、サイバーセキュリティ法(中華人民共和国網絡安全法)11第37条である(図表1-2-2-4)。同条は、①何らかのネットワークを所有・運営する「ネットワーク運営者」のうち、②特に国の安全や国民経済と民生、公共の利益に与える影響が大きいと指定される「重要情報インフラストラクチャーの運営者」について、③それが保有する個人情報及び「重要データ」を中国国外に移転するにあたっては、④国が定める基準に従い「安全評価」を行わなければならないことを定めている。なお、サイバーセキュリティ法の第37条部分については、2019年1月1日の施行が見込まれている。
条文中に現れるそれぞれの用語について、サイバーセキュリティ法本文の中では明確な定義がなされておらず、今後の具体的な法執行や、現在策定が進められる各種の下位規範(日本で言う政省令)やガイドラインによって明らかにされるのを待つ必要があるが、上記①〜④のステップを簡略に示すと下記のとおりである(図表1-2-2-5)。
特に個人情報・パーソナルデータに限られない、産業データを含む「重要データ」の広範な国外移転規制は、IoTビジネス全体に関わる広範なデータローカライゼーション規制として機能しうることが懸念されており、サイバーセキュリティ法の施行後、早くもAppleが中国国内にデータセンターを設置することを発表している。また中国国内でデータセンターを運営するためには、中国資本企業が過半数の株式を保有する形での合弁会社を設立することが必要となるため、2018年1月には、中国でのiCloudサービス運営を中国企業に移行させる計画を発表している13。情報通信のみならず製造業等を含む中国進出企業は、今後の下位規範やガイドラインの策定動向を注視する必要がある。
中国以外のアジア諸国では、例えばインドネシアは、個人データに対しデータローカライゼーションを規定する非常に厳しいデータ移転制限がある14。特定の業界に対するデータ移転の包括的禁止や特定の処理及びサービス提供を対象としたデータローカライゼーション規制を議論する対象国が増加している15。韓国においても、詳細地図情報の国外持ち出しを禁止する法制度の存在により、Google Maps等のサービスが韓国国内では他国同様に展開することができない。データローカライゼーション規制を設ける目的は国や分野により様々だが、①自国内の産業保護、②安全保障の確保、③法執行/犯罪捜査などの要素が複雑に関連していることが指摘されている。
広範なデータローカライゼーション規制の拡大は、国際的な電子商取引を拡大していく上での障壁として機能するため、2016年のG7香川・高松情報通信大臣会合での共同宣言16や、環太平洋パートナーシップ協定(TPP:Trans-Pacific Strategic Economic Partnership Agreement)の電子商取引章などにおいて、正統な公共政策上の理由を有さない同種の規制を抑止するための国際協力体制の構築が進められてきている。TPPに関しては、2017年の米国の離脱により一時期は妥結が危ぶまれたが、米国以外の11か国(オーストラリア、ブルネイ、カナダ、チリ、日本、マレーシア、メキシコ、ニュージーランド、ペルー、シンガポール、ベトナム)で2018年3月8日に署名されたTPP11においても、データローカライゼーション規制の抑止を定めた電子商取引章の規定は凍結対象とはされず、署名国の間での国際的なデータ流通確保の基盤となることが期待されている。
さらにASEAN10か国に日本・中国・韓国・オーストラリア・ニュージーランド・インドを加えた広範な経済連携協定である東アジア地域包括的経済連携(RCEP, Regional Comprehensive Economic Partnership)においても、中国のサイバーセキュリティ法を中心としたデジタル保護主義への牽制を視野に入れ、国際的な電子商取引ルールの構築に向けた交渉が進められている(図表1-2-2-6)、(図表1-2-2-7)。
EUに目を転じても、2017年1月に欧州委員会が公表した調査19によれば、EU加盟国の中でも、様々なデータローカライゼーション規制が置かれていることが明らかになっている。このような状況を、欧州全体におけるデータ自由流通拡大の障壁として問題視する欧州委員会は、2017年9月、域内のデータ自由流通を推進するための「非個人データのEU域内自由流通枠組規則」の草案を公表した。
同規則案は、GDPRにおいて定められた個人データ域内自由流通ルールの対象とならない、「非個人データ」全体を対象とした上で、データローカライゼーション規制を「データ保存やその他の処理の場所を特定の加盟国の領土内とするよう義務付けたり、他の加盟国内でのデータ保存やその他の処理を妨げる、加盟国のあらゆる法令又は行政規定(第3条第5項)」と定義する。加盟国は、公共の安全(public security)を理由とした正当化が行われない限り、原則としてデータローカライゼーション規制を設けることはできず、またすでに定められている同種の規制については撤廃を行う必要があるとしている。
ただし同規則が直接推進しようとするのは、あくまでEU域内であり、EU域外との関係性については何も言及しておらず、我が国とのデータ自由流通枠組の構築に関しては、日欧間の経済連携協定であるEPA(Economic Partnership Agreement)において検討が進められている。2017年12月の交渉妥結においては、EPAの発効後3年以内に、「自由なデータ流通」に関する条項を含める必要性を再評価することを規定することが合意された20。
11 JETRO「中華人民共和国網絡安全法」(仮訳)。以降の条文の邦訳は、当該仮訳を用いる。
https://www.jetro.go.jp/ext_images/world/asia/cn/law/pdf/others_005.pdf
12 同識別ガイドに関しては、クララオンライン社による以下の邦訳を参照。
https://www.clara.jp/wp-content/uploads/2017/10/20171030_importantdataguidelines_Claraonline.pdf
13 「アップル、中国での「iCloud」サービス運営を中国企業に移行へ」CNET Japan (2018年1月15日)
https://japan.cnet.com/article/35113131/
14 産業構造審議会新産業構造部会資料(2017年4月5日)
15 ITIF “Cross-Border Data Flows: Where Are the Barriers, and What Do They Cost?”AppendixA“Data Localization Policies Around the world”(2017年5月)
16 総務省「G7香川・高松情報通信大臣会合の開催結果」http://www.soumu.go.jp/menu_news/s-news/01tsushin06_02000083.html
17 外務省「東アジア地域包括的経済連携(RCEP)」http://www.mofa.go.jp/mofaj/gaiko/fta/j-eacepia/index.html
18 外務省「東アジア地域包括的経済連携(RCEP)交渉の首脳による共同声明」 http://www.mofa.go.jp/mofaj/files/000307670.pdf
19 欧州委員会“Facilitating cross border data flow in the Digital Single Market”(2017年1月)
https://ec.europa.eu/digital-single-market/en/news/facilitating-cross-border-data-flow-digital-single-market
20 外務省「日EU経済連携協定(EPA)に関するファクトシート(PDF)」を参照。
http://www.mofa.go.jp/mofaj/gaiko/page6_000042.html