世界中で個人情報保護についての規制が強化されています。2018年に施行されたGDPRを皮切りに、アメリカ合衆国カリフォルニア州、中国、日本、韓国、タイ、ベトナム、ブラジルと国や地域を問わず、新たな法律が制定され、施行されています。これは、現代ビジネスにおけるデータの重要性を裏付けています。特に、個人情報は、個人の権利や利益に直接影響を及ぼすため、より厳しい規制が課されるのです。
現代のビジネスではデータ関連規制への対応が欠かせません。この記事では、国境を越えて個人情報を移動する際にどのようなコンプライアンス対応が必要なのかを確認しましょう。
個人情報保護法では、個人情報を取得した際に当該個人が所在した国や地域の法律が適用されます。例えばフランス人のAさんがフランスにいるときに取得したAさんの個人情報にはGDPR (欧州の個人情報保護法) が適用される、といった具合です。同じAさんの個人情報をAさんがシンガポールにいるときに取得すると、Aさんの個人情報にはシンガポールの個人情報保護法 (PDPA) が適用されます。
個人情報保護法の多くは、個人情報をある国や地域から国境を越えて移動させるためには、元の国や地域で担保されていた個人情報の保護水準と同じ水準の個人情報の保護水準を担保するようにと規制しています。これは、個人情報を取得したときに得られていた保護水準が、国を出たからといって低下しては意味がないからです。
この規制を遵守するためによく利用されるのが個人情報を輸出する主体と個人情報を輸入する主体の間で「契約」を結ぶ方法です。GDPRでは標準契約条項 (SCC) と呼ばれるものが使われています。こうした標準契約は、ASEANや、中国、南米等で用意されています。
これ以外によく知られているのが、欧州が採用している「十分性認定」です。日本もホワイトリスト国として「十分性認定」と同様の考え方を取り入れています。アメリカと欧州の間のデータ移転を合法にするために作られたプライバシーシールドという制度に対しても以前は十分性認定がありましたが、これは取り消されました。十分性認定はこのように取り消されることがあることに注意が必要です。
もう一つ、国境を越えたデータの移動を適法化するために使われるのが認証です。有名なものとしてはAPEC CBPR / PRPがあります。APEC CBPR / PRPはGlobal CBPRというシステムに変わり、世界中でのデータの移動を可能とするためのツールとすることが計画されています。
以上、国境を越えた個人情報の移動と法規制というテーマで、どのような対策をしないといけないかを簡単に紹介しました。いかがでしたでしょうか?コンプライアンスについて取り上げてほしいテーマやトピックがあればぜひご連絡ください。