2023年 アジアパシフィック地域のデータローカライゼーション規制の概要

序文より

デジタル化が進む現代において、データのローカライゼーションは、ユーザーのプライバシーを保護し、データを安全に保護するための重要なツールとなっています。

データローカライゼーションとは、一般的に、データが生成された国の国境内でデータを保存または処理するプロセスのこととされます。OECDの論文では、データが特定の管轄区域内で独占的または非独占的に保存または処理されることを直接または間接的に規定した、法律上・行政上の必須要件を指します。データローカライゼーションに単一の定義はありませんが、通常、特定の境界内にデータを物理的に保存するための要件から構成されています。また、より広い意味で、国境を越えた安全なデータ移転を確保するための措置も含まれるとする見方もあります。こうした措置には、データ移転を行う前に本人の同意を得る、もしくは規制当局の許可を得るという要件、データのローカルコピーを保存すること、またはデータの輸出に対する課税などが含まれます。
 

データローカライゼーションの歴史

世界がグローバル化するにつれて、多くの国が自国の主権を再認識する必要性を感じています。その手段として、「データ主権」にかかわる規律がますます一般的になりました。データ主権にかかわる規律は、政府が、その国民のデータがどこに、そして誰によって保存されていようと、国民のデータに対する主権を主張するための手段と捉えられます。データローカライゼーションを導入するための最初の一歩が踏み出されたのは2005年、カザフスタン政府が全ての「.kz」ドメインを国内で運営することを義務付ける法律を制定したときと考えられます(のちに特定の会社については例外となりました)。 エドワード・スノーデンにより米国テロ対策監視プログラムが明らかにされた後は、より多くの国においてテクノロジーを通じて国民のデータの流れをコントロールできるよう、厳格な政策を導入しようとしています。
 

データローカライゼーションがもたらすもの

データローカライゼーションの目的は、意思決定権やアクセス権を管轄区域の境界内に置くことにより、国民のデータに対するコントロールを強化することと考えられます。また、データローカライゼーション政策の増加は、データ主権の喪失や希薄化に対する各国の懸念を反映していると理解できます。データの越境移転を規制するためにさまざまな規則が導入され、違反した場合の罰則も定められています。

開発途上国においては、データを現地で保存することによって情報の非対称性が生み出され、現地の企業が競争力を得て、国外の企業よりも利益を上げられることが見込まれます。現地のデータセンタにデータが保存されることで、現地の企業や政府はデータに容易にアクセスすることもできます。現地当局は通常、法的要件に従ってデータにアクセスできるようにするために追加投資を行う必要はないと考えられます。
 

本ガイドについて

本ガイドは、データ主権と世界的なデータローカライゼーション規制の広がりを受けて、アジアパシフィック地域におけるデータローカライゼーションの要件と、越境移転におけるデータ保護のための対策を整理したものです。

デロイトでは、データ主権の必要性とデータの流れを制御する必要性という継続的な課題を考慮し、アジアパシフィック地域におけるデータローカライゼーション要件の微妙な違いについて、企業やコンプライアンス担当者が全般的な理解を得る助けとなるよう、規制に関するガイドを提供することが重要だと考えました。

本資料では、アジアパシフィック地域のさまざまな場所で現在施行されている、プライバシーおよびデータローカライゼーションに関する具体的な法律や規制、その他参照可能な公式リソースに関するリンクも提供しています。
（「2023年 アジアパシフィック地域のデータローカライゼーション規制の概要」, P4より）

※ダウンロードにはご登録が必要となります。ご登録フォームは株式会社シャノンのサービスを利用しています。ご記入いただく内容はSSL暗号化通信により内容の保護を図っています。