海外ビジネス展開における「テクノロジー規制」のリスク

クラウドサービス、ビックデータ解析、IoT製品、AI……様々なテクノロジーの開発・実用化が進み、新たなビジネスが勃興しています。日本においても、上記テクノロジー、もしくはテクノロジーを組み合わせた製品・サービス・システムが企画・開発され、アジア各国を含む世界中に展開されています。しかし、その背景にこれらテクノロジーを活用した製品・サービス・システムを突然死させる規制が、アジア各国において次々と施行もしくは公布に向け準備がなされていることをご存知でしょうか？

それは、サイバーセキュリティ法、個人情報保護法、データセキュリティ等に関する一連の法令・標準（草稿含む）です。（以下「テクノロジー規制」と記載します）。有名な法令では、2018年5月にEUで施行された「一般データ保護規則（General Data Protection Regulation；GDPR）」、2017年に施行された「中国サイバーセキュリティ法」等があります。東南アジア諸国を含むアジア諸国においても、法令名は異なるものの2016年頃から各国で制定されています。

世界における個人情報保護規制の動向

世界におけるサイバーセキュリティ規制の制定・改訂状況

これらの法令が制定される背景は、サイバーセキュリティの脅威の高まり、各地域での個人情報に関する権利意識の高まりです。しかし、制定の経緯や法令要件を丁寧に読み解くと、それぞれの産業振興・ナショナルセキュリティ強化なども背景にあることがわかります。

たとえば、複数の国の法令ではインターネットの匿名性を禁じ、必ず実名による利用を求める要件や当局の強力な権限が定められています。また、個人情報及び統計・知財・技術に関わる重要なデータを海外に持ち出すことを禁止・制限する法令も存在しています。さらに、国民生活・国家に重大な影響を与えるシステム・IT製品についてはライセンス取得義務、調達要件、国外への輸出入禁止・制限を求めるケースがあります。

加えて昨今、米中貿易摩擦の結果、両国はシステムの調達規制、セキュリティ製品の輸出入規制、AI技術などのデータ移動規制をそれぞれ公布しており、両国の動向を踏まえた対応が求められます。

このように、海外事業の展開の際は、これら海外のテクノロジー規制を把握し製品・サービス・システムに関連した課題をクリアしていく必要があります。

テクノロジー規制の背景と課題

企業がテクノロジーを利活用して事業変革を進める、いわゆるデジタルトランスフォーメーションというコンセプトが世に公表されています。そしてデジタルトランスフォーメーションの名の下、企業は冒頭に記載したような各種テクノロジーを利用し新たな製品・サービス・システムを世界中で開発・ローンチしています。

しかし、上述のテクノロジー規制は、巨額の賠償金やサービス・事業の停止、輸出入停止・制限等の罰則を含んでいます。また海外へのデータ移動制限・技術流出など、法令違反時のペナルティ以外のリスクも含んでいます。

そのため、これら法令要件の整理・対応の整理がなされないまま進めた結果、サービスローンチ前に法務コンプライアンス上の問題があり、追加対応によるコスト増加、ローンチの延期、場合よっては中止等のリスクシナリオが想定されます。また既存ビジネスにおいても、従来は問題にならなかった製品・データのサプライチェーンが問題となるリスクシナリオも想定されます。

事実、筆者がこれまで相談を受けた企業においては、ローンチするシステムの非機能要件の再整理、システムローンチのスケジュール見直し・延期を余儀なくされたケースがあります。また、米中向け製品及び米中向け製品のサプライチェーンの見直しが検討されているケースもあります。

テクノロジー規制の想定リスクシナリオ

2021年1月現在、コロナ禍においても新たな技術を活用して海外への事業展開を模索する企業は多くあります。また、上述のテクノロジー規制をクリアすることで製品・サービス・システムの付加価値を高め、あえて海外事業展開に打って出ようとする企業もいます。このような逆境の中で新しいビジネスを進めるためにも、海外テクノロジー規制・論点の把握・収集を行い、ビジネス上のリスク対応を丁寧に行うことが重要であると考えます。

デロイト トーマツ グループでは、リスクマネジメント、コンプライアンス対応、コンサルティング等様々な専門家と海外のメンバーファームと連携し、日系企業のテクノロジー規制対応の助言・支援を行っています。詳細については当グループまでお問い合わせください。

ビジネス検討時におけるテクノロジー関連規制対応アプローチ例

著者：澁谷 宏行
※本ニュースレターは、2021年1月26日に投稿された内容です。