ナレッジ

欧州・中国を中心とするデータ保護主義の現状と通商ルールの展望

国境を越えたデータの流通量が爆発的に増加し、データ資本主義の時代に突入した。欧州のGDPR、中国のサイバーセキュリティ法などが相次いで施行され、自国内にデータを囲い込もうとするデータ保護主義の動きが加速するが、これらの動きは、企業のイノベーションの阻害、消費者の利便性を低下させる危険性を含んでいる。また、デジタル貿易にかかる国際的に統一されたルールがなく、各国が異なるルールを導入している状況は企業にとって負担が大きい。

(世界経済評論2019年1・2月号に寄稿した内容を一部変更して掲載しています)2019.1

国境を越えたデータの流通量が爆発的に増加し、データ資本主義の時代に突入した現在。欧州のGDPR、中国のサイバーセキュリティ法などが相次いで施行され、自国内にデータを囲い込もうとするデータ保護主義の動きが見られる。このような動きは、企業のイノベーションを阻害し、消費者の利便性を低下させる危険性を含んでいる。 

これまで、モノやサービスの貿易取引の自由化を推進してきた通商ルールでは、データ取引のようなデジタル貿易に有効な規定が十分に整備されてこなかった。

最近ようやく、TPP11、日EU・EPA、改定後のNAFTA(USMCA)等の大型の地域間協定でデジタル貿易の促進にかかる規定が合意され始めている。WTOでは、2018年3月から約80か国が参加し、デジタル貿易のルール作りに向けた議論に着手している。デジタル貿易にかかる国際的に統一されたルールがなく、各国が異なるルールを導入している状況は企業にとって負担が大きい。存在意義が問われているWTOにとっては、今こそ「WTO改革」の一環として統一ルールをつくり、存在価値を示すラストチャンスなのではないか。

 

 
欧州・中国を中心とするデータ保護主義の現状と通商ルールの展望 [PDF: 589KB]

「データ資本主義」時代への突入

近年、データの流通量が爆発的に増加している。McKinsey Global Instituteの分析によると、2014年に国境を越えたデータの流通量は2005年の約50倍になった1 。「データを制する者が世界を制す」(中国のオンライン販売企業阿里巴巴(アリババ)集団の創業者ジャック・マー氏)という発言が象徴するように、データがヒト・モノ・カネと同様に経営の核となる「データ資本主義」の時代に突入している。

このような時代の変化に伴い、国際的な「デジタル貿易」の在り方も注目を集めている。デジタル貿易には明確な定義がないが、データが国境を越えて移転されることによって生じる電子商取引の総称とされている。B to C(消費者と企業間)のみならず、B to B(企業と企業間)やC to C(消費者と消費者間)等の幅広い取引形態が含まれる。

本稿では、欧州や中国をはじめとする各国のデータ保護主義の動きを分析した上で、デジタル貿易にかかる通商ルールの動向や企業への影響について考察する。

1 総務省(2017)「平成 29 年度情報通信白書」より引用

 

欧州:個人情報の移転を規制するが、産業情報は移転を推進

1.GDPRの概要

日本でも大きな注目を集めたのが、欧州経済領域(EEA:European Economic Area(欧州連合(EU:European Union)加盟国28か国にアイスランド、リヒテンシュタイン、ノルウェー加えた地域))で2018年5月に施行された一般データ保護規則(GDPR:General Data Protection Regulation)だ。GDPRは、個人情報の管理や処理に厳しい条件を課し、違反した場合は2,000万ユーロもしくは前会計年度の世界売上高の4%のいずれか高い方という高額の制裁金が課される。EEA域内に拠点がある企業のみならず、EEA域内に所在する個人と取引関係のある域外の企業にも規律が及ぶため、多くの日本企業が対応に追われた。

GDPRが取り扱う「個人情報」には、氏名、住所、生年月日、連絡先などの基礎的な情報のほか、身分証明書などのID情報、クレジットカードや収入などの金融情報、位置情報、IPアドレスなどのコンピュータ情報、購買履歴を含む嗜好情報等の幅広い情報が該当する。GDPRはこれら個人情報の適切な管理や処理について規定する。なかでも外国企業への影響が大きいのが、EEA域内から域外の第三国へのデータ移転に関する規律だ。

GDPRのもと、EEA域外へデータ移転を行うにはいくつかの方法がある。ひとつは、移転先の第三国が、欧州委員会から十分なレベルの個人情報保護を実施しているという「十分性認定」を受けることだ。十分性認定を受けた国に対しては、一定の緩和された条件でデータの移転が可能になる。十分性認定を受けていない第三国にデータを移転するためには、データの移転元と移転先の企業が同一グループの場合は、拘束的企業準則(BCR:Binding Corporate Rules)と呼ばれるデータ保護方針を制定し、データ移転元となるEEA加盟国の監督機関から承認を得る必要がある。移転元と移転先が同一グループでない場合は、欧州委員会が指定したデータ移転契約のひな型である標準契約条項(SCC:Standard Contractual Clauses)に基づく契約を締結する必要がある。2018年12月末現在、日本はEUとの間で「十分性認定」に関する協議を完了し、EU側で正式な認定のための手続きを実施中だ。

2.GDPR成立の背景

欧州では、1939年にドイツ政府が国勢調査員75万人をもって国内の全居住者を対象とした国勢調査を実施し、各居住者の年齢、性別、職業、信仰、祖父母に関する情報等を収集した。この情報に基づいて人種を選別し、ホロコースト(大量虐殺)が実施されたとする反省と教訓から、1953年に発効した欧州人権条約において、国家は個人の「プライバシー権」を妨げてはならないと規定された。それ以降、同規定が欧州における個人情報保護に関する思想の根幹となり続けている。GDPRの制定背景には、欧州の「人権」に対する歴史的な経緯がある。

GDPRの前身は、1995年にEUが制定した「データ保護指令」だ。ただし、EUの「指令(Directive)」は指針を示すもので加盟国へは直接には適用されず、指令の内容を加盟国の国内法へ置き換える必要がある。このため、「データ保護指令」のもと、加盟国間で個人情報の保護に関する制度が異なる状況だった。デジタル化が急速に進展するなか、域内で統一ルールがないことは地域統合の足かせともなる。EU加盟国に直接適用される「規則(Regulation)」の制定が求められた。

GDPRのドラフトが欧州委員会に初めて提示されたのは2012年だった。当初、EU加盟国の間でもGDPRに対しての考えは一枚岩ではなく、制定に消極的な国もあった。GDPR制定案が欧州議会に提出された際には、欧州議会史上でも最多となる約4,000 もの修正案が提出された。この修正案をほぼ独力でとりまとめたとされるのが、ドイツのヤン・フィリップ・アルブレヒト議員だ。「アルブレヒト報告書」をまとめている。また、政治に強い米系のニュースメディア「Politico」によると、2012年当時、GDPRのドラフト提出の裏で糸を引いたのもドイツの行政官だったとされている2

GDPRの前身の「データ保護指令」の対象はEU域内に事業所やサーバー等を構える企業のみで、EU域内に物理的拠点を持たずにEUの法人や個人と取引をしている外国企業は指令の対象外だった。デジタル分野で急激に収益に伸ばしている米国のIT巨人、いわゆる「GAFA(Google、Amazon、Facebook、Apple)」に対しては十分に規律が及ばない構造になっていた。GAFAの代表的なビジネスモデルは、自社サービスを通じて取得した個人情報を広告主に提供して多額の報酬を得るというもの。EUの中でデジタル分野に強いのはSAP、Siemens、Boschなどのドイツ企業が中心だ。EU市民の個人情報がGAFAの収益を拡大し、同時に欧州企業の競争力を損ねている状況を最も懸念していたのはドイツだろう。GDPR制定の裏にドイツ人の活躍があったことも理解できる。GDPRにより、米国のIT巨人にも一定の制約を加えることができるようになった。

GDPRは個人情報のEEA域外への移転に厳しい制限と制裁を課し、世界から注目を集めた。だが、ひとつ付け加えておきたいのは、GDPRはあくまで個人情報の移転を制限するものであり、産業データの移転については規律していない点だ。EUは2015年に「デジタル単一市場(DSM:Digital Single Market)戦略」を発表した。DSMではEUにおけるデジタル市場の統一に向け、加盟国間で異なる法律、制度、通信環境等を整備し、EUデジタル経済の発展を目指している。産業データの自由な移転も戦略の中に含まれている。DSM以前にドイツが提唱した「インダストリー4.0」でも、国を跨ぐ工場間の情報システムの連結など、産業データの移転を鍵とする変革が謡われている。つまり、EUのデータ保護主義は個人情報に主眼を置いたものであり、産業データに関しては必ずしも保護主義ではない3 。GDPRは、米国のIT巨人への制約とEU企業の成長を同時に実現するための苦肉の策だったとも捉えられる。

2 POLITICO(2018)「The world’s most powerful tech regulator: Martin Selmayr」より引用
3 加盟国毎に産業データの移転の規制が一部導入されているが、EU 全体としては自由移転を推進
 

中国:個人情報、産業情報ともに移転を規制。ビジネスの足かせに

中国は、2017年6月にサイバーセキュリティ法を施行した。それまで、中国には分野ごとの規制はあったもののサイバーセキュリティやデータ保護を包括的に規定する法律がなく、同法によって統一された。同法は、サイバー空間における中国の国家主権の確保と安全保障、公共利益の維持を目的としている。個人情報の保護に主眼を置くEUのGDPRより対象範囲が広い。違反した場合にはウェブサイトの閉鎖、業務停止や営業取消しの可能性もあり、企業にとってのペナルティは制裁金が中心のGDPRより更に厳しい。

中国国内のインターネットユーザーは2018年6月時点で8億200万人に達した4 。支付宝(アリペイ)や微信支付(ウィーチャットペイ)等のアプリを使ったモバイル決済も急速に普及しており、データの流通に関する規律の必要性が高まっていた。

サイバーセキュリティ法は、一般的なネットワーク運営者と重要インフラ運営者に対する義務を分けて規定している。「ネットワーク運営者」というと、通常は通信事業者やインターネットサービス提供者を指すことが多いが、同法の対象には「中国でITネットワークや情報システムを保有し、運営するあらゆる組織・企業」が含まれており、ホームページ等を開設している一般企業も対象になる。

「重要インフラ運営者」に該当するのは、公共通信・情報サービス、エネルギー、交通、水資源、金融、公共サービス等の運営者、及び情報システム機能が破壊され、もしくは失われ、又はそのデータが漏洩すれば国の安全、経済と人民の生活と公共の利益に重大な危害を与え得るその他の重要情報の運営者だ。

最も特徴的なのは、両者ともに中国国内で収集した個人情報及び重要データの中国国内の保存が義務付けられていることだ。データサーバーを中国国内に設置することも求められる。

サイバーセキュリティ法が公布された当初、個人情報及び重要データの中国国内での保存義務があるのは重要インフラ運営者のみだった。だが、2017 年 4 月 に中国におけるインターネット安全の主管部門である国家網信弁が公布した「個人情報及び重要データ越境移送安全評価弁法(パブリックコメント)」において、重要情報インフラ運営者に限らず、一般的なネットワーク運営者にも中国国内で収集した個人情報及び重要データを中国国内で保存することが義務付けられた5

このほか、一般的なネットワーク運営者には、セキュリティ制度の導入や重要データの暗号化などが義務付けられ、重要インフラ運営者には、中国の国家規格に基づく認証を受けたセキュリティ製品の導入、ネットワークの定期検査等の更に厳しい義務がある。

外国企業が特に懸念しているのは、個人情報及び重要データの中国国内での保存義務だ。「重要データ」についてはサイバーセキュリティ法には定義がないが、2017年8月に国務院が公表した「重要データ識別ガイド」案に、全27産業に渡る分野ごとの定義が記載されている。それによると、石油・天然ガスの価格、生産量、販売量、埋蔵量に関するデータ、鉄鋼や非鉄金属の生産・調達計画、ハイテク機器の生産にかかる投資のデータ、化学製品の生産能力にかかるデータ、電力、通信関連のデータ、情報セキュリティの管理データ、無線電波のデータ、交通運輸に関するデータ、金融、食品・薬品に関するデータ、医療機器の臨床試験データ、個人がECプラットフォームに登録をしたデータ等、実に多岐に渡る情報が重要データに該当する 6。安全保障に関わるであろうデータに加え、企業の一般的な産業活動に関連するデータも含まれている。これらの情報を中国外に持ち出す場合は、国家機関の厳格な審査を受ける必要があり、ビジネスにとっての足かせとなることは明白だ。

なお、サイバーセキュリティ法には実施細則が定められていない条項もあり、今後さらに規律の対象が広がる可能性がある。上述のデータ保存義務の対象者の拡大や「重要データ」の定義が後付けで発表されたのもその例だ。現行の厳しい規制に加え、将来的にこの規制がさらに強化される可能性があることも企業にとってのリスクだ。

4 「人民網日本語版」(2018 年 8 月 21 日)より引用
5 TMI 総合法律事務所(2018)「TMI 中国最新法令情報(2018 年 2 月)」より引用
6 株式会社クララオンライン(2017)「中国サイバーセキュリティ法のデータ越境移転にかかる「重要データ」の想定範囲」より引用

 

データ保護主義は世界に広がりつつある

欧州や中国以外でもデータ保護主義の動きが見られる。例えばインドネシアは、広範な「公共サービス」に関するデータの国内保存の義務化と国外への移転を禁止している。さらに最近では、電子マネーの運営者に対してもデータの国内保存を求めている。ロシアは、個人情報に対する厳格な処理とデータサーバーの国内設置を求めている。ビジネス特化型のSNSを運営する米国のLinkedInがデータサーバーのロシア国内設置を拒否したことを理由に、同社はロシアでの運営が禁止された。また、通信事業者に対して、ユーザーがやりとりをした音声、テキストメッセージ、画像、ビデオ等のデータを6ヶ月間、ロシア国内で保存することも義務付けている7

このほか、ベトナム、インド、韓国、トルコ、ナイジェリア等でもデータ保護の動きが見られる。これらデータ保護の背景には、個人情報の保護、産業の保護・育成、安全保障等の目的がある。一定程度の保護はやむを得ないものの、過度な規制が企業のビジネス活動を阻害することは間違いない。

7 ITIF(Information Technology and Innovation Foundation)(2017)「Cross-Border Data Flows:Where Are the Barriers, and
What Do They Cost?」より引用
 

通商ルールの議論は始まったばかり

1. 個人情報保護に関するルール

このようなデータ保護主義に対して通商ルールはどのように対応できるのか。

個人情報保護の取り扱いに関して、古くは1980年に経済協力開発機構(OECD:Organization for Economic Co-operation and Development)において「プライバシー保護及び個人データの国家間送受信に関するガイドライン(OECDプライバシーガイドライン)」が採択された。個人情報保護に関する世界初の国際的なルールだ。OECDのガイドラインでは、個人情報保護の基礎となる8つの原則が定められた。(1)収集制限の原則、(2)データ内容の原則、(3)目的明確化の原則、(4)利用制限の原則、(5)安全保護の原則、(6)公開の原則、(7)個人参加の原則、(8)責任の原則だ。OECDのガイドラインには法的な拘束力はないものの、国際的な慣行として一定の影響力を持っている。日本の個人情報保護法や欧州のGDPRにもOECDの原則が反映されている。なお、OECDプライバシーガイドラインは2013年に改定され、十分な保護措置等がある場合、自由なデータの移転を制限することは控えるべき旨が記載されたが、移転について詳細なルールを定めるものではない。

データの移転に関しては、アジア太平洋経済協力(APEC:Asia Pacific Economic Cooperation)で、2011年に越境プライバシールールシステム(CBPR:Cross-Border Privacy Rules System)が制定された。2004年に制定したAPECプライバシーフレームワークへの適合性を認証する制度で、事業者は、自社の越境個人情報保護に関するルールや体制等について自己審査を行った上で、認定された中立的な認証団体からの審査を受け、認証を取得する。認証を取得した事業者は、APEC域内で個人情報の越境移転を行うことができる。日本では、2016年12月に第一号となる企業が認証を取得した。CBPRには、2018年9月末現在、日本、米国、メキシコ、カナダ、韓国、シンガポールの6ヵ国が参加している。

2.デジタル貿易に関するルール

世界貿易機関(WTO:World Trade Organization)では、個人情報に限らない広義のデジタル貿易にかかるルールが議論されている。WTOでは、1998年の「グローバルな電子商取引に対する閣僚宣言」において、ゲームやメディアなどのデジタルプロダクトが国境を越えてオンライン上で取引された場合に関税を賦課しないという原則が合意された。閣僚宣言には、翌年までこの原則を延長するという「関税不賦課のモラトリアム」についても記載され、現在に至るまでこのモラトリアムの期間が延長されている(ただし、物品としての配送が物理的に行われた場合には関税の対象となる)。最近では、この原則を明文化して法的拘束力を持たせようとする動きもある。

直近では、2017年11月にアルゼンチンで行われたWTO第11回閣僚会議において、「電子商取引に関する共同声明」がとりまとめられた。共同声明には日本、EU、米国を含む71の国・地域が参加し、電子商取引の貿易的な側面に関する交渉に向けた作業を開始すること等が定められた。この共同声明を受け、2018年12月末時点で9回の有志国会合が開催された。第1回会合の開催が2018年3月であり、開催頻度は高い。有志国会合には、共同声明に参加をしていないWTO加盟国も含めた約80ヶ国が参加している。

有志国会合では、これまでに日本、米国、EU、カナダ、シンガポール、ロシア、ブラジル等が意見を提出している。日本は、国境を越えたデータの自由移転、データサーバーの国内設置要求の禁止、各国政府が持つ統計、交通や災害に関するデータの開示を国内企業に限定することの禁止、ソースコードやアルゴリズムの開示要求の禁止等を提案している。米国は、国境を越えたデータの自由移転、データサーバーの国内設置要求の禁止、デジタルプロダクトへの関税の不賦課、ソースコードやアルゴリズムの開示要求の禁止等を提案している。中国の規制を念頭に置いた項目が多いと考えられる。日本の提案との類似点も多い。EUは、デジタルプロダクトへの関税の不賦課、オンラインサービスを提供する際の政府による事前の許認可の禁止等、デジタル貿易の促進にかかる項目を提案している。この一方で、個人情報に関しては消費者を保護するための拘束力を持つ規則の導入や国際的な協力を提案している。

これらに加えてEUが通信サービスの規律に関する提案を行ったり、ブラジルとアルゼンチンが共同で、オンラインで音楽等のコンテンツをダウンロードした際のロイヤリティの扱いについて提案を行う等、加盟国間で「電子商取引」の概念が実に幅広く捉えられている。WTOでのルールの導入に向けて今後どのように議論が収れんしていくのか、今のところは見通すのが困難な状況だ。

WTOに先立って自由貿易協定(FTA:Free Trade Agreement)や経済連携協定(EPA:Economic Partnership Agreement)による多国間統一ルールを導入したのが、2018年3月に署名された環太平洋パートナーシップに関する包括的及び先進的な協定(CPTPP:Comprehensive and Progressive Agreement for Trans-Pacific Partnership、以後「TPP11」と表記)だ。TPP11では、デジタルコンテンツへの関税の不賦課、個人情報を含むデータの自由移転(ただし、公共目的で制限が必要な場合はこの限りではない)、データサーバーの国内設置要求の禁止(ただし、公共目的で制限が必要な場合はこの限りではない)、ソースコードの開示要求の禁止等を規定した。米国がTPPを離脱したことにより、米国の要望で導入されたルールは米国がTPPに復帰するまで凍結することとされているが、デジタル貿易に関する規定は凍結されておらず、TPP11の発効によって加盟国間で効力を持つ。

2019年2月に発効が予定される日EU・EPAでも電子商取引章が導入された。データの自由移転に関する規定はないものの、デジタルコンテンツへの関税の不賦課、ソースコードの開示要求の禁止等が規定された。

さらに、2018年10月初頭に米国、カナダ、メキシコの間で改定に合意した北米自由貿易協定(NAFTA:North American Free Trade Agreement、改定後の名称はUSMCA:United States-Mexico-Canada Agreement))でも、旧NAFTAには既定のなかった電子商取引章を創設した。USMCAでは、デジタルコンテンツへの関税の不賦課、データサーバーの国内設置要求の禁止、データの自由移転(ただし、公共目的で制限が必要な場合はこの限りではない)、ソースコードやアルゴリズムの開示要求の禁止等について規定している。

WTOでの議論は収れんの見通しが立たないが、主要国の間ではデジタル貿易にかかるルールが導入されつつある。

過度な規制とルールの複雑化による企業負担は大きい

データ保護主義の動きは企業にどのような影響を与えるのか。代表例のひとつが「MaaS:Mobility-as-a-Service」だ。MaaSでは、電車やバス、飛行機など複数の交通手段を使用して移動する際、移動ルートや手段の横断的な検索に加え、予約や運賃の支払いまでをスマートフォン等からワンストップで行えるようにするといったサービスが提供される。移動の効率化により、都市部での交通渋滞や環境問題、地方での交通弱者対策等の問題の解決に役立てるという側面もある。MaaSの実現には、スマートフォンやデジタルインフラの整備のほか、鉄道やバスの運行情報、タクシーの位置情報、道路の交通情報等、交通に関する大規模なデータをオープン化し連携することが必要になる。中国のように交通に関する情報が「重要データ」に定義されデータの円滑な越境移転が禁止されると、移動者が国境を越えた時点でサービスが提供できなくなる。また、移動者の位置情報が「個人情報」として扱われ過度な制約を受ける場合にも、サービス提供のメニューが減ることになる。

このほか、米国企業GE(General Electric)が導入しているような遠隔メンテナンスサービスも影響を受けるだろう。GEは、10年近く前から自社の航空機のジェットエンジンの多数の部品にセンサーを取り付け、動作状態に関する情報を収集している。センサーからの情報は衛星ネットワークを通じて同社に集められることで遠隔監視され、修理や交換が必要な状況が発見されると、該当する航空機のある場所に専門技術者が派遣される。例えば中国の国内線に使用される航空機に関する情報が中国国内のみでしか保存・移転ができない場合、中国の航空会社へはこのサービスを提供できないことになる。GE側の機会損失に加え、メンテナンスにかかるコストやスピードを考慮すると、航空機を保有する中国の航空会社にとってもデメリットになる。データの自由移転が可能な他国の航空会社との競争の面からも不利だ。

戦時中のドイツのホロコーストから教訓を得たように、個人情報の取り扱いに一定の配慮が必要なことは言うまでもない。国家の重要インフラにかかる情報の流出に注意が必要なことも想像に難くない。だが、過度な規制は、企業のイノベーションを阻害し、消費者の利便性を低下させることになる。

国際的に統一されたルールがなく、国や地域ごとに制度が異なることも、企業にとっては大きな負担だ。仮にAPEC域内での個人情報の自由移転のためにCBPRの認証を取得したとしても、EU市民の個人情報を移転するには、GDPRに基づくBCRの承認やSCCに基づく契約が必要だ。TPP11や日EU・EPA等の大型な地域間協定でルール制定が進んでいることは評価できる。ただ、これらは大型とはいえ適用される地域が限定され、世界を一体的に網羅するものではない。存在意義が問われているWTOは、今こそ「WTO改革」の一環としてデジタル貿易の統一ルールをつくり、存在価値を示すラストチャンスなのではないか。

 

執筆者

福山 章子(ふくやま あやこ)
レギュラトリストラテジー チーフ通商アナリスト

お役に立ちましたか?