別のコラム※でECサイトにおけるクレジットカード情報の取り扱いについてのコラムを執筆しましたが、今回は広く、データそのものについてのお話です。
※ECサイトにおけるクレジットカード情報の取り扱いについての記事は以下
ECサイトを始めようとしているならクレジットカード決済の方法に気をつけよう(1)
ECサイトを始めようとしているならクレジットカード決済の方法に気をつけよう(2)
ECサイトを始めようとしているならクレジットカード決済の方法に気をつけよう(3)
皆さんご存じの通り、海外からモノを買って国内に持ち込む際には、税関や検疫を通す必要があります。これは、フェアな価格競争のためとか、問題のあるモノを日本国内に持ち込ませないためです。今、世界各国で、この税関や検疫にあたるようなことプラス、自国内にある情報の保護を目的として、データそのものにも越境に関しての法整備や議論が活発に行われていることはご存じでしょうか?
議論の基調は「データ・ローカライゼーション要求」というもので、自国で事業を行う場合に、その事業活動に必要なサーバやデータを国内に設置、あるいは保存させるための規制全般のことを指しています。
『え?そんなブロック経済や鎖国みたいな事、自由経済で通らないでしょ?国境を越えるテクノロジーがインターネットそのものでは?』と思っている方、程度はあれども、すでに施行されている国はあります。
例えば、欧州議会及び理事会規則(一般データ保護規則)いわゆる「GDPR」、インドネシアの「電子システムにおけるプライベートデータ保護に関するインドネシア共和国情報通信大臣令2016年第20号」(通称「プライベートデータ保護規則」)、ベトナムの「サイバーセキュリティ法案3」、ロシアの「ロシア連邦個人情報保護法」、中国の「サイバーセキュリティ法」などです。これらの法規則を簡単に言えば、『データは自国サーバに置き、データを国外に持ち出すことは駄目』ということになります。
以前、LINEのデータが国外のサーバにあったことがニュースで話題になっていましたが、データ・ローカライゼーション要求に関する法案が日本にはないので、今のところ違法性はありません。
ですが、これが上記の様な国々で起こっていた場合は、行政罰などを伴う問題になっていたことでしょう。
また、日本国内で言えば、データを提供する個人に承諾を得れば、合意に基づく用途範囲内であれば、どのようにデータを持とうが扱おうが問題は無いのですが、上記の様なデータ・ローカライゼーション要求をしている国内の個人情報である場合は、その政府や監督官庁に許可を得なければデータを越境して保持することができなくなります。
(極論ではなく妥当な範囲での)拡大解釈をすると、日本国内のサーバで世界各国向けのWebサイトを開設し、そのアクセスログデータや会員データを持つことは、グレー(あるいは違法状態だが罰せられない状況にあるだけ)な状態です。その国の法に照らして、突然その国から閉め出されても文句は言えません。
ただし、『そもそもAWSみたいなクラウドサーバだとどうなるの?』に対して明確な回答がなかったり(それによってクラウドは手を出せないとか)、各国の当該文書を真面目に調べても『詳細な法定義がなく、単に罰則だけ決まっているようにしか見えない。』という結論に至ったり、企業としては困惑することだらけです。
このデータ越境については、各国の事情によってばらばらに国内法が立法されてきた経緯があり、当然自国以外のことがテーマであるため、国内法の割には国際法的なところまで浸食しているのではないかという問題があります。それを国際法に昇華するにも、足並みは全く揃っていません。越境を完全に自由にすべきという主張、特定の分野に絞って制限をすべきという主張など、論調の主流さえも固まっていません。(2018年くらいから結構言われている話ではあるのですが。)
今は良くても、将来的に海外のレンタルサーバ会社と懇意にならないといけない。ということが起きるんでしょうかね。気が重いです。