前回、インターネットには国境があるというお話 ― 「データ・ローカライゼーション要求」において、Webサイトなどのインターネット上で扱うデータの保持を国を跨いで行う事は、世界的には今、ネガティブですよ。ということを申し上げましたが、今回はいわばこの続きのようなお話です。
日本ではデータ・ローカライゼーション要求に関して、公的機関がどのような活動や枠組み整備を行っているのかを調べてみますと、総務省、経済産業省、財務省あたりの会議録が目に付くのですが、思ったより古いデータしかありません。
何故かと言えば、省庁は行政を司り、その行政のためには当然法律が必要なわけで、言ってしまえば、日本にはデータ・ローカライゼーションをターゲットとした法律がまだ無いからということになります。となれば、次に立法府である国会の議事録を見ておくべきですね。
一応補足しておきますが、日本国内データを国際的にも安全に運用する法律が全くないというわけではありません。個人情報保護法第24条と、個人情報保護法施行規則第11条が、データ・ローカライゼーションに関連する法律として存在しています。ただ、この法律ですが、「個人情報しか対象にしていない」、「海外において個人情報を扱える者の定義(義務)がないに等しい」、「何かあっても、依頼側、受託側双方がお互いに知らなかった(私は被害者だ!)といえば、まずうやむやになりそう」な内容なのが非常に弱いところです。ちなみに、名前だけ先行していて凄そうに思っているEUのGDPRも、正直日本と変わりません。ですので、よりデータ・ローカライゼーション要求関連法規が厳しい中国やロシアに、日本の個人情報保護法やEUのGDPRくらいの認識でビジネス(データを扱うこと)をするのは、危なすぎます。
『中国向けに越境ECだ!』という話は良く聞きますが、この話題を知らずに踏み込むのはこれから先、何事も起きないとは言いがたいですね。
さて、話を戻して、立法府である衆議院のWebサイトでは、本会議・委員会の議事録を検索できます。そこで、データ・ローカライゼーションと検索してみると、令和元年から全部で9件の議事録や資料がヒットします。(これで全てなのかはなんとも言えませんが、多分全てです。個人的には少ない気がします。)
内容を見ていきますと、ほとんどがデジタル庁の設立を中心にそれに伴う法案としての議論か、デジタル分野における個人情報保護の実態(他国のルールや実際に発生している事故、ニュース)について、起こった問題を現行法に照らしてどうするのかみたいな話になっているところが多い印象です。どうでもいいですが、全体的に横文字が当然ながら多くて、ついて行けない人も居るのではないかと心配にもなりますね。
まだ、様々な状況と情勢を見据えて、どう法律的な枠組みを持つべきかという具体的な議論は見当たりませんが、委員会は大体こうした議事録が多い(法律そのものを論議するのはよほど国民全体か政党自身が関心を寄せているテーマです)ので、近いうちに何か法案が国会に提出されるのではないかと思われます。ただし、データ・ローカライゼーション法などという大々的なものは想像しがたく、個人情報保護方針の条項追加か、立法ではなく、個人情報取扱事業者および国内企業向けのガイドラインの策定というものになると思われます。
データ・ローカライゼーションについては、諸外国と合意済み事項もあり、単純な国内法ではないからです。
今立法府や行政府がまとめようとしているのは、個人情報を日本から持ち出す、あるいは海外から参照する事に対して、受託者がどういう用途でそれを扱い、用途外・想定外の事象が起きないようどう管理・監視・監督していくのかを提示することでしょう。実際、ガイドライン整備が、国内の大手企業が最も求めている事でもありますので。
ですが、ガイドラインは罰則のない法律のようなものであったり、認証制度を伴ってきたりなど、結構強制力を持つものになり得ますので、このテーマは注視していく必要があります。
