概要
クラウドの普及と利用の促進により、国内、海外問わず、様々なサービスを利用する機会が増えています。
しかし、サービスを利用する場合、特に組織においては預託するデータの保護に関する取り組みについて考える必要があります。
今回は個人情報に関する各国の規制や流通の取り組みについて調べてみました。
背景(DFFTについて)
DFFT(Data Free Flow with Trust、信頼ある自由なデータ流通)とは、2019年1月23日に行われた「ダボス会議」で提言された言葉です。
ダボス会議で安倍首相はデータの活用が重要であり、そのためにDFFTの体制を築くことを提言しました。
ただし、国境をまたいでデータを移動させるには、各国のルールに従わなければならず膨大な作業が必要になります。
上記課題に対して、国間でのデータ流通のための枠組み作りが行われています。
EU圏への対応
日本とEUではデータ流通のため、相互に個人情報保護に関する取り組みについて十分性認定を行いました。
これにより、「個人情報保護に関する法令及びガイドライン」に加えて「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を遵守することで取り扱うことができます。
https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf
APECにおける取組
APECでは2011年にCBPR(Cross Border Privacy Rules)を策定しました。
CBPRは企業等の越境個人データの保護に関して、APECプライバシー原則への適合性を認証するシステムです。
しかし、上記のルールに関して、アメリカからは見直しを求める動きもあります。
CBPRはAPECの域内でのルールなので、APECに加盟している中国の意見を無視できません。APECの議論でも、データ流通を促すアメリカと国家主導で管理する中国が対立することが多かったといいます。アメリカはCBPRをAPECから独立させることで、中国の干渉を受けずにルール作りを行い、データを吸い取られる事態を避ける狙いがあるとみられます。
現時点(2020年11月)で、日本とアメリカ間では、日本とEUのような相互認証の仕組みはありません。
対アメリカに関しては、今後CBPRの拡張や、プライバシーシールドのような新しい相互認証の枠組みを策定することで情報の流通を図るのではないでしょうか。
参考にさせていただいたサイト
http://www.db-security.org/seminar/data_2017/dbsc0213_2.pdf