家studyをつづって

セキュリティ関係の会社で働きながら、日々勉強したことをつづっていきます。

各国の個人情報保護の取り組みと情報流通に関する動向(2020年11月調べ)

概要

クラウドの普及と利用の促進により、国内、海外問わず、様々なサービスを利用する機会が増えています。
しかし、サービスを利用する場合、特に組織においては預託するデータの保護に関する取り組みについて考える必要があります。
今回は個人情報に関する各国の規制や流通の取り組みについて調べてみました。

 

 

 

背景(DFFTについて)

DFFT(Data Free Flow with Trust、信頼ある自由なデータ流通)とは、2019年1月23日に行われた「ダボス会議」で提言された言葉です。
ダボス会議で安倍首相はデータの活用が重要であり、そのためにDFFTの体制を築くことを提言しました。

www.kantei.go.jp


ただし、国境をまたいでデータを移動させるには、各国のルールに従わなければならず膨大な作業が必要になります。

f:id:iestudy:20201119222257p:plain

各国の個人情報保護ルール


上記課題に対して、国間でのデータ流通のための枠組み作りが行われています。

 

EU圏への対応

日本とEUではデータ流通のため、相互に個人情報保護に関する取り組みについて十分性認定を行いました。
これにより、「個人情報保護に関する法令及びガイドライン」に加えて「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を遵守することで取り扱うことができます。

www.ppc.go.jp

 

https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

  

APECにおける取組 

APECでは2011年にCBPR(Cross Border Privacy Rules)を策定しました。
CBPRは企業等の越境個人データの保護に関して、APECプライバシー原則への適合性を認証するシステムです。

www.jipdec.or.jp

 

しかし、上記のルールに関して、アメリカからは見直しを求める動きもあります。

CBPRはAPECの域内でのルールなので、APECに加盟している中国の意見を無視できません。APECの議論でも、データ流通を促すアメリカと国家主導で管理する中国が対立することが多かったといいます。アメリカはCBPRをAPECから独立させることで、中国の干渉を受けずにルール作りを行い、データを吸い取られる事態を避ける狙いがあるとみられます。

APECのデータ流通ルール、なぜ見直す? :日本経済新聞

 

現時点(2020年11月)で、日本とアメリカ間では、日本とEUのような相互認証の仕組みはありません。 
対アメリカに関しては、今後CBPRの拡張や、プライバシーシールドのような新しい相互認証の枠組みを策定することで情報の流通を図るのではないでしょうか。

 

参考にさせていただいたサイト

http://www.db-security.org/seminar/data_2017/dbsc0213_2.pdf