データ主権を取り巻く5つの趨勢：リスクを管理する方法

国際データ移転におけるリスクの管理方法を模索している会社役員の方は、是非この記事を参考にしてください。リスクとセキュリティの管理者が考慮すべきデータ保護に関する5つのトレンドを明らかにしています。 

データ主権は、多くの政府がデータ保護に抱いている懸念の最たるものです。データ主権とは、データが物理的に保存されている国の法的保護と規制の対象になるという原則です。

この記事では、データ関連リスクの5つの主要トレンドを概説します。

英国のデジタルマーケティング協会の調査によると、人々は自分のデータをコントロールできなくなっていると感じ、企業が自分の情報を収集するのを防げないと感じています¹。ある調査によると、消費者の1/3は、データやデータ共有ポリシーを理由に利用している会社を変えてもかまわないと回答しています²。多くの消費者は、自分のデータがどこでホスティングされ、処理され、誰がそれにアクセスできるのかを一層気にかけるようになっています。

2019年以降、世界貿易機関（WTO）もデータの越境流通に関するルールの交渉を試みています。しかし、自由に流通するデータによる混乱への懸念が広がったため、現在までに184加盟国の半数が協議に参加していません。そうした国々では、共有ルールを策定する準備がまだできていないのです。

データの国際流通は今後も続くでしょうが、プライバシーデータの規制と交換に対する世界的なアプローチができるようになるまでは、競合する規制の寄せ集めで切り盛りするしかありません。

欧州監督当局は容赦のない姿勢を貫いています。GDPRの罰金額は増加しました。2021年にGDPRが科した制裁金の上位5位は以下のとおりです。

• Amazon – 7億4,600万ユーロ
• WhatsApp – 2億2,500万ユーロ
• Notebooksbilliger.de – 1,040万ユーロ
• Austrian Post – 950万ユーロ
• Vodafone España – 815万ユーロ³

GDPRを遵守していない企業は、高額な罰金などの過酷な現実に直面するため、データ移転リスクの算定に織り込む必要があります。 

法律の曖昧さが企業をローカルでのデータ処理へと向かわせる

2022年7月16日、欧州司法裁判所（ECJ）は、EUと米国間のデータ移転に関する枠組みである「EU-米国プライバシーシールド」を無効とする判決を下しました。この判決は、米国の監視システムに対する懸念から生じたものです。

2021年末にEUと米国の当局者が発表した新たな声明は、新しいプライバシーシールド（プライバシーシールド2.0）の採択が近いことを期待する理由になっています。しかし、EU司法裁判所が支持する判決を下さない限り、法的な不確実性が非常に高いため、組織がこれを遵守する可能性は低いです。

米国ではGDPRに触発されて連邦プライバシー法が成立する可能性がある

IT市場は米国企業が独占しています。米国のデータプライバシー法は、セクター別と州別の法律の寄せ集めで構成されています。

数十年の歳月を経て、2022年6月に連邦データプライバシー法の草案が発表されました。抜け道や適用免除があるものの、その普遍的な野心という面ではGDPRによく似ています。専門家は、2年以内に採択されるだろうと楽観視しています⁴。そうなった場合は、欧州委員会による十分性の認定を受ける必要があります。これが実現するとしても何年もかかるでしょう。

データ主権は、データの国際流通を促進するデータのグローバル化と、流通を阻害するデータ保護主義（競合する地域勢力圏の誕生）の力の間に挟まれています。これらの力関係を図1に示します。

図1：データのグローバル化とデータ保護主義の力関係

「企業はデジタルエコシステムを設計、生産、販売、維持しており、州は企業に依存しています。しかし州にはデジタル空間を規制する権限があります。」

Luciano Floridi（ルチアーノ・フロリディ）、オックスフォード大学、情報哲学・倫理学教授⁵

どちらの力が勝つかを予測するには、不確実なことが多過ぎます。

個人データ保護基準に関して世界的な合意に達することは、データの国際流通にとって極めて重要ですが、私たちは地質学的なペースでしか進歩しません。EUと米国のデータ移転は、今後何年にもわたって問題を抱え続けることになるでしょう。

データ移転リスクを排除するマネージドサービスソリューションにご興味のある方は、 こちら から詳細をご覧ください。

この記事は法的なアドバイスとしてではなく、あくまでもひとつの意見としてご参照ください。