データ主権を取り巻く5つの趨勢:リスクを管理する方法
対象読者
国際データ移転におけるリスクの管理方法を模索している会社役員の方は、是非この記事を参考にしてください。リスクとセキュリティの管理者が考慮すべきデータ保護に関する5つのトレンドを明らかにしています。
データ主権と不確実性
データ主権は、多くの政府がデータ保護に抱いている懸念の最たるものです。データ主権とは、データが物理的に保存されている国の法的保護と規制の対象になるという原則です。
この記事では、データ関連リスクの5つの主要トレンドを概説します。
データ保護の主要トレンド
顧客は自分の個人データの使われ方をますます気にするようになっている
英国のデジタルマーケティング協会の調査によると、人々は自分のデータをコントロールできなくなっていると感じ、企業が自分の情報を収集するのを防げないと感じています1。ある調査によると、消費者の1/3は、データやデータ共有ポリシーを理由に利用している会社を変えてもかまわないと回答しています2。多くの消費者は、自分のデータがどこでホスティングされ、処理され、誰がそれにアクセスできるのかを一層気にかけるようになっています。
企業は、顧客データのセキュリティを保護することによって、どれだけ顧客のロイヤリティと信頼を醸成したいのかを明確にすべきです。そして個人データの使い方をオープンにする必要があります。企業はもはや、契約約款に埋もれた法律用語の背後に隠れることはできないのです。
インターネットの断片化が国際データ移転を脅かしている
2019年以降、世界貿易機関(WTO)もデータの越境流通に関するルールの交渉を試みています。しかし、自由に流通するデータによる混乱への懸念が広がったため、現在までに184加盟国の半数が協議に参加していません。そうした国々では、共有ルールを策定する準備がまだできていないのです。
データの国際流通は今後も続くでしょうが、プライバシーデータの規制と交換に対する世界的なアプローチができるようになるまでは、競合する規制の寄せ集めで切り盛りするしかありません。
企業は、データの国際流通にはリスクが伴うことを受け入れるべきですが、以下の方法でそれを最小限に抑えることができます。
- 欧州委員会の国際データ移転のための標準契約条項(SCC)改訂版を適用する
- データ保護が不十分な国へのデータ流通を最小限に留める
- データ保護法の運用が不十分な国に対する移転の影響評価を実施する
データプライバシー法執行機関はより懲罰的な姿勢に戻る
欧州監督当局は容赦のない姿勢を貫いています。GDPRの罰金額は増加しました。2021年にGDPRが科した制裁金の上位5位は以下のとおりです。
- Amazon – 7億4,600万ユーロ
- WhatsApp – 2億2,500万ユーロ
- Notebooksbilliger.de – 1,040万ユーロ
- Austrian Post – 950万ユーロ
- Vodafone España – 815万ユーロ3
GDPRを遵守していない企業は、高額な罰金などの過酷な現実に直面するため、データ移転リスクの算定に織り込む必要があります。
企業は、セキュリティポリシーを文書化して伝達し、コンプライアンスを監視することにより、このリスクを管理することができます。
法律の曖昧さが企業をローカルでのデータ処理へと向かわせる
2022年7月16日、欧州司法裁判所(ECJ)は、EUと米国間のデータ移転に関する枠組みである「EU-米国プライバシーシールド」を無効とする判決を下しました。この判決は、米国の監視システムに対する懸念から生じたものです。
2021年末にEUと米国の当局者が発表した新たな声明は、新しいプライバシーシールド(プライバシーシールド2.0)の採択が近いことを期待する理由になっています。しかし、EU司法裁判所が支持する判決を下さない限り、法的な不確実性が非常に高いため、組織がこれを遵守する可能性は低いです。
2022年7月16日、欧州司法裁判所(ECJ)は、EUと米国間のデータ移転に関する枠組みである「EU-米国プライバシーシールド」を無効とする判決を下しました。この判決は、米国の監視システムに対する懸念から生じたものです。
2021年末にEUと米国の当局者が発表した新たな声明は、新しいプライバシーシールド(プライバシーシールド2.0)の採択が近いことを期待する理由になっています。しかし、EU司法裁判所が支持する判決を下さない限り、法的な不確実性が非常に高いため、組織がこれを遵守する可能性は低いです。
米国ではGDPRに触発されて連邦プライバシー法が成立する可能性がある
IT市場は米国企業が独占しています。米国のデータプライバシー法は、セクター別と州別の法律の寄せ集めで構成されています。
数十年の歳月を経て、2022年6月に連邦データプライバシー法の草案が発表されました。抜け道や適用免除があるものの、その普遍的な野心という面ではGDPRによく似ています。専門家は、2年以内に採択されるだろうと楽観視しています4。そうなった場合は、欧州委員会による十分性の認定を受ける必要があります。これが実現するとしても何年もかかるでしょう。
企業は国際データ移転がどれ程必要なのかを自問して、よりローカルに特化したデータ処理に移行すべきです。
データのグローバル化と保護主義
データ主権は、データの国際流通を促進するデータのグローバル化と、流通を阻害するデータ保護主義(競合する地域勢力圏の誕生)の力の間に挟まれています。これらの力関係を図1に示します。
図1:データのグローバル化とデータ保護主義の力関係
「企業はデジタルエコシステムを設計、生産、販売、維持しており、州は企業に依存しています。しかし州にはデジタル空間を規制する権限があります。」
Luciano Floridi(ルチアーノ・フロリディ)、オックスフォード大学、情報哲学・倫理学教授5
どちらの力が勝つかを予測するには、不確実なことが多過ぎます。
個人データ保護基準に関して世界的な合意に達することは、データの国際流通にとって極めて重要ですが、私たちは地質学的なペースでしか進歩しません。EUと米国のデータ移転は、今後何年にもわたって問題を抱え続けることになるでしょう。
まとめ:リスクを最小限に抑えるための推奨事項
欧州企業は、国際データ移転のリスクを以下の方法で管理すべきです。
データ流通を最小化し単純化する
EUが承認した個人データ移転に関するSCCを適用する
EUの承認を得るために、一度承認されれば済む、拘束力のある企業規則(BCR)を制定する価値があるかどうかを検討する
現在3~4年かかっており、期限を確約していない承認プロセスを迅速化するよう欧州委員会に働きかける6
データ移転リスクを排除するマネージドサービスソリューションにご興味のある方は、 こちら から詳細をご覧ください。
この記事は法的なアドバイスとしてではなく、あくまでもひとつの意見としてご参照ください。
参考文献
[1] https://dma.org.uk/uploads/misc/5a857c4fdf846-data-privacy---what-the-consumer-really-thinks-final_5a857c4fdf799.pdf
[2] https://hbr.org/2020/01/do-you-care-about-privacy-as-much-as-your-customers-do
[3] https://immedis.com/blog/why-we-all-need-to-be-concerned-about-data-sovereignty/
[4] https://www.politico.com/news/2022/06/03/bipartisan-draft-bill-breaks-stalemate-on-federal-privacy-bill-negotiations-00037092
[5] https://www.hinrichfoundation.com/research/article/digital/data-is-disruptive-how-data-sovereignty-is-challenging-data-governance/
[6] Fieldfisherは、以下のブログでデータ保護法について雄弁に語っています。 https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/what-future-for-the-transfers-of-personal-data