前編では、世界の市場で事業を展開するグローバル企業では、すでにデータ移転規制の問題点が表面化していることが明らかにされた。では実際に企業ではどのように国ごとの規制に対応しているのだろうか。引き続き、一般社団法人電子情報技術産業協会（以下、JEITA）の個人データ保護専門委員会の委員長を務める吉田元永氏、副委員長の水島九十九氏、委員の白川幸博氏、客員の小泉雄介氏（株式会社国際社会経済研究所）にお話をうかがった。

──2011年頃が、技術と制度の両面で大きな転換点である、というお話でしたが、確かにその後クラウドコンピューティングの利用は大きく高度化しました。現在は、国を超えて大陸ごとの拠点にクラウドセンターを置き、クラウド間で連携して同期を取るという運用を行うことも普通だと思いますが、国ごとの規制への対応はどのように行っているのでしょうか。

吉田　クラウド間での同期は、すでに必要に応じて、必要な範囲で行っているのが実態です。その際、個人データの保護という意味では、確かに国ごとに規制の違いはありますが、最終的には一番厳しい国の基準に合わせるという対応を取らざるを得ません。つまり、否が応でももっとも厳しいEUの基準に揃える必要があります。

その文脈からも、今回、日本の個人情報保護法が、EUの十分性認定を取得できるレベルに改正されるというのは歓迎します。言い換えれば、日本の個人情報保護法を守っていれば、グローバル水準だと言えるようになるわけです。

──グローバル企業は、EU以外にもアメリカ、アジア、アフリカなど、多くの国で、それぞれの規制に対応する必要があります。その中でEUはもっとも厳しいと言われていますが、それ以外の各国地域と向き合ったとき、どのような課題がありますか。

吉田　事業としてもっとも課題が大きいのは中国と考えています。事業環境に対する国の関与が強く、法制度が突然変わることもあります。従って、中国向けのビジネスでは、中国の国内法を遵守しやすくするため、中国国内にサーバを設置することが多くなります。

小泉　最近、JEITAの会員から問い合わせがあったのは、ロシアで昨年承認された新しいデータ保護法についてです。ロシア国民のデータを扱うサービスは、データをロシア国内のサーバへ保管しないといけないというものです。基本的には、法律に従ってロシアにデータを置くだとか、本人同意を得て移転するといった対応をすることになります。欧州評議会の個人データ保護条約の批准国への移転は可能という話もあるようです。

ロシア以外でも、例えばシンガポール、マレーシア、台湾とか、香港といったところでも同様の規制が増えていますので、国際的なフレームワークを決めて行くことが重要だと思います。

──海外のデータを日本に集約するのとは反対に、業務のアウトソーシングにともなって日本のデータを海外に移すというケースも増えてくることが想定されます。こうした場合への対応はどのようにお考えですか。

吉田　たとえばアジア諸国や中国にアウトソーシングするときも、日本企業は日本の個人情報保護法における委託の概念で縛られるため、日本の保護法に相当するレベルでの保護を課すNDA（Non-disclosure Agreement）や、秘密保持・安全管理の義務を課した契約を結ぶしかありません。ただしアウトソースする場合は、極力、個人情報以外の部分を出すといった安全策を取るのが現実的かと思います。

──日本のプライバシーマーク制度は、中国・大連市の大連ソフトウェア産業協会による個人情報保護評価（PIPA）制度との間で相互承認プログラムが結ばれています。こうした日本で普及したフレームワークが海外でも利用できるというのは、事業者にとってどのくらいメリットがあることでしょうか。

吉田あった方が良いのは間違いありません。

水島　ただ、プライバシーマークに準拠しているからといって、海外に安心して個人情報を取り扱う業務委託ができるかというと、そうとは言い切れないのが現実ですね。プライバシーマークと同等だと認定されているのだとしても、実際には海外のソフトハウスに個人情報関連の業務をアウトソースすることに踏み切れないところがあります。

──どういった不安を感じられるのでしょうか。

水島　一部の国においては「個人情報保護」という概念が本当に浸透しているのかというとまだ不安があります。企業が個人情報保護の認証を取っていても、従業員レベルでは「個人情報を紛失して何が問題なのか？」という認識であると感じる事例も見うけられます。

吉田　そうした意味においても、やはり執行が適正に行われているかは、どうしても気になりますね。だから現実的には、日本企業の誰かが現地に行き、ある程度の確信を持てないとアウトソースはできないと思います。おそらく、責任者として日本人がひとり駐在して常に見ているといった対応を取らざるを得ないのが実態です。実は弊社もグループ会社で中国の拠点に出す場合は、それに近い対応を取っていいます。

──国際協調と相互承認の観点でいえば、APEC CBPRといった国際的な枠組みの中に日本が入っていくことが検討されています。こうした動きはどのように評価されますか。

吉田　是非その方向で進んでいっていただきたいと期待しています。特に期待したいのは、具体的に「当局間の越境執行協力」という文言が入っているので、最低限は日米欧でレベルを揃えて欲しい。そして、そのレベルをAPECに可能な限り広げていくことです。

具体的には、APECのCBPRと欧州のBCRの相互乗り入れの可能性が取りざたされていますが、それが実現することを期待しています。日本単独でEUとセーフハーバー協定を締結するというのは一つの理想ですが、その交渉はなかなか難しいところがあるというのが現実でしょう。だからまずはAPECとしてまとまってEUと交渉できれば、日本としても良い結果が期待できるのではないでしょうか。

小泉　今後のEUデータ保護規則案の方では、データ保護シール制度を使った第三国移転が欧州議会案と欧州連合理事会案に含まれています。BCRは企業グループ内での移転に限られますので、CBPRの相手をBCRにするだけでなく、新しくできるであろう欧州データ保護シール制度とか、認証シール制度の方をターゲットにした方が、範囲が限定されずにいいのかなと思います。

吉田　BCRだけでなくシール制度などの認証メカニズムの相互乗り入れができていれば、仮に日本がEUの十分性認定を取得できなくても、グローバル企業はシール制度を利用することで、EUでのビジネスを継続できるので、非常に良いことだと思います。

ただし、十分性認定を取ることで国内企業にものすごく重い負担が掛かる、特に国内市場にフォーカスした企業にあまりに負担が掛かるということだと、おそらく反対の声が大きくなってしまうでしょう。私たちも、それは望むところではありません。

水島　十分性認定のことだけでなく、日本がプライバシー保護や個人情報保護において国際水準から周回遅れになってしまっているところに、追いつくのに良い機会だと思っていますそのプロセスの結果として、十分性認定が取れれば良いと考えています。