国境を越えたデータの流通量が爆発的に増加し、データ資本主義の時代に突入した現在。欧州のGDPR、中国のサイバーセキュリティ法などが相次いで施行され、自国内にデータを囲い込もうとするデータ保護主義の動きが見られる。
存在意義が問われているWTOにとっては、今こそ「WTO改革」の一環として統一ルールをつくり、存在価値を示すラストチャンスなのではないか。
I.「データ資本主義」時代への突入
McKinsey Global Instituteの分析によると2014年に国境を越えたデータの流通量は2005年の約50倍になった*1
「データを制する者が世界を制す」(中国のオンライン販売企業阿里巴巴(アリババ)集団の創業者ジャック・マー氏)という発言が象徴するように、データがヒト・モノ・カネと同様に経営の核となる「データ資本主義」の時代に突入している。このような時代の変化に伴い、国際的な「デジタル貿易」の在り方も注目を集めている。
デジタル貿易には明確な定義がないが、データが国境を越えて移転されることによって生じる電子商取引の総称とされている。B to C(消費者と企業間)のみならず、B to B(企業と企業間)やC to C(消費者と消費者間)等の幅広い取引形態が含まれる。
II.欧州:個人情報の移転を規制するが、産業情報は移転を推進
日本でも大きな注目を集めたのが、欧州経済領域(EEA:European Economic Area(欧州連合(EU:European Union)加盟国28か国にアイスランド、リヒテンシュタイン、ノルウェー加えた地域))で2018年5月に施行された一般データ保護規則(GDPR:General Data Protection Regulation)だ。GDPRは、個人情報の管理や処理に厳しい条件を課し、違反した場合は2,000万ユーロもしくは前会計年度の世界売上高の4%のいずれか高い方という高額の制裁金が課される。EEA域内に拠点がある企業のみならず、EEA域内に所在する個人と取引関係のある域外の企業にも規律が及ぶため、多くの日本企業が対応に追われた。
欧州では、1939年にドイツ政府が国勢調査員75万人をもって国内の全居住者を対象とした国勢調査を実施し、各居住者の年齢、性別、職業、信仰、祖父母に関する情報等を収集した。この情報に基づいて人種を選別し、ホロコースト(大量虐殺)が実施されたとする反省と教訓から、1953年に発効した欧州人権条約において、国家は個人の「プライバシー権」を妨げてはならないと規定された。
それ以降、同規定が欧州における個人情報保護に関する思想の根幹となり続けている。GDPRの制定背景には、欧州の「人権」に対する歴史的な経緯がある。
GDPRの前身は、1995年にEUが制定した「データ保護指令」だ。ただし、EUの「指令(Directive)」は指針を示すもので加盟国へは直接には適用されず、指令の内容を加盟国の国内法へ置き換える必要がある。このため、「データ保護指令」のもと、加盟国間で個人情報の保護に関する制度が異なる状況だった。デジタル化が急速に進展するなか、域内で統一ルールがないことは地域統合の足かせともなる。EU加盟国に直接適用される「規則(Regulation)」の制定が求められた。
GDPRのドラフトが欧州委員会に初めて提示されたのは2012年だった。当初、EU加盟国の間でもGDPRに対しての考えは一枚岩ではなく、制定に消極的な国もあった。GDPR制定案が欧州議会に提出された際には、欧州議会史上でも最多となる約4,000もの修正案が提出された。この修正案をほぼ独力でとりまとめたとされるのが、ドイツのヤン・フィリップ・アルブレヒト議員だ。「アルブレヒト報告書」をまとめている。また、政治に強い米系のニュースメディア「Politico」によると、2012年当時、GDPRのドラフト提出の裏で糸を引いたのもドイツの行政官だったとされている*2。
GDPRは個人情報のEEA域外への移転に厳しい制限と制裁を課し、世界から注目を集めた。だが、ひとつ付け加えておきたいのは、GDPRはあくまで個人情報の移転を制限するものであり、産業データの移転については規律していない点だ。
つまり、EUのデータ保護主義は個人情報に主眼を置いたものであり、産業データに関しては必ずしも保護主義ではない*3。
GDPRは、米国のIT巨人への制約とEU企業の成長を同時に実現するための苦肉の策だったとも捉えられる。
III.中国:個人情報、産業情報ともに移転を規制。ビジネスの足かせに
「重要インフラ運営者」に該当するのは、公共通信・情報サービス、エネルギー、交通、水資源、金融、公共サービス等の運営者、及び情報システム機能が破壊され、もしくは失われ、又はそのデータが漏洩すれば国の安全、経済と人民の生活と公共の利益に重大な危害を与え得るその他の重要情報の運営者だ。
サイバーセキュリティ法が公布された当初、個人情報及び重要データの中国国内での保存義務があるのは重要インフラ運営者のみだった。だが、2017年4 月に中国におけるインターネット安全の主管部門である国家網信弁が公布した「個人情報及び重要データ越境移送安全評価弁法(パブリックコメント)」において、重要情報インフラ運営者に限らず、一般的なネットワーク運営者にも中国国内で収集した個人情報及び重要データを中国国内で保存することが義務付けられた*4。
外国企業が特に懸念しているのは、個人情報及び重要データの中国国内での保存義務だ。
現行の厳しい規制に加え、将来的にこの規制がさらに強化される可能性があることも企業にとってのリスクだ。
IV.データ保護主義は世界に広がりつつある
ロシアは、個人情報に対する厳格な処理とデータサーバーの国内設置を求めている。ビジネス特化型のSNSを運営する米国のLinkedInがデータサーバーのロシア国内設置を拒否したことを理由に、同社はロシアでの運営が禁止された*6。また、通信事業者に対して、ユーザーがやりとりをした音声、テキストメッセージ、画像、ビデオ等のデータを6ヶ月間、ロシア国内で保存することも義務付けている。
V.通商ルールの議論は始まったばかり
このようなデータ保護主義に対して通商ルールはどのように対応できるのか。
個人情報保護の取り扱いに関して、古くは1980年に経済協力開発機構(OECD:Organization for Economic
Co-operation and Development)において「プライバシー保護及び個人データの国家間送受信に関するガイドライン(OECDプライバシーガイドライン)」が採択された。個人情報保護に関する世界初の国際的なルールだ。OECDのガイドラインでは、個人情報保護の基礎となる8つの原則が定められた。(1)収集制限の原則、(2)データ内容の原則、(3)目的明確化の原則、(4)利用制限の原則、(5)安全保護の原則、(6)公開の原則、(7)個人参加の原則、(8)責任の原則だ。
世界貿易機関(WTO:World Trade Organization)では、個人情報に限らない広義のデジタル貿易にかかるルールが議論されている。WTOでは、1998年の「グローバルな電子商取引に対する閣僚宣言」において、ゲームやメディアなどのデジタルプロダクトが国境を越えてオンライン上で取引された場合に関税を賦課しないという原則が合意された。
さらに、2018年10月初頭に米国、カナダ、メキシコの間で改定に合意した北米自由貿易協定(NAFTA:North American Free Trade Agreement、改定後の名称はUSMCA:United States-Mexico-Canada Agreement))でも、旧NAFTAには既定のなかった電子商取引章を創設した。
WTOでの議論は収れんの見通しが立たないが、主要国の間ではデジタル貿易にかかるルールが導入されつつある。
VI.過度な規制とルールの複雑化による企業負担は大きい
日経BP(2018)「日経BPムック 欧州GDPR全解明」(日経BP社)
足立 照嘉、ヘルマン・グンプ(2018)「GDPRガイドブック EU一般データ保護規則 活用法」(実業之日本社)
経済産業省(2018)「2018年版不公正貿易報告書」
総務省(2017)「平成29年度情報通信白書」
総務省(2018)「平成30年度情報通信白書」
JETRO(2018)「中国におけるサイバーセキュリティ法規制にかかわる対策マニュアル」
TMI総合法律事務所(2018)「TMI中国最新法令情報(2018年2月)」
株式会社クララオンライン(2017)「中国サイバーセキュリティ法のデータ越境移転にかかる「重要データ」の想定範囲」
山﨑弘郎(2018)「トコトンやさしいIoTの本」(日刊工業新聞社)
ITIF(Information Technology and Innovation Foundation)(2017)「Cross-Border Data Flows:Where Are the Barriers, and What Do They Cost?」
POLITICO(2018)「The world’s most powerful tech regulator: Martin Selmayr」
*2:POLITICO(2018)「The world’s most powerful tech regulator: Martin Selmayr」より引用
*3:加盟国毎に産業データの移転の規制が一部導入されているが、EU全体としては自由移転を推進
*4:TMI総合法律事務所(2018)「TMI中国最新法令情報(2018年2月)」より引用
*5:株式会社クララオンライン(2017)「中国サイバーセキュリティ法のデータ越境移転にかかる「重要データ」の想定範囲」より引用
*6:ITIF(Information Technology and Innovation Foundation)(2017)「Cross-Border Data Flows:Where Are the Barriers, and What Do They Cost?」より引用
プリンシパル/チーフ通商アナリスト
福山 章子
本レポートの関連サービス
地政学リスク・経済安全保障対応支援