アジア法務の思考回路「個人データ保護法対応の着眼点」

12 November 2021 09:00

image

近年、アジア諸国のビジネス社会においても、個人データ保護の観点から個人データ保護法を制定する動きが進んでいます。西側先進国に遅れをとっていたともいわれるアジア地域で、個人データを国の法律で規制することは「企業の利益追求と個人の基本的権利保護のバランスをとる」という思想がアジアにも一般化してきている表れといえるでしょう。アジア諸国においても個人のデータが保護されることは喜ばしい傾向といえます。しかしながら、アジア圏を市場とする日本のグローバル企業にとって、国ごとに異なる個人データ保護法の対応策については、本社・現場ともに戸惑うケースがあるのが現実です。

レクシスネクシス・ジャパンでは「アジア法務の思考回路」シリーズの一遍として、このたび『個人データ保護法対応の着眼点』と題するホワイトペーパーを刊行しました。アジア諸国での個人データ保護法における現状を理解し、その対応策を図るための手引書的な役割を果たす内容となっています。著者は「AsiaWise法律事務所」の久保光太郎代表弁護士と、同事務所の渡邉満久弁護士です。お二方とも、個人データ保護の法的問題について深い見識があるアジア法務のスペシャリストです。

Ⅰ.個人データ保護への対応の現在地

image

2018年に施行されたGDPR(EU一般データ保護規則)は、個人のプライバシーを守り、個人データを保護するためのグローバル・スタンダードとなりつつあります。アジア圏においても、GDPRに倣って個人データ保護法の整備が各国で進められており、日本のグローバル企業も、それらの法律に準じた対応が必要となるでしょう。

『個人データ保護法対応の着眼点』の第1章では「すでに個人データ保護の法律が制定された国」「法案が審議中の国」「同法を内在した法令がある国」など国ごとに異なる状況が、図表にて紹介されています。さらに、日本のグローバル企業が自社の実務を遂行する上で、アジア各国の個人データ保護法にどのように対応すべきか、という点も含めて今後起き得る問題点が提起されています。

Ⅱ.各国の個人データ保護法検討の視点

image

『個人データ保護法対応の着眼点』の第2章では、アジア各国の個人データ保護法の相違点と検討すべき点について、重要な項目ごとに解説されています。

1.各国法令の適用関係

第1項目では、アジア各国の法令の適用関係についてケーススタディを通じて説明されています。各国の法令がグローバル企業の業務にどのように関わるのか、その関係性に言及した論説内容です。

(1)域外適用

日本企業が外国で業務をする場合、取得した個人データの取扱いについて、当該国の国内法が外国企業に直接適用されるケースは「域外適用」と呼称されます。外国での事業を展開する日本企業は、この域外適用の適用範囲について熟知しておくことが重要なのです。

ここでは、ケーススタディとして提起しその内容を分析した上で、域外適用となる具体的なパターンが紹介されています。

CASE STUDY 1

日本企業がアジアA国で電子商取引(E-Commerce)を展開。業務上で取得したA国の顧客個人データをA国内のデータセンターで保管するケースを想定。このケースでの法令の適用についての内容が解説されています。

(2)間接適用

「域内適用」とは似て非なる概念が「間接適用」です。間接適用は、難解な論点ですので、法務担当者としては、まずは、間接適用が域外適用と比較して、理論的にどこが異なっているのか基本的なところから抑えておくことが有用です。

CASE STUDY 2

ある日本企業がアジア某国の企業から個人データ分析業務を受託契約したケース。この個人データを日本国内のデータセンターで取り扱う場合について解説されています。また、個人データ保護法の間接適用については、図表でわかりやすくまとめられています。

(3)適用に関するまとめ

国境を往来するクロスボーダービジネスを展開する企業にとって、個人データを取り扱う際に域外適用と間接適用の区別を明確に理解しておく必要があります。第1章のまとめとして「各国個人データ保護法の適用に関する見取図」が掲載され、その内容が解説されているので、両者の違いを知るための参考となるでしょう。

2.データ・ローカライゼーションと越境移転規制

クロスボーダービジネスでは欠かせない知識として「データ・ローカライゼーション」と「越境移転規制」があります。第2項目では、この2つの概念についてケーススタディを挙げてそれらの内容が詳しく解説されているので、法務部門の担当者には貴重な参考材料となることでしょう。

CASE STUDY 3

ある日本企業は、アジアC国にある現地子会社で顧客の個人データをC国のみで保有していた。このデータを日本本社のサーバに移転するというケース。この事例における問題点が、以下の項目で解説されています。

(1)データ・ローカライゼーション

上記のケーススタディで想定されるデータ・ローカライゼーションの3種類のパターンが紹介され、内容が解説されています。特に「センシティブ・データ」の取扱いにおける注意事項が重要なポイントとなる解説です。

(2)越境移転規制

「越境移転規制」について、6つの例を挙げて詳しく解説されており、データ・ローカライゼーションとは異なり、むしろ、センシティブ・データに該当しない一般の個人データの取扱いについて注意が必要です。

(3)両規制の関係性

データ・ローカライゼーションと越境移転規制との相違点について、図表によってわかりやすくまとめられています。

3.事故発生時の報告義務と責任者の選任

第3項目では、個人データの外部漏えいという事故が発生した場合が想定されています。その際、企業サイドではどのような対応をとるべきなのか、法務担当者なら知っておくべき重要事項について、ケーススタディを元にして詳細な解説がされています。

(1)報告義務と責任者選任の概要

個人データの外部漏えい事故が起きた場合の事故の報告義務とDPO(データ保護責任者)選任の概要が紹介されています。

CASE STUDY 4

アジアの2国に、それぞれ現地法人を有する日本企業を想定したケースです。2国間で個人データ保護の規制基準が大きく異なる際に、日本企業としてコンプライアンス対応を実行する場合を想定しています。対応を行う上での課題点が、以下の項目で解説されています。

(2)各国の執行状況を踏まえることの是非

2国間での法的規制あるいは執行基準が異なるケースでは、どちらを優先してコンプライアンス対応に着手すべきか、という点について解説されています。また同時に、報告義務の対応について2国それぞれの執行状況を参考にすべきかどうかという現実的な課題についての言及が参考になるでしょう。

(3)報告「義務」か?

報告義務の対応において注意したいのが、当該国の個人データ保護法において有事の際に報告義務が課されているのかという点です。有事の際の報告義務における注意点と報告義務対応について解説されています。

Ⅲ.個人データ保護の核心から考える

image

『個人データ保護法対応の 着眼点』の第3章は、一つのケースタディを提起して「アジア各国における個人データ保護」における核心部分が考察されています。

CASE STUDY 5

アジアの某国を市場とする日本企業がIoT家電の販売し、顧客の個人データを収集して分析することを検討しているケース。

個人データの取扱いにおける問題点が提起されています。このケースで起こり得る問題を想定し、問題意識を持つことが、アジア各国における個人データ保護における共通テーマの認識に直結するという論考です。

まとめ

image

個人データに関する法規制や報告の義務化そして執行基準などは、企業としては、いずれはグローバル・スタンダードとして、全世界で統一的に整理されることが望ましいでしょう。ところが、アジア各国がそれぞれデータ保護法を制定している現状では、アジアを市場にクロスボーダービジネスを展開する日本のグローバル企業にとって、アジア各国の法律や執行例などの事例を参考にしながら実務を進めていくことになるでしょう。

本社サイドの眼が行き届かない外国の現場で、どのようなアクシデントが起きるかは大きな不安材料でもあります。特に個人データの保護は、取扱いを誤ると会社組織に甚大な被害を及ぼしかねない重要な事項でもあります。「アジア法務の思考回路」シリーズの一遍『個人データ保護法対応の着眼点』は、企業の法務担当者にとって有益な情報をわかりやすくまとめたビジネス手引書的な内容です。インターネットを利用して手軽にダウンロードできる同書を、この機会にぜひご一読ください。

注釈:「【アジア法務の思考回路】「アフター・コロナ」のコンプライアンス」はLexisNexisビジネスロー・ジャーナル2020年8月号に掲載された連載記事です。解説の内容は掲載時点の情報です。

ホワイトペーパーダウンロード方法

表示されているフォームに記入・送信いただきますと、ホワイトペーパーが表示されます。ご記入いただいた個人情報は当社で管理し、以下の目的のために使用されます。

  • 本ホワイトペーパーダウンロードを提供するため
  • 本ホワイトペーパーダウンロードに関するお問い合わせに対応するため
  • 当社製品・サービスに関する情報を提供するため

今回ご提供いただく個人情報は、上記の目的以外に使用されることはありません。また、お客様の許諾なく第三者にご登録内容を開示することはありません。弊社プライバシーポリシーの詳細は、こちらから確認することができますので、送信前に必ずご確認下さい。

資料ダウンロード
資料ダウンロードができない?
  • 資料ダウンロードができない場合、下記メールアドレスまでお問い合わせください。
  • Email: marketing-jp@lexisnexis.com
  • 担当者より折り返しご連絡させて頂きます。何卒宜しくお願い致します。