アジア地域における個人情報保護の規制強化

1. 個人情報保護の傾向
2. 国際間データ移転
3. 日本企業に求められる対応

欧州連合（EU）や米国、日本以外の国や地域でも近年、個人情報保護に関する規制の変更等が相次いでいる。例えば2010年以降、個人情報保護に関する法令等が制定、または大幅に改定された国や地域にはシンガポール、香港、台湾、韓国、マレーシア、フィリピン、オーストラリアなどがあり、特にアジアを中心として規制強化の方向にあると言える。
ただし、規制強化が直ちにその国の企業における個人データ保護の機運の高まりにつながるかといえば、必ずしもそうとは限らない。その理由の一つとしては、規制違反の摘発に対する各国の温度差が挙げられる。規制当局による取り締まりの可能性が低いと思われる国では、軽微な規制違反であれば、当面は当局の様子をうかがいながら最低限の体制整備にとどめる企業が少なからず存在しているようだ。

では、各国における規制強化の内容にはどのような傾向があるのだろうか。本連載で焦点を当てている国際間の個人データの移転という観点では、多くの国で原則として認めていない。だが、本人からの同意取得がある場合や移転元である国から見て十分なレベルの保護措置を確保している規制が適用された（「十分性認定」を受けた）国や地域に移転する場合など、一定の要件を満たす限りで認めている傾向にある。その要件にはEUの一般データ保護規制や日本の改正個人情報保護法との差異は少なく、グローバル企業においては統一的な方針や運用方法を採用し易いと言える。

こうした各国の動向に歩調を合わせ、特定の地域や経済圏に適用される包括的なルール作りも進展を見せている。代表的なものにはアジア太平洋経済協力会議（APEC）のクロスボーダープライバシールール（CBPR）システムがあり、日本も14年4月に参加が認められた。一方、個人のプライバシー保護に重きを置いたEUの一般データ保護規制の施行も差し迫っている。企業の当座の対応としては、各国に適用される個別の規制について理解を深め、着実に準備作業を進めることが最善策だ。

KPMGコンサルティング
マネジャー　勝村 学

日経産業新聞　2016年11月7日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。