最新情報

 

セキュリティ・コラム by MM総研 顧問特別 中島洋

日本よりも厳しくなるアジア各国の個人情報保護

2019年12月16日

アジア諸国の個人情報保護の動きに注目しておく必要がある。日本経済新聞にアジア諸国に事業を展開する企業にとって気になる報道が行われている。
すでに中国では政治的理由が大きいと思われるが、「サイバーセキュリティー法」の規定により、個人情報を保管するデータベースは中国内に置くことが義務付けられ(データローカライゼーション)、政府のコントロール下に置かれている。しかし、新たに注目すべき国として取り上げているシンガポールやインド、タイ、ベトナムでもデータローカライゼーションを中核におき、各国ごとの特色もあるようで注意が必要だ。


シンガポールは「19年5月に公表したガイドラインで、企業が情報漏洩を把握した場合、一定の条件で個人情報保護委員会への通知が必要」になった。これは、18年5月に適用開始された欧州のGDPR(一般データ保護規則)に沿って制定した規則である。
インドも欧州のGDPRに合わせた個人情報保護法の制定を検討中である。インドはこれまで個人情報についての包括的な法律がなかったが、デジタル化の進展でデータ流通が活発になる中で、個人情報の国外への流出に規制をかけることになった。
タイは18年5月にいったん、内閣で個人情報保護法を承認したが、欧州のGDPRを参考にして再検討し、内容を変更して新たな個人情報保護法として19年5月に施行した。
ベトナムは、中国のサイバーセキュリティー法に合わせて、個人情報を管理するサーバーやデータベースを国内に置くことを軸にした「サイバーセキュリティー法」を制定した。19年1月から施行している。


欧州のGDPR、中国のサイバーセキュリティ法、それらに合わせたアジア各国の法律はいずれも、国外、域外への個人情報の移転についての厳しいルールを内容にしているが、法令順守の監視体制や違反に対する罰則などについては、各国で違いがあるので、個別に研究する必要がある。
こうした法制度は、世界の情報を少数の拠点のクラウドセンターに集中して処理する国際企業にとってはやっかいである。国境がなくなったはずのインターネット社会は再び各国の国境で分断されつつある。それも違反に対しては巨額の罰金が科せられる。罰金だけならまだ、良いかもしれないが、国によっては責任者が刑事犯として監獄に収容される危険もなしとしない。


国際的ジャイアントになったGAFAだけが対象ではない。
アジアに事業展開を進める日本企業も「データローカライゼーション」にどう対応するか。少なくとも顧客管理システムは現地で完結するような仕組みを研究しなければなるまい。

無意味化によるデータセキュリティ 「秘密分散」は、こちら

 

▲ ページトップへ