ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ2020

海外でビジネスを行う際に考慮したい
各国のサイバーセキュリティ規制

プライスウォーターハウスクーパース
【第9回】 2016年1月14日
著者・コラム紹介バックナンバー
previous page
3

「EUデータ保護指令」の注意点

 2015年、「EUデータ保護指令」に関するニュースが日本でも大きく報道された。EUは加盟国による経済活動の活性化と標準化を目的とし、セキュリティについての取り組みも従来から活発である。特に有名なものは「EUデータ保護指令(95/46/EC)」である。これは、EU域内の個人データを第三国へ移転することを禁じるものである。当然、日本も例外ではない。

 だが、アメリカとEUには「セーフハーバー協定」が存在し、アメリカの企業に対してEU域内の個人データをアメリカに移すことを個別に認めるもので、多くの大手アメリカ企業はこの協定によりデータの移転が可能であった。昨年日本でもニュースになったのは、EUの司法裁判所がこのセーフハーバー協定を無効とし個人データの移転についてはEU加盟国が差し止めの権限を持つと判決で述べたものである。

 日本とEUの間ではセーフハーバーに該当するものはないので、日本企業に関しては、米国の子会社や関連法人でセーフハーバー協定を結んでいない限り、この無効判決が直接影響するものではない。

 むしろ日本企業がEUのデータ保護指令について注視しなければいけないのは、今後予定されている改定である(EUデータ保護規則案)。EU域内で収集する個人データについての管理がより厳格になりデータ保護の実施やモニタリングなどが規定され、さらにユーザーへの説明やデータ消去の徹底などが明確になる。また違反した場合には罰金などより厳しいペナルティが求められるものである。2018年の春に発効すると言われているが、EUでビジネス展開をしている日本企業にとってこの改定への対応は大きな課題となるだろう。

中国もサイバーセキュリティの
法規制に動き出す

 2015年7月、中国においてサイバーセキュリティ法のドラフトが発表された。エネルギー、運輸、水道、金融、電力、水道、ガス、医療、社会保障、放送、ISP事業者など「重要情報インフラ」の定義に該当する場合には、中国内で得た個人情報は原則として中国にて保管するものとし、海外へ移転する際にはアセスメントの実施が要求される。本法案は現在「ドラフト」の位置付けだが2016年にも成立するとみられており、先のEUにおけるデータ保護規則と同様、グローバルにビジネスを展開する日本企業において対応が必要であると考えられる。

海外へのビジネス進出には
サイバーセキュリティの視点も必要

 技術革新により企業は多くのデータをより広範囲に収集できるようになった。その一方で、アメリカでは業界内で総合的なサイバーセキュリティの基準が設けられ、また、EUや中国の法案にみられるように企業活動で収集したデータの設置場所の制限やより厳格な管理が国および地域単位で規定されるようになってきている。日本企業が海外へビジネス進出する際には、現地の各種法規制の理解と整理、およびその準拠のためのプロセスに、今後は「サイバーセキュリティ」の視点も追加する必要がある。

previous page
3
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ2020

近年、世界中でサイバー攻撃の深刻さが増しており、新聞やニュースでも関連記事を目にしない日がない。もはやサイバーセキュリティ対策は、IT部門の問題ではなく、経営の問題にほかならない。本連載は、サイバー攻撃に向き合う企業経営者に向けて、プライスウォーターハウスクーパース(PwC)のサイバーセキュリティコンサルタントが、全10回にわたってお届けする。

「サイバーセキュリティ2020」

⇒バックナンバー一覧