本連載は、日経産業新聞(2023年11月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
各国・地域の規制動向とデータ保護のポイント
デジタル化の進展と事業のグローバル化に伴い、企業が製品やサービスを提供するために活用するデータ量は膨大になり、国境を越えたデータの流通を妨げることはもはや不可能です。企業にとってこれらのデータは業務を最適化し、競争力を獲得する貴重な資源である一方、経済安全保障の観点からどのように保護するかについても、考慮しなければなりません。本稿では経済安全保障の一環として見据えるべきデータ保護のポイントを、「規制動向」「対策推進」「情報提供」の3つの視点から解説します。
まず、規制動向の視点では、日本の経済安全保障推進法への対応を主軸としながらも、以下の表に示す米国や中国をはじめとした各国・地域のデータ保護に関する規制も注視する仕組みを構築し、計画的に遵守することが望まれます。具体的には、各国・地域の規制の特徴を理解し、自社の事業に与える影響を評価することが第一歩となります。特に、政府が民間企業に対しデータの開示を要求できる「ガバメントアクセス(政府による情報収集)」や、データを自国内に保管することを要求する「データローカライゼーション(データの囲い込み)」といった制約がどの国や地域で生じる可能性があるか把握しておくことが重要です。
【各国・地域の代表的なデータ保護規制】
| 国・地域 |
規制名称
|
|---|---|
| 米国 |
IoTサイバーセキュリティ改善法
|
| 中国 |
サイバーセキュリティ法
|
|
データセキュリティ法
|
|
| EU |
EU一般データ保護規則(GDPR)
|
| EUサイバーレジリエンス法案(CRA) | |
| タイ | サイバーセキュリティ法 |
| ベトナム | サイバー情報セキュリティ法 |
対策推進は、企業グループとして保護すべきデータが何かを入念に議論することが起点となります。経済安全保障の文脈において最も懸念すべき事態は、他国・他社に聴取された場合、自国や自社が重大な不利益を受けるデータが漏洩し、利用されることです。しかし、情報セキュリティ対策には限界があり、漏洩を完全に防ぐことは困難です。海外に開示・保管するデータは重要性の低いものに限定するよう、あらかじめ社内ルールを定めておくことが効果的と言えるでしょう。
事業遂行における経済安全保障の要点は「データ保護はサプライチェーン管理の問題」という認識が深まるにつれ、適切なビジネスパートナーとして継続的に選定されるため、いかに自社がデータ保護に注力しているかを示す情報提供の視点も肝要となります。主な項目としてリスク管理における組織体制・ルールの構築や、担当役員を含む専門性を有した人員の確保、データ保護対策に関する充分な予算・投資規模等が挙げられます。取引先などのステークホルダーからの質問への対応のほか投資家の関心も高まるなかで積極的に開示する取組みも進んでいます。
日本企業は今後、一層のデータ活用を推進する上で、経済安全保障を勘案したデータ保護も重要な経営課題であることを理解し、企業グループ全体の一貫した方針に基づき対応を進めることが必要となります。各国・地域の規制に関する最新状況を反映しながら、データ保護のリスク基準に応じてグループ一体となって対策を推進するとともに、ステークホルダーからの信頼獲得に向けてどのように情報を開示するかについても、戦略的に検討していく姿勢が日本企業に求められています。
日経産業新聞 2023年11月30日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
アソシエイトパートナー 勝村 学
