欧州連合(EU)は2018年から、域内企業が個人情報を域外に持ち出すのを厳しく規制する。
欧州でビジネスを展開している日本企業は大きな影響を受ける。日本政府はEUとデータ移転をめぐる枠組みで合意できるように、早急に対応すべきだ。
これから導入されるEUの「一般データ保護規則」は、域内市民の氏名や住所、クレジットカード情報、写真などの域外への持ち出しを原則禁じる。データを合法的に持ち出すには特別な手続きが必要で、違反すると巨額の制裁金を払わされる。
日本企業の場合、たとえばEU域内の子会社や支店があつかう顧客一覧や従業員の名簿を日本の本社に持ち出すと、違法と認定されかねない。ビッグデータを活用しようとしている日本企業にとって死活問題となり得る。
EUは規制の例外として、個人情報保護の体制が十分だと認めたイスラエルやスイスなどの国・地域については、EU域外へのデータ移転を認めている。
日本では、2014年に設立した個人情報保護委員会の体制をようやく強化し始めところだ。まだ万全とはいえない。
参考になるのは米国の対応だ。EUと新協定「プライバシーシールド」に合意した。米企業の個人情報保護の取り組みを強化することで、EU域内から米国に情報を持ち出すことを認める内容だ。
見逃せないのは、韓国がEUから個人情報保護体制のお墨付きを得ようと動き出した点だ。EU企業が個人情報を保管するセンターを韓国に置けば、日本企業はアジアでのIT(情報技術)ビジネスの競争で後手に回りかねない。
日本は、EUから個人情報保護の体制が十分だと認められるよう努力するか、米国のようにEUと協定で合意するといった対応策が考えられる。
実は日本の個人情報保護法でも、日本に進出している外国企業が日本から個人情報を持ち出すのを制限する規定がある。
最も望ましいのは、EUに進出している日本企業と、日本で活動しているEU企業の双方が安心して個人データを域外に持ち出せる枠組みで合意することだ。
米国は政治主導でEUとの合意を推進した。日本も個人情報保護法を担当する部局を、政府一丸となって支えるような体制づくりを急ぐときだ。