更新日:

グローバル製造業が押さえておくべき、各国法規制 | 大井 哲也 氏 | GLOBALIZED 2022

Image of 堀江 真里子
堀江 真里子

Wovn Technologies株式会社(以下 WOVN)が2022年8月30日に開催したカンファレンス「GLOBALIZED2022」では、製造業の方に向け「激変する世界への対応力 ~デジタル・多言語対応で、いかに事業をアップデートするか~」をテーマにお届けしました。

当セッションでは「グローバル製造業が押さえておくべき、各国法規制 ~ 世界各国の個人情報保護法、改正電気通信事業法 ~」と題し、TMI総合法律事務所の弁護士で、TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役の大井先生にお話を伺いましたので、本レポートではその内容をお届けします。

なお、実際の講演動画は以下のページよりご覧いただけます。ご興味のある方はぜひご視聴ください。
https://mx.wovn.io/event/archive/globalized_tmi

【登壇者プロフィール】
大井 哲也
TMI総合法律事務所 パートナー弁護士
TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役
 
クラウドコンピューティング、インターネットのインフラ/コンテンツ、SNS、アプリ・システム開発、アドテク、ビッグデータアナリティクス、情報セキュリティの各産業分野における実務に精通。情報セキュリティマネジメントシステム(ISMS)認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。
 

 

私は TMI総合法律事務所で弁護士として法律業務に携わる傍ら、TMIプライバシー&セキュリティコンサルティング株式会社で代表を務めています。TMIプライバシー&セキュリティコンサルティングでは、私の専門領域である個人情報やデータ保護、サイバーセキュリティなどに関連するテクノロジーについて、法律だけにとどまらない幅広いご相談を受けています。

 

テクノロジーといっても様々ありますが、特に CDP(Customer Data Platform)や DMP(Customer Data Platform)、CMP(Consent Management Platform)などのシステムツールなどについてご相談をいただくことが多いです。これらのツールを導入する場合、導入そのものに対する支援が必要なのはもちろんですが、そのほかにも個人情報の管理や導入範囲の全社・グループ全体への拡大方法などについても検討する必要があります。このような、ツールの導入に伴う課題に幅広く対応しているのが TMIプライバシー&セキュリティコンサルティングです。

本日セミナーをご視聴いただいているグローバル企業の皆様は、CDP、DMP、CMP などの導入を現在進行形でご検討されているのではないかと思います。検討を進めるにはシステム導入の側面と法令順守の側面のそれぞれを鑑みる必要がありますが、本日は、特に法令遵守の側面からいくつかの法律をピックアップして、海外の個人情報保護法をどのようにケアすべきかお伝えします。

0071_human1

 

1.グローバル企業の Web サイトと個人情報保護法

グローバル企業の Web サイトは、その訴求先がアメリカ、アジア各国、ヨーロッパ各国など多岐にわたります。必然的に多言語での情報発信が行われ、各地域からお客様が流入することになりますので、Web サイトに対して各地域の個人情報保護法が適用されることを認識しておかなければなりません。

よく、BtoB の企業から「当社は BtoB なので個人情報保護法を気にする必要はないですよね?」と聞かれることがあるのですが、これは間違いです。個人情報保護法の体系からすると、消費者の情報も法人の担当者情報も個人情報とみなされますので、ビジネス形態が BtoB、BtoC であるかにかかわらず、その地域の個人情報保護法に準拠する必要があります。

Web サイトから顧客の趣味嗜好や関心のあるサービスについての情報を集め、マーケティングに活かしたいという企業が増えていますが、このためには会社名やメールアドレスなどの基本情報だけでなく、Web サイトの訪問履歴やメールマガジンの開封履歴なども追跡・集約することが求められます。これを可能にするのが CDP です。CDP は非常に便利なツールですが、活用する場合は各地域の個人情報保護法に準拠しなければなりません。

 

2.海外のデータ保護規制

海外には、日本ではあまり知られていないデータ保護法がありますのでいくつかご紹介します。

0071_slide1

 

個人情報の国外流出を規制する「データ・ローカライゼーション規制」

まずは「データ・ローカライゼーション規制」についてです。これは『個人情報は国家の資産である』という思想に基づくもので、個人情報を国内にとどめておくようにする規制です。対象はいわゆる個人情報のみにとどまらず、たとえば製品の流通量や自動車の交通量など、産業分野から出るデータも規制対象となります。典型的には中国やロシアの政策に含まれており、たとえば中国では、個人情報は中国国内のデータセンターにおかなければならず、日本にもってくるためには一定の制約がかかるようになっています。

 

位置情報を規制する「地図データ保護規制」

また「地図データ保護規制」では、位置情報は国家の重要な機密情報である、という考えのもと地形(川、海、山など)や建物(発電所、戦闘国軍の基地など)の位置情報を規制の対象としています。
たとえば、中国で GPS データの取得を伴うサービスを提供し、Web サイトやアプリから顧客の位置情報を取得した場合、その情報を収集・解析することで人口動態や建物の位置関係などを把握できるようになりますよね。こうした情報は規制の対象となります。

いずれも日本ではあまり親しみのない規制ですので、海外にはこのような規制が存在することを理解した上で対処法を知っておく必要があります。ですので、ここからは、海外のデータ保護規制が適用されるケースと、その準拠法についてご説明していきます。

 

3.海外のデータ保護規制が「域外適用」されるケース

海外の個人情報保護規制に準拠する際の原則は、海外の現地法人が現地の法規制に対応する、というものです。つまり、グローバルに事業展開している日本企業の場合、現地法人が運営する Web サイトは現地の規制に準拠する必要がありますが、日本本社が運営する Web サイトは海外の規制に準拠する必要はなく、日本の個人情報保護法にさえ則っていればよいということになります。しかし例外として、海外の規制が域外適用され、日本本社が海外の規制に準拠しなければならないケースが存在します。具体的には主に次の3つのケースに注意が必要です。

①海外に拠点がある場合
②サービス提供先が、海外に居住する個人をターゲットとしている場合
③海外に居住する個人の個人データをモニタリングする場合

0071_slide2

海外に子会社をもつ日本企業が、子会社を通じて、または子会社と共同で海外での営業活動を行う場合、規制が域外適用される可能性があります。たとえば、とある自動車会社がヨーロッパに子会社を設立し、ヨーロッパの消費者に対して自動車を販売しているとします。この場合、海外に拠点があり、さらにサービスの提供先として海外に居住する消費者をターゲットとしていることになりますので、①と②に該当する、すなわち規制の対象となります。

また③の「海外に居住する個人データをモニタリングをする場合」については、たとえばアプリを使って顧客の位置情報を収集したり、Web サイトで顧客の訪問履歴を確認したりするなどのケースを意味します。いわゆるビッグデータとよばれるような情報を収集する場合は「モニタリング」に該当する可能性がありますので、規制が域外適用されるかもしれません。

 

域外適用される規制に統一的に準拠する方法はない

域外適用されるケースは前述のとおりですが、その上で、海外には様々なデータ保護規制があります。EU の GDPR(General Data Protection Regulation)は広く知られていますが、それ以外にもタイやインド、中国、カリフォルニア州など地域に応じた固有の規制があるのです。そのため、グローバルにビジネスを展開する場合はその地域ごとの規制に対処する必要が出てきます。

各地域の規制の内容を理解して対処するのは大変です。そこで、特に厳しい規制とされている GDPR に準拠していれば海外の個人情報保護法への対応も網羅できるのではないか?と質問を受けることもあるのですが、残念ながらそれでは足りません。また、海外の個人情報保護法に対して統一的に準拠する方法があるかというと、それも難しいです。たしかに共通する部分はありますが、それぞれに個性があるため、それぞれに対処する必要があるのです。

 

規制への準拠に重要な役割を果たす CMP

統一的に準拠することは難しいですが、打ち手はあります。それが、データ保護に関するテクノロジーである CMP です。CMP は企業とステークホルダーとが個人データの利用に関する同意形成を行えるようにするツールです。海外の Web サイトを閲覧したとき、画面上にポップアップが表示され「すべての Cookie を受け入れる」「すべて拒否する」などの選択肢を迫られることがありますが、この仕組みを提供しているものです。

0071_slide3

そもそも Cookie とは Web サイトに訪問したユーザーの情報を一時的にユーザーのブラウザに保存する仕組みのことを指します。1st Party Cookie と 3rd Party Cookie の2つがありますが、このうち 1st Party Cookie を活用することで、ユーザーは過去にアクセスした Web サイトに再度アクセスした際の操作を便利にすることができます。
たとえば、一度ログインした Web サイトに再度アクセスするときにパスワードを入力せずともログインできたり、一度 EC サイトで買い物かごにいれた商品が、再びアクセスしたときにもかごに残っていたりといった経験はないでしょうか。これらを可能にしているのが 1st Party Cookie なのです。

1st Party Cookie は、Web サイトの運営元によって発行されており、運営元はユーザーがその Web サイト内でアクセスしたページについての情報を取得することができます。たとえば、誰が、いつ、どのページを、どのくらい閲覧したのか、などの情報を解析できるようになるため、データをマーケティングに活かせるようになります。

GDPR は Cookie データ単体を個人情報とみなしており、Cookie を含む個人データを収集・利用・編集・提供・保存する際には法的根拠が必要だとしています。その法的根拠の一つとして「ユーザーの同意を得ること」が要求されているため、EU では CMP の実装によりこの規制をクリアする企業が多くなっています。

一方で、日本の個人情報保護法においては、Cookie は単体では個人情報とみなされておらず、Cookie データを収集する際にはその利用目的を公表しさえすればよいとされています。そのため、日本ではまだ CMP を利用している企業が少数派ですが、だからといって対応しなくてもよいということではありません。特にグローバル企業においては日本の法律への準拠にとどまるのではなく、海外の規制やその対処法を知っておき、世界標準に合わせていくことが望ましいでしょう。

 

4.電気通信事業法の改正と対象事業者

ここまで個人情報保護法について触れてきましたが、続いて、最近成立した法律である改正電気通信事業法についてご紹介します。これは2022年6月13日に成立、同6月17日に公布されたもので、同法の中で「利用者情報の外部送信に対する規制(外部送信規律)」が新設されました。施行日は「公布日から起算して1年を超えない範囲内において政令で定める日」とされており、2023年6月17日までには施行されるものと考えられます。

改正電気通信事業法における外部送信規律とは「Web サイト運営サービスの利用者の PC やスマホ端末に保存された Cookie データ(Cookie ID とそれに紐づけられる閲覧履歴)、システム仕様、システムログなどの利用者情報を、外部の第三者のサーバーに送信させる行為」です。本法では、対象の事業者がこのような行為を行う場合は「利用者の端末から送信される Cookie データの内容、送信先、その他省令で定める事項を事前に通知または公表」することを求めています。なお、事前の通知または公表というのは、具体的には Cookie ポリシーを作ったり、プライバシーポリシーを作ったりして Web サイト上で通知・公表をするようなことを指しています。

0071_slide4

対象となる事業者は、「電気通信事業者」と「第三号事業者」です。「電気通信事業者」には固定電話や携帯電話、電子メール、インターネット接続サービスなどの事業を提供する事業者が、「第三号事業者」には SNS やオンライン検索サービス、ソフトウェアのオンライン提供、EC モールなどを提供する事業者が含まれます。
一方で、企業・個人のホームページ運営や、自社商品のオンライン販売などを行う事業者は、改正電気通信事業法の対象外となります。
0071_slide5

 

5.改正電気通信事業法での外部送信規律の除外

改正電気通信事業法の内容と対象事業者についてお伝えしてきましたが、実は規律から除外されるものが4つあります。

①必須 Cookie … 役務利用のために送信する必要があるデータ
②1st Party Cookie … 対象事業者が利用者端末に送信した識別富豪で、対象事業者に送信される利用者端末の識別符号
③オプトイン … 利用者が送信に同意したデータ
④オプトアウト … 対象事業者が利用者の求めに応じて Cookie 利用を停止する場合で、その旨を利用者が容易に知り得る状態に置いた場合

このように、必ずしも全てのデータが規律の対象となるわけではありませんので、改正電気通信事業法への対応を考える際は、次のステップで検討を進めることがポイントです。

①利用者情報の外部送信規律の対象事業者か否か
・電気通信事業者か、第3号事業者か、規律対象外か
②クリアランス手段の検討
・どのように通知・公表するか
・オプトイン・オプトアウトをどのように設定するか
・Cookie の類型をどのように判別するか
③クリアランス手段の実装方法の検討
・Cookie ポリシーによる公表か、CMP による実装か

 

0071_human2

 

6.まとめ

グローバル企業では対応必須の海外のデータ保護規制や改正電気通信事業法についてご紹介いただきました。このような法規制対応について、詳しい情報をお知りになりたい方は以下の宛先までご連絡ください。

大井 哲也(おおい てつや)
E-mail:toi@tmi.gr.jp
URL:http://www.tetsuyaoi.com
      https://www.tmi.gr.jp/people/t-oi.html

また、Wovn Technologies株式会社は Web サイト多言語化ソリューション「WOVN.io」を提供しています。多言語化について興味のある方は、ぜひ資料をダウンロードください。

 

50_global_site_media_cta_1080x1080 52_b2b_web_marketing_media_cta_1080x1080 media_cta_seminar_event_1080x1080