2024.12.16
レポート
越境データ流通の新時代に向けて
— 個人データを扱う際の「トータルコンプライアンスコスト」—
一般財団法人日本情報経済社会推進協会
電子情報利活用研究部 客員研究員 横澤 誠
「信頼性のある自由なデータ流通」(Data Free Flow with Trust:DFFT1)は、近年の外交政策において重要な概念となっています。この「信頼」を基盤にしたデータ流通の考え方は、特に日本やアジア地域の文化に根差した「信頼」の概念に基づいており、西洋の「契約」文化を補完するものとされています。
DFFTは制裁金等のリスクの軽減、データの価値創出(AIやクラウド利用)、国際的な規制の断片化への対応(執行協力と相互運用性)の三つの理由で、企業にとって重要な概念となります。
具体的にDFFT実現の方法については、大まかに二つの方向性があります。①GDPRをモデルにして各国の個人情報保護制度を統一化しようとする方法と、②グローバルCBPR2を代表とする自主規制を重視した認証制度の共通化と執行協力の2点です。どちらが絶対優位ということはありません。
ここで重要となるのが、企業目線からの「コスト」評価です。冷静にコストを評価すると、データ保護規制に国際的に対応するために必要な考え方が浮き彫りになってきます。①のGDPRについてはその成立時期から、ベトナムやEUで最大1.7%のGDP損失というマクロ経済評価3があります。ミクロな企業側のコスト分解4とその試算例では、GDPR遵守にかかる直接・間接費用合計のコンプライアンスコストが非常に大きく、大企業においては初期対応費用として数億円規模になることが指摘されています5,6。
これに対して、②の自主規律やグローバルCBPRを中心としたデータ流通については、実務に基づいた数字を得ることがまだ難しいかもしれません。ただ少なくとも各国・各地域における法制度の調査と予備的な対応措置の理解、漏えい・事象発生時対応方法の予備的定型化、執行機関の明確化と越境執行の確認、データ主体同意の管理方法統一、越境委託先・第三者提供管理の低減、契約案文の一本化と管理の統一化などの各点にかかる直接・間接費用を考えることができるでしょう。今後も分析を進めていくことが必要ですが、コスト分解項目だけを見ても、中規模の企業でも年間数千万円規模の総対応コスト(トータルコンプライアンスコスト)になっている可能性があります。
企業目線では、官民および国際協力に基づき制度設計を改善し、トータルコンプライアンスコストのうちどの部分をどの程度削減することができるのかの議論が必要になると思われます。
その議論を実践と経験に基づいたものとするために、「サンドボックスアプローチ7」(規制特区)を設けて実態を明らかにするなどの実践も重要です。グローバルCBPRの認証制度は、その特区の境界を切り分ける条件としての役目を持つこともできそうです。
- 1 Data Free Flow with Trust(デジタル庁)別ウインドウで開く
- 2 グローバルCBPRフォーラム(Global CBPR Forum)
別ウインドウで開く - 3 THE COSTS OF DATA LOCALISATION:FRIENDLY FIRE ON ECONOMIC RECOVERY(ECIPE)別ウインドウで開く
- 4 Navigating GDPR Compliance Costs(BUSINESSTECHWEEKLY)別ウインドウで開く
- 5 2017 Veritas GDPR レポート(VERITAS)別ウインドウで開く
- 6 Compliance Q&A: How much does GDPR compliance cost?(SPRINTO)別ウインドウで開く
- 7 Data Regulatory Sandbox(シンガポール情報通信メディア開発局)別ウインドウで開く
- 著者
- JIPDEC 電子情報利活用研究部 客員研究員 横澤 誠