株式会社セールスフォース・ジャパン
プライバシーリーガル　チーフプライバシーオフィサー
フィリップ・アームストロング氏

• 印刷用PDFファイルをダウンロード

• 講演資料

• ディスカッションレポート（PDFのみ）ファイルをダウンロード

SalesforceはSaaSプロバイダーであると同時に、AWSや他のハイパースケーラーのIaaSのユーザーでもあります。その立場から、データの越境移転の実務的な内容について説明します。

日本では個人情報保護法による規制があります。EUは、GDPRで、当初自由なデータ越境移転を目指そうとしましたがSchremsⅡ裁判等により非常に厳格な運用が求められています。

また、アジアでは韓国の個人情報保護法（ Personal Information Protection Act ）、中国の個人情報保護法（Personal Information Protection Law）等が、日本やEUとは若干異なるアプローチを取っています。さらに、ベトナムの個人データ保護政令（Personal Data Protection Decree）は、データローカライゼーションが義務付けられているので注意が必要です。

インドでは、今年8月にデジタル個人データ保護法が成立しましたが、データ越境移転についてホワイトリスト/ブラックリストによる規制という方法を取っています。このように、各国で法規制がそれぞれ異なるので、対応もグローバルで考えていく必要があります。

日本ではLINE問題をきっかけに、データ越境移転に消極的な方向に進みそうでしたが、政府の施策はあくまでもDFFT（Data Free Flow with Trust）です。信頼の下で自由にデータ流通を行うDFFTに関して、日本はグローバルなリーダーシップを取っていることは、とても良いと思います。データが自由に流通可能となることで新たなイノベーションと経済的便益にもつながります。

また、セキュリティの観点からも、高度化するハッキング集団等を特定し対処するためにもグローバルなデータは必須です。各国がデータローカライゼーションに舵を切ってしまうと、セキュリティへのサポートも難しくなります。各企業は、プライバシー・セキュリティ・知的財産の保護の観点を主に、クラウドを使うことを考えると思います。

まず最初に考えるべきことは、移転先で「データを取り扱って」いるかどうか、「データを取り扱って」いなければ第三者提供が無い、という点です。通常、契約には移転先の「データにアクセスしない」等「データの取扱い」に係る具体的なことは書かれていないので、どのように整理すればよいでしょう。

考えるべきポイントは、人間によるアクセスとコンピューターによる移転先のデータへのアクセスが有るか無いかです。駐車場を例に整理すると、自分で駐車場に車を止めて自分で鍵をかけ自分のデータを暗号化して、データが必要な時にまた自分で駐車場に行って車に入って作業するような場合、これは人間もコンピューターも移転先にアクセスしていない状態です。しかし、これはCSPを使う形態ではないです。

一方、高級ホテルの場合は、客は玄関前に車を止めて鍵をホテルマン（人）に渡し、その人が駐車スペースに保管します。これは人間によるアクセスで「データの取扱い」となります。この２つの間に、ショッピングモール等にあるエレベーター式駐車場があります。このケースは、人間によるアクセスなくデータが動くため、CSPの関わり方に一番近く感じます。私自身はこの方法はアクセスがない状態と考えますが、ここはユーザー各社で判断することになると思います。

「データの取扱い」があると判断した場合は、法第27条の対応としてCSPとの委託契約に基づき管理をすることになるので、比較的シンプルです。法第28条の対応にはいくつか方法がありますが、システムが複雑な場合「本人の同意」取得は非常に困難で、かつ、個人情報保護が「同等の水準にある」国・地域は欧州等に限定されるため、私たちは通常、「外国事業者が個人情報保護体制を継続的に講ずるために必要な措置」による対応を行っています。

この場合、外国事業者とユーザーの「契約書」内容がポイントになりますが、「CBPR・PRP」認証を取得していると上記「必要な措置」を取っていることに繋がると思います。Salesforceでは、テンプレートを用意し、当社サービスを利用される企業と個々のユーザーの質問・要望のために活用していただいています。