ニュースソース:RSAConference
以下は 2017年4月10日に公開されたJapan Looks to Join the Global Data Communityを要約したものです。
日本は2015年に、個人情報の取り扱いと収集を規制する個人情報保護委員会の設置と、日本人の個人情報の国外への持ち出しに厳しいルールを設けた新しい個人情報保護法を可決しました。
多くの国では個人情報の漏洩は重い罰金を課せられるだけですが、日本では刑務所に入ることになります。更に、2018年にEUで施行される一般データ保護規則(GDPR)のように、日本の新しい保護法も日本人の個人情報を取り扱う海外も含めた全ての組織が対象になります。
しかし、現実的に海外組織に日本の法律を強制することは困難となります。
新個人情報保護法は、2017年5月30日に完全に施行されます。
その際には、EUのように保護対象の定義が大きく広がっていると考えられます。
EUではIPアドレスや、声(録音されたスピーチ等)も個人情報として取り扱われています。
個人情報は、その国が適切だと日本から判断されるか、もしくは特別許可を持っていない限り、国外へ持ち出すことができません。
日本から国外へ個人情報を持ち出すその他の方法としては、APEC内で国境を越えた個人情報に対して消費者・事業者・行政機関で信用を構築するシステムである、CBPR認証を利用することです。
比較的新しいプログラムで、まだいくつかの国しか本格的に参加していませんが、日本も参加国の1つなので、日本と重要なビジネスを行っている場合は利用する価値があります。
日本がこういった取り組みに力を入れているのは、個人情報取り扱いに厳しいEUとの間に自由な個人情報の流れを結ぶためだと考えられます。
現在EUと個人情報の取引が許可されている国はほんの一握りであり、そこに日本が入ることができれば日本の企業にとって大きな利益となります。
またそれは、最終的に海外の企業にとっても利益を生むことになると考えられます。
いずれにせよ、日本とビジネスを行っている海外企業は、どこまでが個人情報になるか、どういった承諾が必要か、データはどこにあるか、等、より厳しくなる新個人情報保護法をしっかりと理解する必要があります。