------------------------------------------------------------------------
2019年の海外法制度の展望
~サイバーセキュリティ・個人情報保護に関する政策動向~
------------------------------------------------------------------------
JCIC主任研究員 上杉謙二
2019年2月18日
EUの「一般データ保護規則(General Data Protection Regulation;GDPR)」が2018年5月に施行され、多くの日本企業が施行直前の対応に追われました。世界には、GDPR以外にも、中国のサイバーセキュリティ法など、海外と取引のある日本企業が対応すべき法制度が多数あります。
今後も日本企業にとって厳しい法制度が制定される見込みであり、例えば、2019年には米国/EU/インド/タイにおいて、新しい法制度などが制定される可能性があります。これら以外にも、2019年1月に施行されたばかりのベトナムの「サイバーセキュリティ法」、台湾の「資通安全管理法」による具体的な罰則や判例にも注視する必要があります。
日本企業は、GDPRだけが特に厳しい個人情報保護規制であるという誤解をせずに、自社の拠点や取引のある国や地域の法制度を理解し、全社横断的に計画的な対応が求められています。このコラムでは、今まで「JCIC海外ニュースクリップ」で配信した諸外国の法制度についてまとめ、今後の新しく制定される見込みの法制度について解説します。
■サイバーセキュリティに関する新たな法制度動向
①欧州委員会では、EUサイバーセキュリティ法(EU Cybersecurity Act)を2019年6月27日に施行(罰則などの一部規定は2021年6月28日から適用)。EUサイバーセキュリティ法に関して日本が注目すべき点は、新たなサイバーセキュリティ認証制度です。この制度では、EU内でネットワークに接続する製品などを販売する際に、安全の証を示すセキュリティ証明書の取得が求められる可能性があります。GDPRが日本企業にインパクトを与えたように、将来的に大きな影響が出る可能性があります。
②タイでは、政府がインターネットの通信を監視するサイバーセキュリティ法を国会で可決し(2019年2月28日)、5月28日に施行。国家サイバーセキュリティ会議(NCSC)の設置が規定され、サイバー脅威の発生可能性を監視するためにNCSCがインターネット通信にアクセスすることが認められました。中国やベトナムのサイバーセキュリティ法と同様に、サイバー脅威の発生可能性を監視するという名目で、政府が全てのインターネット通信を検閲することが懸念されています。タイに拠点を置く企業や取引のある日本企業は、ネットワーク構成の見直しなどが求められる可能性があります。
サイバーセキュリティに関する法制度一覧
-
日本
- 国家戦略を策定・推進する司令塔機能の強化や、体制整備に法的根拠を持たせ、重要社会基盤事業者などが連携して対応する方針が示された。
- 2018年の改正では、「サイバーセキュリティ協議会」の創設が明記された。
-
米国
- サイバー脅威情報に関する官民共有手続きを整備。民間企業が共有する際の法的責任(プライバシー侵害等)を免除。
-
EU
【①】
- EUサイバーセキュリティ法が2019年6月27日に施行。罰則などの一部規定は2021年6月28日から適用となる。欧州ネットワーク情報セキュリティ庁(ENISA)の権限強化、新たなサイバーセキュリティ認証制度の整備などを目的としている。
-
英国
- 英国の重要インフラ事業者が効果的なサイバーセキュリティ対策を怠った場合、最大 1700 万ポンド(日本円:約26億円)の制裁金が課される。
-
ドイツ
- 重要インフラ事業者のサイバーインシデント報告及び連絡担当者の設置については義務化されている(違反時の罰則有り)。
-
中国
- 企業に対してサイバーセキュリティ対策を求めることに加え、中国国民の個人情報の取り扱いを制限する内容を含む。サイバーセキュリティ法の運用は単独で完結せず多数の関連法制度が存在する。
- 「公安機関インターネット安全監督・検査規定」が2018年11月から施行を開始し、公安当局がセキュリティの立ち入り監査を行うこと等が定められている。
- 「データ安全管理規則」のパブリックコメントを2019年5月から開始。中国サイバーセキュリティ法の下位規定に位置付けられるものであり、中国でネットサービスを運営する国内外の企業に中国政府へのデータ提供を義務付ける可能性がある。
-
台湾
- 病院や通信業など8大重点基礎インフラに対して中国の情報設備やソフトサービスの使用を完全に禁止し、安全リスク評価と使用禁止管理についての枠組みを定めた。
- 2019年より施行
-
韓国
- 情報通信網の利用を促進するとともに、情報通信サービスを利用する者の個人情報を保護し、情報通信網を健全かつ安全に利用できる環境を造成する。
-
インド
- 電子通信、特に電子商取引について規定した法律。データ保護及びプライバシー保護の観点から不正閲覧、ID 不正取得、フィッシング、オンライン不正利用、メール攻撃といった新しいサイバー犯罪にも対応。
-
シンガポール
- 重要インフラ事業者は、セキュリティ事故発生時に CSA へ報告する義務があるとした。違反した事業者には、10万シンガポールドル(約820万円)以下の制裁金、2年以内の懲役という罰則が課される。また、サイバーセキュリティ事業者はライセンス制とした。
-
タイ
【②】
- 政府がインターネットの通信を監視するサイバーセキュリティ法が2019年6月28日に施行。国家サイバーセキュリティ会議(NCSC)の設置が規定され、サイバー脅威の発生可能性を監視するためにNCSCがインターネット通信にアクセスすることが認められたものであり、中国のサイバーセキュリティ法との類似性が指摘されている。
-
ベトナム
- ベトナム国内でネットサービスを展開する場合、利用者の本人性を保証する仕組みを確保し、要求に応じて管轄当局にデータを提供・削除すること等が規定されている。
- 2019年より施行
-
フィリピン
- サイバー攻撃やネット上での名誉棄損、児童ポルノなどの取り締まりと罰則を規定。
■個人情報保護法に関する新たな法制度動向
③米国では、米国国立標準技術研究所(NIST)が消費者のプライバシー保護のための新たなプライバシーフレームワークの開発に着手しています。また、アップル社のティム・クックCEOは、米国内で「包括的な連邦プライバシー法案」を策定すべきと提言し、情報を最小限にする権利やデータセキュリティの権利などの原則を含める必要があると訴えました。さらに、州単位でも独自規制の動きがあり、カリフォルニア州ではデータプライバシー法が成立し、2020年から施行されます。米国の政策は、日本の政府や企業にも多大な影響があるため、今後の米国政府の動向に注視する必要があります。
④インドでは、GDPRをモデルとする個人情報保護法案が成立する見込みです。法案では、データ・ローカライゼーション(個人データの海外移転を規制)に関する内容が検討されており、違反した場合は、最大で全世界の売上高4%の制裁金や刑事罰を科すことも盛り込まれています。インドに拠点を置く企業や取引のある企業は、GDPR同様の対応をインド人の個人情報に関して求められる可能性があります。
個人情報保護に関する法制度一覧
-
日本
- 事業者がユーザーや取引先などから取得した「個人情報」の取り扱いに関するルールを定めたもの。
- 2017年の改正では、社会的身分・病歴などが含まれる個人情報を「要個人配慮情報」として定義し、より慎重に取り扱うことを定めた。
-
米国
【③】
該当無し(包括的な個人情報保護法は無い)
- 連邦プライバシー法案を制定すべきとアップルCEOが提言している。Link
- 米国会計検査院もデータプライバシー法が必要であると訴えている。Link
- 米国国立標準技術研究所(NIST)が消費者のプライバシー保護のための新たなプライバシーフレームワークの開発に着手している。
- また、州単位でも独自規制の動きがあり、カリフォルニア州ではデータプライバシー法が成立し、2020年から施行される。
-
カナダ
- 民間企業の商業活動における個人情報の収集、使用、開示を全州で規制した。
-
EU
- 欧州住民の個人データを取り扱う全ての企業に対して、情報漏えい検知後の72時間以内に当局へ通知する義務を課した。違反した企業は高額の制裁金(前年度の全世界年間総売上額の4%、または2,000万ユーロのいずれか高い方の金額が上限)が課せられる。
- GDPRを補完する形の「eプライバシー規制」が検討されており、Web訪問者に対して、Cookie付与の同意を得ることなどが求められる。
-
英国
- GDPRを英国で運用するための定義を明確化したほか、治安維持、不正防止、移民管理などを目的とする場合のデータ保護に例外規定を設けている。データ保護監督機関である情報コミッショナーオフィス(ICO)が監督機関の役割を担っている。
-
ドイツ
- GDPR施行に向けて連邦データ保護法が2017年に全面改正され、刑事司法分野の個人データ指令を国内法化する内容も含まれている。
-
フランス
- GDPR施行に向けて1978年の法律が改正され、フランス独自の措置として、集団訴訟により損害賠償を請求できる条項が盛り込まれた。
- 個人情報保護の監督機関である、情報処理および自由に関する全国委員会(CNIL)の執行権限を強化。
-
ロシア
- 公共・民間の両部門に適用される個人データ保護に関連する基本規制を定めている。
- ロシア国外に個人データを移転する際には、原則として個人データが十分に保護されているとロシア政府が認めた国である必要がある。
-
オーストラリア
- 2018年に公開されたガイドによって、情報漏えい事故の強制報告制度が導入された。
- 違反を報告しなかった場合、最大200万ドル(約1.7億円)の罰金が科せられる可能性がある。また、重大事故の場合は、30日以内に調査を終え、データ流出の被害を受けた人に通知する必要がある。
-
ニュージーランド
- 公的部門及び民間部門の全ての事業者に適用されるが、違反の当局への報告義務はない。
-
中国
該当無し(包括的な個人情報保護法は無い)
- 中国サイバーセキュリティ法などに個人情報保護の法令が散在している。
-
台湾
- 病歴、性生活、犯罪前科などの特定情報については、本人の同意がなく、収集、処理、利用した場合は、違法となり処罰される恐れもある。5年以下の有期懲役、100万台湾元(約340万日本円)以下の罰金が科せられる。
-
香港
- 国境を越えたデータ転送に規制がかかり、違反時には最大で罰金100万香港ドルと禁固5年を科す。
-
韓国
- 最大1億韓国ウォンと禁固刑10年を含む罰則が定められた。
-
インド
【④】
- 個人情報保護法案を現在審議中。インドにおけるデータ保護体制を整備し、データプライバシー保護当局の設立が提案されている。
-
シンガポール
- 個人情報の収集、使用及び開示に先立ち同意を取得するよう義務付けた。データの国外移転先について条件を明記した。
-
タイ
- 個人情報保護法(Personal Data Protection Act)が2019年5月28日に施行。包括的に個人情報の取り扱いを定めた同国初のプライバシーに関する法律であり、EUのGDPRを参考に定められた。
-
マレーシア
- 個人情報を収集する際には、英語とマレー語での通知が必要。一部の業種の事業者に対しては監督官庁への登録が義務づけられる。
-
フィリピン
- 個人情報の保護を直接の立法目的としたフィリピンにおける唯一の法律であり、民間・公的部門の双方を規定している。データ保護担当者(DPO)の任命を義務付ける。
-
インドネシア
- インドネシア議会と情報通信省(MOCI)がデータ保護法を可決することを提案中。
-
ブラジル
- インターネットの中立性や表現の自由、個人情報の保護などを規定。
サイバーセキュリティ・個人情報保護に関する法律一覧
【参考資料】
個人情報保護委員会「諸外国の個人情報保護制度に係る最新の動向に関する調査研究(2018年)」 , https://www.ppc.go.jp/files/pdf/201803_shogaikoku.pdf
総務省「EU 各国における個人情報保護 制度に関する調査研究報告書(2018年)」, http://www.soumu.go.jp/main_content/000545716.pdf
経済産業省「海外におけるデータ保護制度に関する調査研究 (2017年)」, http://www.meti.go.jp/meti_lib/report/H29FY/000807.pdf
経済産業省「デジタル貿易に関連する規制等に係る調査(2018年)」, http://www.meti.go.jp/meti_lib/report/H29FY/000892.pdf
JETRO「EU一般データ保護規則(GDPR)について」 , https://www.jetro.go.jp/world/europe/eu/gdpr/
笹川平和財団「日本にサイバーセキュリティ庁の創設を!(2018年)」 , https://www.spf.org/global-data/20181029155951896.pdf
【更新履歴】
2019年2月18日:初版作成
2019年3月18日:タイの「サイバーセキュリティ法」可決を反映
2019年6月12日:EU「サイバーセキュリティ法」、中国「「データ安全管理規則」、タイの「個人情報保護法」と「サイバーセキュリティ法」の施行などを反映
