今日のデータ駆動型社会への世界的なシフトは、グローバルなサプライチェーンがデジタル化されるにつれ、新たなセキュリティリスクへの対応の必要性を浮き彫りにし、国際的なデータガバナンスの必要性に拍車をかけている。国境内外を問わず、データへの安定的かつ信頼できるアクセスは、デジタル経済の成長と安全な社会の維持にとって基本条件である。各国政府はこのようなニーズに応えるため、様々な観点から様々なレベルで、制限を伴う政策を実施している。

データの自由な流通と保護のバランスを取る考え方は、今日信頼性のある自由なデータ流通（以下、DFFT ：Data Free Flow with Trust）という概念によってよく知られるようになってきている。この言葉は、2019年1月の世界経済フォーラム年次総会で安倍晋三総理（当時）がスピーチしたことに端を発する。安倍総理は「医療や産業、交通やその他最も有益な、非個人的で匿名のデータは、自由に行き来させ、国境をまたげるように、繰り返しましょう、国境など意識しないように、させなくてはなりません。」と述べ、データの自由な流通のための必要性について強調していた。日本は同年、G20の議長国を務め、有志国と共に、「大阪トラック」の立ち上げを宣言した。それは、世界貿易機関（WTO）において国際的な政策討議、特に電子商取引の貿易関連の側面に関する国際的なルール作りを進めるとの我々のコミットメントでもあった。

DFFTの推進は、その後新型コロナウィルス感染症（以下、COVID−19）の流行を経た2023年、日本がG7議長国の年にさらなる進展を見た。1月には、河野太郎デジタル大臣（当時）が世界経済フォーラム年次総会において、DFFTの具体化（英語ではoperationalizeと呼んでいる）のため、常設の国際事務局設置の必要性などについて訴えた。続く5月に高崎で開催されたG7デジタル・技術大臣会合においては、DFFT具体化のための国際枠組み（以下、IAP： Institutional Arrangement for Partnership)の立ち上げと具体化に向けた成果の取りまとめが行われた。その中で、「IAPは、各国政府及びステークホルダー、データ保護当局含めた様々なバックグラウンドを持つデータガバナンスに関する専門家からなるコミュニティを結集し、実用的な解決策の提示を含めDFFTの具体化に向けて個人・非個人データの国境を越えた流通の推進に協力することについて貢献することを再確認し」、OECDにその事務局を設置することが歓迎された。

翌24年、日本は経済協力開発機構（OECD）に加盟60周年の記念の年に、OECD閣僚理事会の議長国を務め、DFFTに関する議論についてもさらに一歩前進させることとなった。この閣僚理事会の声明文の中で、①「将来の相互運用性を促進するため、モデル契約条項やその他の移転ツールなど、信頼あるデータフローを可能にする既存の規制アプローチや手段間の共通性、補完性、収斂要素に関する共通理解を構築することにより、信頼あるデータフリーフロー（DFFT）を支援する」、②そのために「データの流れがもたらす社会的・経済的便益を引き出すための共通のアプローチを活用し、具体的な解決策を特定し、運用するために、OECDのDFFT専門家コミュニティを通じた国際協力を推進する」ことが定められた。特に日本としては、DFFT具体化のための枠組みであるIAPを段階的に強化し、国際的データガバナンスのハブとして発展させていくために、ASEAN（東南アジア諸国連合）などの他の地域との連携の強化を志向した。ASEAN地域においては、同年2月に「アジアにおけるデータガバナンス等に係る閣僚級会合」を開催した。同会合では、IAPへの連携強化、各国のデータ保護法制度の紹介やグローバル化への対応などについて紹介し、日本とアジア諸国とのパートナーシップの下で持続可能で包摂的な発展に向けたデータガバナンスの推進について協力することを確認した 。

このような形で、日本発案のデータ流通のためのコンセプトであるDFFTは、着実に国際社会の中で具体化に向けた歩みを進めている。このデータ流通と保護のバランスの問題は、特に日本企業が多数進出し、具体的なビジネスの繋がりの深い東南アジア地域においても喫緊の課題となっている関係から、日本としてもOECDに作られるIAPと、非OECD諸国であるASEAN地域との接合に向けて努力しているところである。

ASEANにおける取り組みの加速

データの自由な流通と保護のバランスについてはASEAN域内においても近年盛んに議論が進められている。リロ・アラディンらが示したように、ASEANにおけるデジタル化の取り組みの歴史は古い。2000年に「e-ASEAN枠組み協定」を締結し、その後「ASEAN電子商取引協定」「ASEANデジタル統合枠組み」などという形でデジタル政策は進展してきた。

その取り組みがさらに加速されたのが、COVID-19の大流行を見た2020年代である。同時期に、「ASEANデジタルマスタープラン2025」「ASEAN電子商取引協定の実施に向けた作業計画」「デジタル経済統合のためのバンダルスリブガワン・ロードマップ」の3つの文書が合意された。2020年には、それまでASEAN電気通信・情報技術大臣会合と呼ばれていた閣僚会合が、デジタル大臣会合に名称を変更した。これは、地域としてデジタル化を積極的に推進していくことの一つの表れである。

データの越境移動に関する取り決めについては、その少し前である2018年のASEAN電気通信・情報技術大臣会合において承認された「ASEANデジタルデータガバナンス枠組み」に遡る。ここで、4つの戦略的優先分野の中の1つとして、「データの越境移動（Cross Boarder Date Flows）」が盛り込まれることとなった。その中では「データの流れは、データの行き先に関係なく、情報を保護し安全なものとするためのセーフガードの確約を伴うべきである。これらの保護措置は、データの流れに悪影響を与え、企業のコンプライアンス・コストを増加させる可能性のある断片的な規制と調和を図るべきである。」と述べられている。

このASEANにおけるデータの越境移動に関するメカニズムの実現のために、「データの越境移動のためのASEANモデル契約条項（ASEAN MCCs）」を2021年に取り決めた。このASEAN MCCsは、16年に取り決められた「個人データ保護に関するASEAN枠組み」に由来する形で、企業や組織間でデータが移転される際に説明責任と個人データのセキュリティを確保するため、APECプライバシー枠組みや、欧州の「一般データ保護規制」（GDPR）などのベストプラクティスに沿ったものとして作成されている。この文書はliving document（生きた文書）とされ事務レベルでさらなるレビューがなされることが予定されている。この文書は、以下の4つの原則に照らし合わせて考えられている。すなわち、１）域内のデジタル経済とデジタル貿易を支援するための個人データのASEAN域内流通、２）ASEAN個人データ保護枠組みと整合的な基本条項、３）データ保護取り組みの様々な段階にあるASEAN加盟国と企業を対象とした任意参加、そして４）選択肢の追加義務付きの柔軟なテンプレート、である。これらの文書は、ASEAN加盟国にとって非拘束的（non-binding）で、追加的な権利義務を国内および国際法上発生させることのない文書であるとしつつも、ASEAN域内のビジネスや市民社会にとって、信頼と透明性、説明責任を果たす上での指針となるものとして議論が進められているものである。

ASEANのデータ越境に関わる規制の課題

以上のようにASEANのデータ越境移転の円滑化にかかる取り組みは進捗しているが、さらなるデジタル経済統合の観点から課題も存在する。東アジア•アセアン経済研究センター(以下、ERIA)の最近の調査は、ASEAN加盟国（以下、AMS）には、個々の国の規制がもたらすグローバルな企業活動への影響の観点から、以下の３つの課題を指摘している。

課題１　データ保護規制の不透明性にかかるコスト：第一に、AMS内におけるデータ保護規制に差異が多くあり、データの越境移転を検討する度に、他国の規定を満たしているかどうかについて企業は検討することを求められる。現状では、データ規制の差異を一覧で把握できるサービスは提供されておらず、企業の目線から各国規制の透明性が確保されているという状況にはない。法改正や新たな関連規則の適用等の最新情報の獲得と対応も含め、企業は自社内に法務部署での体制を構築するか、もしくは外部の専門機関に委託する必要が生じる。これらは企業にとって小さくない負担となる。

課題２　一定のデータ保護水準の欠如によるリスク：合理的でない過度な規制を除き、一定のデータ保護規制を国が整備することは、その国でのデータの適正な取り扱いを制度的に担保することになり、その国でのデータ保護リスクは低下する。逆に、一定のデータ保護がない場合、その国での企業活動はデータ保護上のリスクが高いと見なされる。例えば、企業が保護基準の低い外国のデータを受け取り、自国でそのデータを管理する場合（もしくは、自国よりもデータ保護水準の高い外国に自国のデータを移転する場合）には、データ保護規制の制度の観点から見て、データ保護リスクは増加しない。しかし、自国よりもデータ保護水準の低い外国に自国のデータを移転する場合は、自ら当該国に拠点を置かない限り、データの管理や処理を当該国の企業に委託する必要性があるため、企業の保有するデータや顧客の個人データが流出するリスクが高まる。またこれらのリスクを考慮すると、仮に事業展開を検討している他国の市場魅力的であったとしても容易に事業を展開できず、拡大する市場でのビジネスを展開することができずに機会を逃す可能性もある。

さらに、企業の営業機密データや技術データ等、自社事業の根幹に影響を及ぼし得る産業スパイ的な活動のリスクを企業が恐れ、広範なガバメントアクセスを認める国への進出を躊躇する可能性がある。

課題３　不必要な規制と越境データ移転に関する規制への対応に関連するコンプライアンスコスト：個人データの越境移転の禁止やデータローカライゼーション規定は、国境を越えたデータの企業内流通に関するコストを高め、企業のグローバルな活動を直接的に阻害する。各国の規制主権を前提とした上で、例えば、サイバーセキュリティの確保や徴税など規制の執行権限の確保を目的とした規制手段としてデータローカライゼーションを行う国がある一方で、別のより企業活動への影響が少ない規制手段を取る国がある場合、前者は企業活動への影響の観点では過剰な規制となっている可能性がある。また、AMSはデータの越境移転を認めるための十分性認定の制度を持つが、データの越境に追加的な条件を課す国やデータ保護の国内法規制の違いもあり、現状の十分性認定は実務上のデータの越境移転のための十分条件にはなっていない。

まとめと今後の展望

データの流通は、我々の社会に新たな付加価値を与える、21世紀の経済発展にとって不可欠なものであるが、プライバシーや個人情報の保護、また企業にとっての秘匿情報などをどのように守っていくかなど、実際の技術面や運用面での課題もたくさんある。特にデータの越境移動の際には、各国の法令が異なるために、企業が進出した際にそれぞれの国で異なる対応を必要とされるケースも存在している。そうした課題を克服するために、グローバル、そしてリージョナルの両面から議論の進展が見られているというのが今日の状況である。中でもASEAN地域は域内経済統合の進展によって経済成長が顕著な地域であり、さらなる発展のために、グローバルな市場と統合していくためにも、デジタル分野における統合加速が欠かせないものとなってきている。

上述のERIAの最近の調査では、ASEANのデータの越境移動や規制の分野について、3つの解決の方向性を提示している。

方向性1　各国のデータ規制の透明性の向上：現在、ASEAN地域全体のデータ保護規制に関する情報を体系的に整理するサービスは存在しない。その結果、企業の担当者は各国の省庁や機関のウェブサイトを個別に確認する必要があり、言語の壁に直面することも少なくない。この課題に対処し、規制の更新状況を調査するためのコストを削減するために、各国のデータ保護規制に関する包括的な情報を提供し、AMSの規制を比較できるデータ規制リポジトリの開発・設置が必要である。このリポジトリは、ユーザーが対応すべき主要なデータ保護上の課題を特定するのにも役立つ。このようなリポジトリは、規制変更の調査に関連するコストを削減し、ASEAN地域での企業の業務効率化を支援し、デジタル経済の拡大に貢献する。さらに、データ関連技術の急速な進化を踏まえると、頻繁な規制変更は避けられない。最新かつ包括的なデータ規制リポジトリは、企業が最新情報を入手し、技術革新に迅速に適応するために不可欠である。

方向性2　データ保護規制の最低基準の確立：最低基準とは、各国が規制を制定する際に満たさなければならない共通の基本要件を指す。既存のデータ保護規制を比較するのではなく、OECDのプライバシーガイドラインなどの既存のプライバシー基準を参考にし、AMS全体でこれらの基準を定義することが望ましい。このアプローチにより、特定の国のデータ保護水準が他国よりも著しく低くなることを防止できる。最低基準の達成は、包括的な全分野対象の規制と、国家の優先事項や技術革新に対応した柔軟な分野別規制の組み合わせによって実現できる。特に金融、ICT、ヘルスケアなどの機微情報や国家安全保障に関わる分野は、特化したアプローチが求められる。こうした基準を確立することで、ASEANデジタル経済の拡大とデータの自由な流通が促進される。

さらに、政府のデータアクセスに関する懸念に対応するために、データの開示は捜査令状や正当な公共の必要性など、必要最小限の目的に限定されるべきである。データローカライゼーションの規定の下でも高いデータ保護基準を維持することで、過度または不必要な制限を防ぎつつ、信頼の維持が可能となる。

方向性3　不要な規制の削減と、越境データフローの規制相互運用性の確保：越境データ移転規制に伴うコンプライアンス・コストに対処するためには、(i) 不要な規制の削減と(ii) 正当な規制の相互運用性の強化の2つの戦略がある。まず、「方向性1」で述べた透明性の確保は、不要な規制の削減に効果的である。透明性を高めることで、各国の越境データ移転制限やデータローカライゼーション要件の現状が明確になり、ある国が特定の目的でデータローカライゼーションを要求している一方で、別の国ではそれを求めていない状況が可視化される。

例えば、金融データのサイバーセキュリティ保護や、税務関連データの国内保存義務などを課している国がある。一方で、国際的なサイバーセキュリティ認証の取得（例: 国際的セキュリティ管理システム）を求める、あるいはクラウドデータのローカルオフィスからのアクセスを許可し、データが国外に保存されていてもタイムリーなデータ提出を可能にするなど、企業にとってより負担の少ないアプローチを採用している国もある。AMS間での対話を促進し、越境データ移転制限やデータローカライゼーションが本当に目的達成に必要かどうかを検討することが重要である。このような対話を通じて、不要な規制の是正を図り、規制環境の簡素化に向けた相互努力を推進すべき。

次に、相互運用性を確保するためには、各国の法令の詳細な規定の調整（例: 用語の統一やデータ主体の権利の統一）が必要である。同時に、モデル契約条項や十分性認定などの相互運用性メカニズムの導入も積極的に進めるべきである。既に述べたように、ASEANは2021年にモデル契約条項を導入し、企業が締結すべき契約数を減らし、複雑な法的枠組みに対応する負担を軽減している。相互運用性メカニズムの効果をさらに高めるためには、前述のモデル契約条項などのデータ移転ツールを国内法に組み込む、これらのツールの使用を貿易協定で義務付ける、といった戦略が考えられる。

これらの取り組みにより、ASEAN域内での越境データ移転の円滑化とデジタル経済のさらなる発展が期待される。

参考文献

• 首相官邸（2019）「平成31年1月23日　世界経済フォーラム年次総会、安倍晋三総理スピーチ」（ https://www.kantei.go.jp/jp/98_abe/statement/2019/0123wef.html）　
• 外務省（2019）「デジタル経済に関する大阪宣言（仮訳）」（https://www.mofa.go.jp/mofaj/gaiko/g20/osaka19/pdf/special_event/jp/special_event_01.pdf）
• デジタル庁. (2024a). 「アジアにおけるデータガバナンス等に係る閣僚級会合を開催しました」. デジタル庁. （https://www.digital.go.jp/news/0d8f9f9d-a207-4a8b-8166-12b4846e6d2b）
• デジタル庁. (2024b). 「河野デジタル大臣が2024年OECD閣僚理事会に出席しました」. デジタル庁. （https://www.digital.go.jp/news/38c9989c-6023-4c29-bcc6-125734cf756f）
• リロ・アラディン、岩崎総則、及川景太（2023）「日ASEANデジタル共創」『世界経済評論』
• ASEAN. (2018). ASEAN Telecommunications and Information Technology Ministers Meeting (TELMIN), Framework on Digital Data Governance. ASEAN Secretariat. （6B-ASEAN-Framework-on-Digital-Data-Governance_Endorsedv1.pdf）
• ASEAN. (2021a). ASEAN Model Contractual Clauses for Cross Border Data Flows. ASEAN Secretariat. （3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf）
• ASEAN. (2021b). 1st ASEAN Digital Ministers’ Meeting (ADMIN) 2020 Implementing Guidelines for ASEAN Data Management Framework and ASEAN Cross Border Data Flows Mechanism. ASEAN Secretariat. （Implementing-Guidelines-for-ASEAN-Data-Management-Framework-and-Cross-Border-Data-Flows.pdf）
• OECD (2024). 2024 Ministerial Council Statement: Co-creating the Flow of Change: Leading Global Discussions with Objective and Reliable Approaches Towards Sustainable and Inclusive Growth. Meeting of the Council at Ministerial Level, 2-3 May 2024, OECD. （C-MIN(2024)20-FINAL.en.pdf）
• Oikawa K. (2024). Future of Data Governance in Asia and Operationalisation of ‘Data Free Flow with Trust’, ERIA Policy Brief（https://www.eria.org/uploads/Data-Free-Flow-with-Trust.pdf）
• Watanabe S., E. Ogura, and K. Oikawa (2025). Current Status of ASEAN Data Governance and Its Implications for the Digital Economy Framework Agreement, ERIA Discussion Paper（https://www.eria.org/uploads/Current-Status-of-ASEAN-Data-Governance-and-Its-Implications-for-the-DEFA.pdf）

フラッシュ一覧に戻る