2.ロシア連邦
ロシア連邦では、「N152-FZ 2006年7月27日の個人データに関する連邦法」が包括的な個人データ保護・プライバシー保護法として定められています。この法律では、ロシア国外に個人データを移転するには、原則として個人データが十分に保護されているとロシア政府が認めた国である必要があるとされています。
また、個人データが十分に保護されているとロシア政府が認めていない場合には、データ主体が同意している場合や契約を履行するために必要な場合など、限定されたケースでのみ移転が可能とされています。
さらに、個人データに関するロシア連邦法(Federal Law No. 242-FZ 2014)が改正され、2015年9月に施行されています。この改正法は、ロシア国民の個人データを収集するウェブサイトの運営者を対象に、データの保存、修正、更新などに使用するデータベースをロシア国内に設置しなければならないと定めています。加えて、企業などが違反した場合には、当局は違反したそのドメインに対するアクセスを遮断するように、ISPに対して命令することが可能となっています。
個人データの越境移転については、GDPRにおける要件がよく知られていますが、その他にも中国やロシアなどで制約が課せられており、アジア各国でも似た法制度を持つ国が増えている状況です(シンガポール、マレーシアなど)。
移転先において個人データに対し十分な保護が行われていないと見られる場合には、自国の人々の個人データが不正利用されるなどのリスクを軽減する必要があり、これらの制約はそのための措置と考えられます。一方で執行状況を踏まえ慎重な検討を要する面もあり、企業においてはこれらの制約による事業への影響を見極め、対応を進めていくことが求められます。
- デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 大場 敏行
- 国内大手製造業をはじめ、様々な業界、業種のクライアントに対して、個人情報保護、情報セキュリティに関するコンサルティング業務に従事。マイナンバー法導入にあたり、地方自治体向けに特定個人情報保護評価支援を提供。公認情報システム監査人(CISA)、 情報セキュリティスペシャリスト。