2024年10月24日公開
第5回 経済安全保障・ガバメントアクセスを踏まえたデータガバナンス
Ⅰ 経済安全保障とテクノロジー法務
1 はじめに
近時、経済安全保障が注目されている。経済安全保障には、様々な側面が存在するが、テクノロジー法務の国際潮流というテーマに合わせ、そのうち、テクノロジー法務やデータガバナンスと密接に関連する側面を簡単に触れたい。
2 経済安全保障と法制度の整備
経済安全保障とは、「我が国の平和と安全や経済的な繁栄等の国益を経済上の措置を講じ確保すること」1とされる。「国際情勢の複雑化、社会経済構造の変化等に伴い、安全保障を確保するためには、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大していること」に鑑み、経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)が制定された(同法1条)。要するに、安全保障の確保に関する経済施策の推進により経済安全保障を達成しようとしているものである2。
そして、経済安全保障推進法は特定重要物資の安定的な供給の確保、特定社会基盤役務の安定的な提供の確保、特定重要技術の開発支援及び特許出願の非公開化の4領域を主要な施策としている3。
その後、令和6年に重要経済安保情報の保護及び活用に関する法律(重要経済安保情報保護活用法)が制定され、特定の安全保障上重要な情報を指定し、情報を漏らす恐れがないという信頼性の確認(セキュリティ・クリアランス)を得た者の中で取り扱う、いわゆるセキュリティクリアランス制度が導入された。
1)閣議決定「国家安全保障戦略」2022年12月16日https://www.cas.go.jp/jp/siryou/221216anzenhoshou/nss-j.pdf
(最終閲覧2024年10月22日。以下同じ。)
2)渡井理佳子『経済安全保障と対内直接投資 アメリカにおける規制の変遷と日本の動向』(信山社、2023年)192頁
3)同上193〜194頁
3 経済安全保障とデータガバナンス
(1)四領域
筆者の理解では、経済安全保障とテクノロジー法務との関係では、主に以下の4領域が問題となる。
まず、サイバーセキュリティであり、国家の関与が疑われるハッキング事件が発生している4。
次が、特定重要設備等としての情報システムであり、経済安全保障推進法は、特定社会基盤役務の安定的な提供の確保のため、基幹インフラ業種の一定の設備の導入や委託等について事前審査制度等を設けているところ、情報システムもこの対象となり得る。
更に、重要経済安保情報保護活用法に基づくセキュリティクリアランスの対象となる一定の情報について企業がこれを政府から提供を受け、その従業者に取り扱わせる場面である。
最後が、ガバメントアクセス、例えば外国政府が日本企業や当該外国の日系企業に対して一定のデータの提出・提供を命じる場面である。
4)なお、ランサム攻撃につき松尾剛行「ランサム攻撃に関する個人情報保護法、会社法、及び民法に基づく法的検討 ̶情報セキュリティと法の議論枠組みを踏まえて」情報ネットワークローレビュー21巻(2021年)68頁
(https://www.jstage.jst.go.jp/article/inlaw/21/0/21_210005/_pdf/-char/ja)参照。
(2)ガバメントアクセスに関する懸念
ここで、上記(1)で挙げた4領域のうち、経済安全保障の文脈におけるガバメントアクセスに対する懸念は重要である。例えば、2023年のG7広島サミット首脳声明5は、①強靱なサプライチェーンの構築、②強靱なインフラの構築、③グローバルな経済的強靱性を確保するための非市場的政策及び慣行への対応、④経済的威圧への対処、⑤デジタル領域における有害な慣行への対抗、⑥国際標準化における協力、及び、⑦重要・新興技術の流出防止による国際の平和及び安全の保護の7項目を挙げた6。そしてこのうちの、⑤デジタル領域における有害な慣行への対抗において「我々は、企業に対してデータのローカライゼーションを不当に要求する規制、又は適切な保障や保護なしに、政府がデータにアクセスすることを許可する規制について、懸念を表明する。」として、明確にガバメントアクセスを問題視している。
これ以外にも、2022年にはOECDデジタル経済政策委員会(CDEP)閣僚会合において、「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」7が採択され、①法的根拠、②正当な目的、③承認、④データの取扱い、⑤透明性、⑥監督及び⑦救済の7原則が示された。
5)「経済的強靱性及び経済安全保障に関するG7首脳声明」(2023年5月20日)https://www.mofa.go.jp/mofaj/files/100506768.pdf
6)渡井前掲注2・200~201頁
7)仮訳として「民間部門が保有する個人データに対するガバメントアクセスに関する宣言(仮訳)」
https://www.ppc.go.jp/files/pdf/221221_shiryou-2-3.pdf
を参照
(3)Z Holdings最終報告書
このようなガバメントアクセスに関する懸念は、日本を含む企業実務上のデータガバナンス上の問題を現実に発生させている。ここで、データガバナンスとは、保有するデータの内容や性質、事業の特性や利用形態から生じる影響を具体的に把握し、リスクの顕在化を抑制するための体制を構築・運用することや積極的なユーザーコミュニケーション等を通じて社会的信頼を維持・獲得するためのガバナンス体制等とされる8。個人情報保護委員会が基本方針でデータガバナンスの重要性を強調するように9、各社はデータガバナンス体制を確立することが必要である。
そして、「経済安全保障とも関連して、データガバナンスの必要性を強く意識させた最近の出来事」として、Z Holdings事件が挙げられる10。すなわち、「グローバルなデータガバナンスに関する特別委員会」の最終報告書」11によれば、中国において Line アプリのデータの一部確認を開始するにあたり、LINE社は国家情報法等のように、個人情報保護法制そのものではないものの情報管理に影響を与え得る外国法制について、網羅的にはリサーチ対象に含めていなかった12。そこで、「ユーザーの個人情報を扱う以上、国家情報法に限らず広く中国におけるガバメントアクセスのリスクを慎重に検討する必要があったところ、ガバメントアクセスのリスクとしても受け止めて、経営上の課題として適切に取り上げ、ガバメントアクセスのリスクへの必要な対応を取ることができなかった」と評されている13。その結果として、ガバメントアクセスのリスクを含む経済安全保障分野に関する管理体制や事後的にもこれを見直す体制の整備が不十分であったことから、経済安全保障を考慮したデータガバナンス体制を構築していく必要があるとされている14。なお、一部データが韓国のデータセンターに保存されていたにもかかわらず、対外的に「LINEの個人情報を扱う主要なサーバーは日本国内にある」「日本に閉じている」等の誤った説明をしていたことも問題視されている15。
このように、データガバナンスが重要となっている現在、経済安全保障を踏まえたガバメントアクセスについては重要な問題として検討すべきである。
8)宍戸常寿「個人情報保護法制とデータガバナンス」人工知能37巻5号(2022年9月)564頁https://www.jstage.jst.go.jp/article/jjsai/37/5/37_558/_pdf/-char/en参照。なお、「データガバナンスとは、企業がデータ資産を素早く、効果的かつ安全にビジネスに活用できる状態にする全社横断の活動」(サステナブルな企業価値創造に向けたサステナビリティ関連データの効率的な収集と戦略的活用に関するワーキング・グループ「サステナビリティ関連データの効率的な収集及び戦略的活用に関する報告書(中間整理)~開示を超えた戦略的活用への転換に必要な体制整備と経営者及び取締役会の役割~」(2023年7月18日)https://www.meti.go.jp/shingikai/economy/hizaimu_joho/data_wg/pdf/20230718_1.pdfとか、データガバナンスを法令等に従い適切なデータの保護措置等を実施し、データを管理・活用すること(経済産業省「デジタルガバナンス・コード3.0~DX経営による企業価値向上に向けて~」https://www.meti.go.jp/press/2024/09/20240919001/20240919001-1.pdf(2024年9月19日改訂)2頁)ともされているが、単なる利活用の話や、法令遵守の話に留まらないことには留意が必要である。
9)個人情報保護委員会「個人情報の保護に関する基本方針」(2022年4月1日変更)https://www.ppc.go.jp/files/pdf/20220401_personal_basicpolicy.pdf1(2)④「データガバナンス体制の構築」参照。
10)宍戸・前掲注8・564頁
11)グローバルなデータガバナンスに関する特別委員会「最終報告書」(2021年10月)https://www.lycorp.co.jp/ja/privacy-security/special-advisory-committee/Final-Report-by-the-Specioal-Advisory-Committee_full.pdf
12)同上20頁
13)同上25~26頁
14)同上74~80頁
15)同上44~52頁 なお、本稿はその後の総務省による行政指導等は検討の対象としていない。この点は、総基用第59号「通信の秘密の保護及びサイバーセキュリティの確保の徹底に向けた措置について(指導)」(令和6年4月16日)https://www.soumu.go.jp/main_content/000942792.pdf
を参照のこと。
4 本稿の論述
このようなガバメントアクセスの実務上の重要性に鑑み、既に経済安全保障を見据えたデータガバナンスに関する組織を立ち上げる企業も存在する。筆者も、ある企業のデータガバナンス委員会の委員を務めている(2024年10月現在)。
以下では、筆者の経験を踏まえ、また、従来著した関連する論文や書籍16 、を踏まえて中国を中心にデータガバナンス実務を説明したい。
16)松尾剛行「中国の個人情報保護法とデータ運用に関する法制度の論点」情報通信政策研究5巻2号(2022年)29頁https://www.soumu.go.jp/main_content/000800520.pdf(以下「松尾・情報通信政策研究」という。)、松尾剛行「中国における個人情報保護に関する法制度:監視に関する点にフォーカスして(シンポジウムICTと監視社会・個人情報保護)」比較法研究83巻(2022年)60頁以下(以下「松尾・比較法」という。)、松尾剛行他「中国のガバメントアクセス――プラットフォームを中心として――」情報法制研究14号(2023年)48頁https://www.jstage.jst.go.jp/article/alis/14/0/14_48/_pdf/-char/ja(以下「松尾・情報法制研究」という。)及び、松尾剛行=胡悦「中国-データ主権原則と越境捜索」指宿信=板倉陽一郎編『越境するデータと法 サイバー捜査と個人情報保護を考える』(法律文化社、2023年)104頁以下所収(以下「松尾・越境するデータと法」という。)
この記事は会員限定コンテンツです。会員に登録いただきますと続きをお読みいただけます。
会員の方はログインして続きをお読みください。

<筆者プロフィール>
松尾剛行(まつお・たかゆき)
桃尾・松尾・難波法律事務所パートナー弁護士(第一東京弁護士会)・ニューヨーク州弁護士、法学博士、学習院大学特別客員教授、慶應義塾大学特任准教授、AIリーガルテック協会(旧AI・契約レビューテクノロジー協会)代表理事。