« FBIがスマートデバイスを利用したスワット攻撃 (Swatting Attacks) についての警告を出していますね。 | Main | ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22 »

2021.01.03

OECDが個人情報保護指針の見直しに向けた検討事項の一つとしてデータローカリゼーションの傾向と課題についての報告書を公開していますね。。。at 2020.12.22

こんにちは、丸山満彦です。

OECDが個人情報保護指針の見直しに向けた検討事項の一つとしてデータローカリゼーションの傾向と課題についての報告書を公開していますね。。。

基本はデータの自由流通が原則。ただし、プライバシーに配慮する必要があるので、例外的に個人データの第三国への移転については条件をつけた。しかし、プライバシーが理由なのか、安全保障が理由なのか、データの第三国移転を認めないことを原則的に取り扱うような風潮が出てきたので、一旦みんなで整理しようということなんでしょうかね。。。

 

OECD iLibrary - Papers - OECD Digital Economy Papers

・2020.12.22 Data localisation trends and challenges

報告書は、↓

・[PDF] 

この報告書は、

  • データプライバシーとグローバル化したデータフローのガバナンスの文脈におけるデータローカリゼーションに焦点を当てている

  • データローカリゼーションの定義を提案している

  • データローカリゼーションが国境を越えたデータフローを阻害しないようにするためのロードマップを概説している

  • そのような作業を支援するための提言を行っている

  • 特に、データの地域化対策を評価する上で、OECD プライバシーガイドラインに明記されている説明責任の原則と比例性テストの関連性を強調している

ということのようです。

「データローカリゼーション」の定義については、

‘Data localisation’ refers to a mandatory legal or administrative requirement directly or indirectly stipulating that data be stored or processed, exclusively or non-exclusively, within a specified jurisdiction. 特定の司法管轄区域内でデータが排他的または非排他的に保存または処理されることを直接または間接的に規定した強制的な法的または行政的要件を指す。

 

推奨事項が9つ書かれていますね。。。

1 It must be recognised that data localisation has the potential to directly and significantly impact cross- border data flows. データローカリゼーションは、国境を越えたデータの流れに直接かつ重大な影響を与える可能性があることを認識しなければならない。
2 In general, the requirements data privacy laws traditionally impose on transborder data transfers do not necessarily amount to data localisation. 一般的に、データ・プライバシー法が伝統的に国境を越えたデータ転送に課している要件は、必ずしも データローカリゼーションに該当するわけではない
3 Whether a specific requirement is classed as a data localisation measure is not, on its own, determinative for whether such a requirement is incompatible with the OECD Privacy Guidelines. 特定の要件がデータローカリゼーション措置として分類されるかどうかは、それ自体が、その要件が OECD プライバシーガイドラインと互換性がないかどうかを決定するものではない。
4 As data localisation may seek to protect data privacy in some cases, and undermine it in others, any assessment of the impact data localisation has on data privacy must be holistic and context-specific. データローカリゼーションは、データのプライバシーを保護しようとする場合もあれば、そうでない場合もあるので、 データローカリゼーションがデータのプライバシーに与える影響の評価は、全体的かつ文脈に特化したものでなければならない。
5 In the context of the OECD Privacy Guidelines, the proportionality test articulated in paragraph 18 should be considered a key mechanism for the evaluation of data localisation measures. OECD プライバシーガイドラインの文脈では、パラグラフ 18 に明示されている比例性テストが、データローカリゼーション対策の評価のための重要なメカニズムであると考えられるべきである。
6 Where a legal or administrative requirement is found to constitute a data localisation measure, and it amounts to a restriction to transborder flows of personal data under paragraph 18 of the OECD Privacy Guidelines, the assessment of whether it is proportionate (under that same paragraph) to the risks presented, ought to take into account multiple factors, such as: 法律上または行政上の要件がデータローカリゼーション措置を構成し、それが OECD プライバシーガイドラインの第 18 項に基づく個人データの国境を越えた流れの制限に相当すると判断された場合、それが提示されたリスクに 比例するかどうかの評価は、以下のような複数の要因を考慮に入れるべきである。
(a) the sensitivity of the data; データの感度
(b) the purpose and context of the processing; 処理の目的と文脈
(c) the extent to which it is demonstrated that the data localisation measure effectively achieves the goals for which it was introduced; データの局所化対策が導入された目的を効果的に達成していることが実証されているか。
(d) whether there are any less restrictive measure that could be enacted; 制定可能な制限の少ない措置があるかどうか。
(e) the direct and indirect, domestic and international, implications of the measures; 措置の直接的及び間接的、国内的及び国際的な意味合い。
(f) evidence of intent where it is possible to establish; and 意図を立証することが可能な場合には、その意図の証拠
(g)  the implications likely to arise if also other countries adopt the same measure (‘scalability’ as a consideration in the assessment of proportionality). 他の国が同じ手段を採用した場合に生じるであろう意味合い(比例性の評価における考慮事項としての「スケーラビリティ」)。
  The OECD should initiate work to map out what guidance, for the application of the proportionality test in paragraph 18 of the OECD Privacy Guidelines, that can be gained from sources such as national laws, in international law and e.g. in EU law, WTO jurisprudence, academic literature and various trade agreements. OECD は、OECD プライバシーガイドラインの第 18 項の比例性テストの適用について、国内法、国際法、および EU 法、WTO の法学、学術文献、様々な貿易協定などの情報源からどのような指針を得ることができるかをマップ化する作業を開始すべきである。
7 Data localisation laws, especially where they are combined with invasive data access regimes, may cause compliance issues for organisations since OECD Privacy Guidelines paragraph 16 mandates that “data controller remains accountable for personal data under its control without regard to the location of the data”. The OECD could usefully examine this issue further in the review of the OECD Privacy Guidelines. データローカリゼーションに関する法律は、特にそれらが侵襲的なデータアクセス規制と組み合わされている場合には、OECD プライバシーガイドラインの第 16 段落では、「データ管理者は、管理下にある個人データに対して、当該データの所在に関係なく責任を有し続ける 」と義務付けられているため、組織にとってコンプライアンス上の問題を引き起こす可能性があります。OECD は、OECD プライバシーガイドラインの見直しの中で、この問題をさらに検討することが有益であろう。
8 Either the Guidelines or the Explanatory Memorandum ought to directly address data localisation. ガイドラインまたは説明書のいずれかが、データローカリゼーションに直接対処すべきである。
9 Either the Guidelines or the Explanatory Memorandum ought to include a definition of data localisation, possibly as follows: ガイドラインまたは説明的覚書のいずれかは、データローカリゼーションの定義を含むべきである。

 

 


目次は次の通りです。

 

Foreword 序文
Table of contents 目次
Executive Summary エグゼクティブサマリー
I. Introduction I. 序章
II. Data localisation II. データのローカライズ
A. What is data localisation? A. データローカリゼーションとは?
B. Trends in, and attitudes towards, data localisation B. データローカリゼーションの傾向と態度
i. Amongst countries i. 国家間で
ii. Amongst experts from industry, civil society, academia and international organisations ii. 産業界、市民社会、学界、国際機関の専門家の間で
iii. Amongst consumers iii. 消費者間で
C. Why are data localisation requirements imposed? C. なぜデータのローカリゼーション要件が課されるのか?
i. Common motivations for data localisation i. データローカリゼーションの一般的な動機
ii. Data localisation and the territoriality of jurisdiction in the online environment ii. オンライン環境におけるデータローカライゼーションと司法権の領域性
iii. Data localisation as an aspect of data sovereignty iii. データ主権の側面としてのデータローカリゼーション
D. Concerns about data localisation D. データローカライゼーションに関する懸念
i. Concerns about economic and social impacts i. 経済的・社会的影響への懸念
ii. Concerns about feasibility ii. 実現可能性への懸念
III. Finding a way forward on data localisation III. データローカリゼーションの前進のための方法を見つける
A. Recommendations on data localisation for the OECD Privacy Guidelines A. OECDプライバシーガイドラインのデータローカリゼーションに関する勧告
i. Are data privacy driven restrictions on transborder data flows data localisation? i. 国境を越えたデータフローのデータローカリゼーションに対するデータプライバシー主導の制限はあるのか?
ii. Is data localisation ‘good’ or ‘bad’ for data privacy? ii. データローカライゼーションはデータプライバシーにとって「良い」のか「悪い」のか?
iii. A proportionality assessment for data localisation iii. データローカライゼーションに関する比例性の評価
iv. Transborder application of accountability obligations iv. 説明責任義務の国境を越えた適用
v. Guidelines or Explanatory Memorandum? v. ガイドラインか説明的覚書か?
VI. Conclusions VI. 結論
Annex 付属書
References 参考文献

 

[HTML]に変換してみました。一部崩れていますが・・・

 

 


■ 参考 現在のOECDのプライバシーガイドライン (2013)

● OECD

・[PDF] Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data

JIPDECによる日本語仮訳

JIPDEC

・2014.05.07 [PDF] 「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」(OECDプライバシーガイドライン)(仮訳)

 

データローカライゼーションに関係する部分

PART FOUR. BASIC PRINCIPLES OF INTERNATIONAL APPLICATION: FREE FLOW AND LEGITIMATE RESTRICTIONS 第 4 部 国際的適用における基本原則-自由な流通と合法的制限
16. A data controller remains accountable for personal data under its control without regard to the location of the data. 16. データ管理者は、管理下にある個人データに対して、当該データの所在に関係なく責任を有し続ける。
17. A Member country should refrain from restricting transborder flows of personal data between itself and another country where (a) the other country substantially observes these Guidelines or (b) sufficient safeguards exist, including effective enforcement mechanisms and appropriate measures put in place by the data controller, to ensure a continuing level of protection consistent with these Guidelines. 17. 加盟国は、自国と他の国との間における個人データの国際流通について、ガイドラインに一致する継続的な保護のレベルを保つために、(a) 他の国がガイドラインを実 質的に遵守している場合、又は (b) 効果的な執行メカニズム及びデータ管理者により導入される適切な措置を含め、十分な保護措置がある場合、この流通を制限することを控えるべきである。
18. Any restrictions to transborder flows of personal data should be proportionate to the risks presented, taking into account the sensitivity of the data, and the purpose and context of the processing. 18. 個人データの国際流通に対するいかなる制限も、顕在するリスクに比例した制限でなければならず、データのセンシティビティ並びに処理の目的及び情況を考慮すべきである。

Oecd


 

 

 

Executive Summary


As defined in this Report, ‘data localisation’ refers to a mandatory legal or administrative requirement directly or indirectly stipulating that data be stored or processed, exclusively or non-exclusively, within a specified jurisdiction.
Such data localisation requirements have emerged as a major issue in transborder data flows and are of relevance for the OECD Privacy Guidelines, and the current review of the implementation of those Guidelines.

A review of trends within, and attitudes towards, data localisation amongst countries, consumers, industry and the expert community, highlights a complex situation in which data localisation is both seen as useful and as a significant threat and obstacle. Importantly, as some forms of data localisation are largely uncontroversial, while other forms are generally seen as problematic, a country’s adoption of some form(s) of data localisation does not necessarily amount to an endorsement of other forms of data localisation.

Both the perceived benefits of, and the articulated concerns about, data localisation are diverse and go well beyond data privacy. Thus, the OECD Privacy Guidelines can only be expected to engage with certain aspects of the data localisation phenomenon. Yet, it is imperative that the approach to data localisation taken in the Guidelines is informed by, and mindful of, the broader context in which data localisation operates.

The Report argues that the OECD’s current review of the implementation of the OECD Privacy Guidelines must address data localisation. To support such work, the Report makes nine recommendations (collated in the Annex).

The Report emphasises the need to recognise that data localisation has the potential to directly and significantly impact cross-border data flows (Recommendation 1), but suggests that, generally, the conditions data privacy laws traditionally impose on transborder data transfers do not necessarily amount to data localisation measures (Recommendation 2).

Further, the Report asserts that, whether a specific requirement is classed as a data localisation measure is not, on its own, determinative for whether such a requirement is incompatible with the OECD Privacy Guidelines (Recommendation 3). Rather, as data localisation may seek to protect data privacy in some cases, and undermine it in others, any assessment of the impact data localisation has on data privacy must be holistic and context-specific (Recommendation 4).

More specifically, the Report argues that, in the context of the OECD Privacy Guidelines, the proportionality test articulated in paragraph 18 should be considered a key mechanism for the evaluation of data localisation measures (Recommendation 5). In this context, the Report suggests that where a legal or administrative requirement is found to constitute a data localisation measure, and it amounts to a restriction to transborder flows of personal data under paragraph 18 of the OECD Privacy Guidelines, the assessment of whether it is proportionate (under that same paragraph) to the risks presented, ought to take into account multiple factors, and that the OECD should initiate work to map out what guidance, for the application of the proportionality test in paragraph 18 of the OECD Privacy Guidelines, that can be gained from sources such as national laws, in international law and e.g. in EU law, WTO jurisprudence, academic literature and various trade agreements (Recommendation 6).
The Report also emphasises the relevance of the accountability principle of the OECD Privacy Guidelines paragraph 16 in the context of data localisation and recommends that the review of the OECD Privacy Guidelines engages with the potential compliance issues that data localisation may cause. (Recommendation 7).

Finally, the Report recommends that, either the Guidelines or the Explanatory Memorandum directly addresses data localisation (Recommendation 8) and provide a clear definition of data localisation; possibly as per the ad hoc definition introduced in this Report (Recommendation 9).

|

« FBIがスマートデバイスを利用したスワット攻撃 (Swatting Attacks) についての警告を出していますね。 | Main | ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22 »

Comments

Post a comment



(Not displayed with comment.)




« FBIがスマートデバイスを利用したスワット攻撃 (Swatting Attacks) についての警告を出していますね。 | Main | ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22 »