2024年10月24日公開
第5回 経済安全保障・ガバメントアクセスを踏まえたデータガバナンス
Ⅰ 経済安全保障とテクノロジー法務
1 はじめに
近時、経済安全保障が注目されている。経済安全保障には、様々な側面が存在するが、テクノロジー法務の国際潮流というテーマに合わせ、そのうち、テクノロジー法務やデータガバナンスと密接に関連する側面を簡単に触れたい。
2 経済安全保障と法制度の整備
経済安全保障とは、「我が国の平和と安全や経済的な繁栄等の国益を経済上の措置を講じ確保すること」1とされる。「国際情勢の複雑化、社会経済構造の変化等に伴い、安全保障を確保するためには、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大していること」に鑑み、経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)が制定された(同法1条)。要するに、安全保障の確保に関する経済施策の推進により経済安全保障を達成しようとしているものである2。
そして、経済安全保障推進法は特定重要物資の安定的な供給の確保、特定社会基盤役務の安定的な提供の確保、特定重要技術の開発支援及び特許出願の非公開化の4領域を主要な施策としている3。
その後、令和6年に重要経済安保情報の保護及び活用に関する法律(重要経済安保情報保護活用法)が制定され、特定の安全保障上重要な情報を指定し、情報を漏らす恐れがないという信頼性の確認(セキュリティ・クリアランス)を得た者の中で取り扱う、いわゆるセキュリティクリアランス制度が導入された。
1)閣議決定「国家安全保障戦略」2022年12月16日https://www.cas.go.jp/jp/siryou/221216anzenhoshou/nss-j.pdf
(最終閲覧2024年10月22日。以下同じ。)
2)渡井理佳子『経済安全保障と対内直接投資 アメリカにおける規制の変遷と日本の動向』(信山社、2023年)192頁
3)同上193〜194頁
3 経済安全保障とデータガバナンス
(1)四領域
筆者の理解では、経済安全保障とテクノロジー法務との関係では、主に以下の4領域が問題となる。
まず、サイバーセキュリティであり、国家の関与が疑われるハッキング事件が発生している4。
次が、特定重要設備等としての情報システムであり、経済安全保障推進法は、特定社会基盤役務の安定的な提供の確保のため、基幹インフラ業種の一定の設備の導入や委託等について事前審査制度等を設けているところ、情報システムもこの対象となり得る。
更に、重要経済安保情報保護活用法に基づくセキュリティクリアランスの対象となる一定の情報について企業がこれを政府から提供を受け、その従業者に取り扱わせる場面である。
最後が、ガバメントアクセス、例えば外国政府が日本企業や当該外国の日系企業に対して一定のデータの提出・提供を命じる場面である。
4)なお、ランサム攻撃につき松尾剛行「ランサム攻撃に関する個人情報保護法、会社法、及び民法に基づく法的検討 ̶情報セキュリティと法の議論枠組みを踏まえて」情報ネットワークローレビュー21巻(2021年)68頁
(https://www.jstage.jst.go.jp/article/inlaw/21/0/21_210005/_pdf/-char/ja)参照。
(2)ガバメントアクセスに関する懸念
ここで、上記(1)で挙げた4領域のうち、経済安全保障の文脈におけるガバメントアクセスに対する懸念は重要である。例えば、2023年のG7広島サミット首脳声明5は、①強靱なサプライチェーンの構築、②強靱なインフラの構築、③グローバルな経済的強靱性を確保するための非市場的政策及び慣行への対応、④経済的威圧への対処、⑤デジタル領域における有害な慣行への対抗、⑥国際標準化における協力、及び、⑦重要・新興技術の流出防止による国際の平和及び安全の保護の7項目を挙げた6。そしてこのうちの、⑤デジタル領域における有害な慣行への対抗において「我々は、企業に対してデータのローカライゼーションを不当に要求する規制、又は適切な保障や保護なしに、政府がデータにアクセスすることを許可する規制について、懸念を表明する。」として、明確にガバメントアクセスを問題視している。
これ以外にも、2022年にはOECDデジタル経済政策委員会(CDEP)閣僚会合において、「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」7が採択され、①法的根拠、②正当な目的、③承認、④データの取扱い、⑤透明性、⑥監督及び⑦救済の7原則が示された。
5)「経済的強靱性及び経済安全保障に関するG7首脳声明」(2023年5月20日)https://www.mofa.go.jp/mofaj/files/100506768.pdf
6)渡井前掲注2・200~201頁
7)仮訳として「民間部門が保有する個人データに対するガバメントアクセスに関する宣言(仮訳)」
https://www.ppc.go.jp/files/pdf/221221_shiryou-2-3.pdf
を参照
(3)Z Holdings最終報告書
このようなガバメントアクセスに関する懸念は、日本を含む企業実務上のデータガバナンス上の問題を現実に発生させている。ここで、データガバナンスとは、保有するデータの内容や性質、事業の特性や利用形態から生じる影響を具体的に把握し、リスクの顕在化を抑制するための体制を構築・運用することや積極的なユーザーコミュニケーション等を通じて社会的信頼を維持・獲得するためのガバナンス体制等とされる8。個人情報保護委員会が基本方針でデータガバナンスの重要性を強調するように9、各社はデータガバナンス体制を確立することが必要である。
そして、「経済安全保障とも関連して、データガバナンスの必要性を強く意識させた最近の出来事」として、Z Holdings事件が挙げられる10。すなわち、「グローバルなデータガバナンスに関する特別委員会」の最終報告書」11によれば、中国において Line アプリのデータの一部確認を開始するにあたり、LINE社は国家情報法等のように、個人情報保護法制そのものではないものの情報管理に影響を与え得る外国法制について、網羅的にはリサーチ対象に含めていなかった12。そこで、「ユーザーの個人情報を扱う以上、国家情報法に限らず広く中国におけるガバメントアクセスのリスクを慎重に検討する必要があったところ、ガバメントアクセスのリスクとしても受け止めて、経営上の課題として適切に取り上げ、ガバメントアクセスのリスクへの必要な対応を取ることができなかった」と評されている13。その結果として、ガバメントアクセスのリスクを含む経済安全保障分野に関する管理体制や事後的にもこれを見直す体制の整備が不十分であったことから、経済安全保障を考慮したデータガバナンス体制を構築していく必要があるとされている14。なお、一部データが韓国のデータセンターに保存されていたにもかかわらず、対外的に「LINEの個人情報を扱う主要なサーバーは日本国内にある」「日本に閉じている」等の誤った説明をしていたことも問題視されている15。
このように、データガバナンスが重要となっている現在、経済安全保障を踏まえたガバメントアクセスについては重要な問題として検討すべきである。
8)宍戸常寿「個人情報保護法制とデータガバナンス」人工知能37巻5号(2022年9月)564頁https://www.jstage.jst.go.jp/article/jjsai/37/5/37_558/_pdf/-char/en参照。なお、「データガバナンスとは、企業がデータ資産を素早く、効果的かつ安全にビジネスに活用できる状態にする全社横断の活動」(サステナブルな企業価値創造に向けたサステナビリティ関連データの効率的な収集と戦略的活用に関するワーキング・グループ「サステナビリティ関連データの効率的な収集及び戦略的活用に関する報告書(中間整理)~開示を超えた戦略的活用への転換に必要な体制整備と経営者及び取締役会の役割~」(2023年7月18日)https://www.meti.go.jp/shingikai/economy/hizaimu_joho/data_wg/pdf/20230718_1.pdfとか、データガバナンスを法令等に従い適切なデータの保護措置等を実施し、データを管理・活用すること(経済産業省「デジタルガバナンス・コード3.0~DX経営による企業価値向上に向けて~」https://www.meti.go.jp/press/2024/09/20240919001/20240919001-1.pdf(2024年9月19日改訂)2頁)ともされているが、単なる利活用の話や、法令遵守の話に留まらないことには留意が必要である。
9)個人情報保護委員会「個人情報の保護に関する基本方針」(2022年4月1日変更)https://www.ppc.go.jp/files/pdf/20220401_personal_basicpolicy.pdf1(2)④「データガバナンス体制の構築」参照。
10)宍戸・前掲注8・564頁
11)グローバルなデータガバナンスに関する特別委員会「最終報告書」(2021年10月)https://www.lycorp.co.jp/ja/privacy-security/special-advisory-committee/Final-Report-by-the-Specioal-Advisory-Committee_full.pdf
12)同上20頁
13)同上25~26頁
14)同上74~80頁
15)同上44~52頁 なお、本稿はその後の総務省による行政指導等は検討の対象としていない。この点は、総基用第59号「通信の秘密の保護及びサイバーセキュリティの確保の徹底に向けた措置について(指導)」(令和6年4月16日)https://www.soumu.go.jp/main_content/000942792.pdf
を参照のこと。
4 本稿の論述
このようなガバメントアクセスの実務上の重要性に鑑み、既に経済安全保障を見据えたデータガバナンスに関する組織を立ち上げる企業も存在する。筆者も、ある企業のデータガバナンス委員会の委員を務めている(2024年10月現在)。
以下では、筆者の経験を踏まえ、また、従来著した関連する論文や書籍16 、を踏まえて中国を中心にデータガバナンス実務を説明したい。
16)松尾剛行「中国の個人情報保護法とデータ運用に関する法制度の論点」情報通信政策研究5巻2号(2022年)29頁https://www.soumu.go.jp/main_content/000800520.pdf(以下「松尾・情報通信政策研究」という。)、松尾剛行「中国における個人情報保護に関する法制度:監視に関する点にフォーカスして(シンポジウムICTと監視社会・個人情報保護)」比較法研究83巻(2022年)60頁以下(以下「松尾・比較法」という。)、松尾剛行他「中国のガバメントアクセス――プラットフォームを中心として――」情報法制研究14号(2023年)48頁https://www.jstage.jst.go.jp/article/alis/14/0/14_48/_pdf/-char/ja(以下「松尾・情報法制研究」という。)及び、松尾剛行=胡悦「中国-データ主権原則と越境捜索」指宿信=板倉陽一郎編『越境するデータと法 サイバー捜査と個人情報保護を考える』(法律文化社、2023年)104頁以下所収(以下「松尾・越境するデータと法」という。)
Ⅱ ガバメントアクセス-中国を中心に
1 世界中で行われているガバメントアクセス
ガバメントアクセスが決して中国特有のものではなく、各国においてガバメントアクセスは存在する。例えば、日本でも捜査関係事項照会(刑事訴訟法197条2項)を通じたガバメントアクセスについては既に議論がされており、例えば一般財団法人情報法制研究所(JILIS)捜査関係事項照会問題研究タスクフォースは、「捜査関係事項照会対応ガイドライン」17を公表している。また、日本の捜査機関がどの範囲で海外の情報を収集可能かに関しては既に最高裁判例18が下されている。その他、いわゆる米国CLOUD法によるガバメントアクセス権限の整理・明確化もよく知られている。
17)https://www.jilis.org/proposal/data/sousa_guideline/sousa_guideline_v1.pdf
18)最決令和3年2月1日刑集第75巻2号123頁
2 ガバメントアクセスに関する中国の特徴
中国の国内ガバメントアクセスについては社会が犯罪に対する抑止や迅速な捜査を求めており、そのため、有事における警察からの情報提供要求に対し、プラットフォーム等がこれを拒否すると、むしろその拒否そのものに対し、中国の世論が強い反感を示す傾向がみられることが特徴的である19。また、中国は外国による中国に対する越境捜索を拒絶している20。
19)松尾・情報法制研究49頁
20)中国国際刑事司法共助法4条は、「国際刑事司法共助が中国の主権、安全及び社会公共の利益を害してならず、中国の主管機関の同意を得ない限り、外国の機関、組織及び個人は、中国国内で本法に規定する刑事訴訟活動を行ってならず、中国国内の機関、組織及び個人は、外国に対して証拠資料の提供及び本法に規定する共助をしてならない」と規定している。また、中国データ安全法36条は、「中華人民共和国の主管機関は、関係法律及び中華人民共和国が締結又は参加した国際条約、協定に基づき、又は平等互恵の原則に基づき、外国の司法又は法執行機関のデータ提供に関する請求を処理する。中華人民共和国の主管機関の承認を得ない限り、国内の組織、個人は外国の司法又は法執行機関に対して中華人民共和国国内に保存されたデータを提供してはならない。」
3 データ・ローカライゼーションと国内情報に対するガバメントアクセス
(1)データ・ローカリゼーション
中国法においては、中国ネットワーク安全法(サイバーセキュリティー法)37条21及び中国個人情報保護法40条22等、データ・ローカリゼーション、即ち、中国国内にデータを置くことを強制する規定が存在する。
国内保存義務(データローカリゼーション規制)の結果として、政府が民間企業の保有するデータ等に強制的にアクセスする「ガバメントアクセス」が容易となる23。確かに、下記4において述べるとおり、外国にあるデータであっても一定範囲でガバメントアクセスは可能である。しかし、国内にデータを置かせることが広範囲かつ簡単なガバメントアクセスという意味で政府にとって便宜である。
21)JETRO仮訳によれば「第37条 重要情報インフラストラクチャーの運営者が中華人民共和国の国内での運営において収集、発生させた個人情報及び重要データは、国内で保存しなければならない。/ 2業務の必要性により、国外に対し確かに提供する必要のある場合には、国のネットワーク安全情報化機関が国務院の関係機関と共同して制定する弁法に従い安全評価を行わなければならない。法律及び行政法規に別段の定めのある場合には、当該定めに基づいて行う。」https://www.jetro.go.jp/ext_images/world/asia/cn/law/pdf/others_005.pdf
22)個人情報保護委員会仮訳によれば「重要情報インフラストラクチャー運営者及び取り扱う個人情報が国家インターネット情報部門の規定する数量に達する個人情報取扱者は、中華人民共和国境内で収集又は生成した個人情報を境内で保存しなければならない。境外に提供する明確な必要がある場合、国家インターネット情報部門による安全評価に合格しなければならない。法律又は行政法規及び国家インターネット情報部門が安全評価を要しないと規定する場合には、その規定に従う。」https://www.ppc.go.jp/files/pdf/china_pipl_provisional-ja.pdf
23)松尾・情報通信政策研究I-36参照。
(2)(中国国内における)ガバメントアクセス
中国には、ガバメントアクセスを可能とする多数の法令が存在する。例えば、中国国家安全法77条は、国の安全に危害を及ぼす活動の手がかり、証拠の提出や、必要な便宜や協力を行わなければならないとする。松尾・情報法制研究40頁以下ではそれを平時の情報提供と有事の情報提供の2種類に分けて具体的に説明している。
匿名で行われるサイバー犯罪やネットワーク上の国家安全を脅かす行為に対する対応として、プロバイダ等の支援を受けて行為者の身元を明らかにすること等はどの国でも必要であるといえるだろう。そこで、中国の行うガバメントアクセスには一定範囲では諸外国でも行われているものと相似的な側面があるとは言えるだろう24。
とはいえ、上記の中国国家安全法上の協力義務はプロバイダ等の一定の者に限定されず、中国「公民」一般に広げられている(中国国家安全法77条)。このような広範な義務に対し日本等が懸念すること自体は理解できる。
但し、具体的な協力については、各法令が義務者と要件等を定めて具体化していることが重要である。そして、もちろん、その法令の規定が広範だという批判はあり得るところであるものの、法令の根拠なく国家安全確保の活動を行うという方向ではなく、むしろ、法令の根拠に基づきガバメントアクセスを含む活動を行うことを徹底しようとしているが故に、実際の国家安全確保の活動に必要な権限を列挙することになり、その結果として、法令上多種多様で広範な権限が認められることになっているという側面をも併せて指摘することができるだろう25。
24)松尾・比較法71頁
25)松尾・情報法制研究67頁
4 域外捜索差押と国外情報に対するガバメントアクセス
(1)はじめに
国家が自ら自国のデータを管理し利用する権能26であるデータ主権は、新サイバー犯罪条約においても重要なイシューとなった27。そして、中国は、国際刑事司法共助、国際警察間協力、民間企業からの協力取付け及び捜査機関による一方的収集という4つの方法によって越境捜索(による監視)を行っている28。以下の(2)~(5)において、それぞれについて簡単に触れたい。
26)松尾・越境するデータと法105頁
27)“Draft United Nations convention against cybercrime Strengthening international cooperation for combating certain crimes committed by means of information and communications technology systems and for the sharing of evidence in electronic form of serious crimes,” August 7, 2024https://documents.un.org/doc/undoc/gen/v24/055/06/pdf/v2405506.pdf
28)松尾・越境するデータと法111頁及び松尾・比較法72頁
(2)国際刑事司法共助
例えば、日中刑事共助条約等の国際刑事司法共助条約及び中国国際刑事司法共助法に基づき越境捜索を含む国際刑事司法共助が実施される29。
29)松尾・越境するデータと法112頁~120頁及び松尾・比較法73頁
(3)国際警察間協力
中国公安機関刑事事件処理手続規定13条に基づき国際警察間協力が行われている30。
30)松尾・越境するデータと法120頁~123頁及び松尾・比較法73頁
(4)民間企業からの協力取付け
中国においては、捜査機関が民間企業から協力を取り付けて越境捜索を行うことができることを規定する法令が存在し、これらの規定に基づきデータ管理者の同意を得て関連する電子データを取得している31。
31)松尾・越境するデータと法124頁~125頁及び松尾・比較法73頁
(5)捜査機関による一方的収集
ここで、中国には、一定の要件の下で、捜査機関が一方的に越境捜索をして情報を収集できるという旨の規定が存在する32。例えば、インターネット賭博犯罪事件の処理における法律適用の若干の問題に関する意見5条3項は、電子データが国外のコンピュータに保存されている場合、又は捜査機関が賭博ウェプサイトから電子データを抽出した際に容疑者が出頭していない場合、又は電子データの所有者が署名できないか、署名を拒否した場合において、抽出、複製、固定の過程を証明できる立会人が署名または押印し、関連状況を明記した上で、一方的収集が可能とする。このような場合においては、技術捜査措置、つまり技術的防護措置を突破してデータを取得する事もあり得る。もちろん、中国として法令に基づく厳格な承認手続や手続きの記録化等一定の措置は講じているものの、上記2のとおり中国は外国による中国に対する越境捜索を拒絶していることから、そのこととの関係での整合性は問われ得るところである。
32)松尾・越境するデータと法126頁~129頁及び松尾・比較法73頁
5 ネットワークデータ安全管理条例の影響
上記3(1)で述べた中国ネットワーク安全法(サイバーセキュリティー法)や中国個人情報保護法、そして中国データ安全法のように、既に中国では法律というレベルにおけるデータに関する規律が増加している。しかし、逆にいうと、特に重要なネットワーク関係のデータの取り扱いに関しては多数の法令が重畳適用され、実務上の取り扱いが不明確という問題があった。このような問題を解決し、ネットワーク上のデータの安全管理について、実務規範を定めるため、2021年にネットワークデータ安全管理条例のパブリックコメント版が公表された。そして、この度、2024年9月24日に正式版が公布され、2025年1月1日より施行されることになった。
ネットワークデータ安全管理条例は、重要データ等の各法令で利用される重要概念の統一的定義を示す(62条1項4号)と共に、安全管理のための措置の具体的内容や、データポータビリティの具体的内容(25条)、域外適用を受ける外国企業の義務の具体的内容(26条)等を明らかにしている。パブリックコメント版よりも詳細化した部分もあるが、手続き等が簡素化され、より実務上の取り扱いが容易となった部分もある。
そして、ネットワークデータ安全管理条例は、データ保護義務の明確化等に加え、ネットワークデータの安全監督・検査を目的とするガバメントアクセスの内容が以下の5つである旨を明確化した事が重要である(同条例50条1項)。
①ネットワークデータ処理者及びその関係者に監督検査事項について説明を要求すること
②ネットワークデータの安全に関連する文書、記録を閲覧し、複製すること
③ネットワークデータ安全措置の運行状況を検査すること
④ネットワークデータ処理活動に関連する設備、物品を検査すること
⑤法律、行政法規が規定するその他の必要な措置
なお、ネットワークデータ処理者は、関連主管部門が法により実施するネットワークデータ安全監督検査に協力しなければならない(ネットワークデータ安全管理条例50条2項)。
Ⅲ まとめ
このように、経済安全保障の文脈において様々なテクノロジー法務と関係する問題が生じているところ、中国のガバメントアクセスを含む問題を加味して各社はデータガバナンス体制を確立していかなければならない33。そして、一度体制を構築して終わりではなく、2025年のネットワークデータ安全管理条例施行等の新たな状況に対応し続けなければならない34。
33)経済安全保障を考慮した意思決定機関・体制の整備、経済安全保障の観点に基づく事業リスクの評価、経済安全保障に関する情報収集・分析態勢の構築及び対外的コミュニケーションを重要だとした松尾・情報通信政策研究I-46頁~I-47頁を参照。
34)本稿は桃尾・松尾・難波法律事務所中国律師胡悦様にご助力頂いた。但し全ての誤りは筆者の責任である。
<筆者プロフィール>
松尾剛行(まつお・たかゆき)
桃尾・松尾・難波法律事務所パートナー弁護士(第一東京弁護士会)・ニューヨーク州弁護士、法学博士、学習院大学特別客員教授、慶應義塾大学特任准教授、AI・契約レビューテクノロジー協会代表理事。