グローバル・セキュリティガバナンス

EUのGDPR（General Data Protection Regulation）施行に代表されるように、海外における個人情報保護および情報セキュリティ管理の法規制が強化されてきている。しかし、日本企業においては、取引のある地域や国で制定されている法規制の認知度が必ずしも高いとはいえず、対応も十分ではない。国内の個人情報保護法や日本版SOX法などの法規制と、これらの海外の法規制の原則や枠組みは似通っているため、グローバルに共通管理する仕組みを構築することで対応が可能となろう。

これまでの海外セキュリティ法規制

日本では、これまで個人情報保護および情報セキュリティ関連の法規制として、個人情報保護法やサイバーセキュリティ基本法、不正アクセス防止法、日本版SOX法などが制定・施行されてきた。これらの法規制は主に国内が対象であり、海外が対象となるのは、改正個人情報保護法において海外の委託先が管理対象となることと、日本版SOX法において海外現地法人が主要な拠点として連結決算対象となることといった程度であった。海外においても、EUデータ保護指令（GDPRと個人情報保護法のベース）がある程度で、目立った法規制は存在しなかった。そのため、日本企業は個人情報保護法や日本版SOX法などの国内の法規制を中心に対応を進めればよかった。

図1．海外の主な個人情報保護および情報セキュリティ法規制マップ

しかし、GAFAのようなグローバルにビジネスを展開する大規模なIT企業が登場し、国境を越えてシステムを利用し、個人情報を収集する活動が目立ってくると、世界中の国や地域で個人情報保護や情報セキュリティ関連の法規制が整備されるようになった。EUのGDPRはEU域内のみならずEU域外へのデータ移転についても厳しい規制を設け、中国ではサイバーセキュリティ法が国外へのデータ移転を厳しく規制し、米国ではCLOUD法により米国政府は企業が保有する個人情報への検閲を可能とするなどの規制を行うようになった（図1）。