日・ＥＵ経済連携協定を改定する議定書について

データとこ勝負。

　経済上の連携に関する日本国と欧州連合との間の協定を改正する議定書が今国会で承認される。タイトルからは何に関しての協定かわからないが一言でいうとデータの流通に関する協定である。日本と欧州の間では2018年に日・ＥＵ経済連携協定（EPA）を締結している。自由で公正なルールの構築を主導し貿易自由化を推進する立場から貿易自由化の旗手として世界に範を示すべくEPA協定を締結した。この協定の締結によって世界貿易の約１/３を占める世界最大級の自由な先進経済圏が誕生したことになる。2022年の時点でEUの貿易総額は14.6兆ドル、日本は1.6兆ドルに上る。ＥＵ側の関税撤廃率は約99％、日本側は約94％となっている。協定の第8章81条に「データの自由な流通」という項目がある。これが今回の改正点となる。「電子商取引に関連する規制に係る事項についての対話を維持すること」と条文に明記されており電子情報の取扱いについては協定締結後もお互いに議論されてきた。81条には両締約国は「この協定の効力発生の日から三年以内にデータの自由な流通に関する規定をこの協定に含めることの必要性について再評価する。」と規定されていることから今回の改正が行われる。電子商取引に関連する規制に係る事項とは消費者保護、サイバーセキュリティ、要求されていない商業上の電子メッセージの防止、公衆に発行される電子署名の証明書の承認、中小企業が電子商取引を利用する上での課題、国境を越える認証サービスの円滑化、知的財産、電子政府の情報とそれに関連する情報のことを言う。EUと日本の複数国間で電子商取引の発展を促進することを前提に協議してきた。

　経済のデジタル化はグローバリゼーションとともに進歩してきた。データの取扱いは国によって様々、特に複数国間でのデータの扱いは国によって対応の相違が顕著にみられた。EUにはEUデータ保護法という個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令がある。本人が自身の個人データの削除を個人データの管理者に要求できること、自身の個人データを簡単に取得でき、別のサービスに再利用できること、個人データの侵害を迅速に知ることができること、個人データの管理者は個人データ侵害に気付いたときから72時間以内に規制当局へ当該個人データ侵害を通知することが求められ、また、将来的には本人への報告も求められること、サービスやシステムはデータ保護の観点で設計されデータ保護されることを基本概念とすること、法令違反時の罰則強化、監視、暗号化、匿名化などのセキュリティ要件の明確化などが規定されている。さらにEU一般データ保護規則（GDPR）が加えられ厳格化されている。

　GDPRは、個人データの処理、移転に関する原則、本人が自身の個人データに関して有する権利、個人データの管理者や処理者が負う義務、監督機関設置の規定、障害発生時のデータの救済と管理者および処理者への罰則、個人データの保護と表現の自由などが規定されている。GDPRの適用範囲は個人データを収集する組織、個人データを使用する組織、データの対象である個人のいずれかがEU域内に拠点を置く場合が対象となる。EU居住者の個人データを収集処理する組織はEU域外に活動拠点を置いていてもGDPRの適用対象とされる。Cookieなどで得られる個人データの処理、EU域内に個人データを扱うデータベースやサーバーが設置されている場合、ネット通販などでEU域内へ商品やサービスを販売しているケースもGDPRの対象となる。GDPRは違反企業に対して非常に厳しい罰則を定めている。個人データの取り扱いに関して適切な安全管理対策を実施しなかったり、GDPRが定めているとおりに個人データの取り扱いに関する記録を残していなかった場合には最大で該当企業における全世界年間売上の2%または1千万ユーロのいずれか高い方が制裁金として課される。個人データの基本的取扱い原則に違反したり、データ主体の権利を侵害した場合には4%または2千万ユーロのいずれか高い方が制裁金として課される。

　実際に2022年11月にNTTデータのスペイン子会社であるEVERIS/NTT Data Spain（以下、EVERIS）に対しデータ漏洩の件でGDPRに違反したとしてスペインデータ保護当局から6万4,000ユーロの罰金を課された。データ侵害を防止するための適切な技術的および組織的措置が実施されていなかったこと、無権限または違法な処理、偶発的な損失、破壊、または損害から個人データを保護することを目的とした必要最低限の技術的措置を実施していなかったことに対する制裁であった。

　EUが執ってきたデータに関する施策はGDPRに代表される域内保護政策である。GDPRでは原則的にEU域外への個人データの持ち出しを認めていないデータローカライゼーション規制を行ってきた。

　データローカライゼーション規制は経済にどのような影響を及ぼすのか。ベトナムでのサイバーセキュリティ法はデータのベトナム国内保存と外国企業の場合は支店の設置を義務付けた。それによって電子商取引上での競争力が低下しGDPが1.6％低下した。また、外国籍企業の61％がベトナムへの投資を控えると回答した調査もある。

　中国のサイバーセキュリティ法はベトナムのモデルであると言われている。中国はサイバーセキュリティ法に続いてデータセキュリティ法、個人情報保護法などを立て続けに制定し重要インフラ事業者らが収集したデータの越境を規制し国内保存を進めている。中国の規制には域外も含まれていることから注意が必要だ。中国もデータローカナイゼーション規制の影響でGDPが1％以上減少している。ローカライゼーションは規模の経済性を損なうことから経済成長にマイナス影響を与えることは自明の理である。

　データローカライゼーションの流れに対する施策として安倍政権下の2018年にダボス会議で日本が「信頼性のある自由なデータ流通（DFFT）」を提唱した。DFFTとは「プライバシーやセキュリティ、知的財産権に関する信頼を確保しながら、ビジネスや社会課題の解決に有益なデータが国境を意識することなく自由に行き来する、国際的に自由なデータ流通の促進を目指す」というコンセプトのことである。DFFTの規定は既に日米デジタル貿易協定や、日英EPA、TPP11、東アジア地域包括経済連携（RCEP）等の貿易協定や経済協定の電子商取引章に既に含まれた上で締結されている。事業実施のために行われる情報の電子的手段による国境を越える移転を原則として許可、事業遂行の条件としての自国の領域におけるサーバー等のコンピュータ関連設備設置の要求を原則禁止などの条項が明文化されていることからデータローカライゼーションとは正に反する概念であり規定である。ダボス会議以降、2019年6月Ｇ20大阪サミットの機会にDFFTに基づき，デジタル経済，特にデータ流通や電子商取引に関するルール作りを進めるための「大阪トラック」を立ち上げ交渉参加国は現在86カ国まで増加している。2021年12月、日・豪・シンガポールによる共同議長国閣僚声明を発出し、デジタル貿易を規律する世界的なルールの必要性、データ流通に関する規定が高い水準かつ商業的に意義のある成果のための鍵であること、多国間での電子商取引モラトリアムの継続を支持することを提示した。オンラインの消費者の保護、電子署名及び電子認証、要求されていない商業上の電子メッセージ、政府の公開されたデータ、電子契約、透明性、ペーパーレス貿易、開かれたインターネットアクセスの8項目について意見が十分に収斂したことを明らかにした。

　当該協定の改正は日英EPA、TPP11につづいて日・EUEPAにもDFFTの概念を追記したことになる。何よりも意義があるのはデータローカライゼーション規制を採用してきたEUがデータを自由に流通させるDFFTの概念に転換されたことだ。国境を越えたデータの流通を促進する世界的枠組みの交渉は中国、ベトナム、インドネシア、ブラジル、インドなどを除く80ヶ国以上とWTOおける協議が進んでいる。データの活用は生産性の向上や企業価値の創造に繋がり経済成長の原動力となるはずだ。

　補足であるが東洋経済で三菱UFJの調査員の記事の中に当協定の改正にあたりEU側が包装及び包装廃棄物規則の中で日本の瓶や缶を紙パッケージすることを規定することで自由貿易協定から排除していることを指摘している。関税撤廃時期を迎える予定であった日本酒メーカーは確かに頭を抱えたかもしれない。日本酒の自由貿易を阻害しておいて欧州からのワインは無税で国内を流通する。あまりに不平等だという主張である。確かにEUはEV自動車に関わる取り決めなど自己中心的な面が目立つ。しかし、当EPA協定に関しては日本側に理はないと考える。日本は牛肉やコメ、乳製品や砂糖などネガティブリストに掲載して輸入を留保している。品目数やパーセンテージで考えると欧州より日本の法が実は保護的な姿勢を取っている。欧州が日本酒の輸入に関して環境問題を持ち出してくることには嫌気するのは当然であるが決して不平等な改正ではないということを記しておく。

＊政府は中国やインドなどともDFFT交渉を行うのか。

＊中国のサイバーセキュリティ法の域外への規制に対する国内法人を保護する施策はないのか。

＊WTOにおけるDFFT交渉には中国も参画しているのかどうか。

参考

自由な企業データ流通へ国際組織、日本主導でOECDに

https://www.nikkei.com/article/DGXZQOUA040JG0U3A201C2000000/

DFFTとは？　日本が提唱、データの国際流通に向けた動きと意義

https://business.nikkei.com/atcl/gen/19/00081/060700564/

日EU・EPAに「データの自由な流通に関する規定」を含めることに関する交渉の大筋合意

https://www.mofa.go.jp/mofaj/press/release/press4_009822.html

日ＥＵ・ＥＰＡ 「データの自由な流通」交渉の大筋合意　外務省

https://www.mofa.go.jp/mofaj/files/100573027.pdf　

日・ＥＵ経済連携協定概要　外務省

https://www.mofa.go.jp/mofaj/files/000415752.pdf

GDPR における管理者及び処理者の概念に関するガイドライン 07/2020

https://www.ppc.go.jp/files/pdf/kanrisha_syorisha_gainen_guideline_v2.0.pdf

GDPR（EU一般データ保護規則）とは？

https://www.hitachi-solutions.co.jp/hibun/sp/column/leakage/03.html

GDPR違反による日本企業初の制裁金事例を解説！

https://privtech.co.jp/blog/law/gdpr-penalties-japan.html

データローカライゼーション規制とデジタル経済　野村

http://www.nicmr.com/nicmr/report/repo/2021/2021aut13.pdf

｢ワインはOKだけど日本酒はダメ｣EUの唯我独尊

https://toyokeizai.net/articles/-/738590?page=2