はじめに
元々は社内用にまとめたものですが、どの会社であっても海外展開を考える上では必要になるものであるため個人ブログにも記載しようと思います。
各国法について調べていたため、どのあたりを参照すると良さそうかをまとめます。各国法を説明するものではありません。
対象国(対象法)は以下となります。
データの越境移転について
サービスの海外展開を考える際、サーバをどこに置くのかというのが1つ大きな検討項目になると思います。これは、「データの越境移転」と調べると出てきます。(初心者すぎて適切な検索ワードもわからなかったので....)
以下の経済産業省「データの越境移転に関する研究会 報告書」を読むのが良さそうです。詳細、まとめとして表も記載しており、とてもわかりやすいです。
欧州(GDPR)について
GDPR:General Data Protection Regulation は、欧州経済領域(EEA)において個人情報の取り扱いについて規定する法的規則です。データの越境移転については、日本は十分生認定を受けているので特別な契約なくデータ移転ができます。これについては、先述の経済産業省「データの越境移転に関する研究会 報告書」を読むと良さそうです。
AWSを使用している企業が多いと思うので記載しておくとAWSにもGDPRについて説明したページがあります。
米国(CCPA)について
CCPA:California Consumer Privacy Act は、カリフォルニア州の住民(実際の表現としては「消費者」)に対するプライバシー保護を定めた州法です。米国は米国法に加えてCCPAなどの州法にも気をつけなければなりません。米国を検討する際にCCPAの名前がよく上がるのですが、それはカリフォルニア州がシリコンバレーを持っていたり、人口が多いからだと思います。
以下の日本貿易振興機構(ジェトロ)「カリフォルニア州消費者プライバシー法(CCPA)実務ハンドブック」を読むのが良さそうです。
GDPR同様、AWSにもCCPAについて説明したページがあります。
個人情報保護法、GDPRとの比較については以下記事も読みやすかったです。
中国(PIPL, CSL, DSL)について
PIPL:Personal Information Protection Law は、GDPRを意識して制定されたとされる中国における個人情報保護法です。関連法として、PIPL以前に制定されたCSL:Cyber Security Law、DSL:Data Security Lawがあります。中国についてはこの三法と関連弁法を確認する必要があります。
以下の日本貿易振興機構(ジェトロ)「中国におけるサイバーセキュリティー、データセキュリティーおよび個人情報保護の法規制にかかわる対策マニュアル」を読むのが良さそうです。
GDPRなどは記載の記事を読まなくても事例や対応内容がまとまった記事が山ほど出てきますが、中国三法については、対応すべき内容についての記事がたくさん出てくるわけではないので、先述の経済産業省「データの越境移転に関する研究会 報告書」や日本貿易振興機構(ジェトロ)「中国におけるサイバーセキュリティー、データセキュリティーおよび個人情報保護の法規制にかかわる対策マニュアル」をしっかり読む必要があります。