日本はEUにとって「十分な保護レベルでない第三国」

　「EUデータ保護指令」とは、EUおよび英国においてPersonal Dataに関して十分なデータ保護レベルを確保していない第三国へのデータの移動を禁止する、というもの。日本以外のほとんどの国でもこれと同等の個人情報保護法が制定されていると、大井氏は指摘します。

　そして日本も米国も「十分なデータ保護レベルを確保していない第三国」に含まれており、移動を許されているのはアルゼンチン、スイス、カナダなどの限定された国だとのこと。


　ただし米国はセーフハーバー協定を2000年にEUと締結。認証を受けた企業ごとに十分性を付与することができるようになっており、Google、Amazon、Salesforce.com、マイクロソフトなどの事業者は認証を受けているとのこと。これらの企業のクラウドはEU域内でサービスを提供しても問題ないということです。セーフハーバー協定により認証を受けている企業の一覧は公開されています。

　一方で、日本にデータセンターがあるクラウドを使ってEUや同様にデータ保護指令を持つ各国にサービスを提供しようとすると、前述の「EUデータ保護指令」にひっかるため注意が必要だと大井氏。

【次ページ】企業内でのグローバルなデータ移動にも注意が必要