ロシアにおける個人情報の保管

　ロシアへのデータ転送の課題に関するレポートを、アーンスト・アンド・ヤングとイースト・ウェスト・デジタル・ニュースが3月末に発表した。2015年9月に施行されるロシア連邦法No.242-FZに従い、ロシアで活動する企業には、ロシア国内のサーバーにユーザーの個人情報を保管することが求められるようになる。ちなみに、昨年7月に法案が承認された際、施行は2016年9月とされていたが、2ヶ月後に議会の議員グループが2015年1月まで前倒しすることを求め、その後譲歩という形で2015年9月の施行が決まった。

準備期間は短いが不可能ではない

　無国境クラウドや海外にユーザーのデータを格納している多くの企業にとって、新法は新たな試練となる。しかしながら、「企業が組織的、技術的、法的な一連の段階を踏めば、ほとんどのケースで、ロシアのユーザーや消費者向けの活動を続けられる」とレポートに記されている。

　情報ストレージ企業「データスペース」のデビッド・ハムナー会長は、多くの企業が新法の施行される9月までに準備を整えられないのではないかと考える。「だが、そのような企業が順守の姿勢をしっかりと示すことができれば、延長を許されるかもしれないし、罰金も許容可能な水準に変えられるかもしれない、と多くの人が考えている」とハムナー会長。

　外資系企業は、ロシア政府による個人情報へのアクセスが可能になるのではないか、サーバーの差し押さえが起こるのではないか、という懸念もしている。「アメリカのフェニックスやアリゾナにいようと、イギリスのロンドンにいようと、ロシアのモスクワにいようと、当局が適切な捜査押収令状をもってやってくれば、必要なものを手に入れることができる、というのが本当のところ」とハムナー会長。

メカニズムはまだ不明瞭

　最近まで、多くの企業が、新しい法律を遵守するために何が必要なのかを正確につかめていなかった。データ・ストレージ会社「アイエクセレレイト」のガイ・ウィルナー最高経営責任者（CEO）は、新法の施行を知らない国際企業もあると話した。レポートによると、新法が個人データのオペレータに求める義務とは、「ロシア市民のすべての個人情報をロシア国内のみで処理すべき」という簡潔明瞭な話なのだという。この要件を満たしていないオンライン・リソースへのロシアからのアクセスは、ロシア連邦通信局により制限されるか、またはブロックされる可能性がある。

　新法はロシア国内での個人情報の保管みならず、その収集、蓄積、文書化についても定めている。「個人情報に関連するすべての活動がリアルタイムで、かつ物理的にロシアに位置している情報データベースを介して集約されているべき、と結論づけることができる」とレポート。

　しかしながら、この新たな規定の実施メカニズムはまだ不明瞭である。「新しいデータ処理の要件は、新法の発効前に、今年採択される可能性のある従位法に詳述されてあるべき」とレポートに記されている。

ヨーロッパと比べると...

　連邦通信局は現在、ロシアにおける個人情報の保管の仕様やデータの物理的な位置を管理する方法およびメカニズムを含め、改正にともなう重要な問題について意見を聞こうと、IT企業や団体と一連の会議を実施している。だが、欧州連合（EU）諸国の個人情報保護に関する訴訟レベルにロシアの新法が追いつくためには、少なくともあと数年はかかるように見える。

　「外国の判例と比べると、ロシアの国家仲裁裁判所でも、一般裁判所でも、個人情報を処理する権限のない第三者に対する個人情報関連の訴訟はまだ一握り」とレポート。個人情報の保有者による数少ない訴訟は、あまり裁判所で成功していない。レポートはこの主な理由を推測しながら、司法イニシアチブのレベルが低い点や、原告に対して裁判官が偏見を持っている点をあげている。

　一方で、新法がデータ・センター・サービスの市場を後押しする可能性もあるという。「商業データ・センターおよび企業データ・センターは、根本的な経済および技術の変化を体験するであろう」とレポートに記されている。

＊レポート