[EAI論評] <グローバル・デジタル・ガバナンスへの対応戦略> 米中データ規範競争と韓国:欧州連合の「データ主権論」が示唆するもの
編集者注
「デジタル・グローバル・ガバナンスと外交戦略」特別論評シリーズの第2弾として、米中間のデータ規範競争における「データ主権論」を考察したキム・サンベ(ソウル大学教授)の論評が発刊されました。本論評において、著者はデータの越境流通を保障する国際規範を追求する米国と、これに対抗して自国データ市場を守ろうとデータの「国家主権論」を追求する中国が競合する中で、データ主権の概念そのものについて考察する必要があると主張します。21世紀のサイバー空間におけるデータ流通問題へのアプローチにおいて、19世紀的な地政学的主権概念の有効性への問題意識から出発する本論評は、「観念としての主権」という次元でデータ問題を扱う欧州連合に注目します。著者は欧州連合の事例を分析し、今後の各国のデータ対応戦略が、米中間の異なるデータ言説が競合する中で、自国の実情を考慮したデータ利用環境の再整備とデータ関連法制化を模索する方向で展開されると展望します。このような展望の中で、著者は韓国が追求すべき「データ主権論」は、データに対する権利の主体として国家よりも個々の個人または集合的な国民の権利を根幹としつつ、データを活用する企業を活性化させると同時に、データの公共性を保障しようとする国家の役割をも反映する「複合主権」(complex sovereignty)の概念に基づかなければならないと提言します。
米中競争の「データラウンド」と韓国
米中貿易戦争の砲火が熱い。先端産業分野の様相を見ると、単なる貿易や経済の問題ではなく、国家安全保障まで持ち出して熾烈な争いを繰り広げている。その争いの裏には、技術競争力と技術安全保障という変数が横たわっている。特に米国は技術安全保障を掲げ、先端産業分野の輸出入規制カードを取り出した。このような事態展開の中心には、中国の通信機器企業であるファーウェイがある。この1年余りの期間、米国はファーウェイ通信機器製品のサイバーセキュリティ問題を名目に、中国に対して経済的・外交的措置を含む多方面からの圧力をかけてきた。いわゆる「ファーウェイ事態」を見て、米中の技術覇権競争を論じることになる。しかし、このような米中競争の殻をさらに剥がせば、その中にはデータ安全保障問題がある。
米国が懸念しているのは、ファーウェイ製品のバックドアを通じて流出するデータが引き起こす国家安全保障の問題であった。2019年6月の大阪G20サミットは、米中技術覇権競争の重心が「ファーウェイ・ラウンド」から「データ・ラウンド」へと移る兆候を示した。「大阪トラック」は、中国のデジタル保護主義とデータローカライゼーション政策を標的とした米国など西側陣営の本音を含んでいる。中国も米国の攻勢に対抗し、自国市場に進出した米国企業に対する規制論理としてデータ主権を掲げてきた。ファーウェイ問題では安全保障を口実に保護貿易の刃を振るった米国だが、データ流通においては越境的な自由な流れが保障される貿易環境を擁護している。
このような事態展開は韓国にも影響を及ぼすと予測される。最近のファーウェイ事態は、単なる技術選択の問題ではなく、同盟外交の問題として韓国に迫ってきた。2019年6月には駐韓米国大使が直接、韓国がファーウェイに対する制裁に同調するよう公然と要求した。同様に、データの越境移動問題も、今後米韓関係を緊張させる可能性がある。2016年、韓国政府は国家安全保障を理由に、グーグルが要請した縮尺1:5000の国内地図データの海外持ち出し要請を拒否した。2018年10月には国会で、グーグルやアマゾンなどの米国インターネット企業に国内にデータセンター用サーバーを設置する義務を課す法案が発議されると、駐韓米国大使が「クラウドの利点を妨げるデータローカライゼーション措置を避けてほしい」と要求した。
韓国は世界第5位のデータ生産量を誇る「データ先進国」であるが、国内クラウド市場の約70%をアマゾンウェブサービス(AWS)、マイクロソフト、グーグルなどの米国企業が掌握している。韓国データ市場の可能性を見て、グーグルは来年初めに韓国にデータセンターを設立すると発表し、マイクロソフトは既に第3のデータセンターを建設中である。オラクルは5月にデータセンターを開設したのに続き、1年以内にさらにデータセンターを設立する予定である。AWSとIBMは既に2016年に国内データセンターを設置し、クラウド事業を展開している。国内企業のクラウド事業が停滞する状況で、米国クラウド企業への過度な依存により、国内で生産される多くのデータが海外に流出する可能性が懸念されている。
「データ主権論」を再考する
このような変化に対応するため、最近国内ではデータ主権論に基づいた言説が力を得ている。例えば、最近中小ベンチャー部はデータ主権の擁護を掲げ、国内企業が主導するデータ基盤構築事業を積極的に支援している。これに加え、最近第2のデータセンター建設に向けた動きを見せている国内インターネット企業であるネイバーへの関心も高まっている。また、大企業ではなく中小企業が独自にデータインフラを構築できない状況に、政府が乗り出して国内企業に優しい環境を 조성しようとする構想も提起されている。中小ベンチャー専用のデータセンターを国民プラットフォームの形で 조성するというのだ。このような動きに動員される言説がデータ主権論である。
データの重要性を認識して進められるこれらの動きを、ひとまず歓迎しつつも、あまりにも過去志向的なデータ主権論に陥らないことを期待する。データ主権を掲げても、中国のように国家がデータの流れを統制しようとするアプローチは時代錯誤である。我々のデータ主権論が「大阪トラック」に代表される、米国など西側陣営の自由なデータ流通言説とどのような関係を設定するかも考慮しなければならない。米中競争の戦線がデータ分野に拡大している状況で、その飛び火がいつ、どのように韓米または韓中関係に飛び火するかも注視する必要がある。最近の米中競争が複雑な様相に進化しているほど、その間に挟まれた我々の悩みも深まるばかりである。
特にデータ主権の概念そのものについて考察する必要がある。データが持つ戦略的資源としての重要性が増すにつれてデータ主権に関する議論が提起されているが、そもそもその「主権」が何を意味するのかについては考察の深さが足りない。一般的に「主権」と言えば、それは近代的な意味で理解された「国家主権」(state sovereignty)の概念を念頭に置く場合が多い。しかし、過去の領土国家の概念を前提として形成された近代主権の概念を、越境的なデータ流通の時代に適用することが適切だろうか? 21世紀のサイバー空間におけるデータ流通を論じながら、19世紀の地政学的空間の発想から生まれた主権概念に戻ろうとするのが正しいのだろうか?
このような問題意識に基づき、本稿は最近新たな局面に入っている米中覇権競争の様相を、データ規範競争に焦点を当てて考察しようとするものである。特に米中両国のデータ戦略が依拠するデータ主権論の概念的特性を解明し、これらの言説が両国のデータ関連法制度にどのように投影され、そして今後の国際規範の形成過程にはどのように反映されるのかを考察しようとする。このような「構造変動」に対応して韓国が追求すべきデータ戦略の方向性を測ろうとするのが、本稿の究極的な関心であることは言うまでもない。このために、最近データ分野で欧州連合が提起している「データ主権論」の含意に注目する。
米国、データの越境流通言説
米国の立場は、プライバシーに影響を与える非常に敏感な分野を除いては、データの越境移動を自由に行おうというものに要約できる。国境を越えた自由なデータ移転が保障される中で、個人情報流出や歪曲、濫用などの問題が発生した場合にのみ、当該企業が責任を負えばよいというものである。主に医療、金融、情報通信分野などの特定のデータを重点的に保護しており、国家レベルの政策よりも、該当州または企業の法的な枠組みの中で対応している。このような立場は、国家主権という名の下にデータの越境移動を完全に統制することはできず、またそれを統制することが望ましくもないという論理に帰結する。
このようなデータの越境流通言説は、今日の国家主権が弱まっているという認識に基づいている。ここで想定される主権概念は、領土国家の境界を越えた活動を統制する能力としての政府レベルの「政策主権」を指す。この政策主権は、今日のグローバル化の進展によってますます弱まっており、データ分野でも同様であるというのだ。このような米国のデータ言説は、越境的な流通を通じてグローバルレベルでデータの価値を最大化しようとする米国の多国籍企業の論理と利害関係を代弁する。したがって、デジタル経済の展開とともにデータの自由な流通を主張し、それを保障する国際規範を模索しようとする米国の動きは、ますます強化されると見られる。
実際に米国と日本は2018年中後半から、個人情報保護とビッグデータの国際流通規則の 마련に向けた議論を進めてきた。このような文脈で注目すべき出来事は、先に言及した「大阪トラック」である。大阪トラックでは、国際的なデータ流通規則の標準化だけでなく、個人情報と知的財産権の保護およびサイバーセキュリティの強化、そして米国のインターネット企業に対する課税基準の 마련などが議論される予定である。特に、いわゆる「グーグル税」として知られるデジタル課税の基準を2020年に設けることで合意したことにより、映像、ゲームなど各種ストリーミング・クラウド方式サービスに対する課税が増加する見通しである。G20レベルで提起されたこれらの問題は、二国間および多国間、そして地域レベルの交渉過程で同様の構図で再現・拡大されると展望される。
このような米国の言説は、最近の対テロ戦略の遂行という観点から安全保障の論理と連携し、国境を越えて拡大している。例えば、2018年3月、米国はクラウド法(Cloud Act)、すなわち「海外データ利用合法化法律」を発表したが、これは米国の捜査機関がグーグル、マイクロソフト、アマゾン、アップルなどの米国のインターネット企業の海外サーバーに保存されたメール、文書、その他の通信資料などを閲覧できるように権限を付与するという内容を含んでいる。この法律が施行されれば、米国の裁判所の押収捜索令状を発付されなくても傍受が可能になり、データがどこに保存されていても、必要な個人情報関連データの収集が可能になる。このような動きは、データ安全保障観念に基づいた一種の「帝国的主権」の投影を意味しており、該当国家との摩擦が発生すると予測される。
中国、データの国家主権言説
中国は原則としてデータの越境移動を制限する立場である。スノーデン事件以降の米国のデータ監視に対する危機感も、このような中国の立場を強化するのに作用した。中国で活動する全ての企業は、中国で収集されたデータを必ず域内に保管しなければならず、データを域外に移転するには中国当局の許可を得て、中国の規定に従って安全評価手続きを経なければならないというのだ。また、中国政府の要求がある場合、データ暗号解読情報を提供しなければならず、拒否した場合は企業に営業停止と罰金を科すというのだ。2017年6月に施行された中国の「サイバーセキュリティ法」は、このような内容を含んでいる。
データの越境移動を制限する中国が援用する主権概念は、国家(statehood)レベルの権威としての「法政治的国権(國權)」である。これは領土国家の統制権限の問題と関連する。越境的なデータ流通に対して規制する権限の主体は誰かと問われれば、公共性と国家安全保障の名分を掲げて既存の国家行為者が乗り出すべきだというのだ。中国が主張するデータ主権またはサイバー主権の概念は、このような主権概念を援用した代表的な事例である。公益を害するデータを検閲・統制し、中国で収集したデータの国外流出を規制することは、主権国家の当然の権利であるというのだ。このような国権としての主権は、近代領土国家の主権概念が想定する「内政不干渉の原則」と通じる。
「サイバーセキュリティ法」は、重要インフラのセキュリティ審査および安全評価、オンライン実名制導入、重要インフラ関連個人情報の中国国内サーバーへの保管義務化、インターネット検閲および政府当局の介入明文化、事業者の不法情報遮断・伝達義務化、インターネット関連製品またはサービスに対する規制などの内容を含んでいる。特にデータローカライゼーションとインターネット安全審査関連条項が争点となっており、上位等級の「重要情報インフラ運営者」に指定されると、データサーバーを中国に置かなければならず、中国政府が指定するネットワーク機器とサービスのみを使用しなければならない。そして中国政府は安全レベルについて継続的に点検・監視することができる。
「サイバーセキュリティ法」は、表面的には個人情報保護と国家および国民の安全を目標に掲げたが、実質的には自国産業の保護とインターネットコンテンツの統制・検閲強化を狙っていると理解される。実際に「サイバーセキュリティ法」は、米国の多国籍企業に対する圧力をかけた。アマゾンウェブサービス(AWS)は2017年11月に中国事業部の資産を売却した。2018年初め、マイクロソフトとアマゾンも自社データをそれぞれ北京と寧夏のデータセンターに移した。また、「サイバーセキュリティ法」施行直後、アップルは中国国内ユーザーの個人情報と管理権をすべて中国貴州省政府に引き渡し、2018年2月には第2のデータセンターを中国内モンゴル自治区に建設する計画を発表した。
欧州連合、データの市民主権言説
このように、データの越境流通を保障する国際規範の模索の動きと、これに対抗して自国データ市場を守ろうとするデータ主権の動きが競合する中で、最近欧州連合の動向が注目を集めている。歴史的にセーフハーバー協定の締結とその無効化、およびプライバシーシールド導入などの動きを経てきた欧州連合は、2018年5月にはGDPR(General Data Protection Regulation)を施行するに至った。この過程で、データ国外移転およびローカライゼーションの問題以外にも、データの効果的な活用と個人情報の保護問題、所有権という概念ではない形で個人のデータ権を認める問題、そしていわゆる「グーグル税」の賦課問題などが争点として議論されている。
欧州連合の動きから垣間見られる主権概念は、主権行使の集合的アイデンティティを担う主体として国民(nation)の次元で共有された「観念としての主権」である。このような主権概念は、国民の権利、すなわち民権(民権)の概念に通じ、より具体的に言えば、個々の「市民」の権利に基づいた集合的な「国民」の権利という意味で、一種の「市民主権」である。このような主権の概念をデータ分野に適用すると、個人が集まった国民の機密情報を含むデータ、または個々のユーザーとしての国民の個人情報を保護する権利概念として現れる。これは国家を構成する個人の権利を集合的に理解する次元から提起される主権概念である。
欧州連合の市民主権論を垣間見ることができる代表的な事例が、まさにGDPRである。GDPRは欧州連合加盟国はもちろん、欧州連合域内に事業場を置くか、オンラインサービスで財貨やサービスを提供する全てのグローバル企業に適用され、適用対象は規定違反時、全世界売上高の4%または最大2,000万ユーロ(約268億ウォン)規模の課徴金が賦課される。GDPRは、既存の閲覧権、修正権などに加え、削除権(忘れられる権利)、データ移動権、プロファイリング拒否権などを規定している。また、仮名化された情報の活用を法的に規定することにより、データ活用と関連サービスに対するユーザーの信頼を高める。海外サーバーに移管された自身のデータが侵害された場合、いつでも訴訟を提起できることは言うまでもない。
国境を越えたデータ移転に関する規制に関して、GDPRは域外へデータを移転する場合、欧州連合と同等の個人情報保護体制を備えていることを証明する「適正性評価」(adequacy or equivalence decision)を通過しなければデータ移転が自由に行えるようにした。しかし、データ保護水準が基準に適合しない場合でも、データ主体の同意がある場合や契約を履行する必要がある場合、または法的協力が必要な場合には、データ移転が可能となっている。欧州連合の事例を見ると、国家レベルでデータを保護する権利概念の根拠を探すのではなく、個人レベルでその権利の根拠を探し、それを国家(欧州連合)レベルで保障する法制度を提供するモデルを垣間見ることができる。
韓国、「複合主権(complex sovereignty)」の模索?
以上の欧州連合の事例から見るように、今後の各国のデータ対応戦略は、米国と中国に代表される二つの陣営のそれぞれ異なるデータ言説が競合する中で、自国の実情を考慮したデータ利用環境の再整備とデータ関連法制化を模索する方向で展開されると予想される。この過程で、どのような形であれ各国の利害関係が反映された二国間および多国間、そして地域レベルのデータ国際規範を形成しようとする努力が繰り広げられるだろう。先に言及した「データ・ラウンド」の到来が予見される場面である。それでは、このような変化に直面して韓国はどのような「データ主権」の言説と戦略および制度を模索すべきだろうか? 興味深いことに、現在韓国では先に言及したデータ言説の三つの形態がすべてその糸口を露呈している。
第一に、2018年6月、政府は情報主体中心のデータ活用体系であるマイデータ(MyData)の導入に関連し、試行事業の推進計画を発表した。マイデータは、情報主体が機関から自身のデータを直接ダウンロードして利用・共有できるようにするデータ活用方式である。米国のデータ言説を想起させるマイデータの施行は、国内の個人情報保護法と情報通信網法に個人のデータ移動権が明記されていない状況で出てきたという点で意味を持つ。法を改正する必要なく施行可能であり、非識別化措置によってデータの活用価値が低下するという限界も克服可能と期待される。国民が直接恩恵を受けられる医療(健康管理)、金融(資産管理)、通信(料金プラン推薦)分野からサーバー事業を推進し、参加を誘導する目的を持っている。
第二に、2018年9月、国会で一定規模以上のIT企業に国内でのサーバー設置を義務付ける内容の「情報通信網利用促進及び情報保護法改正案」が発議された。これは、安定的なサービス利用のための技術的措置を講じ、これを違反した場合には売上高の3%以下の課徴金を賦課するという内容を含んでいる。特に、グローバルインターネット企業の国内データサーバー設置を義務付け、これにより課税根拠を確保するという意図を含んでいる。国内インターネット産業の「傾いた運動場」を正そうとするのだ。この改正案によれば、一定規模以上の情報通信提供事業者は、利用者の安定的なサービス利用のために国内にサーバーを設置しなければならない。これによりデータ主権を強化するという趣旨である。
最後に、2019年7月、中小ベンチャー部はデータセンターなど、中小企業が自由に活用できる国家基盤プラットフォームを構築するという中期ロードマップを発表した。中小企業がクラウド基盤のAI製造革新を成し遂げられるようにするという構想である。韓国がクラウド産業投資にあまりにも怠慢だったという評価に基づき、中小企業がデータ分析・保管に支出する費用を削減するために、国家が中小企業のためのプラットフォームを作ってあげるというのだ。一種の国民主権の概念に基づいた構想と評価できるだろう。このような構想は、国内で生成されるデータが多国籍企業に全面的に依存する場合に発生するデータ主権侵害に対する懸念を提起した。国内の全てのデータをアマゾン、グーグルなどに保存しておくと、データが一つところに依存するため、国内のクラウド事業を行う企業を中心に競争力を確保しようというのだ。
現在韓国で議論されているデータ言説には、データ主体としてのユーザー個人の需要に応えつつも、国家と企業(特に中小企業)の次元でデータ市場を保護し、関連産業を振興しようとする概念が混在している。このような様相は、やや相反する姿として映る可能性があり、場合によってはデータを管轄する政府部署間のアプローチの違い、または政府と国会間の認識の違いを示すこともある。しかし逆に、いずれか一つの言説だけに頼って解決できる問題ではないデータ分野の複合的な性格を考慮すれば、今後の接点を見つけようとする努力の如何によっては、このような状況はむしろ有利な条件として作用する可能性もある。結局、越境的なデータ問題を解決していく主権概念は、以前のような単一の領土国家の主権概念にのみ頼ることはできないからである。
このような観点から見ると、今後我々が追求すべきデータ主権論は、①プライバシー保護という個人次元の権利保護概念を根幹とし、②グローバルレベルでの公共財であるデータの価値を最大化しようとする企業の権利を認めつつも、③データの公共性を保障しようとする国家の権利がすべて反映される複合的な概念に基づかなければならないだろう。言い換えれば、「主権」を論じる場合でも、データに対する権利の主体として国家を前面に出すのではなく、個々の個人であり集合的な国民の権利を根幹とし、これらのデータを活用する企業の活動を活性化させる中で、公益に奉仕する国家の役割を認める「複合主権」(complex sovereignty)の概念が必要である。■
■著者:キム・サンベ_ソウル大学政治外交学部教授。ソウル大学外交学科を卒業し、米国インディアナ大学で政治学博士号を取得した。主な研究分野は国際関係における情報、通信、ネットワークなどである。主な著書に『バーチャル・ 창と網の盾:サイバーセキュリティの国際政治と韓国』(2018)、『アラネの国際政治学:ネットワーク国際政治理論への挑戦』(2014)、『情報革命と権力変換:ネットワーク政治学の視点』(2010)、『情報化時代の標準競争:ウィンテルイズムと日本のコンピュータ産業』(2007)などがある。
■担当・編集:ユン・ジュンイル EAI研究員
問い合わせ:02 2277 1683 (内線203) I junilyoon@eai.or.kr
「EAIイシューブリーフィング」は、国内外の主要事案について、多様な分野の専門家が深い分析を通じて意見を表明し、政策的提言を発表できる言論の場を設けることを目的に企画されたシリーズです。引用する際は必ず出典を明記してください。EAIはいかなる政派的利害とも無関係な独立研究機関です。EAIが発行する報告書やジャーナル、単行本に掲載された主張や意見はEAIとは無関係であり、あくまで著者個人の見解であることを明示します。
*この本文は韓国語で書かれた原文を AI で翻訳したものです。一部の翻訳やニュアンスに誤りがある場合があります。