ロシアのデータ保護規則の重要な変更点

ACCの8月29日の記事^[1]によると、去る7月22日、ロシアの改正データ保護法に大統領が署名しています。同法は、2016年9月1日に全面施行されます。

重要な変更点として、ロシア人のデータの保管及び処理は、ロシア国内で行わなければならず、違反者は、ロシアの通信当局であるRoskomnadzorが作る違反者レジストリに登録され、最終的にはwebブロッキングされるとのことです。

手続きは、Hogan Lovelsの記事^[2]によると以下のようになります。

1. まず裁判所が、そのサイトが違反をしているかどうかを認めます。
2. 違反が認められると、RoskomnadzorがWebサイトをホスティングしている事業者に違反の通知をします。
3. ホスティング業者は１日以内にサイト提供者に連絡しなければなりません。
4. そこから１日以内にサイト提供者は是正をしなければなりません。
5. もし是正がされなかった場合は、ホスティング事業者はそのWebサイトへのアクセスを制限しなければなりません。

これは、ロシア向けのビジネスを行っている企業や、ロシアにオペレーションを持っている企業に影響を与えます。これには、ロシア人の登録を許すWebサイトなども含まれるように読めます。これまでは、ロシアにプレゼンスが無い企業はRoskomnadzorの管理対象外だったようですが、今回の法制でロシア国内にデータを留めることになると、自動的にロシアにある種のプレゼンスができてしまうからです。

実際Webサイトがこれをやろうとすると、まずロシア国内のクラウド事業者かなにかと契約して、コピーサイトを立て、ユーザがメインサイトに来たら、IPアドレスなどからロシアからのアクセスであることを検出してロシアサイトに飛ばして、以後そちらで処理するなどが必要になると思われます。データも二重管理になりますし大変です。また、「ロシア人」というのですから、海外にいるロシア人も対象になるのでしょう。その場合は国籍を聞く必要も出てきそうですがが、日本だと国籍が機微情報だったりするので悩ましいところです。「私はロシア人ではありません。」というようなチェック・ボックスでも作るんでしょうか…。

ロシアからすると、ひょっとするとこうした法制を敷けば、二重管理を嫌うWebサイトがロシアのクラウドに引っ越してくるというような目論見があるのかもしれませんが、どうですかね。単にロシア・パッシングになる気もします。あるいは、本当は医療データとかゲノムデータとかそういうものを対象に考えていたのが、いつの間にか一般化されてしまったような形でしょうか。

有識者によると、この法律は外国企業のロシアへの投資に影響が大きく、施行前におそらく修正されるだろうとのことですが、いずれにせよ該当する企業は、どのように対応していくか、少なくとも動向をウォッチするべき時期に来ていると言えるでしょう。

なお、今回の改正では新たな罰金は導入されていないので、既存のものが適用されます。金額はRUB10,000^[2]ですので、３万円弱ですね。これは大したことありません。EUのように全世界の売上の5%とかいわれると厄介なので、そういう変更が行われないように切に願います。

いずれにせよ、もう少し調べて、新しいことが分かったら、またここで報告いたします。

[1] http://www.lexology.com/library/detail.aspx?g=a6877256-b7bc-4278-b984-d364ad150bf4

[2] http://www.hldataprotection.com/2014/07/articles/international-eu-privacy/russia-enacts-new-online-data-laws/