ロシア情報通信監督当局、外資系3社を個人情報保護法違反で摘発

ロシアの情報通信監督当局である連邦通信・IT・マスコミ監督局（ロスコムナドゾル）は9月26日、ドイツのメルセデス・ベンツ、中国の華為技術（ファーウェイ）など外資系企業3社のロシア拠点で、個人情報保護法の順守に関する定例検査を実施、その結果、違反を摘発したと発表した。3社の中には、日系企業も含まれている。

ロスコムナドゾルは、これらの3社はロシアにおけるロシア国民の個人情報のデータベースを現地化しており、ロシアの個人情報保護法の順守に積極的だとした上で、今回の検査では個人情報の加工、廃棄条件や（個人情報保有者である）ロシア国民の同意を得ずに使用するなどの違反が見つかった、としている。ロスコムナドゾルはこれら3社に対して、違反状況を除去するよう命じた。

ロスコムナドゾルのワジム・アムペロンスキー報道官は、今回の違反は、ロシア国民の権利侵害につながるものではない、と指摘。さらに、「今回の摘発された違反はシステム上のもので、われわれは外資系企業の法務担当者が当局と異なる法令理解をしていないかに注意を払っている」と述べた（「コメルサント」紙9月27日）。

「コメルサント」紙（1月31日）によると、ロシアでは2018年に30件の個人情報保護法違反が摘発され、そのほとんどが、データの保管条件の安全性に欠陥があり、不法アクセスを招く恐れがあるという理由のようだ。ロシアの行政違反基本法第13.11条6項では、個人情報の漏えいを犯した場合、法人に対して最大5万ルーブル（約8万5,000円、1ルーブル＝約1.7円）の罰金を科すとしている。

ロシアの個人情報保護法（2006年7月27日付連邦法第152-FZ号）は、個人情報の加工条件・原則、個人情報主体の権利、個人情報を収集する事業者の義務、国家による管理監督などを規定している。外国企業が注意すべき点は、情報ネットワークおよびインターネットを通じるなどして、ロシア国民から抽出した個人情報の記録、体系化、蓄積、保存、適合、変更、検索を行う場合、ロシア国内に所在するデータベースを活用しなくてはならない点（同法第18条5項）と、個人情報を「十分に個人情報保護を行っている国」（注）でない国へ越境移転する場合には、個人情報主体から書面で承諾を得るなどの必要がある点（第12条4項）だ。

（注）日本は、2019年1月14日付連邦通信・IT・マスコミ監督局規程第1号によって、「十分に個人情報保護を行っている国」として認定されている。

（齋藤寛）